기본권 중심의 통합적 사전규제 모델과 부문별 사후집행 모델의 대비 분석
유럽연합(EU)과 미국은 디지털 시대의 핵심적인 권력인 알고리즘의 위험과 영향력에 대응하기 위한 규제 틀을 마련하고 있으나, 그 철학적 배경, 접근 방식, 그리고 법적 수단에 있어 근본적인 차이를 보인다. EU는 기본권 보호와 사전 예방의 원칙에 기반한 중앙집중적이고 포괄적인 법제를 구축하고 있는 반면, 미국은 기존의 부문별 법률과 기관의 집행 권한을 활용하는 분산적이고 사후 집행 중심의 접근을 고수하며, 이는 두 지역의 규제 목표와 시장 역학을 반영한다.
EU의 알고리즘 규제는 인간의 존엄성, 민주적 가치, 그리고 기본권 보호라는 확고한 가치에 뿌리를 두고 있으며, 이 접근의 기반은 강력한 데이터 보호 법규와 포괄적인 디지털 시장 법규에 있다. 이 규제 틀의 가장 기본적인 토대는 '일반 데이터 보호 규정'(General Data Protection Regulation, GDPR)인데, 이는 2016년 4월에 공포되어 2018년 5월 25일부터 시행되었으며, 개인 데이터 처리 전반을 규율한다. GDPR은 특히 자동화된 의사 결정(ADM)에 대한 개인의 권리를 설정하며, 구체적으로 제22조(자동화된 개별 의사 결정, 프로파일링을 포함하여)는 프로파일링을 포함하는 오직 자동화된 처리에만 근거한 결정이 개인에게 중대한 영향을 미치는 경우, 그러한 결정의 적용을 받지 않을 권리를 명시적으로 규정하여 알고리즘적 책임 회피를 법적으로 제지하고 결정의 설명 가능성(explainability)을 요구하는 근거가 된다.
이러한 데이터 보호의 틀을 넘어, EU는 AI 시스템 자체를 직접 규율하기 위한 세계 최초의 포괄적 법률인 '인공지능법'(Artificial Intelligence Act, AI Act)이 2024년 8월 1일 발효되었는데, 조항별로 단계적 시행 일정을 따른다. 허용 불가 위험 AI 시스템 금지와 관련된 조항은 2025년 2월 2일에 적용되었고, 고위험 AI 시스템에 대한 핵심 의무 조항들은 2026년 8월 2일에 전면 시행될 예정이다. 이와 함께, 범용 AI(GPAI) 모델에 대한 규칙과 투명성 의무는 2025년 8월 2일경 적용될 예정으로, 법의 완전한 적용은 2027년 8월 2일에 완료된다. AI 법은 AI 시스템이 초래할 수 있는 잠재적 위험 수준에 따라 규제를 차등 적용하는 위험 기반 접근을 채택하며, 사회적 점수 시스템과 같이 인간의 기본권을 명백하게 위협하는 AI 시스템의 사용은 제5조에 따라 원칙적으로 금지된다. 또한 의료, 사법, 고용 등 민감한 영역에서 사용되는 고위험 AI에 대해서는 제10조, 제14조, 제15조 등을 통해 시스템의 설계 단계부터 출시 후까지 데이터 거버넌스, 투명성, 인간의 감독, 정확성 및 견고성 등에 대한 엄격한 사전적 의무를 제조사와 배포자에게 부과함으로써, 알고리즘이 시장에 출시되기 전에 잠재적 피해를 예방하려는 EU의 강력한 의지를 반영한다.
한편, 알고리즘이 미디어나 콘텐츠 중재 영역에서 행사하는 권력에 대해서는 디지털 서비스법(Digital Services Act, DSA)이 개입하는데, 이는 2022년 10월에 공포되었으며 플랫폼 유형에 따라 순차적으로 시행되어 2024년 2월 17일부터 전면 시행되었다. DSA는 온라인 플랫폼의 콘텐츠 중재 및 알고리즘 투명성을 규율하며, 특히 매우 큰 온라인 플랫폼(VLOPs)에 대해 제27조를 통해 알고리즘 추천 시스템의 작동 방식과 주요 매개변수를 공개할 의무를 부과하고, 제34조를 통해 유해 콘텐츠 확산이나 차별을 포함하는 시스템적 위험(systemic risks)을 사전에 평가하고 완화할 책임을 지도록 함으로써, 플랫폼이 알고리즘의 '불투명성' 뒤로 숨어 책임을 회피하는 행위를 방지하려 한다.
