개인정보보호위원회, ‘자동화된 결정에 대한 정보주체의 권리 안내서’ 발간


법무법인 대륙아주 김정은 변호사¹
법무법인 대륙아주 나희수 변호사



1. ‘자동화된 결정에 대한 정보주체의 권리 안내서’ 발간 배경

  개인정보보호위원회는 2024. 9. 26. ‘자동화된 결정에 대한 정보주체의 권리 안내서(이하 ‘안내서’라고 합니다)’를 발간하였습니다. 안내서는 2024. 3. 15.부터 시행된 개인정보 보호법(이하 ‘법’이라고 합니다) 제37조의2 및 동법 시행령(이하 ‘영’이라고 합니다) 제44조의2 내지 제44조의4에 따른 자동화된 결정에 대한 정보주체의 권리 등에 관하여 상세히 안내함으로써 제도의 안정적 정착과 수범자의 이해를 돕기 위하여 발간되었습니다.



2. ‘자동화된 결정’의 정의

  ‘자동화된 결정’이란 다음 가.~마.의 요건을 충족하는 결정을 의미합니다.

  가. ‘완전히 자동화된 시스템’에 의할 것
  개인정보를 처리하여 이루어지는 결정 과정에서 인적 개입이 없어야 하며, 인적 개입이 있는지 여부는 i) 정당한 권한을 가진 사람이 개입하였는지(형식 요건), ii) 사람의 개입이 결정의 결과에 실질적인 영향을 미칠 수 있는지(실질 요건)를 기준으로 판단합니다.
  가령 인공지능(AI) 면접만을 통해서 개인정보를 분석하여 불합격 결정을 하는 경우 자동화된 결정에 해당하지만, 별도의 인사위원회가 실질적으로 채용 여부를 결정하면서 다른 요소와 함께 인공지능(AI)에 의해 산출된 자료를 참고하여 최종 결정을 내리는 경우 자동화된 결정에 해당하지 않습니다.

  나. 완전히 자동화된 시스템으로 ‘개인정보를 처리’하여 이루어질 것
  정보주체인 사람의 개인정보자기결정권을 보호하고자 하는 취지이므로 해당 정보주체의 개인정보를 처리하여 이루어지는 결정이어야 합니다. 
  예컨대, i) 개인정보 처리와 무관한 사업자 정보, 상품 정보 등을 처리하는 경우, ii) 개인정보를 단순 난수 처리하여 무작위 추출하는 경우 등은 이에 해당하지 않습니다.

  다. 개인정보처리자가 내린 결정으로서 정보주체의 권리 또는 의무에 영향을 미치는 최종적인 결정일 것
  예컨대, 정보주체가 선택·결정하는 맞춤형 광고·뉴스 추천 등은 개인정보처리자에 의한 결정이 아니고, 본인 확인을 위한 단순 사실 확인, 사실상의 영향이나 단순 기대이익 등은 정보주체에 법적 영향을 미치는 경우로 보기 어렵습니다.
  한편, 해당 결정은 최종적 결정이어야 하고, 단계적으로 결정이 이루어지는 경우 각각의 단계에서의 결정이 최종적인지와 최종적 결정이 정보주체의 권리 또는 의무에 영향을 미치는지를 기준으로 판단해야 합니다.

  라. ‘완전히 자동화된 시스템에 의한 개인정보 처리’와 ‘결정’ 사이에 실질적 관련성이 있을 것
  자동화된 시스템을 이용하여 개인정보를 분석·가공하는 등 처리가 해당 결정의 원인으로 작용하여야 합니다.
  예컨대, 완전히 자동화된 시스템을 이용하여 개인정보를 분석·가공한 결과가 채용 여부의 결정에 영향력을 미치는 경우 실질적 관련성이 있다고 볼 수 있지만, 취학 연령에 도달한 아동의 거주지, 성별 등 정보를 단순 난수화하여 무작위 추출을 통해 기계적으로 학교를 자동 배정하는 경우 실질적 관련성이 있다고 보기 어렵습니다.

  마. 다른 법률에 자동화된 결정 관련 특별한 규정이 없을 것
  법 제37조의2 제1항 본문에 따라 행정기본법 제20조에 따른 행정청의 자동적 처분은 자동화된 결정의 범위에서 명시적으로 제외됩니다. 또한, 개인정보 보호법이 다른 법률에 특별한 규정이 있는 경우에는 해당 규정을 적용하도록 규정하고 있어(법 제6조), 다른 법률에 자동화된 결정에 관한 특별한 규정이 있는 경우 개인정보 보호법상 자동화된 결정의 대상이 되지 않습니다.



3. 개인정보처리자의 조치사항(영 제44조의3)

  가. 거부에 대한 조치
  정보주체는 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치고, 자동화된 결정이 동의, 법률, 계약에 근거한 경우가 아닐 경우 자동화된 결정을 거부할 수 있는 권리를 갖습니다(법 제37조의2 제1항).

  정보주체가 위 권리에 의거하여 자동화된 결정을 거부할 경우, 개인정보처리자는 해당 결정의 적용을 정지하는 조치를 하고 그 결과를 정보주체에게 알려야 합니다. 또한, 개인정보처리자는 자동화된 결정에 대한 정보주체의 거부 내용에 설명 및 검토를 요구하는 내용을 포함하고 있는 경우에는 각각의 조치를 한 후 그 결과를 함께 알릴 수 있습니다[자동화된 결정에 대한 개인정보처리자의 조치 기준(이하 ‘고시’라고 합니다) 제3조].


