개인정보ㆍ데이터ㆍAI팀, 디지털혁신팀
최정규, 허종, 이민주 변호사
최정규, 허종, 이민주 변호사
인공지능(Artificial Intelligence, 이하 “AI”)은 자동화된 채용 면접 시스템 등 사회 여러 분야에서 인간의 역할을 대체하고 있습니다. AI 시대에 대응하기 위한 여러 입법적 시도가 있었는데, 그 중 자동화된 결정에 대한 대응권을 부여한 개정 개인정보보호법 제37조의2(이하 “자동화된 결정 조항”)가 2024. 3. 15.부터 시행되었습니다. 개인정보보호위원회(이하 “보호위원회”)는 “개인정보보호법 및 2차 시행령 개정사항 안내”(이하 “안내서”)를 통해 자동화된 결정 조항의 구체적인 운용방향을 공개하였습니다.
새로 도입된 자동화된 결정 조항의 주요 내용을 살펴보겠습니다.
1. 자동화된 결정에 관한 정보주체의 권리
첫째, 개인정보처리자는 완전히 자동화된 시스템으로 개인정보를 처리해 이루어지는 결정(이하 “자동화된 결정”; 단 행정청의 자동적 처분은 제외)에 관해, 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개해야 합니다(법 제37조의2 제4항). 완전히 자동화된 시스템의 기준은 “실질적이고 의미 있는 인적개입이 있는지”에 달려있으며, 단순 결재 등 형식적 절차만 두는 경우 사실상 사람의 개입이 없어 자동화된 결정에 해당합니다(안내서, 24쪽). 또한, 해당 정보주체의 개인정보를 처리하여 이루어지는 결정이어야 하므로, 사업자정보나 상품정보를 토대로 결정하는 것은 자동화된 결정이 아닙니다(안내서, 24쪽).
자동화된 결정을 하는 개인정보처리자는 다음 사항을 인터넷 홈페이지 등을 통해 공개해야 합니다(시행령 제44조의4 제1항).
새로 도입된 자동화된 결정 조항의 주요 내용을 살펴보겠습니다.
1. 자동화된 결정에 관한 정보주체의 권리
첫째, 개인정보처리자는 완전히 자동화된 시스템으로 개인정보를 처리해 이루어지는 결정(이하 “자동화된 결정”; 단 행정청의 자동적 처분은 제외)에 관해, 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개해야 합니다(법 제37조의2 제4항). 완전히 자동화된 시스템의 기준은 “실질적이고 의미 있는 인적개입이 있는지”에 달려있으며, 단순 결재 등 형식적 절차만 두는 경우 사실상 사람의 개입이 없어 자동화된 결정에 해당합니다(안내서, 24쪽). 또한, 해당 정보주체의 개인정보를 처리하여 이루어지는 결정이어야 하므로, 사업자정보나 상품정보를 토대로 결정하는 것은 자동화된 결정이 아닙니다(안내서, 24쪽).
자동화된 결정을 하는 개인정보처리자는 다음 사항을 인터넷 홈페이지 등을 통해 공개해야 합니다(시행령 제44조의4 제1항).
- 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위
- 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계
- 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차
- 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적인 항목
- 자동화된 결정에 대해 정보주체가 거부, 설명 및 검토 요구(이하 “거부ㆍ설명등요구”)를 할 수 있다는 사실과 그 방법 및 절차
둘째, 자동화된 결정이 생명ㆍ신체ㆍ재산 등 자신의 권리 또는 의무에 중대한 영향을 미치는 경우, 정보주체는 해당 개인정보처리자에 대해 해당 결정을 ‘거부’ 할 수 있습니다(법 제37조의2 제1항 본문). ‘중대한 영향을 미치는 경우’인지 여부는 ① 사람의 생명, 신체의 안전 및 기본권의 보호와 관련이 있는지, ② 정보주체의 권리가 박탈되거나 권리의 행사가 불가능하게 되는지, ③ 정보주체가 수인하기 어려운 의무가 발생하는지, ④ 정보주체의 권리 또는 의무에 지속적인 제한이 발생하는지, ⑤ 해당 영향이 미치기 전의 상태로 회복하거나 해당 영향을 회피할 수 있는 가능성이 있는지 등을 종합적으로 고려하여 판단합니다(안내서, 27쪽).
