§
목록으로 돌아가기
소비자보호

2026년 인공지능과 개인정보 보호

EU AI Act가 헝가리 법체계에 미치는 영향, 자동화된 의사결정 및 프로파일링에 대한 법적 보호, 그리고 GDPR과 인공지능의 관계를 분석합니다.

D

Dr. Nagy Ildikó

서론

인공지능(AI, 영어: Artificial Intelligence) 활용의 급속한 확산은 경제, 공공행정 및 일상생활의 여러 분야를 근본적으로 변화시키고 있습니다. 이러한 기술적 변혁은 동시에 심각한 개인정보 보호 과제를 제기하며, 이에 대해 입법자가 효과적인 대응을 마련해야 합니다. 유럽의회 및 이사회 규정 (EU) 2024/1689(이하 AI Act 또는 AI 규정)는 세계 최초의 포괄적 인공지능 법률로, 2026년에 완전히 발효됩니다. 본 글에서는 AI Act와 **일반 개인정보 보호 규정(GDPR)**의 상호작용 및 헝가리 법체계에 미치는 영향을 검토합니다.

AI Act의 기본 체계

위험 기반 접근법

AI Act는 인공지능 시스템을 위험 수준에 따라 분류하고, 이에 맞춰 규제 요건을 조정합니다:

  1. 수용 불가 위험 시스템(금지): 사회적 점수 부여 시스템, 법 집행 목적의 공공장소 실시간 원격 생체인식(원칙적으로), 잠재의식 조작을 목적으로 하는 시스템이 포함됩니다. 이러한 AI 시스템은 EU에서 금지됩니다.

  2. 고위험 시스템: 사람들의 기본권, 건강 또는 안전에 영향을 미치는 AI 시스템입니다. 신용 평가 시스템, 인력 채용 알고리즘, 사법 시스템, 교육 기관의 평가 시스템 등이 포함됩니다. 이들에 대해서는 엄격한 요건이 적용됩니다.

  3. 제한적 위험 시스템: 투명성 의무를 발생시킵니다(예: 챗봇, 딥페이크 콘텐츠의 경우 고지 의무).

  4. 최소 위험 시스템: 특별한 규제가 필요하지 않습니다(예: 스팸 필터, 비디오 게임의 AI).

고위험 AI 시스템에 대한 요건

AI Act는 고위험 AI 시스템 제공자에게 다음 의무를 부과합니다:

  • 위험 관리 시스템 구축 및 유지
  • 데이터 거버넌스 및 데이터 관리 관행: 학습 데이터의 품질 보장, 편향(bias) 제거
  • 기술 문서 작성
  • 로깅(logging): AI 시스템 작동의 자동 기록
  • 투명성: 시스템 작동에 대한 사용자의 적절한 고지
  • 인간 감독(human oversight) 보장
  • 정확성, 견고성 및 사이버 보안 요건 충족

GDPR과 인공지능

자동화된 의사결정 금지

GDPR 제22조는 자동화된 의사결정에 대해 정보주체에게 기본적인 보호를 제공합니다. 이 규정에 따르면, 정보주체는 프로파일링을 포함하여 자동화된 처리에만 기반한 결정 — 자신에게 법적 효력을 미치거나 이와 유사하게 중대한 영향을 미치는 결정 — 의 대상이 되지 않을 권리가 있습니다.

이 규정은 다음과 같은 실무적 상황에서 특히 관련성이 높습니다:

  • 신용 평가: 은행이 AI 기반 시스템을 사용하여 대출 신청의 승인 또는 거절을 결정하는 경우
  • 보험 위험 평가: 보험사가 AI 알고리즘을 기반으로 보험료를 결정하는 경우
  • 채용: 고용주가 이력서 선별 및 직무 적합성 평가에 AI 시스템을 사용하는 경우
  • 행정 결정: 공공 행정 기관이 결정 과정에서 AI 시스템을 적용하는 경우

자동화된 의사결정 금지의 예외

GDPR 제22조 제2항은 세 가지 예외를 허용합니다:

  1. 결정이 정보주체와 데이터 처리자 간 계약의 체결 또는 이행에 필요한 경우
  2. 데이터 처리자에게 적용 가능한 EU 또는 회원국 법률이 허용하는 경우
  3. 결정이 정보주체의 명시적 동의에 기반하는 경우

세 가지 경우 모두 데이터 처리자는 정보주체의 권리, 자유 및 정당한 이익을 보호하기 위해 적절한 조치를 취해야 하며, 여기에는 최소한 데이터 처리자 측의 인간 개입을 요청하고, 의견을 표명하며, 결정에 이의를 제기할 수 있는 권리가 포함됩니다.

프로파일링에 대한 법적 보호

GDPR 제4조 제4호에 따르면, 프로파일링이란 자연인과 관련된 특정 개인적 측면 — 특히 직무 성과, 경제적 상황, 건강 상태, 개인 선호도, 관심사, 신뢰성, 행동, 위치 또는 이동과 관련된 측면의 분석 또는 예측 — 을 평가하기 위해 사용되는 개인정보의 자동화된 처리의 모든 형태를 말합니다.

