AI 등 자동화된 결정에 대해 국민의 권리 신설, 공공분야 개인정보 보호수준 평가 확대
기업·공공기관 등의 개인정보보호책임자(CPO) 자격 요건 강화
손해배상책임 보장 의무대상자 확대, 해외에서 직접 개인정보 수집시 처리방침에 공개
[보안뉴스 김경애 기자] 지난해 3월 14일 공포된 ‘개인정보보호법’에 신설된 인공지능(AI) 자동화된 결정에 대한 권리 등에 관한 일부 규정이 오는 3월 15일부터 본격 시행된다. 3월 6일 국무회의에서 ‘개인정보보호법 시행령’ 개정안이 의결됨에 따라 15일 시행되는 개정 법에는 △인공지능(AI)의 확산에 따른 자동화된 결정 영역에서 국민의 권리를 신설하고, △대량 또는 민감한 개인정보를 처리하는 기업·공공기관 등의 개인정보보호책임자(CPO) 자격 요건을 강화하는 등 꼭 기억해야할 5가지 주요 핵심 내용이 포함돼 있다. 이번에 시행되는 ‘개인정보보호법’의 주요 내용은 다음과 같다.
[이미지=gettyimagesbank]
1. 인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
인공지능(AI) 기술이 국민 생활의 한 부분으로 자리잡게 됨에 따라 사람의 개입 없이 이루어지는 ‘완전히 자동화된 결정’ 과정에서 정보주체는 해당 결정에 대한 설명 또는 검토 요구를 할 수 있다. 또한 정보주체인 국민의 권리 또는 의무에 중대한 영향을 미치는 경우 거부할 수 있다.
△실질적인 결정 과정에 사람의 개입 없이 완전히 자동화된 시스템으로 개인정보를 처리해 결정이 이루어지는 영역에서도 기준과 절차 등을 투명하게 공개해야 한다. △정보주체인 국민의 요구가 있는 경우에는 어떤 기준과 절차에 따라 개인정보를 처리하고 결정이 이루어졌는지를 설명하거나 제출된 의견에 대한 반영 여부 및 결과를 알려줘야 한다.
법이 시행되면, 인공지능(AI) 서비스를 신뢰하고 이용할 수 있는 사회적 안전장치 중 하나의 역할과 개인정보를 기반으로 인공지능(AI) 서비스가 확산될 수 있는 선순환 구조가 마련될 것으로 기대되고 있다.
[자료=개인정보보호위원회]
➀ 정보주체의 권리가 인정되는 대상 : ‘자동화된 결정’
‘자동화된 결정’이란 사람의 개입 없이 완전히 자동화된 시스템으로, 개인정보를 분석하는 등 처리하는 과정을 거쳐 개인정보처리자가 정보주체의 권리 또는 의무에 영향을 미치는 최종적인 결정을 한 경우를 말한다.
따라서, 결정 과정에서 정당한 권한자의 실질적인 개입이 없거나 단순 결재 등 형식적인 절차만을 운영하고 있다면 사실상 사람의 개입 없이 이루어진 결정이라 완전히 자동화된 결정에 해당될 수 있다.
또한, 정보주체인 국민의 권리 또는 의무에 영향을 미치는 최종 결정인 경우 자동화된 결정의 범위에 포함된다. 다만, 개인정보처리자가 추천하고 정보주체가 선택·결정하는 맞춤형 광고·뉴스 추천, 본인 확인을 위한 단순 사실 확인과 같은 경우 자동화된 결정에 해당하지 않는다.
➁ 설명 및 검토 요구 : ‘자동화된 결정이 있는 경우’
정보주체인 국민은 자동화된 결정이 자신의 권리 또는 의무에 영향을 미치는 경우 개인정보처리자에게 해당 결정에 대한 설명 또는 검토해 줄 것을 요구할 수 있다.
정보주체의 설명 요구를 받은 개인정보처리자는 해당 결정의 기준 및 처리 과정 등에 대해 설명해야 한다. 이때 ‘설명’은 자동화된 결정에 사용된 주요 개인정보가 자동화된 결정에 미치는 영향 등에 대한 간결하고 의미 있는 설명이다. 복잡한 기술적 작동원리 나열 등의 설명을 하지 않도록 유의해야 한다.
