홍콩의 AI 규제는 하나의 법률명만 찾으면 놓치기 쉽습니다. 현재의 핵심은 전용 AI법 하나가 아니라 기존 법률, 정부의 생성형 AI(GenAI) 지침, 개인정보 감독기관의 실무 가이드가 겹쳐 작동한다는 점입니다.

2025년 공개 법률 개요에 따르면 홍콩에는 AI, 빅데이터, 머신러닝만을 특정해 다루는 단일 standalone legal framework가 현재 없습니다.^[4] 다만 홍콩 디지털정책판공실(DPO)은 2025년 4월 15일 《홍콩 생성형 AI 기술 및 응용 지침》을 발표했고, 정부 자료는 이 지침이 생성형 AI의 적용 범위, 한계, 잠재 리스크, 거버넌스 원칙을 다룬다고 설명합니다.^[5][8] 개인정보 측면에서는 홍콩 개인정보 감독기관인 PCPD가 2025년 3월 직원의 업무상 GenAI 사용을 위한 체크리스트를 발간해, 조직이 내부 정책이나 지침을 만들면서 Personal Data (Privacy) Ordinance(PDPO) 요구사항을 충족하도록 돕는다고 밝혔습니다.^[9]

한눈에 보는 결론

홍콩에 AI법이 있느냐는 질문은 두 가지로 나눠 봐야 합니다.

• 단일 AI 전용법이 있나: 2025년 공개 법률 개요 기준으로는 AI·빅데이터·머신러닝 전용의 독립 법체계가 없다고 설명됩니다.^[4]
• 공식 AI 지침이 있나: DPO의 2025년 GenAI 기술 및 응용 지침이 있습니다.^[5]
• 개인정보 규제와 연결되나: 직원의 GenAI 사용, 내부 정책, PDPO 준수는 PCPD 자료에서 함께 다뤄집니다.^[9]

따라서 기업 입장에서 실무적인 답은 명확합니다. 새 AI 전용법을 기다리기보다, 지금 쓰는 AI 도구와 데이터 입력, 출력물 사용, 접근권한, 개인정보 리스크를 먼저 관리해야 합니다.

홍콩 AI·GenAI 관련 핵심 문서

문서·프레임워크	주된 대상	실무상 의미
《홍콩 생성형 AI 기술 및 응용 지침》	기술 개발자, 서비스 제공자, 사용자.[8]	DPO가 2025년 4월 15일 발표했으며, 생성형 AI의 적용 범위·한계·잠재 리스크·거버넌스 원칙을 다룹니다.[5][8]
DPO 지침의 조직 내부 정책 항목	GenAI 서비스를 도입하는 조직.[1]	허용 도구, 허용 용도, 정책 적용 범위, 입력 가능한 정보의 종류와 양, 출력 정보의 사용·저장 방식을 내부 정책에 포함할 수 있다고 제시합니다.[1]
PCPD 《직원의 생성형 AI 사용 지침 체크리스트》	직원이 업무에서 GenAI를 사용하는 조직.[9]	조직이 직원의 GenAI 사용에 관한 내부 정책·지침을 마련하고 PDPO 요구사항을 준수하도록 돕기 위해 발간됐습니다.[9]
PCPD의 AI 개인정보 관련 지침	개인정보를 이용하는 AI 시스템을 조달·사용·개발하는 조직.[10]	AI 개발·사용 시 PDPO(Cap. 486) 준수를 돕기 위한 실무 지침, 윤리 원칙, 자가평가 체크리스트를 포함한다고 설명됩니다.[10]

전용법이 없어도 왜 지금 대응해야 하나

전용 AI법이 없다는 말은 규제가 없다는 뜻이 아닙니다. 생성형 AI가 고객정보, 직원정보, 거래자료, 내부 문서처럼 개인자료나 민감한 업무자료와 만나는 순간, 개인정보 보호와 정보보안 문제가 곧바로 생깁니다.

