How we’re responding to The New York Times’ data demands in order to protect user privacy
Quick Summary
OpenAI는 사용자 데이터의 무기한 보존 의무가 종료되어 표준 30일 삭제 정책으로 복귀했지만, 뉴욕타임스가 요구한 2025년 4월부터 9월까지의 제한된 과거 데이터는 법적 의무에 따라 별도로 보호하고 있다고 밝혔다.
🖼️ 인포그래픽
🖼️ 4컷 인포그래픽
💡 한 줄 요약
OpenAI는 사용자 데이터의 무기한 보존 의무가 종료되어 표준 30일 삭제 정책으로 복귀했지만, 뉴욕타임스가 요구한 2025년 4월부터 9월까지의 제한된 과거 데이터는 법적 의무에 따라 별도로 보호하고 있다고 밝혔다.
📌 핵심 요약
- OpenAI에 따르면 소비자용 ChatGPT와 API 콘텐츠를 앞으로 무기한 보존해야 했던 기존 법적 의무는 2025년 9월 26일 종료됐으며, 삭제된 대화·임시 채팅·API 데이터는 원칙적으로 30일 이내 삭제하는 표준 정책이 다시 적용된다.
- 다만 뉴욕타임스는 2025년 4월부터 9월까지 생성된 특정 사용자 데이터의 보존을 계속 요구하고 있어, OpenAI는 해당 과거 자료를 일반 시스템과 분리된 보안 환경에서 제한적으로 보관하고 있다.
- 보존 자료에는 엄격한 법적 보존 조치가 적용되며, 감사 대상인 소수의 OpenAI 법무·보안 인력만 접근할 수 있고 법적 의무 이외의 목적으로 사용할 수 없다.
- 현재 해당 자료가 뉴욕타임스나 법원 또는 다른 당사자에게 제공된 것은 아니며, OpenAI는 향후 접근 요구가 제기되더라도 사용자 개인정보 보호를 위해 대응하겠다는 입장이다.
- ChatGPT Enterprise·Edu와 제로 데이터 보존 API는 보존 요구의 영향을 받지 않으며, 이번 사안은 기업 데이터와 소비자 대화의 모델 학습 여부를 정하는 기존 정책도 변경하지 않는다.
🧩 주요 포인트
- OpenAI에 따르면 소비자용 ChatGPT와 API 콘텐츠를 앞으로 무기한 보존해야 했던 기존 법적 의무는 2025년 9월 26일 종료됐으며, 삭제된 대화·임시 채팅·API 데이터는 원칙적으로 30일 이내 삭제하는 표준 정책이 다시 적용된다.
- 다만 뉴욕타임스는 2025년 4월부터 9월까지 생성된 특정 사용자 데이터의 보존을 계속 요구하고 있어, OpenAI는 해당 과거 자료를 일반 시스템과 분리된 보안 환경에서 제한적으로 보관하고 있다.
- 보존 자료에는 엄격한 법적 보존 조치가 적용되며, 감사 대상인 소수의 OpenAI 법무·보안 인력만 접근할 수 있고 법적 의무 이외의 목적으로 사용할 수 없다.
- 현재 해당 자료가 뉴욕타임스나 법원 또는 다른 당사자에게 제공된 것은 아니며, OpenAI는 향후 접근 요구가 제기되더라도 사용자 개인정보 보호를 위해 대응하겠다는 입장이다.
- ChatGPT Enterprise·Edu와 제로 데이터 보존 API는 보존 요구의 영향을 받지 않으며, 이번 사안은 기업 데이터와 소비자 대화의 모델 학습 여부를 정하는 기존 정책도 변경하지 않는다.
🧠 상세 정리
1. 무기한 보존 의무 종료와 표준 정책 복귀
OpenAI는 수개월간의 소송 절차를 거친 뒤 소비자용 ChatGPT 및 API 콘텐츠를 무기한 보존하도록 한 기존 법적 명령의 적용을 더 이상 받지 않는다고 밝혔다. 본문에 따르면 그 의무는 2025년 9월 26일 종료됐으며, 이후 새롭게 발생하는 사용자 데이터에는 회사의 표준 보존 정책이 다시 적용된다. 이에 따라 사용자가 삭제한 ChatGPT 대화와 임시 채팅은 원칙적으로 OpenAI 시스템에서 30일 이내 자동 삭제되고, API 데이터도 같은 기간이 지나면 자동 삭제된다. 다만 법률이나 보안상의 사유로 별도 보존해야 하는 경우는 일반적인 30일 삭제 원칙의 예외로 남으며, 이번 소송과 관련된 일부 과거 자료도 그 예외에 포함된다.
