보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
[외부 법률 기고] EU AI 법률안 드디어 통과
2024.01.26
1,890
※ 본 기고는 당사와 법률자문·정보보호 서비스 상호협력 MOU를 체결한 법무법인(유) 화우에서 작성하였습니다.
※ 외부 필자의 기고 및 칼럼 등은 이글루코퍼레이션 콘텐츠의 편집방향과 일치하지 않을 수 있습니다.
EU 집행위원회(European Commission)가 2021. 4. 21. Artificial Intelligence 법률안(‘AI 법률안’)을 제안한 이후, 2022. 12. 6. EU 이사회(EU Council) 및 2023. 6. 14. EU 의회(European parliament)가 협상안을 확정하고, 드디어 2023. 12. 9. 집행위원회, 의회, 이사회 3자가 AI 법률안에 합의하여 AI 법률안에 대해 승인하는 절차를 거쳤다. 이에 실질적으로 AI 법률안의 세부 내용이 공고되는 절차만 남음 셈이다.
EU AI 법률안의 공식적인 최종안이 나오지는 않았지만, 21년 집행위원회 초기 안과 23년 6월 의회 개정안 모두 AI 시스템의 위험 수준에 따라 그 위험을 unacceptable, high, limited, low 리스크로 구분하고 리스크 수준에 비례하여 관리할 것을 규정하고 있다. 즉, EU AI 법률안은 AI 시스템의 위험을 의도된 사용목적, 사용 정도, 건강·안전·기본권에 미치는 영향, 피해의 강도 및 범위, 피해 복원 가능성 정도 등을 고려하여 그 수준을 평가한 후, 의무, 위반 시 제재를 차등해서 규정하고 있다.
세계 최초로 AI에 대해 체계적이면서 심도 있는 규율체계가 자리 잡게 되는 것인데, 이러한 EU AI 법률안은 유럽연합 외에 미국과 대한민국을 포함하여 전 세계적으로 상당한 영향력을 미칠 것이 자명하다. 따라서 AI 시스템을 개발하는 사업자라면 당연히 EU AI 법률안의 내용을 제대로 파악하는 것이 중요하며, AI 시스템을 개발하지 않더라도 AI 시스템을 사용하는 사업자 역시 그 사용이 개인적이면서 비상업적 사용이 아니라면 AI 시스템의 사용자로서 EU AI 법률안에 직∙간접의 영향을 받을 AI 규제가 적용될 것이므로 역시 EU AI 법률안의 내용을 파악하는 것이 필요하다. 이에 이하에서는 그와 같은 EU AI 법안의 주요 내용을 위험별로 정리한다.
1) 용인할 수 없는(unacceptable) 위험을 초래할 수 있는 AI 시스템은 EU에서 공급∙서비스∙사용이 금지된다. 용인할 수 없는 위험을 초래하는 AI 시스템은 (a) 의사결정 능력을 손상시키는 AI 시스템, (b) 연령, 장애로 인한 취약성을 악용하는 AI 시스템, (c) 사회적 평점 기록 AI 시스템, (d) 실시간 원격 생체 정보 기반 식별 AI 시스템이다. 이러한 금지된 인공지능에 대한 의무 위반 시 4000만 유로 또는 연간 총매출액의 7% 중 큰 금액(개정안 기준)의 제재를 받을 수 있다.
2) 높은(high) 위험의 AI 시스템은 EU AI 법률안이 요구하는 사항을 충족하는 것을 조건으로 공급∙서비스∙사용이 허용된다. 높은 위험의 AI 시스템은 (a) Annex II에 나열된 유럽연합 법률로 규율되는 제품 또는 그 안전요소로서, 제3자 적합성 평가를 받아야 하는 제품(기계, 자동차, 전파기기, 의료기기, 승강기, 폭발성 기체 장치 등) 또는 그 안전요소, (b) Annex III에 나열된 바와 같이, 생체 인식 및 분류, 교육, 고용, 법 집행 등 기본권에 영향을 미칠 수 있는 환경에서 활용되는 AI 시스템이며, 이러한 시스템의 제공자, 수입자, 배포자, 사용자는 EU AI 법률상 규정된 각 의무를 준수해야 한다. 고위험 인공지능에 관한 요건 중 제10조(데이터 거버넌스 수행) 및 제13조(이용자에게 투명성 및 정보 제공) 위반 시 2000만 유로 또는 연간 총매출액의 4% 중 큰 금액(개정안 기준)의 제재를, 그 외 고위험 인공지능에 관한 의무 위반 시 1000만 유로 또는 연간 총매출액의 2% 중 큰 금액(개정안 기준)의 제재를 받을 수 있다.
