MONOLITH LAW OFFICE+81-3-6262-3248평일 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

AI를 규제하는 법의 현황은? 일본과 EU의 비교 및 대응 전략

IT

AI를 규제하는 법의 현황은? 일본과 EU의 비교 및 대응 전략

ChatGPT 등의 생성 AI가 큰 붐을 일으키고 있습니다. 이제 비즈니스 현장에서도 도입되기 시작한 생성 AI는 ‘제4차 AI 붐’의 주역이라고도 할 수 있습니다. 이에 따라 전 세계적으로 AI를 규제하는 법적 틀 마련도 진행되고 있습니다.

본 기사에서는 AI와 관련된 법률을 다루며, 지적 재산권, 개인 정보 등의 기밀 정보의 적절한 처리에 대해 설명합니다.

AI(인공지능)의 정의와 역사

AI(artificial intelligence)란 ‘인공지능’을 의미합니다. 법적으로는 엄밀한 정의가 없으며, 다양한 정의가 있습니다. 다음은 그 예시입니다.

출처정의·해설
「광지원」추론·판단 등의 지적 기능을 갖춘 컴퓨터 시스템.
「브리태니커 백과사전」과학기술 > 컴퓨터·AI. 지적 존재와 관련된 문제를 디지털 컴퓨터나 컴퓨터 로봇이 수행하는 능력(어빌리티).
인공지능학회 기사「교양지식으로서의 AI」‘AI란 무엇인가’라는 질문에 대한 답은 단순하지 않다. AI 전문가 사이에서도 큰 논쟁이 있으며, 그 자체로 한 권의 책이 될 정도로 견해가 다양하다. 그 중에서 공통된 부분을 도출하고 한마디로 요약하면, ‘인간과 같은 지적 작업을 기계공학적으로 실현하는 기술’이라고 할 수 있다.
학술 논문「심층학습과 인공지능」AI는 인간의 지능 구조를 구성론적으로 해명하려는 학문 분야이다
학술 논문「인공지능 사회의 바람직한 모습을 모색하며」AI를 포함한 정보기술은 궁극적으로 도구일 뿐이다

AI는 인간의 지적 능력을 컴퓨터 상에서 재현하는 다양한 기술·소프트웨어 군·컴퓨터 시스템·알고리즘으로도 불립니다.

주력하는 특화형 AI로는 다음과 같은 것들이 있습니다.

  • 자연어 처리(기계 번역·구문 분석·형태소 분석·RNN 등)
  • 전문가의 추론·판단을 모방하는 엑스퍼트 시스템
  • 데이터에서 특정 패턴을 검출·추출하는 이미지 인식·음성 인식 등

AI(인공지능) 분야는 컴퓨터의 새벽기였던 1950년대부터 연구개발이 지속되어 왔으며, 제1차 AI 붐은 1970년대까지 ‘탐색과 추론’의 연구, 제2차 AI 붐은 1980년대의 ‘지식 표현’의 연구에 의해 엑스퍼트 시스템이 탄생하며 2번의 패러다임으로 붐이 일었습니다.

2000년대에 들어서면서 빅데이터가 등장하고, 2012년 이후 Alexnet의 등장으로 이미지 처리에서 딥러닝(심층학습)의 유용성이 세계적으로 인식되어, 연구가 급속도로 활발해지며 제3차 AI 붐이 도래했습니다.

2016년부터 2017년에 걸쳐, 딥러닝(심층학습)과 강화학습(Q학습·정책 그래디언트 방법)을 도입한 AI가 등장했습니다.

제3차 AI 붐의 주요 혁명은 자연어 처리, 센서를 통한 이미지 처리 등 시각적인 면이 두드러지지만, 기술 개발, 사회학, 윤리학, 경제학 등의 분야에도 큰 영향을 미치고 있습니다.

2022년 11월 30일에, OpenAI에서 론칭한 자연어 처리 생성 AI인 ChatGPT가 만능 도구로서 주목을 받으면서, 생성계 AI 비즈니스가 활발해졌습니다. 이 사회 현상을 제4차 AI 붐이라고 부르는 사람도 있습니다.

