인공지능(AI) 등 자동화된 결정이 정보주체의 생명·신체·재산에 중대한 영향을 끼치는 경우 정보주체가 해당 결정을 거부할 수 있게 된다. 예를 들어, 인공지능 기술 활용 채용 심사 결과를 거부하고 인공지능 기술이 배제된 상태로 다시 채용 심사를 해달라고 요구할 수 있게 된다. 공공분야 적용 대상을 완화하고, 개인정보 국외 처리 길을 트는 내용도 담겼다.
개인정보보호위원회는 이런 내용을 담은 개인정보보호법 시행령 개정안을 내년 1월2일까지 입법 예고한다고 22일 밝혔다. 지난 3월14일 공포된 개정 개인정보보호법에 따른 후속 조치로, 자동화된 결정에 대한 정보주체의 권리, 개인정보 보호 책임자의 자격 요건 및 대상, 손해배상 보장, 공공기관 개인정보 보호 수준 평가 등에 대한 규율을 담고 있다. 이번 개정안은 입법예고 절차를 거쳐 내년 3월15일 시행 예정이다.
우선 개인정보보호법에 신설된 인공지능 등 자동화된 결정에 대한 정보주체의 거부 및 설명 요구 등 권리에 대한 세부 절차가 마련됐다. 자동화된 결정이 생명·신체·재산 등 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체가 해당 결정을 거부한다면 이를 적용하지 않는 조치를 하고, 정보주체가 인적 개입에 의한 재처리를 요구한 경우에는 그 결과를 알리도록 규정했다. 인공지능 기술이 활용된 채용, 의료분야 진단 서비스, 복지 수급 대상자 선정 등이 포함된다.
또한 정보주체가 기업·기관 등 개인정보처리자에게 설명을 요구하는 경우, 해당 결정 내용과 그 결정에 사용된 주요 개인정보 유형 및 영향 등을 간결하고 이해하기 쉽게 제공해야 한다. 정보주체의 권리·의무에 중대한 영향을 미치지 않는 경우에도 사전에 공개한 기준과 절차 등을 활용하여 정보주체에게 설명할 수 있도록 해야 한다. 다만, 정보주체의 요구 내용이 기업의 영업비밀에 해당하는 등 정당한 사유가 있으면 거부할 수 있다.
개인정보보호책임자(CPO)의 자격 요건, 적용 대상, 독립성 강화 방안 등도 담겼다. 개인정보보호책임자의 전문성 강화를 위해서는 개인정보 보호 경력 3년 이상 또는 개인정보보호·정보보호·정보기술 경력을 합쳐 6년 이상 보유자로 자격을 제한했다. 개인정보보호책임자 규정 적용 대상은 △연 매출액 1500억원 이상인 자로서, 대량의 개인정보(100만명 이상 또는 5만명 이상 민감·고유식별정보)를 보유한 개인정보처리자 △재학생 수 1만명 이상인 대학 △대규모 개인정보를 처리하는 상급종합병원 △개인정보보호위원회가 고시하는 기준을 충족하는 공공시스템 운영기관 등이다. 개인정보보호책임자가 최고경영자 및 이사회에 직접 보고할 수 있는 보고체계 구축, 개인정보 처리 관련 정보에 대한 접근 보장, 인적·물적 자원 제공 및 부당한 지시에 대한 불이행을 이유로 한 불이익 금지 등 준수해야 할 사항도 담겼다.
공공분야 개인정보 보호 수준 평가 기준 및 절차를 마련하고, 손해배상책임 보장을 위한 보험(공제) 가입 및 준비금 적립 등 의무대상 기준은 대폭 완화했다. ‘매출액 5천만원’ 및 ‘이용자 수 1천명’ 이상에서 ‘매출액 10억원’ 및 ‘정보주체 수 1만명’ 이상으로 후퇴시켰다. 고유식별정보 관리실태 정기조사 간격을 2년에서 3년으로 조정하고, 개인정보를 국외에서 수집·처리하는 경우 국외에서 처리된다는 사실과 법적 근거를 개인정보 처리방침에 기재하도록 하는 내용도 포함됐다.
이번 시행령 개정안에 대해 의견이 있는 기관·단체 또는 개인은 국민참여입법센터(
opinion.lawmaking.go.kr) 또는 개인정보보호위 전자우편 및 일반우편 등으로 내년 1월2일까지 제출할 수 있다.
박지영 기자
jyp@hani.co.kr