AI 문서 추출은
GDPR을 준수하나요? EU 기업을 위한 가이드

GDPR가 문서 처리에 요구하는 사항

일반 데이터 보호 규정(Regulation (EU) 2016/679)에는 "문서 추출"이라는 용어가 명시되어 있지 않습니다. 하지만 6개 조항이 개인 데이터가 포함된 송장, 급여 명세서 또는 계약서를 추출 도구로 처리하는 방법을 직접 규율합니다. 각 조항은 데이터 컨트롤러인 귀하와 도구 제공업체인 데이터 프로세서에게 특정 의무를 부과합니다.

제4조(2): 문서 업로드는 "처리"에 해당

규정은 처리를 광범위하게 정의합니다: "개인 데이터 또는 개인 데이터 집합에 대해 자동화 수단을 사용하든 사용하지 않든 수행되는 모든 작업 또는 일련의 작업(수집, 기록, 조직화, 구조화, 저장, 적응 또는 변경, 검색, 조회, 사용, 전송을 통한 공개, 배포 또는 기타 방식으로 제공, 정렬 또는 결합, 제한, 삭제 또는 파기 등)" (GDPR 제4조(2)). 추출 도구가 자연인의 이름, 주소, 은행 계좌 번호 또는 세금 ID가 포함된 송장을 한 번이라도 처리한다면, 이는 제4조(2)에 따른 개인 데이터 처리에 해당합니다. 급여 명세서(직원 이름 + 급여), 계약서(서명자 이름 + ID), 의료 기록에도 동일하게 적용됩니다. 이러한 정의의 광범위함은 의도적인 것으로, 업로드, 전송, 저장, 삭제 모두 처리 작업에 포함됩니다.

제5조(1)(b): 목적 제한 — 추출 전용, 학습 금지

제5조(1)(b)는 개인 데이터가 "명시되고, 명확하며, 정당한 목적을 위해 수집되어야 하며, 해당 목적과 양립할 수 없는 방식으로 추가 처리되어서는 안 된다"고 규정합니다. 문서 추출의 경우, 이 조항은 규정을 준수하는 도구와 그렇지 않은 도구를 구분합니다. 문서를 추출 도구에 업로드하는 목적은 문서에서 구조화된 데이터를 추출하는 것이며, 이 목적은 정당합니다. 그러나 제공업체가 업로드된 문서를 AI 모델 학습에 사용한다면, 이는 제5조(1)(b)에 따른 "추가 처리"에 해당합니다. 학습 목적 사용에 대해 명시적인 동의를 얻지 않은 경우, 이는 원래 목적과 양립할 수 없습니다. 문서를 일시적으로 처리(읽고, 데이터를 추출한 후 원본을 폐기)하는 도구는 자연스럽게 목적 제한을 충족합니다. 모델 개선을 위해 문서를 보관하는 도구는 제5조(1)(b) 위반 위험을 초래합니다.

제28조: 데이터 처리 계약이 필요합니다

제28조(3)항은 처리가 "컨트롤러에 대한 프로세서를 구속하는, 유럽연합 또는 회원국 법률에 따른 계약 또는 기타 법적 행위에 의해 규율되어야 한다"고 요구합니다. 이것이 바로 귀하의 데이터 처리 계약(DPA)입니다. 제28조(3)(a)~(h)항에 따라 DPA는 8가지 최소 조항을 명시해야 합니다: 프로세서는 문서화된 지시에 따라서만 행동해야 하며(a), 직원은 기밀 유지 의무를 부담해야 하며(b), 프로세서는 제32조의 보안 조치를 이행해야 하며(c), 하위 프로세서는 승인이 필요하며(d), 프로세서는 데이터 주체 권리 대응을 지원해야 하며(e), 프로세서는 보안 및 위반 의무 이행을 지원해야 하며(f), 프로세서는 계약 종료 시 데이터를 삭제 또는 반환해야 하며(g), 프로세서는 감사를 허용해야 합니다(h). 귀하의 추출 제공업체가 이 8가지 요소를 포함하는 DPA를 제공할 수 없다면, 그 자체만으로도 다른 제공업체를 선택해야 할 규정 준수 결함입니다.

제17조: 삭제권

제17조(1)항은 데이터 주체에게 해당 사유가 있는 경우 "부당한 지체 없이" 자신의 개인 데이터 삭제를 얻을 권리를 부여합니다. 여기에는 데이터가 "수집되거나 달리 처리된 목적과 관련하여 더 이상 필요하지 않은" 경우(제17조(1)(a)항)가 포함됩니다. 문서 추출의 경우 이는 다음을 의미합니다: 필요한 데이터를 추출한 후에는 원본 문서와 모든 사본을 정해진 일정에 따라 삭제해야 합니다. 제17조(3)(b)항은 법적 의무 준수를 위해 처리가 필요한 경우 예외를 제공합니다. 귀하의 관할권에서 세무 감사를 위해 송장 사본 보관을 요구하는 경우, 해당 보관은 허용되지만 법정 기간 동안만, 그리고 법이 요구하는 범위를 넘어 데이터가 추가 처리되지 않는 경우에만 가능합니다. 귀하의 추출 도구는 문서화된 삭제 정책을 제공해야 합니다. 모범 사례는 기본적으로 데이터를 보관하지 않는 것입니다(제로 리텐션): 문서를 일시적으로만 처리하고, 원본은 제공업체 인프라에서 며칠이 아닌 수 분에서 수 시간 내에 삭제하는 것입니다.

제32조: 처리의 안전성

제32조(1)은 "위험에 상응하는 수준의 안전성을 보장하기 위한 적절한 기술적·조직적 조치"를 요구합니다. 추출의 경우, 이러한 기본 조치에는 전송 중 암호화(TLS 1.2+), 저장 데이터 암호화, 접근 통제, 독립적으로 감사된 인증(SOC 2 Type II, ISO 27001)이 포함됩니다.

데이터 체류 및 국제 전송

추출 도구가 유럽 경제 지역 외부의 서버에서 문서를 처리하는 경우, 제V장(제44조~49조)이 적용됩니다. 제45조(1)에 따라, 유럽연합 집행위원회가 적정성 결정을 내린 제3국으로 데이터를 전송할 수 있습니다. 2023년 7월 10일 채택된 집행위원회 이행 결정 2023/1795에 따른 EU-미국 데이터 개인정보 보호 프레임워크(DPF)는 자체 인증하는 미국 기반 조직에 대한 현재의 적정성 결정입니다. 2025년 9월 3일, EU 일반 법원은 DPF에 대한 법적 도전을 기각하여 그 유효성을 확인했습니다. 제공업체가 미국에서 데이터를 처리하고 DPF 인증을 보유한 경우, 이는 제45조를 충족합니다.

적정성 결정이 없는 국가로의 전송의 경우, 제46조(2)(c)는 표준 계약 조항(SCC)을 제공합니다 — 집행위원회 이행 결정 2021/914(2021년 6월 4일)에 따라 사전 승인된 계약 조건입니다. 그러나 Schrems II 판결(CJEU, 사건 C-311/18, 2020년 7월 16일)은 SCC 서명만으로는 충분하지 않음을 분명히 했습니다. 또한 목적지 국가의 법적 체계가 SCC의 보호를 저해하는지 평가하는 전송 영향 평가(TIA)를 수행해야 하며, 저해하는 경우 추가 조치를 시행해야 합니다. 제공업체가 EEA 외부에서 데이터를 처리하는 경우 문의하세요: 서버는 어디에 있습니까? 어떤 전송 메커니즘에 의존합니까? TIA를 제공할 수 있습니까? 제공업체가 EU/EEA 기반 호스팅을 제공하는 경우 데이터 체류 문제는 해결됩니다 — 국제 전송 불필요, SCC 불필요, TIA 불필요합니다.

제5조(1)(e)는 보관 제한을 추가합니다: 개인 데이터는 "개인 데이터가 처리되는 목적에 필요한 기간 이상" 보관되어서는 안 됩니다. 추출이 완료되면, 보존은 법정 기간에 연결된 문서화된 일정을 따라야 하며, 제공업체 서버에 무기한 저장되어서는 안 됩니다.

이 글은 규정 자체를 다룹니다 — 각 조항이 귀하와 귀하의 제공업체에 요구하는 사항입니다. 이러한 요구 사항에 대한 내부 추출 워크플로우 감사에 대한 동반 가이드는 Batch I-2 GDPR 보안 감사 문서를 참조하십시오. 이 두 가지는 함께 작동합니다: 법적 의무를 이해하는 것이 이에 대한 준수 여부를 감사하기 전에 선행됩니다.

실용적 규정 준수 체크리스트: 추출 도구 검증을 위한 7단계

아래 각 단계는 특정 GDPR 조항과 연결되어 있어, 정확한 규제 참조와 함께 규정 준수를 문서화할 수 있습니다.

AI 문서 추출이 규정 준수 워크플로우에 적용되는 방식

AI 문서 추출은 본질적으로 규정을 준수하거나 위반하지 않습니다. 도구가 어떻게 설계되었고 제공자가 어떤 약속을 하는지에 따라 달라집니다.

설계에 의한 데이터 최소화

제5조(1)(c)는 데이터가 "적절하고, 관련성이 있으며, 필요한 것으로 제한"되어야 한다고 요구합니다. 추출할 특정 필드(송장 번호, 날짜, 총액, 공급업체명)를 직접 정의하고 AI가 해당 필드만 추출하는 사용자 정의 열 추출은 이 원칙에 자연스럽게 부합합니다. 요청하지 않은 필드는 처리되지 않으며, 따라서 저장되지도 않습니다. 이는 불필요한 데이터 노출을 초래하는 "모두 추출 후 필터링" 방식과 반대되는 접근법입니다.

일시적 처리

문서 업로드, AI 판독, 데이터 반환, 원본 수분 내 삭제 등 일시적 처리를 위해 설계된 도구는 제5조(1)(b)(목적 제한), 제5조(1)(e)(저장 제한), 제17조(삭제권)를 동시에 충족합니다. 도구를 평가할 때 제공자의 아키텍처는 단순한 기술적 결정이 아니라 규제적 영향을 수반하는 규정 준수 결정입니다.

규정 준수 결정으로서의 제공자 선택

추출 워크플로우와 관련된 두 가지 규정이 있습니다. 전자송장 의무화는 구조화된 XML 형식을 요구하며, 추출 도구는 이를 대체하는 것이 아니라 공존해야 합니다. 단계별 대비 계획은 전자송장 규정 준수 가이드를 참조하십시오. 법정 보존 기간은 추출된 데이터를 보관해야 하는 기간을 정의하며, 문서 보존 요구사항 가이드를 참조하십시오. 데이터 보호, 전자송장 의무화, 보존법이라는 세 가지 규정이 2026년 문서 처리를 위한 규정 준수 삼각형을 형성합니다.

자주 묻는 질문

직원 10명 미만의 소규모 사업체에도 GDPR이 적용되나요?

네. GDPR에는 소규모 사업체 면제 조항이 없습니다. 제3조(1)항은 규모와 관계없이 EU 내 설립과 관련된 모든 처리에 적용됩니다. 제30조(5)항은 직원 250명 미만 사업체의 완전한 처리 기록 유지 의무를 면제하지만, 제4조 정의, 제5조 원칙, 제28조 DPA 요구사항, 제17조 삭제권, 제32조 보안 등 모든 실질적 의무는 개인 데이터를 처리하는 모든 사업체에 적용됩니다.

제 송장에는 회사 데이터만 있고 개인 데이터는 없습니다. 그래도 GDPR이 적용되나요?

적용될 가능성이 높습니다. 개인사업자의 송장에는 개인의 이름과 주소가 포함되어 있어 제4조(1)항에 따른 개인 데이터에 해당합니다. 연락 담당자의 이름이나 직접 이메일이 기재된 GmbH의 송장도 개인 데이터를 포함합니다. 직원의 이름과 급여가 적힌 급여명세서는 정의상 개인 데이터입니다. 승인자의 서명이 언급된 구매 주문서도 마찬가지입니다. 실제로 개인 데이터가 전혀 없는 비즈니스 문서는 거의 없습니다. 판매자 연락처, 직원, 승인자, 서명자 등 어디든 사람이 등장한다면 GDPR이 적용됩니다.

추출 전에 문서를 익명화하면 GDPR을 피할 수 있나요?

전문 제26조는 진정한 익명 정보에는 데이터 보호 원칙이 적용되지 않는다고 명시합니다. 그러나 익명화 단계 자체(이름 삭제, 주소 마스킹)는 제4조(2)항에 따른 처리이며, GDPR은 그 단계에 적용됩니다. 익명화는 유효한 위험 감소 전략이지만, 이로 인해 발생하는 의무를 없애지는 않습니다. 대부분의 기업은 익명화 파이프라인을 구축하는 것보다 규정을 준수하는 제공업체를 이용하는 것이 더 실용적이라고 생각합니다.

제공업체를 변경하면 제 데이터는 어떻게 되나요?

제28조(3)(g)항에 따라 현재 제공업체는 계약 종료 시 모든 개인 데이터를 삭제하거나 반환해야 합니다. 문서화된 내보내기와 삭제 확인서를 요청하세요. 제17조(1)항은 전환 후에도 보유된 모든 데이터에 대한 삭제권을 지원합니다. 규정 준수 기록을 위해 확인서를 보관하세요.

공급자가 감사를 허용해야 하나요?

개인정보 보호법 제28조 제3항 제h호는 처리자가 "감사를 허용하고 이에 기여해야 한다"고 규정합니다. 실제로 대부분의 SaaS 공급자는 표준 요금제에 대해 현장 감사를 허용하지 않습니다. 대신 SOC 2 Type II 보고서나 ISO 27001 인증서를 제공합니다. 공급자의 감사 문서가 귀하의 특정 처리 시나리오를 다루는지 확인하세요. 이는 일반적으로 제28조 제3항 제h호의 의무를 충족합니다.