기업 컴플라이언스: GDPR, HIPAA, SOC2 및 AI 규정

GDPR(일반 데이터 보호 규정)은 회사 위치에 관계없이 EU 거주자의 개인 데이터 처리에 적용됩니다.

제44조(데이터 이전): 특정 보호 조치가 적용되지 않는 한 개인 데이터를 EU 밖으로 이전할 수 없습니다. 미국 서버에 대한 클라우드 API는 이를 위반합니다. Hetzner Cloud GPU와 같은 EU 기반 인프라 옵션은 GDPR 준수 배포를 제공합니다.

제12-22조(정보 주체 권리): 개인은 데이터에 대한 접근, 삭제("잊힐 권리"), 이동을 요청할 수 있습니다. 30일 이내에 응답해야 합니다.

제5조(원칙): 데이터는 최소화되고 정확하며 적법하게 처리되어야 합니다. 목적 제한: 동의 없이 새로운 목적으로 데이터를 사용할 수 없습니다.

과징금: 연간 전 세계 매출의 4% 또는 최대 €2,000만 중 더 높은 금액.

HIPAA(의료 보험 이동성 및 책임법)는 의료 제공자, 보험사 및 보호 건강 정보(PHI)를 취급하는 모든 사람에게 적용됩니다.

164.306(보안 규칙): 관리적, 물리적, 기술적 보호 조치가 요구됩니다.

물리적: 시설은 안전해야 합니다(잠금 장치, 감시).

기술적: 암호화, 접근 통제, 감사 로그.

관리적: 정책, 교육, 사고 대응.

환자 데이터를 클라우드 API로 전송하는 것은 금지됩니다. HIPAA는 공급업체와의 "비즈니스 파트너 계약(BAA)"을 요구하지만, 클라우드 AI 서비스는 종종 BAA 서명을 거부합니다.

과징금: 연간 위반 범주당 최대 $150만.

SOC2(서비스 조직 통제)는 기업 데이터를 처리하는 조직을 위한 컴플라이언스 인증입니다. Type II는 6개월 이상의 감사 증거를 요구합니다.

인증 감사자가 검토하는 항목:

• 접근 통제(시스템에 접근할 수 있는 사람)

• 암호화(저장 중 및 전송 중 데이터)

• 사고 대응(보안 사고 절차)

• 변경 관리(업데이트 승인 방법)

• 백업 및 재해 복구 절차

로컬 LLM은 모든 시스템을 제어하므로 SOC2 달성에 도움이 됩니다. 클라우드 API는 일부 통제를 공급업체에 위임하여 인증을 복잡하게 만듭니다.

EU AI Act(2024)는 공급업체 위치에 관계없이 EU에 배포되는 AI 시스템에 새로운 요구 사항을 부과합니다.

금지된 AI: 얼굴 인식(공공장소), 예측적 치안 유지, 특정 감정 감지.

고위험 AI: 위험 평가, 문서화, 인간 감독이 필요합니다.

요구되는 문서화:

• 훈련 데이터 출처 및 규모

• 다양한 집단에서의 모델 성능

• 제한 사항 및 오류율

• 의도된 사용 및 금지된 사용

로컬 LLM을 사용하면 모든 것을 문서화할 수 있습니다(훈련을 제어하므로). 클라우드 API는 문서화를 어렵게 만듭니다(공급업체가 훈련을 제어하므로).

컴플라이언스는 포괄적인 문서화 및 로깅을 요구합니다: