AI 기본법 제35조의 기본권 영향평가는 고영향 인공지능을 이용한 제품 또는 서비스가 사람의 기본권에 어떤 영향을 미칠 수 있는지 사전에 살펴보는 절차입니다. 법 문언상 사업자는 고영향 인공지능을 이용한 제품 또는 서비스를 제공하는 경우 사람의 기본권에 미치는 영향을 평가하기 위하여 노력하여야 합니다. 따라서 제35조는 강행적 결과 의무라기보다 사전 평가를 하도록 하는 노력의무로 설명하는 것이 안전합니다.
다만 실무상 중요성은 작지 않습니다. 국가기관 등이 고영향 AI 제품·서비스를 이용하려는 경우에는 영향평가를 실시한 제품 또는 서비스를 우선적으로 고려해야 하므로, 공공기관 납품이나 공공서비스 연계 사업에서는 영향평가 여부가 경쟁력과 리스크 관리의 기준이 될 수 있습니다.
영향평가는 보고서 한 장이 아니라 위험을 식별하고 줄이는 과정입니다
기본권 영향평가는 고영향 AI가 사람에게 어떤 불이익을 줄 수 있는지 미리 보는 절차입니다. 여기서 기본권은 추상적인 표현이 아닙니다. 생명·신체의 안전, 개인정보, 평등권, 직업 선택의 자유, 교육권, 재산권, 인간의 존엄성과 같은 권리가 실제 서비스 안에서 어떻게 침해될 수 있는지 따져야 합니다.
채용 AI라면 지원자가 불합리하게 배제될 위험이 있는지, 대출심사 AI라면 특정 집단이 차별적으로 낮은 평가를 받을 위험이 있는지, 학생평가 AI라면 평가 오류가 진학이나 학습 기회에 영향을 줄 위험이 있는지 보아야 합니다.
이 평가는 기술팀만의 작업도 아니고 법무팀만의 작업도 아닙니다. 모델 작동 방식, 데이터, 서비스 운영, 이용자 고지, 이의제기 절차, 피해 발생 시 대응이 모두 연결됩니다.
시행령상 영향평가 항목은 단계별로 정리해야 합니다
시행령 제28조 관련 자료는 영향평가에 포함될 사항을 구체화합니다. 주요 항목은 영향을 받을 가능성이 있는 개인이나 집단의 식별, 영향을 받을 수 있는 기본권 유형의 식별, 사회적·경제적 영향의 내용과 범위, 고영향 AI의 사용 행태, 정량적·정성적 평가지표와 결과산출 방식, 위험의 예방·완화·손실 복구, 개선이 필요한 경우 이행계획 등입니다.
실무에서는 "누구에게 영향을 주는가", "어떤 권리가 문제 되는가", "어떤 위험이 생길 수 있는가", "위험의 크기와 빈도는 어느 정도인가", "어떻게 줄일 것인가", "운영 후 어떻게 확인할 것인가"의 순서로 정리하면 됩니다.
이렇게 정리하면 영향평가가 선언적 문서에 머물지 않고 실제 운영 가능한 관리체계가 됩니다.
먼저 영향받는 사람과 집단을 찾아야 합니다
기본권 침해 위험은 직접 이용자에게만 생기지 않습니다. 채용 AI의 직접 이용자는 기업 인사담당자일 수 있지만, 실제 영향을 받는 사람은 지원자입니다. 공공서비스 자격 확인 AI의 이용자는 행정기관일 수 있지만, 영향을 받는 사람은 수급 신청자입니다.
따라서 영향평가는 "누가 버튼을 누르는가"보다 "결과가 누구의 권리관계에 영향을 주는가"를 기준으로 해야 합니다. 직접 이용자, 평가 대상자, 간접 영향자, 취약계층을 구분해 정리해야 합니다.
이 단계가 부실하면 뒤의 위험 분석도 흔들립니다. 영향을 받는 집단을 좁게 잡으면 차별, 배제, 설명 부족, 이의제기 부재 같은 문제가 빠질 수 있습니다.
위협 요인과 통제 방안을 연결해야 합니다
영향평가 보고서에서 자주 생기는 문제는 위험을 나열만 하고 통제 방안과 연결하지 않는 것입니다. "편향 가능성이 있다"라고 쓰는 것만으로는 부족합니다. 어떤 데이터에서 편향이 생길 수 있는지, 어떤 집단에 불이익이 갈 수 있는지, 어떤 지표로 확인할지, 발견되면 어떤 조치를 할지까지 이어져야 합니다.
예를 들어 채용 AI라면 성별·연령·학교·경력 공백에 따른 불합리한 차이를 테스트해야 합니다. 대출 AI라면 소득, 직업, 거주지역, 기존 금융 이력에 따른 차별적 결과가 생기는지 확인해야 합니다. 학생평가 AI라면 학습환경이나 장애 여부가 평가 결과에 부당하게 반영되지 않는지 보아야 합니다.
