홍콩의 단편화된 AI 규제 체계

홍콩의 인공지능(AI) 규제는 단편화된 부문별 프레임워크 내에서 진화하고 있다. 다양한 규제 기관이 다양한 산업을 감독함에 따라 통합된 규제 체계보다는 여러 지침이 혼재되어 있다. 예를 들어, 홍콩 금융관리국(HKMA)은 은행 부문에서의 인공지능 응용 프로그램을 규제하고, 증권선물위원회(SFC)는 금융 서비스 분야의 인공지능을 감독하며, 개인정보보호위원실(PCPD)은 모든 산업에서 인공지능 활용과 관련된 데이터 개인정보 보호에 대한 지침을 제공한다.

또한, 기존 규정에서 구체적으로 다루지 않는 AI 관련 피해에 대해 영미법 원칙이 적용되어, AI 도입과 관련된 분쟁에서 법적 구제를 받을 수 있다. 이러한 전반적인 접근 방식은 맞춤형 감독을 가능하게 하지만, 여러 산업에 걸쳐 운영되는 기업들에는 컴플라이언스에 어려움을 초래할 수 있다.

이 가이드의 이 장은 홍콩에서 AI 사용과 관련하여 특히 주목해야 할 핵심 분야에 초점을 맞추고 있다. 저자들은 우선 금융 서비스, 의료 서비스, 법률 서비스와 같이 AI 사용으로 인해 규제상의, 또 윤리적인 우려가 더욱 심화되는 고위험 분야를 살펴볼 예정이다. 그런 다음 AI 도입이 특히 큰 영향을 미치거나 규제가 빠르게 발전하고 있는 산업들을 중심으로 부문별 고려사항을 탐구한다.

이어서 저자들은 조직 내 AI 거버넌스에 대해 논의하며, ‘세 가지 방어선’과 같은 체계적인 감독 모델을 사용하여 기업들이 어떻게 책임감 있게 AI를 도입할 수 있는지 설명할 예정이다. 마지막으로, AI 도구들이 처리하는 대량의 민감 정보를 감안할 때 특히 중요한 데이터 개인정보 보호 문제를 살펴본다.

이 핵심 영역들을 살펴봄으로써, 이 장은 기업들이 홍콩의 AI 규제 환경을 탐색하면서 컴플라이언스를 확보하고 효과적인 위험 관리를 달성할 수 있도록 지원하는 실용적인 프레임워크를 제공할 것이다.

고위험 AI 활용

홍콩의 고위험 AI 활용은 글로벌 트렌드를 반영하며, 특히 투자 자문, 사기 탐지, 법률 자문 및 채용 분야에서 두드러진다. 이러한 활용 사례와 기타 응용 분야는 개인정보와 같은 민감한 데이터를 포함하거나 소비자 권리에 영향을 주며, 상당한 재정적 및 법적 결과를 초래하기 때문에 고위험으로 간주된다.

예를 들어, AI 기반 투자 자문은 부적절한 상품 추천으로 이어져 소비자와 기업 모두에게 재정적 위험을 초래할 수 있다. 마찬가지로, AI를 활용한 사기 탐지는 잘못된 긍정 또는 부정 결과를 방지하기 위해 매우 높은 정확성을 유지해야 한다.

AI 사기 탐지 기술은 금융 서비스, 전자상거래 및 사이버 보안 분야에서 널리 활용되며, 기계 학습 모델이 거래 패턴, 사용자 행태 및 기기 데이터를 평가하여 실시간으로 잠재적 사기 행위를 식별한다.

이러한 시스템은 편향을 방지하고 홍콩의 데이터 보호 및 사기 방지 컴플라이언스를 보장하기 위해 신중하게 모니터링되어야 한다. 판례 분석 및 계약 작성에 활용되는 법률 AI 도구들은 정확성과 공정성을 보장해야 하며, AI 기반 채용 도구는 편향과 차별을 방지하기 위한 안전장치가 필요하다.

