보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

개인정보위, ‘자동화된 결정에 대한 조치 기준’ 고시 제정안 행정예고... 어떤 내용 담겼나

입력 : 2024-05-22 22:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
‘자동화된 결정에 대한 개인정보처리자의 조치 기준’ 고시 제정안 17일부터 행정예고
‘자동화된 결정에 대한 정보주체의 권리 안내서’ 초안 24일 공개
정보주체가 거부시 개인정보처리자가 조치해야 할 세부사항 고시 제정 구체화
개인정보위, 6월 7일까지 의견 제출...간담회 등 통해 현장 의견 수렴해 나갈 것


[보안뉴스 김경애 기자] 인공지능(AI) 기술 등을 이용한 자동화된 결정에 대해 개인정보처리자가 조치해야 하는 세부기준인 ‘자동화된 결정에 대한 개인정보처리자의 조치 기준’ 고시 제정안이 5월 17일부터 6월 7일까지(20일간) 행정예고된다.

▲개인정보처리자를 위한 ‘자동화된 결정’ 자율진단표[자료=개인정보보호위원회]


이번 고시 제정안은 올해 1월 개인정보보호법 시행령 심사 과정에서 기업·기관 등 개인정보처리자가 조치해야 할 세부사항을 고시 제정을 통해 구체화할 필요가 있다는 규제개혁위원회의 의견을 반영했다.

이에 따라 고시 제정안에는 자동화된 결정에 대해 정보주체가 거부하거나 설명·검토를 요구한 경우에 기업·기관 등 개인정보처리자가 조치하는 과정에서 고려해야 할 세부사항을 권리의 유형별로 구체화했다.

첫째, 정보주체가 자신의 권리 또는 의무에 중대한 영향을 미치는 자동화된 결정에 대해 설명을 요구한 경우에는 정보주체에게 개별적으로 의미있는 정보를 선별해 이해하기 쉬운 방식으로 간결하게 제공하도록 했다. 중대한 영향을 미치지 않는 자동화된 결정의 경우에는 미리 공개한 주요 개인정보의 유형과 자동화된 결정의 관계 등을 간결하게 알릴 수 있다.

이 경우, ‘자동화된 결정’에 해당하는지 여부를 판단할 때에는 ‘정당한 권한을 가진 사람의 실질적이고 의미 있는 개입’이 있는지, 정보주체의 개인정보에 대한 개별적인 처리 과정을 거쳐 의미 있는 정보를 추출하는지, 최종적인 결정인지 등을 종합적으로 고려하도록 했다.

둘째, 정보주체의 권리 또는 의무에 중대한 영향을 미치는 자동화된 결정에 대해 정보주체가 거부한 경우에는, 해당 결정의 적용을 정지하여 정보주체에게 중대한 영향이 미치지 않도록 조치하고 그 결과를 알리도록 했다. 다만, 사람의 개입을 통해 재처리를 하고 그 결과를 알린 경우에는 해당 결정의 적용을 정지하는 조치를 하지 않을 수 있다.

이 경우, ‘중대한 영향을 미치는 경우’에 해당 하는지를 판단할 때에는 사람의 생명, 신체의 안전과 관련된 정보주체의 권리 또는 의무인지, 지속적인 제한이 발생하는지, 회복 가능성은 있는지 등을 고려하도록 했다.

고려사항은 ①사람의 생명, 신체의 안전과 관련된 권리·의무인지 ②정보주체의 권리가 박탈되거나 권리 행사가 불가능하게 되는지 ③통상적으로 받아들일 수 있는 한도를 넘어서는 의무가 발생하는지 ④지속적인 제한이 발생하는지 ⑤이전의 상태로 회복하거나 회피할 가능성이 있는지를 살펴봐야 한다.

셋째, 개인정보처리자가 정보주체의 요구를 거절할 수 있는 ‘정당한 사유’에 해당하는지를 판단할 때에는, 정보주체의 거부 또는 설명·검토 요구를 제한해 정보주체가 입게 될 불이익과 개인정보처리자 또는 제3자의 이익을 비교·형량하여 개별적으로 판단하도록 했다.

또한, ‘정당한 사유’를 판단할 때 고려해야 하는 사항은 거부권, 설명요구권, 검토요구권의 특성에 맞게 각각 구체화했다.

