Why It Matters

AI governance is no longer a theoretical exercise. The EU AI Act entered into force in 2024, creating the world's first comprehensive legal framework for AI regulation. China's AI governance regulations have been operational since 2023. The US executive order on AI safety (October 2023) established federal requirements for AI risk assessment. Brazil, India, Singapore, and dozens of other nations are developing their own approaches.

What makes AI governance uniquely challenging is the technology's dual nature. The same facial recognition system that helps find missing children enables mass surveillance. The same language model that assists students with learning enables industrial-scale disinformation. The same medical AI that improves diagnostic accuracy in well-resourced hospitals may perform poorly on populations underrepresented in training data, widening health disparities.

Data ethics—the principles governing how data is collected, used, shared, and protected—underlies all AI governance. AI systems are built on data, and the ethical quality of the data determines the ethical quality of the system. Training data that reflects historical discrimination produces discriminatory AI. Data collected without informed consent violates autonomy regardless of how the AI uses it. Data governance and AI governance are inseparable.

The Science

EU Compliance Framework for Universities

Britchenko and Lysiak (2025) develop a compliance-capability framework for universities navigating EU data governance and AI ethics regulations. Universities occupy a unique position: they are simultaneously data holders (student records, research data), data users (analytics, AI-assisted administration), and data intermediaries (research data sharing)—making compliance particularly complex.

The framework maps the intersection of the General Data Protection Regulation (GDPR), the Data Governance Act, the AI Act, and sector-specific education regulations. Key finding: most universities lack the organizational capability to comply with the full stack of EU data governance requirements. Compliance requires not just legal knowledge but data infrastructure, staff training, ethical review processes, and governance structures that most institutions have not yet built.

The practical implication extends beyond universities: any organization operating as a complex data ecosystem (hospitals, government agencies, multinational corporations) faces the same compliance-capability gap.

Malaysia's AI Governance Implementation

Mat Taib et al. (2025) document lessons from Malaysia's implementation of its responsible AI governance framework—providing a rare empirical study of what happens when AI governance moves from policy document to operational reality.

Malaysia's framework emphasizes seven principles: fairness, reliability, privacy, inclusiveness, transparency, accountability, and human oversight. The study evaluates implementation across government agencies and private sector organizations, finding significant variation in adoption. Large technology companies implement governance mechanisms relatively quickly (they have compliance teams and technical infrastructure), while small and medium enterprises and government agencies lag substantially.

A critical finding: Malaysia's AI contribution to GDP is projected at RM 480 billion by 2030, creating strong economic incentives to deploy AI rapidly. Governance frameworks that are perceived as slowing deployment face institutional resistance—even when the governance mechanisms are nationally mandated. This tension between economic ambition and governance rigor is not unique to Malaysia; it appears in virtually every national AI governance effort.

Legal Reform in Developing Countries

Hakimi et al. (2025), with 3 citations, analyze the challenges developing countries face in creating AI legal frameworks. Their analysis identifies a structural asymmetry: developing countries are rapidly adopting AI systems designed and trained in high-income countries, but they lack the regulatory infrastructure, technical expertise, and institutional capacity to evaluate and govern these systems.

The paper argues for a rights-based approach—anchoring AI governance in existing human rights frameworks (right to privacy, right to non-discrimination, right to due process) rather than building AI-specific legal structures from scratch. This approach has practical advantages: human rights legal infrastructure already exists in most developing countries, and rights-based arguments carry political legitimacy that technocratic governance frameworks may lack.

Educational AI Governance

Rao (2025) develops a governance framework specifically for student use of generative AI tools (ChatGPT, Gemini, DALL-E) in educational institutions. The framework addresses a governance gap: most AI governance discussions focus on organizational deployment of AI systems, but students are using consumer AI tools in ways that fall outside institutional AI governance entirely.

The framework proposes three pillars: academic integrity (defining acceptable and unacceptable AI use in coursework), digital literacy (teaching students to evaluate AI outputs critically), and ethical reasoning (helping students understand the societal implications of AI systems they use daily). The argument is that AI governance in education should be educational—teaching governance principles alongside enforcing compliance rules.

AI Governance Landscape Comparison

What To Watch

The global AI governance landscape is fragmenting along at least three axes: regulatory stringency (EU strict vs. US light-touch), political values (democratic vs. authoritarian AI governance), and economic development (capacity-rich vs. capacity-constrained). Watch for whether interoperability emerges—mutual recognition agreements that allow AI systems certified in one jurisdiction to operate in another—or whether fragmentation creates compliance nightmares for organizations operating across borders. The educational governance space will become increasingly important as AI-native students enter the workforce with habits formed by unregulated consumer AI use. Expect data ethics to become a core competency requirement, not a specialization, across all professions that handle personal data—which is to say, almost all professions.

