A deepfake video of a CEO announcing false earnings can move stock prices. A deepfake pornographic image of a high school student can destroy a life. A deepfake audio recording of a political leader can incite violence. The technology to produce these artifacts is now accessible to anyone with a consumer-grade computer and free software. The legal frameworks to address the resulting harms are fragmented, inconsistent, and in many jurisdictions, nonexistent.

Deepfakes—AI-generated synthetic media that convincingly replicate a real person's appearance, voice, or mannerisms—represent a category of harm that cross-cuts traditional legal domains. They implicate privacy law (unauthorized use of personal data), intellectual property law (unauthorized reproduction of protected works), criminal law (fraud, defamation, harassment), and constitutional law (free expression, political speech). No single legal framework adequately addresses all dimensions.

Why It Matters

The scale of the deepfake problem is accelerating. Detection tools consistently lag behind generation capabilities, meaning that technical solutions alone are insufficient. Legal frameworks must create deterrence, provide remedies for victims, and establish liability for platforms that host and distribute synthetic media—while preserving legitimate uses of the technology in entertainment, education, satire, and art.

The challenge is particularly acute for non-consensual intimate imagery (NCII), where deepfake pornography disproportionately targets women and girls. Several jurisdictions have enacted specific legislation (the UK's Online Safety Act, various US state laws, South Korea's deepfake sex crime amendments), but enforcement against anonymous online distributors remains difficult.

Civil Liability for Deepfakes

Rezvorovych (2025) analyzes the civil-law dimensions of deepfake content, focusing on two intersecting domains: copyright and personal data protection. The paper argues that existing civil law frameworks contain tools that can be applied to deepfake harms, but that these tools are imperfect and require adaptation.

On copyright: when a deepfake is created using a person's copyrighted image or video (e.g., an actor's performance), copyright infringement claims may apply. However, when the deepfake is generated entirely by AI from training data, the authorship and infringement analysis becomes complex. The AI system is not a legal person capable of infringement, and the user who prompts the generation may not have directly copied any specific copyrighted work.

On personal data: deepfake generation necessarily involves processing biometric data (facial geometry, voice patterns), which under the GDPR and similar frameworks constitutes sensitive personal data requiring explicit consent. The paper argues that this provides a more robust legal basis for civil claims than copyright, because the data protection violation occurs at the moment of generation, regardless of whether the resulting deepfake is distributed.

The paper proposes a combined approach: using data protection law to address unauthorized generation and copyright/personality rights law to address unauthorized distribution.

Child Protection in Virtual Environments

Gunawardana, Ranasinghe, and Fonseka (2025) address a particularly alarming application: the use of deepfake technology and virtual identity theft to target children in the metaverse. The paper examines Sri Lanka's legal framework and finds it severely inadequate for addressing these emerging threats.

Key concerns include:

• Deepfake child sexual abuse material (CSAM): AI-generated imagery of children in sexual situations is not clearly covered by existing CSAM laws in many jurisdictions, which were drafted with reference to images of real children.
• Virtual grooming: Deepfake technology enables perpetrators to assume trusted identities (parents, teachers, peers) in virtual environments, facilitating grooming that existing online safety laws do not specifically address.
• Identity theft of minors: Children's digital identities can be replicated to create fraudulent accounts, access personal networks, or generate compromising material, with limited legal recourse available to the child or their guardians.

The paper calls for specific legislative amendments that explicitly cover AI-generated CSAM, create aggravated offenses for deepfake-enabled child exploitation, and impose platform liability for hosting synthetic media involving minors.

Generative AI and Copyright Frameworks

Kim and Song (2024) take a broader view, examining the legislative implications of generative AI (specifically ChatGPT and similar systems) for copyright law and personal information protection. The paper identifies the fundamental challenge: generative AI systems consume vast quantities of copyrighted works during training and can produce outputs that closely resemble specific works or individuals, but the legal frameworks governing both activities were designed for human creators and human infringers.

The paper examines four legislative questions:

Training data: Is the use of copyrighted works to train AI models fair use, licensed use, or infringement? Jurisdictions differ sharply.

Output ownership: Who owns the copyright in AI-generated content—the user, the developer, or no one? Most jurisdictions have not resolved this.

Personality rights: When AI generates content depicting real individuals, whose rights are violated and what remedies are available?

Disclosure obligations: Should AI-generated content be labeled? Several jurisdictions (EU AI Act, China's Deep Synthesis Provisions) now require it.

