AI 법제도 정비과제 로드맵

2021. 2. 22

CLIPBOARD
image_pdf


글. 신용우(법무법인 지평)

 

최근 인공지능(이하 AI) 기술이 비약적으로 발전하면서 경제・사회 전반에서 변화의 핵심 동력으로 작용하여 이른바 4차 산업혁명을 견인할 것으로 전망된다. 미국, 중국 등 주요국들은 AI 기술 선점을 위하여 국가 차원의 정책 및 투자를 추진하고 있다.

한편, AI 기술은 데이터 기계학습에 기반하고 있어 불확실성과 불투명성을 갖고 있고 오류 발생 가능성, 알고리즘 편향성, 안전성에 대한 우려가 제기되고 있다. 이에 따라 AI 기술을 발전시키면서 부작용에 대응할 수 있도록 법적인 쟁점을 파악하고 법제를 개선할 필요가 있다.

정부는 지난해 12월 AI 활용을 촉진하고 부작용을 최소로 줄이기 위한 법·제도·규제 정비 로드맵을 마련했다. 관계부처 합동으로 총 30개의 정비 과제를 이끌어낸 가운데, 올 상반기 내에 데이터의 개념과 참여주체를 명확하게 하는 ‘데이터기본법’ 제정을 목표로 AI 법제개편을 시작한다.

이 글에서 AI 관련 주요 법제도 정비 과제 및 국내외 현황을 살펴보고 시사점을 도출하고자 한다.

 

 

 

AI 알고리즘 공정성

금융을 비롯한 다양한 분야에 AI가 활용되면서 알고리즘 편향성 문제가 제기되고 있다. 미국에서 널리 사용되는 재범 위험예측 알고리즘인 COMPAS는 흑인과 백인 간의 재범 예측률에 있어서 흑인에게 불리한 결과를 나타냈으며, 애플이 골드만삭스와 2019년 출시한 신용카드의 신용한도 알고리즘이 여성보다 남성을 우대한다는 지적이 제기되어 금융당국이 조사한 바 있다.

이는 AI의 학습데이터에 포함된 사회적 편견 또는 알고리즘 편향성이 결과로 표출되기 때문이며 AI 기술의 내재적 불확실성과 불투명성으로 인하여 사전에 완벽한 학습이 어렵다는 문제도 있다.

우리나라 정부는 AI의 공정성 등 윤리적 문제에 대응하기 위하여 2018년 ‘지능정보사회 윤리 가이드라인’과 ‘지능정보사회 윤리헌장’을 발표하였고, 2020년 11월 「국가 AI 윤리기준」(안)에서 윤리적 AI 실현을 위해 정부·공공기관, 기업, 이용자 등 모든 사회구성원이 지켜야 할 주요 원칙과 핵심 요건을 제시하였다. 「지능정보화 기본법」 제62조는 지능정보사회윤리를 확립하기 위한 시책을 마련해야 한다고 규정하고 있다.

 

 

 

AI 규제, 해외 주요국 동향

해외 주요국 및 국제기구는 AI 기술의 영향력과 파급력을 인식하고 공정하고 윤리적인 개발이 될 수 있도록 다양한 입법과 정책을 전개하고 있으며, 원칙 제시를 넘어 구체적인 실행계획, 규제 기관 설립, 표준화 및 인증 개발을 추진하고 있다.

 

미국

미국 의회에서 2019년 4월 AI 기술과 알고리즘 규제를 위한 「알고리즘 책임 법안(Algorithmic Accountability Act)」이 발의되어 절차가 진행 중이다.1) 이 법안은 미국 연방거래위원회(FTC)가 고위험(highly sensitive) 자동화 시스템을 평가하는 규칙을 만들고, 기업들이 이 규칙에 따라 알고리즘이 편향적이거나 차별적인지, 프라이버시나 보안 위험이 있는지를 점검하도록 규정하고 있다. 법률의 적용대상을 한정했는데, 연간 5천만 달러 이상의 매출이 있거나 1백만 명 이상의 사람 또는 장치에 대한 정보를 보유한 회사, 데이터 브로커 회사에 적용되도록 하고 있다.

주(州)와 지방 차원에서도 AI 알고리즘의 오남용을 규제하고 있다. 뉴욕시 의회는 2019년 뉴욕시가 알고리즘 사용에 있어 편향성이 있는지 점검하는 기구를 설립하는 내용의 법안을 통과시켰으며 이에 따라 뉴욕시에 ‘자동 결정 시스템 태스크포스’가 구성되어 운영되고 있다.

