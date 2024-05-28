2023년 11월, 캘리포니아 개인정보 보호국(CPPA)은 인공지능(AI) 및 자동화된 의사 결정 기술(ADMT) 사용에 관한 일련의 규정 초안을 발표했습니다.
제안된 규칙은 아직 개발 중이지만 조직은 규칙의 진화를 면밀히 주시할 필요가 있습니다. 캘리포니아주는 세계 최대 기술 기업의 본거지이기 때문에 캘리포니아가 채택하는 모든 AI 규정은 국경을 넘어 훨씬 더 큰 영향을 미칠 수 있습니다.
더욱이 최근 캘리포니아 항소법원은 CPPA가 규칙이 최종 확정되는 즉시 집행할 수 있다고 판결했습니다. 조직은 ADMT 규칙의 진행 상황을 추적함으로써 규정이 발효되는 즉시 규정을 더 잘 준수할 수 있습니다.
CPPA는 여전히 대중의 의견을 수용하고 규칙을 검토하고 있으므로 공식적으로 채택되기 전에 규정이 변경될 수 있습니다. 이 게시물은 2024년 4월 9일 기준 가장 최신 초안을 기반으로 작성되었습니다.
캘리포니아의 획기적인 데이터 프라이버시 법인 California Consumer Privacy Act(CCPA)은 원래 ADMT 사용을 직접적으로 다루지 않았습니다. 2020년 캘리포니아 개인정보 보호법(CPRA)이 통과되면서 상황이 바뀌었고, 이 법은 CCPA를 몇 가지 중요한 방식으로 수정했습니다.
CPRA는 CCPA 규칙을 구현하고 시행하는 규제 기관인 CPPA를 설립했습니다. CPRA는 또한 CPPA에 캘리포니아 소비자가 자동화된 의사 결정에 대한 정보에 접근하고 옵트아웃할 수 있는 권리에 관한 규정을 공포할 수 있는 권한을 부여했습니다. CPPA는 이 권한에 따라 ADMT 규칙을 제정하고 있습니다.
CCPA의 나머지 부분과 마찬가지로 규칙 초안은 캘리포니아에서 사업을 하고 다음 기준 중 하나 이상을 충족하는 영리 조직에 적용됩니다.
또한, 제안된 규정은 중요한 결정을 내리고, 소비자를 광범위하게 프로파일링하고, ADMT 툴을 교육하는 등 AI 및 ADMT의 특정 용도에만 적용됩니다.
현재 초안은 자동화된 의사 결정 기술을 개인 데이터를 처리하고 계산을 사용하여 의사 결정을 실행하거나 인간의 의사 결정을 대체하거나 인간의 의사 결정을 실질적으로 지원하는 모든 소프트웨어나 프로그램으로 정의합니다. 초안은 이 정의가 "머신 러닝, 통계, 기타 데이터 처리 기법 또는 인공지능에서 파생된 소프트웨어와 프로그램"을 포함한다고 명시하고 있습니다.
규칙 초안은 스팸 필터, 스프레드시트, 방화벽 등 ADMT로 간주되지 않는 일부 툴의 이름을 명시적으로 지정합니다. 그러나 조직에서 이러한 면제 툴을 사용하여 규정을 우회하는 방식으로 자동화된 의사 결정을 내리려고 하는 경우 해당 용도에 규칙이 적용됩니다.
규칙 초안은 소비자에게 중대한 영향을 미치는 결정을 내리기 위해 ADMT를 사용하는 모든 경우에 적용됩니다. 일반적으로 중요한 결정은 개인의 권리나 중요한 상품, 서비스 및 기회에 대한 접근에 영향을 미치는 결정입니다.
예를 들어, 규칙 초안은 직업을 구하거나, 학교에 다니거나, 의료 서비스를 받거나, 대출을 받을 수 있는 능력에 영향을 미치는 자동화된 결정을 다룹니다.
프로파일링은 업무 성과, 제품 관심사 또는 행동과 같은 개인의 특성과 특성을 평가, 분석 또는 예측하기 위해 개인 정보를 자동으로 처리하는 행위입니다.
"광범위한 프로파일링"은 특정 유형의 프로파일링을 의미합니다.