이와 함께 개인정보처리자는 정보주체가 개인정보를 추가적으로 반영해 줄 것을 요구하는 등 의견을 제출하는 경우 해당 의견을 반영할 필요가 있는지 검토하고 반영 여부와 그 결과를 지체 없이 알려야 한다.
➂ 자동화된 결정에 대한 거부: ‘중대한 영향을 미치는 경우’
정보주체는 자동화된 결정이 자신의 권리 또는 의무에 대해 본질적인 제한·박탈 등 중대한 영향을 미치는 경우 해당 자동화된 결정에 대해 거부할 수 있다. 이 경우 개인정보처리자는 ①해당 결정을 적용하지 않는 조치를 하거나 ②인적 개입에 의한 재처리를 하고 그 결과를 정보주체에게 알려야 한다.
다만, 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확히 알 수 있도록 동의, 계약 등을 통해 미리 알려야 한다. 또는 법률에 명확히 규정이 있는 경우 거부는 인정되지 않고 설명 및 검토 요구만 가능하다.
➃ 개인정보처리자의 거절사유: ‘정당한 사유’
개인정보처리자는 다른 사람의 생명·신체·재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우에는 거부·설명 등 요구를 거절할 수 있고, 거절하는 경우 그 사유를 정보주체에게 지체 없이 알려야 한다.
2. 개인정보 보호책임자의 전문성·독립성 강화
개인정보보호책임자(이하 CPO)가 전문성과 독립성을 기반으로 개인정보보호 업무를 수행할 수 있도록 대규모 또는 민감정보를 처리하는 개인정보처리자는 CPO의 자격 요건을 강화하고, CPO 협의회 신설을 통해 CPO 상호 간 협력이 긴밀하게 이루어져야 한다.
CPO의 전문성 강화를 위해 매출액, 개인정보의 보유 규모를 고려해 일정 기준 이상의 개인정보처리자는 개인정보보호·정보보호·정보기술 경력을 총 4년 이상(개인정보보호 경력 2년 필수) 경력자를 CPO로 지정해야 한다.
[자료=개인정보보호위원회]
다만, 입법 과정에서 산업계 등의 의견을 반영해 시행 당시 CPO로 지정된 자는 경과조치 규정 마련으로 2년 이내(2026년 3월 14일까지)에 자격 요건을 갖춰야 한다.
공공시스템운영기관 요건에만 해당하는 공공기관의 경우 해당 규정(영 제30조의2)의 시행일이 2024년 9월 15일임을 고려해 2026년 9월 14일까지 자격 요건을 갖추면 된다.
더불어 개인정보처리자가 CPO의 독립성을 보장하기 위해 대표자 또는 이사회에 정기적으로 보고할 수 있는 보고체계 구축, 개인정보 처리 관련 정보에 대한 접근 보장, 인적·물적 자원 제공 등 준수해야 할 사항이 신설됐다. CPO 협의회 구성을 통해 상호 간 공동사업 등 협력 활동이 가능하도록 기반을 마련했다.
3. 공공분야 개인정보 보호수준 평가 확대
개인정보 관리 수준의 진단결과에 대한 신뢰성 확보의 한계를 해소하기 위해 ‘개인정보 보호수준 평가’에 대한 법적 근거가 신설됐다.
이에 따라 공공기관의 개인정보보호 수준을 평가하고, 결과를 바탕으로 공개 및 개선을 권고할 수 있게 됐다. 뿐만 아니라 평가 결과에 따라 우수기관 및 소속 직원에 대해 포상할 수 있는 근거도 마련됐다.
이번 시행령 개정을 통해 개인정보 보호수준 평가 수행을 위한 기준, 평가 시행 전 평가계획 통보 등 근거 규정이 마련됐다. 따라서 평가계획에 따라 제출 자료 기준으로 평가하고 필요시 평가대상 기관을 방문해 평가할 수 있다.
4. 손해배상책임 보장 의무대상자 변경
정보주체에 대한 손해배상책임 이행을 위해 보험 가입, 준비금 적립 등 의무 대상이 온라인사업자에서 오프라인·공공부문을 포함하는 전체 개인정보처리자로 변경됐다.
