[대표님 고민해결소] EP. 9 내년 1월부터 시행되는 AI 기본법, 우리 약관은 준비됐나요?

📌 오늘의 에피소드 미리보기

AI 기반 데이터 분석 서비스를 제공하는 스타트업 M사의 박 대표는 최근 고객사로부터 받은 피드백에 당황했습니다.

"저희 데이터가 AI 학습에 사용되는 건가요? 그럼 제3자랑 공유되는 건가요?"

박 대표는 현재 이용약관으로 충분히 설명되고 있다고 생각했지만, 임팩터스로부터 예상치 못한 이야기를 듣게 되는데...

"대표님, 2026년 1월 22일부터 AI 기본법이 시행되면 현재 약관으로는 법적 요건을 충족하지 못합니다. 또한 고객 데이터 활용에 대한 규정도 명확하지 않은데, 이 부분에 대해서도 전면적인 약관 정비가 필요해요."

안녕하세요, 대표님의 든든한 옆자리 파트너 로펌 '임팩터스'입니다.

AI 기술이 급속도로 발전하면서 많은 스타트업들이 생성형 AI를 서비스의 핵심 기능으로 도입하고 있습니다.

이에 따라 2026년 1월 22일부터 AI 기본법이 시행되어, AI 서비스 제공자에게 새로운 법적 의무를 부과하게 됩니다. 특히 '생성형 AI 사용 사실 고지'와 '결과물 표시 의무'는 모든 AI 기업이 준수해야 할 핵심 사항인데요.

아쉽게도 구체적인 시행 가이드라인이 12월에야 공개될 예정이라 이미 많은 대표님들이 "우리 약관은 괜찮을까요?"라는 질문을 주셨어요.

오늘은 AI 기반 데이터 분석 서비스를 운영하는 M사가 고객 데이터를 활용하는 과정에서 발견한 '약관상 법적 리스크'를 통해, AI 기업이 반드시 점검해야 할 데이터 활용 조항을 미리 짚어보겠습니다.

🚨 고객 데이터와 AI를 활용해서 서비스를 제공하는 경우, 약관은 어떻게 써야되나요?

최근 AI 기반 데이터 분석 솔루션으로 업계의 주목을 받기 시작한 M사의 박 대표!

새 고객사와 미팅을 성공적으로 마무리되나 싶은 찰나 해당 고객사로부터 예상치 못한 질문을 받았습니다.

"박 대표님, 저희가 업로드한 데이터가 AI 학습에도 사용되나요? 그리고 다른 고객사와 데이터가 공유되는 건지 궁금해요.

AI 기본법이 시행된다는 뉴스를 봐서 체크 중인데 어떤 데이터가 어떤 용도로 어디까지 쓰이는지 약관을 봐도 정확히 모르겠어서요."

박 대표는 당황했습니다. 이용약관에 '서비스 제공을 위해 데이터를 활용할 수 있다'고 명시했는데, 이 부분이 그가 생각해도 다소 포괄적이라 고객에게 혼선을 일으킬 수 있고,
그 외에는 명확한 규정이 없었다는 걸 깨달았기 때문이죠.

그는 관련 사항에 대해서 이해하기 쉽도록 연락 드리겠다는 말과 함께 서둘러 미팅을 마무리하고, 지인을 통해 임팩터스를 찾았습니다.

”AI 기본법이 나온다는 얘긴 저희도 들었지만 아직 가이드라인이 나오지 않은 상태고 내부에 법무팀이 없어서 어떻게 해야할지 모르겠습니다.
고객 데이터 활용과 관련된 저희 이용 약관에서 문제가 될 지점들이 있을까요?”


M사의 약관을 검토한 임팩터스 변호사는 심각한 표정이 되었습니다.

"박 대표님, 현재 약관에는 고객 데이터 권리 귀속과 활용 범위가 모호하게 작성되어 있습니다. 또한, AI 기본법 시행 후 요구되는 법적 요건도 준수해야 해요.
이대로라면 이용자가 오해할 수 있는 소지가 크고, 최악의 경우 관련 법령에 따라 제재를 받게 될 수도 있습니다."

