자율주행 기술은 우리 삶에 안전과 편의를 제공하지만, 방대하게 수집되는 데이터와 관련하여 개인정보 등 데이터의 보호와 활용이라는 난제가 있습니다.  

이번 Tech Legal Insights 에서는 자율주행 기술과 데이터 규제의 측면에서 국내외 동향을 소개합니다.
 

１. 우리나라의 규제 동향
 

• 이동형 영상정보처리기기 규제: 2023년 9월 시행된 개정 「개인정보 보호법」은 업무를 목적으로 이동형 영상정보처리기기를 운영하여 개인정보에 해당하는 사람 또는 그 사람과 관련된 사물의 영상 데이터를 수집하는 것에 관하여 명확한 규제 근거를 마련했습니다(법 제25조의 2).

• 자율주행 관련 개인정보 원본 데이터 활용 규제: 자율주행자동차 상용화 촉진 및 지원에 관한 법률(약칭: 자율주행자동차법) 제20조에 따르면, 자율주행자동차를 운행하는 과정에서 수집한 개인정보(위치정보 포함)의 전부 또는 일부를 삭제하거나 대체하여 다른 정보와 결합하는 경우에도 더 이상 특정 개인을 알아볼 수 없도록 익명처리하여 정보를 활용하는 경우에는 「개인정보 보호법」, 「위치정보의 보호 및 이용 등에 관한 법률」 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 적용을 받지 않습니다. 그러나, 익명처리라는 요건으로 인해 AI 알고리즘 개발에 필수적인 원본 데이터의 활용은 여전히 제한적이어서 규제 샌드박스를 통해 원본 데이터 활용이 허용되고 있습니다.
한편, 지난 1월 발의되어 현재 국회 계류 중인 개정안(개인정보보호법 일부개정법률안, 민병덕 의원   등 10인) 은 강화된 안전조치 및 정보주체의 권리 보장 방안 등을 마련해 개인정보보호위원회의 심의·의결을 거친 경우에는 적법하게 수집한 개인정보를 인공지능 기술 개발 및 성능 개선을 위해 활용할 수 있도록 허용하는 내용을 담고 있고, 또한 정보주체의 권리 침해가 발생하지 않도록 개인정보처리방침을 통해 처리 현황을 사전공개하고, 일정규모 이상의 민감정보·고유식별정보 등이 포함된 경우에는 위험요인 평가 시행을 의무화하며, 사후적으로 개인정보보호위원회가 주기적으로 이행을 점검하는 등 엄격한 관리·감독을 하도록 하는 내용을 담고 있습니다.

• 개인정보 전송요구권 도입: 2025년 3월부터 개인정보 전송요구권이 시행되면서, 개인이 자신의 정보를 다른 기관이나 기업으로 직접 전송하도록 요구할 수 있게 되었습니다. 이는 차량 데이터뿐만 아니라 모빌리티 서비스 관련 모든 개인정보에 적용될 수 있을 것입니다.

• 인공지능 발전과 신뢰 기반 조성 등에 관한 기본법(약칭: 인공지능기본법): 인공지능기본법은 2025년 1월 21일 제정되어 2026년 1월 22일부터 시행됩니다. 이 법은 AI 산업의 진흥과 신뢰 확보를 목표로, 연구개발(R&D) 지원, 데이터 센터 구축, 인력 양성, 국제협력 등 산업 활성화 정책을 추진하는 것을 규정함과 동시에 고영향 AI(생명·안전 등에 중대한 영향을 미치는 AI)에 대해 투명성 고지, 안전성 확보, 데이터 기록 의무를 부과하며, 위반 시 최대 3,000만 원의 과태료를 규정하고 있습니다. 인공지능기본법은 자율주행 기술 기업에게 R&D 자금, 데이터 인프라, 인력 양성 등 정부 지원을 통해 기술 개발과 시장 경쟁력을 강화할 기회를 제공합니다.  그러나, 고영향 AI로 분류된 자율주행 시스템은 투명성(예: AI 사용 고지), 안전성(예: 사고 예방 체계), 데이터 기록 의무를 준수해야 하므로 재정적·행정적 부담으로 작용할 것입니다. 현재 시행령 제정 절차가 진행 중입니다.

