Skip to content
Published on

프라이버시 & AI 규제 2026 — GDPR / EU AI Act (2026.8 전면 시행) / DSA / DMA / PIPA / APPI / NIST AI RMF / ISO 42001 심층 가이드

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

프롤로그 — 2026년, 규제의 시간이 도래했다

2018년 5월, GDPR이 발효되던 그날을 기억하는 사람들에게 2026년의 풍경은 묘하다. 8년 만에 데이터·AI 규제는 더 이상 "유럽이 유난히 까다로운 영역"이 아니라 글로벌 디지털 인프라의 기본 설정이 되어 있다. EU는 GDPR 위에 EU AI Act, DSA, DMA, Data Act, Cyber Resilience Act를 차곡차곡 쌓아 올렸다. 미국은 연방 차원의 일관된 법이 없는 채로 8개 주가 활성 프라이버시법을 굴리고 있고, IL BIPA는 별도의 생체정보 전선을 형성하며, 텍사스 TDPSA·미네소타 MIPA·오리건 OAPA가 2024-2025년에 줄줄이 시행됐다. 한국 PIPA는 2024 개정으로 가명정보·MyData·의료 마이데이터를 정비했고, 일본 APPI는 2022 개정 이후의 외국 이전 규정을 다듬는다. 중국 PIPL, 브라질 LGPD, OECD AI 원칙, NIST AI RMF, ISO 42001, AISI(AI Safety Institute) 다자 협정까지 — 모든 디지털 제품은 이제 "규제 표면적(regulatory surface)"을 의식하지 않고는 존재할 수 없다.

2026년의 화두는 한 줄이다 — EU AI Act가 2026년 8월에 전면 시행된다. 2024년 8월에 발효된 EU AI Act는 2025년 2월에 금지 조항(prohibited practices)이 먼저 적용되었고, 2026년 8월에는 고위험 시스템 의무 대부분이 일제히 발효된다. 이는 클라우드 사업자·LLM 제공자·SaaS·로보틱스·HR·의료 — 거의 모든 제품군에 영향을 준다.

이 글에서 다루는 것:

  1. 2026년 프라이버시/AI 규제 지도 — EU / US / 한국 / 일본 / 글로벌 5 진영
  2. GDPR — 8년차, 집행 성숙
  3. EU AI Act — 2024.8 발효 → 2025.2 금지 → 2026.8 전면 시행
  4. DSA + DMA — 플랫폼 규제
  5. EU Data Act — IoT 제조사 데이터 공유
  6. EU Cyber Resilience Act — 소프트웨어 벤더 책임
  7. US 주별 법 — CCPA/CPRA·VCDPA·CPA·CTDPA·UCPA·MIPA·OAPA·TDPSA
  8. IL BIPA — 생체정보 별도 전선
  9. Korea PIPA 2024 개정 — 가명정보·MyData·의료 마이데이터
  10. Japan APPI — 외국 이전·익명가공정보
  11. China PIPL · Brazil LGPD — 그 외 글로벌
  12. OECD AI 원칙 · NIST AI RMF · ISO 42001
  13. AI Safety Institutes — 다자 협정
  14. 우리 회사는 무엇을 해야 하나 — 단계별 컴플라이언스
  15. 참고 / References

1장 · 2026년 프라이버시/AI 규제 지도

큰 그림부터 보자. 2026년 5월 기준, 의미 있는 데이터·AI 규제는 다섯 진영으로 나뉜다.

진영 1 — EU: 종합·강제·역외 적용 모델

GDPR(2018) 위에 EU AI Act(2024), DSA(2022/2024), DMA(2022/2024), Data Act(2023/2025), Cyber Resilience Act(2024/2027)를 한 묶음으로 쌓았다. 공통점은 (가) 역외 적용, (나) 글로벌 매출 기반 과징금, (다) 행정 집행 중심. EU 시민·EU 시장을 향한 거의 모든 디지털 서비스가 이 규제 표면에 노출된다.

진영 2 — 미국: 주별 모자이크 + 연방 침묵

연방 차원의 종합 프라이버시법은 2026년 5월 현재 존재하지 않는다. 대신 8개 주에서 활성화된 종합법(CCPA/CPRA·VCDPA·CPA·CTDPA·UCPA·MIPA·OAPA·TDPSA)과 IL BIPA 같은 분야별 법이 다층 구조를 형성한다. 연방 차원의 AI 행정명령(2023 Biden EO)과 그 후속 가이드라인은 정부 조달 기준에 영향을 주지만, 민간 부문 의무는 주법에 의해 정해진다.

진영 3 — 한국·일본: 종합법 + 분야별 보강

한국은 PIPA(개인정보보호법)를 2024년에 개정해 가명정보, MyData(개인정보 전송요구권), 의료 마이데이터, 글로벌 이전 적정성 평가를 정비했다. 일본은 APPI(個人情報保護法)를 2022년 개정 이후 외국 이전·익명가공정보·통지 의무를 다듬어 왔다. 한일 모두 GDPR과의 상호운용성을 의식하며, EU 적정성 결정(adequacy decision)을 받아 둔 점이 특징이다.

