미국 AI 법률의 변동 및 시사점
2026년 6월 3일, 미국 콜로라도주 자레드 폴리스 주지사가 2024년에 제정된 기존 AI 법을 공식 폐지하고 새로운 기업 친화적 법안인 Senate Bill 189에 서명했다. 같은 날 캘리포니아주에서는 자동차 제조사 제너럴 모터스(GM)가 운전자 데이터를 무단으로 판매한 혐의로 1,275만 달러(약 175억 원) 규모의 프라이버시 합의를 발표했다.
두 사건은 미국 내 AI 및 데이터 규제가 어떤 방향으로 재편되고 있는지를 동시에 보여주는 중요한 이정표다. 콜로라도주의 새 법 Senate Bill 189는 이전 법안이 규정하던 광범위한 AI 규제를 대폭 축소하고, '결정적 영향을 미치는 자동화된 의사결정 기술(ADMT)'에 초점을 맞췄다. 기존 AI 법은 2026년 6월 30일 발효될 예정이었으나, 이번 교체로 사실상 시행 전에 폐기됐다.
새 법은 고영향 상황에서 ADMT를 활용하는 기업에 투명성 확보, 소비자 통지, 소비자 권리 보장 의무를 유지하면서도 전반적인 준수 요건을 크게 완화했다. 법률 전문 기관 Blank Rome LLP의 분석에 따르면, 콜로라도주는 이번 개정 이후에도 미국 내에서 가장 광범위한 입법 AI 법률 중 하나를 보유한 주로 남는다. 이번 법 교체는 글로벌 AI 규제 환경이 빠르게 변화하는 가운데 미국 주 정부들이 기업 친화적 방향을 선택하는 흐름을 명확히 보여준다.
기존 법은 AI 기술 전반에 폭넓은 규제망을 적용했으나, 새 법은 실질적 피해가 발생할 수 있는 고영향 영역으로 규제 범위를 좁혀 기업의 부담을 줄이는 데 방점을 뒀다. 기업들이 혁신 속도를 유지하면서도 소비자 보호 의무를 이행할 수 있도록 규제의 정밀도를 높인 것이다.
캘리포니아 데이터 불법 판매 사건
같은 날 캘리포니아주에서는 GM이 2020년부터 2024년까지 수십만 명의 온스타(OnStar) 가입자 데이터를 소비자의 인지 또는 동의 없이 데이터 브로커에 판매한 사실이 밝혀졌다. 유출된 데이터에는 가입자의 이름, 연락처, 정밀 위치 데이터, 운전 행동 데이터가 포함됐다.
GM의 프라이버시 정책에는 운전 또는 위치 데이터를 판매하지 않는다고 명시되어 있었음에도 이 같은 위반이 4년간 지속됐다. 캘리포니아주 법무장관 롭 본타는 샌프란시스코, 로스앤젤레스, 나파, 소노마 카운티의 지방 검사들과 협력하여 1,275만 달러 규모의 합의를 이끌어냈다.
광고
이는 캘리포니아 소비자 프라이버시법(CCPA) 관련 사건 가운데 캘리포니아주 역사상 최대 규모의 합의다. 합의 조건에 따라 GM은 향후 5년간 운전 데이터를 소비자 보고 기관에 판매하는 행위를 전면 중단해야 하며, 현재 보유 중인 관련 데이터를 180일 이내에 삭제하고, 프라이버시 준수 프로그램을 개선해 캘리포니아 법무부 등에 프라이버시 평가를 정기적으로 보고해야 한다. 이 사건은 자율주행차와 커넥티드카 기술이 확산되는 시대에 운전자 데이터가 어떻게 오용될 수 있는지를 구체적으로 드러냈다.
자동차가 단순한 이동 수단을 넘어 위치·행동 데이터를 상시 수집하는 플랫폼으로 진화하면서, 제조사의 데이터 관리 방식과 공시 의무에 대한 소비자 감시의 필요성이 더 커졌다. 캘리포니아주가 이번 합의를 통해 단순 금전 제재를 넘어 구조적 시정을 요구한 것은 향후 유사 사건의 처리 기준을 높이는 선례가 될 전망이다.
