2026년 1월 22일, 한국의 AI 기본법이 시행되면서 한국은 유럽연합 밖에서 포괄적인 수평적 AI 법률을 갖춘 세계 최초의 국가가 되었다. 그로부터 3주 앞서, 중국의 사이버보안법 개정으로 AI 관련 벌금의 상한선이 5000만 위안 또는 전년도 매출액의 5%로 상향되었다. 2026년 2월 한 달 동안, 중국 당국은 의무적인 국가표준 GB 45438-2025에 따른 AI 생성물 표시 의무를 위반한 계정 13,421건을 제재하고 콘텐츠 54만 3000건 이상을 삭제했다.

세계 어느 지역에서도 AI 및 데이터 규제가 이 정도의 속도로, 이렇게 다양한 방향으로 동시에 움직이는 곳은 없다. 중국은 AI 특유의 벌금 대신 기존 사이버 및 데이터 관련 법률에 근거한 캠페인식 일제 단속을 통해 집행한다. 일본은 직접적인 처벌 조항이 전혀 없는 진흥형 법률을 선택했다. 한국은 가장 먼저 법을 제정했지만 자체 집행을 1년 늦추었다. 인도는 오랫동안 기다려온 데이터보호규칙을 고시했지만 실질적 의무의 시행은 2027년 5월로 미루었다. 싱가포르, 호주, 홍콩은 여전히 자율적 프레임워크, 협의문서, 정체된 개정법안 단계에 머물러 있다.

이 지역을 담당하는 컴플라이언스 팀에게 실무적으로 중요한 질문은 "이 나라에 AI법이 있는가"가 아니다. 어떤 법적 수단이 오늘 실제로 집행 가능하며, 어떤 행위에 대해, 그리고 그것이 언제 바뀌는가이다.

아시아태평양 국가 중 오늘날 실제로 AI 특유 규칙을 집행하고 있는 곳은 어디인가

중국만이 AI 콘텐츠 및 모델을 겨냥해 특별히 구축된 벌금 및 서비스 중단 방식의 집행 체계를 운영하고 있으며, 한국은 AI 특유의 법률이 시행 중이지만 유예 상태다. 2023년 8월 15일부터 시행 중인 중국의 생성형 AI 서비스 관리 임시조치는, 대중을 대상으로 하는 모든 생성형 AI 서비스가 출시 전에 국가사이버공간관리국(CAC)에 보안 평가와 알고리즘 등록을 완료할 것을 요구한다. 2026년 3월 17일 기준으로 796개 서비스가 전국 단위 등록을 마쳤고, 지방 단위로는 481개가 추가로 등록되었다. 등록을 이행하지 않은 사업자는 서비스 중단 명령을 받는다. 2026년 4월에 시작된 4개월간의 특별 조치를 비롯한 최근의 "칭랑(清朗)" 캠페인 모델은, 등록되지 않은 대규모 모델과 표시되지 않은 합성 콘텐츠를 표적으로 하면서 생성형 AI 관리조치 자체(벌금 상한이 10만 위안에 불과함)가 아니라 사이버보안법, 개인정보보호법, 데이터보안법을 적용한다.

2026년 1월 22일부터 시행 중인 한국의 AI 기본법은, AI와의 상호작용을 이용자에게 고지하지 않거나, 국내 대리인을 지정하지 않거나, 시정명령을 이행하지 않은 경우 최대 3000만 원의 과태료를 부과한다. 과학기술정보통신부는 사실조사 및 과태료 부과에 대해 공식적인 1년의 유예기간을 운영하고 있으며, 그 기간 중에는 중대한 사회적 피해나 인권침해가 관련된 사안에만 예외적으로 적용되고, 통상적인 집행은 2027년 1월 22일경 재개될 것으로 예상된다.

일본의 AI 진흥법은 기업에 실제로 무엇을 요구하는가

직접적으로 집행 가능한 의무는 거의 없으며, 이것이 바로 이 법의 핵심이다. 인공지능 관련 기술의 연구개발 및 활용의 추진에 관한 법률은 2025년 5월 28일에 제정되어 2025년 9월 1일에 전면 시행되었고, 총리가 주재하는 AI전략본부를 설치하며 2025년 12월 23일에 채택된 AI기본계획을 의무화한다. 이 법에는 벌금도 직접적인 금지 조항도 없으며, 정부가 가진 수단은 협력 요청, 지침 제공, 그리고 미준수 행위의 공개뿐이다.

일본에서 AI 도입에 관한 구속력 있는 의무는 여전히 기존 개별 법률, 주로 개인정보보호법(APPI)에서 나오며, 이와 함께 경제산업성과 총무성이 마련한 구속력 없는 AI 사업자 가이드라인(버전 1.1, 2025년 3월)도 적용된다. 내각부는 2026년 1월에 생성형 AI에 관한 원칙과 코드에 대한 공개 협의를 완료했으며, 지적재산과 데이터 투명성에 관한 추가적인 구속력 없는 지침으로 발표될 것으로 예상된다. 2026년 일본에서 AI를 운영하는 기업은 AI 진흥법 자체가 아니라 개인정보보호법 준수와 자율 가이드라인 준수 여부로 평가받는다.

