본문 바로가기
[개인정보 보호법 시행령 2차 개정②] AI 결정에 대한 국민 권리 보장 및 CPO제도 개선
김대은 기자|kde125@kidd.co.kr
페이스북 트위터 카카오스토리 네이버블로그 프린트 PDF 다운로드

[개인정보 보호법 시행령 2차 개정②] AI 결정에 대한 국민 권리 보장 및 CPO제도 개선

2차 시행령 개정으로 정보주체 권리 강화

기사입력 2024-03-22 14:12:23
페이스북 트위터 카카오스토리 네이버블로그 프린트 PDF 다운로드
[산업일보]
▶'[개인정보 보호법 시행령 2차 개정①] ‘데이터 시대’ 대응해 불합리한 규제 개선' 기사에서 이어집니다.
[개인정보 보호법 시행령 2차 개정②] AI 결정에 대한 국민 권리 보장 및 CPO제도 개선
개인정보보호위원회 개인정보보호정책과 임종철 사무관

정보비대칭 지적되는 ‘자동화된 결정’에 투명성과 정보주체 권리 보장해
개인정보보호위원회(이하 개인정보위)가 이번 2차 시행령에서 가장 강조한 내용은 ‘자동화된 결정에 대한 정보주체의 권리 도입’이었다.

자동화된 결정이란 인공지능(AI)기술을 이용한 결정을 가리킨다. 이러한 결정이 국민(정보주체) 생활 속에 자리 잡아 가면서, 완전히 자동화된 시스템으로 개인정보를 처리해 이뤄지는 결정에 대한 사전 공개와 설명 및 검토가 요구되고 있다. 또, 중대한 영향을 미치는 경우에는 거부권을 도입해 투명성 보장과 정보주체에게 정보 제공의 필요성도 증가하고 있다.

한국의 신용정보법은 금융 분야 자동화 평가 결과에 대한 설명 요구권과 이의제기권을 규정하고 있으며, 유럽연합의 GDPR(General Data Protection Regulation, 개인정보보호 규정)은 자동화된 결정에 대한 정보주체의 의견 표현과 이의제기권 및 거부권을 규정하고 있다.

개인정보위 개인정보보호정책과 임종철 사무관은 “일부 기업에서 AI에 의한 채용절차를 진행했다고 실적으로 홍보하기 시작했는데, 이 경우의 문제점은 채용 기준과 절차를 아무도 모른다는 것”이라며 “AI의 의사결정 내용에 대해 설명 가능한 사람들이 없고, 공정성과 투명성에 대한 의문이 제기된다”라고 말했다.

그는 “자동화된 결정에 대해 정보주체가 권리 행사 및 정보 요구, 설명받을 기회 보장이 기본적인 개정 방향이었다”라고 설명했다.

이러한 배경을 반영해, 2차 시행령은 ‘제37조의 2’ 항목을 신설해 자동화된 결정에 대한 정보주체의 권리행사에 필요한 사항을 구체화했다.

임종철 사무관은 “자동화된 결정은 사람의 개입 없이 자동화된 시스템에서 개인정보 분석과 같은 과정을 거쳐 개인정보처리자가 정보주체의 권리·의무에 영향을 미치는 최종적인 결정을 한 경우를 의미한다”라고 풀이했다.

즉, 정보의 분석 가공 등 실질적인 자동화 처리 과정을 거쳐 의미 있는 정보를 추출해 이뤄지는 결정이 ‘자동화된 결정’이라는 것이다.
[개인정보 보호법 시행령 2차 개정②] AI 결정에 대한 국민 권리 보장 및 CPO제도 개선
출처: 개인정보보호위원회

시행령은 개인정보처리자가 완전히 자동화된 결정을 하는 경우에는 인터넷 홈페이지 등에 △자동화된 결정이 이루어진다는 사실과 목적 및 대상이 되는 범위 △주요 개인정보 유형과 결정의 관계 △고려사항 및 개인정보 처리 절차 △민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우, 그 목적 및 처리하는 개인정보의 구체적인 항목 △정보주체의 거부·설명 등의 요구 가능과 그 방법 및 절차에 대해 공개해 투명성 확보와 정보주체의 권리 행사를 가능하게 했다.

그는 “자동화된 결정이라고 인정되면, 정보주체는 설명 요구권을 행사할 수 있고 개인정보처리자는 요구에 대해 설명할 의무가 있다”라며 “정보주체의 권리·의무에 중대한 영향을 미치는 경우에는 거부권도 행사할 수 있다”라고 했다.

여기서 ‘설명’이란 개인정보의 유형 및 영향 등 결정의 주요 기준과 개인정보의 처리 과정 등을 간결하고 의미있게 제공하는 것을 말한다.

또한 개인정보처리자는 정보주체의 거부권 행사시 해당 결정을 적용하지 않는 조치를 해야 하고, 인적 개입에 의한 재처리 요구 시에도 이에 따른 조치 후 결과를 알려야 한다. 정보주체의 요구를 받은 날부터 30일 이내에 조치 사실을 알리거나 설명 등의 조치를 해야 하며, 정당한 사유가 있을 시 정보주체에게 사유를 고지하고 30일 이내 범위에, 2회에 한정해 연장할 수 있다.

