[전문] EU AI 백서 '신뢰 생태계 구축-규제 프레임워크'

[테크월드뉴스=이혜진 기자] 유럽연합(EU) 집행위원회는 2019년 '신뢰할 수 있는 인공지능(AI) 윤리 가이드라인'을, 작년 2월에는 'AI 백서'를 연이어 발표했다. 2019년 말 취임한 우르줄라 폰데어라이엔 집행위원장이 취임한지 100일 안에 관련 법적 방안을 제시하겠다고 공약한 후 나온 문서다. 

이전에도 집행위는 AI 개발자에 대한 윤리적인 규제를 강화하는 방안을 검토하던 중이었다. 완성된 백서엔 사생활 보호처럼 유럽적인 가치를 촉진하는 내용이 담겼다. 

이에 일각에선 집행위의 엄격한 정보 보호 정책이 AI의 발전을 가로막는다고 주장한다. 하지만 조화로운 규제가 AI의 발전을 가져온다는 것이 집행위의 설명이다. 

백서는 각국의 AI 관련 입법에 근거가 될 만한 일종의 헌법과 같은 문서다. 다음은 EU의 AI 백서 가운데 '신뢰 생태계 구축-규제 프레임워크' 항목의 전문이다. 

다른 신기술처럼 AI의 사용은 기회와 위험을 가져온다. 시민들은 알고리즘에 기반한 의사 결정의 정보 비대칭성에 직면했을 때 자신의 권리와 안전을 방어하는 데 무력해지는 것을 두려워한다. 기업들은 법적 불확실성을 우려한다. AI는 시민의 안전을 보호하고 기본권을 누릴 수 있도록 기여하지만 시민들은 AI가 의도치 않은 영향을 미치거나 악의적인 목적으로 사용될 수 있다고 우려한다. 이러한 우려는 해소돼야 한다. 신뢰 부족은 AI의 광범위한 활용을 저해하는 주된 요인이다.

이는 EU 집행위원회가 2018년 4월 25일 EU 전역에서 사회∙경제적인 전략을 수립한 이유다. 그러면서 집행위는 회원국들과 관련 조정 계획에 합의했다. 또 2019년 4월 고위 전문가 그룹을 발족 해 ‘신뢰할 수 있는 AI 가이드라인’을 발간했다.

집행위는 해당 가이드라인의 7가지 주요 요구 사항을 환영하는 내용의 ‘전언’을 발행했다. 7가지 주요 요구 사항은 ▲인적 감독 ▲기술적 견고성∙안전성 ▲개인 정보 보호∙데이터 거버넌스(관리) ▲투명성 ▲다양성, 차별 금지∙공정성 ▲사회·환경적 복지 ▲책무성 등이다.

가이드라인에는 기업의 AI 사용을 위한 평가 항목이 수록돼 있다. 2019년 하반기에 350개가 넘는 기관이 항목에 대한 피드백을 보냈다. 주요 피드백 내용은 ‘가이드라인의 요구 사항 다수는 이미 기존 법률이나 규제에 반영돼 있지만, 투명성∙추적성∙인적 감독에 관한 요구사항은 여러 경제 분야의 법률에서 구체적으로 다루고 있지 않다’는 것이다.

전문가 그룹의 가이드라인과 EU 정상회의 상임 의장의 정치적 방침에 따라, EU의 AI 규제는 AI에 대한 소비자와 기업 간 신뢰를 쌓고, 이에 따라 기술 활용의 속도를 높일 것이다. 규제는 해당 분야의 다른 조치와 일관성이 있어야 한다. 또 사회∙환경∙경제적으로 최적의 결과를 보장하고 EU의 법률∙원칙∙가치의 준수를 보장해야 한다. 이는 법 집행∙사법 영역에서 AI를 응용하는 경우와 같이 시민의 권리에 가장 직접적인 영향을 미칠 수 있는 영역과 관련 있다.

AI 개발∙도입 기관은 이미 기본권(ex. 개인 정보 보호, 사생활, 차별 금지), 소비자 보호, 제품 안전, 책임 규율에 관한 EU의 법률을 적용 받고 있다. 소비자는 제품이나 시스템이 AI에 의존하든 아니든 같은 수준의 안전과 권리를 기대한다. 그러나 AI의 일부 특징(예: 불투명성)은 이 법률들의 적용과 이행을 더 어렵게 할 수 있다. 이 때문에 현행 법률이 AI의 위험성을 해소할 수 있고 효과적으로 이행될 수 있는지, 법률의 적용이 필요한지 또는 새로운 입법이 필요한지 등을 따져볼 필요가 있다.

AI가 빠르게 진화하고 있다는 사실을 감안하면, 규제는 향후 AI의 개발에도 적용될 여지를 남겨야 한다. 규제 변경은 실현 가능한 해결책이 있는 범위 안에서 제한돼야 한다.

EU 회원국들은 현재 공통의 규제가 없다는 사실을 지적하고 있다. 독일 윤리위원회는 가장 무해한 AI 시스템에 대한 무규제로부터 가장 위험한 AI 시스템에 대한 완전한 금지까지 5단계의 규제를 요청했다. 덴마크는 최근 데이터 윤리 봉인(Data Ethics Seal)에 대한 가상의 모델을 선보였다. 몰타는 AI 자율 인증제를 도입했다. EU가 회원국 전체에 걸친 관련 접근법을 제공하지 못하면 AI에 대한 신뢰, 법적 확실성, 시장에서의 활용이라는 목표를 훼손할 것이다.

신뢰할 수 있는 AI에 대한 EU의 규제는 모든 회원국의 국민을 보호하는데 도움이 될 것이다. 또 향후 AI의 개발과 활용은 물론, 유럽의 관련 시장을 창출하는 데 도움이 될 것이다.

1. AI 문제에 대한 정의

AI는 제품과 공정을 더 안전하게 만들어 많은 이익을 낼 수 있지만, 위해를 끼칠 수도 있다. 위해성은 물질적(생명의 위협, 재산상 손실 등 개인의 안전과 건강 문제)이거나 비물질적(사생활 침해, 표현의 자유 제한, 인간 존엄성, 고용 차별 등의 문제)일 수 있다. 광범위한 위험성과 관련될 수도 있다. 규제는 잠재적 위해성의 다양한 위험성, 특히 가장 중대한 위험을 최소화하는 데 주력해야 한다.

AI의 주요 위험성은 기본권에 관한 규율의 적용에 대한 것이다. 안전과 책임에 대한 것이기도 하다.

(1) 기본권 측면에서 바라본 AI의 위험성

AI의 사용은 EU가 수립한 다양한 가치에 영향을 미칠 수 있다. 구체적으로는 표현의 자유, 집회의 자유, 인간의 존엄성, 성별·인종, 민족적 기원·종교, 신념·장애·연령, 성적 지향에 따른 차별 금지 등이다. AI의 사용은 특정 영역에서 소비자 보호뿐만 아니라 개인 정보∙사생활 보호, 법적 구제와 공정한 재판을 받을 권리 등 기본권에 대한 침해로 이어질 수 있다. 이런 위험성은 AI 시스템의 설계적인 결함(ex. 인적 감독에 관한 문제)에서 기인했을 수 있다. 아니면 편견을 교정하지 않고 데이터를 사용하는 경우(ex. 남성의 데이터를 주되게, 또는 유일하게 사용해 훈련된 경우)에서 기인했을 수 있다.

