헝가리 NAIH: AI 거버넌스와 GDPR 규정
헝가리의 개인정보 감독기관은 NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság(국가개인정보 및 정보자유 당국)입니다. 이 기관은 중앙유럽의 어떤 DPA보다도 상세한 AI 지침을 발표했습니다. 2024년에 38건의 집행 결정을 내렸으며, 개인 데이터를 처리하는 모든 AI 시스템에 사전 DPIA를 의무화하는 규정도 발표했습니다. 이 규정은 GDPR 기준을 초과합니다.
NAIH의 AI 집행 규정
대부분의 EU DPA가 포괄적인 AI 지침을 발표하는 데 그쳤다면, 헝가리 DPA는 한발 더 나아갔습니다. 2024년 지침은 운영 측면에서 구체적입니다.
모든 AI 시스템에 DPIA 의무화: 개인 데이터를 처리하는 모든 AI 시스템은 배포 전 DPIA를 완료해야 합니다. 규제 기관은 처리가 GDPR 제35조상 '고위험'에 해당하지 않더라도 이를 요구합니다. 이는 GDPR 자체의 위험 기반 접근 방식보다 더 엄격합니다.
NAIH DPIA에 포함되어야 할 사항:
- AI 모델의 데이터 입력 및 출력에 대한 기술적 설명
- 학습 데이터가 익명화되었거나 유효한 법적 근거가 있다는 증거
- 알고리즘적 차별 위험 평가
- 자동화된 결정에 대한 인간 검토 단계
- AI 처리 데이터의 보유 및 삭제 일정
연간 검토: 기관은 AI 시스템이 재학습되거나 중요하게 변경될 경우 DPIA를 매년 업데이트할 것을 요구합니다.
헝가리는 2024년에 89만 건이 넘는 GDPR 데이터 요청을 처리했습니다. 인구 1,000만 명의 국가로서는 상당한 규모입니다. 이는 적극적인 권리 행사와 컴플라이언스 팀에 대한 실질적인 압력을 보여줍니다.
NER 정확도 격차
기관의 2024년 검토에서 헝가리어 텍스트에 대한 NER 모델을 테스트한 결과, 정확도는 67%에 불과했습니다. EU 평균은 82%입니다. 이 15%포인트 격차는 실질적인 컴플라이언스 비용을 발생시킵니다.
헝가리어는 교착어입니다. 수많은 접미사를 통해 단어를 형성합니다. 헝가리어 이름, 주소, 신분증 번호는 영어나 독일어 데이터와 매우 다른 형태를 띱니다. 해당 언어로 학습된 도구들은 헝가리어 문서의 상당 부분에서 개인 데이터를 놓칩니다. 이 격차가 GDPR 컴플라이언스에 미치는 영향은 다국어 개인정보 탐지 가이드를 참고하세요.
규제 기관은 일반 NLP 도구가 문서의 61%에서 TAJ-szám을 놓친다는 사실을 발견했습니다. 형식 변이와 체크섬 지원 부재가 주요 원인입니다.
헝가리 국가 신분증 식별자
헝가리에서 문서를 처리하는 팀은 다음 식별자 유형을 정확하게 탐지해야 합니다. EU 전반의 적용 맥락은 EU 국가 세금 ID 탐지 가이드를 참고하세요.
TAJ-szám (사회보험 식별 번호): 9자리 사회보장 번호. 건강, 급여, 연금 기록에 등장합니다. 사회보험 당국이 설정한 가중 체크섬을 통해 검증합니다.
Adóazonosító jel (개인 세금 ID): 10자리 개인 세금 식별자. 8자리 코어와 검사 자릿수 2개로 구성됩니다. 급여, 세금 신고, 고용 계약에 등장합니다.
Személyi igazolvány 번호: 주민등록증 번호. 형식과 검사 자릿수 규칙은 발급 기관의 규정을 따릅니다.
Útlevél szám (여권 번호): 여권 번호. 형식과 검사 자릿수도 발급 기관이 정한 규칙을 따릅니다.
Ügyfélkapu(고객 게이트웨이)의 맥락
헝가리는 세금, 급여, 의료, 허가 등 대부분의 공공 서비스를 하나의 플랫폼인 Ügyfélkapu(고객 게이트웨이)를 통해 운영합니다. 400만 명 이상의 시민이 이를 이용합니다. 민간 기업들도 급여, 복지, 신원 확인을 위해 Ügyfélkapu에 연결합니다. 이러한 기업들은 규제 맥락에서 동일한 식별자를 처리하게 됩니다.
기관은 이 기업들이 종종 국제 개인정보 도구를 사용한다는 사실을 발견했습니다. 대부분의 도구는 위 식별자를 지원하지 않아 데이터 누락과 직접적인 컴플라이언스 위험으로 이어집니다.
EU AI법과의 연계
헝가리는 AI법 규정을 DPA 지침에 일찍 반영했습니다. 규제 기관의 입장은 명확합니다.
고위험 AI 시스템은 AI법 부속서 III에 열거되어 있습니다. 채용, 신용평가, 필수 서비스 등이 해당됩니다. 이 시스템들은 AI법 적합성 평가와 NAIH DPIA 모두를 요구합니다.
헝가리 내 사람들의 데이터를 처리하는 범용 AI 모델도 NAIH DPIA가 필요합니다. AI법상 고위험으로 분류되지 않은 모델에도 적용됩니다.
헝가리에서 AI를 배포하는 팀의 핵심 체크리스트는 세 가지입니다. 출시 전 NAIH DPIA 완료, NER 도구가 헝가리어 텍스트에서 위 항목들을 탐지하는지 확인, 체크섬 검증을 포함한 TAJ-szám과 adóazonosító jel 탐지 확인.