현대 인공지능(artificial intelligence, 이하 ‘AI’라 한다)은 인간의 지도 없이 자신이 처리한 데이터에 기초하여 스스로 추론하고 그 결과물을 도출한다. 이러한 데이터에는 디지털 개인정보가 포함되는바, AI 시스템에 따른 개인정보의 자기 주도적 처리는 인간의 개입을 배제하고 인간에 대한 편향을 생산할 수 있다는 점에서 개인정보보호 체계에 심각한 위협이 될 수 있다. 이 논문은 2024. 3. EU가 채택한 ‘인공지능법(Artificial Intelligence Act, 이하 ‘AI법’이라 한다)’의 주요 내용과 관련 개념을 살펴보고, 동법이 GDPR과 어떠한 관계에 있는지를 검토한다. AI법은 GDPR 등 개인정보보호에 관한 기존 EU 법을 존중하면서, AI 시스템 사용에 특화된 개인정보보호 관련 규정을 별도로 두고 있다. 이에 논문은 특수 범주 개인정보·AI 규제 샌드박스와 관련하여 동법이 AI 고유의 영역에서 개인정보를 어떻게 보호하고 있는지 살펴본다. AI법은 투명성, 책임성, AI의 윤리적 사용에 대한 명확한 요건을 확립하고, GDPR에 비견될 수 있는 개인정보 처리의 엄격한 요건을 규정하고 있다. AI법과 GDPR은 함께 작용하여 EU는 물론 전 세계적으로 개인정보보호와 책임 있는 AI 기술 사용에 대한 높은 기준을 제시할 것으로 보인다. AI 시스템을 사용하여 개인정보를 처리하는 기업은 GDPR과 AI법 규정을 동시에 준수해야 할 것이다. 특히, AI법 적용 여부는 AI 시스템, 제공자를 위시한 복잡하고 까다로운 정의 규정에 따라 판단되므로, 우리 기업을 포함한 AI법 수범자는 이들 주요 개념의 정의를 정확히 이해하고, AI법이 마련하고 있는 개인정보보호 관련 규정을 올바로 이해하는 것이 필요하다.
Modern artificial intelligence (AI) makes its own inferences and draws its own conclusions based on the data it processes without human guidance. This data includes digital personal data. In this context, the self-directed processing of personal data by AI systems can have a discriminatory and negative impact on data subjects, as it excludes human intervention and can produce a bias against humans. This article examines the main content and relevant concepts of the Artificial Intelligence Act (AIA) adopted by the EU in March 2024 and discusses how it relates to the GDPR, the general law protecting personal data in the EU. The AIA establishes clear requirements for transparency, accountability, and ethical use of AI to ensure that AI technologies respect individual rights and freedoms, including privacy. Together, the AIA and GDPR set a high standard for privacy and the responsible use of AI technologies in the EU and globally. In this article, this article explores what the AIA has to say about privacy. While the Act respects existing EU laws on privacy, such as the GDPR, it also sets out privacy-specific rules for the use of AI systems. Providers that use AI systems to process personal data will need to comply with both the GDPR and the AIA. In particular, the applicability of the AIA depends on the application and interpretation of complex and challenging definitions within the law, so it is necessary for the providers as well as deplyers to understand the definitions of these key concepts and to properly understand the provisions concerned protection personal data.