개인정보위, AI 확산 속 '자동화된 결정' 정보주체 권리 구체화

정부가 지난해 3월 공포된 개인정보 보호법 중 인공지능(AI)의 자동화된 결정에 따른 권리 구제를 강화한다. 예컨대 AI가 면접을 통해 채용을 결정하는 경우 정보주체인 국민은 이를 거부하거나 설명 또는 검토 요구를 할 수 있다. 개인정보보호위원회는 6일 국무회의에서 '개인정보 보호법 시행령' 개정안이 의결됨에 따라 지난해 3월 공포된 '개인정보 보호법' 권리 규정이 오는 15일부터 시행된다고 밝혔다. 개정법에는 AI 확산에 따른 자동화된 결정 영역에서 국민의 권리를 신설했다. 세부적으로 사람의 개입 없이 이루어지는 '완전히 자동화된 결정' 과정에서 정보주체는 해당 결정에 대한 설명 또는 검토 요구를 할 수 있다. 정보주체인 국민의 권리 또는 의무에 중대한 영향을 미치는 경우에는 거부할 수 있게 된다. 자동화된 결정이란 AI 등 완전히 자동화된 시스템으로 개인정보를 처리해 이뤄지는 결정이다. 예를 들어 AI 면접 만을 통해서 응시자의 개인정보를 분석해 결정을 하는 경우가 이에 해당한다. 반면 채용여부 결정 절차에서 AI 시스템에 의해 산출된 자료를 참고하는 경우는 제외된다. 사람에 의한 실질적인 개입이 없거나 단순 결재 등 형식적인 절차만을 운영하고 있다면 사실상 사람의 개입 없이 내린 결정이므로 완전히 자동화된 결정에 해당된다. 또 정보주체인 국민의 권리 또는 의무에 영향을 미치는 최종적인 결정인 경우에는 자동화된 결정의 범위에 포함된다. 정보주체인 국민은 자동화된 결정이 자신의 권리 또는 의무에 영향을 미치는 경우에는 개인정보처리자에게 해당 결정에 대한 설명 또는 검토해 줄 것을 요구할 수 있다. 정보주체는 자동화된 결정이 자신의 권리 또는 의무에 대해 본질적인 제한·박탈 등 중대한 영향을 미치는 경우에는 해당 자동화된 결정에 대해 거부할 수 있다. 이 경우 개인정보처리자는 ▲해당 결정을 적용하지 않는 조치를 하거나 ▲인적 개입에 의한 재처리를 하고 그 결과를 정보주체에게 알려야 한다. 개인정보처리자는 다른 사람의 생명·신체·재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우에는 거부·설명 등 요구를 거절할 수 있다. 거절하는 경우 사유를 정보주체에게 지체 없이 알려야 한다. 개인정보위는 개인정보 보호책임자(CPO)가 전문성과 독립성을 기반으로 개인정보 보호 업무를 수행할 수 있도록 CPO 자격 요건을 강화하고, CPO 협의회 신설을 통해 CPO 상호 간 협력이 긴밀하게 이루어질 수 있도록 했다. CPO의 전문성 강화를 위해 매출액, 개인정보의 보유 규모를 고려해 일정 기준 이상의 개인정보처리자는 개인정보보호·정보보호·정보기술 경력을 총 4년 이상(개인정보보호 경력 2년 필수) 갖추고 있는 사람을 CPO로 지정하도록 했다. 또 개인정보위는 매년 '공공기관 개인정보 관리수준 진단'을 실시하고 있지만 법적 근거가 명확하지 않안던 것도 개선했다. '개인정보 보호수준 평가' 법적 근거를 신설했고 개선 권고와 우수기관에 대해 포상할 수 있는 근거도 마련했다. 정보주체에 대한 손해배상책임을 이행할 수 있도록 보험 가입, 준비금 적립 등 의무를 이행해야 하는 대상 기준도 변경했다. 종전에는 '연 매출액 5천만원 이상'이고 '이용자 수 1천명 이상'인 온라인사업자가 대상이었다. '연 매출액등 10억원 이상'이고 '정보주체 수 1만명 이상'인 개인정보처리자로 기준을 조정했다. 고학수 개인정보위 위원장은 "개정된 제도가 제기능을 할 수 있도록 현장 홍보와 계도 활동에 집중하면서 민생현장과의 적극적인 소통을 통해 정보주체인 국민과 기업 모두에게 도움이 될 수 있는 제도로 정착시켜 나가겠다"고 밝혔다.