개인정보보호위원회(이하 “보호위원회”)는 ‘자동화된 결정에 대한 개인정보처리자의 조치 기준’ 고시(이하 “고시”) 제정안을 2024. 5. 17. 부터 6. 7. 까지 행정예고하고(링크), 2024. 5. 24. ‘자동화된 결정에 대한 정보주체의 권리 안내서’(이하 “안내서”) 초안을 공개하였습니다(링크).
|
1. |
‘자동화된 결정에 대한 개인정보처리자의 조치 기준’ 제정안 행정예고 |
|
(1) |
자동화된 결정 등의 판단기준 (ㄱ) ‘자동화된 결정’에 해당하는지 여부, (ㄴ) 자동화된 결정이 정보주체의 권리 또는 의무에 ‘중대한 영향’을 미치는 경우에 해당하는지 여부, (ㄷ) 자동화된 결정에 대한 거부권 제한사유에 해당하는지 여부 판단 시 고려해야 할 사항을 구체화 |
|
구분 |
판단 시 주요 고려사항 |
|
‘자동화된 결정’ 해당 여부 |
|
|
‘중대한 영향’을 미치는 경우 해당 여부 |
|
|
거부권 제한 사유 해당 여부 |
|
|
(2) |
정보주체의 요구에 대한 거절 사유 개인정보처리자가 정보주체의 요구를 거절할 수 있는 ‘정당한 사유’에 해당하는지를 판단할 때 고려해야 하는 사항을 구체화하고, ‘정당한 사유’ 여부는 정보주체의 불이익과 개인정보처리자 또는 제3자의 이익을 비교·형량하여 개별 판단하도록 함 |
|
구분 |
거절의 ‘정당한 사유’ 판단 시 주요 고려사항 |
|
거부 |
|
|
설명요구 |
|
|
검토요구 |
|
|
(3) |
정보주체의 요구에 따른 조치 정보주체의 요구에 따라 개인정보처리자가 하여야 하는 조치를 구체화 |
|
구분 |
주요 조치 |
|
거부 |
|
|
설명요구 |
|
|
검토요구 |
|
|
(4) |
조치 기간 등 정보주체의 요구에 따른 조치 기간(30일)을 연장할 수 있는 ‘정당한 사유’의 내용을 구체화하고, 정보주체의 요구를 거절하는 경우 그 사유와 이의제기 방법 및 절차를 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 알리도록 함 |
|
2. |
자동화된 결정에 대한 정보주체의 권리 안내서 초안 공개 |
[주요 분야별 자동화된 결정 해당·제외 사례]
|
구분 |
주요 분야별 사례 |
|
자동화된 결정 |
|
|
자동화된 결정 |
|
안내서 초안에 포함된 주요 주제 항목은 다음과 같습니다:
-
권리 도입 목적
-
자동화된 결정의 대상
-
개인정보처리자의 조치사항
-
기준·절차 및 처리방식의 공개
-
정보주체의 요구 절차 및 방법
-
제재 규정
한편, 안내서 초안은 정보주체의 권리가 제한되거나 개인정보처리자가 정보주체의 요구를 거절할 수 있는 경우에 대해서도 구체적인 기준을 제시하고 있습니다. 정보주체의 거부권이 제한되는 대표적인 경우로 정보주체가 자동화된 결정에 대하여 동의한 경우가 있습니다. 안내서 초안은 정보주체의 동의를 받는 방법에 관해 개인정보처리자가 정보주체에게 ① 자동화된 결정이 이루어지는 업무의 내용과 목적과 ② 자동화된 결정 과정에서 처리되는 주요 개인정보의 유형을 다른 개인정보 수집·이용 동의 사항과 구분하여 알리고 동의를 받아야 한다고 설명하고 있습니다.
위 안내서는 자동화된 결정과 관련된 개인정보 보호법의 해석 및 집행에 관한 보호위원회의 입장을 정리한 자료로 활용될 것으로 예상되므로, 개인정보 처리를 통해 자동화된 결정을 내리는 사업자로서는 고시와 함께 위 안내서의 내용과 그에 따른 후속 법 집행 동향도 주요하게 참고하실 필요가 있겠습니다.
한편, 보호위원회는 계속하여 진화하고 있는 인공지능 기술을 고려하여 학계, 시민단체, 산업계 등 다양한 관계자의 의견을 들어 현장 중심의 질답과 사례를 추가할 예정이라고 밝혔다는 점에서, 향후 위 안내서 수정 및 발간 동향은 지속적으로 모니터링할 필요가 있겠습니다.
[1] ‘자동화된 결정’이란 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보를 처리하여 이루어지는 결정(‘행정기본법’ 제20조에 따른 행정청의 자동적 처분은 제외)을 의미합니다(개인정보 보호법 제37조의2 제1항).