DPO 지침은 생성형 AI 기술의 잠재 리스크와 거버넌스 원칙을 다루며, 정부 자료는 처리해야 할 기술적 리스크로 데이터 유출, 모델 편향, 오류를 언급합니다.^[8] PCPD의 체크리스트도 직원의 업무상 GenAI 사용을 내부 정책 및 PDPO 준수와 연결해 설명합니다.^[9]

즉 홍콩에서 AI 컴플라이언스는 법무팀만의 문서 작업이 아니라, 실제 업무 흐름을 정하는 문제입니다. 누가 어떤 도구를 쓸 수 있는지, 어떤 자료를 넣을 수 있는지, AI가 만든 결과물을 어디까지 믿고 어떻게 보관할지까지 정해야 합니다.

기업 AI 정책에 최소한 담아야 할 항목

DPO 지침은 GenAI 서비스를 도입하는 조직이 내부 정책이나 지침을 마련할 때 허용 도구, 허용 용도, 적용 범위, 입력 정보의 유형과 양, 출력 정보의 사용, 출력 정보의 저장 등을 다룰 수 있다고 제시합니다.^[1] PCPD 자료는 데이터 보안을 위해 직원이 어떤 기기에서 GenAI 도구에 접근할 수 있는지, 어떤 직원 범주가 사용을 허용받는지도 AI 정책에 명시해야 한다고 설명합니다.^[9]

실무적으로는 다음 항목부터 점검할 수 있습니다.

1. 허용 도구: 공개 GenAI 도구와 내부 개발 도구 중 어떤 것을 쓸 수 있는지 정합니다.^[1]
2. 허용 용도: 초안 작성, 요약, 텍스트·음성·시각 콘텐츠 제작 등 허용되는 업무 목적을 구분합니다.^[1]
3. 정책 적용 범위: 전사 공통인지, 특정 부서·업무·프로젝트에만 적용되는지 명확히 합니다.^[1]
4. 입력 가능한 데이터: 어떤 유형의 정보를 입력할 수 있는지, 입력량은 어느 수준까지 허용되는지 정합니다.^[1]
5. 출력물 사용 방식: AI 생성물을 내부 참고용으로만 쓸지, 대외 문서에 쓸 수 있는지, 사람의 검토가 필요한지 정합니다.^[1]
6. 출력물 저장 방식: AI 결과물을 어디에 저장할지, 다른 시스템으로 복사할 수 있는지, 보존 기간은 어떻게 할지 정합니다.^[1]
7. 직원·기기 접근권한: 어떤 직원 범주가 어떤 기기로 GenAI 도구에 접근할 수 있는지 정합니다.^[9]
8. 리스크 관리: 데이터 유출, 모델 편향, 오류를 정기 점검과 승인 절차에 포함합니다.^[8]

PDPO가 중요한 이유

홍콩에서 AI를 사용하면서 개인자료가 들어가면 PDPO를 따로 떼어 볼 수 없습니다. PCPD는 직원의 업무상 GenAI 사용에 관한 내부 정책이나 지침을 만들고 PDPO 요구사항을 충족하도록 돕기 위해 2025년 3월 체크리스트를 발간했다고 설명합니다.^[9]

또한 PCPD의 더 넓은 AI 관련 지침은 개인정보를 포함하는 예측형·생성형 AI 시스템을 조달하거나 사용하는 조직에 대한 권고를 담고, AI 개발·사용 시 PDPO(Cap. 486) 준수를 돕기 위한 실무 지침과 윤리 원칙, 자가평가 체크리스트를 포함한다고 설명됩니다.^[10]

따라서 AI 정책은 단순히 이 도구를 써도 되는가를 정하는 문서에 그치면 부족합니다. 데이터 출처, 입력 내용, 접근권한, 출력물 보존, 사람의 검토, 사고 발생 시 대응까지 이어져야 합니다.

