EU(유럽연합)는 2024년 8월부터 새로운 AI법(AI Act, 정식명칭: 규정(EU) 2024/1689)을 시행한다. 이 법은 EU 역내 AI 기술의 개발, 전개, 활용을 포괄적으로 규제하는 것으로, 특히 일본 기업을 포함한 비EU 기업에도 중요한 영향을 미칠 수 있다. 일본 기업이 이 법에 어떻게 대응해야 하는지 아래에서 자세히 설명한다.
일본 기업이 EU 시장에서 AI 기술을 제공하는 경우, GDPR(일반 데이터 보호 규정)과 유사한 엄격한 컴플라이언스 요건을 따라야 한다. 위반 시 최대 3,500만 유로 또는 전 세계 연간 매출액의 7%라는 매우 높은 벌금이 부과될 수 있다. 따라서 AI 법에 대한 적절한 대비가 필요합니다.
EU의 AI 법은 미국의 단편적인 규제와는 달리, EU의 AI 법은 조화로운 규제와 위험 기반 접근 방식을 채택하고 있으며, EU에서는 AI 시스템이 초래하는 위험에 따라 규제의 강도가 달라진다. 이러한 위험 기반 접근 방식을 통해 일본 기업들은 자신의 AI 시스템이 어떤 위험 범주에 속하는지 정확히 파악하고 그에 따라 대응해야 한다.
조화로운 프레임워크: EU 전역에서 통일된 규제가 확립되기 때문에 AI 기술을 사용하는 일본 기업은 각 국가마다 다른 규제에 대응하는 번거로움을 줄일 수 있는 장점이 있다.
인간 중심의 AI: EU는 신뢰할 수 있는 AI를 추진하고 있으며, 이는 일본 기업이 개발하는 AI 기술에서도 사용자의 프라이버시와 안전을 우선시하는 것을 요구하고 있다.
위험 기반 접근법: AI 시스템의 위험에 따라 규제가 적용되므로, 일본 기업은 자사의 AI 시스템이 어떤 위험 범주에 해당하는지 확인하고 적절한 조치를 취해야 합니다.
투명성과 책임: AI 챗봇 등 개발자에게는 명확한 문서 제공과 책임이 의무화된다. 이는 일본 기업이 개발하는 AI 제품에도 동일하게 요구되는 사항입니다.
데이터 보호: AI법은 기존 EU 데이터 보호법과 일치하며, 일본 기업은 EU의 엄격한 데이터 보호 기준을 준수해야 한다.
혁신 지원: 특히 중소기업에 대한 지원이 강조되고 있으며, 일본 기업이 AI 기술을 개발할 때 이 지원을 활용할 수 있다.
사회적 신뢰: AI 기술에 대한 사회적 신뢰 구축이 요구되며, 투명한 운영이 필요하다.
금지 행위: AI를 이용한 행동 조작 등 EU에서 허용되지 않는 행위가 명확히 금지되어 있다.
규제 감독: 금융 거래에서 고위험 AI 시스템 등은 정기적인 등록과 보고가 필요하며, 감독을 강화한다.
일본 기업은 아래의 절차를 통해 자사의 AI 시스템이 어떤 위험 분류에 해당하는지 확인하고 적절한 대응을 해야 한다.
목적 파악: AI 시스템이 의사결정 프로세스, 개인 데이터, 물리적 안전에 영향을 미치는지 여부를 판단한다.
법률 참조: AI 법률의 구체적인 조항을 확인하고, 자사의 AI 애플리케이션이 위험 분류에 해당하는 부분을 명확히 한다.
컴플라이언스 요건 확인: 데이터 품질, 투명성 및 인간 모니터링 요건을 충족하는지 확인한다.