AI는 이전에는 인간만이 할 수 있었던 많은 기능을 수행할 수 있다. 그 결과 시민과 법인은 AI 시스템에 의해 취해졌거나 시스템의 지원을 받아 취해진 조치와 결정에 더 종속될 것이다. 이는 때때로 이해하기 어려울 수 있으며 효과적으로 문제를 제기하기도 어려워질 수 있다. 게다가 AI는 사람의 습관을 추적하고 분석할 가능성이 높다. 예를 들어 각국 기관이나 여타 기구에서 대량 감시를 위해 EU의 관련 규율을 위반하며 AI를 사용하거나, 회사가 직원의 행동을 관찰하기 위해 AI를 사용할 잠재적 위험성이 있다. 또 대량의 데이터를 분석하고 식별함으로써, AI는 사람에 대한 데이터를 재추적하고 탈익명화하는 데 사용될 수 있다. 데이터를 생산하고 실증하는 데이터 셋(Data Set)에 대해서도 개인 정보 보호 측면에서 새로운 위험을 유발할 수 있다. 또 온라인 사업자가 사용자에게 정보의 우선 순위를 정해주고 내용을 규제할 때도 사용된다. 처리된 데이터, 애플리케이션의 설계 방식 등은 표현의 자유, 개인 정보 보호, 사생활∙정치적 자유에 영향을 미칠 수 있다.

특정 AI 알고리즘이 출소자의 재범 확률 예측에 악용되면 여성 대 남성 또는 내국인 대 외국인에 대해 성별∙인종적 편향성을 드러낼 수 있다.

실제로 얼굴 분석에 사용되는 특정 AI 프로그램은 피부색이 밝은 남성의 성별을 결정할 때 낮은 오류율을 보였지만, 피부색이 어두운 여성의 성별을 결정할 때 높은 오류율을 보이며 편향성을 드러냈다.

편견과 차별은 모든 사회∙경제 활동에 내재된 위험이다. 인간의 의사 결정은 실수나 편견에 면역돼 있지 않다. 그러나 같은 편견이 AI에서 나타날 때, 이를 통제하는 메커니즘 없이 많은 사람을 차별할 수 있다는 점에서 더 큰 영향을 미칠 수 있다. 이는 AI 시스템이 ‘학습’할 때도 발생할 수 있다.

설계 단계에서 이 같은 문제를 예방하거나 예측할 수 없다면, AI의 위험성은 시스템의 설계적인 결함에서 기인하는 것이 아니라 시스템이 대규모 데이터 셋에서 식별하는 상관 관계나 패턴의 실영향을 받는다.

또 AI의 불투명성(AI의 블랙박스적 특징∙어떤 입력 데이터가 결과에 기여했는지 구체적으로 파악하고 인과 관계를 증명하기 어려움), 복잡성, 예측 불가능성 등 AI 기술의 여러 특성은 EU의 기본권 관련 법률 준수 여부를 검증하기 어렵게 만들 수 있다. 또 법률을 효과적으로 이행하는 것을 막을 수도 있다. 이로 인해 집행 당국과 피해자는 AI가 개입된 상태에서 해당 결정이 어떻게 내려졌는지 검증하기 위한 수단을 마련하지 못할 수 있다. 그 결과 관련 규정의 준수 여부도 검증하기 어려울 수 있다. 개인과 법인은 이런 결정이 자신에게 부정적인 영향을 미칠 수 있는 상황에서 효과적인 법적 수단에 접근하는 데 어려움을 겪을 수 있다.

(2) 기능 측면에서 바라본 AI의 위험성

AI 기술이 제품과 서비스에 내장되면 사용자에게 안전상 새로운 위험성이 나타날 수 있다. 예를 들어 물체 인식 기술의 결함으로 자율주행차는 도로에서 물체를 잘못 식별해 사고를 일으킬 수 있다. 이런 위험성은 AI 기술의 설계상 결함에 의해 발생할 수 있다. 이는 데이터의 가용성∙품질 문제나 기계 학습에서 기인한 문제와 관련 있다. 위험성은 AI에 의존하는 제품과 서비스에 국한되지 않는다. AI는 이런 위험성을 증가시킬 수 있다.

이런 위험을 다루는 안전 규정이 부족하면 개인에 대한 위험성과 별개로 EU가 AI 관련 제품을 마케팅하는 기업에 법적 불확실성을 야기할 수 있다. 시장 감시∙집행 당국은 개입 여부에 있어 불분명한 상황에 처할 수 있다. 이는 이들이 AI 시스템을 검사하기 위한 집행권을 부여받지 못했거나, 기술적인 역량을 보유하지 못했기 때문이다. 따라서 법적 불확실성은 AI의 안전 수준과 관련 기업의 경쟁력을 떨어뜨릴 수 있다.

위험이 현실화되면 앞서 언급한 요구 사항의 부족으로 AI가 야기한 문제적일 수 있는 의사 결정을 역추적하기 어렵다. 이는 피해자가 EU와 소속 국가의 법률에 따라 보상받기 어렵게 할 수 있다.

EU의 제품 책임 지침에 따르면 기업은 제품 결함으로 인한 손상에 책임을 져야 한다. 다만 자율주행차 등 AI 기반 시스템은 제품의 하자와 발생한 피해 사이의 인과를 입증하기 어려울 수 있다. 또 사이버 보안상 취약점으로 인한 문제 등 특정 유형의 결함일 경우, 지침이 적용되는 방법과 정도에서 불확실성이 남아있다.

따라서 AI 시스템이 내린 결정을 역추적하는 어려움은 안전∙책임 관련 문제에도 적용된다. 예를 들면 AI로 인해 위해를 입은 사람이 법적 증거에 효과적으로 접근하지 못할 수 있다. 또 전통적인 기술로 인해 손해를 입은 상황보다 피해가 효과적으로 시정될 가능성이 더 낮을 수 있다. AI의 사용이 확산되면 이러한 위험성은 증가할 것이다.

2. AI 관련 현행 EU 법률 체계의 조정 가능성

광범위한 현행 EU 제품 안전∙책임 법률은 부문별 규율을 포함하고 회원국 국내법에 의해 더욱 보완되는데, 새로 부상하는 다수의 AI 애플리케이션과도 관련이 있으며 잠정적으로 적용할 수 있다.

기본권과 소비자 권리의 보호와 관련하여, EU의 법률 체계는 인종 평등 지침, 고용∙직업에서 동등한 처우에 관한 지침, 재화∙서비스에 대한 접근과 고용에서 남녀 동등 처우에 관한 지침, 일련의 소비자 보호 규정들은 물론, GDPR로 대표되는 개인정보 보호∙사생활 관련 규정, 법 집행 기관 개인정보 보호 지침 등 기타 부문별 개인정보 보호 법률을 아우른다. 또 2025년부터는 유럽접근성법에 규정된 상품∙서비스에 대한 접근성 요구사항에 관한 규율들이 적용된다. 또 금융 서비스, 이주, 혹은 온라인사업자의 책임에 대한 분야를 비롯해 다른 EU 법률을 시행할 때 기본권을 존중할 필요가 있다.