이 규칙 초안은 기업이 특정 ADMT 툴을 학습하기 위해 소비자 개인 데이터를 사용하는 데 적용됩니다. 특히 이 규칙에는 중요한 의사 결정을 내리거나, 사람을 식별하거나, 딥페이크를 생성하거나, 물리적 또는 생물학적 식별 및 프로파일링을 수행하는 데 사용할 수 있는 ADMT 교육이 포함됩니다.
캘리포니아 법으로서 CCPA의 소비자 보호는 캘리포니아에 거주하는 소비자에게만 적용됩니다. 초안 ADMT 규칙이 부여하는 보호도 동일하게 적용됩니다.
그렇긴 하지만, 이러한 규칙은 다른 많은 데이터 프라이버시 규정보다 ‘소비자’를 더 폭넓게 정의합니다. 기업과 상호작용하는 사람들뿐 아니라 직원, 학생, 독립 계약자, 학교 및 구직 신청자도 규칙의 대상에 포함됩니다.
CCPA AI 규정 초안에는 세 가지 핵심 요구사항이 있습니다. ADMT가 적용되는 경우 조직은 소비자에게 사전 사용 고지를 제공하고, ADMT에서 옵트아웃할 수 있는 방법을 제공하며, ADMT 사용이 소비자에게 어떤 영향을 미치는지 설명해야 합니다.
CPPA는 규정을 한 차례 개정했으며 규칙이 공식 적용되기 전 다시 개정할 가능성이 있지만, 지금까지 각 초안에서 이러한 핵심 요구 사항은 유지되고 있습니다. 이 요구 사항이 지속된다는 것은 세부 구현 방식이 바뀌더라도 최종 규정에 유지될 가능성이 높다는 것을 의미합니다.
조직은 ADMT를 적용 목적에 사용하기 전에 소비자에게 명확하고 눈에 띄게 사전 사용 고지를 제공해야 합니다. 고지에는 회사가 ADMT를 어떻게 사용하는지 쉽게 이해할 수 있는 언어로 설명해야 하며, 소비자가 ADMT에 대한 추가 정보를 열람하고 프로세스에서 옵트아웃할 권리에 대해 안내해야 합니다.
회사는 “서비스를 개선하기 위해 자동화 툴을 사용합니다.”와 같은 포괄적 문구로는 ADMT 사용 방식을 설명할 수 없습니다. 대신 조직은 구체적인 사용 방식을 설명해야 합니다.
고지는 ADMT가 어떻게 작동하는지, 툴의 논리, 기업이 그 출력물을 어떻게 사용하는지에 대한 추가 정보를 소비자가 확인할 수 있도록 안내해야 합니다. 이 정보는 고지 본문에 포함될 필요는 없습니다. 조직은 소비자에게 하이퍼링크 또는 접근 방식만 제공하면 됩니다.
기업이 자동화된 결정에 대해 소비자의 항소를 허용하는 경우, 사전 사용 고지는 항소 절차도 설명해야 합니다.
소비자는 ADMT가 적용되는 대부분의 사용 사례에서 옵트아웃할 권리가 있습니다. 기업은 소비자가 옵트아웃 요청을 제출할 수 있도록 최소 두 가지 이상의 방법을 제공해야 합니다.
옵트아웃 방법 중 최소 하나는 기업이 소비자와 주로 소통하는 동일한 채널을 사용해야 합니다. 예를 들어, 디지털 소매업체는 사용자가 작성할 수 있는 웹 양식을 제공할 수 있습니다.
옵트아웃 방법은 단순해야 하며 사용자에게 계정 생성과 같은 불필요한 절차를 요구해서는 안 됩니다.
옵트아웃 요청을 받으면 기업은 15일 이내에 해당 자동화된 의사 결정 기술을 사용하여 소비자의 개인 정보를 처리하는 것을 중단해야 합니다. 기업은 이전에 처리했던 소비자의 데이터를 더 이상 사용할 수 없습니다. 기업은 소비자의 데이터를 공유했던 모든 서비스 제공자 또는 타사에도 이를 통지해야 합니다.
