「AI·데이터 행정법」과 「AI 기본법」의 교차점

1. 들어가며

인공지능(AI)에 대한 정책 방향과 지원 근거 및 규제를 담고 있는 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(이하 「AI 기본법」)이 2026년 1월 22일 전면 시행됐다.¹ 우리가 일정 부분 참조한 EU의 인공지능법² 이 당초 입법과는 달리 생체인식, 중요 기반시설, 교육, 고용 등 특정 영역 고위험 AI 시스템에 대한 시행을 2027년 12월로, 의료기기와 같은 특정 제품에 통합된 AI시스템에 대한 시행 또한 2028년 8월로 연기될 것에 비춰 본다면, 우리나라의 「AI 기본법」 전 세계 최초 시행이라고 할 수 있다.³)

인공지능 규범은 독립적인 규제가 아니라, 기존의 법률 체계와 복잡하게 상호작용할 수밖에 없다.⁴ 예를 들어, EU 인공지능법과 기계 규정(MR)⁵ 모두 인간의 감독을 요구하지만, 세부 사항에서는 차이가 있다. 또한 의사결정 데이터 기록 및 보존과 관련해서도 상충하는 규정이 존재한다. MR은 “안전 관련 의사 결정 과정”에 대한 데이터 기록을 “활성화할 수 있도록” 요구하는 반면, EU 인공지능법은 고위험 AI 시스템이 시스템의 전체 수명 동안 “이벤트” 로그를 자동으로 기록할 것을 요구한다. 이러한 불일치는 기업이 두 규정을 동시에 준수하는 데 있어 실질적인 어려움을 초래하며, 이중 규제 부담을 야기할 가능성이 크다.⁶

한국의 「AI 기본법」은 이러한 점을 고려해 다른 법률과의 관계에 있어서 “인공지능, 인공지능기술, 인공지능산업 및 인공지능사회에 관하여 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다”고 규정하고 있으며, “인공지능등에 관하여 다른 법률을 제정하거나 개정하는 경우에는 이 법의 목적에 부합하도록 하여야 한다”고 규정해 다른 법률과의 정합성을 고려하고 있다(제5조). 그러나 ‘고영향’이라는 기준이 범용적으로 적용되다 보니, 의료법(복지부), 금융소비자보호법(금융위) 등 기존 산업별 규제와 충돌할 가능성이 크다. 일례로 AI 기반 의료기기(예: 진단 보조 SW)는 ‘고영향 인공지능’에 해당될 수 있으나 AI 의료기기는 이미 「의료기기법」 및 최근 제정된 「디지털의료제품법」에 따라 임상시험, 제조 및 품질관리 기준, 품목 허가 등 엄격한 수준의 규제를 받고 있다. 의료 AI가 ‘고영향 인공지능’으로 지정될 경우, 기업은 식약처의 안전성·유효성 심사를 통과한 후에도 과학기술정보통신부(이하 “과기정통부”)가 관할하는 신뢰성 인증이나 적합성 평가를 별도로 받아야 할 수 있다. 이는 인허가 기간 지연, 비용 증가를 초래하여 국내 의료 AI 기업의 글로벌 경쟁력을 약화시킬 수 있다. 한국의 「AI 기본법」은 그나마 이러한 혼란을 시행령을 통해 해결하고자 했다. 동법 시행령에서 “법 제34조제3항에 따라 인공지능사업자가 같은 조 제1항에 따른 조치를 이행한 것으로 보는 경우는 별표 1과 같다”(령 제27조제5항)고 하여 개별법상의 의무조항과 조화를 꾀하고 있다. 즉 디지털의료기기, 자율자동차, 자율선박, 원자력, 금융의 영역에 대해 개별법에서 정하는 사항을 준수한 경우 인공지능사업자가 준수해야 하는 의무를 이행한 것으로 간주하는 규정을 두고 있다. 이렇게 시행령에서 타법과의 조화를 꾀했음에도 불구하고, 고영향 영역의 광범위성으로 인해 여전히 타법과의 모호함이 존재한다.

