전문가오피니언
Home 전문가오피니언
주요 이슈에 대한 국내외 전문가들의 견해 및 제언이 담긴 칼럼을 제공합니다.
콜링리지 딜레마와 중국 AI 법제 전략: 네트워크안전법 개정 내용을 중심으로
이상우 소속/직책 : 인하대학교 AI·데이터법학과 초빙교수, KAIST 문술미래전략대학원 겸직교수 2026-01-13
자료인용안내
자료를 인용, 보도하시는 경우, 출처를 반드시 “CSF(중국전문가포럼)”로 명시해 주시기 바랍니다.
Ⅰ. 들어가며
콜링리지 딜레마(Collingridge dilemma)는 1980년 데이비드 콜링리지(David Collingridge)가 『기술의 사회적 통제(The Social Control of Technology)』에서 제시한 이론으로, 신기술 규율이 구조적으로 직면하는 한계를 설명하는 개념이다.1) 콜링리지는 기술 규제의 시점을 두 단계로 구분하였다. 첫째, 기술의 초기 단계에서는 기술이 충분히 성숙하지 않아 그 사회적·경제적 파급효과를 정확히 예측하기 어렵다. 이로 인해 규제의 필요성은 인식되지만, 어떤 규제가 적절한지 판단하기 곤란한 상태에서 제도를 설계해야 하는 불확실성에 직면하게 된다. 둘째, 기술이 일정 수준 이상 발전하여 사회 전반에 확산된 이후에는 위험과 영향이 보다 명확해지지만, 이 시점에서는 해당 기술이 이미 사회·경제 구조에 깊이 정착되어 있어 규제의 도입이나 변경이 상당한 저항과 비용을 수반하게 된다. 콜링리지 딜레마는 이처럼 기술 확산 이전의 불확실성과 확산 이후의 규제 경직성 사이에서, 규율의 시기와 방식에 대한 균형점을 모색해야 한다는 점을 강조한다.
2025년 12월 12일 ‘네이처(Nature)’의 보도에 따르면, 호주 전략정책연구소(ASPI)가 발표한 2025년 ‘핵심 기술 추적 보고서(Critical Technology Tracker)’에서 중국은 74개 핵심 기술 가운데 66개 분야에서 세계 1위를 차지한 것으로 나타났다.2) ASPI가 선정한 핵심 기술에는 인공지능(AI), 양자, 첨단 반도체, 소형 위성, 극초음속 기술 등이 포함된다. 이러한 평가 결과에 비추어 볼 때, 중국은 콜링리지 딜레마를 가장 선제적으로 마주하고 있는 국가 중 하나라 할 수 있다. 특히 AI는 콜링리지 딜레마가 가장 전형적으로 드러나는 기술이다. AI는 특정 산업이나 서비스 영역에 국한되지 않고 사회 전반에 광범위한 영향을 미치는 범용 기술(general-purpose technology)로서, 위험의 유형과 영향력을 사전에 확정하기 어렵다. 그럼에도 불구하고 각국은 AI를 국가 경쟁력과 직결된 전략 기술로 인식하면서, 조기 입법과 거버넌스 구축이라는 어려운 선택을 강요받고 있다.
이러한 맥락에서 중국은 최근 AI 법제 전략을 단적으로 보여주는 법 개정을 단행하였다. 바로 「네트워크안전법(网络安全法)」의 개정이다. 2017년 6월부터 시행되어 온 이 법은 2025년 10월 28일 개정된 후, 2026년 1월 1일부터 시행되고 있다.3) 중국은 AI를 독립된 기본법으로 규율하기보다는, 기존의 법체계 속으로 편입하는 방식을 선택하였다. 이는 위험 통제와 기술 촉진을 동시에 추구하면서도, 법체계의 연속성과 집행 가능성을 유지하려는 전략적 선택으로 이해할 수 있다. 이하에서는 개정 내용을 분석하여, 우리나라 AI 입법·거버넌스 논의에 시사점을 도출하고자 한다.
