가. 300억장의 얼굴 사진을 훔친 회사 (Clearview AI)

(1) 네덜란드 3,050만 유로 과징금

2024년 5월 16일, 네덜란드 데이터보호청(Autoriteit Persoonsgegevens)의 의장 알레이드 볼프센은 결정문에 서명했습니다.

미국 뉴욕에 본사를 둔 안면인식 기업 Clearview AI에 3,050만 유로의 과징금을 부과하는 내용이었습니다. 같은 해 9월 3일, 이 결정이 공개되었을 때 볼프센은 기자들 앞에서 이렇게 말했습니다. "안면인식은 매우 침습적인 기술입니다. 전 세계 모든 사람에게 그냥 풀어놓을 수 있는 것이 아닙니다."

Clearview AI가 무엇을 했는지 이해하려면 먼저 그들의 사업 모델을 알아야 합니다.

이 회사는 인터넷을 돌아다니며 사람들의 얼굴 사진을 수집합니다. 페이스북, 인스타그램, 링크드인, 뉴스 사이트, 공개된 모든 웹페이지에서. 크롤러라고 불리는 자동화된 프로그램이 이 작업을 수행합니다. 수집된 각 얼굴 이미지는 알고리즘을 통해 고유한 생체 코드로 변환됩니다. 지문처럼 각 사람을 식별할 수 있는 숫자의 조합입니다. 2024년 기준으로 Clearview의 데이터베이스에는 300억 장이 넘는 얼굴 사진이 저장되어 있었습니다. 회사 웹사이트는 500억 장이라고 자랑했습니다.

이 데이터베이스는 법 집행기관에 판매되었습니다.

경찰이 범죄 현장의 CCTV 영상에서 얼굴을 캡처하면, Clearview 시스템에 업로드합니다. 시스템은 300억 장의 사진 중에서 일치하는 얼굴을 찾아냅니다. 그리고 그 사진이 어디서 왔는지, 그 사람의 이름이 무엇인지, 어떤 소셜 미디어 계정과 연결되어 있는지 알려줍니다. 범죄 수사에 유용한 도구입니다.

문제는 이 데이터베이스에 들어간 수십억 명의 사람들 중 단 한 명도 자신의 얼굴이 수집되고 있다는 사실을 알지 못했다는 것입니다. 동의를 구한 적도 없었습니다. 네덜란드 데이터보호청은 이것이 GDPR의 여러 조항을 위반했다고 판단했습니다.

첫째, 제6조 위반입니다. 개인정보를 처리하려면 적법한 근거가 필요합니다. 동의, 계약 이행, 법적 의무, 정당한 이익 등 여섯 가지 중 하나에 해당해야 합니다. Clearview는 어느 것에도 해당하지 않았습니다.

둘째, 제9조 위반입니다. 생체 데이터는 민감 정보로 분류됩니다. 더 엄격한 보호가 필요합니다. 명시적 동의 없이는 수집 자체가 금지됩니다.

셋째, 제14조 위반입니다. 개인정보를 제3자로부터 수집할 경우, 정보 주체에게 이 사실을 알려야 합니다. Clearview는 알리지 않았습니다.

과징금 3,050만 유로 외에도 네덜란드 데이터보호청은 네 가지 시정 명령을 내렸습니다. 위반 행위를 중단하지 않으면 추가로 510만 유로의 이행강제금이 부과됩니다. 볼프센 의장은 한 걸음 더 나아갔습니다. "우리는 이제 회사 경영진을 개인적으로 책임지게 할 수 있는지 조사하고 있습니다. 이러한 위반을 알면서도 막지 않은 이사들에게 개인 책임을 물을 수 있습니다."

Clearview의 반응은 예상 가능했습니다. 회사의 법률 책임자 잭 멀케어는 이 결정이 "위법하고, 적법 절차가 결여되었으며, 집행 불가능하다"고 말했습니다. 그의 논리는 이랬습니다. Clearview는 네덜란드에 사업장이 없습니다. EU에 고객도 없습니다. 따라서 GDPR의 적용을 받지 않습니다.