진영 4 — 중국·브라질·인도 등 나머지 거대 시장

중국 PIPL(2021)은 GDPR과 형식적으로 유사하지만 국가 안보·당 우선 데이터 분류가 결합돼 있다. 브라질 LGPD(2020)는 GDPR을 거의 그대로 옮겼다. 인도 DPDP Act(2023)는 2025-2026년 시행 단계에 있고, 사우디·UAE도 PDPL/UAE PDPL을 운영 중이다.

진영 5 — AI 전용 국제 규범 진영

OECD AI 원칙(2019/2024 업데이트), NIST AI RMF(2023, 1.0), ISO 42001(2023, AI 관리시스템), 영국·미국·한국·일본·싱가포르·프랑스·스페인의 AISI 다자 협정. 강제력은 없지만 EU AI Act·미국 연방 조달·기업 거버넌스에 흡수된다.

한 줄 요약: EU는 강제, 미국은 모자이크, 아시아는 종합법 + 데이터 주권, 국제 규범은 가이드라인.

2장 · GDPR — 8년차, 집행 성숙

GDPR(General Data Protection Regulation, Regulation EU 2016/679)은 2018년 5월에 발효됐다. 2026년 5월로 만 8년. 초기 5년간은 "큰 과징금이 정말로 나올까?"라는 회의가 있었지만, 2021년 Amazon EUR 746M, 2023년 Meta EUR 1.2B, 2024년 TikTok EUR 345M 같은 결정이 누적되며 GDPR은 더 이상 종이호랑이가 아니다.

핵심 의무 — 2026년에도 변하지 않은 6개

  • 합법성 근거(Article 6) — 동의·계약·법적 의무·생명 보호·공익·정당한 이익 6가지 중 하나가 있어야 처리 가능.
  • 민감 카테고리(Article 9) — 인종, 종교, 노조, 건강, 성생활, 생체정보, 유전정보는 추가 조건.
  • 이전(Chapter V) — EU 밖으로 보낼 때 적정성 결정·SCC(Standard Contractual Clauses)·BCR(Binding Corporate Rules) 중 하나.
  • DPIA(Article 35) — 고위험 처리에는 영향평가.
  • DPO(Article 37) — 공공 기관·체계적 모니터링·민감 데이터 대규모 처리 시 임명 의무.
  • 통지(Article 33-34) — 위반 발생 시 72시간 내 감독 기관 통지.

2024-2026년에 바뀐 것

  • EU-US Data Privacy Framework(2023) — Schrems II로 깨졌던 미국 이전 경로가 새 적정성 결정(2023.7)으로 복원. 단, NOYB 같은 단체가 Schrems III 소송을 진행 중. 2026년 5월 현재 유효.
  • GDPR Procedural Regulation(2025년 제정) — 회원국 간 협력·일관성 절차를 간소화. "원스톱샵" 메커니즘의 병목 완화.
  • AI Act과의 접점 — EU AI Act는 GDPR을 대체하지 않는다. AI 시스템이 개인정보를 처리하면 두 법을 동시에 지켜야 한다.

과징금의 무게

GDPR 과징금 상한은 글로벌 매출의 4% 또는 EUR 20M 중 큰 쪽. 2024-2025년 누적 총액은 EUR 5B를 돌파했다. 단일 최대 사례는 2023년 Meta(아일랜드 DPC) 사례로 EUR 1.2B.

GDPR을 모르고 EU 사용자에게 서비스를 제공하는 시대는 끝났다. 2026년의 GDPR은 "기본 설정" 이다.

3장 · EU AI Act — 2024.8 발효, 2025.2 금지, 2026.8 전면 시행

EU AI Act(Regulation EU 2024/1689)는 2024년 6월 13일 채택, 2024년 7월 12일 OJ 게재, 2024년 8월 1일 발효됐다. 단계적 시행 일정이 핵심이다:

  • 2024.8.1 — 법 발효.
  • 2025.2.2 — 금지 관행(prohibited practices) + 일반 정의 적용.
  • 2025.8.2 — 범용 AI 모델(GPAI) 의무 + 거버넌스 + 처벌 규정 적용.
  • 2026.8.2 — 고위험 시스템 의무 + 시장 감시 + 기타 대부분 의무 전면 시행.
  • 2027.8.2 — Annex I 안전 컴포넌트로 분류된 고위험 시스템 의무 추가 적용.

2026년 5월은 그래서 "전면 시행을 3개월 앞두고 있는 순간"이다. 모든 EU 시장 진입 AI 제품은 그 시점부터 새 의무 표를 따라야 한다.

위험 4 등급 분류

EU AI Act의 핵심은 위험 기반 접근(risk-based approach). AI 시스템을 4 등급으로 나눈다.

  • 금지(Prohibited) — Article 5에 열거. 사회적 점수, 직장·교육 감정 인식, 무차별 안면 인식 데이터베이스 구축, 어린이 대상 행동 조작, 취약 계층 착취, 실시간 원격 생체 인식(예외 있음).
  • 고위험(High-risk) — Annex III에 열거. 채용·신용 평가·교육 평가·법 집행·이주·사법·중요 인프라·의료 디바이스(MDR 결합).
  • 제한 위험(Limited) — 챗봇·딥페이크 등. 투명성 의무(사용자에게 AI라고 알릴 것).
  • 최소 위험(Minimal) — 스팸 필터·게임 NPC 등. 자율 자발적 준수 외에는 의무 없음.

