AI에 회의록이나 고객정보를 넣어도 되는지 헷갈린다면, 저장·학습·공유 기준을 먼저 나눠 봐야 합니다. 이 글은 AI 개인정보 노출 기준을 서비스별로 비교해, 무엇을 피하고 무엇을 확인해야 하는지 빠르게 판단하도록 돕습니다.
무심코 넣은 프롬프트가 어디까지 남고, 학습에 쓰이며, 누구에게 보일 수 있는지 모르면 실수가 반복됩니다. 핵심은 같은 브랜드라도 개인용과 업무용, 기록 저장과 임시대화, 내부 저장과 공개 공유의 기준이 다르다는 점입니다. 이 글은 개인정보보호위원회 공식 자료를 기준으로 작성되었습니다. 사용자 제공 조사자료도 함께 반영했습니다. (www.pipc.go.kr)
핵심 개념 설명
왜 많은 사용자가 여기서 헷갈릴까요? AI 개인정보 노출 기준은 보통 한 가지가 아니라, 저장 여부·모델 학습 여부·사람 검토 가능성·외부 공유 가능성을 따로 봐야 하기 때문입니다. 히스토리를 끄거나 대화를 삭제해도 즉시 완전 소멸이 아닌 경우가 있고, 임시대화도 일정 기간 보관될 수 있습니다. (OpenAI Help Center)
무엇이 기준이고 무엇이 기준이 아닐까요? “설정 하나 껐다”는 사실만으로 안전하다고 보긴 어렵고, 실제 기준은 보관 기간, 학습 옵트아웃, human review, 공개 링크, 관리자 로그 같은 운영 정책입니다. 그래서 같은 서비스라도 개인 계정과 조직 계정은 별도로 판단해야 합니다. (OpenAI)
최신 동향 및 핫 이슈
최근 무엇이 달라졌을까요? 국내 기준부터 보면, 개인정보보호위원회는 2025년 8월 「생성형 인공지능 개발·활용을 위한 개인정보 처리 안내서」를 공개했고, 2025년 9월 5일부터는 공공기관 AI 활용 시 영향평가에 AI 전용 기준을 반영하도록 했습니다. 적법 근거, 민감정보·14세 미만 정보 포함 여부, 학습용 데이터 보유·파기, 정보주체 권리보장과 신고 기능이 핵심 축입니다. (www.pipc.go.kr)
이 변화가 왜 중요할까요? 서비스별 비교를 볼 때도 결국 “내 입력이 적법한가, 불필요한 민감정보가 섞였는가, 보관·파기 기준이 보이는가, 유출 대응 장치가 있는가”로 읽어야 실제 판단이 가능해지기 때문입니다. 자세한 내용은 개인정보보호위원회 공식 사이트에서 확인하세요. (www.pipc.go.kr)
서비스별 조건 판단 기준
어떤 서비스가 더 안전하냐고 묻기 전에, 먼저 어떤 조건에서 쓰는지부터 봐야 합니다. 아래 표는 2026년 4월 기준으로 개인용과 업무용의 저장·학습·공유 범위를 실무적으로 비교한 것입니다. (OpenAI)
| 서비스 | 개인용 기본 | 저장 기준 | 예외·공유 범위 | 업무용 기본 |
|---|---|---|---|---|
| ChatGPT | 설정에 따라 학습 사용 가능 | 삭제 전까지 계정 보관, 삭제 후 통상 30일 내 삭제 | Shared link는 전체 대화 공유, Temporary Chat은 기록 미표시·비학습이지만 최대 30일 보관 가능 | Business·Enterprise는 비학습 기본 |
| Gemini | Keep Activity가 켜져 있으면 일부 human review·모델 개선 가능 | 기본 18개월 자동삭제, off 시 72시간 보관, 검토된 일부 데이터는 최대 3년 | 공개 링크는 전체 대화 공유·재공유 가능 | 방패 아이콘 환경은 human review·모델 개선 비사용 |
| Claude | 소비자용은 허용·피드백·안전검토 시 학습 가능 | 삭제 시 30일 내 백엔드 삭제, 개선 허용 시 비식별 최대 5년 | Incognito chats는 비학습 | Claude for Work·API는 비학습 기본 |