여기서 GDPR의 역외 적용이라는 개념이 등장합니다. GDPR 제3조는 EU 밖에 있는 기업이라도 EU 거주자의 개인정보를 처리하면 이 법의 적용을 받는다고 규정합니다. Clearview가 네덜란드 시민의 얼굴을 수집한 순간, 네덜란드 데이터보호청의 관할권이 발생한 것입니다. Clearview는 이 결정에 이의를 제기하지 않았습니다. 따라서 항소할 권리를 상실했습니다. 그러나 과징금을 낼 의사도 없어 보였습니다.

(2) 영국·프랑스·이탈리아 제재 현황

네덜란드만이 아니었습니다. Clearview AI는 유럽 전역에서 벌금 폭격을 맞았습니다.

프랑스의 데이터보호 당국 CNIL은 2022년 10월, Clearview에 2,000만 유로의 과징금을 부과했습니다. 프랑스 영토 내 개인의 데이터 수집과 처리를 중단하고, 이미 수집된 데이터를 삭제하라는 명령도 함께 내렸습니다.

Clearview는 2개월 내에 이행 증거를 제출해야 했습니다. 2023년 5월, CNIL은 Clearview가 명령을 이행하지 않았다고 발표하며 520만 유로의 추가 과징금을 부과했습니다.

유럽 데이터보호이사회(EDPB)는 2023년 보고서에서 Clearview가 어떠한 준수 증거도 제출하지 않았다고 확인했습니다.

이탈리아 개인정보보호청(Garante)은 2022년 3월에 2,000만 유로를 부과했습니다. 영국 정보위원회(ICO)는 같은 해 5월에 750만 파운드(약 900만 유로)를 부과했습니다. 그리스 데이터보호청도 2022년에 제재를 가했습니다. 누적 금액은 1억 유로에 육박했습니다.

영국의 경우는 법적으로 복잡한 경로를 거쳤습니다. ICO가 2022년 5월에 과징금과 집행 통지를 발부하자, Clearview는 이의를 제기했습니다. 회사의 논리는 이랬습니다. 우리는 영국 밖의 법 집행기관과 국가안보 기관에만 서비스를 제공합니다. 이러한 활동은 GDPR의 적용 범위 밖입니다. 2023년 10월, 1심 재판소(First-tier Tribunal)는 Clearview의 손을 들어주었습니다. ICO가 관할권이 없다는 판결이었습니다.

ICO는 항소했습니다. 2025년 1월 31일, 상급재판소(Upper Tribunal)는 ICO의 항소 허가를 승인했습니다. 같은 해 6월 9일부터 11일까지 심리가 진행되었습니다. 프라이버시 인터내셔널이라는 시민단체가 참고인으로 참여했습니다. 2025년 10월 6일, 상급재판소는 판결을 내렸습니다. ICO의 네 가지 항소 이유 중 세 가지를 인정했습니다.

상급재판소의 판단은 세 가지 핵심 쟁점을 다루었습니다. 첫째, Clearview의 데이터 처리가 영국 거주자의 '행동 모니터링'과 관련되는가. 재판소는 그렇다고 판단했습니다. '행동 모니터링'이라는 개념은 넓게 해석되어야 합니다. 실시간 감시만이 아니라, 향후 프로파일링 목적의 수동적 데이터 수집, 분류, 저장도 포함됩니다. Clearview가 얼굴 이미지를 수집하고 생체 코드를 생성하여 데이터베이스에 저장하는 행위 자체가 행동 모니터링에 해당합니다.

둘째, Clearview가 외국 법 집행기관에 서비스를 제공한다는 이유로 영국 데이터보호법의 적용에서 제외되는가. 재판소는 아니라고 판단했습니다. Clearview 자체는 법 집행기관이 아닙니다. 상업적 서비스를 제공하는 민간 기업입니다. 고객이 법 집행기관이라는 이유로 면제를 받을 수 없습니다.

셋째, 1심 재판소가 법률을 잘못 적용했는가. 상급재판소는 그렇다고 판단했습니다. 사건은 다시 1심 재판소로 환송되었습니다. ICO에 관할권이 있다는 전제 하에 본안 심리가 진행될 예정입니다.

2025년 12월 19일, 상급재판소는 Clearview의 항소심 진행을 허가했습니다. 사건은 항소법원(Court of Appeal)으로 넘어갈 예정입니다. 영국 정보위원장 존 에드워즈는 이렇게 말했습니다. "상급재판소의 결정은 영국 거주자의 데이터가 무단으로 수집되어 글로벌 온라인 데이터베이스에 사용되는 것으로부터 보호할 수 있는 우리의 능력을 확인해 주었습니다."

(3) GDPR 역외 적용의 한계와 실효성

유럽 전역에서 누적 1억 유로에 가까운 과징금이 부과되었습니다. 그러나 한 가지 불편한 진실이 있습니다. Clearview는 단 한 푼도 내지 않았습니다.

이것이 GDPR 역외 적용의 근본적 한계입니다. 법은 EU 밖의 기업에도 적용됩니다. 그러나 EU 밖의 기업이 EU 내에 자산이 없다면, 과징금을 어떻게 징수할 수 있습니까? Clearview는 뉴욕에 있습니다. 유럽에 사무실도 없고, 은행 계좌도 없고, 장비도 없습니다. 네덜란드 데이터보호청이 압류할 수 있는 것이 아무것도 없습니다.

그렇다고 이 제재가 무의미한 것은 아닙니다. 실질적 효과가 있습니다.

첫째, 시장 접근 차단입니다. Clearview는 EU 시장에 합법적으로 진입할 수 없게 되었습니다. EU 내의 어떤 조직도 Clearview의 서비스를 사용하면 자체적으로 GDPR 위반으로 제재를 받을 수 있습니다. 볼프센 의장은 명확히 경고했습니다. "Clearview의 서비스를 사용하는 네덜란드 조직은 네덜란드 데이터보호청으로부터 상당한 과징금을 예상해야 합니다."

둘째, 사실상의 사업 금지입니다. Clearview 웹사이트에는 이제 이런 문구가 있습니다. "Clearview AI는 EU, 영국, 호주, 캐나다에서 기술을 제공하지 않습니다." 이것은 자발적 철수가 아닙니다. 규제 압력에 의한 퇴각입니다.

2025년 10월, 오스트리아의 디지털 권리 단체 noyb(None of Your Business)는 새로운 전략을 시도했습니다. 오스트리아 검찰에 형사 고발을 제기한 것입니다. 민간인들의 생체 데이터를 불법 수집한 혐의입니다. noyb의 주장은 이랬습니다. 행정 과징금이 효과가 없다면, 형사 처벌을 시도해야 합니다. Clearview 경영진에 대한 국제 체포 영장이 발부된다면, 그들은 유럽 국가를 방문할 수 없게 됩니다.

이것은 데이터 보호 집행의 새로운 국면을 예고합니다. 행정적 제재에서 형사적 제재로의 전환. 기업에 대한 벌금에서 개인에 대한 책임 추궁으로의 확대. Clearview 사건은 GDPR의 야망과 현실 사이의 간극을 드러냅니다. 동시에 그 간극을 메우기 위한 창의적 시도들이 진행되고 있음을 보여줍니다. 그러나 근본적인 질문은 남습니다. 디지털 시대에 국경을 초월하는 기업을 국경에 갇힌 규제 당국이 어떻게 통제할 수 있는가. Clearview는 이 질문에 대한 답이 아직 없음을 증명하고 있습니다.

나. 기타 GDPR 집행 사례

(1) Budapest Bank AI 신용평가 제재

2022년, 헝가리의 국가정보보호청(NAIH)은 부다페스트 은행에 약 2억 5천만 포린트(약 67만 유로)의 과징금을 부과했습니다.

이유는 은행이 고객 서비스 통화에서 AI를 사용하여 고객의 감정을 분석했기 때문입니다.

은행의 시스템은 이렇게 작동했습니다.