Legislative Approaches Compared

<

Jurisdiction	Deepfake-Specific Law	NCII Coverage	AI-Generated CSAM	Labeling Requirement
EU	AI Act transparency provisions	Digital Services Act + member state laws	Proposed expansion of child exploitation directives	Yes (AI Act Article 50)
US (Federal)	No comprehensive law	TAKE IT DOWN Act (2024)	PROTECT Act (covers virtual CSAM)	No federal requirement
US (States)	~15 states with deepfake laws	~48 states with NCII laws	Varies	California, Texas require political deepfake disclosure
UK	Online Safety Act 2023	Criminal offense since 2023	Covered under existing CSAM law	Voluntary codes
South Korea	Amended Sexual Violence Prevention Act (2024)	Criminal offense with severe penalties	Covered	Under development
China	Deep Synthesis Provisions (2023)	Covered under personality rights	Covered under existing law	Yes, mandatory labeling

What To Watch

The most significant near-term development is whether jurisdictions adopt deepfake-specific criminal legislation or rely on adapting existing frameworks. The EU's AI Act transparency requirements (Article 50, requiring labeling of AI-generated content) will be tested in practice starting in 2025. In the US, the patchwork of state laws creates both inconsistency and opportunities for forum shopping. The intersection of deepfake regulation with freedom of expression—particularly for political satire and artistic expression—will generate contentious litigation as enforcement begins.

면책 조항: 이 게시물은 정보 제공 목적의 연구 동향 개요이다. 특정 연구 결과, 통계 및 주장은 학술 저작물에 인용하기 전에 원본 논문을 통해 검증해야 한다.

딥페이크 입법과 디지털 신원 보호: 법이 합성 미디어를 따라잡다

CEO의 딥페이크 영상이 허위 실적을 발표하면 주가가 움직일 수 있다. 고등학생의 딥페이크 음란 이미지는 한 사람의 삶을 파괴할 수 있다. 정치 지도자의 딥페이크 음성 녹음은 폭력을 선동할 수 있다. 이러한 결과물을 생산하는 기술은 이제 소비자용 컴퓨터와 무료 소프트웨어만 있으면 누구나 접근할 수 있다. 그로 인한 피해를 다루는 법적 체계는 파편화되어 있고, 일관성이 없으며, 많은 관할권에서 아예 존재하지 않는다.

딥페이크—실존 인물의 외모, 목소리, 또는 행동 방식을 설득력 있게 복제하는 AI 생성 합성 미디어—는 전통적인 법적 영역을 가로지르는 피해 유형을 대표한다. 딥페이크는 프라이버시법(개인 데이터의 무단 사용), 지식재산권법(보호 저작물의 무단 복제), 형사법(사기, 명예훼손, 괴롭힘), 그리고 헌법(표현의 자유, 정치적 발언)과 맞닿아 있다. 어떤 단일 법적 체계도 모든 차원을 충분히 다루지 못한다.

왜 중요한가

딥페이크 문제의 규모는 가속화되고 있다. 탐지 도구는 지속적으로 생성 능력에 뒤처지고 있어, 기술적 해결책만으로는 불충분하다. 법적 체계는 억제력을 창출하고, 피해자에게 구제 수단을 제공하며, 합성 미디어를 호스팅하고 배포하는 플랫폼에 대한 책임을 확립해야 한다—동시에 엔터테인먼트, 교육, 풍자, 예술 분야에서의 기술의 합법적 사용은 보호해야 한다.

이 문제는 비동의 친밀 이미지(NCII)에서 특히 심각한데, 딥페이크 음란물이 여성과 소녀를 불균형적으로 표적으로 삼는다. 일부 관할권에서는 특정 법률을 제정했지만(영국의 온라인 안전법, 다양한 미국 주법, 한국의 딥페이크 성범죄 개정안), 익명의 온라인 배포자에 대한 집행은 여전히 어렵다.

딥페이크에 대한 민사 책임

Rezvorovych(2025)는 딥페이크 콘텐츠의 민법적 차원을 분석하며, 저작권과 개인 데이터 보호라는 두 가지 교차 영역에 초점을 맞춘다. 이 논문은 기존 민법 체계가 딥페이크 피해에 적용할 수 있는 도구를 포함하고 있지만, 이러한 도구들은 불완전하며 적응이 필요하다고 주장한다.

저작권에 관하여: 딥페이크가 인물의 저작권으로 보호된 이미지나 영상(예: 배우의 연기)을 사용하여 생성된 경우, 저작권 침해 청구가 적용될 수 있다. 그러나 딥페이크가 학습 데이터로부터 AI에 의해 완전히 생성된 경우, 저작권자 및 침해 분석이 복잡해진다. AI 시스템은 침해 능력이 있는 법적 주체가 아니며, 생성을 유도한 사용자가 특정 저작권 보호 저작물을 직접 복제하지 않았을 수 있다.

개인 데이터에 관하여: 딥페이크 생성은 필연적으로 생체 데이터(얼굴 형태, 음성 패턴)의 처리를 수반하는데, GDPR 및 유사한 체계 하에서 이는 명시적 동의를 요구하는 민감한 개인 데이터에 해당한다. 이 논문은 이것이 저작권보다 민사 청구를 위한 더 견고한 법적 근거를 제공한다고 주장하는데, 데이터 보호 위반이 결과물인 딥페이크의 배포 여부와 관계없이 생성 시점에 발생하기 때문이다.

이 논문은 결합된 접근 방식을 제안한다: 무단 생성을 다루기 위해 데이터 보호법을 사용하고, 무단 배포를 다루기 위해 저작권/인격권법을 사용하는 것이다.