Ⅱ. 네트워크안전법의 법적 위상과 이념적 토대
1. 중국 데이터 3법
「네트워크안전법」은 「데이터안전법(数据安全法)」(’21.9월 시행)과 「개인정보보호법(个人信息保护法)」(’21.11월 시행)과 함께 중국의 이른바 ‘데이터 3법’(3법)을 구성한다. 우리나라의 데이터 3법이 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(정보통신망법), 「신용정보의 이용 및 보호에 관한 법률」, 「개인정보 보호법」으로 이루어져 있다는 점과 비교하면, 중국의 「네트워크안전법」은 기능적으로 「정보통신망법」과 유사하게 네트워크 자체에 대한 규율을 중심으로 하는 법률로 평가할 수 있다.
다만 「네트워크안전법」은 네트워크 인프라의 보호에 그치지 않고, 네트워크상에서 유통되는 정보 콘텐츠의 관리·감독기능까지 포괄하고 있다는 점에서 그 규율 범위가 더욱 넓다. 물론 우리나라에서도 「정보통신망법」이 2020년 데이터 3법 개정 이전까지 개인정보 보호 법제의 중심적 역할을 수행해 왔다는 점에서 일정한 유사성을 찾을 수 있다. 그러나 중국은 정보화 초기 단계부터 ‘정보(信息)의 안전’을 국가안보 체제의 핵심 구성 요소로 인식해 왔고, 그 결과 기술 표준의 정립이나 보안 메커니즘을 통한 기술적 안정성 확보보다는, 감시와 검열을 중심으로 한 통제 시스템 구축에 국가적 역량을 집중하는 경향을 보여 왔다.4) 이러한 역사적·제도적 배경 속에서 「네트워크안전법」은 단순한 기술 보호 법률을 넘어, 네트워크를 통해 형성되는 정보 흐름 전반에 대한 관리와 감독을 포함하는 보다 확장된 규율 체계를 형성하고 있다.
2. 총체적 국가안전관
3법을 포함한 중국의 AI·데이터 법제의 이념적 토대는 2014년 제시된 ‘총체적 국가안전관(总体国家安全观)’에서 찾을 수 있다. 1993년 「국가안전법(国家安全法)」(「국가안전법(1993)」) 제정 이후, 2013년 에드워드 스노든(Edward J. Snowden)의 내부고발을 통해 미국 국가안보국(NSA)이 PRISM 프로그램을 활용하여 민간인의 개인정보를 대규모로 수집·감시한 사실이 공개되었다.5) 이 사건은 사이버 공간을 기존의 기술 영역이 아닌 국가안보 차원의 규율 대상으로 인식하게 하는 계기가 되었으며, 주요 국가들로 하여금 사이버 공간에 대한 실정법적 규제의 필요성을 강하게 인식하게 만들었다.6) 중국은 이러한 국제적 환경 변화 속에서 전통적 국가안전관을 넘어서는 포괄적·거시적 안전 개념으로서 총체적 국가안전관을 제시하였다.7) 총체적 국가안전관은 ① 외부와 내부의 안전, ② 국토와 국민의 안전, ③ 전통적·비전통적 안전, ④ 발전과 안전의 조화, ⑤ 개인과 공동의 안전을 통합적으로 고려할 것을 강조한다. 이러한 인식에 기초하여 국가안전 법체계의 전면적 정비 필요성이 제기되었고, 그 결과 2015년 7월 1일 신(新) 「국가안전법」(「국가안전법(2015)」)이 제정·시행되었다.8) 이 법은 총체적 국가안전관을 제도적으로 구현한 기본법으로서, 이후 중국의 국가안전 관련 법률들은 이를 중심으로 체계적으로 정비되었다. 3법 역시 AI·데이터 영역에서 이러한 국가안전 이념을 구체화하고 있다.