AI 관련 법률을 확인해야 하는 비즈니스 상황 

법적 규제를 확인해야 하는 비즈니스 상황 

AI의 한 종류인 생성 AI는 유용한 도구이지만, 잘못된 정보의 확산, 범죄 촉진, 때로는 민주주의를 위협할 정도의 리스크를 내포하고 있습니다.

이러한 AI가 가진 리스크 요소는 이제 피할 수 없는 과제가 되었습니다. 그래서, 법규제를 확인해야 하는 비즈니스 상황에 대해 위탁자와 제공자의 입장에서 설명하겠습니다.

문장 생성 AI의 활용

2022년 11월에 ‘ChatGPT’가 출시된 이후, 문장 생성 AI는 복잡한 요청에 대응할 수 있어, 업무의 효율성과 높은 비용 대비 성능을 기대할 수 있는 만능 도구로 전 세계적으로 주목받았습니다.

한편으로, 문장 생성 AI 사용에 따른 리스크도 알려지기 시작했습니다. 이러한 잠재적 리스크를 피하기 위해 어떤 리스크가 있는지, 어떤 법률을 준수해야 하는지 주의해야 합니다.

문장 생성 AI를 대표하는 ChatGPT는 아무런 조치를 취하지 않으면 위탁자가 입력한 정보(프롬프트)가 유출될 리스크가 있습니다. ChatGPT는 프롬프트를 수집, 저장, 사용하는 기능이 있기 때문에, 개인정보나 기업의 기밀정보, 비밀유지계약(NDA) 등을 통해 획득한 비밀정보 등의 기밀정보가 유출될 위험이 있습니다.

또한, ChatGPT 특유의 잘못된 정보를 생성(환각)하고 확산하는 리스크, 저작권 침해 등의 리스크도 내포하고 있습니다. 그러므로, 출력된 것에 대한 팩트 체크는 필수입니다.

이미지 생성 AI의 활용

이미지 생성 AI를 비즈니스에서 활용할 경우, 저작권 침해의 리스크를 염두에 두어야 합니다.

ChatGPT 등으로 생성된 이미지나 문장의 저작권은 기본적으로 생성한 위탁자가 가집니다. OpenAI에 따르면, 위탁자는 모든 목적(상업적 사용 포함)으로 ChatGPT 등을 사용할 수 있습니다.

그러나, 사용에 있어서 다음과 같은 점에 주의가 필요합니다.

ChatGPT의 학습 데이터에는 인터넷 상에 공개된 대량의 콘텐츠가 포함되어 있으며, 이들 콘텐츠 대부분은 저작물입니다(텍스트, 이미지, 음악, 동영상 등). 그러므로, 생성된 콘텐츠가 타인의 저작권을 침해할 가능성이 있습니다.

AI 개발 및 생성 AI 서비스의 제공

AI 비즈니스에는 다양한 법률이 관련되어 있으며, 전 세계적으로 법적 틀의 정비가 진행되고 있는 단계이므로, 기존의 법률을 준수하면서 새로운 법률에 유연하게 대응하는 태도가 요구됩니다.

다음 장에서는 일본의 AI 관련 법률과 2023년 12월에 제정된 세계 최초의 국제적인 EU ‘AI 규제법’에 대해 설명하겠습니다.

일본의 AI 관련 법률

현재 일본에서는 AI가 강제력을 동반한 법률에 의한 규제를 받고 있지 않으며, 자율규제로 대응하는 방침을 채택하고 있습니다. 여기서는 AI를 활용하는 데 주의해야 할 현행 법률에 대해 설명합니다.

참고: 경제산업성|「AI 원칙 실천을 위한 거버넌스 가이드라인 ver. 1.1」[ja]

저작권법

헤이세이 31년(2019년) 1월에 시행된 「개정 저작권법」에서는, 권리 제한 규정(허가가 필요 없는 예외 규정)에 「정보 분석」(동법 제30조의4의1항2호)이 신설되었습니다. AI 개발이나 학습 단계에서의 정보 분석 등, 저작물에 표현된 사상이나 감정의 향유를 목적으로 하지 않는 이용 행위는, 원칙적으로 저작권자의 허가 없이 할 수 있게 되었습니다.

