콘텐츠로 이동

항소권의 제도화 비교 — EU AI Act·GDPR과 한국 AI 기본법의 차이

AI가 내린 결정에 이의를 제기할 권리가 있다고 말할 때, 그 권리는 무엇으로 구성되는가. 이 물음은 단순한 법조문 독해의 문제가 아니다. 결정에 관한 설명을 들을 권리, 그 결정에 반박할 수 있는 권리, 반박이 실질적 검토로 이어질 권리, 검토 결과가 시정 조치로 이어질 권리는 각각 다른 제도 조건 위에 선다. 세 개의 법제 — GDPR, EU AI Act, 한국 인공지능기본법 — 는 모두 자동화 결정이나 고위험 AI 시스템의 문제를 다루지만, 이 구성 요소들을 어떤 방식으로, 어느 단계까지 제도화하는지는 서로 다르다. 설명을 들을 권리와 그 결정에 항소할 권리 사이의 거리가 이 비교의 핵심 쟁점이다.

항소권의 구성 요소: 비교 분석을 위한 기준

항소권은 단일한 권리가 아니라 최소한 세 개의 기능 단계로 이루어진 절차적 사슬이다. 첫째, 설명 제공의 단계다. 당사자가 어떤 기준으로 어떤 결정이 내려졌는지를 알 수 있어야 한다. 둘째, 이의 제기의 단계다. 설명에 근거해 당사자가 자신의 관점을 표명하거나 결정 자체를 문제 삼을 수 있어야 한다. 셋째, 재심·시정의 단계다. 이의 제기가 실질적인 재검토로 이어지고 그 결과가 변경·보완·확정으로 귀결될 절차가 있어야 한다. 이 세 단계가 하나의 절차로 연결되고, 그 절차에 집행력과 책임 주체가 있을 때 비로소 항소권이 제도화되었다고 말할 수 있다.

이 기준으로 GDPR과 EU AI Act를 먼저 검토한다. 두 법제는 같은 공간에서 작동하지만 각각 다른 축에서 권리를 구성했고, 그 차이가 항소권 제도화의 구조적 차이를 만들어낸다. 한국 인공지능기본법은 세 단계 중 어느 층위를 제도화하고 있는지를 그 다음에 검토한다.

GDPR 제22조: 자동화 결정 거부권과 결정 다툼의 구조

GDPR 제22조는 자동화 처리에 기반한 결정에 대해 두 층위의 보호를 제공한다. 첫째, 법적 효과 또는 그에 준하는 중대한 영향을 초래하는 결정이 순수 자동화로만 이루어지는 상황에 원칙적으로 복종하지 않을 권리다. 둘째, 이 일반 원칙에 대한 예외(계약 이행 필요성, 법령 수권, 명시적 동의)가 허용될 경우에도 데이터 주체는 인간 개입을 요구할 권리, 자신의 관점을 표명할 권리, 결정을 다툴(contest) 권리를 보유한다. 이에 더해 제15조 제1항 h호는 자동화 결정이 사용될 경우 그 논리, 의미, 예측 결과에 관한 정보를 요청할 권리를 정보 접근권의 하나로 보장한다.

이 구조의 핵심은 '결정을 다툰다'는 표현에 있다. 결정을 다투는 것은 결정에 관한 설명을 수령하는 것과 기능이 다르다. 설명 수령은 정보 제공에 그치는 수동적 권리인 반면, 결정을 다투는 것은 결정의 적합성 자체를 문제 삼을 수 있는 절차적 개입이다. GDPR은 이 두 번째 층위의 권리를 비교적 명시적으로 규정한다.

그러나 GDPR 제22조의 실질적 효력에는 두 가지 구조적 제약이 있다. 하나는 적용 범위다. 이 조항은 '전적으로 자동화된' 결정에만 적용된다. AI 시스템이 결정 과정에서 중요한 역할을 수행하더라도 인간이 형식적으로 개입하는 순간 — 예를 들어 심사위원이 AI 출력값을 단순 확인하는 경우 — 이 조항의 적용 여부는 불명확해진다. 2023년 유럽사법재판소의 SCHUFA 판결(C-634/21)은 자동 신용 점수가 대출 결정에 결정적 역할을 미치면 제22조상 결정에 해당할 수 있다고 판시했으나, 이 해석이 AI 보조 결정 전반으로 확장될 수 있는지는 여전히 사안 별로 검토해야 할 사항이다. 다른 하나는 집행 경로다. 결정을 다투는 권리가 실질적 재심 절차로 이어지는 구체적인 행정 절차나 독립 심사 기구를 GDPR이 직접 규정하지 않는다. 이의 제기 이후의 처리 방식은 컨트롤러의 내부 절차에 대체로 위임된다. GDPR이 감독기관에 대한 제소권 및 사법구제권을 별도로 보장하고 있으나, 이는 규정 준수 일반의 구제 경로로서 제22조상 개별 결정 다툼 절차와는 층위가 다르다.