여기서 잠깐! AI 기본법, 정확히 뭘 준비해야 할까요?

AI 기본법 제31조 제2항은 생성형 AI를 활용하는 모든 사업자에게 두 가지 핵심 의무를 부과합니다.

1. AI 활용한 서비스인 경우, AI 사용 사실에 대한 사전 고지

• 서비스(제품), 이용약관, 사용설명서, 계약서에 기재, 또는 이용자의 화면 등 단말기, 제품을 제공하는 장소 등에 AI 사용 사실을 명확히 고지

2. 생성형 AI 결과물에 대한 표시

• AI가 생성한 결과물에 워터마크 등을 통해 AI가 생성한 콘텐츠임을 사람 또는 기계가 인식할 수 있도록 표시

하지만 단순히 이 두 가지만 준비한다고 끝이 아닙니다.

데이터 수집·활용·보관·파기와 관련된 전 과정에서 약관에 활용 범위 및 소유 관계를 명확히 해두어야 하고, 혹시 개인정보도 수집 및 활용할 예정이라면 개인정보보호법 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 다른 법령과의 정합성도 함께 검토해야 하죠.

💡 임팩터스가 발견한 M사의 문제점들

임팩터스는 박 대표에게 AI 기본법 적용사항과 함께 현재 약관의 구체적인 문제점을 상세히 짚어줬습니다.

”박 대표님, M사는 AI를 활용하는 서비스를 제공하고 있습니다만, 고객에게 제공되는 서비스에 AI가 활용된다는 점에 대한 안내가 없는 것 같아요.
앞으로 시행될 AI 기본법에 따라, 이 부분에 대해 약관에 미리 고지를 해두어야 할 것 같습니다.

또한, 그 산출물에도 AI를 통해 만들어진 것이라는 표기가 사람 또는 기계가 식별 가능한 형태로 표기되어야 합니다. AI를 통한 것인지 사람이 만든 것인지 알 수 없을 경우, 혼란을 야기할 수 있기 때문이에요. 이 부분에 대해서는 12월에 정부 가이드라인이 나올 예정이니, 가이드라인에 따라 추후에 다시 안내드릴게요.

우선 지금은 약관에 고지하는 것부터 진행하면 좋겠습니다.”

박 대표는 고개를 끄덕였습니다.

“이 부분은 개발팀이랑 미리 논의를 시작해야겠네요. 그럼 약관의 다른 지점들은 이슈가 없을까요?”

임팩터스 변호사는 고객 데이터 활용과 관련하여 약관에 필요하거나 수정되어야 할 내용들을 아래처럼 상세히 안내했습니다.

데이터 권리 귀속이 불분명합니다.

현재 약관에는 '회원이 업로드한 모든 데이터에 대해 회사가 사용 권한을 갖는다'고만 되어 있어요. 이용자 입장에서는 '내 원본 데이터의 소유권까지 회사로 넘어가는 건가?'라고 오해할 수 있습니다. 원본 데이터와 AI가 생성한 가공 데이터를 명확히 구분하여 권리 주체를 설정해야 합니다.

데이터 활용 목적이 너무 포괄적이네요.

'회사는 데이터를 자유롭게 저장, 수정, 배포할 수 있다'는 조항은 이용자에게 무제한 활용으로 비칠 수 있어요. 법적으로도 '목적 외 사용 금지' 원칙에 위배될 소지가 있습니다. 데이터 활용 목적을 구체적이고 명확하게 제시해야 합니다.

제3자 데이터 공유에 대한 설명이 없습니다.

M사는 AI 분석을 위해 글로벌 AI 플랫폼에 데이터를 전송하고 있죠? 그런데 약관에는 이 사실이 전혀 명시되어 있지 않습니다. 이는 개인정보보호법상 '제3자 제공 동의' 의무 위반에 해당할 수 있어요.

연동 계정 접근 권한이 과도합니다.

구글 계정 연동 시 '모든 파일 접근 권한'을 요구하고 있는데, 서비스 제공에 꼭 필요한 범위를 넘어서는 것 같아요. 이는 개인정보 최소 수집 원칙에 어긋납니다. 필요 최소한의 권한만 요청하고, 접근 범위를 명확히 안내해야 합니다.

