YONSEI-EU Jean Monnet Centre
EU와 ASIA를 연결하는 네트워크 허브
EU 동향
EU 관련 최신 현안 이슈 및 동향을 분석하고 시사점을 제시합니다.
새롭게 제정된 유럽연합의 AI법: AI법은 무엇이며, 문제점은 무엇인가?
유럽연합(EU) AI법이 지난 3월 13일에 최종적으로 본회의를 통과했다. 그리고 지난 27일, AI법을 설계한 가브리엘레 마찌니 MIT 박사는 AI법에 대해 현재보다 간단해야 하며 지속적인 프로세스로 제정되어야 하는 등 현 AI법의 문제점을 지적했다.[1]
[EU AI법]
EU AI법은 2024년 3월 13일 프랑스 스트라스부르에서 열린 본회의에서 가결된 법안으로, 이는 EU 전역에 적용되며, 발효 6개월 뒤부터인 9월부터 순차적으로 시행에 들어갔다.[2] 법안 발의부터 법안의 본회의 최종 통과까지 약 3년이 걸렸는데, 그 이유는 법안 발의 과정 중 새로운 AI의 발전에 발맞추어야 했기 때문이다.
[AI법의 주된 내용]
EU AI법의 핵심은 AI 활용 분야를 4단계의 위험 등급(수용 불가능한 위험, 고위험, 제한적 위험, 저위험)으로 나눠 차등 규제한다는 점이다. 또한, 챗GPT 등 범용 AI 모델의 제공자에 대해 투명성의 의무를 강조하고 있으며, 특히 저작권 보호를 위해 지켜야 할 4가지 의무를 규정하고 있다: (1) 훈련, 시험, 평가 기술문서 작성 및 업데이트, (2) AI 시스템 제공자에게 정보 및 문서제공, (3) EU 저작권법 준수정책 마련, (4) 학습 콘텐츠 상세요약서 공개제공[3]
[1단계: 수용 불가능한 위험]
수용 불가능한 위험에 해당하는 기술의 개발과 시장 출시는 원천적으로 금지된다. 8가지의 금지유형이 있다: 잠재의식 조작, 취약계층 의사결정 왜곡, 사회적 평가제도, 범죄예측 프로파일링, 인터넷•CCTV 스크래핑 안면인식, 직장•교육기관 감정추론, 개인성향 추론 생체인식 정보분류, 공공장소 실시간 원격 생체인식 식별시스템[4]
[2단계; 고위험]
고위험은 매우 높은 수준의 의무 요건을 준수하는 경우에만 시장 출시나 서비스 제공이 가능한 기술이다. 총 9가지가 규정되어 있다: 안전부품 및 제3자 적합성 평가, 금지되지 않은 생체인식 분류, 중요 인프라 관리•운영, 교육 및 직업훈련 학습평가, 고용 및 노동자 관리, 필수 민간서비스 및 공공서비스 접근, 법 집행, 이민•망명•국경통제 관리, 사법행정 및 민주적 절차(선거). 이들에 대한 요건은 7가지이다: 위험 관리 시스템, 데이터와 데이터 거버넌스, 기술문서, 기록보존, 투명성 및 활용자에 대한 정보 제공, 인간에 의한 감독, 정확성•견고성•보안[5]
[3단계: 제한적 위험]
제한적 위험은 범죄 인지•예방•수사를 위하여 활용하는 경우를 제외하면 투명성의 의무(고지 또는 공개의무)를 지켜야 하는 기술이다. 이 의무는 4가지 유형에 적용된다: (1) 사람과의 상호작용, (2) 감정인식, 생체정보 기반 범주화, (3) 딥페이크[6]
[4단계: 저위험]
저위험은 별도의 법적 규제 없이 개발 및 활용이 가능하지만, 투명성 등 자율적인 행동 강령을 수립하고 준수할 것을 권고 받는다. 따로 규정된 기술은 없다.[7]
[AI법과 GDPR(General Data Protection Regulation)의 차이점]
EU국가의 데이터 보호 및 개인정보 보호법인 GDPR과 AI법의 차이는 ‘생체인식정보의 정의와 규율 범위’이다.
