SaaS 약관 데이터 학습 확인은 도입 전 필수 확인 항목이 되었다. 특히 생성형 AI 기능이 포함된 서비스에서는 입력한 데이터가 모델 학습에 사용되는지 여부가 운영 리스크에 직결된다. 벤더가 명시하지 않으면 데이터가 학습 대상이 될 수 있으므로 계약 전 상세히 문의해야 한다.
빠른 판단 포인트
- 약관에서 데이터 학습 정책이 명시되어 있지 않으면 벤더에 직접 문의 필수
- AI 기능 여부와 관계없이 모든 데이터 처리 방식을 확인해야 함
- 무료 요금제와 유료 요금제의 데이터 처리 정책이 다를 수 있음
- 약관 변경 시 기존 계약에 적용되는지 여부를 미리 확인해야 함
- 데이터 학습 거부 옵션이 있는지, 있다면 추가 비용이 필요한지 확인
체크리스트
- 현재 사용 중인 SaaS 약관에서 데이터 보유 기간과 사용 목적 확인
- 벤더가 제공하는 공개 정책 문서(개인정보 처리방침, 데이터 보안 정책)에서 AI 학습 언급 여부 확인
- 샌드박스 환경이나 테스트 모드에서 입력한 데이터의 학습 여부 확인
- 다중 테넌트 환경에서 다른 사용자 데이터와 함께 학습되는지 여부 확인
- 데이터 학습 거부 요청이 가능한지, 거부 시 서비스 제약이 있는지 확인
- 벤더 변경이나 계약 종료 시 학습된 데이터 삭제 절차 확인
- 국내 규제 동향(개인정보보호법, 정보통신망법 등)에 따른 벤더의 대응 계획 문의
핵심포인트
SaaS 약관에서 데이터 학습 정책을 명시하지 않는 경우가 많다. 이 경우 벤더의 공개 정책 문서나 일반적인 업계 관행으로 추측해야 하는데, 이는 운영 리스크로 남는다. 특히 고객 정보, 거래 내역, 기술 자료 등 민감한 데이터를 다루는 기업일수록 도입 전에 반드시 문의해야 한다.
자주 놓치는 포인트는 무료 요금제와 유료 요금제의 정책이 다르다는 점이다. 초기 테스트 단계에서는 무료 버전을 사용했다면, 본 도입 시 유료 버전의 정책을 다시 확인해야 한다. 또한 벤더가 약관을 변경했을 때 기존 고객에게 어떻게 적용되는지도 중요하다. 일부 벤더는 변경 사항이 새로운 계약에만 적용되도록 하지만, 즉시 모든 고객에게 적용하는 경우도 있다.
벤더 문의 전에 먼저 볼 승인 기준은 계약 담당 부서에서 마련한 데이터 보호 표준이다. 기업이 정한 보호 수준(예: 학습 금지, 익명화 필수 등)과 벤더 정책이 맞는지 확인한 후 문의하면 협상이 수월하다. 벤더의 답변도 문서화해서 계약서나 특약사항에 명시하는 것이 나중의 분쟁을 방지한다.
대응 절차
- 상황 확인: 현재 사용 또는 도입 예정인 SaaS의 약관과 공개 정책에서 데이터 학습 관련 항목 전체 수집
- 영향 범위 파악: 해당 SaaS에 입력될 데이터의 유형, 민감도, 규제 여부 정리 (예: 개인정보, 영업 비밀, 기술 자료)
- 우선 조치: 약관에 명시되지 않은 경우 벤더 지원팀 또는 영업 담당자에게 다음 항목 문의 (1) 입력 데이터의 학습 사용 여부, (2) 학습 거부 옵션 유무, (3) 다중 테넌트 환경에서의 데이터 격리 수준
- 내부 확인: 법무/컴플라이언스 부서와 함께 벤더 답변이 기업의 데이터 보호 정책과 규제 요구사항을 충족하는지 검토
- 후속 대응: 정책이 충분하다면 계약서에 데이터 처리 방식을 특약으로 추가하고, 부족하다면 벤더와 추가 협상(계약 조건 변경, 별도 부가 서비스 구매 등) 진행
공식 정보 확인 안내
각 SaaS 벤더의 개인정보 처리방침, 보안 정책, 데이터 처리 약관을 우선 확인한 후, 공개 정보에 없는 항목은 벤더 지원팀이나 보안 담당자에게 직접 문의해 서면 답변을 받으시기 바랍니다.
자주 묻는 질문 FAQ
Q1. 벤더가 데이터 학습을 거부한다면, 더 이상 협상할 수 없나?
벤더도 기업 고객의 데이터 보호 요구를 인정하는 추세다. 거부 대신 (1) 익명화 또는 마스킹 처리 후 학습, (2) 학습 목적을 제한 (예: 오류 개선만), (3) 학습 거부 옵션 추가 요금 제공 등 대안을 제시할 수 있다. 기업의 필요와 벤더의 기술 능력을 함께 고려해 협상 지점을 찾는 것이 실무다.
Q2. 약관에 데이터 학습이 명시되어 있지만, 우리 기업은 거부하고 싶다면?
벤더와 특약을 체결할 때 데이터 학습 거부 조건을 추가할 수 있다. 일반 약관보다 특약이 우선 적용되므로, 계약서에 명시된 경우 벤더는 그 조건을 따라야 한다. 이 경우 추가 비용이 발생할 수 있으므로 사전에 정확한 가격을 확인해야 한다.
Q3. 테스트 환경과 운영 환경의 데이터 학습 정책이 다를 수 있나?
가능하다. 일부 벤더는 테스트/샌드박스 환경에서는 데이터를 학습에 사용하지 않지만, 운영 환경에서는 사용할 수 있다고 명시한다. 도입 단계별로 환경이 변할 때마다 정책을 다시 확인해야 한다. 특히 무료 테스트에서 유료 요금제로 전환할 때 주의가 필요하다.
Q4. 벤더가 약관을 변경하면, 이전 계약에도 새로운 약관이 적용되나?
약관 변경 적용 시점은 벤더에 따라 다르다. 일부는 계약 갱신 시점에만 새로운 약관을 적용하고, 일부는 변경 공지 후 즉시 모든 고객에게 적용한다. 계약서에 약관 변경 조항을 명시할 때 기존 계약 고객의 보호 기간을 함께 기록해두는 것이 좋다. 벤더로부터 변경 예정 공지를 받으면 법무/컴플라이언스 부서와 함께 영향도를 검토해야 한다.
Q5. 여러 SaaS를 조합해서 사용할 때, 각각의 데이터 학습 정책을 어떻게 관리하나?
데이터 흐름을 먼저 매핑한다. A SaaS에 입력한 데이터가 B SaaS로 연계되는 경우, 양쪽 벤더의 정책을 모두 확인해야 한다. 각 SaaS의 데이터 학습 정책을 스프레드시트로 기록하고, 입력 데이터의 민감도 수준과 함께 관리하면 운영 중 정책 변경 시 빠르게 대응할 수 있다. 또한 계약 갱신 시점을 통일하거나 최소한 주요 정책 변경 주기를 추적해두는 것이 효율적이다.
이 글은 정보를 쉽게 확인할 수 있도록 참고용으로 작성되었습니다. 최신 기준과 정확한 내용은 반드시 공식 안내를 통해 확인하시기 바랍니다.