이 개정으로 「정보 분석」의 정의가 마련된 것으로, AI의 딥러닝을 포함한 기계 학습도 「정보 분석」에 포함되는 것이 명확해졌습니다.

정보 분석(다수의 저작물이나 기타 대량의 정보에서, 해당 정보를 구성하는 언어, 소리, 이미지 등의 요소에 관한 정보를 추출하고, 비교, 분류 등의 분석을 하는 것을 말함)의 용도로 사용하는 경우

저작권법 제30조의4의1항2호

한편, AI를 이용해 생성된 창작물에, 타인의 저작물과의 유사성이나 의존성이 인정되는 경우는 저작권 침해가 될 수 있음에 주의가 필요합니다.

또한, 저작물을 ChatGPT에 프롬프트로 입력한 경우, 복제권 등의 침해가 될 가능성도 있습니다. 생성형 AI를 이용해 타인의 저작물을 변경한 경우, 번안권 등의 침해가 될 가능성도 있습니다.

OpenAI의 이용 약관에 따르면, ChatGPT로 생성된 콘텐츠의 권리는 위탁자에게 귀속되며, 상업적 이용도 가능하지만, 콘텐츠가 저작권 침해에 해당하는지 판단하기 어려운 경우에는 전문가와 상담하는 것이 좋습니다.

만약 저작권자로부터 저작권 침해를 지적받은 경우에는, 민사 책임(사용 금지, 손해배상, 위자료, 명예회복 등의 법적 조치)이나 형사 책임을 물을 수 있습니다.

부정경쟁방지법

헤이세이 31년(2019년) 7월 1일, 개정 부정경쟁방지법이 시행되었습니다. 이전까지는, 특허법이나 저작권법의 보호 대상이 되지 않는 것, 혹은 부정경쟁방지법의 「영업비밀」에 해당하지 않는 것은, 부정경쟁의 방지가 어려웠습니다.

그래서, 이 개정에서는, 일정한 가치가 있는 데이터(제한 제공 데이터)의 부정 취득 행위나 부정 사용 행위 등, 악의적인 행위에 대한 민사 조치(금지 청구권, 손해배상액의 추정 등)가 규정되었습니다.

EU의 AI 이용에 관한 법률

EU의 AI 이용에 관한 법적 규제

EU의 법 체계는 일차법(조약)과 이차법(EU 입법), 판례의 3부분으로 구성되어 있습니다. 이차법은 일차법(조약)을 근거로 제정되며, EU 영역 내에서 직접적이거나 간접적으로 회원국을 구속하는 법령으로, EU법(파생법)이라고 불립니다. 이차법은 크게 5가지 종류가 있지만, EU의 ‘AI 규제법’은 규칙(Regulation)에 해당하여, 직접 EU 회원국을 구속하는 통일된 규칙입니다.

한편, 지침(Directive)은 EU 각 회원국이 지침(Directive)의 내용을 실행하기 위해 국내법을 새로 제정하거나 개정하는 등 간접적인 법적 의무를 지게 됩니다. 기한은 기본적으로 EU 공보 게재 후 3년 이내입니다.

관련 기사: 유럽으로 사업을 확장하는 기업이 반드시 알아야 할 EU의 법률 및 법 체계에 대한 핵심 요약[ja]

이 장에서는 EU의 AI 이용에 관한 법적 규제 중 ‘지침’과 ‘규칙’에 대한 최신 동향을 설명합니다.

AI 책임 지침안

2022년 9월 28일(2022년), 유럽위원회는 ‘AI 책임 지침안’과 함께 ‘제조물 책임 지침’의 개정안을 공개했습니다. ‘AI 규제법’에 부합하는 EU(유럽연합) 내 AI 비즈니스의 법적 책임에 관한 규칙을 정하고 있으며, 중요한 법적 틀이 됩니다. 2023년 6월부터 적용되는 EU의 ‘집단 소송 지침’의 대상이 되므로, 관련된 일본 기업도 그 내용을 파악해야 할 필요가 있습니다.

디지털 시대의 순환 경제 및 글로벌 밸류 체인에 적합한 것으로, EU 내 AI 시스템을 비롯한 소프트웨어에 관한 민사 책임의 법적 규칙을 크게 변경하는 것입니다.

