EU AI Act와 2026년 쿠키 동의: 프로파일링, 추천 시스템, 타겟 광고가 새로운 규제 체계에서 차지하는 위치
EU AI Act(규정 2024/1689)는 2024년 8월에 발효되었으며, 조항들은 수년에 걸친 단계적 일정으로 시행됩니다. 금지 관행 규정은 2025년 2월에 발효되었고, 범용 AI 의무는 2025년 8월에 발효되었으며, 고위험 시스템 의무의 대부분은 2026년부터 2027년에 걸쳐 시행됩니다. 2026년이 시작되면서 AI Act는 더 이상 미래의 문제가 아니라, EU 사용자를 프로파일링, 점수화, 또는 순위화하는 데 AI를 사용하는 모든 시스템에 대해 GDPR 위에 중첩되는 운영 규정입니다. 추천 시스템을 운영하는 출판사, 개인화 엔진을 운영하는 광고주, 자동화된 오디언스 점수화를 운영하는 광고 기술 벤더에게 AI Act는 GDPR만으로는 다루지 못했던 새로운 규정 준수 차원을 추가합니다. 즉, 사용자가 데이터 처리에 동의했는지 여부뿐 아니라, AI 시스템 자체가 법의 설계, 투명성, 감독 및 책임 요건을 충족하는지 여부입니다. 이 가이드는 AI Act의 구조, 쿠키 동의 및 GDPR 프로파일링 규정과의 교차점, 2026년 의무의 실제 내용, 그리고 출판사와 광고주가 GDPR과 AI Act를 결합한 규정 준수 영역을 어떻게 생각해야 하는지를 안내합니다.
2026년 AI Act의 구조
AI Act는 세계 최초의 포괄적인 수평적 인공지능 규정입니다. 위험 등급별 구조가 어떤 의무가 어떤 시스템에 적용되는지 이해하는 핵심입니다.
위험 등급
AI Act는 AI 시스템을 위험 수준에 따라 네 가지 등급으로 분류합니다:
- 금지 시스템 — 잠재의식 조작 기술, 취약점 악용, 공공 기관의 소셜 스코어링, 특정 형태의 생체 분류 및 감정 인식을 포함하여 전면 금지된 관행
- 고위험 시스템 — 지정된 고위험 맥락에서 사용되는 시스템으로, 위험 관리, 데이터 거버넌스, 투명성, 인간 감독 및 정확성 요건 등 법의 실질적 의무 대부분이 적용됨
- 제한적 위험 시스템 — AI 기반 콘텐츠 추천 시스템 및 사용자와 직접 상호작용하는 챗봇을 포함하여 특정 투명성 의무가 있는 시스템
- 최소 위험 시스템 — 일반적인 자발적 행동 강령에만 적용되는 그 외의 모든 시스템
광고 및 추천 시스템의 위치
광고 관련 AI의 대부분 — 오디언스 점수화, 프로그래매틱 입찰 최적화, 콘텐츠 추천 시스템, 개인화 엔진 — 은 고위험 등급이 아닌 제한적 위험 등급에 해당합니다. 이는 안도할 만한 것처럼 들리지만, 제한적 위험 등급에도 여전히 의미 있는 투명성 의무가 따르며, 몇 가지 예외적인 경우에는 특정 시스템이 더 높은 등급으로 분류됩니다. 결정적으로, 금지 관행 규정은 광고 시스템이 조작이나 착취 영역에 들어갈 경우 적용될 수 있으며, EDPB는 이러한 조항을 광범위하게 해석할 의지를 표명했습니다.
단계적 시행
2026년 일정은 중요합니다. 신규 시스템에 대한 고위험 의무는 2026년 8월에 발효되고, 이미 시장에 출시된 시스템에 대한 고위험 의무는 2027년에 발효되며, 범용 AI 제공자 의무는 이미 시행 중입니다. 출판사와 광고주는 어떤 의무가 언제 적용되는지 파악하기 위해 AI 인벤토리를 이 일정에 맞게 매핑해야 합니다.
AI Act가 GDPR 위에 중첩되는 방식
AI Act는 GDPR을 대체하지 않습니다. GDPR 위에 중첩됩니다. AI 기반 출력을 생성하기 위해 개인 데이터를 처리하는 시스템은 두 규정 모두를 충족해야 하며, 의무는 대안적이 아닌 누적적입니다.
GDPR 레이어
GDPR은 계속해서 개인 데이터 처리의 합법성을 규율합니다. 광고 프로파일링에 대한 동의, 측정을 위한 합법적 근거, 정보 주체 권리 집합, 국경 간 이전 의무 — 이 모든 것은 변경 없이 계속 적용됩니다.
