“---AI 확산이 가장 활발한 분야 중 하나인 의료기기에 대해서는 EU GPSR이 명시적으로 그 적용을 배제하고 있기 때문에 안전기준에 대해서는 EU가 2021년 5월부터 시행하고 있는 의료기기법이 특별법으로 적용됩니다.---우리는 AI를 활용하는 디지털 의료기기의 안전기준에 관한 특별법인 디지털의료제품법은 물론이고 일반법인 의료기기법, 체외진단의료기기법도 적용되어지며, 특히 의료기기 및 디지털의료기기의 개발 및 이용은 2026년부터 시행되는 인공지능기본법상의 ‘고영향 인공지능’영역으로 분류되어지기 때문에 인공지능기본법 또한 제조물책임소송에서 검토대상이 됩니다---”

 
 AI가 확산되고 관련 기술이 진보할수록 AI시스템 작동의 ‘예측불가능성, 불투명성’으로 인해 제조물 결함과 제조업자의 책임을 연결시키는 기존 제조물책임법의 적용은 점점 어려워질 수밖에 없습니다. 그나마 EU는 AI 확산에 따라 AI법, 제조물책임법 (PLD)을 2024년에 발효시켰고, 제품 안전성을 기준으로 한 제조물 결함 판정의 틀을 구체화시키기 위해 역시 2024년에 안전기준에 대한 일반제품안전법 (General Product Safety Regulation: 이하 “GPSR”라 함)을 발효시키는 등 지속적 입법 노력을 하고 있습니다.

 그러나 2025년 2월에 파리에서 열린 AI 정상회담에서 미국은 유럽의 AI규제가 과하다고 비판하였고 유럽은 초안만 나왔던 AI 책임법 (Liability Directive)을 철회하기로 하는 등 AI를 둘러싼 관련 법제도 불가피하게 글로벌 동조화 (synchronization)가 되어가고 있습니다. 결과적으로 EU로서는 AI를 접목한 제조물 관련 책임문제를 2024년에 새롭게 만들어진 PLD로만 처리하게 되었지만 PLD는 EU AI법의 패키지로 만들어진 법이고 AI와 디지털 기술 등의 변화를 반영하여 만들어졌기 때문에 무엇보다도 우리 기업과 산업에 미치는 영향력을 무시할 수는 없습니다. 특히 2024년의 EU PLD는 ‘소비자의 기대치, 또는 EU와 각국 법의 안전기준을 충족시키지 못했을 때’에 제품에 결함이 있는 것으로 간주하는 새로운 규정을 제시했기 때문에 안전기준에 대한 일반법으로 제정된 GPSR은 AI시대 제조물책임 문제에 대해서만큼은 2024년의 EU PLD와 함께 1차적으로 검토되어야만 하는 새로운 준거법이 되었습니다.

 이하에서는 EU GPSR의 주요 항목들을 살펴보고 GPSR의 적용을 명시적으로 배제하고 있으면서 AI확산이 가장 활발하게 이루어지고 있는 분야 중 하나인 의료기기 분야에서의 제조물책임 관련 법 문제도 간략하게나마 살펴보고자 합니다.

1. GPSR 주요 내용

1-1. 개관

 EU의 GPSR은 국경 없는 온라인 거래, AI와 같은 새로운 거래와 기술변화를 반영, 2001년의 일반제품안전법 (General Product Safety Directive)을 대체하는 강제규정 (Regulation)으로 새롭게 만들어졌고, 2024년 12월 13일 발효되었습니다. 특히 2024년 8월에 발효된 AI법 (Regulation), 그리고 12월 9일에 발효된 PLD (Product Liability Directive)와 함께 AI 관련 제품의 위험으로부터 소비자의 건강, 안전 등을 지키는 패키지법이지만 PLD는 Directive의 특성상 세부 집행을 위한 각국 법 제정까지 2년 남짓 시간 여유를 두고 있는 반면, GPSR은 소비자를 위한 제품 안전성 담보를 위해 위반 기업에 당장 제재를 가할 수 있는 강행법입니다.
 

