I. 主要内容
根据韩国个人信息保护委员会于2023年11月23日公布的立法预告,《关于<个人信息保护法>第37条之2“自动化决策信息主体的权利”条款的施行令(草案)》(下称“《施行令》”)将于2024年3月15日起实施。《施行令》规定了信息主体提出拒绝·说明等要求的程序、要求说明时应当提供的信息、应当事先通过官方网站等公开的信息等具体内容。
《施行令》中最值得关注的内容是,个人信息处理者应当以自动化决策是否对信息主体的权利或义务产生“重大影响”为准,区分须向信息主体提供说明的内容。根据《施行令》规定,须向信息主体说明的内容大致分为①共同适用于自动化决策的标准和程序相关信息(事先公开事项)和②实际对信息主体作出的个别决策相关说明(个别说明)。
作出自动化决策时,个人信息处理者应当通过官方网站等方式事先公开“共同适用于自动化决策的标准和程序相关信息”。如果自动化决策对信息主体的权利或义务产生“重大影响”的,还应当根据信息主体提出的说明要求,提供“实际作出的个别决策相关说明”。如果自动化决策对信息主体的权利或义务未产生重大影响的,个人信息处理者只需根据信息主体提出的说明要求,提供事先公开事项即可。
基于以上内容,整理信息主体的权利以及个人信息处理者的义务如下:

II. 自动化决策《施行令》内容及说明

III. 启示
由于韩国《个人信息保护法》第37条之2自动化决策条款可适用于目前迅速集中且扩大适用的人工智能(AI)系统,由此,目前该条款的内容备受韩国各界相关方的关注。本次施行令于明年(2024年)实际正式实施后,相关规定亦有可能适用于以AI为基础的性格测试及面试评价系统。
但是,仅根据本次《施行令》规定的内容,难以准确了解自动化决策条款的适用标准及其范围。例如,《施行令》未规定韩国《个人信息保护法》第37条之2第1款项下的“完全自动化“、“决策”、“重大影响“以及该等条款第3款项下的“正当事由”的具体内容。据此,韩国个人信息保护委员会将于明年实施自动化决策条款之前,制定有关具体事项并通过指南形式予以公布。
就今后韩国实施自动化决策条款的场景,可以参考与韩国法律有类似规定的EU GDPR(欧洲个人信息保护法)的适用案例。例如,在荷兰有如下案例,即因不当使用Uber服务被自动屏蔽账户的司机,以违反EU GDPR规定的就自动化决策的拒绝权及信息访问权(要求说明权)为由针对Uber提起诉讼。今年4月,荷兰二审法院判决认定Uber未提供自动化决策相关说明,并支持原告司机提出的诉讼请求。在此诉讼过程中,双方就前述自动化决策的适用标准和范围相关各种问题存有诸多争议,其中最具代表性的是,法院认为,即使Uber的职工参与了司机账户的屏蔽过程,如果该过程仅属于形式性审查,或其不享有推翻决策的权限,则无法认定存在人为干预,因此,不当使用屏蔽系统作出的决策属于“完全自动化“决策。
鉴于韩国个人信息保护委员会后续将通过指南方式具体规定自动化决策适用标准,各相关企业有必要持续关注相关内容。