조직은 안전, 보안, 사기 방지 목적으로 사용되는 ADMT에 대해 소비자의 옵트아웃을 허용할 필요가 없습니다. 초안 규칙은 데이터 보안 사고를 탐지 및 대응하고, 사기 및 불법 행위를 방지 및 처벌하며, 자연인의 신체적 안전을 보장하기 위해 ADMT를 사용하는 것을 구체적으로 언급합니다.
인간 검토 항소 예외에 따라, 조직이 자격을 갖춘 인간 검토자에게 자동화된 결정을 뒤집을 권한을 부여하여 항소를 허용하는 경우, 옵트아웃을 제공할 필요가 없습니다.
조직은 직장 및 학교 환경에서 ADMT의 특정 제한적 사용에 대해 옵트아웃을 제공하지 않을 수 있습니다. 이러한 사용에는 다음이 포함됩니다.
그러나 이러한 직장 및 학교 환경에서의 사용은 다음 기준을 충족하는 경우에만 옵트아웃 대상에서 면제됩니다.
이러한 면제 사항은 행동 기반 광고나 ADMT 훈련에는 적용되지 않습니다. 소비자는 이러한 사용에 대해 언제든지 옵트아웃할 수 있습니다.
소비자는 기업이 자신에게 ADMT를 어떻게 사용하는지에 대한 정보를 열람할 권리가 있습니다. 조직은 소비자가 이 정보를 쉽게 요청할 수 있는 방법을 제공해야 합니다.
접근 요청에 응답할 때 조직은 ADMT 사용 이유, 소비자와 관련된 ADMT의 출력, 그리고 기업이 해당 출력을 의사 결정에 어떻게 활용했는지에 대한 설명을 제공해야 합니다.
접근 요청 응답에는 소비자가 자신의 데이터를 삭제 요청하거나 불만을 제기하는 등 CCPA 권리를 어떻게 행사할 수 있는지에 대한 정보도 포함해야 합니다.
기업이 ADMT를 사용해 소비자에게 중대한 불이익을 주는 결정을 내린 경우—예를 들어 해고에 이르게 하는 결정—기업은 이 결정과 관련한 소비자의 접근 권리에 대해 특별 통지를 보내야 합니다.
통지에는 다음이 포함되어야 합니다.
CPPA는 AI 및 ADMT 관련 규칙과 함께 위험 평가에 대한 규정 초안을 개발하고 있습니다. 이는 기술적으로 두 가지 별도 규정이지만, 위험 평가 규정은 조직이 AI 및 ADMT를 사용하는 방식에 영향을 미치게 됩니다.
위험 평가 규정은 조직이 ADMT를 사용해 중대한 결정을 내리거나 광범위한 프로파일링을 수행하기 전에 평가를 실시하도록 요구합니다. 조직은 특정 ADMT 또는 AI 모델을 학습시키기 위해 개인 정보를 사용하기 전에 위험 평가를 수행해야 합니다.
위험 평가는 ADMT가 소비자에게 초래하는 위험, 조직 또는 이해관계자에게 제공되는 잠재적 이익, 그리고 위험을 완화 또는 제거하기 위한 보호 조치를 식별해야 합니다. 조직은 위험이 이익을 초과하는 경우 AI 및 ADMT 사용을 중단해야 합니다.
캘리포니아의 ADMT 관련 규정 초안은 AI 및 자동화된 의사결정 사용을 규제하려는 최초의 시도와는 거리가 멉니다.
유럽연합의 AI 법는 유럽에서의 AI 개발 및 사용에 대해 엄격한 요구 사항을 부과합니다.
미국에서는 Colorado Privacy Act와 Virginia Consumer Data Protection Act가 모두 소비자에게 개인 정보가 중대한 결정을 내리는 데 사용되는 것에 대해 옵트아웃할 권리를 부여합니다.
국가 차원에서 Biden 대통령은 2023년 10월 행정 명령에 서명하여 연방 기관과 부처가 각자의 관할 범위에서 AI 개발, 사용, 감독을 위한 기준을 마련하도록 지시했습니다.
그러나 캘리포니아의 ADMT 규정 제안은 주 경계를 넘어 기업의 운영 방식에 영향을 미칠 가능성이 있어 다른 주 법보다 더 많은 주목을 받고 있습니다.
