작년에 있었던 「개인정보 보호법」 개정(2023. 3. 14. 공포)에 따른 후속조치로 「개인정보 보호법 시행령」이 1차로 개정되어 2023. 9. 15. 시행된 이래로, 법 개정 당시 시행일을 올해 3월 15일로 정한 일부 조항의 세부사항을 규정하기 위해 마련된 「개인정보 보호법 시행령」 2차 개정안이 지난 2024. 3. 15.부터 시행되었습니다(이하 "2차 개정 시행령").
이번 2차 개정 시행령은 인공지능의 등장 및 확산에 대응하여 신설된 자동화된 결정에 대한 정보주체의 권리를 구체화하였습니다. 뿐만 아니라, 개인정보보호책임자의 독립성을 보장하기 위한 자격요건 등을 정하고, 개인정보의 국외 수집·이전 시 개인정보 처리방침에 관련 정보를 공개하도록 하며, 개인정보처리자의 손해배상책임 보장의무의 범위를 합리적으로 정비하였습니다.
아래에서는 새롭게 시행된 2차 개정 시행령의 주요 내용을 살펴보겠습니다.
인공지능의 복잡한 처리 과정, '블랙박스'로 표현되는 불투명성으로 인해 정보주체와 개인정보처리자 간의 정보 비대칭 문제가 제기됨에 따라, 개정 「개인정보 보호법」(이하 "법")에서는 '자동화된 결정'에 대한 개인정보 처리 관련 정보주체의 권리 규정이 신설되었습니다(법 제37조의2). 이때 '자동화된 결정'이란 사람의 개입 없이 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함)으로 개인정보를 분석하는 등 처리하는 과정을 거쳐, 개인정보처리자가 정보주체의 권리 또는 의무에 영향을 미치는 최종적인 결정을 한 경우를 말합니다.
이와 관련된 2차 개정 시행령의 주요 내용은 다음과 같습니다.
자동화된 결정을 하는 개인정보처리자는 인터넷 홈페이지 등을 통해 ① 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위, ② 자동화된 결정에 사용되는 주요 개인정보의 유형과 그 결정과의 관계, ③ 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차, ④ 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적인 항목, ⑤ 정보주체가 거부 또는 설명 등을 요구할 수 있다는 사실과 그 방법 및 절차를 공개하여야 합니다(시행령 제44조의4 제1항).
자동화된 결정이 생명·신체·재산 등 자신의 권리 또는 의무에 중대한 영향을 미치는 경우, 정보주체는 해당 개인정보처리자에 대해 해당 결정을 거부할 수 있습니다(법 제37조의2 제1항 본문).
정보주체가 위 규정에 따라 자동화된 결정을 거부한 경우, 개인정보처리자는 정당한 사유가 없는 한 ① 해당 자동화된 결정을 적용하지 않는 조치를 하거나, ② 정보주체가 인적 개입에 의한 재처리를 요구한 경우에는 그에 따른 조치를 한 후 그 결과를 정보주체에게 알려야 합니다(법 제37조의2 제3항, 시행령 제44조의3 제1항).
정보주체는 개인정보처리자가 자동화된 결정을 한 경우, 해당 자동화된 결정의 기준 및 처리 과정 등에 대한 설명을 요구할 수 있습니다(법 제37조의2 제2항, 시행령 제44조의2 제2항 제1호).
이 경우 개인정보처리자는 정당한 사유가 없으면 정보주체에게 ① 해당 자동화된 결정의 결과, ② 자동화된 결정에 사용된 주요 개인정보의 유형, ③ 그 개인정보 유형이 자동화된 결정에 미친 영향 등 자동화된 결정의 주요 기준, ④ 자동화된 결정에 사용된 주요 개인정보의 처리 과정 등 자동화된 결정이 이루어지는 절차에 대한 간결하고 의미 있는 설명을 정보주체에게 제공하여야 합니다(시행령 제44조의3 제2항).
여기서 '간결하고 의미 있는 설명'이란 데이터 처리기술, 알고리즘이나 머신러닝의 작동방식 등 개인정보처리의 복잡도를 고려하여 정보주체가 이해하기 쉬운 방식으로 간략하게 제시하여야 하고, 정보주체의 입장에서 개인정보자기결정권 행사에 도움이 될 수 있는 의미 있는 정보를 선별하여 제공하여야 함을 의미합니다.
정보주체는 개인정보처리자가 자동화된 결정을 한 경우, 개인정보 추가 등의 의견을 제출하여 해당 의견을 자동화된 결정에 반영할 수 있는지 검토를 요구할 수 있습니다(법 제37조의2 제2항, 시행령 제44조의2 제2항 제2호).
이 경우 개인정보처리자는 정당한 사유가 없으면 정보주체가 제출한 의견의 반영 여부를 검토하고 정보주체에게 반영 여부 및 반영 결과를 알려야 합니다(시행령 제44조의3 제3항).
2차 개정 시행령은 개인정보 보호책임자가 전문성과 독립성을 기반으로 개인정보 보호 업무를 수행할 수 있도록 일정 기준 이상의 개인정보처리자에 대하여 개인정보 보호책임자의 자격요건을 강화하였습니다. 적용 대상이 되는 개인정보처리자는 연 매출액 또는 수입이 1,500억원 이상인 자로서, (i) 100만명 이상의 개인정보 또는 (ii) 5만명 이상 정보주체의의 민감·고유식별정보를 처리하는 개인정보처리자 등 입니다. 이 경우 개인정보처리자는 개인정보보호 경력, 정보보호경력, 정보기술 경력을 합하여 총 4년 이상을 보유하고 그 중 개인정보보호 경력을 최소 2년 이상 보유한 자를 개인정보 보호책임자로 지정하여야 합니다(시행령 제32조 제4항, [별표1]).
나아가 2차 개정 시행령은 개인정보 보호책임자의 독립성을 보장하기 위하여 개인정보처리자에게 ① 개인정보 처리와 관련된 정보에 대한 개인정보 보호책임자의 접근 보장 ② 개인정보 보호책임자가 개인정보 보호 계획에 관하여 정기적으로 대표자 또는 이사회에 직접 보고할 수 있는 체계 구축, ③ 개인정보 보호책임자의 업무 수행에 적합한 조직체계의 마련 및 자원 제공 의무를 부과하고 있습니다(시행령 제32조 제6항).
2차 개정 시행령에서는 개인정보를 국외로 이전하는 경우 개인정보 처리방침에 ① 국외 이전의 근거, ② 이전되는 개인정보 항목, ③ 개인정보가 이전되는 국가, 시기 및 방법, ④ 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처), ⑤ 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간, ⑥ 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과를 기재하도록 하였습니다(시행령 제31조 제1항 제2호).
또한, 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우에는 개인정보 처리방침에 개인정보를 처리하는 국가명을 기재하도록 하였습니다(시행령 제31조 제1항 제4호).