종전에는 ‘연 매출액 5천만원 이상’이고 ‘이용자 수 1천명 이상’인 온라인사업자가 대상이었다. 하지만 앞으로는 ‘연 매출액등 10억원 이상’이고 ‘정보주체 수 1만명 이상’인 개인정보처리자로 기준이 강화됐다.
또한, 의무 면제 대상을 명시해 공공기관(CPO 자격요건 대상기관은 의무대상에 포함), 비영리법인 및 단체, 소상공인으로서 보 험등에 가입한 전문 수탁자에게 개인정보 저장·관리 업무를 위탁한 경우는 적용 대상에서 제외됐다.
5. 기타 개정사항 및 향후 계획
다음으로 개인정보위의 고유식별정보 관리실태 정기조사의 기간을 2년에서 3년으로 조정됐다. ‘개인정보 보호수준 평가’·‘개인정보보호인증(ISMS-P)’ 등 다른 법률에 따라 점검이 이루어지는 경우 정기조사 대상에서 제외시켜 중복조사를 방지했다.
국외 이전의 경우 법적 근거를, 국외에서 국내 정보주체의 개인정보를 직접 수집해 처리하는 경우는 처리하는 국가명을 개인정보처리방침에 기재해 공개해야 한다.
▲개인정보보호법 시행령 개정(요약)[자료=개인정보보호위원회]
개인정보위는 △자동화된 결정에 대한 권리 △CPO 자격요건 △공공기관 개인정보 보호수준 평가 △손해배상 책임 보장제도 등 신설 등 변경된 사항을 중심으로 세부적인 기준 및 사례 등을 담은 안내서 초안을 3월 중 공개할 예정이다.
고학수 개인정보위 위원장은 “인공지능(AI) 기술을 활용한 자동화된 결정, CPO의 전문성과 독립성 강화 등 개정사항은 개인정보의 안전한 활용 과정에서 사회적 안전장치로서 그 중요성이 매우 크다”며, “개정된 제도가 제 기능을 할 수 있도록 현장 홍보와 계도 활동에 집중하면서 민생현장과의 적극적인 소통을 통해 정보주체인 국민과 기업 모두에게 도움이 될 수 있는 제도로 정착시켜 나가겠다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
기업·공공기관 등의 개인정보보호책임자(CPO) 자격 요건 강화
손해배상책임 보장 의무대상자 확대, 해외에서 직접 개인정보 수집시 처리방침에 공개
[보안뉴스 김경애 기자] 지난해 3월 14일 공포된 ‘개인정보보호법’에 신설된 인공지능(AI) 자동화된 결정에 대한 권리 등에 관한 일부 규정이 오는 3월 15일부터 본격 시행된다. 3월 6일 국무회의에서 ‘개인정보보호법 시행령’ 개정안이 의결됨에 따라 15일 시행되는 개정 법에는 △인공지능(AI)의 확산에 따른 자동화된 결정 영역에서 국민의 권리를 신설하고, △대량 또는 민감한 개인정보를 처리하는 기업·공공기관 등의 개인정보보호책임자(CPO) 자격 요건을 강화하는 등 꼭 기억해야할 5가지 주요 핵심 내용이 포함돼 있다. 이번에 시행되는 ‘개인정보보호법’의 주요 내용은 다음과 같다.
[이미지=gettyimagesbank]
1. 인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
인공지능(AI) 기술이 국민 생활의 한 부분으로 자리잡게 됨에 따라 사람의 개입 없이 이루어지는 ‘완전히 자동화된 결정’ 과정에서 정보주체는 해당 결정에 대한 설명 또는 검토 요구를 할 수 있다. 또한 정보주체인 국민의 권리 또는 의무에 중대한 영향을 미치는 경우 거부할 수 있다.
△실질적인 결정 과정에 사람의 개입 없이 완전히 자동화된 시스템으로 개인정보를 처리해 결정이 이루어지는 영역에서도 기준과 절차 등을 투명하게 공개해야 한다. △정보주체인 국민의 요구가 있는 경우에는 어떤 기준과 절차에 따라 개인정보를 처리하고 결정이 이루어졌는지를 설명하거나 제출된 의견에 대한 반영 여부 및 결과를 알려줘야 한다.