| Copilot | 개인용은 대화 저장이 기본, 학습 사용 여부는 사용자가 제어 | 대화 18개월, 업로드 파일도 최대 18개월 | human review 가능 | Microsoft 365 Copilot Chat은 EDP 적용, 기초모델 비학습 |
같은 브랜드라도 결과가 다른 이유가 보이실 겁니다. 개인용은 편의와 개선 중심, 조직용은 보호와 통제 중심으로 설계된 경우가 많습니다. 자세한 내용은 각 서비스 공식 사이트에서 확인하세요. (OpenAI Help Center)
범위 판단과 예외
공유는 어디까지를 말할까요? 공개 링크만 떠올리기 쉽지만, 실제 AI 개인정보 노출 기준의 범위는 사람 검토, 외부 액션·연동, 링크 재공유, 조직 감사 로그까지 포함해 봐야 합니다. 이 범위를 놓치면 “비공개인 줄 알았는데 다른 경로로 남는” 문제가 생깁니다. (OpenAI Help Center)
예외는 무엇일까요? ChatGPT 공유 링크는 링크를 가진 사람이 전체 대화를 볼 수 있고, 가져가면 자신의 기록에 복사본이 남을 수 있습니다. Gemini 공개 링크도 전체 대화와 업로드 이미지를 보여 주며 재공유가 가능합니다. Claude는 기본적으로 직원 접근이 제한되지만 피드백 제공이나 정책 집행 필요 시 지정 인원이 볼 수 있고, Microsoft 365 Copilot Chat은 프롬프트와 응답이 Exchange에 기록돼 감사·eDiscovery 대상이 됩니다. (OpenAI Help Center)
비교 및 분석
지금 내 상황은 어느 범위에 해당할까요? 가장 보수적으로 보면, 개인용 일반대화가 가장 넓게 검토해야 할 구간이고, 임시대화·Incognito는 저장과 학습 범위가 줄어드는 구간이며, 보호가 적용된 조직용 계정은 통제가 가장 강한 편입니다. 다만 조직용도 관리자 보관과 감사는 별도입니다. (OpenAI Help Center)
| 사용 상황 | 판단 기준 | 노출 위험 해석 |
|---|---|---|
| 개인용 일반대화 | 학습 설정, human review, 링크 공유 | 가장 넓게 검토 필요 |
| 히스토리 off·임시대화 | 기록 미표시와 실제 보관 기간 구분 | 중간 위험, 완전 미저장 아님 |
| 조직용 보호 계정 | 비학습 기본, 관리자 정책, 감사 로그 | 외부 학습 위험은 낮지만 내부 통제는 존재 |
결국 “삭제 가능”보다 “기본적으로 학습되는지, 사람이 볼 수 있는지, 외부나 조직 안으로 퍼질 수 있는지”가 더 중요한 판단 기준입니다. 이 차이를 알아야 조건 판단이 아니라 범위 판단까지 끝납니다. (OpenAI)
주의사항 및 팁
실무에서 가장 많이 하는 실수는 무엇일까요? 첫째, 회의록을 ChatGPT 개인용 일반대화에 넣고 나중에 링크만 지우면 끝난다고 생각하는 경우입니다. 하지만 대화 자체는 삭제 전까지 계정에 남고, 공유 링크를 통해 본 사람이 자신의 기록으로 가져갔다면 복사본은 남을 수 있습니다. (OpenAI Help Center)
둘째, 회사 계정 Gemini에 방패 아이콘이 보여 안심하던 사용자가 같은 내용을 개인용 Gemini에 다시 붙여넣는 경우입니다. 이때는 개인용 정책으로 바뀌어 human review와 모델 개선, 18개월 보관·72시간 예외 같은 기준을 다시 적용받을 수 있습니다. (Google 도움말)
작성 기준: 공식 프라이버시 문서와 국내 개인정보 기준을 교차 검토해, 조건·범위·예외를 판단할 수 있는 정보만 남겼습니다. 민감정보, 아동정보, 고객 원문 데이터는 개인용 일반대화에 그대로 넣지 않는 쪽이 안전합니다. (www.pipc.go.kr)
AI 개인정보 보호 설정, 2026 바로 적용할 8단계
2026 무료 AI 유료 AI 개인정보 비교, 손해 줄이는 선택
FAQ
이 부분이 가장 헷갈리지 않나요? 자주 묻는 질문만 추려서 바로 답하겠습니다.