개인정보처리자는 정보주체가 위 규정에 따라 자동화된 결정을 거부한 경우 해당 자동화된 결정을 적용하지 않는 조치를 하거나(법 제37조의2 제3항, 시행령 제44조의3 제1항 제1호), 인적 개입에 의한 재처리를 요구한 경우에는 그에 따른 조치를 한 후 그 결과를 정보주체에게 알려야 합니다(시행령 제44조의3 제1항 제2호). 보호위원회는 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확히 알 수 있도록, 동의ㆍ계약 등을 통해 미리 알렸거나 법률에 근거가 있는 경우, 거부권은 인정이 되지 않는다는 입장을 취하고 있습니다(안내서, 27쪽).
셋째, 정보주체는 개인정보처리자가 자동화된 결정을 한 경우, 그 결정에 대해 다음 각 호의 사항들에 대한 설명을 요구할 수 있습니다(법 제37조의2 제2항, 시행령 제44조의3 제2항 본문). 개인정보처리자가 위 설명을 할 때에는, 데이터 처리기술, 알고리즘이나 머신러닝의 작동 방식 등 정보주체가 이해하기 쉬운 방식으로 간략하게 제시하여야 합니다(안내서, 26쪽). 개인정보처리자는 다음의 사항을 포함한 간결하고 의미 있는 설명을 정보주체에게 제공해야 합니다(시행령 제44조의3 제2항).
- 해당 자동화된 결정의 결과
- 해당 자동화된 결정에 사용된 주요 개인정보의 유형
- 제2호에 따른 개인정보의 유형이 자동화된 결정에 미친 영향 등 자동화된 결정의 주요 기준
- 해당 자동화된 결정에 사용된 주요 개인정보의 처리 과정 등 자동화된 결정이 이루어지는 절차
정보주체가 개인정보 추가 등의 의견을 제출하여 해당 의견을 자동화된 결정에 반영할 수 있는지 검토를 요구하는 경우, 개인정보처리자는 정당한 사유가 없으면 정보주체가 제출한 의견의 반영 여부를 검토하고 정보주체에게 반영 여부 및 반영 결과를 알려야 합니다(시행령 제44조의2 제2항 제2호, 제44조의3 제3항).
2. EU GDPR 자동화된 결정 규정 및 그 함의
자동화된 결정 조항은 연혁상으로 EU GDPR의 영향을 받았음은 부인하기 어렵습니다. 우리 개정법과 GDPR의 자동화된 결정 조항은 규정체계와 내용에 있어 차이점이 적지 않습니다만, 먼저 시행된 GDPR에 실무사례가 쌓이고 있고, 적정성 결정을 받아 GDPR과 유사하게 법집행을 할 유인이 있다는 점을 감안할 때 GDPR 규정 및 그 해석의 내용을 참고할 필요가 있습니다.
GDPR의 ‘자동화된 결정’은 인적 개입 없이 오로지 기술적 수단에 의해서만 이루어지는 완전 자동화 의사결정(solely automated decision-making)을 의미합니다. GDPR에 따르면, 정보주체는 자동화된 결정에 관하여 다음의 권리를 가지고 있습니다.
| 항목 | 내용 |
| 자동화된 결정대상이 되지 않을 권리 |
|
|
조치 사항
|
|
|
개인정보 영향평가
|
|
한편, GDPR 전문은 자동화된 결정에 관하여 취해야 할 적절한 조치로 다음을 예시로 제시합니다(GDPR 전문 제71항).