SFC 및 HKMA와 같은 규제 기관은 금융 서비스 환경에서 이러한 유형의 위험에 대응하기 위한 지침을 제시했다. SFC의 생성형 AI에 대한 회람은 면허가 있는 기업들이 AI 언어 모델 사용에 대해 위험 평가를 수행하도록 요구하며, 이를 위한 지침 원칙을 제시한다. 또한, 면허가 있는 기업들은 AI 기반 금융 서비스에 대한 위험 완화 조치와 모니터링 메커니즘을 마련해야 한다. 한편, HKMA의 인공지능 고위 원칙은 AI 거버넌스를 위한 권장 관행을 제공하며, HKMA Gen AI Sandbox와 같은 규제 샌드박스는 기업들이 통제된 환경에서 고위험 AI 응용 프로그램을 시험할 기회를 제공한다.

고위험 분야에 AI를 도입하는 기업은 적용 가능한 규제 프레임워크 평가, 감독을 위한 인간 참여 메커니즘 도입 및 위험 경감을 위한 지속적인 모니터링 등을 고려할 수 있다.

산업별 AI

일부 산업에서 AI의 사용은 규제의 집중, 빠른 기술 발전 또는 인공지능 응용의 중대한 특성으로 인해 특히 주의가 필요하다. 이 섹션에서는 다양한 산업 사례를 다룬다.

은행 및 금융 서비스 분야에서는 로보어드바이저, 사기 탐지 및 고객 서비스에 AI가 폭넓게 활용된다. 예를 들어, 2024년 2월 홍콩에 위치한 ICBC Asia가 잠재적 사기 거래를 식별하고 의심되는 사기 혐의를 조사하기 위해 AI 기술에 투자한 것으로 보도됐다.

HKMA 및 SFC는 기업들이 모델 설명 가능성, 사이버 보안 및 위험 기반 감독을 최우선으로 하는 거버넌스 프레임워크를 도입하도록 요구한다.

의료 분야는 진단, 환자 관리 도구 및 운영 효율성을 위해 AI를 활용하고 있다. 그러나, 법적 책임 위험과 데이터 개인정보 보호에 대한 우려는 여전히 중요하다. 예를 들어, PCPD는 “의료 제공자들이 AI를 사용하여 의무 기록을 분석하고 의사의 진단을 지원한다”고 언급하며, 고위험 AI 활용 사례로 “AI 지원 의료 영상 분석 또는 치료”를 제시했다. 또한, PCPD는 “배포 중에 개인에게 중대한 부정적 영향이 발생할 위험을 줄이기 위해 인간의 감독이 필요하다”고 강조했다.

법률 분야 역시 계약 분석, 법률 조사 및 문서 자동화 등 다양한 업무에 AI를 도입하고 있다. 홍콩사무변호사회의 2024년 입장 문서는 지식 기반을 개발하고 법률 규칙을 부호화하며 인공지능 결과를 최적화하는 ‘법률 지식 엔지니어’(일명 ‘프롬프트 엔지니어’)와 같은 전문 역할의 필요성을 강조한다. 또한, 법률 기술자와 자동화 전문가는 자연어 처리, 논리 프로그래밍 및 업무 자동화와 같은 분야의 전문 지식을 토대로 AI 도구의 구현 및 관리에 핵심적인 역할을 할 수 있다.

사법 분야에서는 AI 사용이 사법부의 독립성, 공정성, 책임성의 원칙과 일치하도록 하기 위해 구체적인 지침이 도입됐으며, AI는 사법 기능을 강탈하거나 침해하는 데 사용되어서는 안 되고, 오로지 사법 업무를 지원하고 촉진하는 데에만 활용되어야 한다는 점이 강조됐다.

AI 거버넌스

AI를 활용하는 기업에 컴플라이언스와 위험 관리는 핵심 고려사항이다. 거버넌스 프레임워크는 조직이 혁신과 책임성을 균형 있게 유지하는 데 도움이 될 수 있다. 저자들은 금융기관들이 AI 사용에 대한 정책을 검토하는 것을 지원해왔다.

우리가 본 모델 중 하나는 비즈니스 내 다양한 기능에 걸쳐 AI 감독을 통합하는 데 도움이 되는 세 가지 방어선 프레임워크를 포함했다. 이 프레임워크는 금융 기관들이 기업 컴플라이언스에서 널리 사용하며, 일상 업무의 효율성을 향상시키기 위해 적용하고 있다.

