인공지능(AI) 등 완전히 자동화된 시스템에 따른 결정을 거부, 또는 설명을 요구할 수 있는 권리가 보장된다. AI 채용과 심사 등에 대해 개인의 이의제기가 가능해진다.
개인정보보호법 시행령 2차 개정안이 6일 오후 국무회의에서 의결됐다. 자동화된 결정에 대한 권리, 개인정보보호책임자(CPO)의 자격요건 강화 등이 골자다. 오는 15일부터 시행된다.
가장 크게 변화되는 부분은 자동화된 결정에 대한 정보주체의 권리 강화다. 자동화된 결정은 사람의 개입 없이 완전히 자동화된 시스템으로 개인정보를 분석, 처리하는 것을 말한다. 이로 인해 정보주체의 권리 또는 의무 등에 영향을 미칠 경우, 이의제기가 가능하다. 예를 들어 AI 면접을 통한 채용과 AI 배차 등에서 부정거래탐지시스템을 통해 택시운전사가 계약해지됐을 때 등이다. 맞춤형 광고나 뉴스 추천 등은 해당되지 않는다.
정보주체인 개인은 AI의 결정으로 중대한 영향을 받았을 경우, 기업·기관 등에 해당 결정에 대한 설명 또는 검토를 요구할 수 있다. 알고리즘 등의 복잡하고 구체적인 작동원리가 아닌 간결하고 의미 있는 설명이어야 한다.
AI의 결정을 거부할 수도 있다. 공공기관이 복지수당 지급 후 ‘AI 부정수급자 탐지시스템’만을 이용, 복지수당 지급을 취소할 경우 등이 이에 해당한다. 정보주체는 지급 취소를 거부, 사람을 통한 재심사를 요구할 수 있다.
기업·공공기관 등이 자동화된 결정에 대한 개인의 설명·검토 요구 또는 거부권 등을 인정하지 않을 시 3000만원의 과태료에 처해진다.
다만 예외는 있다. 자동화된 결정이 이뤄진다는 사실에 대해 정보주체가 명확히 알 수 있도록 동의, 계약을 통해 알렸다면 거부권은 인정되지 않는다. 설명 및 검토 요구만 가능하다. 또한 다른 사람이 생명과 신체, 재산과 그밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우에는 거부·설명 등의 요구를 거절할 수 있다. 이에 대해 개인이 불복할 경우, 개인정보 분쟁조정위원회 등을 통해 조정 절차를 거쳐야 한다.
김직동 개인정보위 개인정보보호정책과장은 지난 4일 출입기자단 설명회에서 “AI 결정에 대한 투명성을 높였다”며 “오는 15일 자동화된 결정에 대한 안내서를 배포할 예정이다. 예시 등을 통해 기업에 알기 쉽게 전달할 것”이라고 설명했다. 이어 “지금은 자동화된 결정을 하는 곳이 많지 않지만 업계에서는 관심을 갖고 지켜보는 상황”이라고 말했다.
이번 시행령 개정안을 통해 CPO의 자격 요건도 강화된다. 일정 기준 이상의 개인정보처리자는 개인정보보호·정보보호·정보기술 경력 총 4년(개인정보보호 경력 2년 필수) 이상을 갖춘 사람을 CPO로 지정해야 한다. △연 매출액 또는 수입이 1500억원 이상이면서 100만명 이상 개인정보 또는 5만명 이상의 민감 정보를 처리할 경우 △재학생 수 2만명 이상인 대학 △대규모 건강정보를 처리하는 상급종합병원 △공공시스템운영기관 등이 해당된다.
산업계 등의 의견을 반영, 일부 유예도 뒀다. 시행 당시 CPO로 지정되어 있는 사람에 대해서는 오는 2026년 3월14일까지 2년 이내에 자격 요건을 갖추도록 했다. 해당 규정이 오는 9월15일부터 시행되는 공공시스템운영기관은 2026년 9월14일까지 자격 요건을 갖춰야 한다.
입법 예고 당시에는 CPO의 자격 요건이 개인정보보호·정보보호·정보기술 등에서 총 6년이었으나 4년으로 축소됐다. 이에 대해 김 과장은 “6년이 과도하다는 의견도 있어 여러 의견을 반영했다”며 “개인정보 관련 교육을 이수하면 경력을 인정해주는 방향 등도 고민하고 있으며 준비 중”이라고 이야기했다.
이외에도 시행령 개정안에는 △공공분야 개인정보 보호수준 평가 확대 △손해배상책임 보장 의무대상자 변경 △고유식별정보 관리실태 정기조사 기존 2년에서 3년으로 조정 등의 내용이 담겼다.
이소연 기자 soyeon@kukinews.com