개인정보보호법 시행령 개정안 국무회의 통과
AI 결정이 권리·의무 영향 주면 설명·검토 요구권
중대한 권리·의무 제한에 자동처리 거부권도
고학수 개인정보보호위원장이 14일 오후 서울 종로구 정부서울청사에서 열린 개인정보보호위원회 제3차 전체회의에서 의사봉을 두드리고 있다. 2024.2.14./사진=뉴스1 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
기업·기관이 AI(인공지능)에 의존해 사람에게 불이익을 줄 경우 당사자가 설명·재검토를 요구하거나 자동처리를 거부할 수 있는 법령이 마련됐다.
개인정보보호위원회는 이 같은 내용이 담긴 개인정보보호법 시행령 개정안이 6일 국무회의를 통과해 오는 15일 개정 개인정보보호법과 함께 시행된다고 밝혔다.
앞으로 기업·기관 등 개인정보처리자의 '완전히 자동화된 결정'으로 권리·의무에 영향을 받은 정보주체는 처리 기준·경위에 대한 설명이나 추가정보를 반영한 재검토를 요구할 수 있다. 또 정보주체가 개인정보를 추가로 반영해달라는 등의 의견을 제출할 경우, 개인정보처리자는 지체 없이 반영 여부와 결과를 알려야 한다.
개인정보위는 기업·기관 채용 전형에서 사람의 실질적 개입 없이 AI 면접만을 통해 응시자에게 불합격 결정을 내리는 경우를 설명·검토 요구권이 발생하는 예로 제시했다. 반대로 인사위원회가 AI 면접 결과를 종합해 실질적 토의를 거쳐 불합격 결정을 내린 경우는 '사람의 개입'이 인정돼 법령 적용 대상이 아니라고 밝혔다.
법령 적용 여부가 갈리는 '사람의 개입'에 대해 개인정보위는 "결정 과정에서 정당한 권한자의 실질적 개입이 없거나, 단순 결재 등 형식적 절차만 운영한다면 '사실상 사람의 개입 없이 이뤄진 결정'이니 '완전히 자동화된 결정'에 해당할 수 있다"고 했다. 또 맞춤형 광고·뉴스 추천 서비스처럼 정보주체가 이용 여부를 결정하고 권리·의무에 영향이 없는 경우는 법령 적용 대상이 아니라고 설명했다.
완전히 자동화된 결정이 '중대한 권리·의무의 제한·박탈'을 유발할 경우 정보주체에게는 '자동화된 결정에 대한 거부권'이 부여된다. 정보주체가 이 권리를 행사하면 개인정보처리자는 당초 내려진 자동결정을 철회하거나 사람이 개입한 재결정을 내려야 한다. 개인정보위는 AI로 배차 등 분야에서 부정거래를 탐지해 자동으로 계약을 해지하는 경우, 복지수당 부정수급 의심자를 탐지해 자동으로 수당 지원을 취소하는 경우를 예로 들었다.
한편 이날 국무회의를 통과한 시행령 개정안에는 CPO(최고개인정보보호책임자) 지정 의무화에 대한 규정도 포함됐다. 앞으로 △연간 매출 또는 수입이 1500억원 이상이면서 100만명 이상의 개인정보나 5만명 이상의 민감·고유식별정보를 처리하는 곳 △학부·대학원 재학생이 2만명 이상인 대학 △공공시스템 운영기관은 개인정보보호·정보보호·정보기술 관련 경력을 합계 4년 이상 갖춘 사람을 CPO로 임명해야 한다.
개인정보위는 신설·변경된 규정에 대한 세부 기준 등을 담은 안내서 초안을 이달 중순쯤 공개할 계획이다. 고학수 개인정보보호위원장은 법령 개정에 대해 "사회적 안전장치로서 중요성이 매우 크다"며 "현장 홍보와 계도에 집중하면서 민생현장과의 적극적인 소통을 통해 국민과 기업 모두에게 도움이 되는 제도로 정착시키겠다"고 말했다.
성시호 기자 shsung@mt.co.kr
ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.