통제 방안은 기술적 조치와 절차적 조치를 함께 둬야 합니다. 모델 재학습, 데이터 정제, 임계값 조정 같은 기술 조치뿐 아니라 사람의 재검토, 이의제기 절차, 결과 설명, 피해 회복 절차도 포함되어야 합니다.
2026년 7월 21일부터는 취약계층 특성 반영도 함께 보아야 합니다
2026년 1월 20일 일부개정된 AI 기본법은 제35조 제1항 후단을 신설했습니다. 이 후단은 영향평가에 고영향 인공지능을 이용한 제품 또는 서비스의 성격을 고려하여 인공지능취약계층의 특성이 반영될 수 있도록 해야 한다는 내용을 담고 있습니다. 해당 후단 개정규정은 공포 후 6개월이 경과한 날부터 시행되므로, 2026년 7월 21일부터 적용되는 내용으로 보아야 합니다.
따라서 공공서비스, 교육, 채용, 대출심사처럼 장애인·고령자 등 취약계층 영향이 문제 될 수 있는 서비스는 발행 시점과 운영 시점에 맞춰 이 부분까지 반영해야 합니다. 단순히 평균 이용자를 기준으로 위험을 평가하는 방식은 7월 이후에는 부족하다고 평가될 수 있습니다.
변경이 있으면 다시 평가해야 합니다
AI 서비스는 출시 후에도 계속 변합니다. 모델이 업데이트되고, 학습데이터가 바뀌고, 이용자군이 넓어지고, 고객사가 다른 방식으로 활용할 수 있습니다. 처음에는 단순 보조 도구였던 AI가 나중에는 사실상 결정 도구가 되는 경우도 있습니다.
따라서 영향평가는 최초 출시 전 한 번으로 끝내면 안 됩니다. 기능 변경, 적용 영역 확대, 자동화 수준 증가, 데이터셋 변경, 외부 고객사의 사용 목적 변경이 있을 때 재평가 기준을 마련해야 합니다.
특히 고영향 여부 자체가 사후에 달라질 수 있습니다. 처음에는 일반 AI였더라도 공공서비스 자격 확인이나 채용평가에 연결되면 고영향 검토가 필요할 수 있습니다.
제34조 책무와 영향평가는 따로 움직이지 않습니다
제34조의 위험관리방안, 설명 방안, 이용자 보호 방안, 사람의 관리·감독, 문서 작성·보관은 제35조 영향평가와 연결됩니다. 영향평가에서 발견한 위험은 제34조의 위험관리방안에 반영되어야 하고, 이용자에게 설명이 필요한 부분은 설명 방안과 이용자 보호 절차로 이어져야 합니다.
즉 영향평가는 별도 보고서가 아니라 제34조 책무를 구체화하는 도구입니다. 평가 결과를 통해 위험관리체계를 고치고, 운영 문서를 업데이트하고, 이용자 보호 절차를 보완해야 합니다.
자주 묻는 질문
기본권 영향평가는 의무인가요, 권고인가요?
법 제35조 문언은 "평가하기 위하여 노력하여야 한다"입니다. 강행적 결과 의무라기보다 노력의무로 보는 것이 안전합니다. 다만 공공기관 이용 제품에서는 영향평가 실시 여부가 중요한 평가 요소가 될 수 있습니다.
영향평가는 외부기관에 맡길 수 있나요?
시행령은 직접 또는 제3자에게 의뢰하여 영향평가를 실시할 수 있도록 정합니다. 다만 외부 수행을 하더라도 사업자가 서비스 내용과 위험을 이해하고 관리해야 합니다.
영향평가 결과를 공개해야 하나요?
제35조 자체가 모든 결과 공개를 일률적으로 요구한다고 보기는 어렵습니다. 다만 공공기관 납품, 이용자 신뢰, 감독기관 대응을 고려하면 공개용 요약본과 내부 상세본을 나누어 준비하는 것이 좋습니다.
고영향 AI가 아니면 영향평가가 필요 없나요?
법 제35조는 고영향 AI를 전제로 하지만, 기본권 침해 가능성이 큰 일반 AI도 자율적 위험평가를 해두면 분쟁 예방에 도움이 됩니다.
변경이 있으면 다시 평가해야 하나요?
기능, 데이터, 사용 영역, 자동화 수준, 이용자군이 바뀌면 재평가가 필요할 수 있습니다. 특히 채용, 대출, 공공서비스, 교육처럼 권리관계에 영향을 주는 영역으로 확장되면 다시 검토해야 합니다.
작성: 조국환 변호사팀 | AUCTORITAS LAB