EU 법률은 AI의 개입 여부와 관계없이 원칙적으로 충분히 적용 가능한 상태이지만, 법률이 AI 시스템이 창출하는 위험성을 해소하기 위해 적절히 시행될 수 있는지, 또는 특정 법률 수단에 대한 조정이 필요한지 여부에 대해 평가하는 것이 중요하다.

예를 들어 경제 행위자는 소비자를 보호하는 기존 규정에 대한 AI의 준수 문제에 대해 전적으로 책임을 지며, 알고리즘이 기존 규정을 위반하여 소비자 행동을 부당하게 이용하는 것은 허용되지 않고 위반 행위도 그에 준하여 처벌되어야 한다.

집행위는 다음과 같은 위험과 상황에 대처하기 위해 법률 체계를 개선할 수 있다는 의견이다.

①기존 EU 법률과 회원국 국내법의 효과적인 적용∙집행 

AI의 주요 특성은 EU 법률과 회원국 국내법의 적절한 적용과 시행을 보장하는 데 있어 문제를 야기한다. 투명성 부족(AI의 불투명성) 때문에 기본권 보호, 속성책임, 배상청구 조건 충족 등 법 위반 가능성을 확인하고 입증하기 어렵다. 따라서 효과적인 적용과 집행을 보장하기 위해서는, 예를 들어 본 백서에 수반되는 보고서에 추가적으로 설명된 책임에 관한 분야를 비롯해 특정 분야의 현행 법률을 조정하거나 명확히 할 필요가 있을 수 있다.

②현행 EU 법률의 범위 제한

EU 제품안전법의 핵심적인 초점은 제품을 시장에 출시하는 경우에 대한 것이다. EU 제품안전법에서 소프트웨어는 최종 제품의 일부인 경우 관련 제품안전 규칙을 준수해야 하지만, 독립형 소프트웨어가 명시적 규칙을 가진 일부 부문 바깥에서 EU 제품안전법의 적용을 받는지 여부는 열린 질문이다. 현재 시행 중인 일반 EU 안전법은 서비스가 아닌 상품에 적용되며, 따라서 원칙적으로 AI 기술(ex: 보건의료 서비스, 금융 서비스, 운송 서비스)에 기반한 서비스에는 적용되지 않는다.

③AI 시스템 기능 변경

AI를 비롯해 소프트웨어를 제품으로 통합하면 그 생애주기 동안 해당 제품과 시스템의 기능을 수정할 수 있다. 이것은 특히 빈번한 소프트웨어 업데이트가 필요하거나 기계 학습에 의존하는 시스템의 경우에 해당된다. 이러한 특징들은 시스템을 시장에 내놓았을 때 없었던 새로운 위험을 야기할 수 있다. 이러한 위험은 시장에 출시했을 때 나타나는 안전 위험에 주로 초점을 맞춘 현행 법률에서 적절히 다루고 있지 않다.

④공급망에서 서로 다른 경제 행위자 간의 책임 배분에 관한 불확실성

일반적으로 제품 안전성에 관한 EU 법률은 시장에 배치된 제품의 생산자에게 책임을 배분하는데, 이는 AI 시스템 등 모든 구성 요소를 포함한다. 그러나 예를 들어 생산자가 아닌 측에서 제품을 시장에 내놓은 후 AI가 추가되면 이 규칙이 불분명해질 수 있다. 또한, EU 제품책임법은 생산자의 책임을 규정하고, 공급망에서 다른 사람의 책임을 통제하는 것은 국내 책임법의 역할로 남겨두었다.

⑤안전 개념의 변화

제품과 서비스에서 AI를 사용하는 것은 EU 법률이 현재 명시적으로 다루지 않는 위험을 야기할 수 있다. 이러한 위험들은 사이버 위협, 개인 보안 위험(ex: 가전제품과 같은 AI의 새로운 애플리케이션과 연계될 경우), 연결 손실에 따른 위험 등과 연결될 수 있다. 이러한 위험은 제품을 시장에 출시할 때 나타나거나 제품을 사용하는 동안 소프트웨어 업데이트 또는 자가 학습의 결과로 발생할 수 있다. AI 위협 요소 평가에 EU 사이버보안청(ENISA)의 경험을 활용하는 등, EU는 AI 애플리케이션과 연계된 잠재적 위험에 대해 증거 기반을 강화할 수 있는 관할 수단을 최대한 활용해야 한다.

앞서 지적했듯 일부 회원국은 이미 AI로 야기된 난제를 해결하기 위해 국내 입법이라는 선택을 모색하고 있다. 이는 단일 시장이 분열될 수 있는 위험을 높인다. 국가간 규정이 엇갈리면 단일 시장에서 AI 시스템을 판매·운용하려는 기업에 장벽이 생길 가능성이 높다. EU 수준에서 공통적인 접근방식을 보장하면 유럽 기업들이 단일 시장에 대한 원활한 접근으로부터 이익을 얻고 글로벌 시장에서의 경쟁력을 지원받을 수 있을 것이다.

집행위는 아래와 같은 논의로부터 기존 법률에 대한 조정 가능성과 별도로, EU의 법적 체제가 기술과 상업적인 발전에 부합하도록 AI에 특화된 새로운 법률이 필요할 수 있다고 결론을 내린다.

※ 인공지능, 사물인터넷, 로봇공학이 갖는 안전과 책임의 의미에 관한 보고서

본 백서와 함께 제공되는 보고서는 관련 법적 체제를 분석했다. 보고서는 AI 시스템∙기타 디지털 기술에 의해 야기되는 특정 위험에 대하여 이 체제들을 적용할 때 나타나는 불확실성을 확인했다.

보고서는 현행 제품안전법이 이미 제품 사용에 따라 제품에서 발생하는 모든 종류의 위험으로부터 안전을 보호하는 확장된 개념을 지지하고 있다고 결론내렸다. 그러나 새로 부상하는 디지털 기술이 드러내는 새로운 위험을 명시적으로 다루는 조항이 도입되면 보다 법적 확실성을 제공할 수 있을 것이다.

생애주기 동안 특정 AI 시스템의 자율적 작동은 안전에 영향을 미치는 중요한 제품 변경을 수반할 수 있으며, 이는 새로운 위험성 평가를 필요로 할 수 있다. 또한 제품 설계서부터 AI 제품∙시스템의 생애주기 전체에 대한 안전장치로서 인적 감독이 필요할 수 있다.

생산자에 대한 명시적 의무는 적절할시 사용자의 정신적 안전 위험과 관련해서도 고려될 수 있다(ex: 휴머노이드 로봇과의 협업).

조합 제품안전법은 AI 제품∙시스템 사용 전반에 걸쳐 데이터 품질을 유지할수 있는 메커니즘뿐만 아니라 설계 단계에서 결함 있는 데이터의 안전성 위협을 해결하는 특정 요구사항을 규정할 수 있다.

