GDPR AI 개정안 2026: EU 디지털 옴니버스가 바꾸는 5가지 핵심 규제 변화 총정리

겨우 5일. 유럽연합 집행위원회가 180페이지가 넘는 법안 초안을 검토하라며 이해관계자들에게 준 시간입니다. 이 법안이 바로 전 세계 모든 AI 기업의 개인정보 처리 방식을 근본적으로 뒤흔들 수 있는 EU 디지털 옴니버스입니다. 2025년 11월 조용히 발의된 이 법안은 GDPR을 단순히 손보는 수준이 아닙니다. AI 훈련 데이터의 법적 근거를 새로 만들고, 개인정보의 정의 자체를 좁히며, AI Act의 가장 강력한 규제 시행을 미루려 합니다. GDPR AI 개정안 2026 패키지는 지금 당장 주목해야 할 사안입니다.

수개월간의 로비와 유럽의 프라이버시 우선 명성과 AI 경쟁력 야망 사이의 긴장이 고조된 끝에, 집행위원회가 본색을 드러냈습니다. 프라이버시 옹호론자들은 “매각”이라 부르고, 업계는 조심스럽게 환영하는 이 패키지의 5가지 핵심 변화를 하나씩 짚어보겠습니다.

1. 제88조c: AI 훈련을 위한 적법한 이익 — GDPR AI 개정안 2026의 최대 변화

디지털 옴니버스에서 가장 파급력이 큰 변화는 제88조c 신설안입니다. AI 모델 개발과 훈련을 위한 개인정보 처리에 명시적인 적법한 이익(legitimate interest) 법적 근거를 부여하는 조항입니다. 지금까지 기업들은 동의, 이익 형량 테스트, 연구 면제 등 다양한 법적 논리를 짜맞춰 대규모 데이터셋 수집과 처리를 정당화해왔습니다.

제88조c는 빅테크가 수년간 주장해온 바를 법률로 명문화합니다. AI 모델 개발 자체가 특정 조건 하에서 개인 데이터 보호 권리를 넘어설 수 있는 적법한 이익이라는 것입니다. 이 조항은 훈련 후 익명화 요건, 데이터 최소화 의무, 투명성 공시 의무 등의 안전장치를 도입하지만, 비평가들은 이러한 가드레일에 상당한 허점이 있다고 지적합니다.

이미 2025년 5월 아일랜드 데이터 보호위원회(DPC)가 Meta의 유럽 사용자 데이터를 활용한 LLM 훈련 계획을 옵트아웃 메커니즘을 주요 안전장치로 승인한 선례가 있었습니다. 제88조c는 본질적으로 이 접근 방식을 EU 전역으로 법제화하고 확대하는 것입니다.

2. 좁아진 개인정보 정의: 가명 데이터의 보호막이 사라진다

기술적으로 가장 미묘하지만 가장 광범위한 영향을 미칠 변화는 GDPR 상 “개인정보”의 정의를 좁히는 안입니다. 현재 해시된 이메일 주소, 기기 ID, 쿠키 식별자 같은 가명 식별자는 추가 정보와 결합하면 개인을 식별할 수 있기 때문에 개인정보로 분류됩니다. 디지털 옴니버스는 재식별에 “비례하지 않는 노력”이 필요한 수준으로 가명화된 데이터를 아예 GDPR 적용 범위에서 제외하자고 제안합니다.

TechPolicy.Press의 보도에 따르면, 이는 현재 GDPR의 적용을 받는 방대한 양의 데이터에서 보호를 제거하는 효과를 가져옵니다. AI 기업 입장에서는 가명 식별자가 포함된 훈련 데이터셋을 GDPR 의무 없이 처리할 수 있게 됩니다. 동의도 필요 없고, 정보주체 권리도 없으며, 침해 통지 의무도 없는 것입니다.

EDPB와 EDPS는 이를 핵심 우려 사항으로 명시적으로 지적하며, “비례하지 않는 노력” 기준이 모호하여 명백한 개인정보를 비개인정보로 재분류하는 데 악용될 수 있다고 경고했습니다.

3. AI Act 시행 유예: 고위험 시스템 기한이 2027년 12월로 밀린다

AI Act의 고위험 시스템 요건은 원래 2026년 8월 2일부터 적용될 예정이었습니다. 디지털 옴니버스는 이 기한이 2027년 12월로 연기될 수 있음을 시사합니다. 16개월의 연장입니다. 최근 업계 분석에 따르면, GDPR과 AI Act의 이중 준수 부담 때문에 많은 기업이 위험 평가, 투명성, 인간 감독에 관한 중복되면서도 불일치하는 요건을 조율하는 데 어려움을 겪고 있습니다.

