유럽의회가 2024년 3월 13일 인공지능에 관한 세계 최초의 포괄적인 법안인 “인공지능법(the Artificial Intelligence Act)”(이하 “EU 인공지능법”)을 통과시켰습니다. EU 인공지능법은 2024년 4~5월 중에 발효될 것으로 예상되며, 이후 단계적으로 시행될 예정입니다. 금지되는 인공지능 시스템에 관한 조항 등 일부 조항은 발효일로부터 6개월 후에 시행되며, 실천 강령(codes of practice)은 9개월 후에, 거버넌스를 포함한 범용 AI 규칙은 12개월 후에 각 시행됩니다. 고위험 인공지능 시스템에 관한 의무 조항은 발효일로부터 36개월 후에 시행될 예정입니다.
I. EU 인공지능법의 규제 범위
EU 인공지능법은 주로 인공지능 시스템을 개발하는 공급자 및 인공지능 시스템 배포자(사용자)를 규제합니다. 구체적으로, (i) 인공지능 시스템을 사용하는 EU 내 기관, (ii) EU 내 인공지능 시스템 수입업체, 유통업체 또는 제조업체, (iii) 인공지능 시스템을 EU 시장에 출시하는 EU 내·외 공급자, (iv) 해당 결과물이 EU 내에서 사용되는 인공지능 시스템의 EU 내·외 공급자 및 사용자 등이 규제 대상입니다. 여기에서 ‘사용자’란, 인공지능 시스템으로부터 영향을 받는 최종 사용자가 아닌 인공지능 시스템을 전문적으로 배포하는 자연인 또는 법인을 의미합니다.
II. 위험 수준에 따른 인공지능 분류
EU 인공지능법은 잠재적인 위험 및 영향 수준에 따라 인공지능 시스템을 분류하며, 각 위험군에 대하여 서로 다른 규칙과 의무가 적용됩니다. 해당 규정을 준수하지 않을 경우, 위반 규정, 위반 정도 및 회사 규모에 따라 최대 750만 유로 또는 전 세계 연간 총매출액의 1.5%부터 최대 3,500만 유로 또는 전 세계 연간 총매출액의 7%에 달하는 벌금이 부과될 수 있습니다.
1. 금지된 인공지능 시스템 (Prohibited AI Systems)
EU 인공지능법이 금지하는 인공지능 시스템은 다음과 같습니다.
1) 잠재의식적, 조작적 또는 기만적 기술을 이용하여 행동을 왜곡하고 정보에 입각한 의사 결정을 저해함으로써 심각한 피해를 입히는 인공지능 시스템
2) 연령, 장애 또는 사회경제적 상황과 관련된 취약성을 악용하여 행동을 왜곡함으로써 심각한 피해를 입히는 인공지능 시스템
3) 개인의 민감한 특성(예: 인종, 정치적 견해, 노동 조합 가입 여부, 종교적 또는 철학적 신념, 성생활 또는 성적 취향)을 추론하는 생체 인식 분류 인공지능 시스템 (단, 합법적으로 취득한 생체 정보에 대한 라벨링 또는 필터링 및 법 집행으로서 생체 정보를 분류하는 경우는 제외)
4) 소셜 스코어링(social scoring), 즉 사회적 행동이나 개인적 특성을 기반으로 개인이나 그룹을 평가 또는 분류하여 해롭거나 불리한 대우를 초래하는 인공지능 시스템
5) 오로지 프로파일링이나 성격 특성만을 토대로 개인이 범죄를 저지를 위험을 예측하는 인공지능 시스템(단, 범죄 행위에 직접적으로 연결된 객관적이고 입증 가능한 사실을 기반으로 사람에 대한 평가를 향상시키는 데 사용되는 경우는 제외)
6) 인터넷이나 CCTV 영상에서 안면 이미지를 무차별적으로 수집하여 안면 인식 데이터베이스를 구축하는 인공지능 시스템
7) 의료 또는 안전상의 이유를 제외하고, 직장이나 교육 기관에서 감정을 추론하는 인공지능 시스템
8) 법적으로 허용되는 경우를 제외하고, 법 집행 목적의 공개적으로 접근 가능한 공간에서의 실시간 원격 생체 인식(real-time remote biometric identification, RBI) 인공지능 시스템
2. 고위험 인공지능 시스템 (High-risk AI Systems)
EU 인공지능법은 고위험 인공지능 시스템에 대해 엄격하게 규제하며, 규정 준수를 보장하기 위한 광범위한 거버넌스 활동을 의무화합니다. 고위험 인공지능 시스템이란, (i) EU 법률의 적용을 받는 안전 부품/제품으로 사용되며 제3자 적합성 평가를 받아야 하는 인공지능 시스템 또는 (ii) 금지되지 않는 생체 인식, 중요 인프라, 교육 및 직업 훈련, 고용, 근로자 관리 및 자영업 접근, 필수 공공/민간 서비스에 대한 접근 및 향유, 법 집행, 이주, 망명 및 국경 통제 관리, 사법 행정 및 민주적 절차에 이용되는 인공지능 시스템을 말합니다.