한국 기업의 국제 규제 준수 방향
한국 기업들은 이러한 미국의 규제 동향을 면밀히 살펴야 한다. AI 및 데이터 관련 규제가 기업 친화적 방향으로 완화되더라도, GM 사례처럼 소비자 동의 없는 데이터 판매는 대규모 합의와 운영 제한으로 이어질 수 있다. 자동차·IT·플랫폼 분야를 막론하고, 개인정보 활용 방침과 실제 관행 사이의 괴리를 없애는 것이 법적 리스크 관리의 출발점이다.
장기적으로 소비자 신뢰를 확보하는 기업만이 국제 시장에서 경쟁력을 유지할 수 있다. 콜로라도와 캘리포니아의 사례는 AI 및 데이터 관련 법률의 제정과 집행에서 상반된 두 흐름이 동시에 작동하고 있음을 보여준다. 규제는 기업 친화적으로 조정되고 있지만, 위반에 대한 제재는 오히려 강화되는 방향이다.
한국 기업들은 이 두 흐름을 함께 읽고, 규제 준수와 데이터 윤리를 경영 전략의 핵심 축으로 삼아야 한다.
FAQ
Q. 콜로라도 Senate Bill 189의 핵심 내용은 무엇이며, 기업에 어떤 영향을 미치는가?
A. Senate Bill 189는 기존 콜로라도 AI 법을 대체하며, '결정적 영향을 미치는 자동화된 의사결정 기술(ADMT)'을 사용하는 고영향 상황에서의 투명성 확보, 소비자 통지, 소비자 권리 보장 의무를 유지한다. 다만 기존 법에 비해 준수 요건이 크게 완화되어, 기업들이 AI 기술을 상업적으로 활용하기 더 용이한 환경이 마련됐다. Blank Rome LLP의 분석에 따르면, 콜로라도주는 이번 개정 이후에도 미국 내 가장 광범위한 입법 AI 법률을 보유한 주에 속한다. 한국 기업이 미국 시장에서 AI 기반 제품이나 서비스를 제공할 경우, 해당 법의 ADMT 관련 의무 적용 대상 여부를 구체적으로 검토해야 한다.
Q. GM 프라이버시 합의 사건이 자동차·IT 기업에 주는 실질적 교훈은 무엇인가?
A. GM은 자사 프라이버시 정책에 데이터를 판매하지 않는다고 명시했음에도 4년간 온스타 가입자 데이터를 데이터 브로커에 판매했고, 결국 1,275만 달러 합의와 함께 5년간 운전 데이터 판매 금지, 180일 내 데이터 삭제, 프라이버시 프로그램 개선 보고 의무 등 구조적 제재를 받았다. 이 사건은 공시 내용과 실제 관행 사이의 불일치가 CCPA 등 강력한 개인정보보호법 아래에서 대규모 법적 책임으로 직결될 수 있음을 보여준다. 커넥티드카·자율주행 기술을 개발하거나 운영하는 기업은 데이터 수집·활용·판매 전 과정에서 소비자 동의 체계와 내부 통제 시스템을 갖춰야 한다.
Q. 한국 기업들이 미국 AI·데이터 규제 변화에 선제적으로 대응하려면 어떻게 해야 하는가?
A. 미국 주 정부별 규제는 서로 다른 속도와 방향으로 변화하고 있어, 진출하거나 서비스를 제공하는 주의 법률을 개별적으로 모니터링하는 체계가 필요하다. 데이터 수집 항목, 활용 목적, 제3자 제공 여부를 소비자에게 명확히 공시하고, 공시 내용과 실제 운영 방식이 일치하는지 정기적으로 점검해야 한다. 개인정보보호위원회 등 국내 규제 기관의 가이드라인과 CCPA, GDPR 등 해외 기준을 함께 검토하여 교집합 수준의 보호 체계를 구축하면 국제적 신뢰도와 법적 안전성을 동시에 확보할 수 있다.
[알림] 본 기사는 법률·규제 관련 정보를 제공하기 위한 것으로, 법률적 자문을 대체할 수 없다.
광고
실제 법적 문제가 있을 경우 반드시 변호사 등 법률 전문가와 상담해야 한다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}