개인정보 보호위원회

EU, AI법에 대한 정치적 합의 통해 세부 사항 조율 단계에 돌입

▶ EU가 정부의 생체 인식 감시에서의 AI 사용과 ChatGPT와 같은 AI 시스템 규제 방법을 포함한 AI 사용에 관한 세계 최초의 포괄적인 규제법안인 AI법(AI Act)에 잠정 합의

  • 2021년 4월 EU 집행위원회(EC)가 제안한 AI법에 대해 12월 8일 EU 이사회와 유럽의회(EP)가 잠정적으로 합의함으로써 EU는 AI법 제정을 위해 세부 사항을 조율하는 단계에 돌입

- EU 이사회, EC, EP는 10월 24일 3자 협상(trilogue)을 통해 기반 모델을 포함하여 사회에 큰 영향을 미칠 수 있는 고위험 모델에 대해 더 엄격한 규칙을 적용하는 계층적 접근방식을 도입하기로 합의

- 11월 10일 고위험 모델을 포함한 기반 모델의 의무요건에 관한 합의 등을 다룬 3자 협상이 결렬되었으나, EU 이사회와 EP는 12월 6일부터 3일간 진행된 긴 회의 끝에 정치적 합의를 도출했으며, EC는 이러한 진전에 대한 환영의 입장을 표명

- 법안 발효 이후 2년 간의 유예기간을 거쳐 2026년*부터 법안이 시행될 것으로 예상

      * 예외 : 금지 조항(발효 6개월 후 시행), 범용 AI 관련 조항(발효 12개월 후 시행) 

  • AI법은 AI가 안전하고 윤리적이며 기본권을 존중하는 방식으로 개발 및 사용되도록 보장하는 프레임워크를 확립하며, AI의 위험성에 따라 계층화된 접근 방식을 사용

- (용납할 수 없는 위험) 인간의 행동을 조작하는 AI 시스템 또는 어플리케이션, 일부 생체 인식 시스템 등 인간의 기본권에 대한 명백한 위협으로 간주되는 AI 시스템의 사용을 금지

- (고위험) AI 기반 의료 시스템, 교육 및 직업훈련, 법 집행 시스템 등 고위험 AI 시스템은 위험 완화 시스템, 고품질 데이터 세트, 활동 기록, 상세한 문서화, 사용자 정보 명확화, 인적 감독, 높은 수준의 견고성, 정확성 및 사이버 보안 등 엄격한 요건을 준수

- (제한된 위험) 챗봇 등 AI 시스템을 사용 시 사용자는 자신이 기계와 상호 작용하고 있다는 사실을 인지할 수 있어야 하고, 딥페이크 등 AI 생성 콘텐츠에는 AI 생성에 대한 라벨을 부착해야 하며, 사용자는 생체 인식 분류 또는 감정 인식 시스템이 사용될 경우 해당 사실에 대해 고지 받아야 함

- (최소화된 위험) AI 기반 추천 시스템, 스팸 필터 등 최소 위험 시스템은 별도 의무 부과 면제

※ 챗-GPT 등 범용 AI(GPAI, General Purpose Artificial Intelligence)의 경우 고영향과 저영향 시스템으로 구분하고, 고영향 시스템에 모델 평가, EC에 사건 보고 등 추가 의무 부과

  • AI의 편향된 결정, 사람과 인프라에 유해한 사용 가능성, 데이터 프라이버시 권리 침해 등 잠재적 영향을 고려할 때, AI법은 개인정보 보호 측면에서도 중요

- 방대한 데이터 세트를 기반으로 하는 AI를 학습시키기 위한 목적으로 개인정보가 수집될 수 있으며, AI는 새로운 계산 기술을 통해 개인정보보호를 위한 사이버 보안 조치를 무력화시키거나, 생체 인식 정보를 포함한 개인 식별 정보를 수집하는 데 사용 가능

- AI 학습을 위한 불법적인 개인정보 수집·처리에 대해서는 관련 규제가 존재하나, 이외의 방식으로 이루어지는 AI에 의한 개인정보 침해에 대해서는 맞춤형·목적별 규제가 필요

[출처]

  • Euractiv, “EU’s AI Act negotiations hit the brakes over foundation models”, 2023.11.10.

  • EC, “Commission welcomes political agreement on Artificial Intelligence Act”, 2023.12.09.

  • JD Supra, “Understanding the EU AI Act: A Comprehensive Overview”, 2023.12.20.

※ 본 번역 요약본의 저작권은 개인정보보호위원회 및 한국인터넷진흥원에 있으며, 본 요약본을 활용하실 경우에는 출처를 반드시 밝혀주시기 바랍니다.