Paper ReviewInterdisciplinarySystematic Review
Who Governs AI? A Systematic Map of the Who, What, When, and How
A systematic review of 28 papers maps AI governance along four axes — who is responsible, what is controlled, when it applies, and how it works — revealing the gaps no single framework has closed.
By Sean K.S. Shin
This blog summarizes research trends based on published paper abstracts. Specific numbers or findings may contain inaccuracies. For scholarly rigor, always consult the original papers cited in each post.
When the European Union finalized the AI Act in 2024, it was celebrated as the world's first comprehensive AI regulation. Within months, critics pointed out that enforcement mechanisms remained vague, compliance timelines were staggered across years, and the definition of "high-risk" left vast grey zones. The EU was hardly alone. Every major jurisdiction — Washington, Beijing, New Delhi, Brasília — has produced governance documents, ethical guidelines, or regulatory proposals for artificial intelligence. The question is whether anyone has produced a coherent map of what all these frameworks actually say, where they agree, and where the gaps remain.
Batool, Zowghi, and Bano (2025) set out to draw that map.
The Research Landscape
AI governance has become one of the most crowded policy spaces in the world. Governments publish national AI strategies. Corporations release responsible AI principles. International organizations convene expert panels. Academic researchers propose framework after framework. The volume of output is extraordinary. The coherence is not.
The challenge is not a shortage of governance proposals. It is the absence of a systematic understanding of what these proposals share, where they diverge, and what they collectively leave unaddressed. Writing in AI and Ethics (Springer), Batool, Zowghi, and Bano (2025) conduct a systematic analysis of 28 peer-reviewed papers to construct a comprehensive map organized around four deceptively simple questions: WHO is responsible for AI governance? WHAT is being governed? WHEN in the AI development lifecycle does governance apply? And HOW is governance implemented?
Critical Analysis
The four-question framework structures the analysis with a clarity that the underlying literature often lacks.
<
| Claim | Source | Confidence | Hedge |
|---|
| 28 peer-reviewed papers are systematically analyzed | Batool et al., 2025 (abstract) | High | Explicit methodological scope |
| The analysis maps AI governance across WHO, WHAT, WHEN, and HOW dimensions | Batool et al., 2025 (abstract) | High | Core analytical framework as described |
| Commonalities and gaps are identified across governance frameworks from governments, corporations, and international organizations | Batool et al., 2025 (abstract) | Moderate–High | The authors analyze these three source types |
| The review provides a comprehensive map of AI governance | Batool et al., 2025 (abstract) | Moderate | "Comprehensive" is the authors' characterization; 28 papers may not capture all relevant work |
The WHO dimension is perhaps the most revealing. AI governance responsibility is distributed — often ambiguously — across developers, deployers, regulators, auditors, and end users. The authors' mapping of how different frameworks assign responsibility appears to expose a fundamental coordination problem: everyone is responsible in principle, which means accountability in practice remains diffuse.
The WHAT dimension addresses the scope of governance — whether frameworks target algorithms, data, deployment contexts, outcomes, or entire sociotechnical systems. The WHEN dimension asks at which stage of the AI lifecycle governance interventions are designed to operate: design, development, testing, deployment, or post-deployment monitoring. The HOW dimension maps implementation mechanisms: regulation, standards, audits, impact assessments, certification, or voluntary codes.
By analyzing commonalities and gaps across these four axes, the authors construct something the field has lacked: a structured overview of where governance frameworks converge and where they leave blind spots.
Several critical observations warrant attention. First, the sample of 28 peer-reviewed papers, while systematically selected, necessarily excludes grey literature — the white papers, corporate guidelines, and policy briefs that constitute much of the actual governance landscape. The map may be precise but not fully representative.
Second, the four-question framework, while elegant, may underweight a fifth question that practitioners consistently raise: WHY — what theory of harm or theory of benefit motivates a given governance approach? Frameworks designed to prevent existential risk operate on fundamentally different assumptions than frameworks designed to prevent employment discrimination. Mapping them on the same axes risks false equivalence.