Ⅲ. 개정법의 구조: 위험 통제와 기술 촉진의 병행적 규율
1. 위험 통제
이처럼 「네트워크안전법」 개정의 근본적 이념은 총체적 국가안전관에 있다. 이에 개정법은 네트워크 안전 업무가 중국공산당의 영도 아래 국가안전·발전·안정을 종합적으로 고려하여 수행되어야 함을 명시하였다(제3조). 이는 네트워크와 데이터, 나아가 이를 기반으로 작동하는 AI 기술을 단순한 산업·기술 정책의 대상으로 한정하지 않고, 국가안전과 직결된 핵심 거버넌스 영역으로 인식하고 있음을 분명히 보여준다. 중국의 AI 규율은 3법이 교차하는 지점에서 작동하며, AI를 독립된 규율 대상으로 분리하기보다는 국가안전 중심의 법질서 속에 통합적으로 배치하는 전략을 취하고 있다.
개정법은 AI로 인해 발생할 수 있는 잠재적 위험을 관리하기 위하여 다층적인 통제 장치를 도입하였다. 특히 AI 윤리 규범의 정비, 안전 위험에 대한 모니터링 및 평가, 감독 체계의 강화를 명시하고 있으며(제20조), 더 나아가 국가는 AI를 활용하여 네트워크 안전 관리 방식 자체를 혁신할 것을 요구하고 있다. 또한 네트워크 운영자의 안전 보호 의무 위반에 대한 행정적 제재 수준을 대폭 강화하였고(제61조 내지 제70조), 행정벌 감경 규정을 신설함으로써 「행정처벌법(行政处罚法)」과의 체계적 정합성도 확보하였다(제73조). 개인정보 보호와 관련해서는 「민법전(民法典)」 및 「개인정보보호법」의 관련 규정과의 연계를 명확히 하여, 법률 간 통합 구조를 한층 강화하였다.
나아가 개정법은 명시적인 역외적용 규정을 도입하였다. 역외적용이란 자국의 영역 외에 소재한 외국인·법인 또는 역외에서 이루어진 행위에 대하여 자국 법률을 적용하는 것을 의미한다. 종전의 「네트워크안전법」은 예외적인 경우에 한해 역외적용 가능성을 규정하고 있었으나(구법 제75조),9) 개정법은 국외의 기관·조직·개인이 중국의 네트워크 안전을 침해하는 행위를 한 경우에도 법적 책임을 추궁할 수 있도록 명시하였다(제77조). 이는 이미 「데이터안전법」과 「개인정보보호법」을 통해 AI·데이터 법제에 도입된 역외적용을 「네트워크안전법」으로 확장한 것으로, AI·데이터 활동에서 국경의 의미가 약화되고 있는 현실을 반영하여 적용 범위를 적극적으로 확대한 조치라 할 수 있다.
2. 기술 촉진
개정법에서 가장 주목되는 조항은 신설된 제20조이다. 동조는 국가가 AI의 기초이론 연구와 알고리즘 등 핵심기술의 발전을 지원하고, 훈련 데이터와 연산력 등 기반시설 건설을 추진하며, AI 윤리 규범을 완비하고 안전 위험에 대한 감시·평가를 강화함으로써 AI의 건강한 발전을 촉진할 것을 명시하고 있다. 이는 AI를 단순한 기술 대상이 아니라, 법적 규율과 공공정책의 핵심 대상으로 공식화한 규정으로 평가할 수 있다.
이에 따라 AI는 ‘국가가 지원하는 기술’이자 동시에 ‘국가가 통제하는 기술’이라는 이중적 성격을 갖게 된다. 그 결과 「네트워크안전법」은 단순한 규제 법률에 그치지 않고, AI를 국가 전략 기술로 육성하는 정책 법률로서의 성격을 함께 지니게 되었다. 특히 AI 관련 규정이 ‘네트워크 안전 지원 및 촉진(网络安全支持与促进)’ 장(章)에 배치되어 있다는 점은, AI 발전이 네트워크 안전과 대립되는 요소가 아니라 오히려 네트워크 안전 역량을 강화하는 전제 조건이라는 입법자의 인식을 분명히 보여준다.