직원과 일반 사용자가 기억할 점

DPO의 GenAI 지침은 기술 개발자와 서비스 제공자뿐 아니라 사용자도 대상으로 합니다.^[8] 업무에서 GenAI를 쓴다면 먼저 조직 내부 정책을 확인해야 합니다. 정책이 불명확한 상태에서 고객자료, 회사 내부자료, 개인정보를 공개 AI 도구에 넣는 것은 피하고, 입력 가능한 정보의 종류와 양에 관한 기준을 확인하는 편이 안전합니다.^[1]

또한 AI 출력물은 최종 답안이 아니라 검토가 필요한 초안으로 보는 것이 좋습니다. 정부 자료가 언급한 생성형 AI 리스크에는 모델 편향과 오류가 포함됩니다.^[8] 대외 발표자료, 고객 커뮤니케이션, 법률·의료·개인정보와 관련된 내용은 사람의 확인 절차를 두는 것이 실무적으로 안전합니다.

FAQ

홍콩에는 현재 AI 전용법이 있나요?

2025년 공개 법률 개요 기준으로 홍콩에는 AI, 빅데이터, 머신러닝만을 다루는 단일 독립 법체계가 현재 없다고 설명됩니다.^[4] 다만 DPO의 GenAI 지침, PCPD의 개인정보 관련 지침, PDPO 등 기존 법률 요구사항은 함께 고려해야 합니다.^[5][9][10]

2025년 DPO GenAI 지침은 무엇을 다루나요?

DPO는 2025년 4월 15일 《홍콩 생성형 AI 기술 및 응용 지침》을 발표했습니다.^[5] 정부 자료에 따르면 이 지침은 생성형 AI의 적용 범위와 한계, 잠재 리스크, 거버넌스 원칙을 다루며 기술 개발자, 서비스 제공자, 사용자에게 실무 운영 지침을 제공합니다.^[8]

회사가 AI 사용 정책을 꼭 만들어야 하나요?

제공된 자료만으로 모든 조직에 일률적인 법정 의무라고 단정하기는 어렵습니다. 다만 DPO 지침은 GenAI 서비스를 도입하는 조직이 내부 정책이나 지침을 마련하면서 허용 도구, 허용 용도, 입력 정보, 출력 정보의 사용·저장 등을 다룰 수 있다고 제시합니다.^[1] PCPD도 직원의 업무상 GenAI 사용에 관한 내부 정책·지침 마련과 PDPO 준수를 돕기 위해 체크리스트를 발간했다고 설명합니다.^[9]

공개 AI 도구에 개인정보를 입력해도 되나요?

상황과 데이터 성격에 따라 판단이 달라질 수 있습니다. 최소한 조직 정책, 입력 가능한 정보의 유형과 양, 접근권한, 출력물 저장 방식, PDPO 관련 요구사항을 먼저 확인해야 합니다.^[1][9][10]

정리

홍콩 AI 규제의 현재 모습을 가장 정확히 요약하면 이렇습니다. 2025년 공개 자료 기준으로 단일 AI 전용법은 아직 확인되지 않지만, 정부의 생성형 AI 지침과 PCPD의 개인정보 관련 지침, PDPO 요구사항은 이미 AI 사용의 기준선으로 작동하고 있습니다.^{[4][5][9][10]}

기업이 지금 할 수 있는 첫 단계는 거창한 AI 거버넌스 선언보다 실행 가능한 내부 정책을 만드는 것입니다. 허용 도구와 용도, 입력 데이터 제한, 출력물 사용과 저장, 직원·기기 접근권한을 정하고, 데이터 유출·편향·오류를 리스크 관리 절차에 넣어야 합니다.^[1][8][9]

이 글은 제공된 공개 출처를 바탕으로 정리한 정보이며 법률 자문이 아닙니다. 고위험 AI 배포, 개인정보 처리, 규제산업 관련 사안은 공식 문서와 전문 자문을 별도로 확인하는 것이 필요합니다.