이러한 가운데 최근 행정영역의 인공지능 활용을 직접적으로 규율하는 법이 마련됐다. 「데이터기반행정 활성화에 관한 법률」이 「인공지능 및 데이터 기반 행정 활성화에 관한 법률」(이하 「AI·데이터 행정법」)로 개정돼 시행을 앞두고 있다.⁷

두 법은 모두 ‘인공지능’을 다루고 있으나, 그 적용 대상, 주무 부처, 그리고 입법 목적이 다르다. 「AI 기본법」이 국가 전체의 AI 산업 발전과 규율을 다루는 기본법이라면, 「AI·데이터 행정법」은 공공행정 영역에 AI를 어떻게 도입하고 활용할 것인가에 집중한 특별법·작용법이라고 할 수 있다. 「AI·데이터 행정법」에서 「AI 기본법」의 정의와 원칙을 인용하는 등 두 법은 상호 보완적으로 만들어 졌지만, 실제 시행과정에서는 부처 간 관할권, 규제의 강도, 행정 절차 면에서 모호하거나 중복·충돌할 소지가 있다. 이하에서는 「AI·데이터 행정법」의 주요 내용 및 향후 공공부문 시행과제를 검토한다.

2.「AI·데이터 행정법」의 주요 내용

「AI·데이터 행정법」의 주요 내용은 크게 정책 추진 체계, 인공지능·데이터 기반 행정 기반 구축, 인공지능 활용 촉진 및 신뢰 기반 확보 등으로 구성돼 있다. “공공기관이 인공지능을 활용하는 방법으로 정책수립 및 의사결정을 효율적이고 과학적으로 수행하는 행정”을 “인공지능기반행정”으로 정의하고(제2조제3호), 이를 위한 공통기반의 구축(제27조), 인공지능 활용 역량 강화(제28조), 학습용데이터의 관리(제29조), 인공지능 활용 서비스 목록 관리(제30조) 등을 규정하고 있다. 특히 “공공기관이 제공하는 인공지능을 활용한 서비스의 유형·목적·데이터 등 현황을 행정안전부장관에게 제출하고, 행정안전부장관은 이를 공표”하도록 규정하여 공공부문의 인공지능 활용 서비스에 대한 총괄 역할을 행정안전부에게 부여하고 있다. 주요 내용은 다음 [그림 1]과 같다.

• 

「AI 기본법」과 「AI·데이터 행정법」은 법적 성격, 주무 부처, 적용 대상이 다른 것 같지만 「AI 기본법」의 규제대상인 고영향 인공지능 대부분은 공공기관이 수행하는 업무에 해당되므로 정부가 직접 개발하지 않는 한 공공기관 등이 AI 제품·서비스를 구매하기 위한 조달, 개발과정에서 동일 유사한 문제에 봉착하게 된다. 일례로 한국의 공립학교에서 학생평가를 위해 엔트로픽(또는 구글)등 해외 범용 AI모델을 사용하여, 국내 AI사업자에게 AI학생평가지원시스템 구축을 의뢰한 경우를 생각해 볼 수 있다. 이 경우 “원천 모델 제공자(엔트로픽·구글) → 서비스 커스터마이징 및 중개하는 이용 사업자(국내사업자)→ 도입·운용 주체(공립학교 및 교육청)”의 3단계 구조에서 실제 “고영향 AI사업자”로서 의무를 부담하는 주체가 누구인가는 여전히 모호하다.

[표 1] 「AI 기본법」과 「AI·데이터 행정법」의 비교

3.「AI·데이터 행정법」과 「AI 기본법」간 정합적 시행과제

가. 인공지능 영향평가

두 법 모두 AI 도입 시 국민의 기본권에 미치는 영향을 평가하는 ‘AI 영향평가’ 제도를 두고 있으나, 그 주체와 강제성이 다르다. 우선 「AI 기본법」은 인공지능 사업자가 고영향 AI 제품·서비스를 제공할 때 사전에 영향평가 실시를 위해 노력하도록 ‘권고’로 규정하고 있다(제35조). 반면 「AI·데이터 행정법」은 공공기관의 장이 AI를 도입하려는 경우, 사전에 영향평가를 실시하고 그 결과를 공표하도록 ‘의무’로 규정하고 있다(제32조). 양 규정의 조화를 위해 「AI·데이터 행정법」은 “AI 기본법에 따른 영향평가를 실시한 고영향 AI를 도입할 경우 공공분야 영향평가를 면제할 수 있도록” 규정하고 있다(제32조 제2항 제3호).

