챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. [편집자주]
유럽연합(EU)이 제정하고 실행해 전 세계에 영향을 미치고 있는 많은 법령들이 있다. 개인정보에 관한 강한 보호와 규제를 천명한 일반정보보호규정(GDPR)이 그러하다. 전 세계에서 최초로 입안해 시행했지만 여전히 많은 논란이 제기되고 있는 EU 인공지능(AI)법 역시 전 세계 국가들로부터 반향을 불러일으키고 있다.
EU가 이미 관련 법을 제정하고 시행하고 있는 상황에서 우리나라 역시 이에 대한 입법 논의가 이루어지지 않는다면 입법부가 책임을 다하지 않는 것처럼 보일 수 있다. 입법기관 구성원들 역시 마치 아무 일도 하지 않는 사람처럼 비칠 수 있어 무엇이든 조치를 취해야 한다는 압박감을 느낄지도 모른다.
근래의 EU 법안 패키지들 중 시행을 앞두고 있지만 국내에 잘 알려지지 않은 법이 있다. 법의 정식 명칭은 '데이터의 공정한 접근 및 사용에 관한 조화로운 규칙에 관한 규정'이고 줄여서는 EU 데이터법(EU Data Act)라고 부른다. 이 법은 지난해 1월에 제정이 됐고 이로부터 20개월 이후인 올해 9월부터 단계적 시행을 앞두고 있으니 사실 그 시행이 얼마 남지 않은 법이다.
이 법은 EU 내 커넥티드 제품 및 관련 서비스 사용 과정에서 생성되거나 제공되는 정보에 대해 적용된다고 한다. 이용자가 사용하는 것과 관련한 데이터, 이용자의 사용 환경과 관련한 데이터를 수집 및 생성한다. 또 그 정보가 전달할 수 있는 제품의 경우에는 기본적으로 이 법이 적용이 된다.
대부분의 법이 그러하듯 정의 조항을 읽어 봐도 그 내용이 무엇인지를 정확하기 이해하기 어려운 것은 이 법도 마찬가지다. 소위 얘기하는 커넥티드카, 건강 모니터링 기기, 스마트 홈 기기, 스마트폰 등이 이 법의 적용대상이 됨에는 별다른 의문이 없다. 이와 유사하게 서버와 이용자 기기 사이에서 데이터의 교환이 이루어지는 제품과 관련 서비스에 대해서는 모두 적용되므로 그 적용범위가 매우 넓다고 할 수 있다.
이 법은 커넥티드 제품 제조자에게 데이터 접근 중심의 설계를 의무화하고 사용자에게 데이터 제공 관련 정보를 명확하고 이해하기 쉬운 방식으로 안내할 책임을 부과하고 있다. 또 사용자의 요청이 있을 경우 제품이나 관련 서비스에서 생성된 데이터에 대한 접근 권한을 사용자에게 제공해야 하며 데이터 보유자는 사용자가 지정한 제3자와 해당 데이터를 공유할 수 있도록 해야 한다.
이 법은 의무사항을 위반한 경우 제재 수단에 대해 구체적으로 규정하고 있지는 않다. 어쩌면 이 법이 큰 주목을 받지 못하는 것은 이처럼 제재수단에 대해 법 자체에서 규정하고 있지 않기 때문일지도 모르겠다.
그럼에도 불구하고 이 법은 각 회원국에 대해 데이터법 위반자에게 부과할 과징금을 EU 내 연간 매출액 등 여러 요소를 고려해 산정하도록 하는 의무를 부여하고 있다. 이에 따라 이 법을 위반할 경우 매출액을 기준으로 한 과징금이 부과될 것이라는 점에는 큰 의문이 없다.
EU 데이터법은 개인정보를 포함한 데이터의 유통을 규율하는 법률인 만큼, 개인정보 유통을 다루는 GDPR과 유사한 규정들이 일부 포함돼 있다. 글로벌 서비스를 제공하는 기업의 입장에서는 GDPR 사례에서처럼 어차피 EU 내 규제를 준수해야 하므로, 커넥티드 제품의 데이터 처리와 관련해서도 EU 데이터법 기준에 맞추어 전 세계 서비스를 동일한 수준으로 확장할 가능성이 충분하다.
과거에는 이용자로부터 수집됐지만 개인정보에 해당하지 않는 데이터의 처리는 이른바 익명정보의 영역으로 간주돼 GDPR의 적용을 받지 않았다. 또 해당 데이터가 저작권법의 보호 대상이거나 그 처리 행위가 부정경쟁행위에 해당하지 않는 이상 별다른 규제가 존재하지 않았다고 볼 수 있다.
반대로 곧 시행되는 EU 데이터법은 데이터의 수집 및 제공에 일정한 의무를 부과함으로써 이제는 이용자로부터 수집하는 데이터에 대해서도 일정한 책임과 준수해야 할 요건이 발생한다는 점을 인식할 필요가 있다. 이에 따라 기존과는 다른 관점에서 데이터 활용에 대한 발상의 전환이 요구된다.
AI 산업과 관련해서도 마찬기지이다. EU 이용자로부터 커넥티드 제품을 이용해 데이터를 수집하는 경우에는 비록 개인정보가 아니라 하더라도 EU 데이터법 준수를 항상 명심해야 한다. 이용자로부터 수집한 데이터를 인공지능 서비스 개발을 위한 학습용 데이터로 사용하고자 하는 경우에도 해당 법의 준수를 미리 유의해야 한다.
AI 서비스 간의 경쟁이 점점 더 치열해지고 있다. 단순히 산업 내의 문제가 아니라 국가의 생존을 위한 기술패권 다툼의 영역이 되어 가고 있는 상황이다. 이러한 상황에서 EU데이터 법의 제정과 시행이 EU 역내 국가의 경쟁력과 글로벌 시장에 어떠한 영향을 미칠지는 아직 판단하기는 어렵지만 AI를 비롯해 데이터 관련 산업의 경쟁력에 상당한 파급력을 가지게 될 것이다.
관련기사
- [기고] 인공지능, 변호사와 닮은 꼴일까2025.03.17
- [기고] AI 법제화에 따른 기업의 대응 전략2025.02.28
- [기고] 인공지능 시대, 무분별한 중복 규제 지양해야2025.02.14
- [기고] 원본 데이터 AI 활용 특례, 신기술 혁신 속도와 수요 반영해야2025.02.03
산업 보호를 명분으로 제정된 많은 법들이 오히려 기존 사업자들보다 새롭게 시장에 진입하려는 스타트업이나 신생 기업들에게 더 무겁게 작용하는 모습을 우리는 여러 차례 목격해왔다.
우리나라는 적어도 법제 측면에서는 '패스트 팔로워'를 넘어 '퍼스트 무버'로서의 입지를 점차 구축해가고 있으며 실제로 EU 데이터법과 유사한 법제를 이미 보유하고 있다. 이에 따라 산업의 보호와 발전이라는 관점에서 보다 심도 있는 논의가 이루어지고 전략적인 입법 방향이 마련되기를 기대한다.