이처럼 중국 개정 「네트워크안전법」은 기술 촉진과 위험 통제를 시간적으로 분리하거나 별도의 법률로 이원화하지 않고, 동일한 법체계 안에서 병행적으로 구현하였다. 이는 콜링리지 딜레마가 지적하는 ‘조기 과잉 규율’과 ‘사후 통제의 실효성 상실’이라는 양극단을 동시에 회피하려는 제도적 선택으로 평가할 수 있다.
Ⅳ. 콜링리지 딜레마에 대한 제도적 대응 전략
「네트워크안전법」 개정 과정에서 전국인민대표대회 상무위원회는 AI를 이 법의 규율 대상으로 포함할 것인지, 그리고 그 범위를 어디까지 설정할 것인지에 대한 논의를 심도 있게 전개하였다. 일부 위원들은 AI 기초 연구 지원이나 산업 촉진에 관한 규정이 「네트워크안전법」의 본래 목적과 규율 범위를 넘어설 수 있다는 점에 우려를 표명하였다. 쑨셴중(孙宪忠),10) 선정창(沈政昌)11) 위원 등은 개정법 제20조가 기술 진흥적 성격을 과도하게 띠고 있어, 네트워크 안전이라는 법체계의 근본 취지와 반드시 조화된다고 보기는 어렵다고 지적하였다. 이에 반해 허우젠궈(侯建国)12) 위원은 AI 기술의 발전이 네트워크 위협의 탐지·예방·대응 능력을 실질적으로 제고할 수 있다는 점을 강조하며, AI를 네트워크 안전 역량 강화를 위한 핵심 수단으로 법률에 명시할 필요성을 주장하였다.13)
이와 같은 논의의 결과, AI 역시 네트워크와 데이터에 기반하여 작동하는 기술인 이상 이를 별도의 독립적 기본법으로 분리하기보다는, 기존 법체계 안에 통합하여 규율하는 것이 제도적 효율성과 집행 가능성 측면에서 보다 합리적이라는 인식이 공유되었다. 그 결과 중국은 전면적인 AI 기본법 제정을 단기간 내에 추진하기보다는, 기존 법률을 개정하는 방식을 통해 필요한 최소한의 규범을 단계적으로 보완·추가하는 전략을 선택하였다.
이와 같이 포괄적 AI 규제 입법에 대한 신중한 태도는 2025년 3월 베이징에서 개최된 양회(两会)에서도 확인된다. 하이니자티·투허티(海尼扎提·托呼提) 전국인민정치협상회의 위원 겸 신장신련회(新疆新联会) 부회장은, 독자적인 AI 기본법을 서둘러 제정하기보다는 3법을 중심으로 한 현행 법체계를 활용함으로써 AI에 보다 효과적으로 대응할 수 있음을 강조하였다.14)
이러한 태도는 2025년 1월부터 시행된 「네트워크데이터안전관리조례(网络数据安全管理条例)」에도 그대로 반영되어 있다. 동 조례는 AI 규제 논의가 전 세계적으로 본격화된 이후 제정·시행되었음에도 불구하고, 새로운 AI 입법을 추진하기보다는 기존 3법 간의 관계를 조율하고, 상위 법률과 하위 규범 간의 연계성을 강화하는 데 초점을 두었다.15)
이처럼 중국은 AI 기본법 제정에 앞서 3법을 중심으로 기존 법체계의 정합성을 제고하고, 제도적 공백을 최소화함으로써 AI 기술 확산이 촉발한 다양한 법적·사회적 쟁점에 단계적으로 대응하려는 전략을 취하고 있다. 콜링리지 딜레마에 대한 제도적 대응이 기존 법률과 행정 조직을 확장·조정하여 신기술을 흡수하는 방식과, 신기술에 특화된 새로운 입법과 전담 거버넌스를 구축하는 방식으로 구분될 수 있다는 점에서, 중국은 전자의 경로를 선택하여 3법 체계를 유지한 채 AI를 점진적으로 통합하고, 이를 통해 제도적 연속성과 집행력을 동시에 확보하고자 하였다.