세계 기술 산업의 상당수가 캘리포니아에 본사를 두고 있어, 가장 발전된 자동화된 의사결정 툴을 만드는 많은 조직이 이 규정을 준수해야 할 것입니다. 소비자 보호는 캘리포니아 주민에게만 적용되지만, 많은 조직이 운영 효율성을 위해 캘리포니아 외 소비자에게도 동일한 선택지를 제공할 가능성이 있습니다.
원래의 CCPA는 전국적으로 데이터 개인정보 보호 관행의 기준을 높였기 때문에 일반 데이터 보호 규정(GDPR)의 미국판으로 종종 간주됩니다. 이 새로운 AI 및 ADMT 규정도 유사한 결과를 가져올 수 있습니다.
규정은 아직 최종 확정되지 않아 정확히 언제 시행될지 단정할 수 없습니다. 그렇지만 많은 관측자들은 이 규정이 빠르면 2025년 중반 이후에야 시행될 것으로 예상합니다.
CPPA는 2024년 7월에 규정 논의를 위한 이사회 회의를 추가로 개최할 예정입니다. 많은 사람들은 이 회의에서 CPPA 이사회가 공식적인 규정 제정 절차를 시작할 가능성이 높다고 보고 있습니다. 그럴 경우 기관은 규칙을 최종 확정하는 데 약 1년이 필요하며, 그래서 2025년 중반 발효가 예상됩니다.
CCPA의 다른 조항과 마찬가지로 CPPA는 위반 사항을 조사하고 조직에 벌금을 부과할 권한을 갖게 됩니다. 캘리포니아 법무장관도 규정 불이행에 대해 민사 처벌을 부과할 수 있습니다.
조직은 비의도적 위반 시 $2,500, 의도적 위반 시 $7,500의 벌금을 부과받을 수 있습니다. 이 금액은 위반 건당이며, 영향을 받은 소비자 한 명이 각각 별도의 위반으로 간주됩니다. 위반이 여러 소비자에게 영향을 미치는 경우가 많기 때문에 벌금은 빠르게 증가할 수 있습니다.
규정 초안은 여전히 변동 중입니다. CPPA는 계속해서 공공 의견을 수집하고 이사회 논의를 진행하고 있으며, 규정이 채택되기 전까지 추가 변경될 가능성이 높습니다.
CPPA는 이전 피드백을 바탕으로 규정에 중요한 수정 사항을 이미 반영했습니다. 예를 들어 2023년 12월 이사회 회의 이후, 기관은 옵트아웃 권리의 새로운 면제 사항을 추가하고 신체적·생물학적 프로파일링에 대한 제한을 설정했습니다.
기관은 규정이 적용되는 툴의 범위를 제한하기 위해 ADMT 정의도 조정했습니다. 원래 초안은 인간의 의사결정을 지원하는 모든 기술을 포함했지만, 최신 초안은 인간의 의사결정을 실질적으로 지원하는 ADMT에만 적용됩니다.
많은 산업계 그룹은 변경된 정의가 ADMT 사용의 실제 상황을 더 잘 반영한다고 느끼지만, 프라이버시 옹호자들은 악용 가능한 허점이 생길 것을 우려합니다.
CPPA 이사회 내부에서도 최종 규정의 형태에 대해 의견이 갈리고 있습니다. 2024년 3월 회의에서 두 명의 이사회 구성원은 현재 초안이 이사회 권한을 넘어선다는 우려를 표했습니다.
규정이 지금까지 발전해 온 방식에 비추어 볼 때, 사전 사용 고지, 옵트아웃 권리, 접근 권리에 대한 핵심 요구사항은 그대로 유지될 가능성이 높습니다. 그러나 조직에는 다음과 같은 의문이 남을 수 있습니다.
결과가 어떻든, 이러한 규정은 전국적으로 AI와 자동화 기술이 어떻게 규제되는지, 그리고 급성장하는 이 기술 환경에서 소비자가 어떻게 보호되는지에 중대한 영향을 미치게 될 것입니다.
면책 조항: 고객은 적용 가능한 모든 법률 및 규정 준수를 책임집니다. IBM은 법률 자문을 제공하지 않으며, 고객이 자사의 서비스 또는 제품을 통해 법률이나 규정을 준수할 수 있음을 표현하거나 보증하지 않습니다.