이 프레임워크는 여러 단계에서 독립적인 검사를 보장함으로써 컴플라이언스 의무와 AI 혁신 간의 균형을 맞추는 것을 목표로 한다:

• • 첫 번째 방어선은 고객 참여, 사기 탐지, 프로세스 자동화 등 다양한 목적을 위해 AI 기반 도구를 개발하고 배치하는 사업 부서로 구성된다. 이 부서들은 AI 기반 의사결정이 편향 완화 및 의사결정의 투명성과 같은 규제 기대치와 윤리적 고려사항에 부합하도록 보장해야 한다.
  • 두 번째 방어선은 AI 모델의 취약점, 사이버 보안 위협, 컴플라이언스 등을 평가하는 위험 관리 및 컴플라이언스 팀으로 구성된다. 많은 조직은 HKMA와 SFC의 모범 사례를 바탕으로 AI 위험 평가 프레임워크를 활용하여 AI 시스템이 규제 요구 사항을 준수하고 견고하게 유지되도록 보장하고 있다.
  • 세 번째 방어선은 AI 거버넌스와 위험 관리 효과를 검증하기 위한 독립적인 감사를 포함한다. 이러한 정기적 검토는 기업들이 잠재적인 규제 공백을 감지하고, 책임성을 강화하며, AI 기반 프로세스에 대한 신뢰를 높이는 데 도움이 될 것이다.

데이터 프라이버시와 AI

AI 시스템이 점점 더 많은 민감한 데이터를 처리함에 따라 홍콩에서는 데이터 프라이버시가 주요 규제 관심사가 됐다. 2024년 6월 PCPD에서 발표한 ‘인공지능: 개인정보 보호 프레임워크 모델’은 AI 시스템을 도입, 구현, 사용하며 개인정보를 포함하는 조직(금융 기관 포함)의 개인정보 처리 방법에 대한 구체적인 가이드라인을 제공한다.

위험 기반 접근 방식을 채택한 PCPD 프레임워크는 지역 기업에 대한 권장사항을 제공하는 한편, 개인정보(프라이버시) 조례(486장)에 따른 데이터 보호 원칙 또한 계속 적용된다.

점점 더 우려되는 문제는 데이터 스크래핑이다. 이는 AI 모델이 명시적인 동의 없이 온라인에 공개된 데이터를 수집하여, 해당 데이터를 재판매하거나 사이버 공격을 조장하고, 신원 도용 및 원치 않는 직접 마케팅과 스팸 메시지를 가능하게 하는 등의 승인되지 않은 용도로 사용하는 경우를 말한다.

PCPD는 데이터 스크래핑이 상당한 개인정보 위험을 야기할 수 있다고 경고했다. 데이터 스크래핑에 관한 PCPD의 공동 성명은 AI를 사용하는 기업이 개인정보 보호법 준수를 보장하기 위해 선제적으로 조치를 취해야 함을 강조한다.

결론

통일된 AI 규제 프레임워크가 없는 상황에서, 고위험 AI 애플리케이션에 적극적으로 대응하고 산업별 컴플라이언스 전략을 맞춤화하며 견고한 AI 거버넌스 모델을 구축하는 기업 및 기타 이해관계자들은 규제 위험을 완화하는 데 더 유리한 위치에 서게 될 것이다.

기업들은 적용 가능한 규제를 철저히 평가하고, 규제 샌드박스에 참여하며, 세 가지 방어선 모델과 같은 거버넌스 구조를 도입하는 것을 고려할 수 있다. 또한 데이터 프라이버시는 여전히 핵심 이슈이므로, 조직들은 익명화와 투명한 AI 의사결정 등 데이터 보호 모범 사례를 검토할 수 있다.

컴플라이언스를 유지하며 AI를 도입하려는 기업에 거버넌스, 위험 관리, 규제 참여에 대한 적극적인 접근은 필수적이다. 전문 법률 자문은 진화하는 AI 환경을 헤쳐 나가는 데 도움을 줄 것이며, 기업의 비즈니스 목표에 부합하는 책임감 있고 규정을 준수하는 AI 도입을 보장할 수 있다.

STEVENSON, WONG & CO.
39/F, Gloucester Tower,
The Landmark, 15 Queen’s
Road Central, Hong Kong
전화: +852 2526 6311
이메일: info@sw-hk.com
www.sw-hk.com