인공지능(AI)은 이제 인간의 업무를 대신 수행하고, 인간과 유사한 지능적인 행동을 수행하는 정도까지 발전해가고 있으며, 광고, 금융, 의료, 공공 등 다양한 분야에서 활용되고 있습니다. 이렇게 가까워진 인공지능시대를 맞이하여 개정된 개인정보보호법이 3월 15일 시행 예정입니다. 개정된 법안에는 인공지능 등 자동화된 결정에 대한 권리, 개인정보 보호책임자(CPO)의 자격요건 강화, 공공분야 개인정보 보호수준 평가 확대 등의 내용이 담겨있습니다.

1. 인공지능(AI)등 자동화된 결정에 대한 정보주체 권리 구체화

자동화된 결정이란 인공지능(AI)을 포함한 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정을 의미합니다. 자동화된 결정이 이루어지는 대표적인 사례는 사람의 개입 없이 AI면접을 통해 지원자의 당락 여부를 결정하는 경우입니다.

개정된 개인정보보호법 제37조의2에서는 자동화된 결정이 생명과 신체, 재산의 이익 등 자신의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체가 해당 결정을 거부하면, 이를 적용하지 않도록 했습니다.

또한 자동화된 결정을 통해 기준과 절차 등을 투명하게 공개하고, 정보주체인 국민의 요구가 있는 경우에는 어떤 기준과 절차에 따라 개인정보를 처리하고 결정이 이루어졌는지를 설명하거나 제출된 의견에 대한 반영 여부 및 결과를 알려주도록 하였습니다.

① 정보주체의 권리가 인정되는 대상: 자동화된 결정

자동화된 결정이란 사람의 개입 없이 완전히 자동화된 시스템으로, 개인정보를 분석하는 등 처리하는 과정을 거쳐, 개인정보처리자가 정보주체의 권리 또는 의무에 영향을 미치는 최종적인 결정을 한 경우를 말합니다.

즉, 결정이 이루어지는 과정에서 사람의 개입 없이 이루어진 결정은 완전히 자동화된 결정에 해당합니다. 또한, 정보주체인 국민의 권리 또는 의무에 영향을 미치는 최종적인 결정인 경우에는 자동화된 결정의 범위에 포함됩니다. 다만, 개인정보처리자가 추천하고 정보주체가 선택·결정하는 맞춤형 광고·뉴스 추천, 본인확인을 위한 단순 사실의 확인과 같은 경우는 자동화된 결정에 해당하지 않습니다. 

② 설명 및 검토 요구: 자동화된 결정이 있는 경우

정보주체는 자신의 권리 또는 의무에 영향을 미치는 경우에는 개인정보처리자에게 해당 결정에 대한 설명 또는 검토해줄 것을 요구할 수 있습니다. 이때 개인정보처리자는 해당 결정의 기준 및 처리 과정 등에 대해 설명해야 하며, 정보주체가 의견을 제출하는 경우 해당 의견을 반영할 필요가 있는지 검토하고, 반영여부와 결과를 알려야 합니다. 

③ 자동화된 결정에 대한 거부: 중대한 영향을 미치는 경우

정보주체는 자동화된 결정이 자신의 권리 또는 의무에 대해 본질적인 제한·박탈 등 중대한 영향을 미치는 경우에는 해당 자동화된 결정에 대해 거부할 수 있습니다. 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확히 알 수 있도록 동의, 계약 등을 통해 미리 알렸거나 법률에 명확히 규정이 있는 경우에는 거부는 인정되지 않고 설명 및 검토 요구만 가능합니다.

④ 개인정보처리자의 거절사유: 정당한 사유

개인정보처리자는 다른 사람의 생명·신체·재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우에는 거부·설명 등 요구를 거절할 수 있고, 거절하는 경우에는 그 사유를 정보주체에게 지체없이 알려야 합니다.

2. 개인정보 보호책임자의 전문성·독립성 강화

개인정보보호법 제31조(개인정보 보호책임자의 지정 등)에서는 개인정보 보호책임자에 관련한 내용이 개정 및 신설되었습니다.

개인정보 보호책임자 CPO는 Chief Privacy Officer의 줄임말로, 개인정보의 처리에 관한 업무를 총괄해서 책임지는 직책을 뜻하며, CPO를 의무로 지정해야하는 대상은 다음과 같습니다.

 개인정보 보호책임자가 전문성과 독립성을 기반으로 개인정보 보호 업무를 수행할수 있도록 CPO의 자격 요건을 강화하고, CPO협의회 신설을 통해 CPO상호 간 협력이 긴밀하게 이루어질 수 있도록 하였습니다. 또한 CPO의 전문성 강화를 위해 일정 기준 이상의 매출액, 개인정보를 보유한 개인정보처리자는 개인정보보호·정보보호·정보기술 경력을 총 4년 이상 갖추는 것을 CPO의 필수 요건으로 지정하였습니다.

3. 공공분야 개인정보 보호수준 평가 확대

개인정보법 제11조의 2항에서는 개인정보 보호수준 평가에 대한 법적 근거를 신설하여, 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 공개 및 개선을 권고할 수 있도록 하였으며, 평가결과에 따라 우수기관 및 소속직원에 대해 포상할 수 있는 근거를 마련하였습니다.

또한 시행령 개정을 통해 개인정보 보호수준 평가를 수행하기 위한 기준 등 근거 규정을 마련하였으며, 필요시 평가대상 기관을 방문하여 평가할 수 있도록 정비하였습니다.

4. 손해배상책임 보장 의무대상자 변경

개인정보보호법 제39조의7항에서는 정보주체에 대한 손해배상책임을 이행해야하는 대상을 조정하였고, 이에 대한 구체적인 기준을 마련하였습니다.

정보주체에 대한 손해배상책임 의무를 이행해야 하는 대상이 온라인사업자에서 전체 개인정보처리자로 변경되었습니다. 연 매출액 5천만원 이상, 이용자 수 1천명 이상인 온라인 사업자 대상에서 연매출 10억원 이상, 정보주체 수 1만명 이상인 개인정보처리자로 기준을 조정하였습니다.

5. 기타 개정사항 및 향후 계획

개인정보위원회의 고유식별정보 관리실태 정기조사의 기간을 2년에서 3년으로 조정하고, 개인정보 보호수준 평가, 개인정보보호인증(ISMS-P), 다른 법률에 따라 점검이 이루어지는 경우에는 정기조사 대상에서 제외할 수 있도록 하였습니다.

또한 국외이전의 경우 그 법적 근거를, 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우에는 처리하는 국가명을 개인정보 처리방침에 기재하여 공개하도록 하였습니다.

출처 및 참고자료

개인정보보호위원회 보도자료, 인공지능(AI)시대, 개인정보 안전장치 시행된다