법이 시행되면, 인공지능(AI) 서비스를 신뢰하고 이용할 수 있는 사회적 안전장치 중 하나의 역할과 개인정보를 기반으로 인공지능(AI) 서비스가 확산될 수 있는 선순환 구조가 마련될 것으로 기대되고 있다.
[자료=개인정보보호위원회]
➀ 정보주체의 권리가 인정되는 대상 : ‘자동화된 결정’
‘자동화된 결정’이란 사람의 개입 없이 완전히 자동화된 시스템으로, 개인정보를 분석하는 등 처리하는 과정을 거쳐 개인정보처리자가 정보주체의 권리 또는 의무에 영향을 미치는 최종적인 결정을 한 경우를 말한다.
따라서, 결정 과정에서 정당한 권한자의 실질적인 개입이 없거나 단순 결재 등 형식적인 절차만을 운영하고 있다면 사실상 사람의 개입 없이 이루어진 결정이라 완전히 자동화된 결정에 해당될 수 있다.
또한, 정보주체인 국민의 권리 또는 의무에 영향을 미치는 최종 결정인 경우 자동화된 결정의 범위에 포함된다. 다만, 개인정보처리자가 추천하고 정보주체가 선택·결정하는 맞춤형 광고·뉴스 추천, 본인 확인을 위한 단순 사실 확인과 같은 경우 자동화된 결정에 해당하지 않는다.
➁ 설명 및 검토 요구 : ‘자동화된 결정이 있는 경우’
정보주체인 국민은 자동화된 결정이 자신의 권리 또는 의무에 영향을 미치는 경우 개인정보처리자에게 해당 결정에 대한 설명 또는 검토해 줄 것을 요구할 수 있다.
정보주체의 설명 요구를 받은 개인정보처리자는 해당 결정의 기준 및 처리 과정 등에 대해 설명해야 한다. 이때 ‘설명’은 자동화된 결정에 사용된 주요 개인정보가 자동화된 결정에 미치는 영향 등에 대한 간결하고 의미 있는 설명이다. 복잡한 기술적 작동원리 나열 등의 설명을 하지 않도록 유의해야 한다.
이와 함께 개인정보처리자는 정보주체가 개인정보를 추가적으로 반영해 줄 것을 요구하는 등 의견을 제출하는 경우 해당 의견을 반영할 필요가 있는지 검토하고 반영 여부와 그 결과를 지체 없이 알려야 한다.
➂ 자동화된 결정에 대한 거부: ‘중대한 영향을 미치는 경우’
정보주체는 자동화된 결정이 자신의 권리 또는 의무에 대해 본질적인 제한·박탈 등 중대한 영향을 미치는 경우 해당 자동화된 결정에 대해 거부할 수 있다. 이 경우 개인정보처리자는 ①해당 결정을 적용하지 않는 조치를 하거나 ②인적 개입에 의한 재처리를 하고 그 결과를 정보주체에게 알려야 한다.
다만, 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확히 알 수 있도록 동의, 계약 등을 통해 미리 알려야 한다. 또는 법률에 명확히 규정이 있는 경우 거부는 인정되지 않고 설명 및 검토 요구만 가능하다.
➃ 개인정보처리자의 거절사유: ‘정당한 사유’
개인정보처리자는 다른 사람의 생명·신체·재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우에는 거부·설명 등 요구를 거절할 수 있고, 거절하는 경우 그 사유를 정보주체에게 지체 없이 알려야 한다.
2. 개인정보 보호책임자의 전문성·독립성 강화
개인정보보호책임자(이하 CPO)가 전문성과 독립성을 기반으로 개인정보보호 업무를 수행할 수 있도록 대규모 또는 민감정보를 처리하는 개인정보처리자는 CPO의 자격 요건을 강화하고, CPO 협의회 신설을 통해 CPO 상호 간 협력이 긴밀하게 이루어져야 한다.
CPO의 전문성 강화를 위해 매출액, 개인정보의 보유 규모를 고려해 일정 기준 이상의 개인정보처리자는 개인정보보호·정보보호·정보기술 경력을 총 4년 이상(개인정보보호 경력 2년 필수) 경력자를 CPO로 지정해야 한다.
