인공지능(AI) 기술이 국민 생활에 스며들게 되면서 사람의 개입 없이 이뤄지는 ‘완전히 자동화된 결정’ 과정에서 정보주체는 이 결정에 대한 설명이나 검토 요구를 할 수 있고, 정보주체인 국민의 권리·의무에 중대한 영향을 미치는 경우에는 거부할 수 있게 된다. 

개인정보보호위원회는 이같은 내용을 담은 ‘개인정보보호법’ 개정안이 이달 15일 시행된다고 밝혔다.

7일 개인정보위에 따르면, 자동화된 결정은 AI 등 완전히 자동화된 시스템으로 개인정보를 처리하며 이뤄지는 결정이다.

개정안은 AI가 개인정보를 처리해 결정하는 영역에서도 정보 주체에게 기준과 절차 등을 투명하게 공개하고, 요구가 있을 경우 어떤 기준과 절차에 따라 개인정보를 처리하고 결정을 내렸는지 설명하도록 명시했다.

예를 들어 기업의 채용 과정에서 AI 면접만으로 응시자의 개인정보를 분석해 불합격 결정을 내린 경우, 응시자는 이와 같은 결정에 대해 설명이나 검토를 요구할 수 있다.

다만 기업 인사위원회를 통해 채용이 최종 결정됐고 AI 등 자동화된 시스템에 의해 산출된 자료를 참고만 하는 경우는 제외된다. AI만으로 채용 여부가 결정되는 ‘완전히 자동화된 시스템’이 아니기 때문이다.

개정안은 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미칠 경우 정보주체는 이를 거부하거나 사람에 의한 재처리를 요구할 수 있도록 했다.

가령 지자체가 AI를 활용한 ‘부정수급자 탐지시스템’으로 수급자인 정보주체의 개인정보를 분석·처리한 뒤 복지수당 지급을 취소하는 결정을 내린 경우에 수급자는 이를 거부할 수 있다. ‘자동화된 결정’으로 자신(수급자)의 권리가 본질적으로 제한·박탈되는 것으로 볼 수 있는 것이다.

이 경우 개인정보처리자는 이와 같은 결정을 적용하지 않는 조치를 하거나 인적 개입에 의한 재처리를 하고 그 결과를 정보주체에게 고지해야 한다.

단, 개인정보처리자는 다른 사람의 생명·신체·재산을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우에는 정보주체의 거부나 설명 요구를 거절할 수 있도록 했다.

개인정보처리자가 추천하고 정보 주체가 결정하는 맞춤형 광고나 뉴스 추천, 본인 확인을 위한 단순 사실 확인은 자동화된 결정에 해당하지 않아 개인정보처리자에 대한 정보주체의 설명 요구 등은 인정되지 않는다.

한편, 개정안은 방대한 개인정보를 다루는 대형병원·기업·대학 등이 전문성과 독립성 등을 갖춘 개인정보보호책임자(CPO)를 의무적으로 지정하도록 규정했다.

연 매출액 1,500억원 이상이며 100만명 이상의 개인정보 등을 보유했거나 5만명 이상의 민감·고유식별정보를 처리하는 개인정보처리자를 포함해 재학생이 2만명 이상 대학, 대규모 개인정보를 처리하는 상급종합병원, 개인정보위가 고시한 기준을 충족하는 공공시스템운영기관 등이 CPO 의무지정 적용 대상이다.

개인정보보호 경력 2년 이상을 포함해 개인정보보호·정보보호·정보기술 경력을 4년 이상 보유한 직원을 개인정보 보호책임자로 임명해야 한다.

개인정보위가 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고하도록 하는 근거도 마련됐다. 실질적인 평가를 바탕으로 부족한 부분에 대해 개선을 권고할 수 있도록 법적 근거를 마련한 것이다.

고학수 개인정보위 위원장은 “AI기술을 활용한 자동화된 결정, CPO의 전문성과 독립성 강화 등 개정사항은 개인정보의 안전한 활용 과정에서 사회적 안전장치로서 중요성이 매우 크다”고 말했다.

이어 “개정된 제도가 제기능을 할 수 있도록 현장 홍보와 계도 활동에 집중하면서 민생현장과의 적극적인 소통을 통해 정보주체인 국민·기업 모두에게 도움이 될 수 있는 제도로 정착시켜 나가겠다”고 밝혔다.