이 두 제약은 GDPR 제22조가 항소권의 핵심 요소를 일부 포함하지만 완전한 항소 절차를 제도화하지는 않는다는 것을 보여준다. 설명 요구와 결정 다툼의 권리는 있으나, 그 이의 제기를 처리할 중립적·독립적 재심 기구와 집행력 있는 시정 절차가 법제 수준에서 명시되지 않는다.

EU AI Act 제86조: 설명권의 명시화와 그 범위

EU AI Act는 2024년 8월 1일 발효했으며, 일반 적용일은 2026년 8월 2일이다. 다만 제6조 제1항 및 이와 연동된 고위험 AI 시스템 관련 의무 일부는 2027년 8월 2일부터 적용되는 단계적 구조를 가진다. 설명권을 규정한 제86조는 2026년 8월 적용 범위에 포함된다.

제86조는 Annex III에 열거된 고위험 AI 시스템 목록 중 2번 항목(이민·망명·비자 관련 AI)을 제외한 나머지 분야에서 AI 시스템 출력에 기반한 결정이 당사자의 건강, 안전, 기본권에 중대하게 불리한 영향을 준다고 판단될 경우, 배포자(deployer)로부터 명확하고 의미 있는 설명을 받을 권리를 보장한다. 설명의 내용은 AI 시스템이 결정 과정에서 수행한 역할과 결정의 주요 요소다.

이 조항은 GDPR의 제15조 h호 및 제22조 맥락에서 논란이 되어온 '설명권 존재 여부'에 명시적 근거를 부여한다는 점에서 진전이다. 그러나 제86조는 동시에 두 가지 경계를 명확히 그어 놓는다.

첫째, 이 조항은 보조성 원칙에 의해 작동한다. 제3항은 동일한 권리가 이미 EU법으로 제공되는 경우 해당 조항이 적용되지 않는다고 명시한다. 둘째, 설명을 받을 권리와 결정을 다툴 권리는 제86조에서 분리되어 있다. 설명 제공 의무가 재심 청구나 인간 개입 의무를 자동으로 포함하지 않는다. 설명을 수령한 이후의 절차 — 이의 제기, 재검토 요청, 시정 — 는 배포자의 내부 구조나 관련 법제에 의존한다.

이 맥락에서 AI Act 제85조를 함께 검토할 필요가 있다. 제85조는 규정 위반에 대해 시장감시기관(market surveillance authority)에 complaint를 제기할 수 있는 권리를 명시한다. 이는 AI Act 준수 여부에 관한 감독기관 신고 경로이며, 개인이 특정 AI 결정의 재심을 청구하는 절차와는 기능이 다르다. 제85조의 존재는 AI Act가 구제 경로를 전혀 갖지 않는다는 오해를 막는 데 중요하지만, 그것이 항소권의 두 번째·세 번째 단계 — 이의 제기와 개별 결정 재심 — 를 대체하지는 않는다.

결론적으로 AI Act 제86조는 GDPR 제22조와 병렬적 구조를 갖지만 기능이 다르다. GDPR이 자동화 결정에 복종하지 않을 권리와 결정을 다툴 권리를 출발점으로 삼는다면, AI Act 제86조는 고위험 AI 결정의 설명 가능성을 제도화하는 쪽을 출발점으로 삼는다. 이 두 법제는 항소권의 서로 다른 구성 요소를 각각 다루며, 그 두 요소가 하나의 일관된 절차로 통합되는 지점이 아직 EU 법제 내에 완전히 설계되어 있지 않다.

한국 인공지능기본법: 고영향 AI 규율과 권리의 배치

한국의 인공지능기본법(법률 제20676호, 이하 AI 기본법)은 2025년 1월 21일 제정, 2026년 1월 22일 시행에 들어갔다. EU AI Act의 고위험 AI 관련 일부 의무가 2027년에야 적용되는 구조임을 감안하면, 한국은 고영향 AI 규율 의무를 2026년부터 시행하는 주요 법제 중 하나가 되었다.

AI 기본법은 고영향 인공지능을 "사람의 생명, 신체의 안전 및 기본권에 중대한 영향을 미치거나 위험을 초래할 우려가 있는 인공지능시스템"으로 정의하고(제2조 제4호), 보건의료, 채용 및 대출 심사, 교육 평가, 공공서비스 자격 확인 등 10개 영역을 주요 적용 대상으로 열거한다. 이 범위는 EU AI Act의 Annex III와 상당 부분 겹친다.