그러나 민간 기업의 입장에서 「AI 기본법」상 영향평가는 의무가 아니므로 굳이 영향평가를 수행하지 않을 수 있으나, 만약 영향평가를 하지 않은 민간 사업자의 AI를 공공기관이 구매하려 한다면, 공공기관이 직접 ‘공공분야 영향평가’를 수행해야 하는 부담을 지게 된다. 대부분의 고영향 인공지능 제품 서비스가 공공부문임을 고려할 때 「AI·데이터 행정법」은 「AI 기본법」의 재량적(권고적) 영향평가를 실질적 의무화로 변환시켰다고 볼 수 있다. 따라서 과기정통부 평가 기준과 행정안전부 평가 기준이 다를 경우, 정부 납품을 원하는 민간 AI 기업은 사실상 과기정통부 기준에 따른 영향평가를 수행했다 할지라도 행정안전부의 공공분야 평가 기준에 맞춰 시스템을 수정하거나 인증을 받아야 하는지 모호함이 존재한다. 따라서 실제 시행에 있어서는 양자의 기준이 모순되지 않도록 하는 방안이 검토돼야 할 것이다.

나. 공통기반 구축 및 예산 집행

「AI·데이터 행정법」은 행정안전부장관 및 과기정통부장관이 함께 “공공기관이 공동으로 이용하여 중복투자 없이 신속하고 안전하게 인공지능을 도입·활용할 수 있도록 지원하는 기반(이하 “공통기반”이라 한다)”을 구축·운영하도록 규정하고 있다(제27조). 또한 「AI 기본법」은 정부가 인공지능 데이터센터 구축 및 운영 지원시책을 추진하도록 규정하고 있다(제25조).⁸ 공공기관 전용 AI 공통기반(행안부·과기정통부 공동)과 국가 전반의 AI 데이터센터(과기정통부 주도) 구축에 있어 영역이 모호할 경우 예산 및 정책의 중복 가능성이 있다. 특히 「AI·데이터 행정법」 제27조는 두 장관이 ‘공동으로’ 구축·운영하도록 명시하고 있어, 실제 집행과 관련된 사안(예산 편성권, 운영 주체 결정 등)을 둘러싼 부처 간 갈등 소지가 다분하다. 이러한 사안에 대응할 수 있는 적절한 조정 방안이 마련돼야 할 것이다.

다. 데이터 관리 및 플랫폼의 분산

「AI·데이터 행정법」에 의하면 행정안전부장관은 공공기관이 데이터를 효율적으로 제공·연계 및 공동활용할수 있도록 ‘데이터통합관리 플랫폼’을 구축·운영하도록 규정하고 있다(제18조). 또한 「AI 기본법」 제15조는 과기정통부장관이 ‘학습용데이터 통합제공시스템’을 구축·관리하도록 규정하고 있다. 해당 조문만으로 본다면 행정안전부의 ‘데이터통합관리 플랫폼(공공행정용)’과 과기정통부의 ‘학습용데이터 통합제공시스템’이 별도로 운영될 가능성이 다분하다. 공공데이터를 학습용으로 전환해 민간에 개방하는 과정에서 어느 부처의 품질 기준과 플랫폼을 거쳐야 하는지 실무 부처 간 또는 활용 기업의 혼선이 유발되지 않도록 방안이 마련돼야 할 것이다.

라. ‘책임 소재’ 혼란 우려

「AI·데이터 행정법」은 공공기관이 AI를 의사결정에 활용할 때, 그 결정에 대한 최종적인 권한과 책임이 해당 공공기관에 있음을 명확히 하도록 규정하고 있다(제3조 제5항). 그러나 공공기관이 민간에서 개발한 ‘고영향 인공지능’을 도입하여 대국민 서비스(예: 복지수급자 결정)에 활용했다가 AI 환각이나 오류로 국민에게 중대한 피해가 발생할 경우 「AI·데이터 행정법」에 따라 공공기관이 1차 책임을 지지만, 민간 AI 사업자는 「AI 기본법」상의 안전성 확보 의무 위반 여부에 따라 책임을 지게 될 수 있다. 즉 사고 발생 시 공공기관의 ‘최종 책임’과 AI 개발자의 ‘시스템 결함 책임’을 나누는 기준이 실제 명확하지 않아, 향후 혼란이 있을 수 있다. 특히 「AI 기본법」상 “인공지능사업자”에는 인공지능산업과 관련된 사업을 하는 자로서 법인, 단체, 개인뿐만 아니라 국가기관등도 포함된다(제2조제7호).⁹ 「AI 기본법」은 고영향 인공지능 사업자, 즉 AI 시스템을 개발· 제공·이용하는 주체를 규제대상으로 설계한 것으로 보이나, 공공기관이 민간 사업자로부터 AI 시스템을 조달하여 행정에 활용하는 경우, 해당 공공기관의 법적 지위가 ‘이용사업자’인지 아니면 단순 ‘이용자’ 인지 불명확하다. 인공지능사업자는　개발사업자와　이용사업자로　분류될　수　있으며，제공 받아　이용하는　공공기관이　‘이용사업자’　또는　단순　‘이용자’일　경우　법적 의무의 내용이 달라지게 된다.