  나. 설명 등 요구에 대한 조치
  정보주체는 개인정보처리자가 자동화된 결정을 한 경우 그 결정에 대하여 설명을 요구하거나 의견을 제출하여 개인정보처리자가 해당 의견을 자동화된 결정에 반영할 수 있는지에 대한 검토를 요구할 수 있습니다(법 제37조의2 제2항).

  정보주체가 설명을 요구한 경우 개인정보처리자는 개별적으로 정보주체에게 결정의 주요 기준, 절차 등의 사항에 대한 정보를 제공하여야 하는 것이 원칙입니다. 이 때 해당 자동화된 결정의 결과, 해당 자동화된 결정에 사용된 주요 개인정보의 유형, 자동화된 결정의 주요 기준, 해당 자동화된 결정에 사용된 주요 개인정보의 처리 과정 등 자동화된 결정이 이루어지는 절차가 포함되어야 합니다(영 제44조의3 제2항). 안내서는 AI 채용 분야, AI 자동탐지 분야 등 분야 별로 적절한 개별적 설명의 예시를 안내하고 있습니다.

  다만, 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치지 않는 경우에는, 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계, 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차를 선별하여 알릴 수 있습니다(영 제44조의3 제2항 단서).

  정보주체가 의견을 제출하고 검토를 요구할 경우, 개인정보처리자는 의견을 반영할 수 있는지 검토하고 그 결과를 알려야 합니다. 개인정보처리자가 의견을 반영하지 못하는 거절사유가 있는 경우 요구를 받은 날로부터 10일 이내에 알려야 하고, 재처리한 경우 30일 이내에 알려야 합니다(고시 제8조).



4. 기준·절차 및 처리방식의 공개 (영 제44조의4)

  개인정보처리자가 자동화된 결정을 하는 경우에는 ① 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위, ② 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계, ③ 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차, ④ 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 개인정보의 구체적인 항목, ⑤ 자동화된 결정에 대하여 정보주체가 거부·설명등요구를 할 수 있다는 사실과 그 방법 및 절차를 인터넷 홈페이지 등에 공개하여 정보주체의 권리 행사가 가능하도록 하여야 합니다. 공개 시에는 정보주체가 내용을 쉽게 이해할 수 있도록 용어를 표준화하고 동영상·그림 등 시각화된 방법을 활용하는 것이 권장됩니다.

  안내서는 AI 채용 분야, AI 복지 부정수급 탐지 분야 등 분야별로 참고할 수 있는 사전 공개 문구의 예시를 들어 공개 방식을 설명하고 있습니다.



5. 정보주체의 요구 절차 및 방법 (영 제44조의2)

  정보주체의 권리행사 방법 및 절차에 관한 법 제38조는 ‘열람등요구’의 범위에 자동화된 결정에 대한 거부·설명 등 요구(법 제37조의2)를 포함하므로(법 제38조 제1항), 개인정보처리자는 정보주체가 법 제37조의2에 따른 거부·설명 등의 요구를 할 수 있는 구체적인 방법과 절차를 마련하고 정보주체가 알 수 있도록 공개하여야 합니다. 

  거부·설명 등 요구의 방법과 절차는 해당 개인정보의 수집 방법과 절차보다 어렵지 않도록, 다음 각호의 사항을 준수하여 마련하여야 합니다(영 제41조 제2항).

1. 서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공할 것
2. 최소한 개인정보를 수집한 창구 또는 방법과 동일하게 거부·설명 등의 요구를 할 수 있도록 할 것
3. 홈페이지에 거부·설명 등의 요구의 방법과 절차를 공개할 것

  정보주체는 개인정보처리자가 마련하여 공개하는 방법과 절차에 따라 i) 자동화된 결정에 대해 거부하거나, ii) 자동화된 결정에 대한 설명을 요구하거나, iii) 의견을 제출하여 개인정보처리자가 해당 의견을 자동화된 결정에 반영할 수 있는지에 대한 검토를 요구할 수 있습니다.



6. 시사점

  안내서는 개인정보 보호법상 자동화된 결정에 대한 개인정보처리자의 의무사항에 대해 상세하게 설명하고 있어, 자동화된 결정 시스템을 운영하고 있는 기업들은 안내서를 통해 많은 도움을 받을 수 있을 것으로 기대됩니다. 

  특히, 법 제37조의2에서 정하는 의무규정을 위반하는 경우 시정명령의 대상이 될 수 있고(법 제64조), 정당한 사유 없이 정보주체의 거부·설명 등의 요구에 따르지 않는 경우 3천만 원 이하의 과태료가 부과될 수 있으므로(법 제75조 제2항 제24호), 관련 사업자들은 개인정보 보호법령 및 안내서에 따라 요구되는 의무사항을 이행하기 위하여 자동화된 결정 시스템을 점검하고 개선할 필요가 있습니다.


 

1. 현재 법무법인(유한) 대륙아주의 파트너변호사로서, 주요 업무분야는 지적재산, 정보보안, TMT (Technology, Media & Telecom), 엔터테인먼트, 바이오/헬스케어 등입니다. 지적재산권, 영업비밀, 부정경쟁행위, 개인정보보호 관련 민·형사 소송 및 자문 등의 업무를 주로 담당하고 있으며, 개인정보보호위원회 개인정보보호 기본계획(2024-2026) 수립 연구반으로 활동하였습니다.