고위험 시스템의 핵심 의무

  • 위험 관리 시스템(Article 9) — 라이프사이클 전반의 위험 식별·평가·완화.
  • 데이터 거버넌스(Article 10) — 학습·검증·테스트 데이터의 품질·대표성·편향 관리.
  • 기술 문서(Article 11) + Annex IV — 시스템·데이터·로그·결과 문서화.
  • 자동 로그(Article 12) — 시스템 운영 로그를 보존하고 추적 가능.
  • 투명성(Article 13) — 사용자에게 사용 설명·한계·정확도를 제공.
  • 인간 감독(Article 14) — 자연인이 효과적으로 감독·중단 가능.
  • 정확성·견고성·사이버 보안(Article 15) — 적정 정확도와 회복력.
  • 적합성 평가(Article 43) — 자체 적합성 평가 또는 제3자 인증.
  • CE 마킹 + EU 데이터베이스 등록(Article 49, 71) — 시장에 내놓기 전 등록.

GPAI(General-Purpose AI) 모델 — Article 51-55

기반 모델 제공자에게 별도 의무. 학습 데이터 요약 공개, 저작권 준수 정책, 기술 문서, 다운스트림 통합자에게 정보 제공. "시스템적 위험(systemic risk)" 모델(현재 10^25 FLOPs 학습 임계치 적용)은 추가로 모델 평가·적대적 테스트·심각 사건 통지·사이버 보안 의무.

과징금

  • 금지 위반 — 최대 EUR 35M 또는 글로벌 매출의 7%.
  • 고위험 의무 위반 — 최대 EUR 15M 또는 글로벌 매출의 3%.
  • 부정확 정보 제공 — 최대 EUR 7.5M 또는 글로벌 매출의 1%.

GDPR 4%를 넘어선 7% — 숫자가 의도를 말한다.

EU AI Office

2024년에 EU Commission 내부에 설립. EU AI Act의 GPAI 부분을 직접 집행하고, 회원국 시장 감시 기관들과 협력한다. Code of Practice(2025년 5월 최종판) 같은 가이드라인을 발행한다.

4장 · DSA + DMA — 플랫폼 규제

EU AI Act가 모델·시스템의 안전을 다룬다면, DSA(Digital Services Act)와 DMA(Digital Markets Act)는 플랫폼의 행태를 다룬다.

DSA(Regulation EU 2022/2065)

2022년 11월 채택. 2024년 2월부터 모든 온라인 중개자·호스팅·플랫폼에 전면 적용. 핵심은:

  • 불법 콘텐츠 통지 + 조치 의무(Article 16) — 신고 → 신속 검토 → 결정. 결정 사유와 이의 절차를 사용자에게 알릴 것(Article 17).
  • 위험 평가(Article 34) — Very Large Online Platforms(VLOP, MAU 4500만 이상)와 VLOSE(검색)에는 시스템 위험 연 1회 평가 의무.
  • 추천 시스템 투명성(Article 27, 38) — 추천 알고리즘 매개변수 공개. VLOP는 비-프로파일링 옵션 1개 이상 제공.
  • 광고 투명성(Article 26, 39) — 광고임을 명시, 광고 식별자·기준·재정 후원자 공개. 미성년자·민감 카테고리 타깃 광고 금지.
  • 다크 패턴 금지(Article 25) — 사용자 결정을 왜곡하는 인터페이스 금지.

2024-2025년 동안 EU Commission은 X, Meta, AliExpress, TikTok, Temu에 대해 공식 절차를 개시했다. 첫 결정이 임박했다.

DMA(Regulation EU 2022/1925)

게이트키퍼(gatekeeper) 지정 빅테크에 사전 규제. 2024년 3월부터 전면 적용. 2026년 5월 현재 지정된 게이트키퍼는 Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking. 핵심 의무:

  • 상호운용성 — Messenger·WhatsApp 같은 메신저는 다른 메신저와의 메시지 송수신 가능해야.
  • 자체 우대 금지 — 검색·앱스토어·OS에서 자기 서비스를 부당하게 앞세우기 금지.
  • 데이터 결합 동의 — 별도 서비스 간 사용자 데이터 결합에는 명시적 동의.
  • 앱스토어 외부 결제·사이드로딩 — Apple iOS 앱스토어 외부 결제 허용 의무.

Apple은 2024-2025년에 걸쳐 DMA 비준수로 EUR 1.8B(반독점) + EUR 500M(DMA Article 5(4)) 등의 결정을 받았고, 미국 정부와의 외교적 마찰까지 야기했다.

DSA·DMA의 함의

DSA·DMA는 더 이상 "유럽만의 이야기"가 아니다. 게이트키퍼들이 EU 시장에서 한 변경(예: iOS 사이드로딩, Meta 광고 동의)은 글로벌 제품에 영향을 준다. 한국·일본의 플랫폼 규제(공정거래위·총무성)는 DMA를 자주 참조한다.