반면, 미국은 포괄적인 연방 프라이버시 법이나 EU AI 법과 같은 단일 알고리즘 규제 법률을 채택하지 못했으며, 대신 기존의 연방 규제 기관들이 자신들의 권한을 확장하여 알고리즘의 위험을 사후적으로 집행(ex-post enforcement)하는 데 주력하고 있는데, 이 접근 방식은 주로 소비자 보호와 공정 경쟁이라는 경제적 가치에 초점을 맞춘다. 미국에서 알고리즘 규제의 가장 적극적인 집행자는 연방거래위원회(Federal Trade Commission, FTC)로, FTC는 기업이 알고리즘이나 AI 시스템을 사용할 때 기만적이거나(deceptive) 불공정한(unfair) 관행을 사용하지 못하도록 연방거래위원회법(FTC Act) 제5조를 통해 집행하며, 알고리즘으로 인한 소비자 차별이나, 기업이 약속한 개인정보 보호정책을 위반하는 경우 등에 대해 사후적으로 조사하고 제재한다.
또한, 금융 서비스 영역에서는 소비자금융보호국(Consumer Financial Protection Bureau, CFPB)이 알고리즘이 '평등 신용 기회법'(Equal Credit Opportunity Act, ECOA)을 위반하여 신용 결정 과정에서 차별을 야기하는지 감시하며, 고용평등기회위원회(Equal Employment Opportunity Commission, EEOC)는 채용 AI 도구의 편향성으로 인한 고용 차별 문제를 기존의 '민권법'(Civil Rights Act)을 적용하여 다룬다. 이러한 연방 기관들의 집행 활동 외에도, 미국의 주(州) 정부들이 규제 공백을 메우는 선도적인 역할을 하고 있는데, '캘리포니아 소비자 프라이버시법'(California Consumer Privacy Act, CCPA)은 2020년 1월 1일에 시행되었으며, 후속 법안인 CPRA(California Privacy Rights Act)는 2023년부터 시행되어 제1798.121조를 통해 소비자에게 자동화된 의사 결정(ADM) 및 프로파일링에 대한 거부권(opt-out right)을 제공하며, 미국 내에서 알고리즘적 결정에 대한 투명성과 통제권을 확대하는 가장 강력한 법적 기반 중 하나를 형성하고 있다.
백악관 역시 2022년 10월 AI 권리장전 청사진(Blueprint for an AI Bill of Rights)을 발표하여, 알고리즘이 인간의 권리를 침해하지 않도록 보호해야 할 5가지 원칙을 제시했으나, 이는 법적 구속력이 없으며 연방 기관의 지침 역할을 수행하는 데 그치고 있다. 이와 함께, 관리예산처(Office of Management and Budget, OMB)는 2024년 3월에 연방 기관이 AI를 사용하는 방식에 대한 구체적인 지침을 발표하여, 정부 자체의 AI 사용에 대한 투명성과 위험 관리를 강화하도록 요구했다.
결론적으로, EU의 알고리즘 규제는 위험 기반 분류와 사전적 통제를 통해 기본권을 보장하려는 통합적이고 선언적인 방식인 반면, 미국의 규제는 기존 법령의 기관별 집행을 통해 소비자 피해를 사후적으로 구제하고 경쟁의 공정성을 유지하려는 실용적이고 분산적인 방식이며, EU는 법적 규제 준수를 통해 AI 시장의 '신뢰'를 구축하려 시도하는 반면, 미국은 시장의 혁신을 저해하지 않으면서도 공정하지 않은 결과를 초래하는 행위만을 엄격하게 집행하는 데 집중하고 있어, 두 방식 모두 알고리즘 권력을 견제한다는 공통의 목표를 가지지만, 글로벌 디지털 시장에 미치는 영향은 그 방법론만큼이나 현저하게 다르게 나타나고 있다.