Ⅴ. 시사점
중국의 사례는 기술 위험의 불확실성에 대응하는 제도적 방식이 결코 단일하지 않으며, 기존 법체계에의 흡수와 신규 제도의 창설이라는 상이한 경로가 국가별로 선택될 수 있음을 분명히 보여준다. 이러한 점에서 문제의 핵심은 ‘어떤 속도와 어떤 제도적 구조로 규율할 것인가’에 있다.
한국은 2026년 1월 22일 「인공지능 발전과 신뢰 기반 조성 등에 관한 기본법」(AI 기본법)의 시행을 앞두고 국가AI전략위원회를 중심으로 한 AI 거버넌스 체계를 구축하였다. 그러나 위원회의 실질적 권한 배분, 기존 부처와의 역할 관계 설정, 그리고 2025년 12월 22일까지 진행된 시행령 제정안 입법예고를 둘러싼 논란은 제도 설계의 성숙도에 대한 우려를 여전히 남기고 있다. 특히 AI 기본법이 ‘고영향 AI’ 요건 중 일부에만 해당하더라도 동일한 규제 묶음을 적용하는 수평규제 체계(horizontal regulatory framework)를 채택하고 있다는 점은, AI가 초래하는 사회적 위험의 이질성과 기존 부처별 규제 구조를 충분히 반영하지 못한 한계를 드러낸다.16) 이로 인해 개별 법령 및 부처 규제와의 중복 또는 충돌 가능성 역시 현실적인 과제로 부상하고 있다.
이러한 맥락에서 중국의 사례는 중요한 비교 기준을 제공한다. AI의 위험 유형과 사회적 영향력이 아직 충분히 예측되기 어려운 단계에서, 전면적인 기본법 제정보다는 기존 법제와 행정 조직을 활용하여 점진적으로 통합해 나가는 방식 역시 하나의 합리적 대안이 될 수 있음을 시사하기 때문이다. 중국은 3법을 중심으로 AI를 흡수하고, 하위 규범을 통해 입법 공백을 보완함으로써 제도적 연속성과 집행력을 동시에 확보하고자 하였다.
이를 한국의 상황에 비추어 보면, 우선 입법적으로 기존 법제가 AI 규율에 얼마나 효과적으로 활용될 수 있는지에 대한 성찰이 선행될 필요가 있다. 즉 AI의 핵심 요소인 데이터, 알고리즘, 컴퓨팅 파워를 기존의 개인정보 보호법제, 데이터 관련 법제, 산업·안전 규제 체계를 통해 어느 범위까지 포섭할 수 있는지, 그리고 이를 통해 국가 AI 경쟁력 강화라는 AI 기본법의 입법 목적을 실질적으로 달성할 수 있는지를 점검해야 한다.
아울러 거버넌스 측면에서도 수평규제 체계의 한계가 지적되는 만큼, 국가AI전략위원회가 형식적 조정 기구에 머무르지 않고 실질적인 리더십을 통해 AI 입법과 정책 전반을 조율할 수 있도록 권한과 역할을 재정립할 필요가 있다. 개별 법령과 주무부처의 기존 기능을 존중하되, 상호 조정과 연계를 통해 중복과 충돌을 최소화하는 방향으로 거버넌스를 설계해야 하며, 규제와 조정 구조가 누적되어 ‘옥상옥(屋上屋)’으로 귀결되는 상황은 반드시 경계되어야 한다.