- 정보주체에게 최소한 (i) 인적개입을 요구할 권리, (ii) 정보주체가 자신의 견해를 표현할 권리, (iii) 평가 후 결정에 대한 설명을 요구할 권리, (iv) 결정에 대한 이의를 제기할 권리를 보장하여야 함
- 개인정보처리자가 개인정보를 처리할 때에는 (i) 처리에 적용된 로직에 관한 유의미한 정보 및 그 중요성과 영향을 알려줌으로써 처리의 공정성과 투명성 보장, (ii) 프로파일링을 위한 적합한 수학적 또는 통계적 방법 사용, (iii) 오류를 시정하고 실수 위험을 최소화할 수 있는 적절한 기술적ㆍ관리적 조치 시행, (iv) 차별적 결과를 방지하기 위하여 정보주체의 이익 및 권리에 대한 위험크기에 비례한 조치적용 등 보호조치를 취해야 함
GDPR 전문의 경우, 설명요구권이 영업비밀이나 지식재산권 등 타인의 권리나 자유에 악영향을 끼치지 않아야 한다는 한계도 설정합니다(GDPR 전문 제63항). 이 조항은 개인정보처리자의 설명의무가 전면적으로 면제되어야 한다는 것이 아니라, 그 설명의 내용에 있어서 타인의 권리를 존중하는 한계 내에서 이루어져야 한다는 점을 명확히 합니다.
3. 신용정보법상 자동화평가 조항
개인정보보호법에 자동화된 결정 조항이 시행되면서, 신용정보법상의 “자동화평가”(신용정보회사등의 종사자가 평가업무에 관여하지 아니하고 컴퓨터 등 정보처리장치로만 개인신용정보 및 그 밖의 정보를 처리하여 신용정보주체를 평가하는 행위) 및 그에 대한 신용정보주체의 대응권도 새삼 주목을 받고 있습니다. 신용정보법의 경우 “자동화평가”의 절차, 기준 및 방식 등에 관한 설명요구권, 정보제출권 및 이의제기권(기초정보의 정정ㆍ삭제요구 및 재처리요구권)을 인정하고 있으나(신용정보법 제36조의2 제1항, 제2항), 신용정보주체의 “거부권”을 인정하고 있지는 않고 있습니다.
4. 전망과 과제
자동화된 결정 조항은 본격적인 AI 시대를 맞이하여 제기되는 여러 우려에 대한 법제도적 대응으로 개정논의 당시부터 많은 관심을 불러일으켰습니다. GDPR의 영향을 받기는 하였으나, GDPR보다는 조금 더 명확하고 예측가능한 규율체계를 시도했다는 점에서 긍정적으로 평가할 대목이 있습니다. 다만, 해설서 공개, 현장설명회 등 보호위원회의 노력에도 불구하고 여전히 주요 불확정개념(“완전히 자동화”, “중대한 영향”, “정당한 사유”)에 대한 해석 문제가 말끔하게 정리된 것은 아닙니다. ‘간결’하면서도 ‘의미 있는’ 설명을 제공해야 한다는 것도 개인정보처리자 입장에서는 난이도가 상당히 높은 작업이 될 수 있습니다.
한편, 시행 초기 인적 개입의 기준에 관해서는 GDPR 등 유사 법령이 적용된 EU 사례[예: ① 자동화시스템을 통한 “서비스 부정 이용 계정” 선정과 관련된 네덜란드 우버(Uber) 사례, ② 개인신용정보의 자동화평가시스템을 통한 “상환능력” 산정과 관련된 독일의 슈파(Schufa) 사례 등] 및 스페인 데이터보호국(The Spanish Data Protection Agency)의 “자동화된 결정에서의 인적개입 평가에 대한 가이던스” 등 가이드라인이 일응의 참고자료가 될 것으로 전망됩니다. 다만, 위 언급된 개별 사례의 결론에 이르게 된 과정과 맥락을 법정책적인 취지에서 고려하고, AIㆍ데이터 산업구조와 정책 방향에 대해 국가별로 처한 상황의 차이를 감안할 필요가 있으므로 위 사례의 결론과 논리만을 무비판적으로 수용하는 것은 경계해야 합니다.