[자료=개인정보보호위원회]
다만, 입법 과정에서 산업계 등의 의견을 반영해 시행 당시 CPO로 지정된 자는 경과조치 규정 마련으로 2년 이내(2026년 3월 14일까지)에 자격 요건을 갖춰야 한다.
공공시스템운영기관 요건에만 해당하는 공공기관의 경우 해당 규정(영 제30조의2)의 시행일이 2024년 9월 15일임을 고려해 2026년 9월 14일까지 자격 요건을 갖추면 된다.
더불어 개인정보처리자가 CPO의 독립성을 보장하기 위해 대표자 또는 이사회에 정기적으로 보고할 수 있는 보고체계 구축, 개인정보 처리 관련 정보에 대한 접근 보장, 인적·물적 자원 제공 등 준수해야 할 사항이 신설됐다. CPO 협의회 구성을 통해 상호 간 공동사업 등 협력 활동이 가능하도록 기반을 마련했다.
3. 공공분야 개인정보 보호수준 평가 확대
개인정보 관리 수준의 진단결과에 대한 신뢰성 확보의 한계를 해소하기 위해 ‘개인정보 보호수준 평가’에 대한 법적 근거가 신설됐다.
이에 따라 공공기관의 개인정보보호 수준을 평가하고, 결과를 바탕으로 공개 및 개선을 권고할 수 있게 됐다. 뿐만 아니라 평가 결과에 따라 우수기관 및 소속 직원에 대해 포상할 수 있는 근거도 마련됐다.
이번 시행령 개정을 통해 개인정보 보호수준 평가 수행을 위한 기준, 평가 시행 전 평가계획 통보 등 근거 규정이 마련됐다. 따라서 평가계획에 따라 제출 자료 기준으로 평가하고 필요시 평가대상 기관을 방문해 평가할 수 있다.
4. 손해배상책임 보장 의무대상자 변경
정보주체에 대한 손해배상책임 이행을 위해 보험 가입, 준비금 적립 등 의무 대상이 온라인사업자에서 오프라인·공공부문을 포함하는 전체 개인정보처리자로 변경됐다.
종전에는 ‘연 매출액 5천만원 이상’이고 ‘이용자 수 1천명 이상’인 온라인사업자가 대상이었다. 하지만 앞으로는 ‘연 매출액등 10억원 이상’이고 ‘정보주체 수 1만명 이상’인 개인정보처리자로 기준이 강화됐다.
또한, 의무 면제 대상을 명시해 공공기관(CPO 자격요건 대상기관은 의무대상에 포함), 비영리법인 및 단체, 소상공인으로서 보 험등에 가입한 전문 수탁자에게 개인정보 저장·관리 업무를 위탁한 경우는 적용 대상에서 제외됐다.
5. 기타 개정사항 및 향후 계획
다음으로 개인정보위의 고유식별정보 관리실태 정기조사의 기간을 2년에서 3년으로 조정됐다. ‘개인정보 보호수준 평가’·‘개인정보보호인증(ISMS-P)’ 등 다른 법률에 따라 점검이 이루어지는 경우 정기조사 대상에서 제외시켜 중복조사를 방지했다.
국외 이전의 경우 법적 근거를, 국외에서 국내 정보주체의 개인정보를 직접 수집해 처리하는 경우는 처리하는 국가명을 개인정보처리방침에 기재해 공개해야 한다.
▲개인정보보호법 시행령 개정(요약)[자료=개인정보보호위원회]
개인정보위는 △자동화된 결정에 대한 권리 △CPO 자격요건 △공공기관 개인정보 보호수준 평가 △손해배상 책임 보장제도 등 신설 등 변경된 사항을 중심으로 세부적인 기준 및 사례 등을 담은 안내서 초안을 3월 중 공개할 예정이다.
고학수 개인정보위 위원장은 “인공지능(AI) 기술을 활용한 자동화된 결정, CPO의 전문성과 독립성 강화 등 개정사항은 개인정보의 안전한 활용 과정에서 사회적 안전장치로서 그 중요성이 매우 크다”며, “개정된 제도가 제 기능을 할 수 있도록 현장 홍보와 계도 활동에 집중하면서 민생현장과의 적극적인 소통을 통해 정보주체인 국민과 기업 모두에게 도움이 될 수 있는 제도로 정착시켜 나가겠다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