 구체적으로 GPSR은 소비자용으로 만들어졌거나 설사 소비자용으로 만들어지지 않았더라도 소 비자가 사용할 것이라고 합리적으로 예측되는 것이라면 AI를 활용하는 디지털 제품도 당연히 그 적용 대상이 되게 하였고, 다만 제품에 내장되거나 외부와 연결, 작동되는 SW가 아니라 문서편집, 워드작성 등의 독립형 (stand-alone) SW는 EU PLD와 달리 소비자의 안전과 건강을 지키기 위한 GPSR의 특성상 적용에서 제외하고 있습니다. 또한 제품의 정상적이고 예측가능한 사용례와 위험에 대한  평가를 기반으로 특히 소비자의 건강과 안전에 ‘심각한 위험 (serious risk)’을 초래하는 제품에 대해 서는 집행위원회 (Commission)가 EU차원에서 판매중지 등을 포함한 신속한 규제를 하도록 하고 있고 제품안전을 확보하기 위한 법의 특성상 리콜 (recall)과 제품수거 (withdrawal)등에 대한 규정도 두고 있습니다.

 다만 GPSR에 따라 리콜이나 제품수거, 기타 강제조치를 내렸다고 해서 제조업자 등이 부담할 제조물책임과 같은 별도의 법 적용이 배제되는 것이 아님을 명시하고 있기 때문에 실제 제조물책임 소송에서 GPSR도 같이 검토되는 것은 자연스러운 수순이 됩니다.

 그러나 자동차의 안전기준과 헬스케어 제품의 안전기준이 다를 수밖에 없고 근로자의 안전을 강조하는 건설 관련 안전법과 유해물질 관리에 초점을 맞추는 화학제품 관련 법의 안전기준 내용이 같을 수는 없기에 GPSR은 명칭에서 보듯이 일반법으로서 안전에 관한 법원칙을 제시하게 되고, 의료기기, 음식, 항공기 등 적용이 제외되는 특별한 분야로 GPSR에서 열거된 8개 영역은 해당 안전기준을 관련 법에서 정하게 됩니다.

 한편, EU내에서 팔리는 소비자제품과 관련된 서비스라면 소비자의 건강과 안전을 지키도록 감시체계를 강화하기 위해 GPSR은 만들어졌기 때문에 서비스 자체에는 적용되지 않지만 서비스 제공에 직접 관련 있는 제품이라면 확대 적용이 됩니다.

 아울러 GPSR은 법적 책임을 지는 경제주체로 제조업자, 수입업자, 배포업자, ‘fulfilment 서비스 제공자’ (제품의 소유자가 아니면서 제품보관, 포장, 주소관리 및 배송 중 2가지 역할 이상을 담당하여야 하는 것으로 정의), 더 나아가 제품의 생산 또는 판매책임을 지는 자연인 및 법인 모두를 포함하여 각각의 역할에 상응하는 GPSR상의 안전기준 준수 책임을 지게 하였고, 외국 사업자라도 제품 리콜과 안전 우려 제기 시 감독기관과 협력하기 위한 법적 대리인을 EU 내에 반드시 두게끔 하고 있습니다.

1-2. 안전기준

 제조물책임의 결함 여부를 파악하는데 핵심 개념인 ‘안전’과 관련, 안전한 제품인지의 여부를 판정하기 위해 GPSR는 제품의 디자인, 기술적 특성, 정해진 또는 예측가능한 사용용도, 그리고 제품의 사용조건 등을 고려하되 경고문이나 사용문구 등을 참작하여 최종 판정 시 그 정도를 감경하게 하고 있습니다. 또한 해킹과 같은 외부적 요인으로 인해 디지털 제품이 오작동함으로써 소비자 안전에 위험이 초래되면 사이버보안을 둘러싼 법적 책임문제는 해당 분야의 법으로 처리할 수 있지만 만약 처리가 안된다면 소비자 안전책임을 지는 규제당국과 경제주체 (economic operator)는 향후에 제품을 디자인하고 평가할 때부터 그러한 새로운 기술적 위험을 고려하도록 규정하고 있습니다.

