정보주체 권리 강화 등 담긴 '개인정보보호법' 개정안 시행
대형병원· 대학, 개인정보 보호책임자 의무 지정해야
(서울=연합뉴스) 이상서 기자 = 인공지능(AI) 확산에 따라 사람 개입 없이 이뤄지는 '자동화된 결정'에 대해 국민은 설명이나 검토를 요구할 수 있고, 그러한 결정이 권리나 의무에 중대한 영향을 미칠 경우에는 거부할 수 있는 권리를 가진다.
개인정보보호위원회는 6일 이러한 내용을 담은 '개인정보보호법' 개정안이 15일 시행된다고 밝혔다.
개인정보위에 따르면 자동화된 결정이란 AI 등 완전히 자동화된 시스템으로 개인정보를 처리하며 이뤄지는 결정을 뜻한다.
개정안은 AI가 개인정보를 처리해 결정하는 영역에서도 정보 주체에게 기준과 절차 등을 투명하게 공개하고, 요구가 있을 경우 어떤 기준과 절차에 따라 개인정보를 처리하고 결정을 내렸는지 설명하도록 했다.
가령 기업의 채용 과정에서 AI 면접만으로 응시자의 개인정보를 분석해 불합격 결정을 내린 경우 응시자는 그 결정에 관해 설명이나 검토를 요구할 수 있다.
기업 인사위원회를 통해 채용이 최종 결정됐고, AI 등 자동화된 시스템에 의해 산출된 자료를 참고만 하는 경우는 제외된다. 완전히 자동화된 시스템, 즉 AI만으로 채용 여부가 결정된 것이 아니기 때문이다.
개정안은 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미칠 경우 정보주체는 이를 거부하거나 사람에 의한 재처리를 요구할 수 있도록 했다.
예를 들어 지자체가 AI를 활용한 '부정수급자 탐지시스템'으로 수급자인 정보주체의 개인정보를 분석·처리한 뒤 복지수당 지급을 취소하는 결정을 내린 경우 수급자는 이를 거부할 수 있다.
자동화된 결정으로 인해 자신의 권리가 본질적으로 제한·박탈되기 때문이다.
이럴 경우 개인정보처리자는 해당 결정을 적용하지 않는 조치를 하거나, 인적 개입에 의한 재처리를 하고 그 결과를 정보주체에게 알려야 한다.
다만, 개인정보처리자는 다른 사람의 생명·신체·재산을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우에는 정보주체의 거부·설명 요구를 거절할 수 있게 했다.
또 개인정보처리자가 추천하고 정보 주체가 결정하는 맞춤형 광고나 뉴스 추천, 본인 확인을 위한 단순 사실 확인은 자동화된 결정에 해당하지 않아 개인정보처리자에 대한 정보주체의 설명 요구 등은 인정되지 않는다.
개정안은 방대한 개인정보를 다루는 대형병원이나 기업, 대학 등이 전문성과 독립성 등을 갖춘 '개인정보 보호책임자(CPO)'를 의무 지정하도록 규정했다.
CPO 의무 지정 적용 대상은 ▲ 연 매출액이 1천500억원 이상이며 100만명 이상의 개인정보 등을 보유했거나 5만명 이상의 민감·고유식별정보를 처리하는 개인정보처리자 ▲ 재학생 2만명 이상 대학 ▲ 대규모 개인정보를 처리하는 상급종합병원 ▲ 개인정보위가 고시한 기준을 충족하는 공공시스템운영기관이다.
이들은 개인정보보호 경력 2년 이상을 포함해 개인정보보호·정보보호·정보기술 경력을 4년 이상 보유한 직원을 개인정보 보호책임자로 임명해야 한다.
개인정보위가 공공기관의 개인정보 보호 수준을 평가하고, 그 결과를 바탕으로 개선을 권고하도록 하는 근거도 마련됐다.
지금까지는 단순히 진단하는 수준이었다면, 앞으로는 실질적인 평가를 바탕으로 부족한 부분에 대해 개선을 권고할 수 있도록 법적 근거를 마련했다.
고학수 개인정보위 위원장은 "개정안이 제 기능을 할 수 있도록 현장 홍보와 계도 활동에 집중하고, 국민과 기업에 도움이 될 수 있도록 정착시켜 나가겠다"고 밝혔다.
shlamazel@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
관련뉴스