알고리즘에 기반한 시스템의 불투명성은 투명성 요구사항을 통해 해결할 수 있다.

독립형 소프트웨어가 있는 그대로 시장에 배치되었거나 시장에 배치된 후 제품에 다운로드되었는데 안전성에 영향을 미치는 경우, 기존 규칙을 조정하고 명확히 할 필요가 있을 수 있다.

신기술 공급망의 복잡성이 증가함에 따라, 공급망 내 경제 행위자와 사용자 간의 협력을 특별히 요청하는 조항은 법적 확실성을 제공할 수 있다.

AI, 사물인터넷, 로봇공학과 같은 새로운 디지털 기술의 특성은 책임 프레임워크의 측면에서 문제를 야기할 수 있고 그 효과를 감소시킬 수 있다. 이러한 특성들 중 일부는 사람에게 돌아가 그 피해를 추적하는 것을 어렵게 만들 수 있으며, 이는 대부분의 국내 규율에 따라 결함에 기반해 청구를 제기할 때 필요한 것들이다. 이는 피해자 비용을 상당히 증가시킬 수 있으며, 생산자 외 타인에 대한 책임 청구가 이루어지거나 입증하기 어려울 수 있다는 것을 의미한다.

AI 시스템의 개입으로 피해를 입은 사람은 다른 기술로 피해를 입은 사람과 동일한 수준의 보호를 누릴 필요가 있는 한편으로, 기술혁신은 계속 발전할 수 있도록 해야 한다.

제품 책임 지침에 대한 수정 가능성∙국내 책임법들의 추가적인 표적형 조정 가능성을 비롯해, 이상의 목적을 보장하기 위한 모든 선택지들을 신중하게 평가해야 한다. 예를 들어, 집행위는 AI 애플리케이션 운영으로 인한 피해에 대해 국내책임법에서 요구하는 입증책임을 적용함으로써 복잡성의 결과를 완화하는 것이 필요한지 여부와 그 정도에 대해 생각해보고 있다.

3. 미래 EU 규제 프레임워크의 범위

향후 AI 지능에 대한 구체적인 규제 프레임워크의 핵심 쟁점은 적용 범위를 결정하는 것이다. 이 규제 프레임워크는 AI에 의존하는 제품과 서비스에 적용된다는 것이 작업 가정이다. 따라서 이 백서의 목적뿐만 아니라 미래의 정책 수립을 위해 AI가 명확하게 정의되어야 한다.

집행위는 '유럽을 위한 AI'에 관한 전언에서 AI에 대해 처음으로 정의했다. 해당 정의는 고위 전문가 그룹을 통해 더 다듬어졌다.

어떤 새로운 법적 수단에서든 AI의 정의는 필요한 법적 확실성을 제공할 수 있을 만큼 정확하면서 기술적 진보를 수용할 수 있을 만큼 충분히 융통성이 있어야 할 것이다.

예를 들어 자율주행에서 알고리즘은, 차량이 특정 목적지에 도달하기 위해 어떤 방향, 가속∙속도를 취해야 하는지 유도하기 위해 자동차의 데이터(속도∙엔진 소모∙충격 흡수기 등)와 차량 주변 모든 환경을 스캔하는 센서의 데이터(도로∙표지판∙다른 차량∙보행자 등)를 실시간으로 사용한다. 관찰된 데이터를 바탕으로 알고리즘은 도로의 상황과 다른 운전자의 행동을 포함한 외부 조건에 적응하여 가장 편안하고 안전한 운행을 끌어낸다.

본 백서의 취지는 물론 향후 정책에 대한 논의 가능성 측면에서 AI를 구성하는 주요 요소를 명확히 하는 것이다. AI는 하드웨어에 통합될 수 있다. AI의 서브셋을 구성하는 머신러닝 기법의 경우, 주어진 목표를 달성하는 데 필요한 행동을 결정하기 위해 데이터셋을 기반으로 특정 패턴을 추론하도록 알고리즘을 교육한다. 알고리즘은 사용 중일 때 계속 학습할 수 있다. AI 기반 제품은 환경을 인지하고 사전에 정해진 지침을 따르지 않고 자율적으로 작동할 수 있지만, 이들의 작동은 대부분 개발자들에 의해 대체로 정의되고 제약된다. 인간은 AI 시스템이 최적화해야 할 목표를 결정하고 프로그래밍한다.

EU는 특히 소비자를 보호하고 불공정한 상업 관행에 대응하며 개인정보와 사생활을 보호하기 위한 엄격한 법률 체계를 시행하고 있다. 또한 역내 조약에는 특정 부문(ex: 의료, 운송)에 대한 특별 규정들이 포함되어 있다. 디지털 변환과 AI 사용을 반영하기 위해 이들 EU 법률 체계에 어느 정도 업데이트가 필요할 수 있지만, AI에 대해서도 현행 조항들이 계속 적용될 것이다. 따라서 기존의 수평적 또는 부문적 법률(ex: 의료기기 관련 법률, 운송 시스템 관련 법률)에서 이미 다루고 있는 측면은 계속하여 이들 법률이 적용될 것이다.

원칙적으로 AI에 대한 새로운 규제 프레임워크는 목표를 달성하는 데 효과적이면서 중소기업에 부담이 될 만큼 지나치게 지시적이지 않아야 한다. 이 균형을 맞추기 위해, 집행위는 위험 기반 접근법을 따라야 한다고 생각한다.

규제 개입이 비례적일 수 있으려면 위험 기반 접근법이 중요하다. 다만 서로 다른 AI 애플리케이션을 구별할 수 있는 명확한 기준이 필요하고 특히 이들이 고위험인지 여부에 대한 질의와 관련해 더욱 그러하다. 고위험 AI 애플리케이션이 무엇인지에 대한 결정은 명확하고 쉽게 이해할 수 있어야 하며 모든 관련 당사자에게 적용할 수 있어야 한다. 그러나 설령 AI 애플리케이션이 고위험군으로 분류되지 않더라도 전적으로 기존 EU 규정의 적용을 받는다.

집행위는 AI 애플리케이션의 분야와 의도된 용도 모두에서 안전, 소비자 권리∙기본권의 보호에 있어 상당한 위험을 수반하는지 여부를 고려하여, 문제가 있는 경우 해당 AI 애플리케이션을 일반적으로 고위험으로 간주해야 한다는 의견이다. 구체적으로는 AI 애플리케이션이 다음의 두 가지 누적적 기준을 충족할 경우 고위험으로 간주해야 한다.

①일반적으로 수행되는 활동의 특성을 고려할 때 상당한 위험이 발생할 것으로 예상되는 분야에 해당 AI 애플리케이션이 배치되는 경우

해당 기준은 일반적으로 말해서 위험이 가장 발생할 가능성이 높다고 판단되는 영역을 대상으로 규제가 개입하도록 한다. 해당 부문은 새 규제 프레임워크에 구체적이고 철저하게 열거되어야 한다. 예를 들어 의료∙운송∙에너지∙공공 부문이 이에 해당할 것이다. 열거 목록은 관련 개발 기능이 실행되는 경우 정기적으로 검토∙수정되어야 한다.