 한편, 2013년 1월부터 발효되고 있는 EU표준법 (Standardization Regulation)을 지키고 있는 경우에는 기업 부담 등을 고려, GPSR의 안전기준을 충족하는 것으로 ‘추정’하되 (제7조) 추가적으로 국제적 표준이나 EU법에 부합되는 자발적 심사 기준, 해당 산업분야에서 널리 통용되고 있는 제품안전기준 등을 준수하고 있으면 안전기준을 평가하는데 ‘참작’할 수 있도록 규정하고 있습니다. 특히 자발적 내 지 제3의 심사기준이 EU법과 부합하면 안전기준을 충족하는지 여부를 참작하도록 규정하고 있기 때문에 (제8조) 우리 수출기업들에게 향후 제조물책임 분쟁에서 GPSR이 추가 부담으로 적용되지 않기 위해서라도 국내 안전기준 관련 법제를 재점검, EU 관련 법제에 따라 보완하는 것이 필요해 보입니다.

1-3. 경제주체와 온라인 시장제공자의 의무

  ‘경제적 운영자 (Economic Operator)’라는 이름 아래 제조업체, 수입업체, 유통 업체 등으로 하여금 역할에 상응하는 책임을 지우되, 만약 그러한 경제주체가 EU 내에 없어서 2021년 7월부터 전면 적용되고 있는 EU의 시장감시와 제품준수법 (Market Surveillance and Compliance of Products Regulation) 의무를 이행할 수 없다면 제품이 판매되지 못하도록 GPSR은 규정함으로써 결국 책임을 지는 경제주체를 정하게끔 강제하고 있습니다.

 또한 각 경제주체는 공급망에서의 역할과 책임에 비례하여 의무를 부담하고 있고, 온라인 거래에서 만들어진 제품의 배포만 담당하는 사업자라면 배포업자로 분류되지만 자신의 상표를 붙인 제품을 판매하고 있다면 제조업자로 분류되는 등 경 제주체의 역할 판정과 의무부과 또한 사례별로 하게 됩니다. 

 그러한 경제주체 가운데 1차적 책임을 지는 제조업자 (Manufacturers)는 제품이 GPSR에 규정된 안전요건을 준수하여 설계, 제조되었는지 확인해야 하고, 제품을 시장에 출시하기 전에 내부 위험분석을 수행하고, 제품 안전성을 평가하는 데 필요한 기술문서 (technical documentation)를 작성할 우선적 의무를 부담합니다. 또한 제품의 식별 정보와 제조업체 정보를 제품자체 또는 포장, 소포, 동봉된 문서에 표시, 추적이 되도록 해야만 하고 제품이 위험하다는 것을 인지하거나 인지할 이유가 있는 경우에는 즉시 시정조치 (제품회수, 리콜 등)를 취해야 할 1차적 의무를 부담합니다. 다만 제조업자는 합법적 대리인을 지정하여 이런 다양한 의무를 대신 부담케 할 수 있고, 제품을 상당 부분 변형, 판매한 사업자도 제조업자로 간주하도록 규정했습니다.

 수입업체 (Importers)는 제조업체의 이러한 1차적 의무이행을 감시, 보완적으로 의무를 수행하게 됩니다. 즉 수입업체는 제품을 시장에 출시하기 전에 제품이 안전요 건을 충족하는지, 제조업체가 기술 문서 작성, 라벨링 등의 의무를 준수했는지를 보 충적으로 확인해야만 합니다. 만약 제품이 안전하지 않거나 제조업체가 해당 의무를 준수하지 않는 경우, 수입업체는 제품을 시장에 판매해서는 안 될 의무를 부담하며 해당 사실을 제조업체에게 알리는 것은 물론, 시장감시당국에도 통보해야만 하는 등 제조업체 의무의 보충적 이행책임을 지도록 되어 있습니다.

 따라서 우리나라의 제조업체가 EU에 수출하려는 경우에는 EU의 수입업체와 접촉하게 될 국내 수출(대행)업체도 사실상 GPSR 준수의 책임을 지게 될 가능성에 대비해야만 합니다.

 유통업자 (Distributors)는 제조업체, 수입업체에 이어 GPSR를 준수할 세 번째 보충적 책임주체가 되어 제품이 안전기준 등에 위반된다고 판단되면 판매를 하지 않을 의무를 부담하게 됩니다. 또한 유통업자로서 유통 과정에서 제품 안전성이 훼손되지 않도록 보관 및 운송 조건을 관리할 의무를 부담합니다. 
 
