EU AI Act: 조문을 읽기 전에 결정해야 할 자사의 역할(provider·deployer)과 시행 기한

이 기사는 EU AI Act의 대상 주체(provider·deployer 외)와 시행 기한을 구현·운용 관점에서 정리한 해설입니다. 조문의 축자역(逐語訳)이나 법적 조언을 목적으로 하는 것이 아닙니다. 정확한 요건에 대해서는 원문(끝부분의 출처)을 확인해 주십시오. 개별적인 대응 판단은 법무·전문가에게 상담하시기 바랍니다.

고위험(High-risk) AI 대응에서 가장 먼저 결정해야 할 것은 의무의 내용이 아니라, 자사의 위치입니다. 자사가 provider인지 deployer인지, 제25조에 따라 provider로 전환되는 행위를 하고 있지는 않은지, 고위험 해당 여부가 부속서 III(Annex III) 유형인지 부속서 I(Annex I) 유형인지. 여기서 살펴보아야 할 조문도, 적용 개시일도, 벌칙 산정 방식도 달라집니다. 조문 번호부터 읽기 시작하면 이러한 분기점을 건너뛰고 준비 범위와 기한을 착각하게 됩니다.

EU 시장에 AI 시스템이나 이를 포함한 제품을 출시한다면, 일본 기업이라도 역외 적용 대상이 될 수 있습니다. 부속서 III에 해당하는 고위험 AI는 2026년 8월 2일부터 의무가 본격적으로 적용됩니다. 이 기사는 개별 조항의 내용이 아니라, 그 이전에 자사가 어디에 해당하는지를 확인하기 위한 지도입니다.

역할에 따라 달라지는 의무

EU AI Act는 AI를 시장에 내놓는 측을 역할별로 나누어 각각에 의무를 할당합니다. 같은 시스템이라도 자사가 만들어 내놓는 측인지, 구매해서 사용하는 측인지에 따라 살펴봐야 할 조문이 달라집니다. 많은 독자에게 있어 분기점은 provider인지 deployer인지(양쪽 모두에 해당할 수도 있습니다)입니다.

provider(제공자·제16조)는 고위험 AI의 핵심 의무가 집중되는 역할입니다. 고위험 AI를 개발하여 자사 명의나 상표로 시장에 내놓는 측으로, 제9조부터 제15조의 실체적 요구사항(리스크 관리, 데이터 거버넌스, 기술 문서, 로그 보존, 투명성, 인간에 의한 감독, 정확성·견고성·사이버 보안)이 여기에 모여 있습니다. 조문의 구조로는 제16조 (a)가 제3장 제2절의 요구사항 준수를 요구하며, 제8조를 경유하여 이러한 개별 조항의 실체적 요구사항에 도달합니다. 이에 더해 적합성 평가, EU 데이터베이스 등록, 적합성 선언과 같은 절차도 제공자 측의 몫입니다. 지금까지 개별 기사에서 다루었던 구현상의 논점은 그 대부분이 제공자의 의무입니다.

deployer(데플로이어·제26조)는 고위험 AI를 자사의 관리하에 업무에 사용하는 측입니다. 의무의 중심은 제공처의 사용 설명에 따라 사용하는 것, 인간에 의한 감독을 필요한 능력과 권한을 가진 담당자에게 할당하는 것, 관리하에 있는 입력 데이터가 용도에 비추어 적절한 것, 운용 중의 리스크나 중대한 인시던트를 파악했을 경우 제공자나 관계 당국에 통지하는 것, 자동 생성 로그 중 자사 관리하에 있는 것을 원칙적으로 최소 6개월간 보존하는 것입니다.

이에 더해 일부 deployer에게는 기본권 영향 평가(FRIA·제27조)가 부과됩니다. 제26조만 보고 있으면 놓치기 쉬운 별도의 의무입니다. 대상은 부속서 III의 모든 용도가 아니라, 공공기관 등인지, 혹은 자연인의 신용도 평가나 생명·의료 보험의 리스크 평가와 같은 일부 고위험 용도를 사용하는지에 따라 결정되므로, provider 판정과는 분리하여 확인해야 합니다.

importer(수입자·제23조), distributor(유통자·제24조), authorised representative(역외 제공자의 대리인·제22조)는 공급망 내에서 역할이 나뉩니다. 일본 기업이 EU 현지 법인이나 판매 대리점, 수입업자를 거치는 경우, 제22조부터 제24조의 역할은 계약상의 명칭이 아니라 시장 출시·유통 단계에서 누가 무엇을 확인하고, 누가 당국 대응 창구가 되는지에 따라 결정됩니다. 수입자와 유통자는 시장에 유통되기 전후의 적합성이나 필요 서류를 확인하는 측이며, 대리인은 역외 제공자가 EU 내에 두는 창구입니다.

