무슨 일이 있었나
미국 일반서비스청(GSA)는 2026년 6월 17일 연방 관보에 제안 규칙(문서 2026-12205)을 발행했으며, 계약 이행에 대규모 언어 모델이 사용될 때 연방 계약업체가 정부 데이터를 어떻게 처리해야 하는지를 규제하는 새로운 GSAR 계약 조항(552.239-7001)을 도입했습니다. 주요 규정: 이 조항은 LLM이 '정부 데이터'를 처리할 때 적용됨; 광범위한 정부 라이선스 부여를 금지함(이전 초안의 '모든 합법적 정부 목적'에서 계약의 특정 범위로 좁혀짐); US 법인 LLM 제공자에 대한 선호도 포함; 문서화 의무에서 영업 비밀 제외 조항 포함; 폐기 책임 한정; 해고 전 서면 통지 및 시정 기회 요구; 그리고 기존 계약업체 '배경 데이터'를 보호합니다. 공개 의견 수집이 진행 중입니다.
왜 중요한가
이는 연방 계약에서 LLM/AI 데이터 보안을 구체적으로 대상으로 하는 첫 번째 미국 정부 전체 조달 규칙입니다. 계약 계층에서 AI 데이터 보안을 운영화하며 — GSA 적용 대상 계약에서 LLM을 배포하는 모든 공급업체에 영향을 미칩니다. US 법인 제공자에 대한 선호도와 정부 라이선스 범위 제한은 AI 공급업체의 계약 조건 및 데이터 거버넌스 태세에 상당한 영향을 미칩니다. 이 규칙은 또한 다른 기관(DOD, DHS)이 따를 가능성이 있는 선례를 설정합니다.
필요한 조치
의견 제출 마감일 전에 공개 의견을 제출하세요. 계약 이행에서 LLM을 사용하는 연방 계약업체는: (1) 정부 데이터가 LLM 파이프라인으로 들어가는 위치를 파악하기 위해 데이터 흐름 감시를 수행하고; (2) 기존 AI 공급업체 계약의 라이선스 부여를 제안된 조항의 좁은 범위와 비교 검토하고; (3) LLM 제공자가 US 법인인지 확인하거나 정당성을 문서화하고; (4) 하위 계약의 데이터 처리 및 폐기 조항을 업데이트해야 합니다.