관련 기사: EU에서의 AI 규제법의 현황과 전망은? 일본 기업에 미치는 영향도 해설[ja]

‘AI 책임 지침안’의 목적은 AI 시스템에 기인하는 손해에 대해, 계약 외의 사유에 기반한 민사 책임에 대한 규칙을 정하고, EU 내 시장 기능을 향상시키는 데 있습니다.

즉, 계약상의 책임(채무 불이행 책임 및 계약 불일치 책임)은 적용 대상이 아니며 ‘제조물 책임 지침’의 적용 대상이 되는 안전성이 불충분한 것에서 발생하는 것에 한정되지 않고, 과실 책임에 의한 손해(불법 행위 책임 등)가 대상이 되는 것에 주의해야 합니다.

예를 들어, AI 채용 시스템에 의한 차별 등의 손해도 대상이 될 것으로 생각됩니다.

해당 지침안은 AI의 블랙박스 문제에 대처하기 위해, ‘AI 규제법’에 규정된 ‘고위험의 AI 시스템’을 개발한 사업자에 대한 입증 책임의 경감 조치를 취하는 것으로, ‘인과 관계의 추정’과 ‘증거 개시 제도’가 신설되었습니다.

증거 개시 명령에 따르지 않을 경우, ‘AI 책임 지침안’에 대해서는 주의 의무 위반 및 인과 관계를 추정하고, ‘제조물 책임 지침 개정안’에 대해서는 결함 및 인과 관계를 추정하는 것이 의무화되어 있으며, 개시 명령에 따르도록 일본의 민사 소송법보다 더 강력한 처벌을 부과하고 있습니다.

해당 지침안은 제1단계로서, AI의 블랙박스화와 그에 따른 ‘입증 책임의 경감 조치’에 한정되어 있으며, 원고 적격·증거 개시·증거 보존·인과 관계의 추정이 신설되고, 각 요건이 규정되어 있습니다.

제2단계는, 리뷰 및 평가에 대해 규정되어 있습니다. 유럽위원회에 모니터링 프로그램이 설치되어, 인시던트 정보를 리뷰하고, 무과실 책임(엄격 책임)을 고위험 AI 시스템의 사업자에게 부과하는 것의 적절성 및 강제 보험 도입의 필요성 등 더 나아가는 조치에 대해 평가하고, 유럽 이사회나 유럽 의회 등에 대해 보고하는 것으로 되어 있습니다.

제조물 책임 지침 개정안

「제조물 책임 지침」은 1985년(쇼와 60년)에 제정된 소비자를 보호하는 EU 법으로, 결함이 있는 제조물로 인해 소비자가 손해를 입었을 경우 제조자의 책임을 규정하고 있습니다.

개정안에서는 제조물 책임의 적용 대상으로 새롭게 「소프트웨어」가 「제조물」에 추가되며, 소프트웨어의 일종인 AI 시스템에 「결함」이 있을 경우, AI 시스템의 사업자에게 과실 없는 책임이 적용됩니다. 그리고 「결함」의 유무를 판단하는 기준으로, 새롭게 설치 후의 지속적인 학습 능력이나 소프트웨어 업데이트가 추가되었습니다.

일본의 현행법인 「제조물 책임법」에서는 일반적으로 소프트웨어를 동산으로 보지 않기 때문에 법의 적용 대상이 되는 「제조물」에 해당하지 않는다고 되어 있지만, 「제조물」의 개념을 변경하는 대응을 하고 있습니다. 이 개정안 역시, 「증명 책임의 경감 조치」를 도입하여 AI 시스템이나 첨단 기술 제품 등의 소프트웨어에도 큰 영향을 줄 수 있습니다.

AI 규제법

「AI 규제법(AI Act)」은 AI 비즈니스를 대상으로 한 포괄적인 EU의 통일 규칙(2차 법률)으로, 85조로 구성된 세계 최초의 국제적인 AI를 규제하는 법률입니다. 2023년 12월 9일(2023년)에 유럽위원회, 유럽의회, 유럽이사회의 잠정 합의에 도달하여 제정되었습니다. 2024년에 발효되어 전면 시행될 것으로 예상됩니다.