한편 민간 공급 사업자가 「AI 기본법」상 고영향 사업자로 고지의무를 이행했더라도, 실제 국민을 상대로 행정처분을 하는 주체는 공공기관이며, 고지의무의 이행과 행정처분 근거의 투명성은 별개의 문제다. 또한 국민이 AI 기반 행정결정에 대해 설명을 요구할 경우, 공공기관은 민간 사업자가 제공하는 정보에 의존할 수밖에 없는데, 해당 사업자가 영업비밀을 이유로 알고리즘 구조 공개를 거부한다면 실질적으로 국민의 설명요구권이 제대로 이행되기 어렵다. 따라서 국가계약법·지방계약법상 기술사양서 작성 시 AI 안전·신뢰성 요건을 어떻게 반영할지에 대한 고민이 필요하다. 또한 AI 공공조달 시 기술사양서에 반드시 포함돼야 할 AI 안전·신뢰성 요건을 명확히 할 필요가 있다. 더불어 입찰 평가 기준에 고영향 AI 여부, 편향 테스트 결과, 적합성 평가 이력 등을 포함시킬 근거도 검토돼야 할 것이다. 그리고 계약 이후 사후 모니터링 및 계약 해지 요건을 AI 안전성 기준과 연동하는 방안 등을 고려해야 할 것이다.

마. 기타

그밖에 과기정통부와 행정안전부가 동일한 민간 AI 사업자를 각각 감독할 경우 중복 조사·이중 제재 위험 존재한다. 역으로 “공공기관 AI이니 행안부 소관”이라는 해석과, “민간 사업자를 규율하는 것이니 과기정통부 소관”이라는 충돌 역시 우려된다. 또한 행정안전부, 보건복지부, 국토부 등 국가기관이 인공지능사업자에 해당될 경우 과연 과기정통부의 감독 기능 역시 실효성있게 집행될 수 있을지도 의문이다.

무엇보다도 공공데이터 처리와 관련된 문제가 중요하다. 공공 AI 조달 과정에서 학습 목적으로 공공기관 데이터를 제공받은 민간 사업자가 이를 자사의 상업적 모델 고도화에 활용하는 것을 허용할 것인지, 허용하지 않는다면 통제할 규범적 장치는 무엇인지에 대한 심도 있는 논의가 필요하다. 데이터를 학습한 후 이를 삭제하더라도, 데이터의 패턴은 모델 가중치 등 시스템 내부 성능에 통계적으로 내재화돼 잔존하게 된다. AI 시스템 구축 및 운영 과정에서 공공데이터의 민간 활용 한계와 권리 귀속 문제는 향후 주요한 법적 쟁점이 될 것이다.

4. 마무리

앞으로 AI의 공공조달은 실제 AI 산업의 성장을 견인하는 핵심적인 축으로 자리매김할 것이다. 공공 AI 조달의 세부적인 심사 및 안전성 기준이 어떻게 정립되는가에 따라, 그것이 곧 한국 AI 산업 전반의 표준이자 기술 기준으로 작용할 가능성이 크다. 따라서 공공부문의 선도적인 AI 활용을 촉진하고 체계적으로 지원한다는 점에서 「AI·데이터 행정법」의 제정은 매우 시의적절하며 중대한 의미를 지닌다.

다만, 공공영역에 적용되는 AI 시스템에 대한 조달 및 안전성 검증은 개별 부처의 지침이나 단일 법령만으로는 온전히 해결할 수 없으며, 「AI 기본법」이 지향하는 국가적 AI 거버넌스와의 긴밀한 조화 속에서 다뤄져야 한다. 앞서 살펴본 바와 같이, 영향평가 기준의 정합성, 데이터 플랫폼 및 공통기반 예산의 조화, 그리고 사고 발생 시 민·관의 책임 소재 등은 해결해야 할 과제들이다.