 한편, 온라인 시장제공자 (Providers of Online Marketplaces)는 특별히 규제당국 및 소비자와 제품 안전문제에 대해 직접 소통할 수 있는 단일 연락창구 (single point of contact)를 지정해야 하고, 정보 공유를 위한 안전 게이트 포털을 통해 위험 제품정보를 확인하고, 자발적으로 위험 제품을 탐지, 제거, 접근 차단조치를 취하도록 하고 있습니다. 

1-4. 정보공유와 시장감시

 시장감시는 제품이 관련 법규를 준수하는지 확인하기 위해 온라인 시장을 포함, 시장에 유통되는 제품 중 안전하지 않은 제품을 식별, 추적하고, 제품 안전성 평가를 통해 문제가 되는 제품에 대한 회수, 판매금지 등의 시정조치를 통해 위험을 제거하거나 완화하는 규제 당국의 활동 및 조치를 의미합니다.

 특별히 온라인거래의 경우에는 플랫폼서비스 제공자에게 거래자가 제품의 안전과 추적에 필요한 모든 정보를 제공하지 않는 한 플랫폼 거래를 하지 못하도록 규제하는 2022년의 EU 디지털서비스법 (Digital Services Act: 2000년의 Directive를 개정, 2024년 2월 17일부터 전면 시행되고 있음)이 강제되고 있기에 GPSR은 제품 추적 (product traceability)에 대한 일반적 사항 외에 특별히 위험한 제품 추적을 위한 정보공유 규정들을 두고 있습니다.

 또한 경제주체들이 GPSR상의 의무를 준수하는지 현장 조사를 통해 확인하며, 소비자 불만 등을 처리하도록 하고 있고, 특히 정보공유는 소비자 안전을 보장하고 EU 역내에서 시장감시 활동의 효율성을 높이는데 필요하기에 각국 규제기구는 집행위원회와 함께 소비자안전네트워크 (Consumer Safety Network) 플랫폼을 공동으로 구축, 운영하도록 하고 있습니다. 또한 집행위원회는 안전 게이트 포털 (Safety Gate Portal)을 통해 위험 제품정보를 온라인사업자를 포함한 경제주체, 소비자와 회원국들 간에 무료로 공유하게 하고, 소비자가 관련 정보를 쉽게 접근할 수 있도록 할 것을 규정하고 있습니다. 아울러 집행위원회가 EU 소비자의 건강과 안전에 중대한 위험 (serious risk)을 초래할 우려가 있는 제품에 대한 추적 시스템을 구축하고 운영함에 있어 경제주체들이 협조하여야 함은 물론 제품 관련 사고 (accidents)가 발생하면 규제기관에 통보하여야 할 의무도 부담합니다. 

1-5. 디지털시장과 추적 시스템

 GPSR은 EU 내 소비자에게 비대면 판매를 목표로 한 온라인거래도 EU 시장에서 제품을 직접 판매하는 것과 동일한 안전기준이 적용됨을 명시하고 있고 특별히 EU 디지털서비스법 (Digital Services Act)에 따른 제품 및 서비스의 안전을 보장하기 위해 거래자 (traders)의 신원, EU법을 준수한다는 자기인증 (self-certification), 금융계좌 등의 필수정보를 수집하고 검증, 저장하게 함으로써 추적 가능성 (traceability)을 확보할 의무를 온라인 플랫폼사업자에게 명시적으로 부과하고 있습니다.
 
 또한 GPSR은 디지털 제품의 안전여부를 판정할 때 외부의 악의적 해킹 위협에 대비할 수 있는 적절한 보안장치도 고려하도록 하였고, 특히 소비자의 건강과 안전에 심각한 위험 (serious risk)을 초래할 가능성이 있는 제품에 대해서는 집행위원회로 하여금 사고경력 등을 등록시킨 안전비즈니스 포털을 통해 관련 데이터 등을 수집, 관리하는 추적시스템을 구축하도록 하였습니다.