AI Act 레이어
GDPR 위에 AI Act는 AI 시스템 자체에 관한 의무를 추가합니다. 즉, 훈련 방법, 훈련에 사용된 데이터, 출력 문서화 방법, 존재하는 감독 메커니즘, 사용자가 받는 투명성 등입니다. 이러한 의무는 기저 데이터 처리가 동의 기반, 계약 기반, 또는 다른 합법적 근거에 관계없이 AI 시스템에 부착됩니다.
실질적 의미
개인 데이터를 기반으로 콘텐츠 추천 시스템을 운영하는 출판사는 데이터 처리에 대한 유효한 GDPR 합법적 근거와 AI Act에 따른 규정 준수 투명성 공개 모두가 필요합니다. 둘 중 하나만으로는 부족합니다. 규정 준수 영역은 이제 진정으로 이차원적이며, 문서화 체인은 두 축 모두를 포괄해야 합니다.
금지 관행과 광고
AI Act의 금지 관행 목록은 짧지만 중요하며, 여러 항목이 광고 설계에 영향을 미칩니다.
조작 기술
AI Act는 잠재의식 기술, 조작 관행을 사용하거나 특정 그룹의 취약점을 악용하여 상당한 피해를 초래할 가능성이 있는 AI 시스템을 금지합니다. 대부분의 광고 설계는 이 선에 근접하지 않지만, AI 기반 프로파일링을 사용하여 확인된 취약점(재정적 어려움, 정신 건강 상태, 중독 패턴)을 타겟팅하는 광고는 이를 위반할 수 있습니다. EDPB는 초기 지침에서 이를 표명했습니다.
생체 분류
AI Act는 인종, 정치적 견해, 노동조합 가입, 종교적 신념, 성생활 또는 성적 지향과 같은 민감한 속성을 추론하는 생체 분류를 금지합니다. 이러한 속성을 추론하는 생체 데이터로 구축된 오디언스 세그먼트는 이제 금지 영역에 있습니다.
특정 맥락에서의 감정 인식
감정 인식은 직장 및 교육 맥락에서 금지됩니다. 해당 맥락 외의 광고 감정 감지 사용 사례는 여전히 허용될 수 있지만 강화된 scrutiny에 직면합니다.
제한적 위험 투명성 의무
이것이 2026년 출판사 및 광고주 AI Act 규정 준수 작업의 대부분이 위치하는 곳입니다.
추천 시스템 공개
사용자가 보는 것을 개인화하는 콘텐츠 추천 시스템 — 출판사 홈페이지, 인앱 피드, 또는 프로그래매틱 광고 배치 — 은 제한적 위험 등급에 해당합니다. 사용자는 AI 시스템과 상호작용하고 있다는 것을 알려야 하며, 시스템은 상호작용의 AI 특성이 명확하도록 설계되어야 합니다.
챗봇 공개
대화 형식으로 사용자와 직접 상호작용하는 모든 AI 시스템은 AI 특성을 공개해야 합니다. 고객 지원, 콘텐츠 탐색 또는 기타 목적으로 AI 채팅 인터페이스를 운영하는 출판사와 광고주는 이 기본 요건을 충족해야 합니다.
합성 콘텐츠 공개
AI가 생성한 이미지, 오디오, 비디오 및 텍스트 콘텐츠는 그렇게 표시되어야 합니다. 편집 콘텐츠, 광고 크리에이티브 또는 제품 이미지에 AI 생성 시각물이나 텍스트를 사용하는 출판사는 표시 의무를 적용해야 합니다. 2026년 시행 지침은 시각적 콘텐츠용 워터마크 표준을 포함한 표시의 기술 사양을 명확히 했습니다.
2026년 결합된 동의 영역
CMP와 개인정보 보호 고지는 이제 두 규정 모두를 위해 역할을 해야 합니다. 2026년 출판사 CMP는 2024년 이전 버전보다 의미 있게 더 정교합니다.
세분화된 동의 목적
CMP는 일반 광고, 광고를 위한 프로파일링, 자동화된 의사 결정, 추천 시스템 개인화를 구별하는 동의 목적을 제공합니다. 각각은 특정 AI Act 및 GDPR 경계에 매핑되며, 각각은 별도의 명시적 동의가 필요합니다.
AI 시스템 공개
개인정보 보호 고지 또는 동반 AI 공개 문서는 사용 중인 AI 시스템, 그 목적, 입력 데이터 범주, 출력의 광범위한 논리, 그리고 시행 중인 인간 감독 메커니즘을 설명합니다. 이는 GDPR 제22조 자동화 결정 공개보다 더 많은 것으로 — 더 완전한 AI 투명성 스토리입니다.
이의제기권
프로파일링에 대한 GDPR의 이의제기권은 계속 적용되며, AI Act는 AI 기반 추천 시스템 개인화에 관한 추가 사용자 권리를 추가합니다. 사용자는 기본 서비스에 대한 액세스를 잃지 않고 추천 시스템 개인화를 거부할 수 있으며, 거부 방법은 동의 방법만큼 쉬워야 합니다.