Third, the temporal dynamics of governance remain difficult to capture in a systematic review. Governance frameworks are not static documents; they evolve through legislative revision, judicial interpretation, and institutional learning. A map drawn from published papers captures stated intentions, not necessarily lived governance.
Open Questions
Enforcement gap. The HOW dimension identifies governance mechanisms, but which mechanisms actually produce compliance? Systematic mapping of mechanisms is necessary; systematic evidence on effectiveness is the harder next step.Jurisdictional fragmentation. If governments, corporations, and international organizations each govern AI differently, what happens at the interfaces? Cross-border AI deployment may fall between governance frameworks rather than within any single one.Power asymmetries. WHO is responsible may be less important than who has the capacity to govern. Small regulators facing large technology companies operate under structural constraints that governance frameworks may acknowledge but cannot resolve by design alone.Speed mismatch. AI development cycles are measured in months. Regulatory cycles are measured in years. The WHEN dimension captures lifecycle stages, but the temporal mismatch between innovation speed and governance speed may be a critical gap of all.Democratic legitimacy. Many governance frameworks are produced by technical experts or corporate actors. How — and whether — affected publics participate in governance design remains an underdeveloped question in the literature the authors survey.Closing
Batool, Zowghi, and Bano have done the field a service that is more valuable than proposing yet another framework. They have mapped the frameworks that already exist. The four-question structure — WHO, WHAT, WHEN, HOW — provides a common vocabulary for comparing governance approaches that have, until now, been described in incommensurable terms.
What the map reveals, however, is not reassuring. The gaps the authors identify — in accountability, in lifecycle coverage, in implementation mechanisms — suggest that AI governance is still in its cartographic phase: we are learning the shape of the territory. Whether we can govern it is a question the map itself cannot answer.
면책 조항: 이 게시물은 AI의 도움을 받아 작성된 연구 동향 개요이다. 원문 논문을 읽는 것을 대체할 수 없으며, 해석은 블로그 저자의 것으로 인용된 연구자들의 견해를 반영하지 않을 수 있다.
AI를 누가 거버닝하는가? 누가, 무엇을, 언제, 어떻게에 대한 체계적 지도
2024년 유럽연합이 AI 법(AI Act)을 최종 확정했을 때, 이는 세계 최초의 포괄적인 AI 규제로서 환영받았다. 그러나 몇 달이 지나지 않아 비평가들은 집행 메커니즘이 여전히 모호하고, 준수 일정이 수년에 걸쳐 단계적으로 적용되며, "고위험"의 정의가 광범위한 회색 지대를 남긴다는 점을 지적했다. EU만이 그런 것도 아니었다. 워싱턴, 베이징, 뉴델리, 브라질리아 등 주요 국가들은 모두 인공지능에 관한 거버넌스 문서, 윤리 지침, 또는 규제 제안서를 발표해왔다. 문제는 이 모든 프레임워크가 실제로 무엇을 말하는지, 어디서 일치하는지, 그리고 어디에 공백이 남아 있는지에 대한 일관된 지도를 누군가 실제로 만들어냈느냐는 것이다.
Batool, Zowghi, Bano(2025)는 바로 그 지도를 그리고자 했다.
연구 동향
AI 거버넌스는 세계에서 가장 복잡한 정책 분야 중 하나가 되었다. 정부는 국가 AI 전략을 발표하고, 기업은 책임 있는 AI 원칙을 공표하며, 국제기구는 전문가 패널을 소집한다. 학계 연구자들은 프레임워크를 거듭 제안한다. 산출물의 양은 방대하다. 그러나 일관성은 그렇지 않다.