5장 · EU Data Act — IoT 제조사 데이터 공유

EU Data Act(Regulation EU 2023/2854)는 2024년 1월 발효, 2025년 9월부터 적용. 핵심 발상은 단순하다 — "내가 만든 IoT 제품이 발생시키는 데이터는 누구의 것인가?" Data Act는 이 데이터에 대한 사용자의 접근권을 명시한다.

핵심 의무

  • 사용자의 데이터 접근권(Chapter II) — IoT 제품 사용자는 그 제품이 생성한 데이터에 무료로 접근 가능. 사용자는 그 데이터를 자기가 지정한 제3자에게 보낼 권리.
  • B2G(Business-to-Government) 의무 공유(Chapter V) — 공중 위생 비상사태 같은 예외적 필요 시, 공공 기관은 기업에 데이터를 요청 가능.
  • 클라우드 전환(Chapter VI) — 클라우드 사업자 간 전환을 막는 lock-in 관행 제한.
  • 상호운용성(Chapter VIII) — 데이터 공간(data spaces)을 위한 표준.

누가 영향을 받나

자동차 제조사, 가전 메이커, 산업 IoT, 농기계 등 "데이터 발생 제품"을 만드는 모든 회사. Tesla·John Deere·BMW·Siemens·Samsung·LG가 직접 영향. 부수적으로 그 회사들이 쓰는 AWS·Azure·GCP·OCI 같은 클라우드 사업자도 전환 의무에 영향을 받는다.

한국·일본 영향

자동차·반도체·가전 영역에서 EU 시장 진입을 위해 Data Act 준수가 필요. 한국 ETRI·KISA·KISDI에서 Data Act 관련 가이드라인 작성 작업이 진행 중.

6장 · EU Cyber Resilience Act — 소프트웨어 벤더 책임

EU Cyber Resilience Act(CRA, Regulation EU 2024/2847)는 2024년 12월 발효. 핵심 의무는 2026년 12월부터, 보고 의무는 2026년 9월부터, 전면 시행은 2027년 12월. 발상은 단순하다 — "디지털 제품에도 자동차처럼 안전 기준이 있어야 한다."

적용 범위

EU 시장에 출시되는 "디지털 요소가 있는 제품" 거의 전부 — 하드웨어 + 펌웨어 + 소프트웨어. 단, 의료기기 MDR·자동차 형식 승인·민간 항공처럼 다른 EU 규정이 이미 다루는 분야는 제외.

핵심 의무

  • Essential Cybersecurity Requirements(Annex I) — 설계 단계부터 보안 고려, 알려진 취약점 없이 출시, 보안 기본값.
  • 취약점 처리 — 제품 라이프사이클(최소 5년) 동안 취약점 보고·패치 의무.
  • 실제 악용된 취약점 통지 — 알게 된 후 24시간 내 ENISA 사전 통지, 72시간 내 정식 통지, 14일 내 완전 보고.
  • CE 마킹 — 적합성 평가 후 CE 마킹, 사용 설명, EU 데이터베이스 등록.

오픈소스 면제 — 일부

비상업적 오픈소스는 면제. 오픈소스 소프트웨어 스튜어드(open source software steward) 개념을 신설해 일부 의무를 완화하지만, 면제는 아니다.

과징금

  • 핵심 사이버 보안 요건 위반 — 최대 EUR 15M 또는 글로벌 매출 2.5%.

EU AI Act + GDPR + CRA를 합치면, 2026-2027년의 EU 시장에 진입하는 디지털 제품은 세 겹의 인증·문서·로그·통지 의무를 동시에 짊어진다.

7장 · US 주별 법 — 8개 활성 + 모자이크

2026년 5월 현재 미국 연방 차원의 종합 프라이버시법은 존재하지 않는다. American Privacy Rights Act(APRA, 2024년 5월 의회 발의) 같은 시도는 있었지만 통과되지 않았다. 그동안 주들은 각자 입법을 가속화했다.

활성화된 8개 주 종합법

  • California — CCPA(2020) + CPRA(2023) — 가장 강력. 글로벌 매출 USD 25M 초과, 캘리포니아 거주자 데이터 10만 건 이상, 또는 매출의 50% 이상이 데이터 매매에서 발생하는 모든 사업자에 적용. CPPA(California Privacy Protection Agency)라는 전담 규제 기관 존재. 자동 의사결정 기술(ADMT) 규정과 사이버 보안 감사 의무가 2025-2026년에 단계적 적용.
  • Virginia — VCDPA(2023) — Consumer Data Protection Act. 처음 통과된 캘리포니아 외 법. 동의·DPIA·민감 카테고리·옵트아웃이 핵심.
  • Colorado — CPA(2023) — Colorado Privacy Act. CPRA 다음으로 강력. 보편적 옵트아웃 신호(UOOM) 의무.
  • Connecticut — CTDPA(2023) — Connecticut Data Privacy Act. VCDPA·CPA의 절충판.
  • Utah — UCPA(2023) — Utah Consumer Privacy Act. 비교적 가벼운 의무. 동의 기반보다 옵트아웃 기반.
  • Texas — TDPSA(2024.7 시행) — Texas Data Privacy and Security Act. 모든 인구 기준이 아닌 텍사스 거주자 데이터 처리 사업자에 광범위 적용.
  • Minnesota — MIPA(2025.7 시행) — Minnesota Consumer Data Privacy Act. 프로파일링 거부권을 명시.
  • Oregon — OCPA(2024.7 시행) — Oregon Consumer Privacy Act. CTDPA에 가까운 구조.