② AI 애플리케이션이 추가적으로 상당한 위험이 발생할 가능성이 높은 방식으로 사용되는 경우 

해당 기준은 선택된 분야에서 사용되는 모든 AI가 반드시 상당한 위험을 수반하는 것은 아니라는 인식을 반영한다. 예를 들어, 보건의료는 일반적으로 관련 부문일 수 있지만, 병원 예약시스템의 결함은 일반적으로 입법적 개입을 정당화하는 상당한 위험을 야기하지 않을 것이다. 특정 용도의 위험 수준 평가는 관련 당사자들에 미치는 영향에 기초할 수 있다. 예를 들어 개인이나 기업의 권리에 대해 법적인 영향 또는 유사하게 상당한 영향을 미치는 AI 애플리케이션을 사용하거나, 부상, 사망 또는 상당한 물질적, 비물질적 손상을 초래하는 AI 애플리케이션을 사용하거나, 개인이나 법인이 합리적으로 피할 수 없는 영향을 미치는 AI 애플리케이션을 사용하는 경우 등이 있다.

위 두 기준을 적용하면 규제 프레임워크의 적용범위의 대상이 분명하고 법적 확실성을 보장할 수 있다. AI에 관한 새로운 규제 프레임워크에 포함된 의무적 요구사항은 원칙적으로 이 두 가지 누적 기준에 따라 고위험으로 확인된 애플리케이션에만 적용된다.

전술한 사항에도 불구하고 그 위험성으로 인해 특정 목적의 AI 애플리케이션의 사용을 위험성이 높은 것으로 간주하는 예외적인 사례도 있을 수 있다. 이 경우 분야를 불문하고 다음 요구사항이 여전히 적용될 것이다. 개괄적으로 다음과 같은 특별한 경우를 생각해볼 수 있다.

개인과 EU 조약에서 고용 평등의 중요성에 비추어 볼 때, 채용 과정과 근로자의 권리에 영향을 미치는 상황에서 AI 애플리케이션의 사용은 항상 고위험으로 간주될 수 있으며, 따라서 아래 요구사항이 항상 적용될 것이다. 소비자의 권리에 영향을 미치는 경우 더 구체적인 적용이 고려될 수 있다.

원격 생체인식∙기타 침입 감시 기술 목적으로 AI 애플리케이션을 사용하는 것은 항상 고위험으로 간주되며, 따라서 아래 요구사항이 늘 적용된다.

4. 요구사항의 유형 

향후 AI에 대한 규제 프레임워크를 설계할 때 관련 행위자에게 부과할 법적 의무 요구사항의 유형을 결정해야 할 것이다. 요구사항은 추가적으로 구체화될 수 있다. 앞서 언급했듯 기존의 법률 규제에 더해 요구사항은 고위험 AI 애플리케이션에만 적용되므로 규제 개입의 대상을 집중하고 비례적인 규제를 보장할 수 있다.

고위 전문가 그룹의 가이드라인과 앞서 설명한 사항을 고려해 고위험 AI 애플리케이션의 요구사항은 다음과 같은 주요 기능으로 구성될 수 있으며, 더 자세한 사항은 아래 하위 절(훈련용 데이터, 데이터∙기록 보존, 제공해야 할 정보, 견고성∙정확성, 인적 감독, 원격 생체인식 목적 사용 등 특정 AI 애플리케이션에 대한 특별 요구사항)에서 자세히 설명한다.

법적 확실성을 보장하기 위해 이러한 요구사항은 추가적으로 구체화돼 이를 준수해야 하는 모든 행위자에게 명확한 기준이 규정될 것이다.

1) 훈련용 데이터

EU의 가치와 규칙, 특히 EU 법률에서 도출되는 시민의 권리를 증진하고 강화하며 옹호하는 것이 그 어느 때보다 중요하다. 이러한 노력은 의심할 여지없이 이 백서에서 검토 중이고 EU에서 시판되고 사용될 고위험 AI 애플리케이션에게도 미친다.

앞서 논의한 것처럼 데이터가 없으면 AI도 없다. 많은 AI 시스템의 기능, 그리고 이들이 이끌어 낼 수 있는 작동과 결정들은 시스템이 훈련하는 데 사용된 데이터셋에 매우 많이 의존한다. 따라서 AI 시스템 훈련에 사용되는 데이터에 관한 한, 특히 안전∙기본권 보호를 위한 기존 법률 규정들과 관련하여 EU의 가치와 규율들이 존중되도록 필요한 조치를 취해야 한다. AI 시스템 훈련에 사용되는 데이터셋과 관련해 다음과 같은 요구사항을 생각해볼 수 있다.

①AI 시스템에 기반한 제품이나 서비스의 후속 사용이 해당 EU 안전 규칙에 설정된 표준을 충족하는 등, 안전에 대한 합리적인 보장을 제공하려는 목적의 요구사항. 예를 들어, AI 시스템이 위험한 상황을 방지하기 위해 필요한 모든 관련 시나리오를 포괄하고 충분히 광범위한 데이터셋에 기반해 훈련하도록 하는 요구사항.

②이러한 AI 시스템의 후속 사용이 금지된 차별을 수반하는 결과로 이어지지 않도록 합리적인 조치를 취하기 위한 요구사항. 이러한 요구사항은 특히 젠더, 민족성과 기타 금지된 차별과 관련된 모든 차원이 해당 데이터셋에 적절히 반영되도록 충분히 대표적인 데이터셋을 사용해야 할 특정한 의무를 수반할 수 있다.

③AI 탑재 제품과 서비스를 사용하는 동안 사생활과 개인정보를 적절히 보호하기 위한 요구사항. GDPR과 법집행 지침이 각각의 범위에 해당하는 문제에 대해서 규제한다.

2) 기록∙데이터의 보존

많은 AI 시스템의 복잡성과 불투명성, 그리고 해당 분야 규칙의 준수를 효과적으로 검증하고 시행하는 것과 관련된 어려움을 비롯해 여러 요소들을 고려해 볼 때, 알고리즘 프로그래밍과 관련된 기록, 고위험 AI 시스템 훈련에 사용되는 데이터, 특정한 경우에 데이터 자체의 보존에 대한 요구사항이 필요하다. 이러한 요구사항들은 기본적으로 문제가 될 수 있는 AI 시스템 기반 조치나 결정을 추적하고 검증할 수 있도록 한다. 이는 감독과 시행을 용이하게 할 뿐만 아니라, 관련 경제 행위자들이 이런 규칙을 존중해야 할 필요성에 대해 초기 단계서부터 고려하도록 동기유발을 강화할 수 있다.

해당 목적을 위해 AI 규제 프레임워크는 다음 사항을 지켜야 한다.

① AI 시스템의 훈련∙테스트에 사용된 데이터셋에 대한 정확한 기록(주요 특성∙데이터셋 선택 절차에 대한 서술 포함)

② 데이터셋 자체

③ 시스템의 구축∙시험∙검증에 사용된 프로그래밍과 훈련 방법론에 대한 문서화(관련성이 있는 경우 안전성과 금지된 차별을 초래할 수 있는 편향의 방지와 관련된 사항 포함)

관련 법률을 효과적으로 이행하기 위해 기록, 문서, 데이터셋까지 제한적이고 합리적인 기간 동안 보존해야 한다. 특히 관할 당국에서 시험이나 검사에 대한 요청이 있을 경우 이용 가능하도록 조치해야 한다. 필요한 경우 영업비밀과 같은 기밀정보가 보호될 수 있도록 협의해야 한다.

