브뤼셀/스톡홀름 — 유럽연합(EU) 집행위원회가 수요일, 디지털 규제 전반을 간소화하고 일부 완화하는 광범위한 패키지를 제안했다. 여기에는 AI 법(AI Act)의 일부 조항 시행을 늦추는 안이 포함돼 있으며, 목적은 행정적 절차를 줄이고(red tape 축소), 빅테크의 비판을 선제적으로 차단하며, 유럽의 경쟁력을 높이려는 데에 있다.
2025년 11월 19일, 로이터의 보도에 따르면, 이번 조치는 기업계와 미국 정부의 반발을 계기로 일부 환경 법규를 완화한 흐름에 뒤이어 나왔다. 유럽의 기술 규제 역시 유사한 반대에 직면해 왔지만, 집행위는 규제가 여전히 견고하게 유지될 것이라고 강조했다.
“단순화는 곧 규제 완화가 아니다. 단순화란 우리의 규제 지형을 비판적으로 들여다보는 것을 의미한다.”
집행위 관계자는 브리핑에서 이같이 말했다.
‘고위험’ AI 사용 영역과 시행 연기
디지털 옴니버스(Digital Omnibus)로 불리는 이번 패키지에서, 집행위는 유럽 각국의 추가 논의와 표결을 전제로, ‘고위험’으로 간주되는 영역에서의 AI 사용에 대한 보다 엄격한 규정의 발효 시점을 2026년 8월에서 2027년 12월로 미루는 방안을 제안했다.
연기 대상은 생체인식 확인, 도로 교통 애플리케이션, 공공요금(유틸리티) 공급, 채용 지원 및 시험, 보건 서비스, 신용도(신용평가), 법 집행 등으로, 이들 분야는 기술 오작동이나 차별적 결과가 사회·경제적 피해로 번질 가능성이 상대적으로 큰 영역으로 꼽힌다. 또한 웹사이트의 팝업 형태로 제시되는 ‘쿠키’ 동의 절차 역시 간소화될 예정이다.
이번 디지털 옴니버스 혹은 간소화 패키지에는 지난해 법으로 제정된 AI 법(AI Act), 이른바 대표적 개인정보 보호법인 일반개인정보보호법(GDPR), e-프라이버시 지침, 데이터 법(Data Act) 등 여러 규정이 묶여 있다. 집행위는 중복되거나 과도한 절차를 정리함으로써 적용의 명확성을 높이려는 취지라고 설명했다.
아울러 제안된 GDPR 개정에는 알파벳의 구글, 메타, 오픈AI를 포함한 기술 기업이 유럽인의 개인정보를 자사 AI 모델 학습에 사용할 수 있도록 허용하는 내용도 담겼다. 이는 AI 개발 과정에서 데이터 접근성을 둘러싼 핵심 쟁점과 직접 맞닿아 있는 변화로, 데이터 활용 규범과 혁신 동력 간의 균형을 어떻게 잡을지에 대한 논의를 촉발할 것으로 보인다.
맥락과 배경: 간소화와 규제 견고성의 이중 목표
집행위의 이번 제안은 최근 환경 법규 일부의 완화가 이루어진 직후 제시됐다는 점에서 주목된다. 기업계와 미국 정부가 제기한 부담 완화 요구가 반영되었으나, 동시에 집행위는 “규제의 견고성은 유지된다”는 점을 재차 표명했다. 다시 말해, 불필요한 절차의 축소와 핵심 안전장치의 유지라는 두 과제를 동시에 달성하려는 전략적 조정으로 해석할 수 있다.
특히 고위험 AI로 지목된 분야는 공공 안전, 기본권, 시장 신뢰와 직결되는 영역이라는 공통점을 지닌다. 생체인식 확인은 개인 식별의 민감성이 높고, 도로 교통 시스템은 안전성과 실시간성의 문제가 중첩되며, 유틸리티 공급은 사회 인프라에 직결된다. 채용과 시험은 차별이나 공정성 문제에 취약하고, 보건 서비스는 데이터 민감도가 극히 높다. 신용도 평가와 법 집행 역시 개인의 경제적·법적 지위에 심대한 영향을 줄 수 있다. 이러한 특성은 규제 일정 조정의 배경을 설명한다.