거부권 행사의 전제 조건인 ‘중대한 영향을 미치는 경우’는 ▲생명·신체의 안전 및 기본권 보호와 관련성 ▲권리 박탈이나 권리 행사 불가능 ▲해당 영향이 미치기 전의 상태로 회복하거나 회치할 수 있는지 등을 고려해 판단한다.

다만, 정보주체가 이에 대해 명확히 알 수 있도록 동의·계약 시 미리 알렸거나 법률에 명확한 규정이 있는 경우 거부권을 인정되지 않으며 설명·검토 요구만 가능하다.

개인정보 처리자는 ‘정당한 사유’가 있다면 설명 요구나 거부권을 거절할 수 있다. 다른 사람의 생명·신체·재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우다. 거절 시에는 사유를 정보주체에게 지체없이 알려야 한다. 이때, 정보주체가 이의 제기할 수 있는 절차를 마련하고 안내해야 한다.

정당한 사유 없이 정보주체의 요구에 응하지 않거나, 시정조치 명령을 받은 후 시정조치 명령에 따르지 않으면 제재(3천만 원 이하의 과태료)를 받을 수 있다.
[개인정보 보호법 시행령 2차 개정②] AI 결정에 대한 국민 권리 보장 및 CPO제도 개선
개인정보보호위원회 자율보호정책과 공수진 사무관

개인정보보호책임자(CPO)제도 개선사항과 협의회 지원
CPO는 조직 내에서 개인정보 처리에 대한 업무를 총괄해 책임지는 핵심적인 역할이 요구되지만, 기존 법령에서는 CPO의 자격과 직위요건만 규정하고 있어 전문성 및 독립성 보장 여건이 미비하다는 지적이 있었다.

개인정보위 자율보호정책과 공수진 사무관은 “CPO는 기대되는 역할과 달리, 개인정보보호 전담인력으로서의 한계가 있었다”라며 “CPO의 역할과 위상을 제고해 실질적인 역할 수행이 가능하도록 개정했다”라고 말했다.

시행령은 제31조 제6항을 신설해 개인정보처리자에게 CPO가 독립적인 업무 수행할 수 있도록 보장할 의무를 부여했다. 공 사무관은 “CPO의 자격요건, 독립성 보장 등에 관해 개인정보 처리자의 매출액, 개인정보 보유 규모 등을 고려해 시행령으로 정했다”라며 “CPO 협의회 구성 운영 근거와 개인정보위의 지원 근거도 마련했다”라고 밝혔다.
[개인정보 보호법 시행령 2차 개정②] AI 결정에 대한 국민 권리 보장 및 CPO제도 개선
출처: 개인정보보호위원회

CPO는 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합해 총 4년 이상을 보유하고 있어야 지정할 수 있다. 이중, 개인정보보호 경력은 최소 2년 이상이어야 한다. 단, 전문 CPO 지정의 부담을 덜기 위해 학위·자격 취득, 교육 이수시 일정기간을 CPO의 경력으로 인증한다.

전문 CPO를 지정해야 하는 의무 대상은 △연간 매출액 또는 수입이 1천500억 원 이상, 100만 명 이상의 개인정보 또는 5만 명 이상의 민감정보·고유식별정보를 처리하는 자 △재학생 수가 2만 명 이상인 대학 △상급종합병원 △공공시스템운영기관이다.

이 중, 시행령 개정(3월 15일) 당시 지정돼 있는 CPO는 2년 이내에 자격요건을 갖출 수 있게 경과조치 규정을 마련하고 준비기간을 부여해 현장 혼란의 최소화를 꾀했다.

공수진 사무관은 “개인정보 보호에 대한 전사적 차원의 관심을 제공하고 CPO가 원활하게 역할을 수행할 수 있도록 개인정보 보호 업무에 대해 이사회 또는 대표자에게 최소 연 1회 이상 정기적으로 보고할 수 있는 체계를 구축해야 한다”라고 권고했다.

그는 “시행령에 신설된 제32조의 2를 근거로 ‘CPO협의회’의 공동사업의 범위를 구체화했다”라며 “CPO간 소통의 공간으로 업무 노하우와 우수사례 공유의 장으로 활용할 수 있고, 산업별 개인정보 침해방지 대책, 유출사고 대응방안 등 공동사업 발굴 및 정책 당숙과 가교 역할을 수행할 수 있을 것”이라고 기대를 밝혔다.

이어, “개인정보위는 협의회 운영과 사업에 필요한 행정적·기술적인 지원을 할 수 있는 근거도 마련했다”라며 “향후 CPO 자격 요건, 인정 범위, 독립성 보장 등을 위한 세부 절차와 기준 등을 반영해 상반기 중 업무 가이드라인을 발간하고 현장 이해도를 높여갈 계획이다”라고 전했다.

▶'[개인정보 보호법 시행령 2차 개정③]' 기사로 이어집니다.
다아라 온라인 전시관 GO


0 / 1000
주제와 무관한 악의적인 댓글은 삭제될 수 있습니다.
0 / 1000




추천제품