아닙니다. ChatGPT는 학습 사용을 꺼도 대화가 기록에 남을 수 있고, Temporary Chat도 최대 30일 보관될 수 있습니다. Gemini도 Keep Activity를 꺼도 최대 72시간은 보관됩니다. (OpenAI Help Center)
무조건은 아닙니다. 다만 OpenAI Business·Enterprise, Gemini의 방패 아이콘 환경, Claude 상업용, Microsoft 365 Copilot Chat은 모두 비학습 기본 또는 기업 보호 체계를 명확히 안내합니다. 대신 관리자 감사, 보존 정책, 외부 연동 범위는 따로 확인해야 합니다. (OpenAI)
아닙니다. ChatGPT는 상대가 자신의 기록으로 가져갔다면 복사본이 남을 수 있습니다. Gemini도 링크를 받은 사람이 읽고 재공유할 수 있으므로, 공개 링크는 원칙적으로 외부 노출로 봐야 합니다. (OpenAI Help Center)
주민등록번호, 건강정보, 아동정보, 고객명단, 계약 원문처럼 민감하거나 제3자 권리가 섞인 원문입니다. 개인정보위도 불필요한 민감정보와 14세 미만 정보 배제, 보유·파기 기준 명확화를 핵심 기준으로 제시합니다. (www.pipc.go.kr)
확인 체크리스트
지금 내 조건이 맞는지 어떻게 확인할까요? 아래 항목을 체크하면 AI 개인정보 노출 기준을 빠르게 판단할 수 있습니다. (www.pipc.go.kr)
□ 개인용인지 조직용인지 먼저 구분했다
□ 학습 사용 옵트아웃 여부를 확인했다
□ 히스토리 off와 실제 보관 기간을 구분했다
□ 공개 링크, 외부 액션, 관리자 로그 범위를 확인했다
□ 민감정보·아동정보·고객 원문은 제외했다
□ 삭제 후에도 복사본이나 감사 로그가 남을 수 있음을 이해했다
□ 추가 증빙이 필요하면 공식 프라이버시 문서를 확인할 준비가 됐다
최종 요약 및 행동 지침
무엇부터 실행하면 될까요? AI 개인정보 노출 기준은 “개인용인가, 업무용인가”를 먼저 보고, 다음으로 저장 기간, 학습 사용, 사람 검토, 공유 범위를 확인하면 대부분 정리됩니다. 특히 조건이 맞아 보여도 공개 링크와 외부 연동, 관리자 보관이 있으면 실제 노출 범위는 더 넓어질 수 있습니다. (OpenAI)
다음 단계가 필요하다면, 이제는 방법글보다 비교글로 넘어갈 시점입니다. “어떤 계정 유형을 써야 하는지”, “어떤 데이터를 넣지 말아야 하는지”를 서비스별로 더 좁혀 판단하면 됩니다. 이 글은 2026년 04월에 최초 작성되었으며, 2026년 04월에 업데이트되었습니다. 수록된 정보는 개인정보보호위원회 자료 기준이며 변경될 수 있으므로 공식 사이트에서 확인하시기 바랍니다. (www.pipc.go.kr)