인도의 개인정보 컴플라이언스는 지금부터 2027년까지 어떻게 달라지는가

2023년 디지털개인정보보호법(DPDP Act)에 근거해 2025년 11월 13일에 고시된 2025년 디지털개인정보보호규칙은, 한꺼번에 시행되지 않고 세 단계로 나뉘어 시행된다. 데이터보호위원회의 설립과 규칙 제정 체계를 다루는 규칙 1, 2, 17항부터 21항은 2025년 11월 13일에 즉시 발효되었다. 규칙 4의 동의관리자 등록 체계와 이에 대응하는 제6조 제9항은 2026년 11월 13일에 시행된다. 대다수 컴플라이언스 팀이 실제로 기다리고 있는 핵심 의무, 즉 통지 및 동의 요건, 침해 통지, 아동 데이터 보호, 주요 데이터수탁자의 의무, 그리고 제3조부터 제17조 및 제28조부터 제34조에 이르는 제재와 이의제기 체계는 2027년 5월 13일까지 시행되지 않는다.

이 18개월의 유예기간은 의도된 것이지만, DPDP법을 "아직 실체가 없는 것"으로 취급하는 팀에게는 함정이 되기도 한다. 위원회는 이미 운영 중이며 규칙 제정 작업도 현재 진행 중이다. 2027년 5월 이후 심사를 견뎌낼 시스템은 마지막 분기에 조립할 것이 아니라 2026년 중에 설계되어야 한다.

싱가포르는 구속력 있는 AI법 없이 어떻게 AI를 규율하는가

정보통신미디어개발청(IMDA)이 발표한 자율적 프레임워크만으로 규율하며, 가장 최근에는 자율형 AI 에이전트까지 포괄 범위를 확대했다. 2026년 1월 22일에 발표된 에이전트형 AI를 위한 모델 AI 거버넌스 프레임워크는, 자율형 시스템을 특별히 다루는 세계 최초의 거버넌스 프레임워크로, 네 가지 축으로 구성된다. 사용 사례 선정과 최소 권한 접근을 통한 사전 위험 경계 설정, 명확한 인간 책임 배분, 에이전트 생애주기 전반에 걸친 기술적 통제 내재화, 최종 사용자 책임의 실현 가능화이다. 이는 법적 구속력이 없지만, IMDA는 이 프레임워크에 부합하는 것이 법적 위험 관리에 도움이 된다고 밝혔다. 자율형 AI를 도입한 조직은 프레임워크가 자율적이라는 지위와는 무관하게 기존 법률에 따라 그 행위에 대한 책임을 여전히 지기 때문이다.

싱가포르는 이 위에 2024년 생성형 AI를 위한 모델 AI 거버넌스 프레임워크와, 개인정보보호위원회와 공동으로 구축한 AI 검증 도구인 AI Verify를 함께 운용한다. 2026년 2월, 리센룽 총리는 새로운 국가AI위원회 신설과 제조업, 연결성, 금융, 헬스케어를 대상으로 하는 일련의 국가 AI 미션을 발표했다. 이는 싱가포르가 단기적으로 수평적 AI법이 아니라 소프트로과 산업별 미션을 병행하는 방향에 계속 무게를 두고 있음을 시사한다.

호주와 홍콩에서 현재 실제로 집행 가능한 규정은 무엇인가

호주에서는 이미 구체적인 시행일이 정해져 있다. 2026년 12월 10일부터, 2024년 개인정보보호 및 기타 법률 개정법에 따라 APP 적용 대상 기관은, 개인의 권리나 이익에 중대한 영향을 미칠 수 있는 결정을 내리거나 이를 실질적이고 직접적으로 뒷받침하는 컴퓨터 프로그램이 사용하는 개인정보의 종류를 개인정보보호정책에 공개해야 한다. 이 의무는 AI 기반 시스템과 규칙 기반 도구 모두를 포괄하며, 형식적으로 사람이 개입하는 경우에도 적용되고, 기저 시스템이 언제 도입되었는지와 무관하게 해당 일자 이후에 내려진 결정에 적용된다. 호주 정보위원회(OAIC)는 2026년 5월 18일에 시행 지침에 관한 공개 협의를 시작해 2026년 6월 15일에 마감했으며, 최종 지침은 2026년 9월경 발표될 것으로 예상되어, 기관들은 그 지침 없이 컴플라이언스 작업을 시작해야 하는 상황이다.

