9월 26일부터, AI 결정 시 ‘자동화된 결정에 대한 개인정보처리자의 조치 기준’ 시행
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 9월 26일부터 인공지능(AI) 등 자동화된 결정이 이뤄지는 영역에서 기업·기관 등이 준수해야 하는 사항인 ‘자동화된 결정에 대한 개인정보처리자의 조치 기준(고시)’이 시행된다고 밝혔다. 이와 함께, 자동화된 결정에 대한 정보주체의 권리와 기업·기관 등 조치사항을 사례 중심으로 설명한 안내서도 공개했다.
▲자동화된 결정에 대한 정보주체의 권리 안내서 표지[자료=개인정보위]
제도 시행에 따라 기업·기관 등이 정보주체 권리와 의무에 영향을 미치는 결정을 하면서 사람이 개입하지 않는 방식으로 운영할 때에는 그 기준과 절차를 공개하는 등 투명성 확보와 함께 설명할 수 있도록 미리 준비해야 한다.
먼저, 자동화된 결정에 해당 여부를 확인이 필요하다. 최종 결정 전에 사람에 의한 판단 절차를 마련해 운영하는 경우는 자동화된 결정에 해당하지 않는다. 인공지능 기술 등을 활용해 자동화된 시스템으로 의사결정을 하는 기업·기관 등은 ‘자동화된 결정 자율진단표’를 활용해 스스로 자동화된 결정에 해당하는지 확인할 수 있다.
▲개인정보처리자를 위한 ‘자동화된 결정’ 자율진단표[자료=개인정보위]
자동화된 결정 해당 여부 사례
- 해당
△인사권자가 직원 채용과정에서 완전히 자동화된 시스템에 의해 산출된 점수만을 형식적으로 확인해 최종 불합격 결정을 한 경우
△쇼핑·운송·배달 등 플랫폼 사업자가 완전히 자동화된 시스템을 이용해 플랫폼 이용사업자 부정행위 내역 등을 분석한 후 계약해지·이용계정 삭제 등 최종 결정을 한 경우
-제외
△인사권자가 완전히 자동화된 시스템에 의해 산출된 자료와 다른 평가요소를 종합적으로 검토해 최종 결정을 한 경우
△뉴스·상품·콘텐츠 등 맞춤형 추천을 자동화한 경우와 같이 개인정보처리자가 추천하고 이용여부에 대한 결정은 정보주체가 한 경우로 정보주체 권리 또는 의무에 영향을 미치지 않는 경우
위 사례와 같이 자동화된 결정에 해당할 경우 기업·기관은 정보주체의 권리행사 요구 내용에 맞춰 다음과 같은 조치를 해야 한다.
첫째, 정보주체가 자동화된 결정에 대해 설명을 요구한 할 때, 정보주체에게 도움이 될 수 있는 의미 있는 정보를 선별해 제공해야 한다. 또한, 정보주체가 자신에 대한 자동화된 결정에 대해 의견을 제출한 경우에는 해당 의견을 반영할 수 있는지 검토하고 그 결과를 알려야 한다.
더불어, 사람이 이해하기 어려운 인공지능 기술의 특성을 고려해 기술 발전 상황에 따라 설명 가능한 인공지능(XAI, Expainable AI)을 단계적으로 적용할 수 있도록 준비하는 것이 바람직하다.
둘째, 자동화된 결정이 정보주체 권리 또는 의무에 중대한 영향을 미치는 경우, 정보주체가 그 결정을 거부할 때는 기업·기관 등은 해당 결정의 적용을 정지하고, 조치 결과를 정보주체에게 알려야 한다. 실질적으로 사람이 개입해 재처리한 후 그 결과를 정보주체에게 알리는 것도 가능하다.
‘중대한 영향을 미치는 경우’의 해당 여부를 판단할 때는 △생명, 신체 안전과 관련된 정보주체의 권리 또는 의무인지 △지속적인 제한이 발생하는지 △회복 가능성은 있는지 등을 종합적으로 고려해야 한다.
중대한 영향 해당 여부 사례
-해당
△자동화된 결정을 통해 채용 불합격 결정이 이뤄져 근로 기회 자체가 박탈되거나, 정상적으로 유지되어 온 계약의 해지 등으로 정보주체 권리 행사가 제한되는 경우
△서비스 이용계정이 영구 삭제되거나, 일시정지 조치라고 하더라도 해당 기간에 소득 활동 기회가 박탈되는 등 정보주체에게 심각한 경제적 손실이 발생하는 경우
-제외
△채용 합격 결정과 같이 정보주체에게 긍정적 영향만을 미치는 결정이 있는 경우
△서비스 이용계정 삭제 조치가 이뤄지더라도 서비스 재가입이 가능하고 유사한 수준으로 서비스를 이용할 수 있는 경우
기업·기관 등이 자동화된 결정을 하는 경우, 그 기준과 절차 등을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 사전에 공개해야 한다. 공개할 때는 정보주체가 쉽게 알 수 있도록 권리 행사를 위한 구체적인 방법과 절차를 마련해 함께 안내해야 한다.
개인정보정책국 양청삼 국장은 “인공지능 기술을 활용해 자동화된 결정을 할 때는 이번에 공개한 안내서를 참고해 그 기준과 내용을 미리 파악하고 정보주체의 요청에 대응할 수 있도록 준비가 필요하다”며, “새로운 제도가 현장에서 안정적으로 정착될 수 있도록 설명회 등을 통해 지속해서 홍보하고 안내해 나갈 계획”이라고 밝혔다.
이번에 공개한 안내서는 개인정보위 누리집(법령·지침(가이드라인))에서 확인할 수 있다.