2. 뉴욕타임스의 요구와 OpenAI의 반대 논리
뉴욕타임스와 다른 원고들은 OpenAI를 상대로 제기한 소송에서 소비자용 ChatGPT 및 API 고객 데이터를 앞으로 무기한 보존하도록 요구했다고 본문은 설명한다. OpenAI는 이 요구가 소송을 뒷받침할 자료가 있을 수 있다는 추측에 기초해 모든 사용자 콘텐츠를 광범위하게 남기려는 것으로, 소송 해결에 실질적으로 도움이 되지 않으면서 개인정보 침해 위험만 높인다고 주장한다. 또한 삭제된 정보까지 계속 보관하게 하는 방식은 사용자가 자신의 개인정보 처리 방식을 통제해야 한다는 오랜 개인정보 보호 원칙과 회사의 기존 약속에 충돌한다고 본다. OpenAI는 이러한 요구를 과도한 조치로 규정하고, 사용자 신뢰와 개인정보 보호를 우선하기 위해 법적 대응을 계속하겠다는 입장을 밝혔다.
3. 2025년 4월부터 9월까지의 제한된 과거 데이터
향후 새 사용자 데이터를 무기한 보존할 의무는 끝났지만, 뉴욕타임스는 2025년 4월부터 9월까지의 특정 사용자 데이터는 계속 보관해야 한다고 요구하고 있다. 이에 따라 OpenAI는 해당 기간에 해당하는 제한된 과거 자료를 안전하게 보존하되, 일반적인 제품 운영이나 다른 용도로 이용하지 못하도록 잠금 상태로 관리한다고 설명한다. 유럽경제지역, 스위스 또는 영국에서 발생한 대화는 더 이상 적용되는 보존 의무의 대상이 아니라고 본문은 명시한다. 보관 중인 과거 자료는 현재 뉴욕타임스나 법원 또는 다른 누구에게도 넘겨지지 않았으며, OpenAI는 이 제한적 보존이 곧바로 외부 제공을 뜻하는 것은 아니라고 강조한다.
4. 영향을 받는 사용자와 제외되는 고객
기존 보존 명령의 영향 범위에는 ChatGPT Free·Plus·Pro·Team 이용자와 제로 데이터 보존 계약 없이 OpenAI API를 사용하는 고객이 포함됐다고 본문은 설명한다. 이 범위에서는 평소라면 삭제 후 30일 안에 제거될 ChatGPT 대화와 API 콘텐츠까지 보존 요구의 대상이 될 수 있었다. 반면 ChatGPT Enterprise와 ChatGPT Edu 고객은 보존 대상에서 제외되며, 제로 데이터 보존 약정에 따라 해당 API 엔드포인트를 이용하는 기업 고객도 영향을 받지 않는다. 제로 데이터 보존 API는 입력 프롬프트와 반환된 답변을 기록하거나 애플리케이션 상태로 보관하지 않기 때문에, 애초에 저장되지 않은 데이터에는 보존 명령을 적용할 자료가 없다는 것이 OpenAI의 설명이다.
5. 법원 명령에 대한 이의 제기 과정
OpenAI는 소송 초기부터 원고가 요구한 모든 출력 데이터의 보존 범위가 지나치게 넓고 회사의 개인정보 보호 약속과 충돌한다고 주장했다. 회사는 무기한 사용자 데이터 보존이 업계의 일반적인 관행과 자체 정책을 위반한다는 점을 들어 치안판사에게 보존 명령을 재검토해 달라는 신청을 제출했다. 5월 27일 법원 출석 과정에서는 ChatGPT Enterprise가 보존 대상에서 제외된다는 점이 명확해졌으며, OpenAI는 별도로 지방법원 판사에게도 해당 명령에 대한 항소를 제기했다. 본문 첫부분의 최신 설명은 기존 의무가 2025년 9월 26일 끝났다고 밝히지만, 뒤의 질의응답에는 명령이 계속 적용되던 시기의 대응 과정과 당시 영향 범위도 함께 정리돼 있다.
6. 보존 데이터의 격리·접근·외부 제공 원칙
법적 보존 대상이 된 콘텐츠는 일반 시스템과 분리된 보안 시스템에 저장되며, 법적 의무를 이행하는 목적 이외에는 접근하거나 사용할 수 없도록 관리된다. 접근 권한은 감사가 이루어지는 소수의 OpenAI 법무 및 보안 담당자에게만 제한되고, 필요한 경우에도 엄격한 법적 절차 아래에서만 자료를 다룰 수 있다. 이러한 별도 보관은 뉴욕타임스나 다른 원고에게 자료가 자동으로 공유된다는 의미가 아니며, 법원에 곧바로 제출된다는 뜻도 아니다. OpenAI는 원고들이 향후 어떤 방식으로든 자료 접근을 요구할 경우 각 단계에서 사용자 개인정보를 보호하기 위해 다투겠다고 밝혔으며, 현재 보존 자료는 외부에 제공되지 않은 상태라고 설명한다.
