데이터 전송 갈등
ChatGPT를 사용하여 응답을 작성하는 고객 지원 팀은 구조적인 GDPR 준수 갈등에 직면해 있습니다. 고객 개인 데이터 — 이름, 주문 ID, 주소, 불만 세부 사항 — 를 ChatGPT를 통해 처리하는 것은 해당 데이터를 미국에 위치한 OpenAI의 서버로 전송하는 것을 의미합니다. GDPR 제46조에 따라, 개인 데이터를 제3국으로 전송하려면 적절한 보호 장치가 필요합니다: 적정성 결정, 표준 계약 조항 또는 구속력 있는 기업 규칙 중 하나가 필요합니다.
OpenAI는 ChatGPT Enterprise 및 API 제공을 통해 기업 고객을 위한 표준 계약 조항을 발표했습니다. 그러나 많은 고객 지원 팀은 소비자 계정을 통해 표준 ChatGPT 인터페이스를 사용하고 있습니다 — 이 계정은 기업 계약의 GDPR 계약 보호를 포함하지 않습니다. 2024년 EU 감사에서 **ChatGPT 사용자 데이터의 63%**가 기업 사용자가 이용할 수 있는 데이터 보호 설정에 가입하지 않은 계정을 통해 수집된 것으로 나타났습니다.
이탈리아의 Garante 규제 조치는 집행 경로를 보여줍니다. 2024년 12월, Garante는 이탈리아 사용자의 개인 데이터를 불법적으로 처리한 이유로 OpenAI에 1500만 유로의 벌금을 부과했습니다 — 특히 적절한 법적 근거 없이 데이터를 처리하고 데이터 주체 권리 의무를 충족하지 않은 것에 대해 벌금이 부과되었습니다. 이 벌금은 2023년 이탈리아에서 ChatGPT에 대한 일시적인 금지 조치와 데이터 처리 관행에 대한 광범위한 협상이 있은 후에 부과되었습니다. 벌금이 부과될 당시 **이탈리아 기업의 63%**가 GDPR 준수 AI 사용 정책이 부족한 것으로 나타났습니다.
JIT 익명화 해결책
적시(JIT) 익명화는 개인 데이터가 처음부터 ChatGPT의 서버에 도달하지 않도록 하여 데이터 전송 갈등을 해결합니다. 익명화는 프롬프트 제출 순간에 발생합니다 — 사용자의 붙여넣기 이벤트와 OpenAI로의 네트워크 전송 사이에서 발생합니다.
Chrome 확장의 가로채기 아키텍처: 고객 지원 담당자가 "Maria Dupont, 주문 FR-2024-8847, 12 rue de la Paix, Paris로 배송됨"이 포함된 고객 불만을 ChatGPT 입력 필드에 붙여넣을 때, 확장은 붙여넣기 이벤트를 가로챕니다. 콘텐츠가 입력 필드에 나타나기 전에, 확장은 이름, 주문 번호 및 주소를 감지합니다. 담당자는 미리 보기를 확인합니다. 담당자는 진행을 클릭합니다. ChatGPT는 개인 데이터가 없는 익명화된 버전을 수신합니다 — 식별자를 대체하는 토큰이 포함된 완전한 불만 설명입니다.
ChatGPT는 익명화된 토큰을 사용하여 응답 초안을 생성합니다. 확장의 자동 복호화 기능은 실제 값을 AI의 응답에 다시 대체하므로, 담당자는 실제 고객 이름을 참조하는 응답을 확인할 수 있습니다 — 그러나 ChatGPT는 그 이름을 처리하지 않았습니다.
이 아키텍처 하에서는 GDPR 제46조 데이터 전송 문제가 발생하지 않습니다: ChatGPT의 서버로 전송된 데이터는 GDPR의 개인 데이터 정의를 충족하지 않는 익명화된 데이터입니다. 고객의 이름, 주소 및 식별 정보는 담당자의 로컬 브라우저 내에서 EU에 남아 있습니다. GDPR 준수는 계약적이기보다는 구조적입니다.
출처: