개인정보위, 개인정보보호법 시행령 2차 개정안 발표
AI가 도출한 결정 내용, 거부할 수 있고 사람을 통한 재처리도 가능
CPO 자격요건·독립성 강화…개인정보보호 경력 3년 필수
[서울=뉴시스] 김명원 기자 = 고학수 개인정보보호위원회(개인정보위) 위원장이 15일 오전 서울 종로구 정부서울청사에서 열린 비상경제장관회의 겸 수출투자대책회의에 참석해 발언하고 있다. 2023.11.15. kmx1105@newsis.com |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
[서울=뉴시스]송혜리 기자 = 내년부터 기업 채용 과정에서 인공지능(AI) 면접을 봤다면 AI가 자신을 어떻게 평가했는지 소명을 요청할 수 있게된다. 아울러 복지수급자 선정 등 AI 결정이 자신의 권리 보장에 중대한 영향을 미치는 경우, 이를 거부하거나 사람이 참여하는 재처리 요구도 할 수 있다.
개인정보보호위원회는 이같은 내용을 담은 개인정보보호법 2차 시행령 개정안을 오는 23일부터 내년 1월 2일까지 입법예고한다.
이번 시행령 개정안은 지난 3월 14일 공포된 개정 개인정보보호법에 따른 후속 조치다. 내년 3월 15일 시행이 예정된 자동화된 결정에 대한 정보주체의 권리, 개인정보보호책임자(CPO)의 자격 요건·대상, 손해배상의 보장, 공공기관 개인정보 보호수준 평가 등에 관해 개정법에서 위임한 기준과 절차를 마련하는 내용을 담고 있다.
AI가 결정한 채용결과 거부 가능…사람 통해 재처리도 할 수 있어
AI 기술 발전에 따라 자동화된 의사결정이 신용등급, 인사채용 등에 광범위하게 활용되면서 새로운 개인정보보호 이슈가 제기된 상태다. 이같은 지적에 따라 정부는 AI를 활용한 자동화된 결정이 채용·복지수급자 선정 등과 같이 국민에게 중대한 영향을 미치는 경우, 이에 대해 거부하거나 설명을 요구할 수 있는 권리를 마련했다.
김직동 개인정보위 개인정보보호정책과장은 "예를 들어서 채용 면접이나 서류 면접에 사용됐던 자신의 개인 정보가 잘못된 정보나, 오래된 정보가 이용됐을 경우 구제 절차를 위해 결정에 대한 소명을 받을 수 있도록 했다"고 설명했다.
이번 시행령 개정을 통해선 자동화된 결정에 대한 정보 요구절차·방법과 조치사항·공개사항 등 세부 절차를 마련했다.
AI 등을 통해 도출한 결정의 내용이 생명·신체·재산의 이익 등 사람의 권리 또는 의무에 중대한 영향을 미치는 경우, 당사자가 해당 결정을 받아들이지 않겠다고 하면 적용하지 않는 조치를 해야 한다. 아울러 당사자가 사람을 통한 재처리를 요구하는 경우 이를 지원하고 그 조치 결과를 알리도록 했다.
아울러 개인정보를 처리하는 사업자 등이 완전히 자동화된 결정에 따라 개인정보 처리를 하는 경우엔 사전에 기준·절차 등을 공개하도록 했다. 해당 처리가 일회적으로 이뤄지는 경우에는 정보주체인 당사자에게 사전에 알리도록 했으며, 공개할 때에는 표준화·체계화된 용어 및 시각화 방법 등을 활용할 수 있도록 규정했다.
김직동 과장은 "시행령에서 말하는 중대한 영향이라 함은 생명, 재산, 신체상에 중대한 영향을 미치는 경우로서 유추를 할 수 있다"면서 "시행령에 구체적인 예시로 담을 수는 없어서 안내서를 통해 다양한 예시들을 제공할 예정"이라고 설명했다.
CPO 독립성 강화…대표자에 직접 보고할 수 있는 체계 마련해야
개인정보보호책임자(CPO)요건도 정비했다. CPO가 될 수 있는 자격 요건으로는 개인정보보호·정보보호·정보기술 경력을 합쳐 최소 6년 이상을 보유해야 되며, 그 중에서 최소 개인정보보호 경력은 3년을 필수적으로 보유해야 한다. 즉, 최소 개인정보보호 3년 경력에 더해 다른 정보보안기술, 정보기술(IT) 경력이 최소 3년 이상이 돼야 한다.
CPO를 지정해야 하는 대상은 연매출 1500억원 이상인 사업자 등으로 했다. 이들 중에서도 100만명 이상의 개인정보 또는 5만명 이상의 민감정보를 처리하거나, 재학생 수가 1만명 이상인 대학을 대상으로 명시했다. 이와 더불어 대규모 개인정보를 처리하는 상급종합병원과 중요한 개인정보 처리를 시스템을 운영하고 있는 공공기관에 대해서도 전문 자격을 가진 CPO를 지정하도록 했다.
특히, 개인정보위는 이번 시행령 개정을 통해 CPO 전문성·독립성 강화 방안도 마련했다. CPO 독립성을 보장하기 위해 대표자·이사회에 직접 보고할 수 있는 보고체계를 구축하고 개인정보 처리 관련 정보에 대한 접근성을 보장할 수 있도록 명시했다. 아울러 상급자의 부당한 지시에 대한 불이행을 이유로 인사상 불이익을 줄 수 없도록 금지 사항을 구체화했다.
공공 개인정보보호 평가 세부안 마련…손해배상 책임은 정보통신서비스제공자→개인정보처리자로 확대
마지막으로 공공 분야 개인정보보호 수준 평가 기준과 절차를 마련하고, 개인정보 유출 등에 따라 손해배상을 해야 하는 대상자의 범위도 개선했다.
개인정보위는 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관을 대상으로 매년 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있다. 이번 시행령 개정안에는 개인정보 보호수준 평가를 수행하기 위한 기준, 평가 시행 전 평가계획 통보, 효율적인 평가 실시를 위한 평가단 구성·운영에 대한 근거 규정을 담았다.
아울러 손해배상의 보장 의무대상이 정보통신서비스제공자 등에서 개인정보처리자로 변경됨에 따라, 손해배상책임 보장을 위한 보험(공제) 가입 및 준비금 적립 등 의무대상 기준을 현행 '매출액 5000만원' 및 '이용자 수 1천명' 이상에서 '매출액 10억원 및 '정보주체 수 1만명' 이상으로 조정했다.
고학수 개인정보위 위원장은 "지난 9월 15일 법 시행 이후 개정법이 안정적으로 정착될 수 있도록 분야별 현장 설명회 및 안내서 발간 등을 통해 계속해서 현장과 소통해왔으며, 그 과정에서 나온 자동화된 결정에 대한 권리 보장이나 개인정보 보호책임자의 전문성·독립성 강화 등의 의견을 개정안에 담았다"고 말했다.
이번 시행령 개정안에 대해 의견이 있는 기관·단체 또는 개인은 국민참여입법센터 또는 개인정보위 전자우편 및 일반우편 등으로 내년 1월 2일까지 의견을 제출할 수 있다.
☞공감언론 뉴시스 chewoo@newsis.com
▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개
<저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.