넷째, 조치 기간의 연장이 필요한 사유를 구체화하고, 정보주체의 요구를 거절하는 경우에는 열람 요구에 대한 거절 조치기간(10일)과 동일하게 요구를 받은 날부터 10일 이내에 알리도록 했다.

▲자동화된 결정에 대한 정보주체의 권리(요약)[자료=개인정보보호위원회]


개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 이번 고시 제정과 병행해, ‘자동화된 결정에 대한 정보주체의 권리 안내서’ 초안을 5월 24일 공개하고, 자동화된 시스템(예: AI채용, AI부정탐지시스템 등)을 운영하고 있거나, 도입할 계획이 있는 기업·기관 등을 중심으로 현장 간담회를 실시해 현장의 의견을 반영해 나갈 계획이다.

양청삼 개인정보정책국장은 “다가오는 AI 시대에 새롭게 도입된 자동화된 결정에 대한 정보주체의 권리에 대한 각 계의 다양한 의견을 반영해 이번 고시 제정안을 마련했다”며, “자동화된 결정이 현장에서 안정적으로 자리잡을 수 있도록 고시 제정안에 대한 행정예고 과정에서 현장 간담회 등을 통해 학계, 산업계, 시민단체 등의 의견을 들어 충실히 반영해 나갈 것”이라고 밝혔다.

‘자동화된 결정에 대한 개인정보처리자 조치 기준’ 고시 제정안
이번 고시 제정안과 안내서(초안)는 개인정보위 누리집 > 알림·소식 > 공지사항에서 확인할 수 있으며, 의견이 있는 기관·단체 또는 개인은 전자우편 및 일반우편 등으로 6월 7일까지(안내서(초안)는 6월 21일까지) 의견을 제출할 수 있다.

제1조(목적)
이 고시는 ‘개인정보 보호법’(이하 “법”이라 한다) 제37조의2와 ‘개인정보 보호법 시행령’(이하 “영”이라 한다) 제44조의3제6항에 따라 정보주체의 자동화된 결정에 대한 거부, 설명 및 검토 요구에 따른 개인정보처리자의 조치에 관해 필요한 사항을 규정함을 목적으로 한다.

제2조(정의)
이 고시에서 사용하는 용어의 뜻은 다음과 같다.
1. ‘자동화된 결정’이란 법 제37조의2제1항에 따라 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다. 이하 같다)으로 개인정보를 처리하여 이루어지는 결정(‘행정기본법’제20조에 따른 행정청의 자동적 처분은 제외한다)을 말한다.

2. ‘거부·설명등요구’란 영 제44조의2제1항 및 제2항에 따른 정보주체의 자동화된 결정에 대한 거부, 설명 및 검토 요구를 말한다.

3. ‘중대한 영향’이란 자동화된 결정이 정보주체의 권리 또는 의무에 법적인 영향을 미치는 경우로서 그 영향의 정도가 정보주체의 권리 또는 의무의 본질적인 내용을 제한하는 경우를 말한다.

4. ‘인적 개입’이란 자동화된 시스템에 의한 결정을 변경할 수 있는 권한을 가진 사람이 그 결정 과정 또는 재처리를 통한 결정 과정에 실질적으로 개입하는 것을 말한다.

제3조(자동화된 결정 등의 판단기준)
① 완전히 자동화된 시스템으로 이루어지는 결정이 자동화된 결정에 해당하는지 여부를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 정당한 권한을 가진 사람의 실질적이고 의미 있는 개입 없이 완전히 자동화된 시스템에 의해 결정이 이루어졌는지 여부
2. 완전히 자동화된 시스템으로 해당 정보주체의 개인정보를 분석·가공하는 등 개별적인 처리 과정을 거쳐 의미 있는 정보를 추출하는지 여부
3. 개인정보처리자가 내린 결정으로서 정보주체의 권리 또는 의무에 영향을 미치는 결정인지 여부
4. 해당 결정이 내려지는 단계와 관계 없이 해당 결정이 정보주체에 대한 최종적인 결정에 해당하는지 여부
5. 완전히 자동화된 시스템에 의한 개인정보의 처리와 결정 사이에 실질적인 관련성이 있는지 여부
6. 다른 법률에 자동화된 결정에 대한 정보주체의 권리를 규정한 특별한 규정이 있는지 여부

