자동화된 결정에 대한 정보주체의 권리

1. 자동화된 결정에 대한 정보주체의 권리 도입 필요성 및 개요

1) 도입 필요성

 

'정보통신기술과 인공지능 기술의 발달'

-인공지능의 복잡한 처리 과정

-'블랙박스'로 표현되는 불투명성

 

정보주체 (국민) 과 개인정보처리자 간의 정보의 비대칭.

완전히 자동화된 개인정보 처리 영역에서의 투명성 강화 및 정보주체의 권리 보장 필요

 

(2023년 3월 14일 법 개정)

• 자동화된 결정에 대해 정보주체가 설명을 요구하거나 의견 제출을 통해 검토를 요청할 수 있는 권리 보장
• 정보주체의 권리나 의무에 중대한 영향을 미치는 경우 일정 조건을 충족하면 이를 거부할 수 있는 규정 신설

(사람의 개입이 없는 '완전히 자동화된 결정'이 내려지는 영역)

• 개인정보 처리의 투명성 확보
  • 사전 공개: 자동화된 결정의 기준 및 절차, 처리되는 방식 등을 홈페이지에 공개
• 정보의 제공 등 대응권 보장
  • 설명.검토 요구: 간결하고 의미있는 설명 또는 의견 반영 여부 및 결과 통보
  • 거부: 권리.의무에 중대한 영향의 경우, 결정의 적용 배제 또는 인적 개입에 의한 재처리 조치 후 통

(자동화된 결정에 대한 정보주체의 권리 등에 규정된 내용을 구체화)

-자동화된 결정에 대한 거부 및 설명 등 요구의 방법 및 절차

-거부.설명 등 요구에 따른 조치

-자동화된 결정의 기준과 절차 등의 공개

▶ 정보주체가 AI 기반 시스템의 투명성과 신뢰성을 확보

 

정보주체의 권리행사 절차.방법, 개인정보처리자의 조치사항, 자동화된 결정 기준 등의 공개 등 세부기준을 규정

 

 2. 자동화된 결정에 대한 정보주체 권리의 이해

1) 완전히 자동화된 결정의 개념

완전 자동화된 결정의 개념은?

"완전히 자동화된 시스템"을 대상으로 정보주체의 권리를 보장

 

자동화된 결정: 인공지능 기술을 적용한 시스템을 포함한 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정

 

(완전히 자동화된 시스템에 의한 결정의 의미)

: 해당 결정이 인적 개입 없이 완전히 자동화된 시스템으로 구성

 

인적 개입 여부: '해당 결정을 변경할 수 있는 권한 등 정당한 권한을 가진 사람이 실질적이고 의미 있는 개입'을 하였는지를 기준으로 판단.

 

(결정이 이루어지는 과정)

정당한 권한이 없는 사람

• 개입이나 단순 결재와 같은 형식적인 개입: 자동화된 결정 O
• 사람이 실질적으로 개입하여 결정하고 자동화된 시스템은 참고 자료로만 활용: 자동화된 결정 X

실질적 인적 개입 없이 인공지능 기술을 적용한 시스템을 포함한 자동화된 시스템에 의해 결정이 이루어지는 경우

▶ 정보주체의 권리를 보장하기 위한 조치사항을 검토

"인적 개입": 자동화된 시스템에 의한 결정을 변경할 수 있는 권한을 가진 사람이 그 결정과정 또는 재처리를 통한 결정과정에 실질적으로 개입하는 것

 

"인적 개입"이 있는지 판단 시 고려사항

<개입하는 사람>-권한, 능력, 시간

 

(인적 개입 여부 판단 시 형식적 요건과 실질적 요건을 모두 고려)

