이성현, EU 개인정보보호 협력센터장

“기술은 앞서가고, 규제는 그 뒤를 좇는다.” 이 말은 오늘날 유럽에서 현실이 되고 있다. 유럽연합(EU)은 2018년부터 GDPR(일반개인정보보호법)을 시행하며 전 세계 개인정보보호의 기준을 선도해 왔다. GDPR은 개인의 프라이버시 권리를 최우선으로 하며, 개인정보 처리 과정에서 투명성과 책임성을 법적 의무로 규정했다. 그러나 2025년 현재, 생성형 AI 기술의 폭발적 발전은 GDPR의 핵심 가치인 ‘프라이버시 보호’와 정면으로 충돌하고 있다. 기술 혁신은 프라이버시 보호라는 법적 원칙과 균형을 요구하며, 기업과 규제 당국 모두 새로운 도전에 직면하고 있다.

AI는 어디까지 데이터를 활용해도 되는가?

생성형 AI 기술의 급속한 발전은 방대한 양의 데이터가 필요하다. 특히 OpenAI, Meta, Google 등 글로벌 IT 기업들이 개발한 대규모 언어 모델은 인터넷상 공개된 텍스트뿐 아니라 개인의 민감한 정보가 포함될 수 있는 다양한 데이터들을 학습에 사용한다. 이에 대해 2023년 유럽 데이터 보호 위원회(EDPB)는 본격적인 조사에 착수했다. 조사 결과, 해당 AI 서비스들이 GDPR이 규정한 ‘공정성’, ‘목적 제한성’(GDPR 제5조), 그리고 ‘정보주체 권리 고지’(제13조) 등을 충분히 준수하지 못하고 있다는 문제가 제기됐다.

유럽 각국의 개인정보 감독기관들은 AI 훈련에 사용된 개인정보가 어떤 법적 근거를 통해 처리되고 있는지 면밀히 검토하고 있으며, 동의나 계약 이행 외에 적법한 처리 근거가 불충분하다는 이유로 일부 업체에 벌금을 부과하기도 했다. 이처럼 ‘데이터 주권’과 ‘정보주체 권리’가 AI 개발 현장에서 새로운 갈등 요소로 떠오르고 있다.

GDPR과 AI Act, 규제 간의 충돌과 조화 모색

2024년 말 EU는 AI 기술의 잠재적 위험에 대응하기 위해 ‘AI Act(인공지능법)’를 공식 채택했다. AI Act는 위험 기반 접근방식을 통해 고위험 AI 시스템을 분류하고 엄격한 감독 체계를 구축했다. 그러나 GDPR과 AI Act는 개인정보 처리 목적과 적법성 기준에서 차이가 있어, 실제 현장에서는 많은 혼란과 충돌이 발생하고 있다.

예컨대 AI 학습 데이터의 합법성은 GDPR상 ‘적법한 처리 근거’를 명확히 해야 하지만, AI Act는 기술적·윤리적 위험 관리를 더 강조한다. 그뿐만 아니라 자동화된 결정에 관해 설명 가능성과 투명성을 요구하는 GDPR 제22조와 AI Act의 요구사항 간에도 미묘한 간극이 존재한다. AI가 ‘블랙박스’처럼 작동하는 상황에서 설명 불가능한 의사결정은 개인정보 보호 위반으로 간주될 수 있다.

정보주체 권리의 진화: 단순 삭제 요청에서 ‘투명성’과 ‘설명’ 요구로

GDPR이 도입된 초기에는 정보주체의 권리가 주로 ‘데이터 삭제 요청’이나 ‘접근 권리’ 등에 집중됐다. 하지만 AI 시대에 들어서면서 개인정보 주체들은 자신의 데이터가 AI 학습에 어떻게 사용됐는지, 프로파일링 결과가 어떤 알고리즘과 기준에 의해 산출됐는지 설명을 요구하는 등 권리의 범위가 확장되고 있다. 이는 곧 GDPR의 해석과 적용 영역을 재조명하게 했으며, 기업과 기관은 이러한 요구에 대응하기 위해 내부 정책과 기술적 준비를 근본적으로 개선해야 하는 상황에 직면해 있다.

특히 2025년 이후, 유럽 주요 개인정보 감독기관들은 자동화된 의사결정 및 프로파일링에 대한 집중 감시를 시행하며, 단순한 설명 의무를 넘어 ‘학습 데이터 수집 경로’, ‘사용 목적’, ‘알고리즘 내 편향성 문제’까지 투명하게 공개할 것을 요구하고 있다. 이는 개인정보 보호를 넘어서 AI 윤리와 공정성 문제까지 포함하는 폭넓은 대응을 요구한다.

한국 기업의 현실적 대응 전략

글로벌 시장 진출을 목표로 하는 한국의 AI 관련 기업들은 이제 기술적 역량뿐 아니라, 유럽의 개인정보보호 규정을 철저히 준수할 수 있는 법적·관리적 체계를 갖춰야 한다. 이에 다음과 같은 실무적 대응 전략이 필수적이다.

① 데이터 보호 영향평가(DPIA) 시행

고위험 AI 기술 도입 전, 개인정보 영향 평가를 사전에 실시하고 그 결과를 문서화해 규제 당국에 투명하게 보고해야 한다.

② 법적 근거 정비 및 명확한 고지

개인정보 수집과 활용의 법적 근거(예: 정보주체 동의, 계약 이행 등)를 명확히 정립하고, 이를 정보주체에게 이해하기 쉽게 고지해야 한다.

③ 투명성 확보 및 내부 문서화

AI가 개인정보를 처리하는 전 과정을 기술적·절차적으로 설명할 수 있어야 하며, 내부 정책과 프로세스를 문서화해 언제든 감독기관에 제출할 준비를 해야 한다.

④ DPO(Data Protection Officer)와의 긴밀한 협업

개인정보 보호 책임자인 DPO가 AI 관련 법규 준수 및 위험 관리의 핵심 역할을 수행하도록 조직 내 협업 체계를 강화해야 한다.

기술과 규제는 반드시 접점을 찾아야 한다

GDPR은 급변하는 기술 환경 속에서도 기본 원칙을 견고히 지키며, 프라이버시 권리를 수호해 왔다. 그러나 AI라는 신기술의 출현은 ‘기술이 가능한가’라는 질문을 넘어 ‘기술이 정당한가’라는 근본적 물음을 다시 던지게 한다.

오늘날 AI와 프라이버시가 격렬히 충돌하는 가운데, GDPR은 단순한 규제 수단이 아니라 기술 발전과 인권 보호 사이 균형을 잡아주는 ‘나침반’ 역할을 해야 한다. 한국의 기업과 개발자들도 이 나침반을 적극 활용해, 혁신적인 AI 기술 개발과 동시에 개인정보 보호라는 두 축 사이에서 조화로운 길을 모색할 수 있기를 기대한다.

※ 해당 원고는 외부 전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려드립니다.