② 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에 해당하는지 여부를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 사람의 생명, 신체의 안전과 관련된 정보주체의 권리 또는 의무인지 여부
2. 정보주체의 권리가 박탈되거나 권리 행사가 불가능하게 되는지 여부
3. 정보주체가 통상적으로 받아들일 수 있는 한도를 넘어서는 의무가 발생하는지 여부
4. 정보주체의 권리 또는 의무에 지속적인 제한이 발생하는지 여부
5. 정보주체에게 영향을 미치기 전의 상태로 회복하거나 해당 영향을 회피할 수 있는 가능성이 있는지 여부

③ 자동화된 결정이 법 제37조의2제1항 단서의 법 제15조제1항제1호·제2호 및 제4호에 따라 이루어지는 경우에 해당하는지 여부를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 개인정보를 수집·이용하는 과정에서 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확하게 인지할 수 있도록 알리고 동의를 받았는지 여부
2. 자동화된 결정에 대해 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 자동화된 결정이 불가피한 경우에 해당하는지 여부
3. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 자동화된 결정을 하는 경우로서 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확하게 인지할 수 있도록 알렸는지 여부

제4조(정보주체의 거부에 따른 조치)
① 개인정보처리자는 정보주체가 자동화된 결정을 거부하는 경우에는 해당 결정의 적용을 정지해 정보주체의 권리 또는 의무에 중대한 영향을 미치지 않도록 조치하고 그 결과를 정보주체에게 알려야 한다. 다만, 인적 개입에 의한 재처리를 하고 그 결과를 정보주체에게 알린 경우에는 그러하지 아니하다.

② 개인정보처리자는 제1항 본문에 따라 자동화된 결정의 적용을 정지한 경우로서 정지 상태를 해소하고 정보주체의 권리를 보호하기 위해 필요한 경우에는 제6조에 따른 조치를 한 후 그 결과를 정보주체에게 알릴 수 있다.

③ 개인정보처리자는 자동화된 결정에 대한 정보주체의 거부 내용에 설명과 검토를 요구하는 내용이 포함되어 있는 경우에는 각각의 조치를 한 후 그 결과를 함께 알릴 수 있다.

제5조(정보주체의 설명 요구에 따른 조치)
① 개인정보처리자는 정보주체가 자신의 권리 또는 의무에 중대한 영향을 미치는 자동화된 결정에 대해 설명을 요구하는 경우에는 정보주체에게 개별적으로 영 제44조의3제2항 각 호의 사항을 포함한 간결하고 의미있는 설명을 제공해야 한다.

② 개인정보처리자는 제1항에 따라 정보주체에게 자동화된 결정에 대해 설명할 때에는 정보주체에게 의미있는 정보를 선별해 정보주체가 이해하기 쉬운 방식으로 간결하게 제공해야 한다.

③ 개인정보처리자는 제1항 및 제2항에도 불구하고 정보주체가 자신의 권리 또는 의무에 중대한 영향을 미치지 않는 자동화된 결정에 대해 설명을 요구한 경우에는 영 제44조의4제1항에 따라 미리 인터넷 홈페이지를 통해 공개하거나 정보주체에게 서면등의 방법으로 알린 사항 중 다음 각 호의 사항을 선별해 정보주체가 이해하기 쉬운 방식으로 간결하게 알릴 수 있다.

1. 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계
2. 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차

④ 개인정보처리자는 정보주체가 자동화된 결정에 대한 설명 요구의 내용에 검토를 요구하는 내용이 포함되어 있는 경우에는 각각의 조치를 한 후 그 결과를 함께 알릴 수 있다.

제6조(정보주체의 검토 요구에 따른 조치)
개인정보처리자는 정보주체가 영 제44조의2제2항에 따라 제출한 다음 각 호의 의견을 자동화된 결정에 반영할 수 있는지에 대한 검토를 요구한 경우에는 반영 여부를 검토하고 반영한 경우에는 그 결과를 정보주체에게 알려야 한다.