1. 형식 요건: 정당한 권한이 있는 사람의 개입이 있을 것

• 해당 결정을 변경할 수 있는 업무 권한 보유
• 수행할 수 있는 능력 있는 사람에 의한 개입

업무 권한이 없는 사람이나 해당 업무를 수행할 능력이 없는 사람의 형식적 개입-실질적 인적 개입 X

ex. 고객민원만 담당하는 직원이 자동화된 시스템에 의해 결정된 육아수당 지급 취소 결정 변경 권한이 없는 경우

 

 

2. 실질 요건: 사람의 개입이 결정의 결과에 실질적인 영향을 미칠 수 있을 것

• 사람의 개입은 결정의 결과에 실질적 영향을 미침
• 개입자가 결정에 영향을 미치는 정보에 대한 접근이 가능한 위치

자동화된 시스템 결정을 사람이 단순히 기계적으로 적용-실질적 인적 개입 X

 

최종 결정을 내리기 전에 자동화된 시스템의 결과와 다른 고려 요소들을 종합적으로 검토하는 절차 필요

적정한 시간이 주어져서 실질적인 개입이 이루어져야 함

 

(자동화된 결정 판단 시 고려사항)

1. 인적 개입 없이 완전히 자동화된 시스템

2. 개별적인 처리 과정을 거쳐 의미 있는 정보

3. 정보주체의 권리 또는 의무에 영향을 미치는 결정

4. 정보주체의 권리 또는 의무에 영향을 미치는 최종적인 결정

5. 개인정보의 처리와 결정 사이에 실질적인 관련성

6. 다른 법률에 특별한 규정 있는지.

 

2) 주요 내용

(사람의 개입이 없는 '완전히 자동화된 결정'이 내려지는 영역)

개인정보 처리의 투명성 확보

• [사전 공개]: 자동화된 결정의 기준 및 절차, 처리되는 방식 등을 홈페이지 등에 공개

정보의 제공 등 대응권 보장

• [설명.검토 요구]
  • 간결하고 의미 있는 설명 제공
  • 의견 반영 여부 및 결과 통보
• [거부]-권리.의무에 중대한 영향의 경우
  • 해당 결정을 적용하지 않는 조치
  • 인적 개입에 의한 재처리
  • 조치 후 결과 통보

 

3. 정보주체의 권리 행사 방법 및 절차

1) 완전 자동화된 결정에 대한 정보주체의 설명 요구권

완전 자동화된 결정에 대한 정보주체의 설명 요구권이란?

간결하고 의미있는 정보를 정보주체에게 제공

 

정보주체:

개인정보처리자에게 해당 결정에 대한 설명 또는 검토해 줄 것을 요구

 

개인정보처리자:

해당 결정의 기준(개인정보의 유형 및 영향) 및 처리과정(개인정보 처리 과정) 등에 대해 설명할 의무

 

(결정의 절차(개인정보의 처리 과정) 등의 사항)

1. 해당 자동화된 결정의 결과

2. 주요 개인정보의 유형

3. 자동화된 결정의 주요 기준

4. 자동화된 결정이 이루어지는 절차

 

(완전 자동화된 결정에 대한 정보주체의 설명 요구권에 대한 주의사항)

자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확히 알 수 있도록 동의, 계약 등을 통해 미리 알린 경우,

법률에 명확히 규정 있는 경우

▶ 거부권 인정되지 않음, 자동화된 결정에 대한 설명 요구 또는 의견제출을 통한 검토 요구만 가능

 

2) 완전 자동화된 결정에 대한 정보주체의 거부권

자동화된 결정이 자신의 권리 또는 의무에 법적인 영향을 미치는 경우로서,

중대한 영향을 끼칠 때 해당 결정에 대해 거부할 권리

 

개인정보처리자-해당 결정을 적용하지 않는 조치/인적 개입에 의한 재처리 후 그 결과를 정보주체에게 알림

 

(정보주체 권리 또는 의무에 중대한 영향을 미치는지 여부의 판단기준)