위험과 파급효과를 충분히 가늠하기 어려운 시점에서의 섣부른 제도 고정은, 오히려 AI G3로 나아가는 과정에서 장기적인 제약 요인으로 작용할 수 있다. 이미 새로운 입법과 거버넌스를 선택한 우리로서는, 앞으로 중국의 입법 과정과 거버넌스 논의를 비판적으로 검토함으로써 기술 촉진과 위험 통제를 조화시키는 보다 정교하고 단계적인 AI 법제 모델을 모색해야 한다.
---
* 각주
1) David Collingridge, The Social Control of Technology, New York: St. Martin’s Press; London: Frances Pinter, 1980.
2) Nature(2025. 12. 12.), “China leads research in 90% of crucial technologies - a dramatic shift this century”, <https://www.nature.com/articles/d41586-025-04048-7>(최종방문일: 2025. 12. 15.).
3) 中国人大网(2025. 10. 28.), “全国人民代表大会常务委员会关于修改《中华人民共和国网络安全法》的决定(2025年10月28日第十四届全国人民代表大会常务委员会第十八次会议通过)”, <http://www.npc.gov.cn/npc/c2/c30834/202510/t20251028_449048.html>(최종방문일: 2025. 12. 15.).
4) 이상우, 『딥시크』, 커뮤니케이션북스, 2025, 71-80면.
5) 조현석, “빅데이터 시대 미국-EU간 개인정보보호 분쟁과 정보주권에 대한 함의”, 21세기정치학회보 제26권 제2호, 21세기정치학회, 2016, 100면.
6) 신재하·임요준, “중국 네트워크 안전법에 관한 연구”, 중국법연구 제37집, 한중법학회, 2019, 37면.
7) 이상우, “중국 개정 반간첩법의 사이버 안보관”, 비교법연구 제23권 제2호, 동국대학교 비교법문화연구원, 2023, 301-302면.
8) 「국가안전법(1993)」은 국가 핵심이익 보호 강화를 위해 제정된 현행 「국가안전법(2015)」으로 대체되었다. 김준영, “중국 국가안전법제의 체계 연구
-신 ‘「국가안전법」(国家安全法)’을 중심으로-”, 중국법연구 제32집, 한중법학회, 2017, 2면.
9) 이상우, “중국 데이터법의 역외적용”, 법학논총 제54집, 숭실대학교 법학연구소, 2022, 164면.
10) 중국사회과학원 교수, 법학박사. Baidu, “孙宪忠”, <https://baike.baidu.com/item/孙宪忠/7150151>(최종방문일: 2025. 12. 15.).
11) 중국공정원 원사, 공학박사. Baidu, “沈政昌”, <https://baike.baidu.com/item/沈政昌?fromModule=lemma_search-box>(최종방문일: 2025. 12. 15.).
12) 중국과학원 원사, 이학박사. Baidu, “侯建国”, <https://baike.baidu.com/item/侯建国/10018>(최종방문일: 2025. 12. 15.).
13) 清华大学智能法治研究院(2025. 10. 27.), “网络安全法修正草案二审,治理网络软暴力、人工智能入法等被热议”, <https://mp.weixin.qq.com/s/x3uJCBabPY6ieN-A0H3OWw>(최종방문일: 2025. 12. 15.).
14) 清华大学智能法治研究院(2025. 2. 26.), “科技部:有序推进人工智能立法工作”, <https://mp.weixin.qq.com/s/6rsIY6ZvikE0sAg8GHpSwA>(최종방문일: 2025. 12. 15.).
15) 이상우, “중국의 인공지능・데이터 입법 동향과 시사점”, 동북아법연구 제19권 제1호, 전북대학교 동북아법연구소, 2025, 13-14면.
16) 박상철, “인공지능 기본법의 시행 전 개정 필요성 -규제 조항의 체계・축조상 문제점을 중심으로-”, 정보법학 제28권 제3호, 한국정보법학회, 2024, 7면.
| 이전글 | 2026년 중국 증시 및 환율 전망 및 시사점 | 2026-01-13 |
|---|---|---|
| 다음글 | 중국의 북극 화물항로 개척의 의미와 시사점 | 2025-12-24 |