고객이 콜센터에 전화를 걸면, 통화 내용이 녹음됩니다. AI가 이 녹음을 분석하여 고객의 감정 상태를 파악합니다. 화가 났는가, 만족하는가, 불안해하는가. 이 정보는 고객 프로필에 추가되어 향후 서비스와 마케팅에 활용됩니다.

문제는 고객들이 이 사실을 몰랐다는 것입니다. 통화가 녹음된다는 고지는 있었습니다. 그러나 AI가 감정을 분석한다는 고지는 없었습니다. GDPR 제12조부터 14조까지는 투명성 의무를 규정합니다. 개인정보가 어떻게 처리되는지 정보 주체에게 명확하게 알려야 합니다. 부다페스트 은행은 이 의무를 이행하지 않았습니다.

더 큰 문제는 GDPR 제22조와 관련됩니다. 이 조항은 자동화된 의사결정에 관한 것입니다. 개인에게 법적 효력이 있거나 중대한 영향을 미치는 결정이 오직 자동화된 처리에만 기반해서는 안 됩니다. 물론 최종 결정은 인간 직원이 내렸습니다. 그러나 AI의 감정 분석이 그 결정에 영향을 미쳤다면, 이것은 제22조의 취지를 우회한 것이 아닌가?

헝가리 당국은 그렇다고 판단했습니다. AI가 직접 결정을 내리지 않더라도, AI의 프로파일링이 인간의 결정에 영향을 미친다면 투명성 의무가 발생합니다. 이 판결은 중요한 선례가 되었습니다. AI가 보조 도구로 사용되더라도, 그 사용 사실을 고객에게 알려야 한다는 원칙을 확립한 것입니다.

(2) LinkedIn 데이터처리 위반

2024년 10월 24일, 아일랜드 데이터보호위원회(DPC)는 LinkedIn에 3억 1천만 유로의 과징금을 부과했습니다. 마이크로소프트 소유의 이 비즈니스 네트워크 플랫폼이 GDPR을 위반했다는 결정이었습니다.

이 사건의 시작은 6년 전으로 거슬러 올라갑니다. 2018년 8월 20일, 프랑스의 디지털 권리 단체 라 콰드라튀르 뒤 네(La Quadrature du Net)가 프랑스 데이터보호 당국 CNIL에 고발장을 제출했습니다.

LinkedIn이 사용자의 개인정보를 행동 분석과 타겟 광고에 불법으로 사용하고 있다는 내용이었습니다. CNIL은 이 고발을 아일랜드 DPC로 이송했습니다. LinkedIn의 유럽 본사가 더블린에 있었기 때문입니다.

조사에는 6년이 걸렸습니다.

DPC가 검토한 것은 LinkedIn이 사용자 데이터를 처리하는 방식이었습니다. LinkedIn은 두 종류의 데이터를 수집합니다.

첫째, 사용자가 직접 제공한 1차 데이터입니다. 프로필 정보, 게시물, 연결 관계 등.

둘째, 제3자 파트너를 통해 수집한 3차 데이터입니다. 사용자의 다른 웹사이트 방문 기록, 앱 사용 패턴 등.

LinkedIn은 이 데이터를 분석하여 사용자의 행동 패턴을 파악합니다. 어떤 콘텐츠에 관심을 보이는가, 어떤 광고에 반응하는가. 이 정보를 바탕으로 타겟 광고를 제공합니다.

문제는 LinkedIn이 이 처리의 적법한 근거를 갖추지 못했다는 것입니다.

GDPR 제6조는 개인정보 처리의 적법 근거를 여섯 가지로 한정합니다. LinkedIn은 세 가지를 주장했습니다. 첫째, 동의(제6조 1항 a호). DPC는 LinkedIn이 획득한 동의가 "자유롭게 주어지지 않았고, 충분히 고지되지 않았으며, 구체적이지 않고, 명확하지 않다"고 판단했습니다. 둘째, 계약 이행(제6조 1항 b호). DPC는 행동 분석과 타겟 광고가 LinkedIn 서비스 제공에 계약상 필요하지 않다고 판단했습니다. 셋째, 정당한 이익(제6조 1항 f호). DPC는 LinkedIn의 이익이 "정보 주체의 이익과 기본권 및 자유에 의해 압도된다"고 판단했습니다.