3) 정보 제공

위의 지점에서 논의된 기록 보존 요구사항을 넘어 투명성 또한 요구된다. 특히 AI의 책임 있는 사용을 촉진하고, 신뢰를 구축하고, 필요한 경우 시정을 용이하게 하는 등 추구하는 목표를 달성하기 위해서는 고위험 AI 시스템 사용에 대해 사전 예방적 방식으로 적절한 정보를 제공하는 것이 중요하다. 따라서 다음과 같은 요구사항을 고려할 수 있다.

AI 시스템의 역량과 한계, 특히 시스템이 의도한 목적, 의도한 대로 기능할 것으로 기대할 수 있는 조건과 특정 목적을 달성하는 데 예상되는 정확도 수준에 대해 명확한 정보가 제공되도록 보장한다. 이 정보는 특히 시스템의 출시자에게 중요하지만, 관할 당국과 영향을 받는 당사자와도 관련있을 수 있다.

이와는 별도로 시민들이 사람이 아니라 AI 시스템과 상호작용할 때 시민들에게 이를 명확히 알려야 한다. EU 개인정보 보호 법률은 이미 이러한 종류의 특정 규칙을 포함하고 있지만, 전술한 목적을 달성하기 위해 추가 요구사항이 요구될 수 있다. 그렇다면 불필요한 부담은 피해야 한다. 예를 들어 시민들이 AI 시스템과 상호작용하고 있다는 것이 즉시 명백해지는 상황에서는 이런 정보를 제공할 필요가 없다. 더 나아가 제공된 정보가 객관적이고 간결하며 쉽게 이해할 수 있어야 한다. 정보가 제공되는 방식은 특정 상황에 맞게 조정해야 한다.

4) 견고성∙정확성

AI 시스템, 그리고 확실히 고위험 AI 애플리케이션은 신뢰할 수 있을 만큼 기술적으로 견고하고 정확해야 한다. 즉, 이런 시스템은 책임감 있는 방식으로 개발되어야 하며, 발생 가능한 위험에 대한 사전적이고 적절한 고려가 있어야 한다. 이들의 개발과 기능은 AI 시스템이 의도한 대로 확실하게 작동해야 한다. 위해가 발생할 위험을 최소화하기 위해 모든 합리적인 조치를 취해야 한다. 따라서 다음과 같은 요소를 고려할 수 있다.

①모든 생애주기 단계에서 AI 시스템이 견고하고 정확하도록 보장하거나 최소 자기 정확성의 수준을 올바르게 반영하도록 보장하는 요구사항

②결과를 재현할 수 있도록 보장하는 요구사항

③AI 시스템이 모든 생애주기 단계에서 오류 또는 불일치를 적절히 처리할 수 있도록 보장하는 요구사항
④AI 시스템이 공개적인 공격은 물론 데이터 또는 알고리즘 자체를 조작하려는 교묘한 시도 모두에 대해 탄력성을 갖도록 보장하고, 이런 경우 완화 조치를 취하도록 보장하는 요구사항

5) 인적 감독

인적 감독은 AI 시스템이 인간의 자율성을 훼손하거나 다른 부작용을 일으키지 않도록 보장하는 데 도움이 된다. 신뢰할 수 있고 윤리적이며 인간 중심적인 AI를 위한 목표는 고위험 AI 애플리케이션과 관련하여 인간의 적절한 관여를 보장해야만 달성할 수 있다.

본 백서에서 특별 법률 체제에 대해 고려하는 AI 애플리케이션은 모두 고위험으로 간주되지만, 인간 감독의 적절한 유형과 정도는 사례마다 다를 수 있다. 특히 시스템의 의도된 사용과 해당 사용이 당사자 시민과 법인에 미칠 수 있는 영향에 따라 달라져야 한다. 또한 AI 시스템이 개인정보를 처리할 때 GDPR이 확립한 법적 권리에 대한 침해도 없어야 한다. 예를 들어, 인적 감독에는 다음과 같은 경우가 포함될 수 있다.

①AI 시스템의 결과물은 사전에 사람에 의해 검토되고 검증되지 않은 경우 효력이 없음 (ex: 사회보장급여 신청에 대한 거부는 사람에 한하여 할 수 있음)

②AI 시스템의 결과물은 즉시 효력이 발생하지만, 사후 인적 개입이 보장됨 (ex: 신용 카드 신청에 대한 거부는 AI 시스템으로 처리할 수 있지만, 사후 인적 검토가 가능해야 함)

③AI 시스템에 대한 작동 중 모니터링과 실시간 개입, 비활성화 기능 (ex: 무인 자동차에서 사람이 자동차 운행이 안전하지 않다고 판단할 때 정지 버튼이나 절차를 사용할 수 있음)

④설계 단계에서, AI 시스템에 작동 제약을 가함 (ex: 무인 자동차는 가시성이 저하되어 센서 신뢰도가 낮아진 특정 조건에서 작동을 중지하거나 어떤 조건에서도 선행 차량과 일정 거리를 유지해야 함)

6) 원격 생체인식에 대한 구체적인 요구사항 

예를 들어 공공장소에 얼굴 인식 기능을 배치하는 등 원격 식별 목적으로 생체인식 데이터를 수집하고 사용하는 것은 기본권에 특정한 위험을 수반한다. 원격 생체인식 AI 시스템 사용이 기본권에 미치는 함의는 사용 목적, 상황, 범위에 따라 상당히 달라질 수 있다.

EU 개인정보 보호법은 특정 조건을 제외하고는 자연인을 고유하게 식별하려는 목적으로 생체인식 정보를 처리하는 것을 원칙적으로 금지하고 있다. GDPR 하에서 구체적으로는 이런 처리가 몇 가지 근거에 의해서만 이루어질 수 있는데, 주된 경우는 상당한 공익상의 이유가 있을 경우이다. 이 경우 처리는 비례성, 개인정보 보호권의 본질에 대한 존중과 적절한 안전조치에 대한 요건에 따라 EU 법률∙회원국 국내법에 기반하여 이루어져야 한다. 법집행기관 지침에 따르면, 이러한 처리에 대한 엄격한 필요성이 있어야 하며, 원칙적으로 적절한 안전조치 뿐만 아니라 EU 법률∙회원국 국내법에 의한 허가도 있어야 한다. 자연인을 고유하게 식별할 목적으로 생체인식 정보를 처리하는 것은 EU 법률에 규정된 금지 조항에 대한 예외에 관한 사항이므로, EU 기본권 헌장의 적용을 받게 된다.

따라서 현행 EU 개인정보 보호법과 기본권 헌장에 따라, 그 사용이 절차적으로 정당하고, 비례적이며, 적절한 안전조치의 구비된 원격 생체인식 목적으로만 AI를 사용할 수 있다.