고영향 AI 사업자의 핵심 책무는 제34조에 규정되어 있다. 동조 제1항은 사업자가 이행해야 할 주요 조치로 위험관리방안의 수립 및 운영, "기술적으로 가능한 범위 내에서의 인공지능이 도출한 최종결과, 최종결과 도출에 활용된 주요 기준, 학습데이터의 개요 등에 대한 설명 방안의 수립 및 시행", 이용자 보호 방안의 수립 및 운영, 인간의 관리·감독 체계 마련 등을 포함한다. 시행령(제26조)은 이 조치들의 주요 내용을 홈페이지 등에 공개·게시하도록 추가 의무화하고 있다.

이 구조를 항소권의 세 단계 기준으로 검토하면 다음과 같이 판정된다.

설명 제공의 단계에서는 제34조 제1항이 고영향 AI 사업자에게 설명 방안을 수립하고 시행할 의무를 부과한다. 이 설명 방안은 인공지능의 최종 결과와 그 도출에 활용된 주요 기준, 학습데이터 개요를 포함한다. 이는 AI Act 제86조와 유사한 설명 가능성 의무로, 법제 내에서 비교적 구체적으로 규정된 항목이다. 다만 법문에는 "기술적으로 가능한 범위 내에서"라는 조건이 붙어 있어 설명의 범위와 수준을 사업자가 일정 부분 조율할 여지를 남긴다.

이의 제기의 단계에서는 현재 조문의 상황이 보다 불분명하다. AI 기본법 제34조나 이용자 보호 관련 조항에 당사자가 AI 결정에 명시적으로 이의를 제기하거나 자신의 관점을 표명할 수 있는 절차적 권리를 직접 부여하는 조문은 현재 확인되지 않는다. 이용자 보호 방안의 수립 의무(제34조 제1항)가 이를 포함할 수 있는 가능성은 열려 있으나, 그것이 구체적인 이의 신청 절차로 제도화되는지는 하위 가이드라인과 고시의 내용에 따라 달라질 사항으로 남아 있다.

재심·시정의 단계에서도 조문 기준으로 확인할 수 있는 명시적 절차는 현재까지 없다. 제35조의 기본권 영향평가는 고영향 AI 이용사업자가 기본권에 대한 부정적 영향을 사전에 식별하고 자율적으로 시정조치를 취하도록 하는 구조이나, 이는 사업자의 사전적 자율 점검 의무에 가깝다. 제3자 당사자가 사후에 재심을 청구하거나 독립적 기구에 판단을 요청하는 절차와는 구분된다.

요약하면, AI 기본법은 설명 가능성 확보 의무 — 즉 항소권의 첫 번째 단계 — 를 사업자 책무로 제도화하는 구조를 갖는다. 이의 제기, 인간 개입, 재심·시정을 당사자의 권리로서 직접 부여하는 조문 구조는 현재까지 확인되지 않으며, 이 부분이 향후 하위 법령과 가이드라인을 통해 어떻게 구체화될지가 실질적 항소권 제도화의 핵심 과제로 남는다.

세 법제의 구조적 차이

세 법제의 비교는 단순한 선진·후진의 구도로 환원되지 않는다. 각 법제가 항소권을 구성하는 서로 다른 요소를 각기 다른 방식으로 다루고 있다는 것이 더 정확한 진단이다.

GDPR은 자동화 결정에 복종하지 않을 권리와 결정을 다툴 권리를 데이터 주체의 직접 권리로 명시한다. 이 구조의 강점은 인간 개입 요구권과 결정 다툼이 사업자 책무가 아니라 개인 권리로 설계되어 있다는 데 있다. 그러나 전적 자동화 요건과 재심 절차의 불특정이라는 제약은 권리의 실질적 관철을 복잡하게 만든다.

EU AI Act 제86조는 고위험 AI 결정에 관한 설명권을 명문화하는 데 집중하되, 그 설명권을 항소권 전체와 동일시하지 않는다는 점에서 솔직한 설계다. 설명 제공과 결정 다툼의 기능을 분리한 채 후자를 개별 법제나 내부 절차에 위임하는 구조는 법적 명확성은 높지만 통합된 구제 경로를 보장하지 않는다.