[박은주 기자(boan5@boannews.com)]
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 9월 26일부터 인공지능(AI) 등 자동화된 결정이 이뤄지는 영역에서 기업·기관 등이 준수해야 하는 사항인 ‘자동화된 결정에 대한 개인정보처리자의 조치 기준(고시)’이 시행된다고 밝혔다. 이와 함께, 자동화된 결정에 대한 정보주체의 권리와 기업·기관 등 조치사항을 사례 중심으로 설명한 안내서도 공개했다.
▲자동화된 결정에 대한 정보주체의 권리 안내서 표지[자료=개인정보위]
제도 시행에 따라 기업·기관 등이 정보주체 권리와 의무에 영향을 미치는 결정을 하면서 사람이 개입하지 않는 방식으로 운영할 때에는 그 기준과 절차를 공개하는 등 투명성 확보와 함께 설명할 수 있도록 미리 준비해야 한다.
먼저, 자동화된 결정에 해당 여부를 확인이 필요하다. 최종 결정 전에 사람에 의한 판단 절차를 마련해 운영하는 경우는 자동화된 결정에 해당하지 않는다. 인공지능 기술 등을 활용해 자동화된 시스템으로 의사결정을 하는 기업·기관 등은 ‘자동화된 결정 자율진단표’를 활용해 스스로 자동화된 결정에 해당하는지 확인할 수 있다.
▲개인정보처리자를 위한 ‘자동화된 결정’ 자율진단표[자료=개인정보위]
자동화된 결정 해당 여부 사례
- 해당
△인사권자가 직원 채용과정에서 완전히 자동화된 시스템에 의해 산출된 점수만을 형식적으로 확인해 최종 불합격 결정을 한 경우
△쇼핑·운송·배달 등 플랫폼 사업자가 완전히 자동화된 시스템을 이용해 플랫폼 이용사업자 부정행위 내역 등을 분석한 후 계약해지·이용계정 삭제 등 최종 결정을 한 경우
-제외
△인사권자가 완전히 자동화된 시스템에 의해 산출된 자료와 다른 평가요소를 종합적으로 검토해 최종 결정을 한 경우
△뉴스·상품·콘텐츠 등 맞춤형 추천을 자동화한 경우와 같이 개인정보처리자가 추천하고 이용여부에 대한 결정은 정보주체가 한 경우로 정보주체 권리 또는 의무에 영향을 미치지 않는 경우
위 사례와 같이 자동화된 결정에 해당할 경우 기업·기관은 정보주체의 권리행사 요구 내용에 맞춰 다음과 같은 조치를 해야 한다.
첫째, 정보주체가 자동화된 결정에 대해 설명을 요구한 할 때, 정보주체에게 도움이 될 수 있는 의미 있는 정보를 선별해 제공해야 한다. 또한, 정보주체가 자신에 대한 자동화된 결정에 대해 의견을 제출한 경우에는 해당 의견을 반영할 수 있는지 검토하고 그 결과를 알려야 한다.
더불어, 사람이 이해하기 어려운 인공지능 기술의 특성을 고려해 기술 발전 상황에 따라 설명 가능한 인공지능(XAI, Expainable AI)을 단계적으로 적용할 수 있도록 준비하는 것이 바람직하다.
둘째, 자동화된 결정이 정보주체 권리 또는 의무에 중대한 영향을 미치는 경우, 정보주체가 그 결정을 거부할 때는 기업·기관 등은 해당 결정의 적용을 정지하고, 조치 결과를 정보주체에게 알려야 한다. 실질적으로 사람이 개입해 재처리한 후 그 결과를 정보주체에게 알리는 것도 가능하다.
‘중대한 영향을 미치는 경우’의 해당 여부를 판단할 때는 △생명, 신체 안전과 관련된 정보주체의 권리 또는 의무인지 △지속적인 제한이 발생하는지 △회복 가능성은 있는지 등을 종합적으로 고려해야 한다.
중대한 영향 해당 여부 사례
-해당
△자동화된 결정을 통해 채용 불합격 결정이 이뤄져 근로 기회 자체가 박탈되거나, 정상적으로 유지되어 온 계약의 해지 등으로 정보주체 권리 행사가 제한되는 경우
△서비스 이용계정이 영구 삭제되거나, 일시정지 조치라고 하더라도 해당 기간에 소득 활동 기회가 박탈되는 등 정보주체에게 심각한 경제적 손실이 발생하는 경우
-제외
△채용 합격 결정과 같이 정보주체에게 긍정적 영향만을 미치는 결정이 있는 경우
△서비스 이용계정 삭제 조치가 이뤄지더라도 서비스 재가입이 가능하고 유사한 수준으로 서비스를 이용할 수 있는 경우
기업·기관 등이 자동화된 결정을 하는 경우, 그 기준과 절차 등을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 사전에 공개해야 한다. 공개할 때는 정보주체가 쉽게 알 수 있도록 권리 행사를 위한 구체적인 방법과 절차를 마련해 함께 안내해야 한다.
개인정보정책국 양청삼 국장은 “인공지능 기술을 활용해 자동화된 결정을 할 때는 이번에 공개한 안내서를 참고해 그 기준과 내용을 미리 파악하고 정보주체의 요청에 대응할 수 있도록 준비가 필요하다”며, “새로운 제도가 현장에서 안정적으로 정착될 수 있도록 설명회 등을 통해 지속해서 홍보하고 안내해 나갈 계획”이라고 밝혔다.
이번에 공개한 안내서는 개인정보위 누리집(법령·지침(가이드라인))에서 확인할 수 있다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
