[EU] AI Act + GDPR

* 2019년 10월, EU의 통일된 접근방식 위한 입법화 추진 발표

* 2020년 2월, AI 활용 촉진 및 위험해결하는 정책방안 제시

* 2021년 4월, AI 활용, 투자, 혁신 강화 및 개발, 활용에 대한 신뢰, 기본권 보장, 이용자 안전을 강화하기 위한 AI 규제안 제안
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52021PC0206(문서번호 52021PC0206 - 2021/206)

* 2023년 6월, AI Act 의회 통과
https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.pdf(문서번호 P9_TA(2023)0236

* 2024년 2월 기준, 최종 합의한 비교표는 공개되었으나 최종 Full text는 공개되지 않음

---

EU AI Act 구조

---

 

1. 제안의 맥락

2. 법적 근거, 보조성 및 비례성

3. 사후평가, 이해관계자 협의 및 영향평가 결과

4. 예산에 미치는 영향

5. 제안의 구체적인 조항에 대한 설명 -> 주요 내용을 다루고 있음

5.2.1 범위 및 정의

5.2.2 금지된 인공지능 관행 (Prohibited Artificial Intelligence Practice)

5.2.3 고위험 AI 시스템 (High-Risk AI Systems)

5.2.4 특정 AI시스템에 대한 투명성 의무 (Transparency obligations for certain AI Systems)

5.2.5 혁신을 지원하는 조치(Measures in support of Innovation)

5.2.6 거버넌스 및 구현 (Governance and Implementation)

5.2.7 행동 강령 (Codes of conduct)

 

 

 

---

EU AI Act, 주요 내용

1. 규제 목표

- EU 시장에 출시되어 이용되는 AI 시스템이 안전하고 기본권보장과 같은 기존 법률 준수하도록 보장

- AI 투자 촉진

- 기본권 및 안전요건에 관한 거버넌스 향상

- 합법적이고 안전하며 신뢰할 수 있는 AI 애플리케이션을 위한 단일시장 발전 촉진

 

* 유럽 인공지능위원회를 설립하여 EU차원의 협력체계를 구축해 AI 규제안 추진

 

 

2. 위험 기반(Risk-Based) 규제 접근

3. 고위험 AI 시스템 규제

 - 고위험 AI 시스템의 안전한 이용을 위해 고위험 AI 시스템공급자와 이용자에게 법적 의무 부과

 1) 공급업체 : 요구사항 적합성 보장, 품질관리체계 구축, 기술문서 작성, 자동화된 로그, 출시 전 적합성 평가 수행, 등록의무 준수, 요구상황 위반 시 시정조치, CE마크 부착, 국가관할당국 요청 시 요구사항 적합성 인증

 2) 제조업체 : 공급업체와 동일

 3) 수입 및 유통업체 : 적합성 절차 준수여부, 기술문서화 등 의무사항 준수여부 확인

 4) 이용자 : 사용지침에 따라 이용, 입력데이터가 의도한 목적에 관련이 있는지 확인, 시스템 운영 모니터링하고 안전이나 기본권을 침해할 위험을 초래한다고 판단되면 관련정보를 공급업체나 유통업체에 제공하고 이용 중단, 자동적으로 생성하는 로그를 법적 요건에 따라 일정기간 보관, EU GDPR 관련 지침에 따라 투명성과 정보제공 의무에 따라 제공된 정보 이용

 

* 고위험 AI 시스템 분류

 

EU 'CE 마크' - 전자제품 뿐만 아니라 안전성이 검증된 제품에 표기함

 

 

4. 데이터 및 개인정보 관련 규제

- 고위험 AI시스템을 이용할때는 GDPR 등 개인정보 관련 법률을 준수하고, 적절한 수준의 보안조치를 수행해야 함

 

- AI 규제 샌드박스 : 정식 시장 출시 전에 개발/시험/검증을 통제된 환경에서 운영하도록 하는 제도

 - 합법적으로 수집된 개인정보를 AI 시스템을 개발/시험할 목적으로 처리해야 함

    > 위험 식별하는 모니터링 매커니즘에 따라 완화 및 처리중지하는 대응체계 필요

    > 기능적으로 별도로 작용하고, 분리되고, 안전하게 보호된 환경에서 권한이 있는 사람만 접근해야 함

    > 비인가자에 의한 전송 금지

    > 정보주체에게 영향을 미치는 조치나 결정에 연계되지 않아야 함

    > 샌드박스 종료 및 보관기간 종료 시 삭제

    > 샌드박스 환경에서 개인정보처리로그는 종료 후 1년동안만 보관

    > AI 시스템 교육, 테스트 및 검증 프로세스, 근거를 보관해야 함 

    > AI 프로젝트에 대한 요약, 목표, 예상결과를 게시

 

 

5. 규제 위반 시 과징금 부과

 

결국엔 EU AI 시스템도 기준을 충족해야한다는 건데, 국내에서도 이를 따른다면 결국 인증제로 가지 않을까?

 

* 참고 자료

월간동향분석 - 개인정보보호 포털 https://www.privacy.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000842527&fileSn=0

---

EU 인공지능법(안)과 GDPR의 연관성

< 2023. 개인정보보호 월간동향분석 제1호 - 한국인터넷진흥원 >

• GDPR에서 컨트롤러, 프로세서와 인공지능법(안)에서 제공자, 사용자, 수입자, 유통자 간 의무와 책임이 중복발생할 수 있음
• 인공지능법(안)에서는 고위험 AI 시스템에 한해 개인정보 영향평가를 의무화 하도록 하고 있음
• AI 시스템이 정보주체에게 직접 영향을 끼치거나, 상호작용을 하는 환경에 영향을 미칠 때 개인정보 영향평가 필요
• 대부분의 AI 시스템이 이에 해당할 것으로 보임

https://www.kisa.or.kr/20202/form?postSeq=263&page=1#fnPostAttachDownload