한국 AI 기본법은 진흥과 신뢰 기반 조성을 동시에 추구하는 설계 원리를 갖는다. 고영향 AI에 대한 사업자 책무 체계는 비교적 구체적으로 규정되어 있고, 특히 설명 방안 수립 의무는 AI Act 수준의 설명 가능성 요건을 반영한다. 그러나 설명 의무를 사업자 책무로 구성하는 것과 설명을 요구하고 이의를 제기할 주체적 권리를 개인에게 부여하는 것 사이에는 설계상 거리가 있다. 전자는 투명성 거버넌스 구조이고 후자는 절차적 구제권이다. AI 기본법은 현재까지 전자에 비해 후자가 덜 명시화된 구조를 갖는다.

설명권이 항소권이 되는 조건

설명권으로 충분하다는 입장이 있다. 그 논거는 이렇다. 당사자가 결정의 근거와 주요 기준을 충분히 이해할 수 있다면, 그 이해를 바탕으로 사법기관이나 감독기관에 접근하는 것은 이미 존재하는 일반 구제권의 문제다. 별도의 이의 신청 절차나 독립 재심 기구를 AI 법제 안에 설계하는 것은 불필요한 중복이거나 과잉 규제다.

이 입장은 실제로 EU AI Act와 한국 AI 기본법이 따르는 현실적 경로를 잘 설명한다. 그러나 두 가지 지점에서 한계가 있다. 하나는 접근 가능성의 문제다. 일반 사법 구제권이나 감독기관 경로는 절차적 비용이 높고 법률적 전문성을 요구하며, AI 결정의 작동 방식에 관한 기술적 정보를 당사자가 독자적으로 해석하는 것을 전제로 한다. 설명을 들었지만 그 설명이 기술적으로 불투명하거나 형식적일 경우, 설명권은 구제권의 출발점이 아니라 종착점이 된다. 다른 하나는 책임 주체의 문제다. AI 결정의 배포자와 제공자가 분리되어 있고 책임이 사슬 구조로 분산되어 있는 경우, 당사자가 누구에게 이의를 제기해야 하는지를 설명 제공만으로 특정할 수 없다.

설명권이 항소권으로 기능하려면 세 조건이 동시에 충족되어야 한다. 당사자가 설명을 수령한 이후 그 내용을 근거로 실질적인 이의 절차에 진입할 수 있어야 하고, 그 이의를 처리하는 주체가 원래의 결정 주체로부터 독립적이어야 하며, 이의 처리 결과가 결정의 변경이나 확인이라는 법적 효과로 귀결되어야 한다.

이 세 조건의 관점에서 보면, GDPR은 두 번째와 세 번째 조건의 보장이 불충분하고, EU AI Act 제86조는 첫 번째 단계에 집중하면서 나머지를 외부 법제에 위임하며, 한국 AI 기본법은 현재까지 첫 번째 단계의 의무화에 가장 많은 에너지를 쏟고 두 번째·세 번째 단계를 조문 수준에서 아직 명시화하지 않는다.

이 진단은 어느 법제가 더 앞서 있다는 판단으로 수렴하지 않는다. 세 법제가 각자 다른 법적·정치적·제도적 맥락에서 설계되었고, 그 설계 원리 안에서 서로 다른 항소권 구성 요소를 담당하고 있다는 것이 더 정확한 관찰이다. 그러나 항소권 제도화의 관점에서 진단한다면, 설명 가능성 의무를 사업자의 책무로 부과하는 것과 당사자에게 절차적 구제권을 부여하는 것이 서로 다른 제도 설계임을 세 법제 모두 충분히 보여준다. 설명을 들을 권리가 항소권의 기초이지만 항소권의 전부는 아니다.

이어 읽기

작성 정보

초안 작성: Claude · Claude Sonnet 4.6 · Low
검토·개고: ChatGPT · GPT-5.5 Extended Thinking

참고자료

  • GDPR Article 22 — Art. 22 GDPR: Automated individual decision-making, including profiling. https://gdpr-info.eu/art-22-gdpr/
  • GDPR Article 15(1)(h) — Art. 15 GDPR: Right of access by the data subject. https://gdpr-info.eu/art-15-gdpr/
  • EU AI Act Article 85, 86 — Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ%3AL_202401689
  • SCHUFA Holding and Others (C-634/21) — Court of Justice of the EU, December 2023. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX%3A62021CJ0634
  • 인공지능 발전과 신뢰 기반 조성 등에 관한 기본법 (법률 제20676호, 2025.1.21 제정, 2026.1.22 시행). https://www.law.go.kr/lsInfoP.do?efYd=20260122&lsiSeq=268543
  • 인공지능 발전과 신뢰 기반 조성 등에 관한 기본법 시행령 (2026.1.21 제정). https://www.law.go.kr/LSW/lsInfoP.do?lsiSeq=282879

인포그래픽

작성일: 2026년 5월 31일