메인 콘텐츠로 건너뛰기
OpenAI

Updated: 2025년 12월 1일

OpenAI 데이터 처리 부록

PDF 다운로드(새 창에서 열기)

발효일: 2026년 1월 1일

(이전 데이터 처리 부록 보기)

본 OpenAI 데이터 처리 부록(“DPA”)은 OpenAI 서비스 계약(“계약”)에 추가되어 서비스 사용을 규율하며, 발효일 기준으로 상기 명시된 고객(“고객”)과 OpenAI OpCo, LLC가 그 자회사 및 적절한 경우 계열사를 대신하여 체결합니다. 단, 고객이 유럽경제지역 또는 스위스에 기반을 두고 있는 경우, OpenAI Ireland Ltd.가 그 자회사 및 적절한 경우 계열사를 대신하여 체결합니다(“OpenAI”). 대문자로 표기된 용어가 본 DPA에서 정의되지 않은 경우, 계약에 명시된 의미와 동일한 의미를 가집니다. 본 DPA에서 OpenAI와 고객을 각각 “당사자”로 지칭하며, 통칭하여 “당사자들”이라고 지칭합니다. 고객은 본 계약을 합법적으로 체결할 수 있으며, 법인을 대신하여 본 계약을 체결하는 경우, 해당 법인을 본 계약에 구속할 법적 책임이 있음을 진술합니다. “동의함”을 클릭하거나 거래 양식을 수락하거나 서비스를 사용함으로써, 고객은 본 계약에 동의하게 됩니다.

1. 세부사항.

  • 1.1 범위 및 역할. 계약에 따라 고객을 위한 서비스 제공의 일환으로 OpenAI는 고객을 대신하여 고객 데이터를 처리할 수 있습니다. OpenAI는 고객을 대신하여 데이터 처리자 역할을 하며, 본 DPA는 이러한 처리를 규율합니다.
  • 1.2 처리 세부사항. OpenAI는 계약 및 본 DPA에 따라 고객에게 서비스를 제공하기 위한 목적으로만 고객 데이터를 처리합니다. 고객 데이터의 특성, 기간, 유형 및 관련 데이터 주체의 카테고리에 대한 세부사항은 본 DPA의 별표 1(처리 세부사항)에 명시되어 있습니다. OpenAI와 고객은 서비스와 관련하여 데이터 보호법에 따른 각자의 의무를 준수할 것에 동의합니다.