공공장소에서 이런 목적으로 AI를 사용하는 것과 관련된 사회적 우려를 해소하고 내부 시장의 분열 방지하기 위해, 집행위는 사용을 정당화할 수 있는 특정 상황과 공통적인 안전조치에 대해 유럽 내에서 광범위한 토론을 시작할 것이다.

5. 시정

위에서 언급한 고위험 AI 애플리케이션과 관련하여 적용될 법적 요건의 수범자와 관련하여, 고려해야 할 두 가지 주요 문제가 있다.

첫째, 관련된 경제 행위자들 사이에서 의무가 어떻게 분배되어야 하는지에 대한 의문이 있다. AI 시스템의 생애주기에 많은 행위자들이 관여되어 있다. 여기에는 개발자, 배포자(AI가 탑재된 제품이나 서비스를 사용하는 사람), 잠재적으로 다른 이들(생산자, 유통업자 또는 수입업자, 서비스 제공자, 직업적 또는 개인적 사용자)이 포함된다.

집행위의 견해는 미래의 규제 프레임워크에서 잠재적 위험을 다루기에 가장 적합한 행위자에게 각 의무를 부여해야 한다는 것이다. 예를 들어 AI 개발자들은 개발 단계에서 발생하는 위험을 다루는데 가장 적합할 수 있지만, 사용 단계 동안 위험을 통제하는 능력은 보다 제한적일 수 있다. 이 경우, 배포자가 관련 의무를 부담해야 한다. 이런 접근법은 최종 사용자 또는 피해를 입은 기타 당사자들에 대해 책임을 지고 사법 수단에 대한 효과적인 접근을 보장하려는 목적에 따라, 야기된 손해에 대해 어떤 당사자가 책임을 져야 하는지에 대한 문제에서 선입견을 갖지 않는다. EU 제품 책임법에 따르면, 결함이 있는 제품에 대한 책임은 생산자에게 있는데, 이 경우 다른 당사자들에게 복구하도록 하는 국내법에 대한 악영향은 없다.

둘째, 입법 개입의 지리적 범위에 대한 의문이 있다. 집행위의 관점에서, 이 요건은 EU 역내에서 AI 탑재 제품이나 서비스를 제공하는 모든 관련 경제 행위자들에게 요구사항이 적용되는 것이 가장 중요하며, 이들이 EU에 설립되었는지 여부와는 관계가 없다. 그렇지 않으면 앞서 언급한 입법 개입의 목적이 완전하게 달성될 수 없었다.

6. 규정의 준수와 이행 

AI가 신뢰할 수 있고, 안전하며, 유럽의 가치와 규율을 존중하도록 보장하기 위해, 적용 가능한 법적 요건들을 실제로 준수되어야 하며, 관할 국가∙유럽 당국은 물론 관련 당사자들은 모두 이를 효과적으로 이행해야 한다. 관할 당국은 개별 사례를 조사할 수 있어야 하되 사회에 미치는 영향도 평가할 수 있는 위치에 있어야 한다.

특정 AI 애플리케이션이 시민과 우리 사회에 미치는 높은 위험을 고려해 볼 때, 이 단계에서 집행위는 위험성이 높은 애플리케이션에 적용되는 상기의 의무적 요구사항들이 준수되는지 검증하고 보장하기 위해 객관적이고 사전적인 적합성 평가가 필요하다고 생각한다. 사전 적합성 평가에는 테스트, 검사 또는 인증에 대한 절차가 포함될 수 있다. 여기에는 개발 단계에서 사용되는 알고리즘과 데이터셋에 대한 점검이 포함될 수 있다.

고위험 AI 애플리케이션에 대한 적합성 평가는 EU의 내부 시장에 배치되는 다수의 제품에 대해 이미 존재하는 적합성 평가 메커니즘의 일부여야 한다. 이런 기존 메커니즘에 의존할 수 없는 경우 유사한 메커니즘을 수립할 필요가 있을 수 있는데, 이는 이해당사자들과 유럽 표준기구의 모범 관행과 가능한 참여에 기반하여 수립되어야 한다. 이런 새로운 메커니즘은 비례적이고 차별적이지 않아야 하며 국제적 의무를 준수하는 투명하고 객관적인 기준을 사용해야 한다.

사전 적합성 평가에 의존하는 시스템을 설계하고 구현할 때, 다음과 같은 사항에 대해 특별히 고려해야 한다.

위에서 설명한 모든 요구사항이 사전 적합성 평가를 통해 검증되는 것은 적절하지 않을 수 있다. 예를 들어 제공되어야 할 정보에 대한 요구사항은 일반적으로 이런 평가를 통한 검증에 적합하지 않다.

특정 AI 시스템이 진화하고 경험에서 학습할 가능성을 특히 고려해야 하는데, 이 경우 해당 AI 시스템의 수명에 대해 반복적인 평가가 필요할 수 있다.

훈련에 사용된 데이터는 물론 AI 시스템을 구축∙시험∙검증하는 데 사용된 관련 프로그래밍과 훈련 방법론, 절차∙기법을 검증할 필요가 있다.

적합성 평가 결과 AI 시스템이 요구사항을 충족하지 못하는 것으로 나타나면 확인된 단점을 보완해야 한다. 예를 들어 훈련하는 데 사용된 데이터 등과 관련한 요구사항이 충족되지 않으면 모든 해당 요구사항을 충족하는 방식으로 EU 내에서 시스템을 다시 훈련하여 보완해야 한다.

적합성 평가는 요구사항에서 다루는 모든 경제 행위자들에게 설립 지역과 관계없이 의무적일 것이다. 중소기업의 부담을 제한하기 위해 디지털 혁신 거점을 비롯해 지원 구조를 어느 정도 구상할 수 있다. 또한, 표준은 물론 온라인 전용 도구가 규정 준수를 촉진할 수 있다.

모든 사전 적합성 평가는 관할 국가 기관이 준수 여부와 사후 시행 여부를 모니터링할 때 선입견이 없어야 한다. 이는 고위험 AI 애플리케이션과 관련하여 사실일 뿐 아니라, 법적 요구사항이 적용되는 다른 AI 애플리케이션에 대해서도 해당된다. 비록 문제의 애플리케이션이 가진 고위험 속성은 관할 국가 기관이 전자에 특별히 주의를 기울여야 하는 이유가 될 수 있겠지만 말이다. 사후 통제는 관련 AI 애플리케이션에 대한 적절한 문서화에 의해 가능하며 적절한 경우 관할 당국과 같은 제3자가 이런 애플리케이션을 테스트할 수도 있어야 한다. 이는 기본권에 위험이 발생하는 경우에 특히 중요할 수 있는데 상황에 따라 다르다. 이러한 준수 모니터링은 지속적인 시장 감시 계획의 부분이 되어야 한다. 거버넌스 관련 측면은 아래에서 추가적으로 논의한다.

또한 고위험 AI 애플리케이션과 기타 AI 애플리케이션 모두에서, AI 시스템으로부터 부정적 영향을 받은 당사자에 대한 효과적인 사법적 보상이 보장되어야 한다. 책임과 관련된 이슈는 본 백서에 첨부된 안전∙책임 프레임워크에 대한 보고서에서 추가로 논의된다.