1. 자동화된 결정 과정에서 처리되는 개인정보를 추가하거나 정정한 후 재처리
2. 자동화된 결정 과정에서 정보주체에게 영향을 미치는 고려사항에 대한 재검토
제7조(정보주체의 거부·설명등요구에 대한 거절 등) ① 개인정보처리자는 정보주체가 자동화된 결정에 대하여 거부·설명등요구를 한 경우라고 하더라도 정보주체의 요구에 따른 조치를 거절할 정당한 사유가 있는 때에는 해당 조치를 하지 않을 수 있다. 이 경우 정당한 사유가 있는지 여부는 정보주체의 자동화된 결정에 대한 거부ㆍ설명등요구를 제한하여 정보주체가 입게 될 불이익과 개인정보처리자 또는 제3자의 이익을 비교ㆍ형량(衡量)하여 개별적으로 판단해야 한다.

② 정보주체가 자동화된 결정에 대해 거부한 경우 정보주체의 요구에 따른 조치를 거절할 수 있는 정당한 사유에 해당하는지를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 해당 결정이 자동화된 결정이고 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에 해당해 영 제44조의3제1항에 따른 조치 의무가 있는지 여부
2. 자동화된 결정이 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한지 여부
3. 해당 조치로 인해 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는지 여부
4. 해당 조치로 인해 개인정보처리자의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우로서 정보주체의 자동화된 결정에 대한 권리보다 우선하는지 여부
5. 해당 자동화된 결정을 적용하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우에 해당하는지 여부

③ 정보주체가 자동화된 결정에 대하여 설명을 요구한 경우 이를 거절할 정당한 사유에 해당하는지를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 해당 결정이 자동화된 결정에 해당하여 영 제44조의3제2항에 따른 조치 의무가 있는지 여부
2. 자동화된 결정에 대한 설명이 법률에 따라 금지되거나 제한되는지 여부
3. 자동화된 결정에 대한 설명으로 인해 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는지 여부
4. 자동화된 결정에 대한 설명으로 인해 개인정보처리자의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우로서 정보주체의 자동화된 결정에 대한 권리보다 우선하는지 여부
5. 자동화된 결정에 대한 설명을 요구한 사항이 정보주체가 충분히 예상할 수 있는 내용이거나 사실과 다른 내용인지 여부

④ 정보주체가 자동화된 결정에 대하여 개인정보를 추가하는 등 의견 제출을 통해 검토를 요구한 경우 해당 요구를 거절할 정당한 사유에 해당하는지를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 해당 결정이 자동화된 결정에 해당하여 영 제44조의3제3항에 따른 조치 의무가 있는지 여부
2. 정보주체가 제출한 의견의 내용이 자동화된 결정 과정에 이미 반영되어 있거나 동일한 내용의 검토 요구가 반복적으로 제기된 것인지 여부

제8조(조치 기간 및 방법)
① 개인정보처리자는 영 제44조의3제1항부터 제3항의 규정에 따라 정보주체의 거부·설명등요구에 따른 조치를 하는 경우에는 정보주체의 요구를 받은 날부터 30일 이내에 처리하고 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 ‘서면등의 방법’이라 한다)으로 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당해 30일 이내에 처리하기 어려운 경우에는 정보주체에게 그 사유를 알리고 2회에 한정해 각각 30일의 범위에서 그 기간을 연장할 수 있다.

1. 거부·설명등요구에 대하여 추가적인 조치가 필요하거나 요구된 내용이 복잡하여 정해진 기간 내에 조치하기 곤란한 경우
2. 천재지변, 일시적인 업무량 폭주 등으로 정해진 기간 내에 조치하기 곤란한 경우

② 개인정보처리자는 영 제44조의3제4항에 따라 정보주체의 거부ㆍ설명등요구에 대하여 거절하려는 경우에는 그 사유와 이의제기 방법 및 절차를 정당한 사유가 없는 한 거부ㆍ설명등요구를 받은 날부터 10일 이내에 서면등의 방법으로 알려야 한다.

제9조(재검토기한) 보호위원회는 이 고시에 대해 ‘행정규제기본법’ 및 ‘훈령·예규 등의 발령 및 관리에 관한 규정’에 따라 2025년 1월 1일을 기준으로 매 3년이 되는 시점(매 3년째의 12월 31일까지를 말한다)마다 그 타당성을 검토해 개선 등의 조치를 해야 한다.

부 칙
이 고시는 발령한 날부터 시행한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)