7. 제품별 데이터 보존과 삭제 정책
ChatGPT Free·Plus·Pro에서는 사용자가 채팅이나 계정을 삭제하면 해당 대화가 계정에서 즉시 사라지고, 법률 또는 보안상의 보존 사유가 없다면 OpenAI 시스템에서도 30일 이내 영구 삭제될 예정이다. ChatGPT Team에서는 각 최종 사용자가 대화 보존 여부를 통제하며, 삭제되거나 저장되지 않은 대화는 법적 의무가 없는 한 30일 안에 제거된다. ChatGPT Enterprise와 Edu에서는 작업공간 관리자가 고객 콘텐츠의 보존 기간을 정하지만, 삭제된 대화는 마찬가지로 원칙적으로 30일 이내 시스템에서 제거된다. 일반 API의 입력과 출력은 고객이 사용하는 엔드포인트와 설정에 따라 애플리케이션 상태 보존 방식이 달라질 수 있으나 OpenAI 로그에서는 30일 후 삭제되며, 제로 데이터 보존 API의 입력과 출력은 처음부터 기록하거나 보관하지 않는다.
8. 학습 정책과 향후 투명성 약속
이번 보존 문제는 OpenAI의 모델 학습 정책을 변경하지 않는다고 본문은 명확히 밝힌다. 기업 고객의 데이터는 기본적으로 모델 학습에 사용되지 않으며, 법원의 보존 요구나 제한된 과거 데이터의 별도 보관도 이 원칙을 바꾸지 않는다. 소비자 이용자는 설정에서 자신의 대화가 ChatGPT 개선에 사용될지 직접 통제할 수 있고, 데이터 보존 조치가 이러한 선택권을 없애거나 수정하는 것은 아니다. OpenAI는 법적 요구를 따르기 위한 조치를 취하면서도 뉴욕타임스의 요구가 회사의 개인정보 보호 기준과 맞지 않는다고 주장하며, 명령이나 사용자 데이터에 미치는 영향이 달라질 경우 의미 있는 변경 사항을 계속 공개하겠다고 약속한다.
🧾 핵심 주장 / 시사점
- 이번 사안의 핵심은 데이터를 보관하는 행위와 외부에 제공하는 행위가 서로 다르다는 점으로, 제한된 과거 자료는 법적 보존 상태에 있지만 현재 뉴욕타임스나 법원에 전달되지는 않았다.
- 보존 의무의 실제 영향은 이용 상품과 계약 조건에 따라 달라지며, 일반 소비자 서비스와 표준 API는 영향을 받을 수 있었지만 Enterprise·Edu 및 제로 데이터 보존 API는 제외됐다.
- 법적 보존 조치는 데이터 삭제 정책이나 모델 학습 동의 정책을 자동으로 변경하지 않으며, OpenAI는 무기한 보존 요구가 개인정보 자기결정권과 기존 30일 삭제 원칙을 약화시킨다는 논리로 대응했다.
✅ 액션 아이템
- 무기한 보존 의무가 종료된 2025년 9월 26일 이후에는 소비자 ChatGPT/API 데이터에 대해 30일 삭제 원칙을 핵심 운영 기준으로 반영해 처리 방식을 정리한다.
- 뉴욕타임스가 요구한 2025년 4월~9월 특정 사용자 데이터는 일반 시스템과 분리된 보안 환경에 한해 보관하며, 해당 데이터 접근·유출 통제 원칙을 수립한다.
- 보존 자료는 법무·보안 감사 대상 인력만 접근하고 법적 의무 이외로 활용되지 않음을 전제로, 제3자 제공 금지 조건을 사실관계 안내문에 반영한다.
❓ 열린 질문
- 2025년 4월~9월 보존 대상이 포함하는 사용자 데이터의 범위는 어떤 식별 기준으로 확정되었는가?
- 분리 보관 체계와 30일 삭제 체계가 실무에서 실제로 물리·논리적으로 완전 분리되는지 어떤 로그/지표로 확인할 것인가?
- 향후 법원·당사자 접근 요청이 들어올 때 개인정보 보호를 유지하면서 OpenAI가 어떤 제한 조건을 적용해 대응해야 가능한가?