• 자동차 사이버보안 관리체계(Cybersecurity Management System, CSMS) 인증제: 자율주행차와 커넥티드카를 해킹 및 사이버 위협으로부터 보호하기 위해 자동차관리법(2024년 2월 개정, 법률 제18744호)에 따라 도입되었습니다. 이 제도는 차량 제작사가 설계, 생산, 사후관리 단계에서 위험 분석, 보안 칩 설치, 데이터 보관, 침해 사고 즉시 보고 등을 준수하도록 요구합니다. 국제 표준(UN R155, ISO/SAE 21434)을 기반으로 한 한국형 CSMS로서, 2024년 7월부터 신규 차종, 2026년 7월부터 모든 차량에 적용되며, 2025년 8월 14일 국토교통부령(자동차관리법 시행규칙 일부개정, 국토교통부령 제1495호)으로 세부 기준이 확정되었고, 곧 세부 절차 및 운영 기준을 규정한 고시가 제정될 예정입니다.
 

2. 시사점 및 우리 기업의 대응 전략
 

글로벌 자율주행 규제는 EU의 포괄적 사전 규제, 미국의 시장 중심적 접근, 그리고 캘리포니아와 같은 주(州)별 감독 강화로 규제 파편화(Regulatory Fragmentation) 현상이 심화되고 있습니다.

가. EU

  2025년 9월부터 시행될 예정인 데이터법[Regulation (EU) 2023/2845 of the European Parliament and of the Council of 13 December 2023 on harmonized rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828]은 데이터의 접근성 및 이용가능성을 제고하는 것을 목표로 하며, 이를 위해 데이터의 가치를 공정하게 배분하는 것을 그 핵심 내용으로 하고 있습니다. 또한, 클라우드 시장의 공정성 및 경쟁을 강화하고 데이터 공유와 관련된 불공정 거래 조건으로부터 기업들을 보호하는 조치를 규정하고 있습니다.

데이터법은 개인정보와 비(非)개인정보 모두를 포괄하는 개념인 '데이터(data)' 전체를 규율 대상으로 하고 있고, 커넥티드 제품 및 관련 서비스의 성능, 이용 및 환경에 관한 데이터가 포함된다고 명시하고 있어 자율주행차 기업이 직접적인 수범자가 됨을 알 수 있습니다. 또한 기업의 국적이나 본사 위치가 아닌, EU 시장 내에서의 경제 활동을 기준으로 적용된다고 규정하고 있는 역외적용 조항을 포함하고 있어(제1조제3항), 한국 자율주행차 기업이 EU에 자동차를 판매하고 관련 데이터를 처리할 경우 EU 데이터법의 규정을 준수해야 합니다.

구체적으로는, 사용자가 커넥티드 제품인 차량에서 데이터에 직접 접근할 수 없는 경우, 데이터 보유자인 제조사는 사용자의 요청에 따라 지체 없이 데이터를 제공해야 하고(제4조), 사용자가 요청할 경우, 제조사는 반드시 독립 정비소, 보험사 등 사용자가 지정한 제3자에게 관련 데이터를 공유해야 합니다. 단, '게이트키퍼'로 지정된 플랫폼 기업과의 공유는 제한됩니다(제5조).

2) AI법

   EU AI법은 포괄적인 AI 규제법으로, AI 시스템을 위험도에 따라 4단계로 분류하며, 자율주행 시스템은 가장 엄격한 규제를 받는 '고위험(high-risk)' AI로 분류됩니다. 하지만 자율주행차의 경우, 다른 분야처럼 AI법의 고위험 AI 관련 조항이 직접 적용되지는 않습니다. 이는 AI법이 분야별로 특화된 적용 방식을 취하고 있기 때문인데 다음과 같이 AI법의 특정 조항 및 부속서에 명시된 논리적 단계를 통해 확인할 수 있습니다.

• 먼저, 제2조 에서는 고위험 AI 시스템 중 부속서 I의 Section B에 나열된 조화법률의 적용대상이 되는 제품과 관련된 경우 제112조(평가 및 검토) 등만 적용되고, 다른 고위험 AI 시스템 관련 요건들은 기존 조화법률의 개정을 통해 해당 요건이 통합되는 방식으로 적용이 되도록 하고 있습니다.

• 부속서 I의 Section B에 나열된 조화법률 중 TAFR [Type Approval Framework Regulation, Regulation (EU) 2018/858]과 GSR [General Safety Regulation, Regulation (EU) 2019/2144]이 자율주행차 관련 기업에 적용됩니다.