3) 제한된(limited) 위험의 AI 시스템은 EU AI 법률안 제52조가 규정하는 특별 유형 AI 시스템의 경우 고지 의무를 포함하는 투명성 요건을 충족해야 한다(이를 제한된 리스크의 AI로 분류할지, 특별한 유형의 AI로 분류할지에 대해서는 논란의 여지가 있으나 EU commission은 제한된 리스크로 분류하였다). 그러한 특별 유형 AI 시스템은 (a) 챗봇처럼 사람과 상호작용하는 AI 시스템, (b) 감정 인식 또는 생체정보 기반 범주화 AI 시스템, (c) 딥페이크처럼 진짜처럼 보이는 콘텐츠의 생성·조작을 위한 AI 시스템이다. 제한된 위험의 AI 시스템에 대한 의무를 위반할 경우 1000만 유로 또는 연간 총매출액의 2% 중 큰 금액(개정안 기준)의 제재를 받을 수 있다.
4) 낮은 위험의 AI 시스템에 대해서는 EU AI 법률안은 별도의 제한을 두지 않고 EU와 회원국이 행정 강령을 정해 권고할 수 있도록 규정하고 있는데 이것은 자발적 준수 사항이다.
5) 초기 안에는 없었으나, 생성형 AI의 등장으로 촉발된 이슈로 인해 의회 개정안에는 Foundation Model을 추가적으로 규율대상에 포함시켰다. 즉 AI를 위한 파운데이션 모델 제공자에게는 ① 투명성 의무(즉, AI 시스템에 노출되는 자연인에게 AI 시스템과 상호작용하고 있음을 고지할 의무 등) ② 법률 위반 콘텐츠 생성에 대한 적절한 보호 장치를 보장하고 기본권을 침해하지 않는 방식으로 모델을 훈련, 설계, 개발할 의무, ③ 저작권으로 보호되는 학습 데이터의 사용에 대한 상세한 요약 정보를 공개할 의무를 추가로 규정한 것이다. 파운데이션 모델에 관한 의무 위반 시 1000만 유로 또는 연간 총매출액의 2% 중 큰 금액(개정안 기준)의 제재를 받을 수 있다.
현재 EU를 제외한 다른 나라에서는 아직까지 AI 규제가 법제화되지 않고 있으나, EU 집행위원회가 21년 AI 법률안 초안을 제시한 이래 지속적으로 AI에 대한 규율체계를 마련하기 위해 노력하고 있고, 대한민국 역시 그러하다. EU AI 법률안이 향후 AI 규제의 글로벌 표준으로 자리 잡을 수 있는지 확신할 수는 없지만 최소한 막대한 영향을 줄 것은 명확하기에, AI 제공자나 사용자가 되는 사업자는 EU의 규제 방향 및 그 외 주요국의 규제 방향성을 확인하고, AI 규제에 대해 적절히 대응하는 것이 필요하고, 본고가 그에 대해 조금이나 도움이 되길 바란다.
법무법인(유) 화우 이근우 변호사 | 약력 - 서울대학교 법학과, 서울대학교 대학원 법학과 - University of Southern California Gould School of Law, 법학석사 (LL.M.) - Lee, Hong, Degerman, Kang & Waimey LA사무소 근무 - 2017년 10월 24일, 2022년 11월 21일 산업통상자원부 장관상 수상 소개 이근우 변호사는 AI, 자율주행, 드론, 5G, 3D 프린팅, IoT, 빅데이터, Cyber Security, GDPR, 블록체인 등 신기술 및 4차 산업혁명 기술 분야의 영업비밀침해 / 개인정보침해 등 관련 컴플라이언스 및 규제 법령 전문가로 통신비밀보안법 개정안 마련, SK 하이닉스와 도시바 및 샌디스크간의 영업비밀침해 사건, 금호석유화학의 상표권 분쟁, 리튬이온이차전지분리막에 관한 특허 분쟁, 쓰레기자동집하시설에 관한 특허 분쟁, 플라빅스 의약품 관련 특허무효소송, 고속버스의 자동예약 시스템 특허 분쟁 등 다수의 특허, 상표, 디자인, 영업비밀, 부정경쟁행위 사건과 정보통신망 및 개인정보보호 업무를 수행하였고, 기간통신사업자의 통신역무 관련 업무, IT 기업들에 대한 자문을 제공하였습니다. |