가상 환경에서의 아동 보호

Gunawardana, Ranasinghe, 그리고 Fonseka(2025)는 특히 우려스러운 적용 사례를 다룬다: 메타버스에서 아동을 표적으로 삼기 위한 딥페이크 기술과 가상 신원 도용의 사용이다. 이 논문은 스리랑카의 법적 체계를 검토하고, 이러한 신흥 위협을 다루기에 심각하게 부적절하다는 것을 발견한다.

주요 우려 사항은 다음과 같다:

• 딥페이크 아동 성착취물(CSAM): AI로 생성된 아동 성적 이미지는 실제 아동의 이미지를 기준으로 작성된 기존 CSAM 법률에 의해 많은 법적 관할권에서 명확하게 규제되지 않는다.
• 가상 그루밍(virtual grooming): 딥페이크 기술은 가해자가 가상 환경에서 부모, 교사, 또래 등 신뢰할 수 있는 신원을 사칭할 수 있게 하여 그루밍을 용이하게 하는데, 기존 온라인 안전 법률은 이를 구체적으로 다루지 않는다.
• 미성년자 신원 도용: 아동의 디지털 신원을 복제하여 사기성 계정을 생성하거나, 개인 네트워크에 접근하거나, 타협적인 자료를 생성하는 데 악용될 수 있으나, 아동 또는 보호자가 취할 수 있는 법적 수단은 제한적이다.

해당 논문은 AI로 생성된 CSAM을 명시적으로 포괄하고, 딥페이크를 이용한 아동 착취에 대한 가중 처벌 규정을 신설하며, 미성년자가 포함된 합성 미디어 호스팅에 대한 플랫폼 책임을 부과하는 구체적인 입법 개정을 촉구한다.

생성형 AI와 저작권 체계

Kim과 Song(2024)은 보다 폭넓은 시각에서 생성형 AI(구체적으로 ChatGPT 및 유사 시스템)가 저작권법과 개인정보 보호에 미치는 입법적 함의를 검토한다. 해당 논문은 근본적인 과제를 지적한다. 생성형 AI 시스템은 학습 과정에서 방대한 양의 저작물을 소비하고, 특정 저작물이나 개인과 매우 유사한 결과물을 생성할 수 있지만, 두 활동 모두를 규율하는 법적 체계는 인간 창작자와 인간 침해자를 전제로 설계되었다는 점이다.

해당 논문은 네 가지 입법적 질문을 검토한다.

학습 데이터: AI 모델 학습에 저작물을 사용하는 것은 공정 이용(fair use)인가, 허락된 이용인가, 아니면 침해인가? 법적 관할권마다 견해가 크게 다르다.

결과물 소유권: AI가 생성한 콘텐츠의 저작권은 누구에게 귀속되는가—이용자인가, 개발자인가, 아니면 누구도 아닌가? 대부분의 법적 관할권에서 아직 해결되지 않은 문제이다.

퍼블리시티권(personality rights): AI가 실제 인물을 묘사한 콘텐츠를 생성하는 경우, 누구의 권리가 침해되며 어떤 구제 수단이 가능한가?

공개 의무: AI 생성 콘텐츠에는 표시가 의무화되어야 하는가? 일부 법적 관할권(EU AI Act, 중국의 심층합성 규정)에서는 현재 이를 요구하고 있다.

입법 접근 방식 비교

<

법적 관할권	딥페이크 특정 법률	NCII 적용 범위	AI 생성 CSAM	표시 의무
EU	AI Act 투명성 조항	디지털서비스법(Digital Services Act) + 회원국 법률	아동 착취 지침 확대 제안	있음(AI Act 제50조)
미국(연방)	포괄적 법률 없음	TAKE IT DOWN Act(2024)	PROTECT Act(가상 CSAM 적용)	연방 차원 요건 없음
미국(주)	약 15개 주에 딥페이크 관련 법률 존재	약 48개 주에 NCII 관련 법률 존재	주마다 상이	캘리포니아, 텍사스는 정치적 딥페이크 공개 의무화
영국	온라인안전법(Online Safety Act) 2023	2023년부터 형사 처벌 대상	기존 CSAM 법률 적용	자율 규약
대한민국	개정 성폭력방지법(2024)	중형을 포함한 형사 처벌 대상	적용됨	개발 중
중국	심층합성 규정(Deep Synthesis Provisions)(2023)	퍼블리시티권으로 적용	기존 법률 적용	있음, 표시 의무화

주목해야 할 사항

가장 중요한 단기적 동향은 각 법적 관할권이 딥페이크 특정 형사 입법을 채택할 것인지, 아니면 기존 체계의 적용 확대에 의존할 것인지 여부이다. EU AI Act의 투명성 요건(제50조, AI 생성 콘텐츠 표시 의무)은 2025년부터 실제 적용될 예정이다. 미국에서는 주(州) 법률의 분절적 집합이 일관성 부재와 법적 관할권 쇼핑(forum shopping)의 여지를 동시에 만들어 내고 있다. 딥페이크 규제와 표현의 자유—특히 정치적 풍자 및 예술적 표현—의 교차 지점은 집행이 시작됨에 따라 논쟁적인 소송을 야기할 것이다.