홍콩에는 이에 상응하는 시행일이 없다. 의무적 침해 통지, 매출액 연계형 행정 벌금, 데이터 처리자에 대한 직접 규제를 포함한 개인정보(프라이버시)조례 개정안은 2025년 입법회에서 논의되었으나, 2026년 중반 기준으로 여전히 제정된 법이 아니라 제안 단계에 머물러 있으며, 기업 부담에 대한 우려로 정체되었다고 알려져 있다. 이러한 상황에서 개인정보보호위원회(PCPD)는 구속력 없는 2024년 모델 개인정보보호 프레임워크와 2025년 3월에 발표된 직원의 생성형 AI 이용에 관한 체크리스트를 통해 AI를 규율하고 있으며, 이와는 별도로 중요기반시설(컴퓨터시스템)보호조례가 2026년 1월 1일에 전면 시행되어 지정된 중요기반시설 운영자에게 사이버보안 의무를 추가로 부과했다.

관할권구속력 있는 AI 특유 법적 수단2026년 중반 집행 현황주요 향후 일정
중국생성형 AI 관리조치(2023년) + GB 45438-2025 표시 의무사이버보안법·개인정보보호법·데이터보안법을 통한 캠페인식 적극 집행지속되는 분기별 칭랑 단속
한국AI 기본법시행 중, 유예기간 하의 과태료2027년 1월 22일경 유예기간 종료
일본AI 진흥법시행 중, 직접적 처벌 없음AI기본계획 제2단계 마련 중
인도DPDP법 + 2025년 DPDP규칙위원회는 운영 중, 핵심 의무는 아직 미시행핵심 의무는 2027년 5월 13일 시행
싱가포르없음(자율적 MGF 프레임워크)구속력 없음, 기존 개별 법률에 연계2026년 내 국가AI위원회 출범
호주1988년 프라이버시법(ADM 개정)아직 시행 전ADM 투명성 의무 2026년 12월 10일 시행
홍콩PDPO(미개정)개정안 2025년 이후 정체확정된 일정 없음

중국어, 한국어, 일본어, 영어로 진행되는 일곱 개의 규제 흐름을 병행해서 읽고, 어느 부처가 새로운 통지를 발표하거나 입법기관이 위원회에서 법안을 보고할 때마다 각각을 다시 확인하는 일은, 아시아태평양 전역을 담당하는 단 한 명의 컴플라이언스 담당자가 수동으로 지속할 수 있는 작업이 아니다. Obsidian의 관할권별 모니터링은 CAC의 등록 목록부터 인도의 관보 고시까지 각 공식 출처를 발표되는 시점에 추적하고, 이미 기업의 관심 목록에 있는 프레임워크와 관련된 구체적인 조치를 안내한다.

대시보드가 아니라 업무 흐름 안에서 동일하게 근거가 명확한 답을 필요로 하는 팀을 위해, MCP는 이미 다른 컴플라이언스 업무를 처리하고 있는 AI 어시스턴트가 과학기술정보통신부의 유예기간이 실제로 끝났는지, 또는 호주 정보위원회가 자동 의사결정 지침을 이미 발표했는지를 사람이 먼저 원본 출처를 다시 확인하지 않고도 확인할 수 있게 해준다. 이 과정에서 Obsidian의 AI는 최종 답변에 서명하는 컴플라이언스 담당자를 대체하는 것이 아니라 규제 컴패니언으로서 작동하며, 근거가 확인된 사실을 마감일이 지난 뒤가 아니라 그 전에 전달하는 역할을 할 뿐이다.

아시아태평양의 AI 및 데이터 거버넌스 팀이 다음으로 해야 할 일

업무를 표제가 아니라 집행 가능한 일자를 기준으로 순서를 정하라. 중국 관련 사업을 하는 팀은 집행 단속이 분기별로 진행되므로 생성형 AI 등록과 GB 45438 표시 의무를 지금 최신 상태로 유지해야 한다. 한국에서 사업을 하는 팀은 유예기간이 2027년 1월경 해제되기 전까지 AI 기본법 준수 체계를 갖춰야 한다. 인도에서 사업을 하는 팀은 2027년 5월에 핵심 DPDP 의무가 시행된 이후 위원회의 심사를 견뎌낼 수 있도록 2026년 중에 동의 및 침해 대응 체계를 설계해야 한다. 호주에서 사업을 하는 팀은 2026년 12월 10일 이후가 아니라 그 이전에 개인정보보호정책 문구와 결정 목록을 준비해 두어야 한다.

Obsidian의 요금제는 바로 이런 비동기적이고 다중 관할권에 걸친 AI 및 데이터 거버넌스 일정을 공식 출처별로 추적하도록 설계되어, 다음 CAC 통지, 과학기술정보통신부 지침, 또는 호주 정보위원회 결정이 표제가 되기 전에 컴플라이언스 팀에 먼저 도달하도록 한다.