이러한 고위험 인공지능 시스템의 공급자는 (a) 인공지능 시스템 수명주기 전반에 걸친 위험 관리 시스템 구축, (b) 데이터 거버넌스 수행, (c) 기술 문서 작성 및 (d) 자동 기록 보관, 정확성, 견고성 및 사이버 보안을 보장하는 고위험 인공지능 시스템 설계 등의 추가 의무 사항을 준수해야 합니다.
3. 범용 AI (General purpose AI, GPAI) 모델
범용 AI 모델(이하 “GPAI”)이란, 최적화된 자체 감독을 이용하여 대량의 데이터로 훈련한 경우를 포함하여, 상당한 일반성을 나타내고 모델이 시장에 출시된 방식에 관계없이 광범위한 고유 작업을 능숙하게 수행할 수 있으며, 다양한 하위 시스템이나 응용 프로그램에 통합될 수 있는 인공지능 모델을 의미합니다.
모든 GPAI 모델 공급자는 기술 문서와 사용설명서를 제공하고, 저작권 지침을 준수하며, 훈련에 사용된 콘텐츠의 요약본을 공개해야 합니다. 무료 및 오픈 라이선스 GPAI 모델 공급자는 시스템 리스크를 초래하는 GPAI 모델로 분류되지 않는 한, 저작권 지침을 준수하고 충분히 상세한 훈련 데이터 요약본을 공개하기만 하면 됩니다. 오픈 라이선스 모델인지 여부를 불문하고 시스템 리스크를 초래하는 것으로 간주되는 GPAI 모델의 공급자는, 이에 더해 모델 평가 및 적대적 테스트를 수행하고, 심각한 사고를 추적, 문서화 및 보고하며 적절한 사이버 보안 수준을 보장해야 합니다.
4. 제한된 위험 및 최소 위험 인공지능 시스템 (Limited Risk and Minimal Risk AI Systems)
EU 인공지능법은 제한된 위험의 인공지능 시스템에는 투명성 의무를 부과한 반면, 최소 위험인공지능 시스템에 대해서는 별도 규제를 부과하지 아니하였습니다.
III. EU 인공지능법이 국내법 제정 및 집행에 미치는 영향
앞서 살펴본 바와 같이, EU 인공지능법은 EU 시장에 인공지능 시스템을 출시하는 역외 공급자에 대해서도 적용됩니다. 따라서, EU 내에 사업장을 두고 있지 않더라도 대한민국 기업이 EU 시장에서 판매되는 자신의 제품이나 서비스에 인공지능 시스템을 도입하려는 경우, 해당 기업은 EU 인공지능법의 적용을 받게 됩니다. 즉, 해당 기업은 EU 인공지능법에 규정된 인공지능 시스템의 설계 및 운영에 관한 의무 사항을 준수하여야 합니다.
EU 인공지능법은 법안이 발의될 때부터 인공지능에 관한 세계 최초의 포괄적인 입법이라는 점에서 주목을 받아왔으며, 우리 국회에서도 EU 인공지능법의 구조와 접근법에 영향을 받은 다수의 법안을 발의한 바 있습니다. EU 인공지능법이 유럽의회에서 승인된 만큼, 우리 국회에서도 인공지능 법안에 대해 더 큰 관심을 가질 것으로 예상되는 바, 국회의 입법 동향에 관심을 가질 필요가 있습니다.
향후 BKL은 미국의 행정명령 등 각국의 인공지능 규제 동향에 대해 업데이트 드리면서, 한국 기업이 이에 대응하기 위한 방안에 대해서도 계속 알려 드리겠습니다.