생성형 AI 시대, 당신의 비밀정보 보호조항은 안전하십니까

요즘 제약·바이오 업계에서도 생성형 인공지능(Generative AI)을 업무에 활용하는 사례가 늘고 있습니다. 저는 최근 검토한 CDA(Confidential Disclosure Agreement)들에서 아래와 같은 문구가 반복적으로 등장하기 시작한 것을 확인했습니다.

“Recipient will not input Confidential Information… into or used as prompts for any third-party generative artificial intelligence technology…”

이는 비밀정보 보호를 위한 새로운 법적 장치로 활용되고 있는 조항으로, 주로 비밀정보와 관련된 비밀유지의무가 토픽이었던 CDA에만 해당하는 변화는 아닙니다.

1. CDA 조항 해석 및 법적 의미

해당 조항은 다음과 같은 원칙을 담고 있습니다.

• 제3자 생성형 AI 도구(ex. ChatGPT, Copilot 등)에 비밀정보 입력 금지
• 내부 개발 AI 도구도 관계 목적 외 사용 금지
• AI 학습(train), 알고리즘 개선 목적 사용 엄격 금지

결국, 정보보호의 새로운 패러다임에 대응하는 조항입니다.

2: 생성형 AI 관련 조항, 다른 계약서에도 적용될 수 있을까?

실제로는 제가 생각해볼 수 있는 대부분의 형태의 계약서에서 이 조항은 응용될 수 있습니다.
실무에서는 아래와 같은 구조로 삽입됩니다. 특히 제약·바이오 기업은 IP, 임상정보, 기술자료가 핵심 자산인 만큼, 다음과 같은 계약에서도 AI 관련 조항을 명시하는 것이 실무적으로 권장됩니다.

🔹 용역계약 (Service Agreement)

The Service Provider shall not input or incorporate any Confidential Information or Client Data into any generative AI tools, whether third-party or proprietary, except where such tools (i) do not utilize input data for training purposes, and (ii) have been expressly approved in writing by the Client.

🔹 위탁연구계약 (CRO Agreement)

The CRO shall not use any Research Data, Project Results, or Confidential Information as input for any generative AI or machine learning models, nor permit such data to be utilized in any algorithmic training activities, unless explicitly permitted in writing by the Sponsor.

🔹 라이선스 계약 (License Agreement)

Licensee shall not use the Licensed Technology or any associated Confidential Information as prompts, training data, or reference materials for any generative AI tool, algorithmic model, or similar system, whether developed internally or obtained from third parties, unless otherwise agreed in writing by Licensor.

🔹 투자계약 또는 M&A 계약 (Investment or SPA)

The Company represents that it has not, and covenants that it will not, incorporate any proprietary data, trade secrets, or confidential technical information into any third-party generative AI tools or allow such tools to access such information in a manner that may compromise confidentiality or intellectual property rights.

🔹 임직원 내부 정책 (Internal IP/Compliance Policy)

Employees shall not input, upload, or otherwise expose any company-confidential information, including but not limited to project data, code, or internal communications, into any generative AI tools (e.g., ChatGPT, GitHub Copilot) without prior written authorization from the Legal or IT Compliance Team.

 

3. 앞으로, 이러한 조항들은 어떻게 진화하게 될까?

생성형 AI 도구는 빠르게 고도화되고 있으며, 점차 기업 내부 시스템, 클라우드 기반 협업툴, SaaS 솔루션 등 다양한 경로를 통해 업무 프로세스에 깊이 통합되고 있습니다. 이에 따라, 비밀정보 보호를 위한 계약 조항도 다음과 같은 방향으로 진화할 가능성이 높습니다.

🔸 AI 사용 자체의 허용 여부 → ‘어떻게 사용했는가’로 초점 이동

지금까지는 “입력 금지”에 초점이 맞춰졌다면, 앞으로는 다음과 같은 세부 통제가 강화될 수 있습니다.

• AI 사용 시 “로컬 환경에서만 사용”,
• “정보가 모델 학습에 반영되지 않는 구조”를 증빙하거나,
• 사용 로그 보관, 사용 목적 사전 고지 등 행위 기반 통제로 나아갈 가능성

🔸 AI 위험 분담 및 위반 발생 시 구체적 책임 조항 명시

• 생성형 AI를 통해 발생한 비밀정보 누설, IP 침해 등에 대한 배상책임을 명시하고,
• 보험 요구, 위반 시 계약해지 및 손해배상 조항 강화 등 구체적 리스크 관리 요소가 더해질 수 있습니다.

🔸 AI 기술 변화에 유연하게 대응할 수 있는 “AI 사용 가이드라인 연동형 조항”

• 특정 도구 이름이나 기술 요건을 조항에 명시하는 대신,
  기업의 AI 사용지침(AI Use Policy) 또는 데이터보호 가이드라인과 연동하여
  계약 유효기간 동안 실시간으로 기준이 적용될 수 있는 구조로 설계될 수 있습니다.

 

지금까지 우리는 CDA를 중심으로 비밀정보를 다뤄왔지만, 이제는 “AI로 인한 간접 노출”까지도 법률적으로 관리하는 시대가 되었습니다.  또한, 생성형 AI는 더 이상 R&D나 IT 부서만의 이슈가 아닙니다. 모든 산업, 모든 부서, 그리고 모든 계약서가 이 기술과 접점을 맺고 있습니다.

우리는 이 변화에 대응하는 것을 넘어, 예방적·설계적 관점에서 계약을 제안하는 역할을 해야 할 때입니다.즉, 계약서를 검토하거나 작성할 때, 계약서 유형별로 생성형 AI에 관한 조항은 정보의 성격과 사용 목적에 따라 구체적으로 조정할 수 있어야하며, 이제는 검토시 ‘이 정보가 AI에 입력될 가능성은 없는가?’, '어떠한 결과를 초래할 수 있는가?'라는 질문을 필수적으로 던져야 합니다.