문제는 거버넌스 제안의 부족이 아니다. 이러한 제안들이 무엇을 공유하고, 어디서 갈라지며, 집합적으로 무엇을 다루지 못하고 있는지에 대한 체계적 이해의 부재이다. AI and Ethics(Springer)에 게재된 Batool, Zowghi, Bano(2025)는 28편의 동료 심사 논문을 체계적으로 분석하여, 표면적으로는 단순해 보이는 네 가지 질문을 중심으로 구성된 포괄적 지도를 구축한다. AI 거버넌스를 책임지는 주체는 누구(WHO)인가? 거버닝의 대상(WHAT)은 무엇인가? AI 개발 생애주기의 어느 시점(WHEN)에 거버넌스가 적용되는가? 그리고 거버넌스는 어떻게(HOW) 실행되는가?
비판적 분석
네 가지 질문으로 구성된 프레임워크는 바탕이 되는 문헌이 종종 결여하고 있는 명료함으로 분석을 구조화한다.
<
| 주장 | 출처 | 신뢰도 | 유의 사항 |
|---|
| 28편의 동료 심사 논문이 체계적으로 분석됨 | Batool et al., 2025 (초록) | 높음 | 명시적 방법론적 범위 |
| 분석이 WHO, WHAT, WHEN, HOW 차원에 걸쳐 AI 거버넌스를 지도화함 | Batool et al., 2025 (초록) | 높음 | 기술된 핵심 분석 프레임워크 |
| 정부, 기업, 국제기구의 거버넌스 프레임워크 전반에서 공통점과 공백이 확인됨 | Batool et al., 2025 (초록) | 중간–높음 | 저자들이 이 세 가지 출처 유형을 분석함 |
| 이 리뷰가 AI 거버넌스의 포괄적 지도를 제공함 | Batool et al., 2025 (초록) | 중간 | "포괄적"은 저자들의 표현이며, 28편의 논문이 모든 관련 연구를 포괄하지 않을 수 있음 |
WHO 차원은 아마도 가장 시사하는 바가 많다. AI 거버넌스 책임은 개발자, 배포자, 규제기관, 감사기관, 최종 사용자에 걸쳐 분산되어 있으며, 종종 그 경계가 모호하다. 저자들의 지도화 작업은 각기 다른 프레임워크가 책임을 어떻게 배분하는지를 드러냄으로써 근본적인 조정 문제를 노출시키는 것으로 보인다. 원칙적으로는 모두가 책임을 지지만, 실제로는 책임 소재가 분산된 채로 남는다는 것이다.
WHAT 차원은 거버넌스의 범위를 다룬다. 즉, 프레임워크가 알고리즘, 데이터, 배포 맥락, 결과물, 또는 사회기술 시스템 전체 중 어느 것을 대상으로 하는지를 다룬다. WHEN 차원은 거버넌스 개입이 AI 생애주기의 어느 단계, 즉 설계, 개발, 테스트, 배포, 또는 배포 후 모니터링 단계에서 작동하도록 설계되었는지를 묻는다. HOW 차원은 규제, 표준, 감사, 영향 평가, 인증, 또는 자발적 강령 등 실행 메커니즘을 지도화한다.
이 네 가지 축에 걸쳐 공통점과 공백을 분석함으로써, 저자들은 이 분야에서 그동안 부재했던 것, 즉 거버넌스 프레임워크가 어디서 수렴하고 어디에 맹점을 남기는지에 대한 구조화된 개요를 구축한다.
주목할 관찰들
몇 가지 중요한 관찰들이 주목을 요한다. 첫째, 28편의 동료 심사 논문으로 구성된 표본은 체계적으로 선정되었음에도 불구하고, 실제 거버넌스 환경의 상당 부분을 구성하는 백서, 기업 지침, 정책 브리프 등의 회색 문헌(grey literature)을 필연적으로 제외한다. 이 지도는 정밀할 수 있으나 완전히 대표적이지는 않을 수 있다.
