<안내서> 개인정보 보호법 및 2차 시행령 개정사항 안내 (2024.03.15)
[주요개정 내용]
<자동화된 결정에 대한 정보주체의 권리(법 제37조의2)>
O 입법 취지: AI에 의한 의사결정은 "블랙박스"로 표현되는 불투명성이 있기 때문이다.
1. "설명 등 요구권"에서 "등"은 시행령에서 말하는 "검토요구"를 말한다.
2. 개인의 권리,의무에 "중대한 영향"을 미치는 경우 거부권을 행사할 수 있다. 다만, 사전에 충분한 설명, 동의 받을 시 거부권 저지 가능하다.
3. 사람이 개입하는 내용이 없어야 이 법이 적용된다.
4. 기준, 절차, 방식에 대해 사전 공개 의무가 있다.
O 개인정보의 처리를 전제로 하며, AI의 의미있는 분석, 가공 등 처리과정이 존재해야 한다.
AI에 의한 무작위 방식이나 분류 정도는 본 법의 적용이 없다.
O 맞춤형 광고의 경우, 최종 의사결정은 개인에 달려 있으므로 적용이 없다.
O AI에 의한 행위가 "단순한 사실의 확인"일 경우 본 법의 적용이 없다.
권리,의무나 법적인 영향이 있어야 한다.
O AI에 의한 결정은 최종적인 것이어야 한다.
다만, 개별단계만으로도 개인의 권리, 의무에 중대한 영향을 미칠 경우 최종적이 아니더라도 "자동화된 결정"으로 볼 수 있다.
(예시: AI단계에서 신입사원의 "합격 / 불합격" 결정의 경우)
O 설명 요구권에서 말하는 "간결하고 의미있는 설명"인가의 여부는 "정보주체의 관점"에서 판단한다.
정보주체는 관련 전문지식이 없거나 익숙하지 않기 때문이다.
O 만약 계약서로 "자동화된 결정"을 명시하고 포함 시, 정보주체는 "거부권"행사 불가능하다.
충분히 안내 후 동의를 받는 방법으로도 정보주체의 "거부권"행사 저지가 가능하다.
다만, 이러한 "거부권 행사"의 거절 시에도 이에 대한 내용을 30일 이내 통지해야 한다. 정당한 사유가 있을 경우 2회 연장하여 총 90일까지 연장 가 능하다.
O 개인정보처리자의 조치 의무
- 자동화 거부 시 : 해달 결정 적용 후 공지한다. 재처리 요구 시 처리 후 알려야 한다.
- 설명 요구 시 알려야 할 내용
1. 결정의 결과
2. 사용된 개인정보의 유형
3. 결정의 주요 기준
4. 절차
- 설명 요구의 거절 시 : "정당한 사유 있을 시" 거절 가능하다. 다만 "지체없이" 알려야 한다. "지체없이"의 기준은 10일 정도(고시 예정)로 생각하고 있다.
O "중대한 영향"의 판단 기준(고시 예정, 3월 말 사례 소개 예정)
1. 기본권 보호 관련성
2. 권리가 박탈되거나 행사가 불가능
3. 수인하기 어려운 의무가 발생
4. 지속적인 제한
5. 영향을 미치기 전의 상태로 회복하거나(회복 가능성) 영향을 회피할 가능성이 있는지(회피 가능성)
등을 종합적으로 판단한다.
O "민감정보"와 "14세 미만 아동의 정보"의 자동화 처리(유럽은 금지)
- 현행법상 금지되지는 않음.
- 항목, 목적 등을 구체화하고 거부권이 있음을 알려야 하며, 절차를 공개 하여야한다.
O 사례 : AI단계에서 채용이 불합격 된 정보주체가 설명 요구 시
- 반드시 사람 손을 거쳐서 다시 판단해야 할 필요는 없으며, 프로그램 오류가 없었는지 정도만 확인해서 알려도 무방하다.
<개인정보 보호책임자 경력 인정에 관한 고시(CPO)>
O 학부 및 석사, 박사 : 개인정보보호관련 학과 개설 예정
O 개인정보 보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등)
③ 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다.
2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
=> 여기서 "임원"의 의미는 "법인세법, 상법"상 정의된 임원을 말한다
=> (참고)법인세법 시행령 제40조
1. 법인의 회장, 사장, 부사장, 이사장, 대표이사, 전무이사 및 상무이사 등 이사회의 구성원 전원과 청산인
2. 합명회사, 합자회사 및 유한회사의 업무집행사원 또는 이사
3. 유한책임회사의 업무집행자
4. 감사
5. 그 밖에 제1호부터 제4호까지의 규정에 준하는 직무에 종사하는 자
=> (참고)상법에서 말하는 임원이란 ‘주주총회에서 선임된 이사와 감사’를 말한다. 반드시 등기된 이사와 감사일 필요는 없다.
<공공기관 개인정보 보호수준평가>
O 공공기관 CPO의 CPPG 취득은 정성적 지표로서 가산점 사항이다. 의무적인 사항은 아니다.
<손해배상책임 보장 의무대상자의 범위> (안내서:3월말 배포 예정)
O 공공기관은 매출액이 없는 경우 "법인세"기준의 소득으로 판단한다.
O 사립병원 : 10억+1만명 시 의무
공공기관은 "상급종합병원(47개)"만 의무, 나머지 의무 면제
O 적용 유예기간은 특별히 없으며, 현재 직접 과태료 규정은 없으며 시정 조치(개인정보 보호법 64조)를 받을 수 있다.
시정조치 명령에 따르지 않을 시, 개인정보보호법 제75조(과태료) 2항 27호에 따라 3천만원의 과태료 부과 가능하다.
▶ 개인정보 보호법 및 2차 시행령 개정사항 안내서
▶ 개인정보 보호법 및 2차 시행령 설명 자료
출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=9986