더불어 정부는 부처 간의 칸막이식 관할권 경쟁을 지양하고, 민간 AI 기업이 이중 규제의 부담 없이 공공 조달 시장에서 혁신을 주도할 수 있도록 제도적 정합성을 확보하는 데 주력해야 할 것이다. 이러한 기준과 절차는 정부의 일방적인 정책 하달 방식이 돼서는 안 되며, 산업계, 학계, 그리고 시민사회 등 다양한 이해관계자들의 의견을 폭넓고 투명하게 수렴해 형성돼야 한다. 「AI 기본법」과 「AI·데이터 행정법」이 상호 보완적으로 작동해, 국가적 AI 산업의 경쟁력 강화와 공공행정의 객관성 및 신뢰성 제고라는 두 가지 목표를 성공적으로 달성할 수 있기를 기대한다.

[참고문헌]

• 김현경, AI 규제 입법의 문제점에 대한 검토-EU AI Act와 한국의 AI기본법간 비교, 분석을 중심으로, 『성균관법학』 제37권 제1호(2025. 3.),

• European Parliament legislative resolution of 13 March 2024 on the proposal for a regulation of the European Parliament and of the Council on laying down harmonised rules on Artificial Intelligence (Artificial Intelligence Act) and amending certain Union Legislative Acts (COM(2021)0206 – C9-0146/2021 – 2021/0106(COD))

• EC, “Targeted consultation on the draft guidelines for the classification of high-risk artificial intelligence systems” https://digital-strategy.ec.europa.eu/en/consultations/targeted-consultation-draft-guidelines-classification-high-risk-artificial-intelligence-systems?utm_source=substack&utm_medium=email (2026.6.19.확인)

• Gerald Spindler, 「Algorithms, Credit Scoring, and the New Proposals of the EU for an AI Act and on a Consumer Credit Directive」, Law and Financial Markets Review, Vol. 15, 2021,

1. 시행 2026. 1. 22., 법률 제20676호, 2025. 1. 21., 제정 [본문으로]
2. European Parliament legislative resolution of 13 March 2024 on the proposal for a regulation of the European Parliament and of the Council on laying down harmonised rules on Artificial Intelligence (Artificial Intelligence Act) and amending certain Union Legislative Acts (COM(2021)0206 – C9-0146/2021 – 2021/0106(COD) [본문으로]
3. EC, “Targeted consultation on the draft guidelines for the classification of high-risk artificial intelligence systems” https://digital-strategy.ec.europa.eu/en/consultations/targeted-consultation-draft-guidelines-classification-high-risk-artificial-intelligence-systems?utm_source=substack&utm_medium=email (2026.6.19.확인 [본문으로]
4. EU에서도 EU 인공지능법과 기존 EU 법령 간 상충되거나 중복된 요구 사항으로 인해 비효율성이 발생하고, 규제 불확실성이 증가하며, 준수 비용이 상승할 것임을 보여준다. Gerald Spindler, 「Algorithms, Credit Scoring, and the New Proposals of the EU for an AI Act and on a Consumer Credit Directive」, Law and Financial Markets Review, Vol. 15, 2021, pp. 239-261. [본문으로]
5. Machinery Regulation, MR, Regulation (EU) 2023/1230 of the European Parliament and of the Council of 14 June 2023 on machinery and repealing Directive 2006/42/EC of the European Parliament and of the Council and Council Directive 73/361/EEC (OJ L 165, 2962023, 1–102. [본문으로]
6. 김현경, AI 규제 입법의 문제점에 대한 검토-EU AI Act와 한국의 AI기본법간 비교, 분석을 중심으로, 『성균관법학』 제37권 제1호(2025. 3.), pp. 106-107 [본문으로]
7. 법률 제21392호, 2026. 2. 27., 일부개정, 시행 2027. 2. 28. [본문으로]
8. 제25조(인공지능 데이터센터 관련 시책의 추진 등) ① 정부는 인공지능의 개발·활용 등에 이용되는 데이터센터(이하 “인공지능 데이터센터”라 한다)의 구축 및 운영을 활성화하기 위하여 필요한 시책을 추진하여야 한다. [본문으로]

9. 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

   7. “인공지능사업자”란 인공지능산업과 관련된 사업을 하는 자로서 다음 각 목의 어느 하나에 해당하는 법인, 단체, 개인 및 국가기관등을 말한다.(밑줄은 저자가 임의로 강조한 것임)

   [본문으로]