둘째, 네 가지 질문 프레임워크는 우아하지만, 실무자들이 지속적으로 제기하는 다섯 번째 질문, 즉 WHY — 특정 거버넌스 접근 방식의 동기가 되는 피해 이론(theory of harm) 또는 편익 이론(theory of benefit)이 무엇인가 — 를 과소평가할 수 있다. 실존적 위험 방지를 목적으로 설계된 프레임워크는 고용 차별 방지를 목적으로 설계된 프레임워크와 근본적으로 다른 전제에 기반한다. 동일한 축 위에 이들을 매핑하면 거짓 동등성(false equivalence)의 위험이 있다.
셋째, 거버넌스의 시간적 역학은 체계적 문헌 고찰(systematic review)로 포착하기 어렵다. 거버넌스 프레임워크는 정적인 문서가 아니며, 입법적 개정, 사법적 해석, 그리고 제도적 학습을 통해 진화한다. 발표된 논문들로부터 작성된 지도는 명시된 의도를 포착할 뿐, 반드시 실제로 작동하는 거버넌스를 반영하지는 않는다.
미해결 질문들
집행 격차(Enforcement gap). HOW 차원은 거버넌스 메커니즘을 식별하지만, 실제로 어떤 메커니즘이 준수를 이끌어내는가? 메커니즘의 체계적 매핑은 필요조건이며, 효과성에 관한 체계적 증거는 더 어려운 다음 단계이다.관할권 분절화(Jurisdictional fragmentation). 정부, 기업, 국제기구가 각각 AI를 다르게 규율한다면, 그 접점에서는 무슨 일이 발생하는가? 국경을 초월한 AI 배포는 어느 하나의 거버넌스 프레임워크 내에 속하기보다 프레임워크들 사이에 놓이게 될 수 있다.권력 비대칭(Power asymmetries). 누가 책임을 지는가보다 누가 거버넌스 역량을 보유하는가가 더 중요할 수 있다. 대형 기술 기업에 직면한 소규모 규제 기관은 거버넌스 프레임워크가 인정할 수는 있지만 설계만으로는 해결할 수 없는 구조적 제약 속에서 운영된다.속도 불일치(Speed mismatch). AI 개발 주기는 수개월 단위로 측정된다. 규제 주기는 수년 단위로 측정된다. WHEN 차원은 생애주기 단계를 포착하지만, 혁신 속도와 거버넌스 속도 사이의 시간적 불일치가 모든 것 중에서 가장 결정적인 격차일 수 있다.민주적 정당성(Democratic legitimacy). 많은 거버넌스 프레임워크는 기술 전문가 또는 기업 행위자들에 의해 생산된다. 영향을 받는 대중이 거버넌스 설계에 어떻게, 그리고 실제로 참여하는지의 문제는 저자들이 검토한 문헌에서 충분히 발전되지 않은 질문으로 남아 있다.결론
Batool, Zowghi, Bano는 또 하나의 프레임워크를 제안하는 것보다 훨씬 더 가치 있는 기여를 이 분야에 제공하였다. 이들은 이미 존재하는 프레임워크들을 매핑하였다. WHO, WHAT, WHEN, HOW라는 네 가지 질문 구조는, 지금까지 공약 불가능한(incommensurable) 용어들로 서술되어 온 거버넌스 접근 방식들을 비교하기 위한 공통 어휘를 제공한다.
그러나 이 지도가 드러내는 것은 결코 안심할 수 있는 내용이 아니다. 저자들이 확인한 격차들 — 책임성, 생애주기 포괄성, 실행 메커니즘에서의 격차 — 은 AI 거버넌스가 여전히 지도 제작 단계(cartographic phase)에 있음을 시사한다. 즉, 우리는 아직 영토의 형태를 파악하는 중이다. 우리가 그것을 실제로 규율할 수 있는지는 지도 자체가 답할 수 없는 질문이다.
References (2)
Batool, A., Zowghi, D. & Bano, M. (2025). [Title of article]. AI and Ethics, 5, 3265–3279.
Batool, A., Zowghi, D., & Bano, M. (2025). AI governance: a systematic literature review. AI and Ethics, 5(3), 3265-3279.