결론적으로, LinkedIn은 적법한 근거 없이 개인정보를 처리한 것입니다. 이것은 GDPR의 가장 기본적인 원칙 위반입니다. DPC 부위원장 그레이엄 도일은 이렇게 말했습니다. "처리의 적법성은 데이터 보호법의 근본적 측면입니다. 적절한 법적 근거 없이 개인정보를 처리하는 것은 정보 주체의 기본권에 대한 명백하고 심각한 침해입니다."

과징금 3억 1천만 유로는 세 가지 위반에 대해 각각 부과되었습니다. 동의 관련 위반에 1억 500만 유로. 정당한 이익 관련 위반에 1억 1천만 유로. 투명성 의무 위반에 9,500만 유로. 마이크로소프트는 2023년에 이미 4억 2,500만 달러를 이 사건 관련 벌금 충당금으로 적립해 두었습니다. 실제 과징금은 그보다 낮았습니다.

LinkedIn은 성명을 발표했습니다. "우리는 GDPR을 준수해왔다고 믿습니다. 그러나 이 결정의 마감 기한 내에 광고 관행이 이 결정을 충족하도록 작업하고 있습니다." 이의 제기 여부는 명확히 밝히지 않았습니다.

(3) Meta 텍사스 합의: 안면인식 14억 달러 배상

2024년 7월 30일, 텍사스 법무장관 켄 팩스턴은 역사적인 합의를 발표했습니다. Meta(구 Facebook)가 텍사스 주에 14억 달러를 지불하기로 했습니다. 단일 주(州)를 상대로 한 개인정보 관련 합의금으로는 미국 역사상 최대 규모였습니다.

이 사건의 핵심은 '태그 제안(Tag Suggestions)'이라는 기능이었습니다. 2011년부터 2021년까지 페이스북은 사용자가 사진을 업로드하면 자동으로 얼굴을 인식하고, "이 사람이 [친구 이름]인가요?"라고 물었습니다. 편리한 기능이었습니다. 문제는 이 기능이 사용자의 동의 없이 얼굴 기하학 데이터를 수집하고 저장했다는 것입니다.

텍사스는 2009년에 생체정보 프라이버시법(Capture or Use of Biometric Identifier Act, CUBI) 을 제정한 주입니다. 이 법은 기업이 개인의 생체 정보를 수집하기 전에 서면 동의를 얻도록 요구합니다. 페이스북의 태그 제안 기능은 이 요건을 충족하지 못했습니다.

팩스턴 법무장관은 2022년 2월에 소송을 제기했습니다. 그의 주장은 이랬습니다. 페이스북은 10년 동안 수백만 텍사스 주민의 생체 데이터를 불법으로 수집했습니다. 이것은 CUBI법 위반이자, 텍사스 소비자보호법 위반입니다. 2024년의 합의에서 Meta는 책임을 인정하지 않았습니다. 그러나 14억 달러를 지불하기로 했습니다. 5년에 걸쳐 분할 납부하며, 첫 해에 5억 달러를 지불합니다.

이 사건은 GDPR 사건이 아닙니다. 미국 주법에 따른 제재입니다. 그러나 같은 메시지를 전달합니다. 생체 데이터의 무단 수집은 전 세계적으로 점점 더 심각한 법적 결과를 초래하고 있습니다.

Meta는 이미 2020년에 일리노이주 BIPA(Biometric Information Privacy Act) 집단소송에서 6억 5천만 달러에 합의한 바 있습니다. 텍사스 합의금 14억 달러를 더하면, 태그 제안 기능 하나로 인한 법적 비용이 20억 달러를 넘어섰습니다. 2021년에 Meta가 이 기능을 전면 폐지한 것은 우연이 아닙니다.