데이터 보관 기한이 명시되지 않았습니다.

'서비스 제공 기간 동안 데이터를 보관한다'는 문구는 너무 모호합니다. 회원 탈퇴 후에도 데이터가 남아있는 건지, 법정 보존 의무는 어떻게 이행하는 건지 불명확해요.

AI의 한계에 대한 고지가 없습니다.

AI는 때때로 부정확한 분석 결과를 제공할 수 있는데, 이에 대한 면책 조항이 전혀 없습니다. 고객이 AI 분석 결과만 믿고 중요한 의사 결정을 했다가 손해를 입으면 법적 분쟁이 발생할 수 있어요. AI의 기술적 한계와 합리적 면책 범위를 명확히 설정해야 합니다.

임팩터스의 가이드를 받은 박 대표는 결심했습니다.

"고객이 안심하고 서비스를 이용할 수 있도록 약관을 전면 재작성하겠습니다. 연말에 신년 사업계획이니 결산이니 가장 바쁠때인데 막연히 가이드라인만 기다리다가는 약관 정비 시기를 놓칠 것 같네요.

덕분에 AI 기본법 시행 전에 선제적으로 준비할 것들과 데이터 활용에 대한 근거도 같이 대비할 수 있게 됐어요."

M사는 약관 개선 후 약관 변경에 대한 동의 요청과 함께 세부 내용을 모든 고객사에 안내했습니다.

신규 고객사로부터 긍정적인 피드백과 계약에 대한 확답을 받았고, 기존 고객사들에게도 좋은 반응을 얻었죠.

우리 회사의 데이터 약관, 법적으로 안전한가요?

지금 바로 우리 서비스의 데이터 활용 조항을 체크해보세요.

✅ 체크리스트

• [ ] AI 사용 사실을 이용약관과 서비스 화면에서 명확히 고지하고 있나요?

• [ ] AI 생성 결과물에 대한 표시(워터마크 등) 계획이 수립되어 있나요?

• [ ] 원본 데이터와 AI 가공 데이터의 권리 귀속을 구분하여 명시했나요?

• [ ] 고객 데이터에 대한 소유권과 활용 범위 등을 명확하게 명시했나요?

• [ ] 고객 데이터 활용 목적이 '서비스 제공', '품질 개선' 등으로 구체적으로 제시되어 있나요?

• [ ] 고객 데이터를 제3자에게 제공 시 제공 범위와 활용 목적 등을 명확하게 명시했나요?

• [ ] 데이터 보관 기간과 회원 탈퇴 시 처리방법 등에 대해 구체적으로 명시되어 있나요?

• [ ] AI의 기술적 한계를 고지하고 회사를 위한 합리적 범위의 면책 조항이 설정되어 있나요?
  

📊 결과

• 8개 모두 체크: 완벽한 준비! AI 기본법 시행에도 안심하세요!

• 5~7개 체크: 기본은 갖췄지만 일부 조항 보완이 필요합니다.

• 4개 이하: 위험 수준! 지금 당장 약관 전면 재검토가 필요합니다!

오늘 나눈 사례는 AI 서비스뿐 아니라 데이터를 운영하는 많은 스타트업들이 이용자 데이터를 활용하는 과정에서 겪을 수 있는 전형적인 이슈입니다.

'이 정도는 특별한 고지 없이 사용해도 괜찮겠지'라고 생각했던 것들이 법적으로는 심각한 위험 요소가 될 수 있고, 약관 등에 이를 제대로 명시해 두지 않으면 고객 데이터를 무단으로 사용하게 되어 회사의 평판 리스크로 직결될 수 있습니다.

당장은 번거롭고 비용이 들더라도, 사전에 이를 명확히 규정해 두는 것이 장기적으로는 이용자의 신뢰를 얻고 지속가능한 성장의 기반을 다지는 가장 확실한 방법이죠.

지금 임팩터스와 함께 AI 기본법 대응은 물론, 고객 데이터 활용과 관련된 모호한 약관을 선제적으로 점검하세요. ✨ 임팩터스 상담 신청하기