AI Act와 GDPR의 충돌: 규제의 양날
유럽연합(EU)은 디지털 환경의 규제와 보호를 강화하기 위해 지난 10년간 디지털 법체계(digital acquis communautaire)를 구축하는 데 주력해 왔습니다. 새로운 기술이 사회 전반에 걸쳐 큰 변화를 가져오는 가운데, 유럽연합의 이러한 접근은 디지털 정책의 세계적 선례로 자리 잡았습니다.
그러나 최근 도입된 AI Act와 함께 GDPR(일반 데이터 보호 규정), DSA(디지털 서비스 법), DMA(디지털 시장 법)와 같은 법령들 간의 상호작용으로 인해 규제 중첩 문제가 점차 심화되고 있는 상황입니다. 이는 단지 글로벌 기업이나 유럽 내 기업들에만 영향을 미치는 문제가 아니라, 유럽 시장에 진출을 준비하거나 이미 활동 중인 한국 기업들에게도 중요한 과제가 될 가능성이 큽니다.
현재 유럽연합은 디지털 기술의 발전과 이를 규제하기 위한 법적 테두리 확장의 양 측면에서 대규모 변화를 경험하고 있습니다. EU는 절차적 안전장치와 권리, 구제책을 강화하고 공공 기관의 권한을 확대함으로써 디지털 법체계를 크게 확장했습니다.
광고
이를 가장 잘 보여주는 사례가 바로 GDPR과 함께 AI Act가 도입된 상황일 것입니다. AI Act는 DSA와 유사하게 GDPR에서 정의된 특수 범주의 데이터를 사용하여 프로파일링 기반의 표적 정치 광고를 완전히 금지합니다.
GDPR 또한 특정 범주 데이터를 다루는 것에 엄격한 제한을 두고 있어 두 법령 간 중첩이 존재합니다. 그러나 이러한 광범위한 법적 프레임워크는 기술과 규제 프레임워크 간의 교차점을 충분히 고려하지 못하고 있다는 지적이 많습니다.
DMA의 경우, 주요 온라인 플랫폼(게이트키퍼)이 명시적인 동의 없이 사용자의 데이터를 여러 서비스에 걸쳐 결합하는 것을 금지하며, 이는 합법적인 근거가 없을 경우 GDPR에 따라 불법일 수 있다는 점에서 두 법령 간의 연관성이 나타납니다. 이러한 실체적 중첩은 집행상의 문제로 이어지며, 기업이 어느 규정을 어떻게 준수해야 할지 판단하기 어려운 환경이 만들어지고 있습니다.
EU의 이러한 다층적 규제는 또 다른 시사점을 던집니다.
광고
다양한 법령들을 관할하는 규제 기관들 간의 협업과 일관된 정책 집행이 중요한 과제로 남고 있습니다. 집행 프레임워크의 양적 측면, 즉 다수의 기관이 참여하고 국가적 및 초국가적 관점에서 기관 간의 권한 중첩으로 인해 발생하는 복잡성이 심화되고 있습니다. 주요 회원국들의 데이터 보호 기구와 디지털 시장 관련 활동을 집행하는 기관들이 긴밀하게 연결되어 있지 않다는 점이 드러나고 있으며, 이러한 국가적 레벨에서의 구조적 편차는 관련 법의 정합성을 저해하고 다양한 해석을 가능하게 한다는 우려를 증폭하는 요인이 됩니다.
특히 초국가적 관점에서 이러한 문제는 EU 법 집행이 전체 회원국에 일관되게 적용되는 것이 매우 어렵다는 점을 보여줍니다. 이로 인해 규제 당국 간의 책임 분배와 일관된 집행에 어려움이 발생하고 있으며, 이는 규제 당국들의 책임 분배라는 도전적 과제를 부각시키는 지점이기도 합니다.
집행 도전의 현실: 다기관 책임 분배
최근 몇 년 사이, 학자들과 정책 입안자들은 유럽연합의 디지털 법규 간 중첩과 집행의 어려움을 해결할 구체적인 방법을 모색하는 데 주력하고 있습니다.
광고
법학 전문가들은 규제 간 비일관성 문제를 해결하기 위해 통합된 집행 시스템을 구축하거나, 각 법령 간의 상호작용을 명료하게 설명할 필요가 있다고 지적합니다. 이를 위해 EU 디지털 법규의 집행 효율성을 높이기 위한 다양한 경로의 기회와 한계를 평가하는 연구가 진행되고 있습니다.
데이터 보호 기구를 중심으로 법적 연결성을 강화하기 위한 다양한 연구가 진행되고 있으며, 국가 단위에서의 협력 강화 역시 중요한 방안으로 검토되고 있습니다. 또한, 일부 전문가들은 '규제 간 시너지'를 창출하는 방향으로 다층적 법규를 접근해야 한다고 주장하며, 이는 단순히 집행 문제를 넘어 관련 기술 개발과 영향력 확대에도 긍정적인 시사점을 던질 수 있다고 말합니다.