미국 FTC는 2020년 4월 「AI와 알고리즘 사용에 대한 지침」을 발표하면서 기업이 AI과 알고리즘을 사용하는 과정에서 소비자에게 발생할 수 있는 위험을 어떻게 관리할 것인지에 관하여 비교적 상세한 지침을 제시하였으며 ①투명성, ②설명 가능성, ③공정성, ④견고성과 실증적 타당성, ⑤책임성을 갖추도록 하였다.

EU

EU 「개인정보보호규정(GDPR)」 제22조는 정보주체가 AI 등 자동화된 의사결정에 대하여 거부할 수 있는 권리를 규정하고 있다. 해당 조항은 정보주체가 자신에 관하여 법적 효력을 주거나 이와 유사한 중대한 효과를 미치는 자동화된 처리(프로파일링 포함)에만 근거한 결정에 따르지 않을 권리를 명문화하였다.

EU가 2020년 7월 시행한 「온라인 플랫폼 시장의 공정성 및 투명성 강화를 위한 2019년 EU 이사회 규칙」은 알고리즘 투명성 강화 방안으로서 검색결과 노출순위를 결정하는 알고리즘 주요 매개변수의 공개 등을 규정하였다.

EU 집행위원회는 2020년 3월 「AI 발전과 신뢰를 위한 백서」를 발표하면서 고위험 분야의 AI에 대하여 향후 안전성 요건을 수립하고 사전 적합성 평가를 받도록 하는 내용을 담았다.3) 고위험 분야는 개인의 법적 권리에 상당한 영향을 주거나 신체・생명・재산에 심각한 피해를 초래하는 경우가 해당될 수 있어 금융 분야도 포함될 것으로 보인다. 고위험 분야에 적용되어야 할 요건으로서 ①학습 데이터 관리, ②기록 보관, ③이용자에게 AI 시스템에 관한 정보 제공, ④견고성과 정확성 확보, ⑤인간의 감독 개입을 제시하였다.

일본

일본은 2016년 4월 일본에서 열린 G7 정보통신장관 회의를 통해 AI 개발 가이드라인을 제안한 바 있으며, 2017년 7월 ‘AI 연구개발 가이드라인’ 초안을 발간하였다.

일본 내각부는 2018년 인간 중심 AI 사회 원칙 검토 회의를 통해 ‘인간 중심 AI 사회 원칙(안)’을 도출하였는데, 인간 중심 사회를 이루는 세 가지 가치로서 ①인간의 존엄성이 존중되는 사회, ② 다양한 배경을 가진 사람들이 다양한 행복을 추구할 수 있는 사회, ③ 지속성 있는 사회를 제시하였다.

IEEE

IEEE(국제 전기전자 기술자 협회)는 2019년 AI·자율 시스템에 윤리적 규범이 구현될 수 있도록 원칙 및 방법을 규정한 「윤리적 설계(Ethically Aligned Design)」 보고서를 발간하였다.4) 윤리적 시스템 설계를 위한 원칙으로서 ①인권 보호 및 증진, ②인간 행복 증진, ③데이터 자기결정권, ④효과성, ⑤투명성, ⑥책임성, ⑦오남용 방지, ⑧기능성을 제시하였으며, 원칙 제시에 그치지 않고, 해당 원칙들이 시스템에 구현되기 위한 세부 실행계획의 방향을 제시하고 후속 작업반을 구성・운영하고 있다.

 

해외 동향을 살펴봄으로써 주목할 것은 AI가 견고함과 신뢰성을 갖출 때 기술에 대한 사람들의 수용성이 높아져 기술발전과 산업 활용이 촉진될 수 있다는 점이다. 이를 위해 현재 다소 추상적이고

 

추상적이고 선언적인 AI 윤리기준을 보다 구체화하고 검증 가능한 형태로 발전시킬 필요가 있다.

미국, 유럽 등의 입법・정책을 참고하여 고위험 분야에서는 사전 점검 체계를, 그 외의 분야에서는 자율 규제 또는 품질 인증 체계 도입을 검토해 볼 수 있다. 사전 점검의 방안으로 학습데이터 관리, 투명한 정보 제공, 인간의 개입 등 실효성과 집행가능성 있는 기준들을 마련할 필요가 있다

 

 

 

데이터 활용을 위한 제도 정비 현황

딥러닝 등 최근 AI 기술은 기계학습을 통해 고도화되고 있어 양질의 대규모 데이터가 기술 발전의 중요한 요소이다. 우리나라 정부는 데이터의 산업적 중요성을 인식하고 관련 정책을 추진하고 있으며, 주요국 역시 데이터 확보, 활용 확대, 데이터의 안전한 활용을 위한 제도 정비 등 관련 정책 및 입법을 수립·추진하고 있다.

우리나라에서는 데이터 활용 활성화를 위해 경직되고 엄격한 개인정보 보호 법제에 대한 개선이 요구되어 왔으며, 이를 해결하려는 목적으로 개인정보보호법 등 이른바 데이터 3법이 개정되어 2020년 8월 시행되었다. 주요 개정 사항으로는 ‘가명정보’ 도입, 동의 요건 완화, 개인정보 개념 정비, 법제 정비, 추진체계 일원화를 들 수 있다. 나아가 개인정보보호위원회는 2021년 1월 정보주체 권리 강화, 규제 합리화 등을 담은 「개인정보보호법 일부개정법률안」을 입법예고하였다. 주요 내용으로는 개인정보 이동권(전송요구권) 도입, 자동화된 의사결정에 대한 거부권, 이의제기권 및 설명요구권 도입 등이다.

국회에서도 입법적 노력이 이어지고 있으며, 조승래 의원이 대표발의한 「데이터 기본법안」은 개인정보 이동권 도입, 데이터 자산 침해행위 금지, 데이터 분석 시 타인 저작물 이용, 국가데이터전략위원회 설치, 데이터거래사 등록 제도 도입 등을 담고 있다.

AI 기술 발전에 있어 데이터가 핵심 요소이며, 데이터 이용을 높이면서 개인과 기업에게 신뢰를 줄 수 있는 입법 및 정책이 필요하다. 개인의 통제권 강화, 개인정보 보호와 데이터 활용의 균형, 기업이 축적한 데이터의 보호, 데이터의 공공적 이용 확대 및 공정성 강화, 데이터 거버넌스 정립 및 거래 기반 조성 등을 추진할 필요가 있다. 해외 동향은 어떤지 살펴보자.

미국

미국은 데이터 이용 및 거래와 관련하여 개인정보 활용이 비교적 용이한 환경인데, 점차 합리적인 규제의 도입을 추진하는 추세이다. 미국 연방법은 건강 등 개별 분야에서 개인정보를 보호하거나 아동 등으로 보호 대상을 제한하는 법률을 두고 있으며, 각 개별 주(州)에서도 분야별로 개별적인 개인정보 보호 법률만 존재하였는데, 2020년 시행된 「캘리포니아 소비자 프라이버시법(CCPA)」은 미국 최초로 개인정보 보호에 있어 일반법을 제정한 사례이며, 개인정보를 보호하는 법률 제정 논의가 연방 차원과 다른 주에서 이어지고 있다.

데이터 브로커와 관련하여, 미국 버몬트 주의회는 2018년 5월 「데이터 브로커와 소비자 보호에 관한 법률」 제정으로 데이터 브로커 사업을 법적으로 인정하되 의무사항을 부여하였다.

EU

2018년 5월 25일부터 시행된 EU 개인정보보호규정(GDPR)은 개인정보 이동권, 개인정보의 자동화된 프로파일링에 대한 거부권 및 이의제기권 등을 통해 정보주체의 권리를 강화하였으며, 가명처리한 개인정보의 활용 등으로 데이터의 활용과 정보주체의 권리 보호의 균형을 추구한 것으로 평가된다.

EU 집행위원회는 2020년 12월 새로운 데이터 거버넌스 규칙을 담은 법안(Data Governance Act) 초안을 공개하였다.5) 사물인터넷 등에서 지속적으로 발생하는 데이터에 대한 개인의 통제권을 강화하고, ‘데이터 중개인(data intermediaries)’을 도입하여 자신의 이익을 위하지 않고 데이터를 수집・거래하며 데이터 공유를 촉진하는 역할을 하도록 하였다.

아울러 위 법안에서 데이터 공유를 위한 ‘데이터 이타성(data altruism)’ 개념을 도입하였다. ‘데이터 이타성’은 개인이나 기업이 자신의 데이터를 공익을 위하여 보상 없이 자발적으로 제공하는 것을 말하며, 이를테면 지역 교통 향상을 위하여 모빌리티 데이터를 제공하는 것을 들 수 있다. 이렇게 제공된 데이터를 등록하고 관리하는 기관의 설치도 제안하였다.

한편, 유럽 의회는 2017년 2월 「로봇법 제정을 위한 권고안」을 전체회의에서 의결하였는데, 로봇으로 인한 손해발생 시 적용 법리로서 ‘무과실책임(strict liability)’과 ‘위험관리(risk management approach)’를 고려할 수 있다고 밝혔다.6) 무과실 책임의 경우 손해발생·결함 간 인과관계가 인정되면 과실 여부와 무관하게 제조사가 책임을 지게 되며, 위험관리의 경우 제조사의 지배영역에서 결함 발생시 제조사가 책임을 지게 된다.

영국은 2018년 7월 제정된 「Automated and Electric Vehicles Bill」에서 자율주행자동차 사고에 대한 손해배상 등을 규정하였다. 위 법률은 자율주행자동차로 인한 사고에 대하여 보험회사가 1차적인 책임을 지도록 규정하였고 자율주행자동차 사고 피해자의 과실이 있는 경우 보험회사의 배상책임 감면, 다른 책임 주체에 대한 구상권 등을 규정하였다.7) 이러한 입법은 피해자 보호를 강화하면서 책임의 합리적 배분을 도모한 것으로 평가될 수 있다.

AI에 의해 발생한 손해와 관련하여 제조업자의 책임을 강화하는 방안을 검토할 필요가 있다. 현 단계에서는 「제조물 책임법」을 참고하여 제조업자에게 결함 및 결함과 손해 간 인과관계의 입증을 전환하는 방식을 적용할 수 있다. 로보어드바이저와 같이 순수 소프트웨어에 대하여는 무리하게 제조물의 범위에 포함시키는 것보다 별도의 AI 관련 법률에서 책임 법리를 규정하는 것이 적절해 보인다. AI에 의한 사고발생 확률은 인간에 의한 사고보다 낮을 것으로 예상되고 제조업자에게 과도한 책임을 부과할 경우 기술 발전에 저해가 될 수 있어, 보험을 통해 해결하는 방안을 검토해볼 수 있다.

금융사들은 고객들의 금전적인 피해를 최소화하기 위해 이상금융거래탐지시스템(FDS: Fraud Detective System)이라는 안전장치를 마련하고 고도화를 추진중이다. FDS를 통해 고객의 금융거래 패턴 등을 파악한 뒤 이상 징후가 발견되면 추가로 본인인증을 요구하거나 고객에게 알려준다.

최근에는 금융결제원이 빅데이터 기반 금융의심거래정보 분석·공유서비스(FAS)를 13개 은행에 순차적으로 제공하겠다고 밝혔다. FAS는 금융공동망 구간 데이터를 AI를 활용해 보이스피싱 등 사기의심계좌를 분석·예측하고 각 금융회사가 보유한 사기의심계좌를 수집·공유하는 서비스다.

 

 

 

한편, 현재 AI 기술이 특정 분야에서 사람보다 뛰어난 능력을 보이긴 하지만 일반적인 지적 활동 전반을 대체할 정도로 성숙하지 않아 별도의 법인격 논의는 이른 것으로 보인다. AI에 의한 손해발생시 법적 책임이나 창작물의 권리의 경우 현 단계에서는 소유권자・이용자 등 인간에게 귀속되는 것으로 검토하되, 장기적으로 개별적인 로봇·AI 개체에 부여하는 방안을 검토할 수 있다.

우리나라는 AI 기술 확보 및 진흥에 관하여는 상당한 속도를 내고 있으나 기술의 역기능을 해소하고 사회적 수용성을 높이기 위한 정책과 입법은 다소 미흡한 상황이다. AI 공정성 확보, 법적 책임 소재 등을 해결하여 기술에 대한 국민의 막연한 불안감을 해소할 때 기술과 산업은 더욱 발전할 수 있다. 보다 체계적이고 구체적인 법제도 정비 논의가 이어지기를 기대한다

1) 미국 의회 홈페이지https://www.congress.gov/bill/116th-congress/house-bill/2231/all-info

2) 미국 FTC 홈페이지https://www.ftc.gov/news-events/blogs/business-blog/2020/04/using-artificial-intelligence-algorithms

3) European Commission, “White Paper on Artificial Intelligence: a European approach to excellence and trust”, 2020. 2

4) IEEE, “Ethically Aligned Design First Edition”, 2019. 4.

5) EU 집행위원회 홈페이지 Proposal for a Regulation on European data governance (Data Governance Act)

6) European Parliament, “European Parliament resolution of 16 February 2017 with recommendations to the Commission on Civil Law Rules on Robotics (2015/2103(INL))”, 2017. 2.

7) 영국 법령 정보 홈페이지https://www.legislation.gov.uk/ukpga/2018/18/section/2/enacted