7. 무위험 AI 애플리케이션을 위한 자율 표시 제도

고위험으로 분류되지 않아 위에서 논의한 의무적 요구사항에 해당하지 않는 AI 애플리케이션의 경우, 법률 적용 외의 선택지로서 자율 표시 제도 수립을 들 수 있다.

해당 제도 아래서 이해관계가 있지만 의무 요구사항에 포함되지 않는 경제 행위자들은 이런 요구사항들이나 자율적 차원에서 수립된 특정한 유사 요구사항에 대해 자율적으로 적용하기로 결정할 수 있다. 그 후 관련 경제 행위자들은 자사 AI 애플리케이션에 대해 품질 표시를 수여받게 된다.

자율 표시 제도는 관련 경제 행위자들에게 있어 자사 AI 탑재 제품과 서비스가 신뢰할 수 있다는 신호가 될 수 있을 것이다. 이는 사용자들로 하여금 문제의 제품과 서비스가 특정 목적과 표준화된 EU 전체 기준을 준수하고 있음을 쉽게 인식할 수 있게 할 것이고, 이는 통상적으로 적용되는 법적 의무를 넘어서는 것이다. 이를 통해 AI 시스템에 대한 사용자의 신뢰도를 높이고 전반적인 기술 활용을 촉진할 수 있다.

해당 선택지는 고위험으로 간주되지 않는 AI 시스템의 개발자와 배포자에 대한 자율 표시 체제 수립이라는 새로운 법적 도구의 창출을 수반한다. 표시 제도에 참여하는 것은 자율적이지만, 개발자나 배포자가 표시를 사용하기로 선택한 이상 요구사항이 구속력을 갖게 된다. 시행 전과 시행 후의 조합은 모든 요구사항에 준수를 보장해야 할 것이다.

8. 거버넌스

책임구조의 분열을 방지하고 회원국의 역량을 증대시키며 유럽이 AI 탑재 제품과 서비스 시험·인증에 필요한 역량을 점진적으로 갖추기 위해, 각국 관할 기관 간의 협력 프레임워크 형태의 유럽 AI 거버넌스 구조가 필요하다. 이런 차원에서 AI가 사용되는 곳에서 관할 국가 기관들이 자신의 권한을 발휘할 수 있도록 지원하는 것이 유익할 것이다.

유럽 거버넌스 구조는 정보·모범 관행을 정기적으로 교류하고, 신흥 동향을 파악하며, 인증뿐 아니라 표준화 업무에 대해 조언하는 포럼으로서 다양한 직무를 수행할 수 있다. 또한 지침, 의견, 전문자료 발행을 통해 법률 체제의 이행을 촉진하는 데 핵심적인 역할을 해야 한다. 이는 회원국과 EU 차원의 부문별 네트워크와 규제 당국뿐만 아니라 국가 당국간 네트워크를 필요로 한다. 게다가 전문가들로 구성된 위원회는 집행위에 도움을 제공할 수 있다.

거버넌스 구조는 이해당사자 참여를 최대한 보장해야 한다. 소비자 단체, 사회적 대화자(social partner, 노·사), 기업, 연구자, 시민단체 등 이해당사자들은 프레임워크의 구현과 추가 개발에 대해 상의할 필요가 있다.

금융, 제약, 항공, 의료기기, 소비자 보호, 개인정보 보호 등 기존 구조를 고려해볼 때 이번에 제안되는 거버넌스 구조가 기존 기능과 중첩되어서는 안 된다. 그 대신에 기존의 전문지식을 보완하고 기존 당국이 AI 시스템과 AI 탑재 제품·서비스에 관여한 경제 행위자들의 활동을 감시하고 감독할 수 있도록 지원하기 위해 다분야 여러 EU 및 국내 관할 당국과 긴밀한 연계를 구축해야 한다.

마지막으로 이 선택사항이 추진될 경우 적합성 평가의 수행은 회원국이 지정한 인증 기관에 위탁할 수 있다. 테스트 센터는 위에서 설명한 요구사항에 따라 AI 시스템에 대한 독립적인 감사·평가가 가능해야 한다. 독립적인 평가는 신뢰를 높이고 객관성을 보장할 것이다. 그것은 또한 관련 관할 당국의 업무를 용이하게 할 수 있다.

EU는 우수한 시험∙평가 센터들을 보유해 왔으며 AI 분야에서도 역량을 키워야 한다. 내부 시장 진입을 원하는 제3국 설립 경제 행위자들은 EU에 설립된 인증 기관을 이용하거나 제3국과의 상호인정협정에 따라 이런 평가를 수행하도록 지정된 제3국 기구를 이용할 수 있다.

AI와 관련된 거버넌스 구조와 여기서 문제되는 해당 적합성 평가는 기존 EU 법률에 따라 특별 분야 관할 당국이 특정 문제(금융·제약·항공·의료기기·소비자 보호·개인정보 보호 등)에 대해 가지고 있는 권한과 책임에 영향을 주지 않을 것이다.

7. 결론 

인간중심적이고 윤리적이며 지속가능하며 기본적 권리와 가치를 존중한다면 AI는 시민과 기업, 사회 전반에 많은 혜택을 가져오는 전략 기술이다. AI는 유럽 산업의 경쟁력을 강화하고 시민의 복지를 향상시킬 수 있는 효율성과 생산성 측면에서 중대한 이점을 제공한다. 그것은 또한 기후변화와 환경파괴와의 싸움, 지속가능성과 인구변화와 관련된 문제, 그리고 민주주의 수호, 그리고 필수적이고 비례적인 한도에서 범죄와의 싸움 등 가장 시급한 사회문제들에 대한 해결책을 찾는 데 기여할 수 있다.

유럽이 AI가 제공하는 기회를 완전히 잡으려면 필요한 산업·기술 역량을 개발하고 강화해야 한다. 유럽 데이터 전략에서 제시된 바와 같이 EU가 글로벌 데이터 허브가 될 수 있도록 지원하는 조치도 필요하다.

유럽식 AI 접근법은 EU 경제 전반에 걸쳐 윤리적이고 신뢰할 수 있는 AI의 개발과 활용을 지원하는 동시에 AI 분야에서 유럽의 혁신역량을 촉진하는 것을 목표로 하고 있다. AI는 사람들을 위해 일하고 사회 공동선에 힘이 되어야 한다.

본 백서와 부속 안전∙책임 프레임워크에 대한 보고서와 함께 집행위는 AI에 대한 유럽식 접근법에 대한 구체적인 제안에 대한 회원국 시민사회, 산업계·학계의 광범위한 의견 청취를 시작한다. 여기에는 연구와 혁신에 대한 투자를 활성화하기 위한 정책 수단이나 중소기업의 AI 기술개발 및 활용을 지원하기 위한 정책 수단, 미래 규제 프레임워크의 핵심 요소에 대한 제안 등이 모두 포함된다. 이러한 협의 과정은 관련 당사자들과의 포괄적 의견 교환으로 집행위의 다음 단계에 유용할 것이다.