• TAFR(차량 형식승인 기본법규)은 자동차 모델이 EU의 모든 행정 및 기술 기준을 충족하는지 사전에 심사하고 승인하는 전체적인 '기본 틀'을 규정하고, GSR(일반 안전 규정)은 그 틀 안에서, 모든 신차에 비상 제동 시스템이나 차선 유지 보조와 같은 첨단 안전 기술(ADAS)을 장착하는 것을 법적으로 강제하는 구체적인 '안전 세부 규칙'입니다. 이는 불필요한 이중 규제를 피하고 기존 자동차 산업의 안전 체계를 존중하기 위한 것으로 보이며, 결국 자율주행차 관련 기업들은 AI법의 일반 조항이 아닌 향후 TAFR과 GSR에 고위험 AI 시스템 관련 요건이 어떻게 구체화되어 통합되는지에 초점을 두고 이에 대비해야 할 것입니다.

나. 미국

미국은 연방정부 차원에서 포괄적인 사전 규제보다는 시장 주도의 혁신을 장려하고, 안전 문제가 발생할 경우 사후적으로 개입하는 유연한 접근법을 취하고 있습니다.

2025년 7월, 트럼프 행정부가 발표한 미국의 ‘AI 실행 계획(America’s AI Action Plan)’ 은 혁신 가속화를 핵심 목표 중 하나로 명시하며, AI 개발 및 배치를 저해하는 불필요한 연방 규제를 제거하는 것(Removing onerous Federal regulations)을 구체적인 정책으로 포함하는 등, AI 기술 패권 경쟁에서의 우위를 확보하기 위해 시장 주도적 접근을 한층 더 강화하고 있는 것으로 볼 수 있습니다.

연방교통부 산하 고속도로교통안전국(NHTSA)은 2025년 4월, 미국의 혁신을 촉진하고 중국과의 기술 경쟁에서 우위를 점하기 위한 새로운 자율주행차(AV) 프레임워크를 발표했습니다.  션 P. 더피 교통부 장관은 이 프레임워크가 "불필요한 형식적 절차(red tape)를 대폭 줄이고, 혁신을 촉진하며 안전을 우선하는 단일한 국가 표준"을 향한 중요한 단계라고 밝히기도 했습니다.

이 프레임워크는 1) 공공 도로에서 진행 중인 자율주행차 운행의 안전 최우선 (Prioritize Safety), 2) 불필요한 규제 장벽을 제거하여 혁신 촉진 (Unleash Innovation), 3) 미국 대중의 안전과 이동성 향상을 위한 상용화 지원 (Enable Commercial Deployment) 이라는 세 가지 핵심 원칙을 바탕으로 합니다. 이러한 원칙을 이행하기 위한 첫 번째 조치들은 다음과 같습니다.

• 충돌 보고 상시 일반 명령(SGO) 간소화: NHTSA는 첨단 운전자 보조 시스템(ADAS) 및 자율주행 시스템(ADS)이 장착된 차량의 충돌 사고 보고 의무를 유지하되, 불필요하고 중복적인 요건을 제거하여 핵심적인 안전 정보에 더 집중할 수 있도록 보고 절차를 간소화할 예정입니다.

• 면제 프로그램의 국내 생산 차량 확대: 가장 큰 변화는 자율주행차 면제 프로그램(Automated Vehicle Exemption Program, AVEP)을 미국 내에서 생산된 차량까지 확대한 것입니다. 이전까지 수입 차량에만 적용되었던 이 프로그램은 기업이 기존 안전 표준을 충족하지 않는 혁신적인 차량을 미국 도로에서 운행할 수 있도록 허용해 왔습니다. 이번 조치는 미국산 차량에 대한 규제 장벽을 없애고 수입차와 동등한 경쟁의 장을 마련함으로써, 미국 내 자동차 기술 개발을 가속화하기 위한 것입니다.
 

3. 시사점 및 우리 기업의 대응 전략

자율주행 기술과 관련된 데이터 규제 환경은 더 이상 단순한 진입 장벽이 아닙니다. 기업은 규제 파편화가 심화되는 복잡한 규제 지형 속에서 법적 리스크를 최소화하고 기술 개발 단계부터 규제 변화에 민첩하게 대응하여야 하며, 규제를 준수하여 신뢰성을 높이고 새로운 경쟁우위로 전환시켜야만 지속가능한 성장을 이룰 수 있습니다.

 

***
법무법인(유) 린 TMT.정보보호 그룹 모빌리티 테크팀은 국내 기업들의 규제 이슈에
전략적인 원스톱(one-stop) 토탈 솔루션 (total solution)을 제공하고 있습니다.
상기 내용에 대해 문의사항이 있으시면 언제든지
법무법인(유) 린 TMT.정보보호 그룹 모빌리티 테크팀(Tel. 02-3477-8695)에 문의해 주시기 바랍니다.