이외에 Tennessee TIPA, Iowa, Indiana, Montana, Delaware DPDPA 등이 2024-2026년에 추가 시행. 정리하면 2026년 5월 현재 종합법을 시행 중인 주는 약 15-18개다.

공통 패턴 — VCDPA 후속 법 6가지 권리

  • 접근권(Right to Access)
  • 수정권(Right to Correct)
  • 삭제권(Right to Delete)
  • 데이터 이동권(Right to Portability)
  • 옵트아웃(Right to Opt-out of Sale/Sharing/Targeted Advertising)
  • 프로파일링 옵트아웃(Right to Opt-out of Profiling)

CPRA만 별도로 (가) 민감 카테고리 사용 제한권, (나) 자동 의사결정 거부·접근권을 추가 부여한다.

연방 차원 — AI 행정명령과 그 후속

  • Biden AI EO(2023.10) — 14110호. AI 안전 평가, 적색팀(red teaming), 합성 콘텐츠 워터마킹, AISI 설립.
  • Trump 행정부(2025-) — Biden EO를 일부 폐지하고 자율 규제 강조. 다만 NIST AI RMF는 정부 조달 기준으로 유지.
  • California SB 1047 (AI 안전, 2024 부결) — 거번너 거부권. 후속 SB 53 같은 안건이 2025-2026 진행.
  • Colorado AI Act(2024.5 제정, 2026.2 시행) — 미국 최초의 종합 AI 차별 방지법. 고위험 AI에 영향평가·차별 방지 의무.

과징금

CCPA 최대는 의도적 위반 USD 7,500/건. CPRA는 어린이 사례 가산. 다른 주들은 수천에서 수만 USD 범위. 단, 집단 소송 위험은 별도(CCPA는 사생활 침해 사건에 한해 개인 소송권 허용).

미국 진영의 함의

  • 모든 사업자는 주별 매트릭스를 관리해야 한다. "캘리포니아만 보면 됨" 시대는 끝났다.
  • IAB(Interactive Advertising Bureau)의 GPC(Global Privacy Control), UOOM(Universal Opt-Out Mechanism) 같은 기술 표준이 점점 더 중요.
  • 연방법이 없는 한 컴플라이언스 비용은 계속 증가한다. APRA가 부활하면 큰 변화 가능성.

8장 · IL BIPA — 생체정보 별도 전선

Illinois Biometric Information Privacy Act(BIPA)는 2008년에 통과된 가장 오래된 생체정보 법이다. 2026년에도 미국 기업에 가장 큰 단일 소송 위험이다.

왜 별도 전선인가

  • 개인 소송권(Private Right of Action) — 위반당 USD 1,000(과실) 또는 USD 5,000(고의) 손해배상.
  • 건당 계산 — 사용자 1명의 안면 스캔이 100번 발생했다면 위반이 100번이다 — 라는 해석이 2023년 White v. Cintas 판례까지 유지됐다.

집단 소송 사례

  • Facebook(Meta) — 2020년 USD 650M 합의.
  • TikTok — 2021년 USD 92M 합의.
  • Google — 2022년 USD 100M 합의.
  • Snap — 2022년 USD 35M 합의.
  • Clearview AI — 2022년 ACLU와의 합의 + 다수 주 소송 진행.

2024 BIPA 개정

2024년 8월 Illinois는 BIPA를 개정해 위반을 사용자·세션 단위로 계산하도록 명문화했다. 건당 누적 계산 시대는 끝났지만, 여전히 미국 내에서 가장 위험한 생체정보 법.

Texas CUBI, Washington HB 1493

Texas Capture or Use of Biometric Identifier(CUBI)는 검찰만 집행 가능. Washington도 비슷. BIPA만큼 무섭지 않지만 별도 매트릭스에 포함해야 한다.

시사점

AI·컴퓨터 비전·생체 인증을 다루는 모든 회사 — 특히 미국 사용자가 있는 경우 — 는 BIPA 동의(서명·전자 동의), 보유 정책, 폐기 절차를 별도 라인으로 운영해야 한다.

9장 · Korea PIPA 2024 개정 — 가명정보·MyData·의료 마이데이터

한국 개인정보보호법(PIPA, Personal Information Protection Act)은 2011년 제정. 2020년의 "데이터 3법" 개정으로 가명정보 도입, 2023년 9월 개정으로 EU GDPR 수준의 권리를 정비. 그리고 2024년 3월의 개정은 다음을 추가했다.

2024 개정의 핵심

  • 개인정보 전송요구권(MyData) 일반화 — 종전 금융·공공 분야에서만 운용되던 MyData가 모든 분야로 확장 가능한 법적 근거 정비. 시행령은 2025년부터 단계 적용.
  • 자동화된 결정에 대한 권리 — 자동화된 의사결정(채용·신용·교육 등)이 정보주체에게 중대한 영향을 주는 경우 거부·설명요구권을 명시.
  • 이동성 + 상호운용성 — 데이터 표준화·중계기관·과금 한도 등 운용 인프라.
  • 글로벌 이전 적정성 평가 절차 정비 — 개인정보보호위원회(PIPC)의 적정성 결정 절차를 명문화.
  • 과징금 산정 기준 — 전체 매출 기준 부과 가능(종전 위반 관련 매출 한정에서 확장). GDPR과 유사한 구조.

의료 마이데이터(2024-2025)

보건복지부의 의료데이터 활용·보호 종합계획에 따라 의료 마이데이터 사업이 본격화. 환자가 자신의 진료기록·처방·검사 결과를 외부 앱(My Health Way 등)에 전송할 권리. 2025-2026년에 종합 종합 병원·의원으로 확산.

EU 적정성 결정

한국은 2021년 12월 EU의 적정성 결정을 받았다. 이는 EU에서 한국으로의 데이터 이전이 별도 SCC 없이 가능하다는 뜻. 적정성 유지를 위해 PIPC는 GDPR 수준의 권리·집행을 유지해야 한다 — 2024 개정은 이를 의식한 측면도 있다.

AI 관련 가이드라인 — KISA·PIPC

  • 2023년 PIPC "인공지능 개인정보 보호 자율점검표" 발표.
  • 2024년 PIPC "생성형 AI 개인정보 처리방침 가이드라인" 발표.
  • 2025년 KISA "AI 학습용 데이터 익명·가명처리 기술 가이드" 갱신.

과징금

전체 매출의 최대 3% — GDPR의 4%보다는 낮지만 EU와의 일치 방향. 2024-2025년에 카카오·SKT 등에 수십억 원대 과징금이 부과됐다.

10장 · Japan APPI — 일본 개인정보보호법

일본 개인정보보호법(個人情報保護法, APPI - Act on the Protection of Personal Information)은 2003년 제정, 2017년·2022년 대규모 개정. 2025년 추가 개정 검토가 진행 중이다.

기본 구조

  • 개인 식별 부호(個人識別符号) — 지문·DNA·여권번호 등 식별 부호 정의.
  • 요배려개인정보(要配慮個人情報) — 인종·신앙·병력·범죄 등 민감 카테고리.
  • 익명가공정보(匿名加工情報) — GDPR 익명화와 한국 익명정보의 일본판. 학술·산업 활용을 위한 제도.
  • 가명가공정보(仮名加工情報) — 2022 개정으로 신설. 한국 가명정보와 유사. 동의 없이 사내 활용 가능, 외부 제공은 제한.

2022 개정의 핵심

  • 외국 이전 — 이전 대상국의 개인정보 보호 수준 정보를 본인에게 제공.
  • 누설 등 보고 의무 — 일정 규모 이상은 PPC(個人情報保護委員会)에 보고 + 본인 통지.
  • 부정 취득·부정 이용 — 명시적 금지 추가.
  • 가명가공정보 신설.
  • 위반 처벌 강화 — 법인 최대 JPY 100M.

EU 적정성 결정

일본도 2019년 EU 적정성 결정을 받았다. 일본-EU 간 양방향 적정성 인정으로 양국 간 데이터 흐름이 자유롭다.

2024-2026 개정 논의

PPC는 2024년부터 3년 주기 재검토를 준비 중. 핵심 주제:

  • 단체 소송 도입 검토.
  • 동의 요건 강화·재구성.
  • 외국 사업자에 대한 역외 적용 강화.
  • AI에 대한 명시적 규정 도입 가능성.

AI 관련 가이드라인 — 일본 정부

  • 2024년 4월 경제산업성·총무성 합동 "AI 사업자 가이드라인" 발표. 강제력 없는 가이드라인이지만 OECD AI 원칙·NIST AI RMF와 정합.
  • 2023년 G7 히로시마 AI 프로세스 → 국제 행동강령.

11장 · China PIPL · Brazil LGPD — 그 외 글로벌

China PIPL(2021)

중국 개인정보보호법(个人信息保护法)은 2021년 11월 시행. GDPR과 형식적으로 비슷하지만 차이점:

  • 중요 정보 인프라(CII) 운영자는 데이터를 중국 내 보관해야.
  • 국가 안보·당 이익 우선 — 국가가 요구하면 데이터 제공.
  • 외국 이전 — CAC(국가 인터넷 정보 판공실) 안보 심사, 표준 계약, 인증 중 하나. 2024년 3월 완화 조치로 매출액·건수 기준 일부 면제 신설.
  • 민감 카테고리 — 14세 이하 미성년자·생체정보·종교·금융 등.

PIPL 위반 과징금은 매출 5% 또는 RMB 50M. 2024년 알리·디디·텐센트 등에 누적 수십억 RMB 부과.

Brazil LGPD(2020)

브라질 일반 개인정보보호법(Lei Geral de Proteção de Dados)은 2020년 9월 시행, 2021년 8월 집행 시작. GDPR을 거의 그대로 옮긴 구조. 감독 기관은 ANPD(Autoridade Nacional de Proteção de Dados). 과징금 상한은 매출의 2% 또는 BRL 50M.

India DPDP Act(2023)

인도 Digital Personal Data Protection Act는 2023년 8월 제정. 시행은 단계적, 2025-2026년 본격 시행. 핵심은:

  • 동의 중심.
  • 데이터 신탁자(Data Fiduciary) 개념 도입.
  • 어린이·장애인 데이터 추가 보호.
  • 데이터 보호 위원회 신설.