2. OpenAI 의무.

  • 2.1 고객 지침. 당사자들은 본 DPA, 계약(주문 양식 포함), OpenAI의 서비스 내에 있는 구성 도구 및 기타 도구를 통해 제공된 모든 지침이 OpenAI의 고객 데이터 처리에 관한 고객의 문서화된 지침(“고객 지침”)으로 간주된다는 사실에 동의합니다. OpenAI는 고객의 지시에 따라서만 고객 데이터를 처리하며, OpenAI가 적용되는 관련 법률에 의해 요구되는 경우에는 예외로 합니다. 이 경우, 법적으로 금지되지 않는 한 OpenAI는 데이터를 처리하기 전에 고객에게 이 요구사항을 알릴 것입니다.
  • 2.2 고객 통지. OpenAI는 OpenAI의 견해에 따라 고객의 지시가 데이터 보호법을 위반한다고 판단될 경우, 고객에게 즉시 서면으로 통지합니다. OpenAI는 법적으로 허용되는 범위 내에서 법 집행 기관으로부터 고객 데이터 공개에 대한 법적 구속력이 있는 요청을 받을 경우 고객에게 이를 알릴 것입니다.
  • 2.3 기밀 유지. OpenAI는 고객 데이터를 처리하도록 OpenAI가 승인한 모든 사람이 기밀 유지에 동의했거나 적절한 법적 기밀 유지 의무를 준수하도록 합니다.
  • 2.4 데이터 주체 요청. OpenAI는 법적으로 허용되는 범위 내에서 고객 데이터와 관련하여 데이터 보호법에 따른 데이터 주체 권리 행사 요청(“데이터 주체 요청”)을 받는 경우 고객에게 이를 알릴 것입니다.  OpenAI는 고객의 사전 서면 인증 없이는 이러한 요청에 응답하지 않으며, 고객이 직접 응답할 수 있도록 데이터 주체 요청을 필요에 따라 리디렉션하는 것을 고객이 OpenAI에 허용합니다. 처리의 특성을 고려하여 OpenAI는 고객이 데이터 주체 요청에 응답할 수 있도록 가능한 한 적절한 기술적 및 조직적 조치를 구현하여 고객을 지원할 것입니다.
  • 2.5 보안. OpenAI는 계약에 명시된 대로 고객 데이터를 보호하기 위해 합리적이고 적절한 조직적 및 기술적 보안 조치를 구현하고 유지합니다.
  • 2.6 고객 지원. OpenAI는 처리의 특성과 OpenAI가 이용할 수 있는 정보를 고려하여 데이터 보호법에 따른 고객의 의무를 준수할 수 있도록 고객에게 합리적인 지원을 제공합니다. 여기에는 적절한 경우 OpenAI의 고객 데이터 처리와 관련된 데이터 보호 영향 평가의 준비, 필요한 경우 데이터 보호법에 따라 해당 처리에 대한 관할권을 가진 감독 기관과의 협의가 포함됩니다.
  • 2.7 개인 데이터 침해. OpenAI는 개인 데이터 침해를 인지한 후 지체 없이 고객에게 통지합니다. OpenAI는 고객이 그러한 개인 데이터 침해와 관련하여 데이터 보호법에 따른 의무를 준수할 수 있도록 합리적인 지원을 제공할 것입니다.
  • 2.8 규정 준수 평가. OpenAI는 고객의 합리적인 서면 요청에 따라 데이터 보호법이 요구하는 범위 내에서 (i) 1년에 한 번 이하로 OpenAI의 개인정보 보호 및 보안 정책과 본 DPA에 따른 OpenAI의 의무 준수를 입증하는 데 필요한 기타 정보를 고객에게 제공하며, (ii) 당사자 간에 적절한 기밀 유지 계약이 체결된 경우, 고객의 단독 비용으로 고객에 의해 또는 고객을 대신하여 수행되는 감사 또는 검사를 허용하고 이에 기여합니다.  이러한 감사 또는 검사는 다음과 같아야 합니다. (A) OpenAI의 비즈니스에 방해가 되는 사항을 최소화해서 수행되어야 하며, (B) OpenAI가 본 DPA에 부합하는 방식으로 고객 데이터를 처리하고 있는지 확인하는 데 필요하며, (C) 연 1회를 초과하지 않아야 합니다. 데이터 보호법이 허용하는 경우 OpenAI는 고객에게 본 DPA 준수와 관련된 OpenAI의 감사 보고서 요약을 대신 제공할 수 있습니다. 감사 또는 검사 결과를 비롯한 그러한 결과와 문서는 OpenAI의 기밀 정보로 간주됩니다.
  • 2.9 재처리자 참여. 고객은 OpenAI가 서비스와 관련하여 고객 데이터를 처리하기 위해 재처리자 목록에 명시된 재처리자를 참여시킬 수 있도록 일반적인 인증을 부여합니다. OpenAI는 블로그 게시물, 서비스 내 알림 또는 기타 합리적인 수단을 통해 또는 고객이 재처리자 목록 사이트에서 이메일 알림을 구독한 경우 이메일을 통해 재처리자 목록의 변경사항을 고객에게 통지합니다. 고객은 변경사항을 통지받은 후 30일 이내에 재처리자 목록에 명시된 지침에 따라 또는 privacy@openai.com으로 연락하여 이러한 추가 재처리자의 사용에 대해 이의를 제기할 수 있습니다. 이러한 경우 OpenAI는 고객의 우려를 해결하기 위해 고객과 협력하여 상업적으로 합리적인 대안이나 해결책을 제공합니다. OpenAI가 합리적으로 판단했을 때 대안이나 해결책 중 어느 것도 상업적으로 실현 가능하지 않거나 고객의 이의 제기 통지를 OpenAI가 수령한 후 30일 이내에 당사자들이 만족할 만큼 이의가 해결되지 않은 경우, 양 당사자는 새로운 재처리자를 사용하지 않고는 제공할 수 없는 서비스에 관한 계약 또는 주문 양식이나 사용을 해지할 수 있습니다. 이 경우, 고객은 해지일 이후의 기간이나 조건에 해당하는 선불 요금을 환불받게 됩니다.
  • 2.10 재처리자 의무. OpenAI는 본 DPA에 따라 OpenAI에 부과된 의무와 유사한 의무를 각 재처리자에게 부과하는 계약을 체결합니다. 계약에 명시된 책임 제한에 따라, OpenAI는 재처리자의 행위 및 부작위에 대해 OpenAI가 직접 그러한 행위 또는 부작위를 수행한 경우와 동일한 범위로 DPA에 따라 책임을 집니다.
  • 2.11 데이터 반환 또는 삭제. 계약이 만료되거나 해지된 후, OpenAI는 고객의 지시에 따라 고객 데이터를 반환하거나 삭제하며, 관련 법률에 따라 고객 데이터를 보유해야 하는 경우가 아니라면 기존 사본을 반환하거나 삭제합니다. 이 경우, OpenAI는 해당 법률에서 요구하는 범위를 제외하고 고객 데이터가 추가로 처리되지 않도록 격리하고 보호합니다.