2. 우리의 제품안전기본법

 2011년에 제정한 ‘제품안전기본법’은 제품과 관련된 생명ㆍ신체 또는 재산상 위해를 방지하기 위하여 제품의 제조ㆍ설계 또는 제품상 표시 등의 결함 여부에 관하여 검증ㆍ검사 또는 평가하는 일체의 활동을 의미하는 ‘안전성 조사’라는 개념을 중심으로 국가 관리체계를 규정하고 있기 때문에 실질적으로는 EU의 GPSR처럼 국내 제조물책임소송에서 1차적 체크 포인트 역할을 하고 있음은 물론 만약 국내 수출기업이 EU에서 제조물책임소송을 당하게 되면 EU가 요구하는 안전요건 충족의 ‘추정’도 주장할 수 있는 준거법 역할을 할 수 있습니다. 다만 제품안전기본법은 ‘한국제품안전관리원’ 이라는 공공기관을 통해 구체적 안전관리기준을 운영하도록 위임하고 있고, “중앙행정기관의 장은 안전기준이 없거나 기존의 안전기준을 적용할 수 없는 제품에 대하여 인증 또는 조사 등을 실시하는 경우에는 별도의 안전기준을 정하여 운영할 수 있다”고 함으로써 타 관할 부처에 세부 안전기준도 위임할 수 있도록 되어 있습니다. 따라서 국내 제조물책임소송에서는 안전기준을 둘러싸고 현재의 제품안전기본법은 물론이고 개별 법, 관련 표준과 인증기준 등도 당연히 검토, 분석되어야겠지만 향후 EU 제조물책임소송에 대비하기 위해서는 관련 규정들의 글로벌 기준을 고려한 체계화, 점검이 필요해 보입니다.

3. 의료기기 시장과 안전기준

 AI 확산이 가장 활발한 분야 중 하나인 의료기기에 대해서는 EU GPSR이 명시적으로 그 적용을 배제하고 있기 때문에 해당 안전기준에 대해서는 EU가 2021년 5월부터 시행하고 있는 의료기기법 (Medical Device Regulation: 이하 ‘MDR’라 함)이 특별법으로 적용됩니다. 즉 1994년에 만들어진 EU의 Medical Device Directive를 시대에 맞게 더 자세하게 개정한 강제 법인 MDR이 EU 시장에서 작동하고 있고, 또 한 의료기기는 EU AI법상 고위험 영역으로 분류되어지기 때문에 (제6조와 Annex I) 결과적으로 EU에서의 의료기기는 MDR과 AI법이 중첩 적용되어지는 영역이 됩니다.   

 의료기기는 EU, 미국, 우리나라 모두 위험 (risk) 기반의 차별적 규제를 통해 제품 사용을 통제하면서 안전을 확보하는 대표적 영역이지만 위험 (위해성) 분류 기준은 EU와 우리나라가 4단계, 미국 FDA는 3단계 구분을 하는 등 구체적 차이를 보이고 있고, 특별히 EU MDR은 부속서 (Annex I)에서 의료기기의 안전성 및 성능에 대한 요구조건 (General Safety and Performance Requirements)을 충족하게끔 제조업자로 하여금 위험관리시스템 (risk management system)을 운영하도록 강제하고 있고, 설계, 제조, 제품 표시 등에 대한 각 준수사항을 상세히 열거하고 있으며, 위험에 따른 의료기기 자체의 등급별 자세한 기준도 규정하고 (Annex VIII) 있습니다.

 MDR은 또한 기본적인 안전성과 규제요건 충족을 의미하는 마크인 CE (Conformité Européenne: 유럽적합성)를 받아야만 의료기기가 유럽내에서 유통될 수 있도록 강제했고, 고유식별코드를 부착하여 추적이 가능하도록 하는 등의 안전관련 조치 또한 규정하고 있기 때문에 MDR은 EU시장에 대한 디지털 의료기기 국내 수출기업은 반드시 사전에 숙지해야 할 1차 체크 포인트입니다.

 우리는 2025년 1월부터 시행 중인 디지털의료제품법에서 디지털의료기기 범주에 AI 기술제품을 포함, 안전기준을 규정하고 있기 때문에 향후 AI를 활용하는 디지털 의료기기 관련 제조물책임 관련 분쟁에서는 특별법인 디지털의료제품법은 물론이고 일반법인 의료기기법, 체외진단의료기기법도 함께 검토되게 됩니다. 또한 의료기기 및 디지털의료기기의 개발 및 이용은 2026년부터 시행되는 인공지능기본법상의 ‘고영향 인공지능’ 영역으로 분류되어지기 때문에 인공지능기본법 역시 제조물책임소송에서 검토 대상이 됩니다.