이 법률은 ‘디지털 시대에 적합한 유럽(A Europe fit for the Digital Age)’으로 알려진 EU의 디지털 전략의 핵심을 이루는 법률로, 진화하는 디지털 시대의 새로운 도전과 위험에 대응하려는 것입니다. AI의 안전성과 기본적인 권리를 보장하고, EU 전체에서의 AI에 대한 접근, 투자, 혁신을 강화하려는 광범위한 AI 패키지의 일부입니다.

EU의 ‘AI 규제법’은 EU 회원국에 직접 적용될 뿐만 아니라, EU 영역 내에서 사업을 전개할 경우에도 국경을 넘는 적용이 되며, 해외에 소재하는 사업자에게도 적용됩니다.

위반 시에는 전 세계 매출 기준으로 거액의 제재금이 부과됩니다(최대 3,000만 유로=약 47억 원 또는 전 세계 매출액의 6% 중 높은 쪽이 상한), EU 지역 내에서 AI 비즈니스를 할 수 없게 될 위험도 있습니다.

따라서, 일본을 포함한 EU 시장에서 이미 AI를 도입하고 있는 기업이나, 앞으로 EU 시장으로의 진출을 고려하고 있는 기업도, EU의 새로운 AI 규제에 맞는 대응이 요구됩니다.

‘AI 규제법’의 골자는 크게 3가지 특징인 ‘위험 기반의 AI 분류’, ‘요구 사항과 의무’, ‘혁신 지원’으로 구성되어 있습니다.

규제 대상은 유럽 시장을 타깃으로 AI 시스템·서비스를 도입하는 사업자로, AI의 개발자, 배포자, 제공자, 수입업자, 판매업자, 위탁자가 해당됩니다.

AI의 위험 수준을 4단계로 분류하고, 그에 따른 규제가 적용됩니다. AI 원칙의 달성을 위해서는 AI 개발자, 위탁자, 제공자의 AI 리터러시를 확보하는 조치도 필수적이라는 지침이 명확히 제시되어 있습니다. 자세한 내용은 관련 기사를 참조하십시오.

관련 기사: EU에서의 AI 규제법의 현황과 전망은? 일본 기업에 미치는 영향도 설명[ja]

AI 관련 법률에서 유의해야 할 포인트

AI 관련 법률에서 유의해야 할 포인트

이 장에서는 주로 생성 AI를 기업이 활용하고자 할 때 법적으로 유의해야 할 포인트에 대해 설명합니다.

AI 창작물의 저작권에 대하여

생성형 AI에 의해 생성된 창작물에 대해 유의해야 할 점으로는 다음과 같은 법적 논점이 고려됩니다.

  • 해당 창작물이 저작권을 침해하는지 여부
  • 생성 AI에 의해 생성된 창작물에 저작권이 인정되는지

앞서 언급한 바와 같이, ChatGPT로 생성된 창작물이 저작물과의 유사성이나 의존성이 인정될 경우, 저작권 침해가 됩니다. 한편, 생성형 AI에 의해 만들어진 창작물에는 저작권이 인정될까요?

저작권법에 따르면, ‘저작물’은 ‘사상 또는 감정을 창작적으로 표현한 것’으로 정의됩니다. AI는 사상 또는 감정을 가지지 않기 때문에, 생성 AI가 만든 콘텐츠에는 저작권이 인정되지 않는다는 견해도 있습니다.

그러나 AI에 의한 콘텐츠 생성 과정은 위탁자에게 블랙박스(판단 과정이 불투명)이기 때문에, 위탁자가 AI에게 기대하는 콘텐츠를 출력하게 하는 것은 매우 어렵습니다. 따라서 프롬프트 단계에서 위탁자의 창의적 노력이 인정될 수 있는 경우에는, 위탁자 자신의 ‘사상 또는 감정’을 생성형 AI에 의해 ‘창작적으로 표현한 것’으로 볼 수 있으며, 저작권이 인정될 수도 있다고 생각됩니다.

AI 사용 시 개인정보 처리에 대하여

AI 사용 시에는 개인정보 보호법을 위반할 가능성이 있으므로 주의가 필요합니다. 개인정보나 프라이버시에 관한 정보 등을 입력하지 않는 등의 대책이 필요합니다.

프롬프트에 개인정보가 입력된 경우, 서비스 제공자에 대한 개인정보의 제3자 제공에 해당할 가능성이 있습니다. 개인정보를 제3자에게 제공하기 위해서는 원칙적으로 본인의 동의가 필요하므로, 본인의 동의가 없는 경우 개인정보 보호법 위반 가능성이 있습니다.

ChatGPT의 경우, 만약 개인정보를 입력하더라도 채팅에 출력할 수 없는 구조로 되어 있습니다. 이는 ChatGPT가 개인정보를 저장하거나 추적하지 않는다는 OpenAI의 방침이며, 다른 서비스나 플랫폼에서는 다를 수 있으므로 주의가 필요합니다.

기업이 AI와 관련될 때의 리스크 대책

리스크 대책은 기업의 비즈니스 전략, AI의 사용 목적, 그리고 관련 법규에 따라 달라지기 때문에, 상황과 목적에 맞는 적절한 리스크 대책을 마련하는 것이 중요합니다.

생성 AI를 활용하는 기업이 리스크를 최소화하기 위해서는, 다음의 포인트를 고려해야 합니다.

  1. 인재 육성: 생성 AI의 적절한 사용을 위해서는 전문적인 지식과 기술이 필요합니다. 직원 교육과 트레이닝을 통해, 적절한 사용 방법을 이해시키는 것이 중요합니다.
  2. 사내 가이드라인의 수립·도입·운영: 생성 AI 사용에 관한 사내 가이드라인을 수립하고, 직원들이 이를 준수하도록 함으로써, 리스크를 감소시킬 수 있습니다.
  3. 활용 및 리스크 대책을 위한 추진 조직의 구축: 생성 AI의 활용을 추진하는 조직을 설립하고, 리스크 관리를 담당하는 팀을 조직 내에 배치하는 것이 효과적입니다.
  4. 시스템 도입: 생성 AI를 적절히 도입하기 위해서는, 시스템의 선택과 설계를 신중하게 진행할 필요가 있습니다.

또한, 생성 AI의 사용에 따른 리스크는 다양화되고 있으며, 정보 유출, 권리·프라이버시 침해, 정보의 정확성·안전성에 대한 우려, 편향의 리스크 등이 있습니다. 이러한 리스크를 회피하기 위해서는, 적절한 거버넌스와 리스크 관리의 틀을 도입하는 것이 필수적입니다.

관련 기사: 「ChatGPT의 기업 도입 시 리스크와는. 기밀 정보 유출 사례 및 대책을 해설」[ja]

요약: AI 법은 아직 개발 중이므로 적극적인 대응이 필요합니다

AI 비즈니스와 관련된 법률은 EU에서 세계 최초로 제정된 국제적인 ‘AI 규제 법'(2023년 12월 9일 제정)을 포함하여 법적 틀의 정비가 진행 중이므로, 기업들은 기존 법률을 준수하면서 새로운 법률에 유연하게 대응할 자세가 요구됩니다.

일본에서는 AI를 직접 규제하는 법률은 아직 없지만, 저작권법, 개인정보 보호법, 부정경쟁 방지법 등 관련 법령을 잘 이해하고 적절히 대응할 필요가 있습니다. 또한, 관련 법령의 향후 개정 동향을 주시하고 신속하게 대응하는 것이 필요합니다.

우리 사무소의 대책 안내

모노리스 법률 사무소는 IT, 특히 인터넷과 법률 양면에서 풍부한 경험을 가진 법률 사무소입니다. AI 비즈니스에는 많은 법적 리스크가 동반되며, AI 관련 법적 문제에 정통한 변호사의 지원이 필수적입니다.

우리 사무소는 AI에 정통한 변호사와 엔지니어 등의 팀으로, ChatGPT를 포함한 AI 비즈니스에 대해, 계약서 작성, 비즈니스 모델의 적법성 검토, 지적 재산권 보호, 프라이버시 대응 등 고도의 법적 지원을 제공하고 있습니다. 아래 기사에서 자세한 내용을 기술하고 있습니다.

모노리스 법률 사무소의 처리 분야: AI(ChatGPT 등) 법무[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Return to Top