§1 생체인식
부문 횡단- 원격 생체인식 식별(제5조 금지 대상 아님)
- 생체인식 분류(민감 속성 제외)
- 금지되지 않은 맥락에서의 감정 인식
EU AI Act(규정 (EU) 2024/1689)는 AI 시스템을 네 가지 위험 등급으로 분류합니다: 금지, 고위험, 제한적 위험, 최소 위험. 제6조와 부속서 I 및 부속서 III의 목록에서 정의된 고위험 범주는 대부분의 기업 AI 의무가 자리하는 곳입니다.
부속서 III는 여덟 가지 고위험 사용 사례 범주를 담고 있습니다: 생체인식, 핵심 인프라, 교육, 고용, 필수 서비스, 법 집행, 이주, 그리고 사법/민주주의. 귀사의 AI가 이 중 어느 하나에 해당하면, 적합성 평가, 기술 문서, 인적 감독, 시판 후 모니터링 전반에 직면하게 되며—제재는 1,500만 유로 또는 전 세계 매출의 3%에 이릅니다.
고위험 의무는 2026년 8월 2일부터 적용됩니다. 제6조(3)은 AI가 "협소한 절차적 과업"만 수행하거나, 이전에 완료된 인간 활동을 개선하거나, 의사결정 패턴을 대체하지 않고 그로부터의 편차를 탐지하거나, 준비적 과업을 수행하는 경우에 한해 좁은 예외를 규정합니다.
EU AI Act는 전 세계 최초의 포괄적인 AI 수평 규정입니다. 이는 EU 시장에 AI 시스템을 출시하는 제공자와 EU에서 AI 시스템을 사용하는 배포자에게 적용되며—그 산출물이 EU에서 사용되는 비EU 기업도 포함됩니다(제2조).
GDPR과 마찬가지로 AI Act는 역외 적용됩니다. GDPR과 마찬가지로 이를 위반하면 매출 비율 기반 제재가 부과됩니다. GDPR과 달리, 금지된 사용 사례에 대한 명시적 범주와 고위험 시스템에 대한 훨씬 더 많은 양의 시판 전 요건을 갖추고 있습니다.
대부분의 기업 AI는 (인사, 신용 또는 생체인식 사용 사례로 인해) 고위험이거나 (챗봇 배포로 인해) 제한적 위험 중 하나에 해당합니다.
제6조는 AI 시스템이 다음 중 어느 하나를 충족하면 고위험으로 분류합니다:
많은 시스템이 두 판정을 모두 충족하지만, 부속서 III 경로가 대부분의 제품 팀이 이해해야 할 부분입니다.
제6조(3)은 좁은 예외를 두고 있습니다. 부속서 III에 열거된 AI 시스템은, 의사결정 결과에 실질적인 영향을 미치지 않는 것을 포함하여 자연인의 건강, 안전 또는 기본권에 대한 중대한 위해 위험을 야기하지 않는 경우 고위험이 아닙니다. 제6조(3)의 조건은 다음과 같습니다:
AI 시스템이 자연인에 대한 프로파일링을 수행하는 경우 이 예외는 적용되지 않습니다. 제공자가 부속서 III 시스템이 고위험이 아니라고 결론짓는 경우, 제공자는 그 평가를 문서화하고(제6조(4)) 해당 시스템을 EU 데이터베이스에 등록해야 합니다(제49조).
고위험 의무는 광범위합니다. 제공자는 다음을 해야 합니다:
배포자—자신의 권한 하에 AI 시스템을 사용하는 자연인 또는 법인—는 더 가볍지만 실질적인 의무를 부담합니다:
대개 아닙니다. 일반 챗봇은 제50조에 따라 제한적 위험에 해당하며—사용자가 AI와 상호작용하고 있음을 공개해야 합니다. 그러나 구직자, 신용 신청 또는 망명 신청을 평가하는 챗봇은 부속서 III §4, §5 또는 §7에 따라 고위험에 해당합니다.
범용 AI 모델은 제51~55조에 따라 자체 규칙 세트를 갖습니다(기술 문서, 저작권 정책, 학습 데이터 요약, 그리고 시스템적 위험을 가진 GPAI에 대한 더 엄격한 규칙). GPAI 의무는 2025년 8월 2일부터 적용되었습니다.
부분적으로요. 제2조(12)는 무료 오픈소스 AI를 많은 요건에서 제외합니다—단, 해당 시스템이 고위험이거나 금지되거나 제50조 투명성 의무의 적용을 받는 경우는 제외됩니다. 실질적 효과: 오픈소스 모델은 자유롭게 사용할 수 있지만, 고위험 맥락의 배포자는 여전히 고위험 의무를 부담합니다.
둘은 병행하여 적용됩니다. 개인정보를 처리하는 AI는 GDPR(적법 근거, DPIA, 제22조에 따른 자동화된 의사결정)과 AI Act(적합성 평가, FRIA, 시판 후 모니터링)를 모두 충족해야 합니다. 고위험 AI 제공자는 일반적으로 DPIA와 AI Act 기술 문서 파일이 모두 필요합니다.
사실상 불가능합니다. 제2조(1)은 EU 시장에 AI 시스템을 출시하는 제공자, 그 산출물이 EU에서 사용되는 제3국 제공자, 그리고 EU의 배포자를 포착합니다. 대부분의 주요 AI 공급업체가 적용 범위에 속합니다.
RegulatoryBridge는 고위험 AI 시스템에 대한 적합성 평가, FRIA, 기술 문서, 시판 후 모니터링을 수행합니다—덕분에 귀사의 제품 팀은 서류 작업이 아닌 모델에 집중할 수 있습니다.