2026년에 효과적인 운영 패턴
성숙한 2026년 프로그램을 운영하는 출판사와 광고주는 몇 가지 운영 패턴으로 수렴하고 있습니다.
AI 인벤토리
출판사 또는 광고주 스택 전반에서 사용 중인 모든 AI 시스템의 실시간 인벤토리를 유지하세요. 시스템, AI Act에 따른 위험 등급, 처리하는 개인 데이터, GDPR에 따른 합법적 근거, 적용된 투명성 공개, 시행 중인 인간 감독 등을 포함합니다. 이것은 기본 규정 준수 산출물이며 규제 당국이 가장 먼저 확인하고자 할 것입니다.
결합된 개인정보 보호 고지
오디언스에 적합한 언어 — 포르투갈어, 독일어, 프랑스어 또는 다른 언어 — 로 된 단일 결합 개인정보 보호 및 AI 투명성 고지는 일관된 내러티브로 GDPR과 AI Act 의무 모두를 다룹니다. 두 개의 별도 공개를 유지하려고 하면 모순과 독자 혼란이 발생합니다.
벤더 AI 감사
출판사를 대신하여 AI 기반 출력을 처리하는 모든 광고 또는 분석 벤더에 대해, 계약은 AI Act 의무 배분, 기술 문서 접근, 및 사고 통지를 다루어야 합니다. 2023년의 표준 데이터 처리 계약은 AI Act를 다루지 않으므로 갱신이 필요합니다.
처벌 및 집행 자세
AI Act는 GDPR의 최대 과징금을 초과할 수 있는 행정 과징금이 포함된 단계적 처벌 체계를 도입합니다.
처벌 등급
- 금지 관행 위반에 대해 EUR 3,500만 또는 전 세계 연간 매출의 7% 이하
- 대부분의 다른 실질적 위반에 대해 EUR 1,500만 또는 3% 이하
- 부정확한 정보 제공에 대해 EUR 750만 또는 1% 이하
집행 구조
각 회원국은 AI Act 집행을 위한 국가 관할 당국을 지정하며, 유럽 AI 사무소는 범용 AI 모델의 감독을 조율합니다. 출판사와 광고주에 대한 집행은 주로 국가 당국을 통해 이루어지며, 종종 기존 데이터 보호 당국과 긴밀히 협력합니다. 첫 번째 중요한 AI Act 집행 조치는 고위험 의무가 완전히 시행되는 2026년을 통해 예상됩니다.
2026년 AI 기반 광고 감사 체크리스트
- 위험 등급 분류와 함께 스택의 모든 AI 시스템에 대한 실시간 인벤토리
- 개인 데이터를 처리하는 모든 AI 시스템에 대해 GDPR 합법적 근거 문서화
- 추천 시스템 개인화 및 챗봇을 포함한 모든 제한적 위험 시스템에 AI Act 투명성 공개 적용
- AI 생성 크리에이티브, 이미지, 오디오 및 비디오에 합성 콘텐츠 표시 적용
- 관련 현지 언어로 된 결합 개인정보 보호 및 AI 투명성 고지
- CMP는 프로파일링, 자동화된 의사 결정, 추천 시스템 개인화를 별도로 동의 가능한 목적으로 제공
- 오디언스 세그먼트는 금지된 생체 분류 목록에 대해 검토됨
- 벤더 계약은 AI Act 의무 배분을 다루도록 업데이트됨
- 고위험 경계에 근접하는 시스템에 대한 인간 감독 메커니즘 문서화
- 정보 주체 및 AI Act 사용자 권리 워크플로는 적용 가능한 응답 기간 내에 거부, 설명 및 인간 검토 요청에 응답 가능
2026년 전망
AI Act는 GDPR을 대체하지 않으며 — GDPR 위에 중첩되고, 결합된 영역은 두 규정 각각보다 의미 있게 더 정교합니다. AI 기반 개인화, 프로파일링, 추천 시스템 또는 생성 콘텐츠를 운영하는 출판사와 광고주에게 2026년은 규정 준수 아키텍처가 순수한 GDPR 자세를 넘어 성숙해야 하는 해입니다. AI Act를 미래의 문제로 취급하는 사람들은 미래가 예상보다 빨리 도래함을 알게 될 것이며, 국가 당국은 2026년부터 2027년에 걸쳐 첫 번째 집행 조치를 내릴 것입니다. 처음부터 결합된 규정 준수를 구축하는 사람들은 아키텍처가 보상을 준다는 것을 알게 될 것입니다. AI Act의 투명성 의무는 잘 구현되면 GDPR 동의 및 신뢰 스토리를 강화하고, 실시간 AI 인벤토리를 유지하는 운영 규율은 규정 준수를 훨씬 넘어 유용한 것으로 판명됩니다.