개인정보보호법 2차 시행령 개정안 확정
법무법인(유한) 대륙아주 강우경 변호사
1. 개인정보보호법 시행령 개정 배경
2023. 3. 14. 공포되어 2024. 3. 15. 시행된 개인정보보호법(이하 ‘법’)은 완전히 자동화된 결정에 대한 정보주체의 권리, 공공기관에 대한 개인정보 보호수준 평가, 개인정보처리자의 손해배상책임 보장, 개인정보보호책임자(이하 ‘CPO’)의 독립성 등의 내용을 담고 있습니다. 이에 따라 개인정보보호위원회(이하 ‘개보위’)는 2023. 11. 23. 개정된 법을 구체화하는 시행령 개정안을 입법예고하였는데, 2024. 3. 6. 국무회의 의결로 그 내용이 확정되었습니다(2024. 3. 15. 시행).
2. 개정 시행령 내용
금번 개정된 개인정보보호법 시행령(이하 ‘본 시행령’)은 자동화된 결정으로 이루어지는 개인정보 처리영역에서의 정보주체 권리 보장, 공공기관의 개인정보 보호수준 평가에 관한 세부적 절차, 손해배상책임 보장 의무대상자 및 의무면제 기준, CPO의 자격요건 등에 관한 사항을 다루고 있는 바, 주요 내용은 다음과 같습니다.
가. 자동화된 결정에 대한 정보주체의 권리(령 제44조의 2 내지 제44조의 4)
완전히 자동화된 결정에 대한 개인정보 처리 관련 정보주체의 권리 규정이 신설됨에 따라(법 제37조의 2) 본 시행령에 다음과 같이 관련 세부내용이 규정되었습니다.
1) 개인정보처리자의 사전공개의무
자동화된 결정이 이루어지는 경우 개인정보처리자는 홈페이지 등을 통해 ① 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위, ② 자동화된 결정에 사용되는 주요 개인정보 유형과 그 결정과의 관계, ③ 자동화된 결정 과정에서의 고려사항과 주요 개인정보가 처리되는 절차, ④ 자동화된 결정 과정에서 민감정보 또는 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적 항목 ⑤ 정보주체가 거부 또는 설명 등을 요구할 수 있다는 사실과 그 방법 및 절차를 사전에 공개함으로써 자동화된 결정에 공통적으로 적용되는 기준과 절차에 관한 정보를 정보주체에게 사전에 제공하여야 합니다. 단, 자동화된 결정을 일회성으로 하는 경우 등 지속적으로 알릴 필요가 없는 경우에는 사전 공개 대신 사전 고지를 해야 합니다.
2) (개인정보처리자의) 개별결정에 대한 설명의무
자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우, 개인정보처리자는 정보주체에게 개별결정에 대한 다음의 설명을 제공하여야 합니다: ① 자동화된 결정의 결과, ② 자동화된 결정에 사용된 주요 개인정보의 유형, ③ 그 개인정보 유형이 자동화된 결정에 미친 영향 등 자동화된 결정의 주요 기준, ④ 자동화된 결정에 사용된 주요 개인정보의 처리 과정 등 결정이 이루어지는 절차를 이해하기 쉽도록 제공하여야 합니다.
3) 정보주체의 거부권
자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우, 정보주체는 결정에 대하여 거부권을 행사할 수 있고, 이 경우 개인정보처리자는 정당한 사유가 없는 한 자동화된 결정정을 적용하지 않거나 인적 개입에 의한 재처리를 시행하여야 합니다.
나. 공공기관의 개인정보 보호수준 평가의 대상(령 제13조의2)
공공기관의 개인정보 보호 수준을 평가하고, 그 결과를 바탕으로 개선 권고를 할 수 있도록 하는 ‘개인정보 보호수준 평가’ 제도가 신설됨에 따라(법 제11조의 2), 평가대상과 평가를 수행하기 위한 기준, 평가 시행 전 평가계획 통보, 자료제출 및 방문평가 등 근거 규정을 마련하여 법이 위임하는 사항을 구체화하였습니다.
다. 손해배상책임 보험 등 가입 대상자의 범위 및 기준(령 제48조의 7)
손해배상책임 이행을 보장하기 위한 보험 가입, 준비금 적립 등 의무가 부여되는 대상자가 온라인사업자에서 전체 개인정보처리자로 변경됨에 따라(법 제39조의 7), 본 시행령은 손해배상책임 보장 의무대상자의 기준을 합리적으로 조정하고 의무 면제 기준을 규정하였습니다.
라. 개인정보 보호책임자의 지정요건 규정 및 독립성 보장(령 제32조)
본 시행령은 CPO가 전문성과 독립성을 기반으로 개인정보 보호 업무를 수행할 수 있도록 특정 개인정보처리자에 대하여 CPO 자격요건을 강화하였습니다. 적용 대상이 되는 개인정보처리자는 ① 연 매출액 또는 수입이 1,500억원 이상인 자로서, (i) 100만명 이상의 개인정보 또는 (ii) 5만명 이상 정보주체의의 민감·고유식별정보를 처리하는 개인정보처리자, ② 재학생 수 2만 명 이상인 대학(대학원 재학생 수 포함), ③ 대규모 민감정보를 처리하는 상급종합병원, ④ 공공시스템 운영기관 입니다.
이 경우 개인정보처리자는 개인정보보호 경력, 정보보호경력, 정보기술 경력을 합하여 총 4년 이상을 보유하고 그 중 개인정보보호 경력을 최소 2년 이상 CPO를 지정하여야 합니다.
3. 시사점
개인정보보호법과 동법 시행령 개정안이 시행됨에 따라 AI 기반 인·적성 및 면접 평가 시스템 등에 관련 규정이 널리 적용될 것으로 예상됩니다.
개보위는 이번 시행령 개정안에서 AI의 자동화된 결정에 의한 개인정보 처리과정을 규제함으로써 정보주체의 권리를 강조하고 있는 것으로 보입니다. 다만 개정시행령의 구체적 내용, 예컨대, ‘자동화된 결정’ 해당성의 판단 기준 또는 ‘중대한 영향’ 내지 ‘정당한 사유’ 등의 의미에 대하여 사례가 충분히 축적되지 않은 상황에서, 개인정보처리자로 하여금 AI의 자동화된 결정의 기준과 결정과정을 사전에 모두 공개하고, 개별결정에 대한 처리 절차를 모두 설명하도록 하는 것이 너무 과도한 것이라는 우려가 제기되기도 합니다.
그럼에도 개인정보보호법의 적용을 받는 사업자들로서는 금번 개정안에 따른 공개의무 및 설명의무 준수를 위해 정보주체에게 어떤 정보를 어떤 방식으로 어디까지 제공할지에 대한 자체적 기준을 미리 수립하여야 할 것입니다.