Saudi PDPL(2023), UAE PDPL(2023)

중동 두 나라도 GDPR 영감의 종합법을 운영 중. 사우디는 SDAIA·NDMO가 감독. UAE는 데이터 자율 구역(DIFC, ADGM)에서 별도 GDPR 정합 규정 운영.

12장 · OECD AI 원칙 · NIST AI RMF · ISO 42001

법은 아니지만 글로벌 표준이 된 세 가이드라인.

OECD AI 원칙(2019, 2024 업데이트)

OECD AI Principles는 2019년 5월 채택, 38개 회원국 + 비회원국 다수 동의. 2024년 5월에 (가) 생성형 AI, (나) 안전·정보 무결성을 반영해 업데이트. 5 원칙:

  • 포용적 성장·지속 가능 발전·웰빙.
  • 인권·민주적 가치 + 공정성·프라이버시.
  • 투명성·설명 가능성.
  • 견고성·보안·안전성.
  • 책임성.

대부분의 국내법·가이드라인이 OECD AI 원칙을 인용한다. EU AI Act·NIST AI RMF·한국 AI 윤리 가이드라인 모두.

NIST AI RMF(2023)

미국 국립표준기술원(NIST)의 AI Risk Management Framework 1.0은 2023년 1월 발표. 강제력은 없지만 미국 연방 조달 기준에 흡수되며 사실상 표준이 됐다. 4 함수(function):

  • Govern — 거버넌스·정책·역할.
  • Map — 맥락·위험·이해관계자 식별.
  • Measure — 정량·정성 측정.
  • Manage — 위험 처리·우선순위·자원 할당.

2024년 7월 NIST는 Generative AI Profile(NIST AI 600-1)을 추가 발표. EU AI Act·ISO 42001과 매핑 가이드도 별도 제공.

ISO/IEC 42001(2023)

ISO/IEC 42001:2023은 세계 최초의 AI 관리시스템 인증 표준. 2023년 12월 공식 발표. ISO 9001(품질) + ISO 27001(정보보안)의 AI 버전이라고 보면 정확하다.

핵심 요소:

  • AI 정책·역할·책임.
  • AI 위험 평가·영향평가.
  • 데이터·모델·운영의 통제.
  • 라이프사이클 관리 — 개발·평가·배포·모니터링·폐기.
  • 지속적 개선.

2024-2025년에 BSI·DNV·TÜV 등 인증기관이 인증 서비스 개시. 글로벌 빅테크가 ISO 42001 인증을 줄줄이 받는 중. 한국·일본 기업에도 빠르게 확산.

ISO 42001은 EU AI Act 적합성 평가의 추정 근거(presumption of conformity)는 아니다 — 단, 실무에서는 핵심 증거가 된다.

13장 · AI Safety Institutes — 다자 협정

2023년 11월 영국 Bletchley Park에서 열린 첫 AI Safety Summit 이후, 주요국이 AI Safety Institute(AISI)를 설립하고 다자 협정망을 구축했다.

가입국 — 2026년 5월 기준

  • UK AISI — 2023.11 설립. Bletchley·Seoul Declaration의 사실상 사무국.
  • US AISI — NIST 산하 2024.2 설립. Anthropic·OpenAI와 사전 평가 협약.
  • Japan AISI — 2024.2 설립.
  • Korea AISI — 2024.11 설립.
  • Singapore AISI — 2024.5 설립.
  • France AISI / INESIA — 2025년 설립.
  • Spain AESIA — 2024년 설립.
  • Canada AISI, EU AI Office와 별도 양해 — 다자 협정에 추가.

무엇을 하나

  • 모델 사전 평가 — 프론티어 모델(GPT-4·Claude·Gemini·Llama 4 등) 출시 전 위험 평가. Anthropic·OpenAI는 자발적 협약 체결.
  • 공동 평가 표준 — 적색팀·CBRN·사이버·자율성·기만 능력 표준화.
  • 사고 보고 공유 — 심각한 사고는 다자 공유.
  • 연구 기금·코호트 — 안전 평가 도구 개발.

Seoul Declaration(2024.5)와 Paris Action(2025.2)

  • Seoul Declaration — 2024년 5월 서울 정상회의. AI 안전·혁신·포용 3 축.
  • Paris Action — 2025년 2월 파리 정상회의. 행동 계획·자원 약속.

한계와 의의

AISI는 법이 아니다 — 자발적이고 행정 협의에 가깝다. 그러나 (가) 모델 출시 전 정부 평가 관행을 만들고, (나) EU AI Act의 GPAI Code of Practice에 영향을 주고, (다) 산업 자체 표준의 거버넌스 축이 된다.

14장 · 우리 회사는 무엇을 해야 하나 — 단계별 컴플라이언스

이론은 길었지만, 실무는 단계가 명확하다.

