보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

Q&A로 풀어본 개인정보 보호법 시행령 개정안... 자동화된 결정에 대한 정보주체의 권리는?

입력 : 2024-03-18 17:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
개인정보위, 개인정보 보호법 시행령 2차 개정사항 현장 설명회 개최
디지털 시대에 부합하는 국민의 권리 확보 위해 형식적 동의제도 개선 등 개정
자동화된 결정에 대한 정보주체의 권리 신설, 권리 행사에 필요한 사항 등 구체화


[보안뉴스 김경애 기자] 개인정보 보호법 시행령 2차 개정사항 현장 설명회가 18일 한국광고문화회관에서 개최됐다. 이날 설명회는 개정 개인정보보호법 및 2차 시행령 개정사항에 대한 안내를 비롯해 자동화된 결정에 대한 정보주체의 권리 신설 등에 대한 설명이 진행됐다.

▲개인정보 보호법 시행령 2차 개정사항 현장 설명회에서 발표하고 있는 개인정보위 이정렬 사무처장[사진=보안뉴스]


개인정보보호위원회(이하 개인정보위) 이정렬 사무처장은 “이번 개정 내용은 개인정보 보호수준 평가, 개인정보 보호책임자(CPO)의 전문성과 독립성 등 요건 강화, 자동화된 결정에 대한 정보주체의 설명 및 검토 요구, 손해배상책임 이해 의무대상 확대 등 크게 4가지로 요약되는데, 전면 개정된 개인정보보호법 공포 후 1년여의 유예기간을 뒀다”며 “자동화된 결정에 대한 개인정보보호 이슈가 상당히 크고, 세부적인 가이드라인이 필요했기 때문에 그렇게 결정한 것”이라고 밝혔다.

이어 이정렬 사무처장은 “개인정보보호 관련 학부 및 학과를 개설하고, 더 나아가 석박사 과정이 추진될 예정이며, 오는 9월부터는 개인정보보호 안전성 확보조치가 의무 부과되는 조항이 시행되는 등 법률이 한층 강화됐다”며 “이번 가이드라인에서는 실질적인 업무 방침 등 실무적 내용을 자세히 담았다”고 밝혔다.

개인정보위 개인정보정책과 김직동 과장은 “개정 개인정보보호법(2023년 3월 14일 공포)의 시행시기에 맞춰 1차(2023년 9월 15일), 2차(2024년 3월 15일), 후속 시행령 및 고시 등을 순차적으로 개정 완료했다”며 “개인정보 전송 요구권(3차)은 사전 준비 후 시행시기를 고려해 공개할 예정”이라고 밝혔다.

이번 개정 개인정보보호법의 방향에 대해 김직동 과장은 “디지털 시대에 적합한 국민의 적극적 권리를 확보하기 위해 형식적 동의제도를 개선하는 것은 물론 개인정보처리방침 평가제 도입, 개인정보 분쟁조정 제도 개선, 개인정보의 사적 목적 이용 금지, 공공분야 개인정보 처리의 안전성 강화, 글로벌 스탠더드에 부합하기 위한 개인정보 국외이전 요건 다양화 및 보호조치 강화, 형벌 중심에서 경제제재 중심으로의 전환 등이 포함됐다”고 설명했다.

이날 설명회에는 새로 신설된 인공지능을 활용한 자동화된 결정에 대해 관심이 모아졌다. 이에 <보안뉴스>는 이번 설명회에서 나온 주요 문의사항에 대해 개인정보위 임종철 사무관을 통해 들어봤다.

Q. 인공지능(AI)을 활용해 채용 절차를 진행하게 되면 무조건 자동화된 결정에 대한 권리 행사의 대상에 해당되나요?
인공지능을 활용한 채용 절차라고 해도 모두 동일하게 권리 행사의 대상이 되는 것이 아닙니다. 채용심사 과정에 실질적인 인적 개입이 있는지, 자동화된 시스템에 의한 개인정보 처리와 결정 사이에 실질적인 인적 개입이 있는지, 자동화된 시스템에 의한 개인정보 처리와 결정 사이에 실질적인 관련성이 있는지 등의 구체적이고 개별적인 맥락을 고려해야 합니다.

