최근 개인정보 보호위원회(이하 “보호위원회”)는 개인정보 보호법상 ‘자동화된 결정’에 관한 정보주체의 권리 관련 조항의 세부적인 적용 기준을 정하는 고시 제정안과 안내서 초안을 공개하였습니다.
AI 인사채용, AI 부정탐지시스템 등 자동화된 결정이 광범위하게 활용되면서 그에 따르는 새로운 개인정보 보호 이슈가 제기되고 있습니다. 이에 개인정보 보호법에 자동화된 결정이 정보주체의 권리 또는 의무에 영향을 미치는 경우 정보주체가 설명 등을 요구할 권리, 해당 영향이 중대한 경우에는 이를 거부할 권리, 개인정보처리자가 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 공개할 의무에 관한 조항이 신설되어, 2024. 3. 15. 시행되었습니다(‘개인정보 보호법’ 제37조의2). 금번 발표된 고시 제정안과 안내서 초안은 2024. 3. 15. 시행된 위 조항과 관련하여 자동화된 결정의 거부, 설명 및 검토 요구에 따른 조치의 판단 기준과 세부 조치사항을 보다 명확히 정하고 있습니다.
|
1.
|
‘자동화된 결정에 대한 개인정보처리자의 조치 기준’ 고시 제정안 행정예고
보호위원회는 ‘자동화된 결정에 대한 개인정보처리자의 조치 기준’ 고시(이하 “고시”) 제정안을 2024. 5. 17. 부터 6. 7. 까지 행정 예고하였고(링크), 그동안 제출 받은 다양한 의견 등을 반영하여 전체회의 심의·의결을 거쳐서 시행할 것으로 보입니다.
고시 제정안은 정보주체가 자동화된 결정에 대하여 거부하거나 설명·검토를 요구한 경우에 기업·기관 등 개인정보처리자가 조치하는 과정에서 고려해야 할 세부사항을 권리의 유형별로 구체화하고 있으며, 주요 내용은 다음과 같습니다.
|
|
(1)
|
‘자동화된 결정’의 판단기준
-
(i) 정당한 권한을 가진 사람의 실질적이고 의미 있는 개입 없이 완전히 자동화된 시스템에 의해 결정이 이루어졌는지 여부, (ii) 해당 정보주체의 개인정보를 분석·가공하는 등 개별적인 처리 과정을 거쳐 의미 있는 정보를 추출하는지 여부, (iii) 개인정보처리자가 내린 결정으로서 정보주체의 권리 또는 의무에 영향을 미치는 결정인지 여부, (iv) 해당 결정이 내려지는 단계와 관계 없이 해당 결정이 정보주체에 대한 최종적인 결정에 해당하는지 여부 등
|
|
(2)
|
정보주체의 요구에 따른 개인정보처리자의 조치
-
(거부) 해당 결정의 적용을 정지하여 정보주체의 권리 또는 의무에 중대한 영향을 미치지 않도록 조치하고 그 결과를 정보주체에게 알려야 함
-
(설명요구) 정보주체에게 개별적으로 의미 있는 정보를 선별하여 이해하기 쉬운 방식으로 간결하고 의미 있는 설명을 제공해야 함
-
(검토요구) 정보주체의 의견을 반영할지 여부를 검토하고 반영한 경우에는 그 결과를 정보주체에게 알려야 함
|
|
(3)
|
자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에 해당하는지 여부 판단 시 고려사항
-
사람의 생명, 신체의 안전과 관련된 정보주체의 권리 또는 의무인지 여부
-
정보주체의 권리가 박탈되거나 권리 행사가 불가능하게 되는지 여부
-
정보주체가 통상적으로 받아들일 수 있는 한도를 넘어서는 의무가 발생하는지 여부
-
정보주체의 권리 또는 의무에 지속적인 제한이 발생하는지 여부
-
정보주체에게 영향을 미치기 전의 상태로 회복하거나 해당 영향을 회피할 수 있는 가능성이 있는지 여부
|
|
(4)
|
‘거부권 제한 사유’에 해당되는지 여부에 대한 판단기준
-
(동의) 개인정보를 수집·이용하는 과정에서 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확하게 인지할 수 있도록 알리고 동의를 받았는지 여부
-
(법률 규정) 자동화된 결정에 대하여 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 자동화된 결정이 불가피한 경우에 해당하는지 여부
-
(계약체결·이행) 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 자동화된 결정을 하는 경우로서 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확하게 인지할 수 있도록 알렸는지 여부
|
|
(5)
|
정보주체의 요구를 거절할 정당한 사유가 있는지 판단 시 아래 사항을 고려하여, 거절 시 정보주체의 불이익과 개인정보처리자 또는 제3자의 이익을 비교·형량하여 판단
-
정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에 해당하여 거부권 행사에 따른 조치 의무가 있는지 여부
-
자동화된 결정이 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 지 여부
-
해당 조치로 인해 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는지 여부
-
해당 조치로 인해 개인정보처리자의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우로서 정보주체의 자동화된 결정에 대한 권리보다 우선하는지 여부
-
해당 자동화된 결정을 적용하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우에 해당하는지 여부
|
|
2.
|
‘자동화된 결정에 대한 정보주체의 권리 안내서’ 초안 공개
또한, 보호위원회는 2024. 5. 24. ‘자동화된 결정에 대한 정보주체의 권리 안내서’ 초안을 공개하였습니다(링크).
안내서 초안은 고시에서 정하고 있는 자동화된 결정의 범위, 거부권 제한 사유, 정보주체의 요구에 대한 거절 사유, 정보주체의 요구에 따른 개인정보처리자의 조치에 관한 사례들과 예시들을 구체적으로 안내하고 있습니다. 나아가 안내서 초안은 자동화된 결정의 기준, 절차 및 개인정보가 처리되는 처리방식에 대한 공개 방식과 예시를 구체적으로 안내하면서, 설명 가능한 인공지능(eXplainable AI; XAI) 도구의 활용과 관련된 내용 또한 포함하고 있습니다.
|
위 고시 제정안 및 안내서는 자동화된 결정과 관련된 개인정보 보호법의 해석 및 집행에 관한 보호위원회의 입장을 상세하게 담고 있으므로, 개인정보 처리를 통해 AI 채용, AI 부정탐지시스템 등 자동화된 시스템을 운영하고 있거나 도입할 계획이 있는 사업자로서는 위 고시 제정안 및 안내서의 내용과 그에 따른 후속 법 집행 동향도 면밀히 주시할 필요가 있겠습니다.
[영문] PIPC Releases Draft Subordinate Regulation and Guidance on Data Subject Rights Regarding Automated Decisions
