보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

[외부 법률 기고] AI와 개인정보 처리 – 자동화된 결정에 대한 정보주체 권리보장

2024.11.28

74

※ 본 기고는 당사와 법률자문·정보보호 서비스 상호협력 MOU를 체결한 법무법인(유) 화우에서 작성하였습니다.
※ 외부 필자의 기고 및 칼럼 등은 이글루코퍼레이션 콘텐츠의 편집방향과 일치하지 않을 수 있습니다.

과거 SF영화에서 나 보던 AI는 더 이상 픽션에만 등장하는 기술이 아니라, 우리 일상생활에 성큼 다가와 있다. 그 필두에는 생성형 AI(Generative AI)가 있는데, 2022년 미국의 오픈AI(OpenAI)사에서 선보인 챗지피티(ChatGPT)가 그 포문을 연 후, 국내 기업을 포함한 여러 기업들에서 생성형 AI를 출시했고, 많은 사람들이 평소에 활용하여 도움을 받고 있다.

이러한 신기술의 확산이 빠르게 이루어지면서 다양한 분야에서 여러 형태의 AI 도입이 이루어지고 있다. 예를 들어, 기업들이 채용 지원자를 평가하는 데 있어 AI가 채점하는 면접 방식을 시도하고 있고, 중고거래 플랫폼 등에서 부정 거래를 판단하고 차단하는 AI 시스템을 구축하는 등의 행보가 그것이다.

AI 기술은 분명 편리하지만, 위와 같은 형태의 AI 이용에는 부작용에 대한 우려가 있다. 앞선 예시처럼 AI가 채용 과정에서 적극적으로 지원자를 평가한다면, 결국 한 사람의 인생에서 굉장히 중요한 일이 AI의 판단에 따라 결정 난다는 것을 의미한다. 이것이 과연 바람직한 일일까?

이러한 문제의식에서 2023년 9월 개정∙시행된 「개인정보 보호법」은 관련 규정을 신설하였다. 해당 규정은 위와 같은 AI가 특정 정보주체의 개인정보를 처리하여 개인의 권리와 의무 등에 영향을 미치는 결정을 내리는 경우 정보주체의 권리 보장을 위한 것이다.

「개인정보 보호법」 제37조의 2가 그것인데, 해당 조항에 따르면 AI 기술을 적용한 시스템을 포함한 ‘완전히 자동화된 시스템’으로 개인정보를 처리하여 이루어지는 결정(이하 ‘자동화된 결정’이라 한다)이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에는 정보주체는 그 결정을 거부할 수 있고, 꼭 중대한 영향을 미치지는 않더라도 자동화된 결정이 있는 경우에는 정보주체가 그 결정에 대한 설명 등을 요구할 수 있다. 그뿐만 아니라, AI를 이용하여 자동화된 결정을 실시하는 개인정보처리자는 그와 같은 결정의 기준과 절차, 방식 등을 투명하게 공개하여야 한다.

이러한 내용은 「개인정보 보호법」 시행령 제44조의2 – 제44조의4에서 보다 상세하게 규정하고 있다. 위 시행령 조항에 따르면, 정보주체가 개인정보처리자의 자동화된 결정을 거부하면 개인정보처리자는 자동화된 결정을 하지 않는 조치를 취하거나 인적 개입에 의한 재처리를 해야 한다. 그리고 정보주체는 자동화된 결정에 대한 설명 또는 검토를 요구할 수 있는데, 위 시행령에는 설명 혹은 검토해야 할 사항이 무엇인지에 대해서 기재되어 있으며, 이와 같은 거부 또는 설명∙검토 요구를 개인정보처리자가 거절하는 경우에는 그 사유를 정보주체에게 지체 없이 알려야 한다고도 명시하고 있다. 또한, 자동화된 결정에 대한 정보공개와 관련하여 개인정보처리자가 어떠한 정보를 공개해야 하는지도 그 기준을 제시하고 있다.

즉, AI가 개인정보 수집 및 분석 등 처리를 하여 특정 결정까지 내리는 경우, 그에 대해 「개인정보 보호법」은 정보주체에게 그런 결정을 거부할 권리 또는 설명과 검토를 요구할 권리를 부여하고, 개인정보처리자에게는 해당 결정에 대한 정보를 공개할 의무를 부과하여 정보주체가 AI의 결정으로 영향을 받더라도 이를 인지하고 이의를 제기할 수 있게 한 것이다. 개인정보처리자에게 유리할 수밖에 없는 AI 개인정보 처리 구도에서 일종의 ‘견제와 균형’을 위한 대책을 제공한 셈이다.

다만, AI 서비스를 제공하는 사업자 입장에서는 이러한 규정들이 너무 과도한 요구라고 비추어질 수도 있다. AI에 기반한 의사결정을 활용한 서비스를 모두 자동화된 결정으로 보아버려 정보주체가 언제든지 이를 거부하거나, 설명 등을 요구하게 되면 강력한 산업 규제가 되기 때문이다 .

그렇다면 결국 명확한 기준을 세우는 것이 논란을 잠재울 수 있는 가장 좋은 방법으로 보인다. 우선, ‘자동화된 결정’이라는 것은 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정인 만큼 인간이 개입되어 있다면 이는 자동화된 결정이 아니라고 볼 것인 바, 어느 정도의 인간 개입을 기준으로 할 것인지 구분을 명확히 할 필요가 있다. 그리고 설명 등 요구권보다 거부권이 훨씬 더 강력한 권리인 만큼, 거부권의 요건인 “자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우”의 의미도 상세한 해석이 요구된다.

개인정보보호위원회도 이러한 비판을 잘 인식하고 있는지, 2024. 5. 17. ‘자동화된 결정에 대한 개인정보처리자의 조치기준’ 고시를 행정예고하면서 판단 기준으로 작용할 세부내용을 제시하고, 2024. 5. 24. ‘자동화된 결정에 대한 정보주체의 권리 안내서(초안)’도 발간하였다.

아직 2024. 7. 9. 현재 개인정보보호위원회의 위 고시와 안내서 내용이 확정되지는 않았지만, 해당 작업물을 통해 정보주체의 권리 보장과 관련 사업자의 부담 완화 사이에서 개인정보보호위원회가 적절한 균형을 찾을 것으로 기대된다.

AI 산업은 전 세계적으로 크게 요동치며 성장하고 있다. AI가 우리 일상생활의 수많은 분야에서 활용될 것이라는 이 거대한 흐름은 막기 어려워 보인다. 그러나 AI가 핵보다 더 위험하다는 테슬라(Tesla) CEO 일론 머스크(Elon Musk)의 경고처럼, 적절한 규제가 없다면 AI는 고삐 풀린 망아지처럼 미래의 우리에게 큰 위협이 될지도 모른다. AI가 개인정보를 처리하면서 발생 가능한 위험을 방지하려는 위 「개인정보 보호법」 법령 규정이 더 가다듬는 과정을 거쳐 그 리스크를 최소화하는 수단 중 하나로 훌륭하게 정착했으면 하는 바람이다.