유럽연합(EU)과 한국은 기본권, 건강, 안전을 보호하려는 목적으로 AI시스템의 안전성, 신뢰성 보호를 위한 포괄적 AI법제를 도입했다. 그런데 AI는 데이터로부터 가치 있는 정보를 찾아내 이를 활용하므로 AI에 데이터는 원천재료다. 문제는 데이터에 개인정보가 포함되면 AI사업자는 AI법상 규제와 함께 개인정보보호 규제를 같이 준수해야 한다는 것이다. 이에 AI기술의 급속한 발전은 AI법제와 기존 개인정보보호 체계의 정합성 문제를 야기한다. 대표적인 것이 양 법상 유사한 내용으로 충돌·중복의 소지가 있는 안전성 조치 의무, 영향평가, 자동화한 의사결정 등에 대한 인간감독 조항이다.
AI기본법에 따른 고영향 AI사업자는 고영향 AI 또는 이를 이용한 제품·서비스를 제공하는 경우 고영향 AI의 안전성·신뢰성을 확보하기 위해 위험관리 방안을 수립·운영해야 한다. 개인정보보호법에 따르면 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다.
또한 AI기본법에 따르면 고영향 AI사업자가 고영향 AI를 이용한 제품 또는 서비스를 제공하는 경우 사전에 사람의 기본권에 미치는 영향을 평가하기 위해 노력해야 한다. 개인정보보호법에 따르면 개인정보파일 운용으로 정보주체의 개인정보 침해가 우려되는 경우 그 위험요인의 분석과 개선사항 도출을 위한 개인정보 영향평가가 공공기관엔 의무화됐고 민간의 경우 정보주체의 개인정보 침해가 우려되는 경우 적극 노력 의무가 부과됐다.
또 개인정보보호법에 따르면 AI시스템을 포함해 완전히 자동화된 시스템으로 개인정보를 처리해 이뤄지는 결정에 대한 거부권, 설명요구권이 인정되며 AI기본법엔 고영향 AI사업자의 안전성, 신뢰성 확보조치 의무의 하나로 '고영향 AI에 대한 사람의 관리·감독' 의무가 규정돼 있다.
수범자인 기업은 원칙적으로 양 법의 의무를 모두 이행해야 한다. 법의 실질적인 내용이 동일함에도 개인정보보호법상 의무이행 외에 AI기본법상 의무이행을 요구하는 경우 기업으로선 부담이 아닐 수 없다. AI기본법은 이런 중복 및 충돌 가능성에 대비해 AI사업자가 다른 법령에 따라 안전성, 신뢰성 확보조치에 준하는 조치를 이행한 경우 조치를 이행한 것으로 본다는 조항을 뒀다. 다만 구체적으로 어느 범위까지 이행한 경우 이를 인정할지는 하위법령에 따라 정해질 것으로 보인다.
EU의 일반 개인정보보호법(GDPR)의 개인정보 영향평가는 고위험 관리를 위한 예방도구로서 EU AI법상 기본권 영향평가와 기능적으로 연계된다. EU AI법은 고위험 AI시스템 배포자에게 기본권 영향평가를 의무화하면서 개인정보 영향평가가 기본권 영향평가 요구사항을 실질적으로 충족할 경우 기본권 영향평가를 보충적 수준에서만 시행토록 규정했다. 한국도 기업이 이미 개인정보 영향평가를 수행했다면 이를 AI 영향평가로 인정하되 AI 영향평가는 AI로 인한 위험이 개인정보 처리를 넘어서는 영역에만 보완적 평가를 실시토록 해야 할 것이다. 안전성 조치나 인간의 감독의무도 마찬가지다. 다만 이 과정에서 개인정보보호법상 제도들을 AI 시대에 맞게 확대하고 고도화함으로써 AI 규제에 효과적인 대응이 가능토록 할 필요가 있다.
AI 규제당국과 개인정보 규제당국은 이런 제도적 상호연계를 통해 제한된 규제자원으로 최대 보호효과를 달성하는 등 효율성을 높일 수 있으며 기업엔 일관된 규제 프레임워크를 제공함으로써 규제준수 부담을 줄일 수 있다. 앞으로 진행될 AI기본법 하위법령 제정과정에서 규제당국간 충분한 협의가 필수다.