전략적으로 이 유예는 더 깊은 긴장을 드러냅니다. 유럽은 포괄적 AI 규제에서 선두를 차지하려 서둘렀습니다. 그러나 미국이 2025년 12월 행정명령으로 주 차원의 AI 법률에 도전하는 규제 완화 기조를 보이고, 중국이 자체 AI 거버넌스 프레임워크를 조용히 구축하는 상황에서, 집행위원회는 재조정에 나선 것으로 보입니다. 프라이버시 옹호론자들의 우려는 “유예”가 “약화”의 다른 말이 될 수 있다는 것입니다.

4. 새로운 옵트아웃 권리 — 실효성에 의문부호

디지털 옴니버스는 AI 훈련에 사용되는 데이터에 대한 새로운 옵트아웃 메커니즘을 도입합니다. 표면적으로는 합리적인 타협처럼 보입니다. 하지만 EDPB의 2026년 2월 11일 공동 의견이 정확히 지적했듯이, 이미 인터넷에서 스크래핑된 데이터에 대해서는 옵트아웃 메커니즘이 근본적으로 작동하지 않습니다.

그 역학을 생각해보십시오. 기업이 여러분의 블로그 글, SNS 댓글, 포럼 게시물을 이미 훈련 데이터셋에 수집했다면, 사후에 어떻게 옵트아웃을 할 수 있겠습니까? 데이터는 이미 처리되었습니다. 모델 가중치는 이미 영향을 받았습니다. 원본 데이터를 삭제하더라도 그로부터 추출된 패턴은 모델 내에 존속합니다. 유럽 데이터 보호법을 형성해온 프라이버시 활동가 Max Schrems는 이러한 접근 방식을 “브뤼셀의 트럼프식 입법”이라고 비판했습니다. 권리의 외양만 제공하면서 실질적으로 집행 불가능하게 만드는 방식이라는 것입니다.

신설 제안된 제9조 제2항 (k)호는 또 다른 복잡성을 추가합니다. 건강 정보, 생체 정보, 정치적 견해 등 특수 범주 데이터를 “적절한 안전장치”를 조건으로 AI 훈련 목적의 처리에 면제하는 조항입니다. 비평가들은 이것이 GDPR의 가장 강력한 보호 장치 중 하나에 백도어를 만드는 것과 다름없다고 주장합니다.

5. EDPB·EDPS의 반격: 규제 기관이 경보를 울리다

가장 중요한 제도적 대응은 2026년 2월 11일 EDPB와 EDPS가 디지털 옴니버스의 여러 핵심 제안을 사실상 거부하는 공동 의견을 발표한 것입니다. 규제 기관들은 완곡하게 말하지 않았습니다. 개인정보 정의 축소는 “시기상조이며 잠재적으로 해로우며,” 옵트아웃 메커니즘은 “이미 정보가 수집된 정보주체에게 불충분하고,” AI 훈련을 위한 적법한 이익 근거에는 “적절한 안전장치가 결여”되어 있다고 밝혔습니다.

이 반발이 의미 있는 이유는 EDPB와 EDPS가 외부 기관이 아니기 때문입니다. EU 자체의 데이터 보호 당국입니다. 이들의 반대는 EU 거버넌스 프레임워크 내에서 진정한 헌법적 긴장을 만들어냅니다. 집행위원회는 본질적으로 데이터 권리 보호를 위해 특별히 설립된 기관들의 전문적 판단을 입법부가 무시하라고 요구하는 셈입니다.

우리 조직에 미치는 영향

디지털 옴니버스는 아직 제안 단계이지 법률이 아닙니다. 그러나 방향은 명확합니다. 유럽 정책 입안자들은 일부 프라이버시 보호를 약화시키더라도 GDPR을 AI 친화적으로 만들려 하고 있습니다. 기업들은 AI 훈련에 더 넓은 법적 커버를 제공하면서도 집행 벌금은 여전히 최대 3,500만 유로 또는 글로벌 매출의 7% 중 높은 금액으로 엄격하게 유지되는 규제 환경에 대비해야 합니다.

한편 글로벌 규제 지형은 더욱 분열되고 있습니다. 캘리포니아의 SB 243 AI 챗봇 규정이 2026년 1월 발효되었고, 연방 정부가 주법 선점을 추진하는 가운데 여러 미국 주가 독자적인 프레임워크를 추구하고 있습니다. 여러 관할권에서 운영하는 기업들은 점점 더 복잡해지는 준수 퍼즐에 직면합니다.

지금 가장 현명한 접근법은 적용 가능한 가장 엄격한 기준으로 AI 거버넌스 프레임워크를 구축하고, 디지털 옴니버스의 입법 과정을 면밀히 모니터링하며, 최종 규칙이 확정되면 빠르게 적응할 수 있도록 데이터 처리 문서를 준비해두는 것입니다. 2026년 8월 기한이 유지되든 2027년으로 밀리든, 준수 체계를 미리 갖춘 기업이 막판에 허둥대는 기업보다 훨씬 유리한 경쟁적 위치에 서게 됩니다.