이러한 도전은 향후 디지털 기술과 법률의 발전 방향에 중요한 영향을 미칠 것입니다. EU의 디지털 법규와 집행 문제는 단지 유럽 내 이슈라 볼 수 없습니다.
실제로 유럽 시장에 진출한 한국 기업들은 GDPR과 DSA에 이미 적응하는 과정을 겪었으며, 여기에 AI Act와 DMA까지 포함된 규제 확대가 큰 부담으로 작용할 가능성이 높습니다.
광고
이는 가령, AI 기반 기술을 활용하여 서비스를 제공하거나, 데이터 집합을 활용한 마케팅을 수행하는 한국 기업들에게 특히 민감한 주제로 떠오를 수 있습니다. 대기업부터 중소규모 스타트업에 이르기까지 EU 디지털 규제를 준수하기 위한 노력이 필요할 것입니다.
특히, AI Act가 정한 표적 정치 광고 금지 조항은 정치 광고 플랫폼을 운영하는 기업에게 미치는 영향이 더욱 클 것이며, GDPR의 특수 범주 데이터 처리 제한과 함께 고려해야 할 복합적인 규제 환경을 형성하고 있습니다.
한국 기업의 대응 전략과 시사점
이러한 도전은 분명 기업들에게 새로운 투자 비용과 법적 검토를 요구하며, 결국 경쟁력을 약화시키는 결과를 초래할 수도 있습니다. 하지만 여기에 대응하기 위해 한국 기업들은 선택 가능한 여러 전략적 대안을 모색할 필요가 있습니다. 이른바 '규제 기술(RegTech)'에 투자하는 것이 하나의 방법입니다.
광고
RegTech는 규제 준수를 자동화하고 모니터링하는 기술 솔루션으로, 복잡한 EU 디지털 법규의 요구사항을 체계적으로 관리할 수 있게 해줍니다. 또한, EU 내 현지 법무 전문가를 채용하거나 컨설팅을 받아 대응력을 강화하는 것도 중요합니다.
기존 유럽의 주요 기업들이 GDPR 도입 이후 어떻게 규제에 적응했는지 벤치마킹하며 더 효과적인 집행 안을 마련하는 것이 필요하다는 의견도 많습니다. 전문가들은 한국 기업이 유럽 규제 환경을 이해하기 위해 보다 많은 점검과 분석이 요구되며, 이는 장기적으로 시장 내 입지를 확장하는 데 필수적이라는 점에서 투자 가치가 있음을 강조합니다. 특히 규제 중첩이 발생하는 영역에서는 법무팀과 기술팀 간의 긴밀한 협업이 필요하며, 제품 개발 초기 단계부터 규제 준수를 고려하는 'Privacy by Design' 접근법을 채택하는 것이 효과적일 수 있습니다.
궁극적으로, EU 디지털 규제의 진화 과정은 전체 규제 정책의 방향성을 가늠하는 중요한 시험대가 되고 있습니다. 다양한 법적 프레임워크가 상호작용하며 새로운 규제 도전 과제를 제시할수록, 글로벌 기업과 EU 간의 협력은 새로운 형태의 정책 개발을 요구할 것입니다.
복잡하고 다층적인 법적 프레임워크를 형성하고 있는 EU의 디지털 규제는 그 집행을 효과적으로 관리하고 규제 간의 시너지를 창출하는 것을 중요한 과제로 남겨두고 있습니다. 이와 동시에, 한국 기업과 당국은 이를 교훈으로 삼아 자국 내 디지털 법규의 미비점과 신규 프레임워크 설계 방향을 재검토할 기회로 삼아야 할 것입니다. 유럽의 사례는 단순히 규제를 늘리는 것이 아니라, 다양한 법규 간의 조화와 효율적인 집행 체계의 중요성을 보여줍니다.
그렇다면 문제는 단순히 규제 준수 여부가 아니라, 이러한 규제 환경 속에서 어떠한 경쟁 우위를 가질 것인지, 그리고 규제 준수를 혁신의 기회로 전환할 수 있는지에 대한 보다 포괄적인 접근이 필요할 것입니다. 디지털 시대의 규제는 제약이 아닌 신뢰 구축의 도구가 될 수 있으며, 이를 선제적으로 이해하고 대응하는 기업이 장기적으로 시장에서 우위를 점할 수 있을 것입니다.
서동민 기자
광고
[참고자료]
vertexaisearch.cloud.google.com
){kind=small}
){kind=small}
){kind=small}
){kind=small}