최근 5년간 고객과의 접점에서 일한 사람이라면 GDPR(일반 데이터 보호 규정)에 대해 어느 정도 알고 있을 것임. 2026년부터 새로운 EU 규정인 AI 법안이 시행될 예정인데, 일부 기업들이 불안해하고 있음.
하지만 그렇게 걱정할 필요는 없다고 데이터 프라이버시 전문가가 말함. 더블린에서 열린 ISACA 컨퍼런스에서 '프라이버시 리더'의 저자 발레리 라이온스 박사는 새로운 규정과 그로 인해 발생할 변화에 대한 자신의 생각을 공유함.
“AI 법안에서 GDPR이 이미 제공하는 것보다 추가적인 내용은 별로 보이지 않음. 투명성, 보안, 동의의 원칙이 똑같음”이라고 그녀는 말함.
AI 시스템이 저장하고 처리하는 데이터의 양이 방대하기 때문에 두 법안 간의 중복이 상당함. AI 법안은 인공지능의 정의가 매우 광범위하기 때문임.
GDPR 준수는 정확한 과학이 아니며, AI 법안도 유사한 '필요성과 비례의 원칙'을 사용할 가능성이 높다고 라이온스는 설명함.
규정의 맥락과 의도를 이해하는 것이 중요함. “GDPR을 돌아보면, 조반니 부타렐리, GDPR의 아버지 같은 인물이 법의 정신을 따르거나 법의 문자 그대로 따를 수 있다고 말했음. GDPR의 문자 그대로 따르려 하면 절대 작동하지 않음. 법의 정신을 따라야 함”이라고 그녀는 강조함.
GDPR 비준수로 인해 기업들이 거대한 벌금을 부과받는 이야기를 많이 듣지만, 우리는 전체 이야기를 듣지 못하고 있다고 라이온스는 제안함.
“벌금이 작동하지 않음. 실제로 아무도 벌금을 내지 않음. 그래서 국고도 돈을 받지 못함”이라고 그녀는 말함. “유럽의 모든 사람에게 아일랜드는 많은 돈을 가져야 할 것처럼 보이지만, 벌금의 1%만이 [징수됨]”
아일랜드 데이터 보호 위원회는 유명하게 수십억 유로의 벌금을 부과했지만, 이들 중 1%도 실제로 징수되지 않음. 항소 절차 덕분임.
그렇다고 해도 이러한 벌금은 통계가 제시하는 방식으로 기업에 타격을 주지 않으며, 결국 세금 납부자가 손해를 보게 됨.
“DPC가 이러한 법원에 가는 비용은 누가 내냐면, 국고임”이라고 라이온스는 말함.
“결국 세금 납부자가 계속해서 비용을 지불함. 예를 들어, 아일랜드 아동 보호 기관인 투슬라는 4년 전 75,000 유로의 벌금을 부과받았고, 그 벌금을 지불했으며, 결국 국고가 그 벌금을 지불함”이라고 그녀는 TechRadar Pro에 말함.
AI 법안은 데이터 보호 위원회에 의해 규제될 가능성이 높으며, 라이온스는 이 위원회가 '이빨이 없는' 기관이라고 설명함. 이는 새로운 규정에서도 후속 조치가 부족할 수 있음을 시사함.
그렇다면 AI 법안은 기업들에게 어떤 의미가 있을까? 앞으로 몇 달간 새로운 규정이 시행됨에 따라.
소규모 기업의 경우, 대부분 AI 시스템을 사용자에게 제공하는 배포자임. 그들의 다음 단계는 간단함. 격차 분석을 수행하는 것임. ISO나 NIST와 같은 기준을 사용하는 것이 매우 유용하며, 다음 단계에 대한 강력한 구조적 로드맵을 제공할 수 있음. 소규모 기업들은 비용에 대해 불평을 많이 하지만 NIST 기준은 무료로 제공됨.
GDPR 준수는 이미 좋은 첫 단계이므로 AI 정책을 개발하고 이를 구현해야 하며, 2025년 2월 이전에 AI 리터러시 교육을 실시해야 함. 모든 ROPA 통지, 정책 및 DPIA를 AI 시스템으로 업데이트해야 함.
“그 후에는 조직에 AI 시스템을 도입하는 과정을 모니터링할 수 있는 강력한 프로세스를 보장하는 것이 중요함”이라고 라이온스는 안심시킴.