「사용하는 측」이 「내놓는 측」이 될 때 (제25조)

이 부분은 착각하기 쉬운 지점입니다. 자사는 제3자(Third-party)의 고위험 AI를 도입하여 사용할 뿐, 즉 deployer라고 생각하더라도 특정 조건에 걸리면 provider로 취급되어 제공자의 의무 일체를 지게 됩니다. 제25조의 확인은 도입 심사가 아니라 provider 판정입니다.

제25조에 따라 provider(제공자)로 취급되는 경우는 이미 시중에 출시되었거나 사용이 시작된 고위험 AI에 자사의 명칭 또는 상표를 부착하는 경우, 이미 시중에 출시되었거나 사용이 시작된 고위험 AI에 중대한 개변 (substantial modification)을 가하여 개변 후에도 제6조에 따른 고위험 AI에 해당하는 경우, 또는 원래 고위험으로 분류되지 않았던 AI(범용 AI 포함)의 의도된 목적을 변경하여 제6조에 따른 고위험 AI가 되는 경우입니다. 계약상으로는 이용자(deployer)라 하더라도, 이에 해당한다면 제공자로서의 의무를 피할 수 없습니다. 기성 모델이나 서비스를 자사 제품에 깊이 통합하여 출력이나 동작을 수정하고 자사 브랜드로 제공하는 형태는 이 조건에 해당할 수 있습니다. 도입하려는 의도가 제공(provider)이 되지 않도록 계약과 구현 양면에서 확인해야 합니다.

역할을 먼저 확정해야 합니다. provider 의무를 deployer의 운영 과제로 읽거나, 제25조에 따른 역할 전환을 간과하면 준비 범위가 처음부터 어긋나게 됩니다. 각 의무의 세부 내용은 개별 페이지에서 다룹니다.

역할	관련 조문	주요 의무
provider (제공자)	제16조	제8조 및 제2절을 경유하여 제9~15조 준수, 적합성 평가, 등록, 적합성 선언
deployer (데플로이어)	제26조 (FRIA는 제27조)	사용 설명 준수, 감독자 할당, 입력 데이터의 적절성, 리스크 및 중대 인시던트 통지, 자동 생성 로그 유지
importer (수입자)	제23조	출시 전 적합성 평가·기술 문서·CE marking·EU 적합성 선언·사용 설명 확인, 부적합 시 출시 중단·통지
distributor (유통자)	제24조	유통 전 CE marking·EU 적합성 선언·사용 설명·표시 확인, 부적합 시 유통 중단·통지
authorised representative (대리인)	제22조	서면 위임에 기반한 EU 창구 역할, EU 적합성 선언·기술 문서 유지, 당국에 대한 정보 제공 및 협력
역할의 전환	제25조	자사 명칭 제공·중대한 개변·용도 변경 시 provider로 취급

이러한 역할별 의무 위반은 모두 제99조 제4항의 범위(후술할 3%) 내에서 다뤄집니다.

시행 기한은 제품 유형에 따라 나뉩니다

고위험 AI의 적용 시작일은 하나가 아니라, 어떤 범주에서 고위험에 해당하는지에 따라 두 가지로 나뉩니다 (제113조).

적용 시작일	고위험 유형
2026년 8월 2일	부속서 III에 명시된 용도에 해당하는 고위험 AI (제6조 제2항 유형)
2027년 8월 2일	부속서 I의 제품에 통합되는 안전 구성 요소 등 (제6조 제1항 유형)

채용, 개인 신용 평가, 교육, 중요 인프라와 같이 부속서 III의 용도에 해당하는 고위험 AI는 2026년 8월 2일부터 적용됩니다. 기계나 의료 기기처럼 부속서 I의 제품 규제를 받는 형태로 고위험이 되는 것은 2027년 8월 2일까지 유예 기간이 있습니다. 어떤 유형인지에 따라 준비 기간뿐만 아니라 적합성 평가, 기술 문서, 등록, 사내 승인의 마감 시한이 1년 차이가 납니다.