다. EU AI Act 체계

(1) 시행 일정과 과징금 구조

2024년 8월 1일, EU AI Act가 발효되었습니다. 세계 최초의 포괄적 AI 규제법입니다. 그러나 발효가 곧 시행을 의미하지는 않습니다. 이 법은 단계적으로 적용됩니다. 기업들에게 준비 시간을 주기 위해서입니다.

첫 번째 시행 시점은 2025년 2월 2일이었습니다. 이 날부터 금지된 AI 관행이 불법이 되었습니다. 어떤 것들이 금지되었는가? 소셜 스코어링, 즉 사회적 행동에 기반하여 사람들을 점수화하는 시스템. 취약 계층을 착취하는 조작적 AI. 법 집행 목적의 실시간 원격 생체 인식. 이러한 AI 시스템은 EU 시장에서 퇴출되어야 했습니다.

두 번째 시행 시점은 2025년 8월 2일이었습니다. 범용 AI(General-Purpose AI, GPAI) 모델에 대한 규제가 적용되기 시작했습니다. ChatGPT, Claude, Gemini 같은 대형 언어 모델이 여기에 해당합니다. 이 날 이후 출시되는 새로운 GPAI 모델은 법의 요건을 충족해야 합니다.

세 번째 시행 시점은 2026년 8월 2일입니다. 고위험 AI 시스템에 대한 규제가 완전히 적용됩니다. 유럽위원회의 AI 사무국이 완전한 집행 권한을 갖게 됩니다. 정보 요청, 모델 접근, 모델 리콜 등의 조치를 취할 수 있습니다.

네 번째 시행 시점은 2027년 8월 2일입니다. 규제 대상 제품에 내장된 고위험 AI 시스템에 대한 유예 기간이 종료됩니다. 2025년 8월 2일 이전에 출시된 GPAI 모델도 이 날까지 법을 준수해야 합니다.

과징금 구조는 위반의 심각성에 따라 세 단계로 나뉩니다. 가장 심각한 위반, 즉 금지된 AI 관행을 사용하는 경우, 최대 3,500만 유로 또는 전 세계 연간 매출의 7% 중 높은 금액이 부과됩니다. 고위험 AI 요건 위반의 경우, 최대 1,500만 유로 또는 매출의 3%입니다. 허위 정보 제공의 경우, 최대 750만 유로 또는 매출의 1.5%입니다. 업계에서는 시행 유예를 요청했습니다. "시계를 멈춰달라"는 로비가 있었습니다. 유럽위원회는 거부했습니다. 일정은 확정되었고, 변경되지 않을 것이라고 밝혔습니다. 그러나 2025년 발표된 '디지털 간소화 패키지'에서 위원회는 고위험 규칙 적용 일정을 최대 16개월까지 조정할 수 있다고 제안했습니다. 이는 표준과 지원 도구가 준비될 때까지 기업들에게 시간을 주기 위함입니다.

(2) 고위험 AI 규제 요건

EU AI Act는 위험 기반 접근법을 채택합니다. 모든 AI를 동일하게 규제하지 않습니다. 위험 수준에 따라 규제 강도가 달라집니다. 가장 엄격한 규제를 받는 것이 '고위험' AI 시스템입니다.

어떤 AI가 고위험으로 분류되는가? 법 부속서에 나열된 분야에서 사용되는 AI입니다.

의료기기의 안전 구성요소. 교육 기관에서 학생 평가나 입학 결정에 사용되는 AI.

고용 과정에서 채용, 승진, 해고 결정에 사용되는 AI.

신용 평가나 보험 심사에 사용되는 AI.

법 집행에서 범죄 위험 평가에 사용되는 AI.

이민 관리에서 비자 신청 심사에 사용되는 AI.

이러한 고위험 AI 시스템은 시장에 출시되기 전에 엄격한 요건을 충족해야 합니다.

첫째, 위험 관리 시스템을 구축해야 합니다. AI 시스템의 수명 주기 전반에 걸쳐 위험을 식별, 분석, 평가, 완화하는 지속적인 프로세스가 필요합니다.