1. 사람의 생명, 신체 안전 및 기본권 보호와의 관련성 여부

2. 정보주체 권리가 박탈되거나 권리 행사의 불가능성 여부

3. 정보주체가 수인하기 어려운 의무 발생 가능성 여부

4. 정보주체 권리 또는 의무에 지속적인 제한 발생 가능성 여부

5. 해당 영향이 미치기 전의 상태로 회복하거나 해당 영향을 회피할 수 있는 가능성이 있는지 여부

 

(적용제외)

행정청의 자동적 처분은 자동화된 결정의 범위에서 명시적으로 제외

*자동적 처분: 처분에 재량이 있지 않은 때에 한정하여 허용

 

4. 개인정보처리자의 조치 의무

1) 자동화된 결정 거부 시(개인정보처리자의 조치사항)

정보주체(정보주체가 자동화된 결정)

-거부권/설명 요구권/검토 요구권

▶ 해당 요구에 따른 조치를 거절할 수 있는 정당한 사유에 해당하는지를 각각의 권리에 따른 고려사항을 종합적으로 검토하여 판단

 

2) 설명 요구 시

정보주체에게 결정의 주요 기준(개인정보 유형 및 영향), 결정의 절차(개인정보 처리 과정) 등의 사항에 대해 일반적으로 이해할 수 있는 간결하고 의미있는 정보를 제공

 

3) 의견제출 및 검토 요구 시

1. 자동화된 결정 과정에서 처리되는 개인정보를 추가하거나 정정한 후 재처리

2. 정보주체에게 영향을 미치는 고려사항에 대한 재검토

 

4) 요구의 거절

다른 사람의 생명.신체.재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우

 

(정보주체가 자동화된 결정을 거부한 경우 고려사항)

• 자동화된 결정이고 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에 해당
  • 검토하여 거부권이 성립하지 않는 경우에는 거절 가능
  • 거절 사유를 정보주체에게 10일 이내
• 법률에 특별한 규정, 의무를 준수하기 위하여 불가피한지
  • 법령상 허위 및 사기거래를 탐지하고 방지해야 하는 법적 의무
  • 자동화된 결정이 불가피한 경우: 적용 정지 또는 인적 개입에 의한 재처리
  • 자동화된 결정의 도입.활용이 법령상 금지되거나 제한되지 않고, 자동화된 결정을 통하여 처리
• 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있음
• 정보주체의 자동화된 결정에 대한 권리보다 우선하는지
  • 개인정보처리자 또는 제3자의 이익침해가 과도한 경우
  • 공공기관은 자동화된 결정의 적용을 정지하거나 인적 개입에 의한 재처리
  • 공공의 이익을 부당하게 침해할 우려
    • 비교.형량하여 해당 조치를 거절할 것인지 여부 결정해야함

 

• 계약의 이행이 곤란한 경우, 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

5) 자동화된 결정의 기준 및 절차 공개

자동화 기준과 절차, 개인정보가 처리되는 방식

-인터넷 홈페이지 등에 공개하여 투명성 확보

-정보주체의 권리 행사

 

지속적으로 알려야 할 필요가 없는 경우: 미리 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법으로 정보주체에게 알릴 수 있음.

 

(인터넷 홈페이지 등에 공개해야 하는 사항)

1. 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위

2. 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계

3. 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차

4. 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적인 항목

5. 자동화된 결정에 대하여 정보주체가 거부.설명 등의 요구를 할 수 있다는 사실과 그 방법 및 절차

 

▶ 표준화.체계화된 용어 사용/시각적인 방법 등을 활용가능

 

6) 처리기간 및 고지방법/정보주체의 요구 절차 및 방법

개인정보처리자는 정보주체의 요구를 받은 날부터 30일 이내: 정보주체에게 거부에 따른 조치 사실을 알리거나 설명 등의 조치

• 정당한 사유가 있는 경우에 한하여 정보주체에게 그 사유를 알림
• 30일 이내 연장 가능(연장 횟수는 최대 2회로 제한)