Q. 인공지능(AI)만으로 채용을 진행하는 경우 지원자가 거부권을 행사할 수 있나요?
해당 결정을 거부할 수 있는 권리는 정보주체의 권리, 의무에 중대한 영향을 미치는 결정의 적용을 유보함으로서 정보주체에게 발생할 수 있는 피해를 막는 것이라고 보면 됩니다. 해당 결정에 오류가 없는지, 처리한 개인정보는 정확한지 등을 인적 개입을 통해 확인하는 기회를 부여하는 것입니다.

따라서 인공지능을 활용한 면접만으로 불합격 결정을 한 경우 자동화된 결정에 대한 거부권은 불합격 결정의 적용을 유보하고 인적 개입을 통해 오류 등을 확인하고 재처리하는 조치 의무가 발생하게 되지만, 합격 결정을 해야 하거나 사람이 개입하는 채용절차를 별도로 마련해야 하는 의무가 있는 것은 아닙니다.

Q. 정보주체는 자동화된 결정에 대한 설명을 요구해야만 추가 의견 제출을 할 수 있는 건가요?
법 제37조의2제2항에서는 설명 등을 요구할 수 있도록 하고 있습니다. 자동화된 결정에 대한 설명 요구 없이도 추가 의견을 제출하고 해당 사항에 대한 검토를 요구할 수 있습니다. 다만, 자동화된 결정에 대한 설명을 제공받은 후, 처리 과정에 개인정보를 추가해 줄 것을 요청하는 등 구체적으로 검토를 요구하는 게 바람직합니다.

Q. 시행령 제44조의3제3항에 따라 정보주체가 의견을 제출하면 개인정보처리자는 검토를 해야 하는데요. 특별한 사정 없이도 시스템을 통해 재처리를 해야 하나요?
정보주체가 잘못된 개인정보에 대한 오류 정정이나 최신 개인정보의 반영 등 특별한 사유없이 재처리를 요구하는 경우에는 정보주체가 제출한 의견 반영 여부에 대해 검토한 후, 결과를 알리는 조치를 할 수 있습니다.

Q. 정보주체에게 자동화된 결정에 대한 설명을 했음에도 불구하고, 이해가 되지 않는다는 사유를 들어 알고리즘이나 영업비밀에 해당하는 내용까지 추가로 설명을 요구하는 경우 그 내용을 설명해야 하나요?
자동화된 결정에 대한 설명은 정보주체가 이해하지 못하는 AI 알고리즘에 대한 복잡한 작동 원리나 기술적인 설명을 요구하는 게 아닙니다. 개인정보처리자의 영업비밀 또는 기타 재산상의 권리를 부당하게 침해할 우려가 있는 경우 정당한 사유가 있는 것으로 판단하고 설명 요구를 거절할 수 있습니다.

Q. 현재 고객민원 창구를 통해 개인정보 열람이나 정정, 삭제, 동의철회 등의 고객민원 처리를 통합해 운영하고 있는 경우 별도의 절차를 마련해야 하나요?
자동화된 결정에 대한 거부, 설명 등의 요구절차는 개인정보처리자가 기존에 운영하고 있는 고객민원 처리 절차에 통합해 운영할 수 있습니다. 다만, 시행령 제44조의4제1항에 따라 거부, 설명 등을 할 수 있다는 사실과 방법 및 절차를 정보주체가 쉽게 확인할 수 있도록 공개해야 합니다.

Q. 자동화된 결정에 대한 공개 사항을 개인정보처리방침에 같이 공개해도 되나요?
공개사항은 인터넷 홈페이지 등을 통해 공개해야 합니다. 개인정보처리자가 기존에 인터넷 홈페이지에 공개하고 있는 개인정보처리방침에 자동화된 결정의 기준 및 절차 등의 내용을 포함해 함께 공개할 수 있습니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)