둘째, 데이터 거버넌스가 필요합니다. 학습 데이터의 품질을 관리하고, 편향을 방지해야 합니다.

셋째, 기술 문서를 작성해야 합니다. 시스템이 어떻게 작동하는지, 어떤 데이터로 학습되었는지 문서화해야 합니다.

넷째, 투명성과 설명가능성을 확보해야 합니다. 사용자가 AI의 결정을 이해할 수 있어야 합니다.

다섯째, 인간 감독을 보장해야 합니다. AI가 자율적으로 작동하더라도 인간이 개입할 수 있어야 합니다.

여섯째, 정확성, 견고성, 사이버보안을 확보해야 합니다. 시장 출시 전에 적합성 평가를 거쳐야 합니다. 일부 경우에는 제3자 기관의 평가가 필요합니다. 요건을 충족하면 CE 마크를 부착할 수 있습니다. CE 마크는 EU 시장 진입의 필수 조건입니다.

(3) 범용 AI 모델 규제

범용 AI(GPAI) 모델은 별도의 규제 체계를 갖습니다.

GPAI 모델이란 무엇인가? 다양한 작업을 수행할 수 있는 일반 목적의 AI 모델입니다. 텍스트 생성, 이미지 생성, 코드 작성 등. ChatGPT가 대표적입니다. EU AI Act는 이러한 모델을 1023 FLOP(부동소수점 연산) 이상의 컴퓨팅 파워로 학습된 모델로 정의합니다.

모든 GPAI 모델 제공자는 투명성 의무를 갖습니다. 기술 문서를 작성하고 유지해야 합니다. 저작권 정책을 수립해야 합니다. 학습 데이터 요약을 공개해야 합니다. 하위 제공자에게 필요한 정보를 제공해야 합니다.

일부 GPAI 모델은 '시스템적 위험'이 있는 것으로 분류됩니다.

1025 FLOP 이상으로 학습되었거나, 높은 영향력 역량을 가진 모델입니다.

이러한 모델의 제공자는 추가 의무를 갖습니다.

적대적 테스팅(레드 팀)을 수행해야 합니다.

AI 사무국에 심각한 사고를 보고해야 합니다.

강화된 사이버보안을 구현해야 합니다.

에너지 소비를 보고해야 합니다.

2025년 7월 10일, 유럽위원회는 GPAI 행동강령(Code of Practice)을 발표했습니다. 이것은 GPAI 제공자들이 법적 의무를 준수하는 방법을 안내하는 자발적 도구입니다.

투명성, 저작권, 안전 및 보안의 세 가지 장으로 구성됩니다.

행동강령에 서명한 기업은 '적합성 추정'을 받습니다. 즉, 법을 준수하고 있다고 간주됩니다.

이것은 행정적 부담을 줄이고 법적 확실성을 높입니다. 2025년 8월 1일 기준으로 Amazon, Google, Microsoft, OpenAI, Anthropic 등 주요 AI 기업들이 서명했습니다. 흥미롭게도 xAI(일론 머스크의 회사)는 안전 및 보안 장에만 서명하고, 투명성과 저작권 장에는 서명하지 않았습니다. 이 회사는 다른 방식으로 해당 의무 준수를 입증해야 합니다. AI 사무국은 유럽위원회 내 DG CONNECT에 설치되었습니다. GPAI 모델에 대한 감독 권한을 갖습니다. 2026년 8월 2일부터 완전한 집행 권한이 발동됩니다. 그때까지 AI 사무국은 제공자들과 비공식적으로 협력하며 준수를 지원합니다.

Clearview AI에 대한 다중관할권 제재는 GDPR의 역외 적용 의지와 한계를 동시에 보여주었습니다. EU AI Act는 이 경험을 바탕으로 설계되었습니다. AI 기업들이 EU 시장에 접근하려면 EU의 규칙을 따라야 합니다. 이것이 '브뤼셀 효과'입니다. EU의 규제가 글로벌 표준이 되는 현상. AI 분야에서도 이 효과가 작동할지는 앞으로 몇 년 안에 판명될 것입니다.