이번 제안은 또한 쿠키 동의 절차의 간소화도 포함한다. 쿠키는 웹사이트가 사용자 기기에 저장하는 식별자·설정 정보로, 이용자 경험 개선과 맞춤형 서비스 제공에 활용된다. 다만 동의 절차가 복잡하거나 반복적으로 제시될 경우 피로감을 유발하고 실질적 선택권이 약화될 수 있다는 문제 제기가 이어져 왔다. 집행위는 절차를 정돈해 사용자가 보다 명확한 선택을 할 수 있도록 설계를 단순화하려는 방향을 제시했다.
디지털 옴니버스가 포괄하는 법제의 핵심
AI 법(AI Act)은 AI 시스템의 위험 수준에 따라 의무를 차등화하는 것을 골자로 하는 규정으로, 지난해 법제화됐다. GDPR은 개인정보 처리의 원칙과 데이터 주체의 권리를 규정하는 EU의 기본법이며, e-프라이버시 지침은 전자통신 환경에서의 프라이버시 보호를 다룬다. 데이터 법(Data Act)은 데이터 접근과 공유에 관한 기본 틀을 제시하는 규범이다. 이번 패키지는 이들 규정을 한데 묶어 중복 규정을 제거하고, 적용상의 모호함을 줄이는 데 방점을 찍었다.
이 가운데 GDPR 개정안과 관련해, 기사에서 언급된 바와 같이 구글·메타·오픈AI 등 기업들이 유럽인의 개인정보를 AI 모델 훈련에 활용할 수 있도록 허용하는 방향이 포함되어 있다. 이는 AI 개발에 필요한 데이터의 범위와 정합성, 그리고 데이터 주체의 권리 보장 문제를 일으킬 수 있는 대목이어서 향후 회원국 논의 과정에서 구체적 요건과 경계가 더욱 정밀하게 다듬어질 가능성이 있다.
시행 연기(2026년 8월 → 2027년 12월)의 의미
발효 시점을 2026년 8월에서 2027년 12월로 미루는 제안은, 규제 대상 기업과 감독기관 모두에게 추가 준비 기간을 제공한다. 특히 기사에 열거된 분야는 기술적 완성도와 안전성 검증, 데이터 관리 체계의 정교화, 설명 가능성과 책임성 확보 같은 기본 요소가 필수적인 영역이다. 일정 조정은 이러한 기반 요소를 점검하고 보완할 시간을 넓혀 준다는 점에서 주목된다.
동시에 집행위가 “단순화는 규제 완화가 아니다”라고 못 박은 만큼, 핵심적 안전장치와 감시 체계가 유지될 것이라는 방향성은 변함이 없다는 점이 강조됐다. 경쟁력을 높이기 위한 절차적 간소화와 규제의 실효성을 유지하려는 의지는 이번 패키지의 투 트랙 접근을 요약한다.
용어와 맥락 설명
디지털 옴니버스는 여러 디지털 관련 규정을 하나의 묶음으로 포괄해 중복 절차를 줄이고 적용 일관성을 높이려는 입법 패키지다. 본문에서처럼, 이 제안은 유럽 각국의 토론과 표결을 거쳐야 하며, 그 과정에서 조정될 수 있다.
GDPR은 EU 전역에서 개인정보 처리의 원칙과 데이터 주체의 권리를 규정하는 기본법이다. e-프라이버시 지침은 전자통신 영역에서의 프라이버시 보호 기준을 다룬다. 데이터 법(Data Act)은 데이터 접근·공유의 기본 틀과 역할을 정렬하는 규정이다. 쿠키 동의는 웹사이트가 사용자 기기에서 정보를 저장하거나 읽을 때 표시하는 팝업 동의 절차를 의미한다.
전망과 이후 절차
현 단계에서 이번 패키지는 제안으로, 유럽 각국의 논의와 표결을 통해 최종 확정 여부와 구체 문구가 결정된다. 그 전까지는 관련 규정의 적용 시점과 세부 요건이 변동될 수 있다. 집행위는 간소화와 견고성의 병행을 내세우며, 빅테크를 포함한 산업계와 시민사회, 감독기관이 모두 납득할 수 있는 균형점을 찾는 과정을 예고하고 있다.
기사 작성: 수판타 무케르지(Supantha Mukherjee), 바르트 H. 메이예르(Bart H. Meijer) — 로이터
