개인정보보호위원회(위원장 고학수. 이하, 개인정보위)는 6일 국무회의에서 '개인정보 보호법 시행령' 개정안이 의결됨에 따라, 작년 3월 14일 공포된 '개인정보 보호법'에서 신설된 인공지능(AI) 등 자동화된 결정에 대한 권리 등 일부 규정이 15일부터 시행된다.

시행되는 개정법에는 인공지능의 확산에 따른 자동화된 결정 영역에서 국민의 권리를 신설하고, 개인정보를 보다 전문적으로 보호하기 위해 대량 또는 민감한 개인정보를 처리하는 기업·공공기관 등의 개인정보 보호책임자(CPO) 자격 요건을 강화하는 등의 내용이 포함되어 있어 개정사항을 꼼꼼하게 확인해야 한다. 이번에 시행되는 「개인정보 보호법」의 주요 내용은 다음과 같다.

▷ 인공지능 등 자동화된 결정에 대한 정보주체 권리 구체화

AI 기술이 국민 생활의 한 부분으로 자리잡게 됨에 따라, 사람의 개입 없이 이루어지는 ‘완전히 자동화된 결정(AI 등 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정)’ 과정에서 정보주체는 해당 결정에 대한 설명 또는 검토 요구를 할 수 있고, 정보주체인 국민의 권리 또는 의무에 중대한 영향을 미치는 경우에는 거부할 수 있게 된다.

실질적인 결정 과정에 사람의 개입 없이 완전히 자동화된 시스템으로 개인정보를 처리하여 결정이 이루어지는 영역에서도 기준과 절차 등을 투명하게 공개하고, 정보주체인 국민의 요구가 있는 경우에는 어떤 기준과 절차에 따라 개인정보를 처리하고 결정이 이루어졌는지를 설명하거나 제출된 의견에 대한 반영 여부 및 결과를 알려 주도록 하였다.

법이 시행되면, 정보주체인 국민이 인공지능 서비스를 신뢰하고 이용할 수 있는 사회적 안전장치 중 하나의 역할을 하면서, 개인정보를 기반으로 하는 혁신적인 인공지능 서비스가 확산될 수 있는 선순환 구조가 마련될 것으로 기대된다.

 정보주체의 권리가 인정되는 대상 : ‘자동화된 결정’

‘자동화된 결정’이란 사람의 개입 없이 완전히 자동화된 시스템으로, 개인정보를 분석하는 등 처리하는 과정을 거쳐, 개인정보처리자가 정보주체의 권리 또는 의무에 영향을 미치는 최종적인 결정을 한 경우를 말한다.

따라서, 결정이 이루어지는 과정에서 정당한 권한을 가진 사람에 의한 실질적인 개입이 없거나, 단순 결재 등 형식적인 절차만을 운영하고 있다면 사실상 사람의 개입 없이 이루어진 결정이므로 완전히 자동화된 결정에 해당될 수 있다.

또한, 정보주체인 국민의 권리 또는 의무에 영향을 미치는 최종적인 결정인 경우에는 자동화된 결정의 범위에 포함된다. 다만, 개인정보처리자가 추천하고 정보주체가 선택·결정하는 맞춤형 광고·뉴스 추천, 본인 확인을 위한 단순 사실의 확인과 같은 경우는 자동화된 결정에 해당하지 않는다.

설명 및 검토 요구 : ‘자동화된 결정이 있는 경우’

정보주체인 국민은 자동화된 결정이 자신의 권리 또는 의무에 영향을 미치는 경우에는 개인정보처리자에게 해당 결정에 대한 설명 또는 검토해 줄 것을 요구할 수 있다. 정보주체의 설명 요구를 받은 개인정보처리자는 해당 결정의 기준 및 처리 과정 등에 대해 설명해야 한다. 

이 때의 ‘설명’은 자동화된 결정에 사용된 주요 개인정보가 자동화된 결정에 미치는 영향 등에 대한 간결하고 의미 있는 설명을 의미하므로 복잡한 기술적 작동원리 등을 나열하는 등의 설명을 하도록 한 것은 아님에 유의해야 한다.

이와 함께, 개인정보처리자는 정보주체가 개인정보를 추가적으로 반영해 줄 것을 요구하는 등 의견을 제출하는 경우에는 해당 의견을 반영할 필요가 있는지 검토하고 반영 여부와 그 결과를 지체 없이 알려야 한다.

자동화된 결정에 대한 거부 : ‘중대한 영향을 미치는 경우’

정보주체는 자동화된 결정이 자신의 권리 또는 의무에 대해 본질적인 제한ㆍ박탈 등 중대한 영향을 미치는 경우에는 해당 자동화된 결정에 대해 거부할 수 있다. 이 경우 개인정보처리자는 해당 결정을 적용하지 않는 조치를 하거나, 인적 개입에 의한 재처리를 하고 그 결과를 정보주체에게 알려야 한다.

다만, 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확히 알 수 있도록 동의, 계약 등을 통해 미리 알렸거나 법률에 명확히 규정이 있는 경우에는 거부는 인정되지 않고 설명 및 검토 요구만 가능하다.

개인정보처리자의 거절사유 : ‘정당한 사유’

개인정보처리자는 다른 사람의 생명·신체·재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우에는 거부·설명등요구를 거절할 수 있고, 거절하는 경우에는 그 사유를 정보주체에게 지체 없이 알려야 한다.

 ▷개인정보 보호책임자의 전문성·독립성 강화

개인정보 보호책임자(Chief Privacy Officer, CPO)가 전문성과 독립성을 기반으로 개인정보 보호 업무를 수행할 수 있도록 대규모 또는 민감한 개인정보를 처리하는 개인정보처리자에 대하여는 CPO의 자격 요건을 강화하고, CPO 협의회 신설을 통해 CPO 상호 간 협력이 긴밀하게 이루어질 수 있도록 하였다.

CPO의 전문성 강화를 위해 매출액, 개인정보의 보유 규모를 고려하여 일정 기준 이상의 개인정보처리자는 개인정보보호·정보보호·정보기술 경력을 총 4년 이상(개인정보보호 경력 2년 필수) 갖추고 있는 사람을 CPO로 지정하도록 하였다.

적용대상은 '연 매출액 또는 수입이 1,500억원 이상인 자로서, 100만명 이상 개인정보 또는 5만명 이상 민감·고유식별정보를 처리하는 개인정보처리자', '재학생 수 2만 명 이상인 대학(대학원 재학생 수 포함)', '대규모 민감정보(건강정보)를 처리하는 상급종합병원', '공공시스템운영기관' 등이다.

다만, 입법 과정에서 산업계 등의 의견을 반영하여 시행 당시 CPO로 지정되어 있는 사람에 대하여는 2년 이내(2026.03.14.까지)에 자격 요건을 갖추도록 하는 경과조치 규정을 마련하여 현장에서의 혼란이 없도록 하였다.

더불어, 개인정보처리자가 CPO의 독립성을 보장하기 위해 대표자 또는 이사회에 정기적으로 보고할 수 있는 보고체계 구축, 개인정보 처리 관련 정보에 대한 접근 보장, 인적·물적 자원 제공 등 준수해야 할 사항을 신설하였고, CPO 협의회 구성을 통해 상호 간 공동사업 등 협력 활동이 가능하도록 기반을 마련하였다.

▷공공분야 개인정보 보호수준 평가 확대

그동안 개인정보위는 매년 ‘공공기관 개인정보 관리수준 진단’을 실시하고 있었으나, 법적 근거가 명확하지 않아 개인정보 관리 수준의 진단결과에 대한 신뢰성 확보에 한계가 있었다.

이를 해소하기 위해 ‘개인정보 보호수준 평가’에 대한 법적 근거를 신설하여, 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 공개 및 개선을 권고할 수 있도록 하였으며, 평가 결과에 따라 우수기관 및 소속 직원에 대해 포상할 수 있는 근거를 마련하였다.

아울러 이번 시행령 개정을 통해 개인정보 보호수준 평가를 수행하기 위한 기준, 평가 시행 전 평가계획 통보 등 근거 규정을 마련하였으며, 평가계획에 따라 제출한 자료를 기준으로 평가하고 필요시 평가대상 기관을 방문하여 평가할 수 있도록 정비하였다.

▷손해배상책임 보장 의무대상자 변경

정보주체에 대한 손해배상책임을 이행할 수 있도록 보험 가입, 준비금 적립 등 의무를 이행해야 하는 대상이 온라인사업자에서 오프라인ㆍ공공부문을 포함하는 전체 개인정보처리자로 변경됨에 따라 소상공인 등의 부담은 완화하면서 손해배상책임은 보장하도록 매출액ㆍ개인정보 보유량 기준과 의무면제 기준을 정비하였다.

종전에는 ‘연 매출액 5천만원 이상’이고 ‘이용자 수 1천명 이상’인 온라인사업자가 대상이었으나, ‘연 매출액등 10억원 이상’이고 ‘정보주체 수 1만명 이상’인 개인정보처리자로 기준을 조정하였다.

또한, 의무가 면제되는 대상을 명시하여 공공기관(CPO 자격요건 대상기관은 의무대상에 포함), 비영리법인 및 단체, 소상공인으로서 보험등에 가입한 전문 수탁자에게 개인정보 저장ㆍ관리 업무를 위탁한 경우는 적용 대상에서 제외하였다.

▷기타 개정사항 및 향후 계획

개인정보위의 고유식별정보 관리실태 정기조사의 기간을 2년에서 3년으로 조정하고, ‘개인정보 보호수준 평가’ㆍ‘개인정보보호인증(ISMS-P)’·다른 법률에 따라 점검이 이루어지는 경우에는 정기조사 대상에서 제외할 수 있도록 하여 중복조사로 인한 현장에서의 부담이 없도록 하였다.

또한 국외 이전의 경우 그 법적 근거를, 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우에는 처리하는 국가명을 개인정보 처리방침에 기재하여 공개하도록 하였다.

개인정보위는 자동화된 결정에 대한 권리, CPO 자격요건, 공공기관 개인정보 보호수준 평가, 손해배상 책임 보장제도 등 새롭게 신설되거나 변경된 사항을 중심으로 세부적인 기준 및 사례 등을 담은 안내서 초안을 3월 중 공개하고 설명회 등을 통해 현장의 의견을 반영하여 추가해 나갈 예정이다. 

고학수 개인정보위 위원장은 “인공지능(AI) 기술을 활용한 자동화된 결정, CPO의 전문성과 독립성 강화 등 개정사항은 개인정보의 안전한 활용 과정에서 사회적 안전장치로서 그 중요성이 매우 크다”며, “개정된 제도가 제기능을 할 수 있도록 현장 홍보와 계도 활동에 집중하면서 민생현장과의 적극적인 소통을 통해 정보주체인 국민과 기업 모두에게 도움이 될 수 있는 제도로 정착시켜 나가겠다”고 밝혔다.