해외규제 리포트 - EU Artificial Intelligence Act의 주요 내용 및 시사점
EU Artificial Intelligence Act의 주요 내용 및 시사점
1. 주요 내용
인공지능 시스템의 범위 및 분류
광범위한 적용
EU Artificial Intelligence Act (“AI법”)은 인공지능 시스템을 “다양한 수준의 자율성을 가지고 작동하도록 설계된 기계 기반 시스템으로, 배포 후 적응력을 보일 수 있으며, 명시적 또는 암묵적 목적을 위해 수신한 입력으로부터 물리적 또는 가상 환경에 영향을 미칠 수 있는 예측, 콘텐츠, 추천 또는 결정과 같은 출력값을 생성하는 방법을 추론하는 시스템”으로 광범위하게 정의하고 있습니다.
AI 시스템의 제공자, 배포자, 수입업자 및 유통업자에게 적용되며, 이들이 EU 내에서 AI 시스템을 시장에 내놓는 경우, AI 시스템 사용자에게 서비스를 제공하는 경우, 그리고 AI 시스템의 “출력”을 이용하는 경우 위치에 상관없이 적용됩니다.
다만, 과학 연구 및 개발, 또는 개인적이고 비전문적인 활동에 사용되는 AI 시스템과 같은 몇 가지 대상에 있어서는 적용에 대한 예외가 존재합니다. 특히 보건 의료, 제약 및 생명 과학 분야에서 과학 연구에 대한 예외가 어떻게 해석될지 주목됩니다.
또한, 무료 및 오픈 소스 라이선스로 제공되는 AI 시스템은 AI 법의 적용을 받지 않지만, 의료 기기 또는 법 집행에 사용되는 AI 시스템과 같이 (아래에서 살필) 고위험 또는 허용 불가 위험의 AI 시스템으로 시장에 출시되거나 의료기기 또는 법집행 분야와 같이 투명성 의무가 적용되는 특정 AI 시스템으로 출시되는 경우는 AI법의 적용을 받습니다.
위험에 기초한 분류
AI법은 위험에 기반한 접근 방식을 채택하여 AI 시스템을 네 가지 범주로 분류합니다:
허용 불가 위험(Unacceptable-risk): 개인에게 위협이 되며 EU의 기본 권리와 가치를 침해하는 것을 허용 불가 위험으로 간주합니다(예: 차별 금지, 데이터 보호 및 프라이버시 권리 보호). AI법은 허용 불가 위험 AI 시스템에 대한 추가 정의를 제공하지는 않지만, 사회적 행동에 대한 데이터를 기반으로 개인을 분류하는 사회 점수 시스템, 실시간 생체 인식, 행동을 조작하는 시스템 등을 예로 들 수 있을 것입니다. 이러한 시스템은 AI법상 허용되지 않습니다.
고위험(High-risk): 개인 또는 사회의 안전, 기본 권리 및 자유에 대하여 높은 위험을 초래할 수 있는 것을 의미합니다. 예를 들어, 제품의 안전 구성 요소이거나 법 집행, 이민, 교육과 같은 특정 분야에서 사용되는 시스템일 경우가 해당될 것입니다. 또한 이 범주에는 채용을 위한 고용 도구, 신용 평가를 결정하는 시스템 및 의료 기기가 포함됩니다. 이러한 시스템은 완전하고 포괄적인 요건을 갖추어야 할 대상이 됩니다.
제한적 위험(Limited-risk): 사용자에게 혼란이나 기만을 초래할 수 있는 것들을 의미합니다. 예로는 챗봇과 딥페이크가 있습니다. 이러한 시스템은 투명성 의무의 대상이 됩니다.
저위험(Low-risk): 최소한의 위험만을 초래하거나 위험이 없는 시스템으로 AI법의 적용을 받지 않습니다. 텍스트 생성기를 예로 들 수 있습니다.
고위험 AI 시스템에 대한 의무
AI법은 고위험 인공지능 시스템에 대한 행위자의 역할에 따라 책임을 다르게 규정하고 있습니다.
고위험 AI 시스템 제공자(유상 또는 무상으로 자신의 이름이나 상표를 사용하여 시장에 출시하거나 서비스할 계획으로 AI 시스템을 개발했거나 개발 중인 자로 정의)는 다음과 같이 가장 많은 책임을 집니다:
고위험 AI 시스템의 배포자(개인적 비전문 활동 과정에서 시스템을 사용하는 경우를 제외하고 자신의 권한 하에 AI 시스템을 사용하는 사람으로 정의)는 주로 적절한 사용 및 감독에 관한 의무만이 규정되어 있어, 부담하는 의무가 크지는 않습니다.
수입업체와 유통업체에도 고유한 의무가 있습니다. 예를 들어, 제품 또는 소프트웨어에 AI 시스템이 AI법 및 기타 해당 EU 법률을 준수함을 나타내는 필수 CE 마크가 부착되어 있는지 확인해야 합니다.
수입업자, 배포업자 또는 유통업자가 AI 시스템에 자신의 상표를 부착하거나, 이를 실질적으로 수정하거나, 제공자가 예상하지 못한 고위험 용도로 사용하는 경우, 이들은 제공자로 분류되어 법에 따라 고위험 시스템 제공자에게 적용되는 모든 의무를 부담하게 됩니다.
도입 시점
AI법은 2024. 6.에 예상되는 EU 공식 저널에 게재된 후 20일 후에 발효됩니다. 특정 조항들은 향후 3년에 걸쳐 시행될 예정입니다.
발효 후 주요 단계 및 가능한 관련 날짜는 다음과 같습니다:
감독 체계
AI법은 유럽연합(예: 유럽 인공지능 사무국)과 개별 국가 수준(특히 시장 감시 당국)의 당국이 모두 관여하는 복잡한 감독 및 집행 체계를 수립하고 있습니다. 따라서 한 기업이 여러 EU 관할권에서 동시에 조사 또는 집행 조치를 받을 수 있습니다. 이는 주된 단일 감독 기관이 독점적으로 조사∙감독을 이끄는 GDPR과는 대조적입니다.
규정 미준수에 대한 엄격한 벌금
AI법을 위반 할 경우 위반의 성격과 기업의 규모에 따라 상당한 벌금이 부과될 수 있습니다. 금지된 AI 시스템과 관련된 위반은 최대 3천5백만 유로(3천8백1십만 달러) 또는 전 세계 매출의 7%에 해당하는 벌금을 부과 받을 수 있습니다. AI법의 의무를 위반한 다른 경우에는 최대 1천5백만 유로 또는 전 세계 매출의 3%에 해당하는 벌금을 부과 받을 수 있습니다.
또한, 허위 정보를 제공할 경우 최대 7백5십만 유로 또는 전 세계 매출의 1.5%에 해당하는 벌금이 부과될 수 있습니다.
기업들의 대응
AI법에 따른 광범위한 요건을 고려할 때, 기업들은 법 시행이 임박하지 않더라도 법이 시행에 미리 대비를 시작해야 합니다. 기업들은 이러한 변화에 능숙하게 대처하기 위해 몇 가지 중요한 단계를 수행해야 할 수 있습니다.