Explore related work through ORAA ResearchBrain.

면책 조항: 이 게시물은 정보 제공을 위한 연구 동향 개요이다. 학술 연구에서 인용하기 전에 구체적인 연구 결과, 통계 및 주장을 원문 논문과 대조하여 검증해야 한다.

데이터 윤리 및 책임 있는 AI 거버넌스 프레임워크

중요성

AI 거버넌스는 더 이상 이론적 논의에 그치지 않는다. EU AI Act는 2024년에 발효되어 AI 규제에 관한 세계 최초의 포괄적 법적 프레임워크를 마련하였다. 중국의 AI 거버넌스 규정은 2023년부터 시행 중이다. AI 안전에 관한 미국 행정명령(2023년 10월)은 AI 위험 평가에 대한 연방 요건을 수립하였다. 브라질, 인도, 싱가포르를 비롯한 수십 개 국가들이 자체적인 접근 방식을 개발하고 있다.

AI 거버넌스를 특히 어렵게 만드는 것은 이 기술의 이중적 성격이다. 실종 아동을 찾는 데 도움을 주는 동일한 안면인식 시스템이 대규모 감시를 가능하게 한다. 학생들의 학습을 돕는 동일한 언어 모델이 산업적 규모의 허위 정보 생성을 가능하게 한다. 자원이 풍부한 병원에서 진단 정확도를 높이는 동일한 의료 AI가 훈련 데이터에서 과소 대표된 집단에 대해서는 성능이 저하되어 건강 불평등을 심화시킬 수 있다.

데이터 윤리—데이터의 수집, 활용, 공유 및 보호 방식을 규율하는 원칙—는 모든 AI 거버넌스의 근간을 이룬다. AI 시스템은 데이터를 기반으로 구축되며, 데이터의 윤리적 수준이 시스템의 윤리적 수준을 결정한다. 역사적 차별을 반영하는 훈련 데이터는 차별적인 AI를 생산한다. 사전 동의 없이 수집된 데이터는 AI의 활용 방식과 관계없이 자율성을 침해한다. 데이터 거버넌스와 AI 거버넌스는 분리될 수 없다.

연구 동향

대학을 위한 EU 컴플라이언스 프레임워크

Britchenko와 Lysiak(2025)은 EU 데이터 거버넌스 및 AI 윤리 규정에 대응하는 대학들을 위한 컴플라이언스-역량 프레임워크를 개발하였다. 대학은 데이터 보유자(학생 기록, 연구 데이터), 데이터 이용자(분석, AI 기반 행정), 데이터 중개자(연구 데이터 공유)의 역할을 동시에 수행한다는 점에서 독특한 위치를 차지하며, 이로 인해 컴플라이언스가 특히 복잡해진다.

이 프레임워크는 일반 데이터 보호 규정(GDPR), 데이터 거버넌스 법, AI Act, 그리고 교육 분야별 규정의 교차점을 체계화한다. 핵심 연구 결과에 따르면, 대부분의 대학은 EU 데이터 거버넌스 요건의 전체 체계를 준수할 조직적 역량을 갖추지 못하고 있다. 컴플라이언스를 위해서는 법적 지식뿐만 아니라 데이터 인프라, 직원 교육, 윤리 검토 절차, 그리고 대부분의 기관이 아직 구축하지 못한 거버넌스 구조가 요구된다.

이 연구의 실용적 시사점은 대학을 넘어선다. 복잡한 데이터 생태계로 운영되는 모든 조직(병원, 정부 기관, 다국적 기업)도 동일한 컴플라이언스-역량 격차에 직면한다.

말레이시아의 AI 거버넌스 이행

Mat Taib 등(2025)은 말레이시아의 책임 있는 AI 거버넌스 프레임워크 이행에서 얻은 교훈을 기록하였으며, 이는 AI 거버넌스가 정책 문서에서 운영 현실로 이행될 때 어떤 일이 발생하는지를 다룬 드문 실증 연구이다.