3. 고객 의무.

  • 3.1 통지 및 인증. 고객은 데이터 보호법에 따라 필요한 범위 내에서 고객 데이터를 OpenAI에 제공하고, 본 계약 및 본 DPA와 관련하여 OpenAI가 고객 데이터를 처리하도록 인증하는 데 필요한 모든 통지를 제공했으며, 서비스 기간 내내 모든 필요한 권리, 동의 및 인증을 보유하고 유지할 것임을 진술, 보증 및 확약합니다.
  • 3.2 협력. 고객은 해당 데이터 보호법에 따라 OpenAI가 의무를 이행할 수 있도록 OpenAI에 합리적으로 협력해야 합니다.
  • 3.3 구성. 본 DPA의 2.5절에 명시된 OpenAI의 보안 의무를 침해하지 않는 범위 내에서, 고객은 서비스의 특정 구성 및 설계 결정에 대한 책임이 있으며, 이러한 구성 및 설계 결정(예: 보존 기간, 삭제 등)을 해당 데이터 보호법을 준수하는 방식으로 구현할 책임이 있음을 인정하고 이에 동의합니다.

4. 데이터 국제 이전.

  • 4.1 EEA 및 스위스 데이터. OpenAI가 본 DPA에 따라 처리하는 고객 데이터는 유럽경제지역 또는 스위스의 데이터 보호법의 범위에 포함될 수 있습니다(“EEA 및 스위스 데이터”). 본 DPA에 따라 적용되는 OpenAI 계약 당사자와 관계없이 고객은 OpenAI Ireland Limited가 본 DPA를 준수하여 EEA 및 스위스 데이터를 처리하도록 지시합니다. OpenAI Ireland Limited가 유럽경제지역(EEA) 또는 스위스 외부의 다른 OpenAI 계열사나 서드파티에게 서비스를 제공하기 위해 EEA 및 스위스 데이터를 이전하는 경우, 고객 데이터 보호를 위한 적절한 안전장치가 마련된 SCCs를 포함하는 계약에 따라, 또는 GDPR 제45조에 따른 유럽연합 집행위원회가 발표한 적절성 결정에 근거하여 이를 수행할 것입니다.
  • 4.2 영국 데이터. OpenAI가 본 DPA에 따라 처리하는 고객 데이터는 영국의 데이터 보호법(“영국 데이터”)의 범위에 포함될 수 있습니다. 본 DPA에 따라 적용되는 OpenAI 계약 당사자와 관계없이, 고객은 본 DPA 및 영국 부록에 의해 개정된 SCCs를 준수하여 OpenAI OpCo, LLC가 모든 영국 데이터를 처리하도록 지시합니다. 이는 별표 1에 설명된 대로 체결되고, 본 참조에 의해 본 DPA에 통합되며, 완료된 것으로 간주됩니다.

5. 추가 요구사항.

미국 개인정보 보호법이 적용되는 경우:

  • 5.1 OpenAI는 (a) 고객 데이터에 대한 대가로 고객에게 금전적 또는 기타 가치 있는 대가를 제공하지 않음에 동의합니다. 당사자들은 고객이 고객 데이터를 OpenAI에 “판매”(미국 개인정보 보호법에 정의된 용어)하지 않았음을 인정하고 동의합니다. (b) 개인 데이터를 '판매'(미국 개인정보 보호법에 정의된 용어)하거나 “공유”(CCPA에 정의된 용어)하지 않습니다. (c) 고객이 미국 개인정보 보호법에 따라 OpenAI가 서비스의 일부로서 비식별화된 형태로 고객 데이터를 처리할 수 있도록 허용하거나 지시하는 범위 내에서, OpenAI는 (i) 그러한 비식별화된 데이터가 특정 자연인 또는 가구에 대한 정보가 추론되거나 연결되지 않도록 합리적인 조치를 취해야 하며, (ii) 비식별화된 데이터를 해당 형태로 유지하고 사용하며, 미국 개인정보 보호법에 의해 허용되지 않는 한 재식별을 시도하지 않겠다는 공개적인 약속을 해야 하며, (iii) 비식별화된 데이터를 재처리자를 포함한 다른 당사자와 공유하기 전에, 해당 수신자에게 본 (c)(i)-(iii) 규정의 요구사항을 준수하도록 계약상 의무를 부과해야 합니다. (d) 고객 데이터가 CCPA의 적용을 받는 경우 (i) 본 계약에 명시된 비즈니스 목적을 위해 필요한 경우를 제외하고 고객 데이터를 보유, 사용, 공개 또는 처리하지 않으며, 본 DPA의 별표 1에 설명된 내용을 포함하되 이에 국한되지 않습니다. (ii) OpenAI와 고객 간의 직접적인 비즈니스 관계 외의 방식으로 고객 데이터를 보유, 사용, 공개 또는 처리하지 않습니다. (iii) OpenAI가 다른 서드파티로부터 또는 그들을 대신해서 받거나 OpenAI가 개인과의 상호작용에서 수집한 개인 데이터를 고객 데이터와 결합하지 않습니다. 단, 고객의 지시에 따라 또는 CCPA에 의해 허용되는 경우 고객 데이터를 결합할 수 있습니다. (iv) OpenAI가 CCPA에 따른 의무를 더 이상 이행할 수 없다고 판단한 경우 지체 없이 고객에게 통지합니다. (v) 고객이 OpenAI의 고객 데이터 처리가 CCPA의 요구사항과 일치하지 않는다고 합리적으로 믿고 이를 OpenAI에 타당하게 통지한 경우, 당사자들은 문제를 해결하기 위해 성실히 협력하며, 협력 후에도 문제가 해결되지 않는다고 고객이 합리적으로 판단하는 경우, 고객의 서면 지시에 따라 OpenAI는 영향을 받는 고객 데이터의 처리를 중단합니다.
  • 5.2 고객은 (a) OpenAI에 대한 고객 데이터 규정이 미국 개인정보 보호법에 따라 “판매”로 간주되거나 CCPA(또는 미국 개인정보 보호법에 따른 동등한 개념)에 따라 “공유”로 간주되도록 하는 어떠한 조치도 취하지 않으며, (ii) OpenAI가 CCPA에 따라 “서비스 제공자” 또는 미국 개인정보 보호법에 따라 “처리자”가 아닌 것으로 간주되게 하는 어떠한 조치도 취하지 않음에 동의합니다.

6. 정의.

고객 데이터”는 OpenAI가 고객을 대신하여 서비스를 제공하기 위해 처리하는 개인 데이터를 의미합니다.

데이터 컨트롤러”는 데이터 보호법에 따라 “컨트롤러”(또는 유사한 용어)라는 용어에 부여된 의미를 가집니다.

데이터 처리자”는 데이터 보호법에 따라 “처리자”(또는 유사한 용어)라는 용어에 부여된 의미를 가집니다.

데이터 보호법”은 OpenAI가 서비스와 관련하여 고객 데이터 처리에 적용되는 데이터 개인정보 보호 및 데이터 보호법을 의미합니다. 

데이터 주체”는 데이터 보호법에 따라 “데이터 주체”(또는 유사한 용어)라는 용어에 부여된 의미를 가집니다.

GDPR”는 2016년 4월 27일 유럽연합의회 및 의원회에서 제정한 규정 (EU) 2016/679를 의미합니다.

개인 데이터”는 데이터 보호법에 따라 “개인 데이터” 또는 “개인정보”(또는 유사한 용어)라는 용어에 부여된 의미를 갖습니다.

개인 데이터 침해”는 OpenAI, 그 재처리자 또는 OpenAI를 대신하여 활동하는 기타 서드파티에 의해 저장, 전송 또는 기타 방식으로 처리되는 고객 데이터의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 무단 접근으로 이어지는 보안 위반을 의미합니다.

처리”는 데이터 보호법에 따라 “처리”(또는 유사한 용어)라는 용어에 부여된 의미를 갖습니다.

SCCs”는 2021년 6월 4일 EU 위원회가 채택한 제3국으로의 개인 데이터 이전을 위한 표준 계약 조항을 의미하며, 이는 수시로 수정, 업데이트 또는 대체될 수 있습니다.

재처리자”는 OpenAI가 서비스와 관련하여 고객 데이터를 처리하기 위해 고용한 재처리자를 의미하며, 재처리자 목록에 나열되어 있습니다.