프로파일링은 GDPR에서 일반적으로 금지되지 않으나, 여러 제한이 적용됩니다:

  • 투명성: 프로파일링 사실, 적용되는 논리의 핵심, 그리고 이러한 데이터 처리의 중요성과 정보주체에게 예상되는 결과를 이해하기 쉽게 전달해야 합니다(GDPR 제13–14조)
  • 이의 제기권: 정보주체는 자신의 특정 상황과 관련된 사유로 프로파일링 목적의 개인정보 처리에 대해 언제든지 이의를 제기할 권리가 있습니다(GDPR 제21조)
  • 데이터 보호 영향 평가: 고위험 프로파일링의 경우 데이터 처리자는 데이터 보호 영향 평가를 수행해야 합니다(GDPR 제35조)

AI Act와 GDPR의 상호작용

중복과 보완성

AI Act와 GDPR 사이에는 여러 중복과 보완적 요소가 존재합니다. AI Act 전문(제47 전문)은 이 규정이 GDPR을 침해하지 않고 적용되며, AI 시스템의 개발 및 적용 과정에서의 개인정보 처리에는 여전히 GDPR 규정이 적용됨을 명시적으로 규정합니다.

두 법률 간의 가장 중요한 연결점:

영역GDPRAI Act
투명성자동화된 의사결정 시 고지 의무모든 AI 시스템에 대한 투명성 요건
인간 감독인간 개입 요청 권리고위험 시스템에서 인간 감독 의무화
영향 평가데이터 보호 영향 평가(DPIA)고위험 시스템의 기본권 영향 평가
데이터 품질데이터 정확성 원칙 준수학습 데이터 품질 요건

헝가리 국내 이행 과제

AI Act는 직접 적용되는 EU 규정이므로 헝가리 법체계에서 직접 적용됩니다. 그러나 일부 사안에서는 회원국에 재량을 부여하며, 이에 대해 국내 입법자가 대응해야 합니다:

  1. 국가 감독 기관 지정: AI Act 제70조는 모든 회원국이 AI 시스템의 시장 감독을 담당하는 국가 기관을 지정하거나 설립할 것을 요구합니다. 헝가리에서 이 역할은 현재 계획에 따르면 **국립 미디어 및 통신 당국(NMHH)**에 귀속될 수 있습니다.

  2. 제재 체계: AI Act 제99조에 따르면, 금지된 AI 관행을 적용하는 조직에 대해 최대 **3,500만 유로 또는 연간 글로벌 매출의 7%**에 달하는 과징금이 부과될 수 있습니다. 고위험 AI 시스템 관련 의무 위반 시 과징금 상한은 1,500만 유로 또는 연간 매출의 3%입니다.

  3. 규제 샌드박스: AI Act는 혁신적 AI 솔루션을 통제된 환경에서 테스트할 수 있는 규제 샌드박스의 설립을 허용합니다. 헝가리에서 샌드박스의 설립 조건과 운영 규칙은 별도 법률로 규정해야 합니다.

소비자에 대한 실질적 영향

권리 구제 방법

소비자는 AI 시스템 적용과 관련한 권리를 다음 방법으로 행사할 수 있습니다:

  1. GDPR에 따른 정보주체 권리 행사: 접근권, 정정권, 삭제권, 처리 제한권, 이의 제기권
  2. NAIH에 민원 제기: 국립 데이터 보호 및 정보자유 기관은 GDPR 위반 시 데이터 보호 관할 절차를 진행할 수 있습니다
  3. 사법적 구제: 정보주체는 **정보법(2011년 제CXII호 법률)**과 GDPR에 근거하여 법원에 소를 제기할 수 있습니다
  4. 소비자 보호 절차: AI 시스템의 적용이 소비자 보호 위반에도 해당하는 경우 소비자 보호 당국도 조치를 취할 수 있습니다

투명성 요건

2026년부터 소비자에게 영향을 미치는 AI 시스템 적용 시 서비스 제공자는 다음 의무를 준수해야 합니다:

  • 소비자에게 AI 시스템과 상호작용하고 있음을 고지(예: 챗봇)
  • 자동화된 의사결정 사실과 적용된 논리의 핵심을 전달
  • 결정에 대한 인간 검토의 가능성을 보장
  • 콘텐츠가 AI에 의해 생성된 경우 이를 표시(딥페이크 방지)

AI 시대의 데이터 보호 책임자(DPO)의 역할

GDPR 제37–39조에 따라 특정 조직은 데이터 보호 책임자를 지정해야 합니다. AI 시스템의 광범위한 적용으로 DPO의 역할이 더욱 중요해지고 있습니다:

  • AI 시스템 도입 전 데이터 보호 영향 평가 참여
  • 개인정보에 영향을 미치는 AI 시스템 운영의 지속적 감독
  • 학습 데이터에 대한 데이터 처리의 법적 근거 검토
  • 자동화된 의사결정 및 프로파일링 관련 정보주체 요청 처리

요약

인공지능과 개인정보 보호의 관계는 AI Act의 완전한 발효와 함께 2026년 새로운 차원에 진입하였습니다. 헝가리 소비자에게 있어 AI Act와 GDPR의 공동 적용은 AI 시스템의 남용에 대한 효과적인 보호를 제공합니다. 반면 기업들은 심각한 준비 과제에 직면합니다: 데이터 보호 및 AI 규제 요건 모두를 충족해야 하며, 이는 상당한 조직적, 기술적 및 인적 자원 투자를 필요로 합니다.

이 분야의 법 발전은 매우 역동적이므로, 기업들은 규제 환경의 변화를 지속적으로 모니터링하고 필요 시 AI 시스템의 합법적 적용을 보장하기 위해 법률 자문을 구하는 것이 권장됩니다.

본 글은 정보 제공 목적이며 법적 자문에 해당하지 않습니다. 개별 사안에 대해서는 전문 변호사와의 상담을 권장합니다.

#인공지능 #AI Act #개인정보 보호 #GDPR
공유: