EU와 미국의 AI 규제 차이

• 미국 사회과학연구소 브루킹스(Brookings)는 2023.04.25. 유럽연합과 미국의 AI 규제 비교에 관한 보고서를 발간하였음. 미국과 EU는 AI 규제와 관련하여 공통적으로 위험 기반 접근법을 택하고 있으나, 세부적인 위험 관리 체제에는 차이점이 많음. 특히 사회경제적 프로세스, 온라인 플랫폼 관련 AI 애플리케이션의 경우 차이점이 상당함: EXECUTIVE SUMMARY
• AI 위험관리에 관한 미국 연방 정부의 접근 방식은 크게 위험을 기반으로 하고, 부문별로 구체적이며, 연방기관 간 고도로 분산되어 있다는 특징이 있으며, AI 위험에 대한 일관된 연방 접근 방식이 없음. 2019년 2월 행정명령인 'AI에 대한 미국의 리더십 유지(Maintaining American Leadership in Artificial Intelligence; EO 13859) 및 그에 따른 예산관리국(OMB; Office of Management and Budget) 지침(M-21-06)은 AI 감독에 관한 최초의 연방 접근 방식을 제시하였으나, 2022년 12월 기준 그 필요성에 따라 AI 계획을 수립한 주요기관은 41개 중 5개 기관에 불과함. 바이든 행정부가 AI 권리장전을 위한 청사진(AIBoR; Blueprint for an AI Bill of Rights)을 통해 각 부문별 정책 개입 방식을 제시하였으나 이는 구속력이 없는 지침에 불과하며, 2023년 2월, 인종 형평성을 강조하며 행정명령(Further Advancing Racial Equity and Support for Underserved Communities Through the Federal Government; EO 14091)을 발표하기도 하였으나, 해당 행정명령의 영향력은 아직 평가할 수 없음. 미국은 비규제적인 방식으로 AI 위험을 완화하기 위한 인프라에 지속적으로 투자하고 있는데, 특히 미국 표준기술연구소(NIST; National Institute of Standards and Technology)의 AI 위험관리프레임워크(RMF; Risk Management Framework)가 주목할만함: THE U.S. APPROACH TO AI RISK MANAGEMENT
• EU는 AI 위험 관리에 관하여 복잡하고 다면적인 접근방식을 취하며, 일반데이터보호규정(GDPR; General Data Protection Regulation), 디지털서비스법(Digital Services Act), 디지털시장법(Digital Markets Act)을 기초로 하고 있음. 특히 논의 중인 AI법(AI Act)은 AI 위험 관리에 관한 주요 법률이 될 것으로 예상되고 있는데, AI를 위험의 정도에 따라 구분하여 의무의 정도를 달리 규정하고 있음: THE EU APPROACH TO AI RISK MANAGEMENT
• 미국의 가장 최신 지침인 AIBoR 및 NIST AI RMF, EU의 AI 법을 살펴보면 AI의 위험과 관련하여 유사한 원칙(정확성, 견고성, 안전성, 비차별성, 보안, 투명성, 책임성, 설명성, 해석성, 데이터 개인정보보호)을 제시하고 있음. 그러나 세부적인 부문에서는 차이를 나타냄(차이점 별도 첨부): CONTRASTING THE EU AND U.S. APPROACHES TO AI RISK MANAGEMENT
• AI 규제와 관련하여 유럽-미국 무역기술 이사회(EU-U.S. Trade and Technology Council)는 AI에 관한 국제표준 마련을 위해 협력하고, AI 관련 새로운 위험 및 기술을 공동으로 연구하기로 합의하였으며, 2022년 12월 1일 공동로드맵을 공표하였음: EU-U.S. COLLABORATION ON AI RISK THROUGH THE TRADE AND TECHNOLOGY COUNCIL
   
  
  <관련 자료>
  - Brookings(2023.04.25.), “The EU and U.S. diverge on AI regulation: A transatlantic comparison and steps to alignment”

 

<표> 애플리케이션 유형별 EU와 미국의 AI 위험 관리 비교
애플리케이션	예	EU 정책 개발	미국 정책 개발
인적 프로세스/사회경제적 의사결정을 위한 AI	채용, 교육 접근 및 금융 서비스 승인 AI	GDPR은 중요한 결정을 위해 인간을 필요로 함. AI 법 부록 III의 고위험 AI 애플리케이션은 품질 표준을 충족하고, 위험 관리 시스템을 구현하며, 적합성 평가를 수행해야 함	AI 권리장전 및 관련 연방기관 조치는 이러한 애플리케이션 중 일부에 대해 패치워크 감독을 마련함
소비자 제품 내 AI	의료기기, 부분 자율주행차, 비행기 등의 AI	EU AI 법은 기존 EU 법에 따라 규제되고 있는 제품 내에서 구현된 AI를 고위험으로 간주하며, 나아가 새로운 AI 표준을 현재의 규제 프로세스에 통합할 예정	의료기기에 대해 FDA, 자율주행차량에 대해 DOT, 소비자 제품에 대해 CPSC 등 개별 연방기관 규제 적용
챗봇	상업 웹사이트의 영업 또는 고객서비스 챗봇	AI 법은 챗봇이 AI(즉, 사람이 아님)라는 사실을 공개할 것을 요구	-
소셜 미디어 추천 및 조정 시스템	틱톡, 트위터, 페이스북 또는 인스타그램에서 뉴스피드 및 그룹 추천	EU 디지털 서비스법은 이러한 AI 시스템에 대한 투명성을 요구하고, 독립적인 연구 및 분석이 가능하도록 함	-
이커머스 플랫폼의 알고리즘	아마존 또는 쇼피파이에서 제품 및 공급업자를 검색하거나 추천하는 알고리즘	EU 디지털 시장법은 디지털 시장 내에서 자사우대(self-preferencing) 알고리즘을 제한(반독점 조치)	-
기초 모델/생성 AI	안정성 AI의 안정적 확산과 OpenAI의 GPT-3	EU AI 법의 초안은 품질 및 위험관리 요건을 고려함	-
안면인식	클리어뷰 AI, 핌아이즈, 아마존 리코그니션	EU AI 법은 원격 안면인식 및 생체인식에 대한 제한을 포함. EU 데이터보호당국은 GDPR에 따라 관련 회사에 벌금을 부과함	NIST의 AI 안면인식 공급업자 테스트 프로그램은 안면인식 소프트웨어 시장에 효과 및 공정성 정보를 제공함
타깃 광고	웹 사이트 및 핸드폰 어플리케이션 알고리즘 타깃 광고	GDPR은 행동광고에 개인 사용자 데이터를 사용한 메타에 벌금을 부과함. 디지털서비스법은 아동 대상 광고 및 특정 유형의 프로파일링(예: 성적 지향)을 금지. 이를 위해 타깃 광고에 대한 설명이 있어야 하고 사용자가 어떤 광고를 보는지 통제할 수 있어야 함	개별 연방기관의 소송으로 일부 타깃 광고가 다소 감소함. 여기에는 메타 및 트위터를 상대로 소송 및 처벌을 내린 DOJ와 HUD가 포함