단계 0 — 적용 범위 확인(1주)

  • EU 시민·EU 시장 사용자가 있나? — 있다면 GDPR·EU AI Act·DSA·CRA 표면에 노출.
  • 미국 주별 — CCPA·VCDPA·CPA·CTDPA·UCPA·TDPSA·MIPA·OAPA 매트릭스 작성. 매출·사용자 수·민감 데이터 기준 확인.
  • 한국·일본 사용자 — PIPA·APPI 매트릭스.
  • 중국 사용자 — PIPL 표면. 데이터 현지화 필요한가 검토.
  • AI 기능 — 위험 등급 자가 분류(금지·고위험·제한·최소).

산출물: 규제 적용 매트릭스 한 페이지.

단계 1 — 데이터 매핑(2-4주)

  • 어떤 개인정보를 어디에서 받아 어디에 저장하고 어디로 보내나? — RoPA(Record of Processing Activities, GDPR Article 30).
  • 처리의 합법성 근거 — 동의·계약·정당한 이익?
  • 민감 카테고리 — 어떤 것이 어디서 처리되나?
  • 이전 — 국경을 넘는 데이터 흐름의 SCC·BCR 상태.

산출물: 데이터 흐름도 + 합법성 표.

단계 2 — 정책 + 권리 응답 절차(2-4주)

  • 개인정보처리방침(privacy policy) 다국어 + 다중 관할 갱신.
  • DSAR(데이터 접근권) 응답 절차 — 30일/45일 시계 운영.
  • 옵트아웃 절차 + GPC·UOOM 기술 신호 인식.
  • 어린이 데이터 — COPPA(미국) + CCPA Children + GDPR 13세 미만.

산출물: 권리 응답 SOP + 정책 문서.

단계 3 — DPIA·AI 영향평가(4-8주)

  • 고위험 처리에는 GDPR DPIA — 신용 평가·대규모 모니터링·새 기술 도입.
  • AI 시스템에는 EU AI Act 영향평가 — Article 27 Fundamental Rights Impact Assessment(공공 기관·고위험 제공자).
  • 자동 의사결정 — GDPR Article 22, 한국 PIPA 자동결정권 응답.

산출물: DPIA 리포트 + 위험 등록부.

단계 4 — 기술 통제(8-12주)

  • 암호화 — 저장·전송·키 관리.
  • 액세스 제어 + 감사 로그.
  • 가명·익명 처리 — KISA 가이드, ISO 27018.
  • 보유 + 폐기 자동화.
  • 사이버 보안 — CRA 대비 SBOM(Software Bill of Materials), 취약점 보고.

산출물: 통제 카탈로그 + 감사 추적.

단계 5 — 거버넌스(6-8주)

  • DPO/CPO 지정 — GDPR Article 37, 한국 PIPA 의무.
  • AI 위원회 또는 책임자 — ISO 42001 Clause 5.
  • 정기 위험 평가 + 경영 검토 + 내부 감사.
  • 침해 대응 플랜 — 72시간 / 24-72시간 통지 시계.
  • 공급망 — 처리자 계약·SCC·DPA(Data Processing Agreement).

산출물: 거버넌스 RACI + 침해 플레이북.

단계 6 — 인증·문서·공시(8-12주)

  • ISO 27001(정보 보안) + ISO 42001(AI) 인증 검토.
  • EU AI Act 적합성 평가 — 고위험 시스템은 자체 평가 또는 제3자.
  • EU 데이터베이스 등록 — 고위험 AI 시스템.
  • 투명성 보고서 — DSA VLOP, EU AI Act 기반 모델, Anthropic·OpenAI 같은 자발적 공시.

산출물: 인증 + 등록 + 공시 캘린더.

단계 7 — 운영(상시)

  • 정기 감사(연 1회 이상) + 변경 영향평가.
  • 사고 대응 훈련 — 침해 시뮬레이션.
  • AISI·정부 사전 평가 참여(프론티어 모델 사업자).
  • 새 법령 추적 — EU AI Office·각국 감독기관 공시 모니터링.

한 줄 정리: 컴플라이언스는 "1회 프로젝트"가 아니라 "상시 시스템"이다.

15장 · 참고 / References

공식 1차 자료를 우선.

EU

미국

한국

일본

중국 · 브라질 · 인도

국제 표준

참고 자료

에필로그 — 규제는 적이 아니라 제품이다

이 글의 한 문장 요약: 2026년의 디지털 제품은 규제 표면적을 "기능"으로 다뤄야 한다. GDPR이 "마케팅 비용"이던 시대는 지났다. EU AI Act는 모델 학습 단계부터 데이터·로그·문서·평가를 요구한다. CRA는 SBOM·취약점 보고를 빌트인으로 요구한다. CCPA·PIPA는 "옵트아웃 버튼" 하나로 끝나지 않는다.

그러나 — 이 모든 것이 "비용"으로만 보인다면 절반만 본 것이다. 규제 표면을 잘 다룬 회사가 (가) 글로벌 시장 진입 속도를 높이고, (나) 신뢰를 자본화하고, (다) 사고가 났을 때 회복력이 빠르다. 컴플라이언스는 제품 디자인의 일부다.

"법은 늘 기술에 늦는다 — 라는 말은 더 이상 사실이 아니다. 2026년의 EU AI Act는 기술과 거의 동시에 도달했다. 규제와 같이 달리는 법을 익히는 게 다음 10년의 핵심 역량이다."

— 프라이버시 & AI 규제 2026, 끝.

Discuss on TwitterView on GitHub