이 두 가지는 제113조가 정하는 단계적 적용의 후반부에 위치합니다. 규정 발효 후, 금지 행위 규정, 범용 AI (GPAI) 의무, 거버넌스 및 벌칙 프레임워크가 먼저 적용되며, 고위험 의무는 그 이후에 적용됩니다. 벌칙 규정이 먼저 작동하기 시작하는 것과 고위험 의무 위반이 벌칙 대상이 되는 시점은 별개이며, 후자는 해당 의무가 적용된 이후입니다. 2026년 8월 2일은 규정 전체의 시작이 아니라 고위험 의무의 마일스톤입니다.

시행일에 대해 연기 움직임이 있으나, 관보 (OJ)에 게재되기 전까지는 현행 제113조의 날짜를 기준으로 관리합니다. 본 기사 작성 시점의 기준일은 부속서 III 유형이 2026년 8월 2일, 부속서 I 유형이 2027년 8월 2일입니다. Digital Omnibus on AI에 의한 연기안은 이를 각각 2027년 12월 2일, 2028년 8월 2일로 미루는 내용을 담고 있으며, 잠정 합의부터 유럽 의회의 최종 승인(2026년 6월 16일)까지 진행되었으나, 이사회의 공식 채택·서명 및 관보 게재가 남아 있습니다. 연기가 확정될 때까지는 현행 날짜를 전제로 합니다.

고위험 의무 위반은 3% 범위 내

고위험 의무 위반을 금지 행위의 7% 범위로 추산하는 것은 오류입니다. 제공자의 고위험 의무(제9조부터 제15조) 불이행은 제16조 (a)를 경유하여 제99조 제4항에 해당하며, 상한은 1,500만 유로 또는 전 세계 연간 매출액의 3% 중 높은 금액이 됩니다. 제99조 제4항의 범위는 제공자의 제16조 의무뿐만 아니라 대리인·수입자·유통자·deployer의 각 의무 위반에도 적용되므로, 이 페이지에서 다루는 고위험 관련 의무 불이행은 원칙적으로 7% 범위가 아닌 3% 범위로 간주합니다. 중소기업(스타트업 포함)은 제99조 제6항에 따라 위 두 값 중 낮은 금액을 적용받습니다.

혼동하기 쉬운 점은 금지 행위(제5조)에 대한 제99조 제3항의 범위입니다. 이는 3,500만 유로 또는 7%로, 고위험(High-risk) 의무 위반과는 별개로 규정됩니다. 리스크를 산정할 때는 자사의 행위가 금지 행위인지, 아니면 고위험 의무 불이행인지부터 먼저 구분해야 합니다.

요약

이 페이지에서 확정해야 할 사항은 자사가 provider(제공자), deployer(배포자), 공급망 중 어떤 역할인지, 제25조에 따라 provider로 전환되는 행위가 없는지, 고위험 해당 여부가 부속서 III(Annex III) 유형인지 부속서 I(Annex I) 유형인지, 그리고 벌칙이 제99조 제4항의 3% 범위인지 제99조 제3항의 7% 범위인지입니다. 이 부분이 결정되지 않은 채 개별 조문을 읽기 시작하면, 준비 대상과 기한을 혼동하게 됩니다. 개별 의무의 구현은 각 조문 페이지에서 다룹니다.

이 기사의 사이트 버전(관련 조항·기술 통제에 대한 상호 링크 및 기한 트래커가 포함된 구조화된 레퍼런스): https://conformgrid.com/ja/regulation/eu-ai-act-roles-deadlines

출처

EU AI Act / Regulation (EU) 2024/1689

대상 주체: Article 16(provider), Article 22(대리인), Article 23(수입자), Article 24(유통업자), Article 25(가치 사슬상의 책임·provider로의 전환), Article 26(deployer), Article 27(기본권 영향 평가)

고위험 분류: Article 6(1)(부속서 I 제품 임베디드형), Article 6(2)(부속서 III 단독형), Annex III, Annex I

시행: Article 113(단계적 적용)

벌칙: Article 99(3)(금지 행위·3,500만/7%), Article 99(4)(고위험 의무 위반·1,500만/3%), Article 99(6)(중소기업 특례)