I. 주요 내용
2024. 3. 15. 부터 시행될 「개인정보 보호법」 제37조의2 ‘자동화된 결정에 대한 정보주체의 권리’ 조항의 시행령(안) (이하 “시행령”)이 2023. 11. 23. 입법 예고되었습니다. 시행령은 정보주체의 거부ㆍ설명 등 요구 절차, 설명 요구 시 제공해야 하는 정보, 홈페이지 등을 통해 사전 공개해야 하는 정보 등을 구체적으로 정하고 있습니다.
이번 시행령에서 가장 주목할만한 내용은 자동화된 결정이 정보주체의 권리 또는 의무에 ‘중대한 영향’을 미치는지를 기준으로 정보주체에게 제공해야 할 설명의 내용을 구분하고 있다는 점입니다. 시행령은 정보주체에게 제공해야 할 설명의 내용을 크게 ① 자동화 결정에 공통적으로 적용되는 기준과 절차에 관한 정보(사전 공개 사항)와 ② 정보주체에게 실제로 내려진 개별 결정에 대한 설명(개별 설명)으로 구분하고 있습니다.
자동화된 결정이 이루어지면, 개인정보처리자는 ‘자동화 결정에 공통적으로 적용되는 기준과 절차에 관한 정보’를 홈페이지 등을 통해 사전 공개해야 합니다. 그리고 만약 자동화된 결정이 정보주체의 권리 또는 의무에 ‘중대한 영향’을 미치는 경우에는 정보주체의 설명 요구에 대하여 ‘실제로 내려진 개별 결정에 대한 설명’을 제공해야 합니다. 중대한 영향을 미치지 않는 경우에는 정보주체의 설명 요구에 대하여 사전 공개 사항을 제공하면 됩니다.
이상의 내용을 토대로 정보주체의 권리 및 개인정보처리자의 의무를 정리하면 아래와 같습니다.
II. 자동화된 결정 시행령 내용 및 설명
시행령의 자세한 내용 및 설명은 아래 표와 같습니다.
III. 시사점
「개인정보 보호법」 제37조의2 자동화된 결정 조항은 현재 빠른 속도로 고도화되고 확산되고 있는 인공지능(AI) 시스템에 적용될 수 있다는 점에서 많은 관심을 받고 있습니다. 실제로 내년에 자동화된 결정 조항이 시행되면 AI 기반 인적성 및 면접 평가 시스템에 적용될 가능성이 있습니다.
다만 이번 시행령의 내용만으로는 자동화된 결정 조항의 적용 기준과 범위를 정확하게 알기 어렵습니다. 가령 시행령은 「개인정보 보호법」 제37조의2 제1항의 “완전히 자동화”, “결정”, “중대한 영향”과 동조 제3항의 “정당한 사유”가 각각 무엇을 의미하는지에 대하여 규정하고 있지 않습니다. 이에 개인정보보호위원회는 내년 자동화된 결정 조항 시행 전까지 세부 사항들을 정하여 안내서로 발표할 계획입니다.
앞으로 국내에서 자동화된 결정 조항이 시행될 모습과 관련하여, 국내법과 유사한 내용을 담고 있는 EU GDPR(유럽 개인정보보호법)의 적용 사례를 참고할 수 있습니다. 네덜란드에서는 우버(Uber)로부터 서비스 부정 이용으로 계정이 자동 차단된 드라이버들이 우버를 상대로 EU GDPR의 자동화된 결정에 대한 거부권 및 정보접근권(설명요구권) 위반을 들어 소송을 제기한 사례가 있습니다. 올해 4월 네덜란드 2심 법원은 우버가 자동화된 결정에 대한 설명을 제공하지 않았다고 판단하여 원고 드라이버들의 손을 들어줬습니다. 이 소송 과정에서 앞서 언급한 자동화된 결정의 적용 기준과 범위와 관련된 다양한 이슈들이 다투어 졌습니다. 대표적으로 법원은 우버 직원이 드라이버 계정 차단 과정에 관여했더라도 형식적인 검토에 그치거나 결정을 번복할 권한이 없었다면 인적개입을 인정할 수 없으므로, 부정 이용 차단 시스템이 내린 결정이 ‘완전히 자동화’된 결정에 해당한다고 보았습니다.
국내에서는 개인정보보호위원회에서 발표할 안내서를 통해 세부 적용 기준이 정해질 예정이므로 그 내용을 눈 여겨 봐야 할 것입니다.