1) 생체인식정보의 정의: AI법은 “자연인의 신원 확인을 목적으로 해당 개인의 생체 정보와 데이터베이스에 저장된 개인의 생체 정보를 비교하여 인간의 신체적, 생리적, 행동적 또는 심리적(psychological) 특징을 자동으로 식별하는 것을 의미하는 것”이라고 정의하고, GDPR에서는 ‘특정 기술 처리로 얻어진 자연인의 신체적, 생리적, 행태적 특성과 관련된 정보로서, 자연인을 고유하게 식별할 수 있도록 해주거나 확인해주는 것’이라고 정의한다. 즉, AI법에는 생체인식정보가 ‘심리적’ 특징을 식별하는 정보임을 추가했다.
2) 규율의 범위: GDPR은 생체인식정보에 대한 정의 규정 외에 생체인식정보의 활용과 보호를 위한 다른 특별법이나 법규정을 두고 있지 않은 반면, AI법에는 규율 범위가 활용, 보호도 포함되는 등 포괄적인 규제를 하고 있다.[9]
[현 AI법의 문제]
첫째, EU AI법의 현 분류 체계의 기준이 애매하다. 수용 불가능한 위험을 제외하면 향후 기술개발 동향이나 EU 내부시장 상황변화에 따라서 다른 규제가 적용될 소지가 있기 때문이다. 둘째, AI 시스템이 탑재된 제품에 대한 EU AI법 적용여부가 불명확하다. 즉, 조만간 기존 전자제품 또는 기타 제품에 탑재된 인공지능 기능을 어떻게 규제하는가에 대한 현실적인 문제에 봉착하게 될 수 있다. 셋째, 과잉규제로 인해 불필요한 비용이 발생하고, 궁극적으로 그 부담은 소비자가 져야 한다.
EU의 AI법은 선진적인 법이다. 하지만 현실에서 일어나는 AI 관련 문제를 얼만큼 해결할 수 있을지는 미지수이며, 시행도 전에 그 한계가 드러나고 있다. 따라서 부속서 발의 등 개선 방안을 마련해야 할 것이다. 더불어, AI 관련 유럽시장에 진출하려는 한국 혹은 타방 국가나 기업들은 EU AI법을 참고하여 현명한 전략을 짜야 할 것이다.
kimeunjeong387728@gmail.com
[1] 팽동현. (2024월 11월 27일). EU AI법 설계자 "EU AI법이 정답 아냐…지속적 보완 필요". 디지털타임스. https://www.dt.co.kr/contents.html?article_no=2024112702109931081007
[2] 박영흠 & 오세욱. (2024). EU AI법(AI act)의 주요 내용과 미디어 업계 영향, 시사점. Media 정책 리포트, 2호. p.1.
[3] Ibid., p.3, p.6.
[4] 안준성. (2024). EU 인종지능법(EU AI Act): 시사점과 한국기업의 대응전략. 동아시아재단 정책논쟁, 제215호. p.2
[5] Ibid.
[6] Ibid.
[7] Ibid.
[8] Ibid. p.3.
[9] 이권일. (2024. 04). 유럽 AI법에 따른 생체정보의 활용과 보호에 관한 고찰. 법률저널. https://www.knulaw.org/archive/view_article?pid=lj-85-0-57
[10] 팽동현. (2024월 11월 27일). EU AI법 설계자 "EU AI법이 정답 아냐…지속적 보완 필요". 디지털타임스. https://www.dt.co.kr/contents.html?article_no=2024112702109931081007
[11] REGULATION (EU) 2016/…OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC(General Data Protection Regulation).
[12] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS, 21.4.2021