재처리자 목록”은 다음 주소에서 확인할 수 있는 목록입니다. https://platform.openai.com/subprocessors(새 창에서 열기).

영국 부록”은 2018년 데이터 보호법 119A(1)절에 따라 정보 위원회가 발표한 EU SCCs에 대한 영국 부록을 의미합니다.

미국 개인정보 보호법”은 캘리포니아 소비자 개인정보 보호법(“CCPA”)을 포함하여 미국 거주자에게 적용되는 데이터 보호법의 하위 집합을 의미합니다.

별표 1

처리 세부사항

1. 특성 및 목적:

계약에 따른 서비스의 이행입니다.

2. 기간:

서비스 기간과 이 기간이 종료된 후에 데이터 삭제를 비롯하여 당사자들이 각자의 의무를 이행하기 위해 필요한 시간입니다.

3. 고객 데이터의 카테고리:

고객은 서비스에 개인 데이터를 제출할 수 있으며, 그 카테고리는 전적으로 고객 재량에 따라 결정하고 통제하는 서비스 사용에 따라 달라집니다. 여기에는 이름, 연락처 정보, 인구통계 정보 또는 고객의 최종 사용자가 비정형 데이터로 제공한 기타 정보가 포함되지만 이에 국한되지는 않습니다.

4. 데이터 주체의 카테고리:

데이터 주체에는 고객의 직원, 고객, 공급업체 및 일반적으로 최종 사용자를 포함하되 이에 국한되지는 않습니다.

5. 민감한 데이터의 이전(해당되는 경우):

민감한 데이터를 전송하고(해당되는 경우) 데이터의 특성과 관련 위험을 충분히 고려하여 제한 또는 보호 조치를 적용합니다. 예를 들어 엄격한 목적 제한, 접근 제한(전문 교육을 받은 직원만 접근 가능 포함), 데이터 접근 기록 보관, 추가 전송 제한 또는 추가 보안 조치 등이 있습니다.

사용자가 예기치 않게 비정형 데이터에 민감한 데이터를 포함하지 않는 한, 민감한 데이터는 이전되지 않습니다.

6. 빈도:

전송 빈도(예: 데이터가 일회성으로 전송되는지 또는 지속적으로 전송되는지 여부).

고객의 서비스 사용에 따른 지속적 기준입니다.

7. 재처리자에게 이전:

DPA 제2.9조에 따라 재처리자는 서비스를 수행하는 데 필요한 경우 고객 데이터를 처리합니다. 서면으로 달리 합의하지 않는 한, 그러한 처리는 계약 기간 동안 이루어집니다.

8. 제4.2절에 따른 영국 데이터 이전을 위한 SCCs 정보:

  • 8.1 고객이 데이터 컨트롤러이고 OpenAI가 데이터 처리자로서 고객 데이터를 처리하는 경우, SCCs의 모듈 2(컨트롤러에서 처리자로)가 적용됩니다. 고객이 데이터 처리자이고 OpenAI가 재처리자로서 고객 데이터를 처리하는 경우, SCCs의 모듈 3(처리자에서 재처리자로서)이 적용됩니다.
  • 8.2 해당하는 경우, SCCs의 각 모듈에 다음 사항이 적용됩니다. (i) 7조항의 선택적 결합 조항은 적용되지 않습니다. (ii) 9조항에서는 옵션 2(일반 서면 인증)가 적용되며, 재처리자 변경에 대한 사전 통지의 최소 기간은 DPA의 2.9절에 명시된 대로 합니다. (iii) 11조항에서는 선택적 언어가 적용되지 않습니다. (iv) 13조항의 모든 대괄호는 삭제됩니다. (v) 17조항(옵션 1)에서 SCCs는 잉글랜드 및 웨일스 법률의 적용을 받습니다. (vi) 18(b)조항에서 분쟁은 잉글랜드 및 웨일스 법원에서 해결합니다. (vii) 본 별표 1에는 SCCs의 별첨 I 및 별첨 III에 요구되는 정보가 포함되어 있습니다. (viii) DPA의 2.5절(보안)에는 SCCs의 별첨 II에 요구되는 정보가 포함되어 있습니다. (ix) 관할 감독 기관은 정보위원회 사무소(“ICO”)입니다.
  • 8.3 데이터 수출자: 계약에 따른 고객, 데이터 수입자: OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, 데이터 보호 책임자: privacy@openai.com.

데이터 처리 동의 이행(새 창에서 열기)