개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 인공지능(AI) 기술을 활용한 자동화된 결정에 대한 기업과 기관의 준수사항을 담은 ‘자동화된 결정에 대한 개인정보처리자의 조치 기준’을 9월 26일부터 시행한다고 밝혔다. 이에 따라 개인정보위는 정보주체의 권리와 기업ㆍ기관의 조치사항을 사례 중심으로 설명한 안내서도 함께 공개했다.
이번 고시는 AI를 포함한 자동화된 시스템을 통해 개인정보를 처리하여 내리는 ‘자동화된 결정’에 관한 사항을 규정하고 있다. 자동화된 결정은 완전히 자동화된 시스템을 통해 이루어지며, 이에 대해 정보주체는 설명 또는 검토를 요구할 수 있고, 중요한 권리 또는 의무에 영향을 미칠 경우 이를 거부할 수 있다.
개인정보위는 자동화된 결정을 시행하는 기업ㆍ기관들이 정보주체의 권리와 의무에 영향을 미치는 경우, 투명성을 확보하고 설명이 가능하도록 해당 기준과 절차를 미리 준비해야 한다고 강조했다. 특히 모든 자동화된 시스템에 의한 결정이 자동화된 결정에 해당하는 것은 아니므로 먼저 해당 여부를 정확하게 확인해야 한다고 설명했다. 최종 결정에 사람이 개입하는 절차가 있다면 자동화된 결정으로 간주되지 않는다.
개인정보위는 기업ㆍ기관들이 자동화된 결정의 여부를 스스로 확인할 수 있도록 “자동화된 결정 자율진단표”를 제공한다. 이 진단표를 활용해 자신이 자동화된 결정을 하고 있는지 여부를 점검할 수 있다.
◆정보주체의 권리 보호와 기업의 대응 조치
기업과 기관이 자동화된 결정에 해당하는 시스템을 운영할 경우, 정보주체의 권리 행사 요구에 따라 다음과 같은 조치를 취해야 한다.
첫째, 정보주체가 자동화된 결정에 대해 설명을 요구하면, 기업ㆍ기관은 정보주체에게 의미 있는 정보를 선별하여 제공해야 한다. 이때 단순한 수학적 설명 대신, 개인정보 처리에 대한 의미 있는 정보를 제공해야 한다. 또한 정보주체가 의견을 제출할 경우 이를 반영할 수 있는지 검토하고 결과를 알려야 한다. 더 나아가, 인공지능 기술의 복잡성을 고려하여 설명 가능한 인공지능(XAI, Explainable AI) 기술을 단계적으로 적용하는 것이 바람직하다는 점도 강조했다.
둘째, 자동화된 결정이 정보주체의 권리나 의무에 중대한 영향을 미치는 경우, 정보주체가 해당 결정을 거부할 수 있다. 이 경우 기업ㆍ기관은 해당 결정의 적용을 즉시 정지하고, 실질적으로 사람이 개입하여 재처리한 후 결과를 알릴 수 있다. 다만, 사전에 명확히 알렸거나 법률에 규정된 경우에는 거부할 수 없고 설명과 검토 요구만 가능하다.
셋째, 기업ㆍ기관이 자동화된 결정을 수행할 때에는 그 기준과 절차를 정보주체가 쉽게 확인할 수 있도록 홈페이지 등을 통해 사전에 공개해야 한다. 특히 권리 행사를 위한 구체적인 방법과 절차를 함께 안내해야 한다.
개인정보위 양청삼 개인정보정책국장은 "인공지능 기술을 활용해 자동화된 결정을 할 때에는 이번에 공개한 안내서를 참고해 기준과 내용을 미리 파악하고 정보주체의 요청에 대응할 준비가 필요하다"고 말했다. 또한 "새로운 제도가 현장에서 안정적으로 정착될 수 있도록 설명회 등을 통해 지속적으로 홍보하고 안내해 나갈 계획"이라고 덧붙였다.
이번에 공개된 안내서는 개인정보위 / 법령 / 지침(가이드라인))에서 확인할 수 있다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★