말레이시아의 프레임워크는 공정성, 신뢰성, 프라이버시, 포용성, 투명성, 책임성, 인간 감독의 일곱 가지 원칙을 강조한다. 이 연구는 정부 기관과 민간 부문 조직에 걸쳐 이행 현황을 평가하였으며, 채택 수준에서 상당한 편차를 발견하였다. 대형 기술 기업들은 컴플라이언스 팀과 기술 인프라를 보유하고 있어 거버넌스 메커니즘을 비교적 신속하게 도입하는 반면, 중소기업과 정부 기관은 상당히 뒤처져 있다. 중요한 발견: 말레이시아의 AI가 GDP에 기여하는 규모는 2030년까지 4,800억 링깃(RM)에 달할 것으로 전망되며, 이는 AI를 신속하게 배포하려는 강력한 경제적 유인을 창출한다. 배포를 늦추는 것으로 인식되는 거버넌스 프레임워크는—설령 해당 거버넌스 메커니즘이 국가적으로 의무화된 경우에도—제도적 저항에 직면한다. 경제적 야망과 거버넌스 엄격성 사이의 이러한 긴장은 말레이시아에만 국한된 것이 아니며, 사실상 모든 국가적 AI 거버넌스 노력에서 나타난다.

개발도상국에서의 법제도 개혁

Hakimi et al. (2025)은 3건의 피인용을 기록하며, 개발도상국이 AI 법적 프레임워크를 구축하는 데 직면하는 도전 과제를 분석한다. 이들의 분석은 구조적 비대칭성을 식별한다. 즉, 개발도상국은 고소득 국가에서 설계되고 훈련된 AI 시스템을 빠르게 도입하고 있지만, 이러한 시스템을 평가하고 거버넌스하는 데 필요한 규제 인프라, 기술 전문성, 제도적 역량이 부족하다는 것이다.

해당 논문은 권리 기반 접근법을 주장한다. 즉, AI 특정 법적 구조를 처음부터 구축하는 대신, 기존 인권 프레임워크(프라이버시권, 비차별권, 적법 절차권)에 AI 거버넌스를 정박시키는 방식이다. 이 접근법은 실질적인 이점을 지닌다. 인권 법적 인프라는 대부분의 개발도상국에 이미 존재하며, 권리 기반 논거는 기술관료적 거버넌스 프레임워크가 결여할 수 있는 정치적 정당성을 지닌다.

교육 분야 AI 거버넌스

Rao (2025)는 교육 기관에서 학생들이 생성형 AI 도구(ChatGPT, Gemini, DALL-E)를 사용하는 것에 특화된 거버넌스 프레임워크를 개발한다. 이 프레임워크는 거버넌스 공백을 다룬다. 대부분의 AI 거버넌스 논의는 조직 차원의 AI 시스템 배포에 초점을 맞추지만, 학생들은 기관의 AI 거버넌스 범위를 완전히 벗어난 방식으로 소비자용 AI 도구를 사용하고 있다.

이 프레임워크는 세 가지 축을 제안한다. 학문적 성실성(과제에서 허용 가능한 AI 사용과 허용 불가능한 AI 사용의 정의), 디지털 리터러시(학생들이 AI 출력을 비판적으로 평가하도록 교육), 그리고 윤리적 추론(학생들이 일상적으로 사용하는 AI 시스템의 사회적 함의를 이해하도록 지원)이다. 이 논거의 핵심은 교육에서의 AI 거버넌스가 교육적이어야 한다는 것, 즉 준수 규칙을 시행하는 동시에 거버넌스 원칙을 가르쳐야 한다는 것이다.

AI 거버넌스 현황 비교

주목할 사항

글로벌 AI 거버넌스 환경은 최소 세 가지 축을 따라 파편화되고 있다. 규제 엄격성(EU의 엄격한 규제 대 미국의 경량 규제), 정치적 가치(민주적 AI 거버넌스 대 권위주의적 AI 거버넌스), 그리고 경제 발전 수준(역량이 충분한 국가 대 역량이 제한된 국가)이 그것이다. 상호운용성이 등장할지—즉, 한 관할권에서 인증된 AI 시스템이 다른 관할권에서도 운영될 수 있도록 허용하는 상호 인정 협정—아니면 파편화가 국경을 넘어 운영하는 조직에 준수의 악몽을 초래할지 주목할 필요가 있다. 교육 거버넌스 분야는 규제되지 않은 소비자용 AI 사용으로 형성된 습관을 지닌 AI 네이티브 학생들이 노동시장에 진입함에 따라 점점 더 중요해질 것이다. 개인정보를 다루는 모든 직종—즉, 사실상 거의 모든 직종—에서 데이터 윤리는 전문 분야가 아닌 핵심 역량 요건이 될 것으로 예상된다.

관련 연구는 ORAA ResearchBrain을 통해 탐색할 수 있다.