자동화된 결정에 대한 조치 기준

「자동화된 결정에 대한 개인정보처리자의 조치 기준」 고시 제정

 

이번 고시 제정안은 올해 1월 개인정보 보호법 시행령 심사 과정에서 기업ㆍ기관 등 개인정보처리자가 조치해야 할 세부사항을 고시 제정을 통해 구체화할 필요가 있다는 규제개혁위원회의 의견을 반영한 것이다.

 

주요 방향

이에 따라, 고시 제정안에는 자동화된 결정에 대하여 정보주체가 거부하거나 설명ㆍ검토를 요구한 경우에 기업ㆍ기관 등 개인정보처리자가 조치하는 과정에서 고려해야 할 세부사항을 권리의 유형별로 구체화하였다.

 

첫째, 정보주체가 자신의 권리 또는 의무에 중대한 영향을 미치는 자동화된 결정에 대해 설명을 요구한 경우에는 정보주체에게 개별적으로 의미있는 정보를 선별하여 이해하기 쉬운 방식으로 간결하게 제공하도록 했다.

 

※ 중대한 영향을 미치지 않는 자동화된 결정의 경우에는 미리 공개한 주요 개인정보의 유형과 자동화된 결정의 관계 등을 간결하게 알릴 수 있음

 

이 경우, ‘자동화된 결정’에 해당하는지 여부를 판단할 때에는 ‘정당한 권한을 가진 사람의 실질적이고 의미 있는 개입’이 있는지, 정보주체의 개인정보에 대한 개별적인 처리 과정을 거쳐 의미 있는 정보를 추출하는지, 최종적인 결정인지 등을 종합적으로 고려하도록 했다.

 

둘째, 정보주체의 권리 또는 의무에 중대한 영향을 미치는 자동화된 결정에 대하여 정보주체가 거부한 경우에는, 해당 결정의 적용을 정지하여 정보주체에게 중대한 영향이 미치지 않도록 조치하고 그 결과를 알리도록 하였다.

240518+(조간)+‘자동화된+결정에+대한+조치+기준’+고시안+행정예고(개인정보보호정책과).hwpx

2.68MB

 

 

「자동화된 결정에 대한 개인정보처리자의 조치 기준」 

 

제1조(목적) 이 고시는 「개인정보 보호법」(이하 “법”이라 한다) 제37조의2와 「개인정보 보호법 시행령」(이하 “영”이라 한다) 제44조의3제6항에 따라 정보주체의 자동화된 결정에 대한 거부, 설명 및 검토 요구에 따른 개인정보처리자의 조치에 관해 필요한 사항을 규정함을 목적으로 한다.

제2조(정의) 이 고시에서 사용하는 용어의 뜻은 다음과 같다.

1. “자동화된 결정”이란 법 제37조의2제1항에 따라 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다. 이하 같다)으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」제20조에 따른 행정청의 자동적 처분은 제외한다)을 말한다.

2. “거부ㆍ설명등요구”란 영 제44조의2제1항 및 제2항에 따른 정보주체의 자동화된 결정에 대한 거부, 설명 및 검토 요구를 말한다.

3. “중대한 영향”이란 자동화된 결정이 정보주체의 권리 또는 의무에 법적인 영향을 미치는 경우로서 그 영향의 정도가 정보주체의 권리 또는 의무의 본질적인 내용을 제한하는 경우를 말한다.

4. “인적 개입”이란 자동화된 시스템에 의한 결정을 변경할 수 있는 권한을 가진 사람이 그 결정 과정 또는 재처리를 통한 결정 과정에 실질적으로 개입하는 것을 말한다.

제3조(자동화된 결정 등의 판단기준) ① 완전히 자동화된 시스템으로 이루어지는 결정이 자동화된 결정에 해당하는지 여부를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 정당한 권한을 가진 사람의 실질적이고 의미 있는 개입 없이 완전히 자동화된 시스템에 의해 결정이 이루어졌는지 여부

2. 완전히 자동화된 시스템으로 해당 정보주체의 개인정보를 분석ㆍ가공하는 등 개별적인 처리 과정을 거쳐 의미 있는 정보를 추출하는지 여부

3. 개인정보처리자가 내린 결정으로서 정보주체의 권리 또는 의무에 영향을 미치는 결정인지 여부

4. 해당 결정이 내려지는 단계와 관계 없이 해당 결정이 정보주체에 대한 최종적인 결정에 해당하는지 여부

5. 완전히 자동화된 시스템에 의한 개인정보의 처리와 결정 사이에 실질적인 관련성이 있는지 여부

6. 다른 법률에 자동화된 결정에 대한 정보주체의 권리를 규정한 특별한 규정이 있는지 여부

② 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에 해당하는지 여부를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 사람의 생명, 신체의 안전과 관련된 정보주체의 권리 또는 의무인지 여부

2. 정보주체의 권리가 박탈되거나 권리 행사가 불가능하게 되는지 여부

3. 정보주체가 통상적으로 받아들일 수 있는 한도를 넘어서는 의무가 발생하는지 여부

4. 정보주체의 권리 또는 의무에 지속적인 제한이 발생하는지 여부

5. 정보주체에게 영향을 미치기 전의 상태로 회복하거나 해당 영향을 회피할 수 있는 가능성이 있는지 여부

③ 자동화된 결정이 법 제37조의2제1항 단서의 법 제15조제1항제1호ㆍ제2호 및 제4호에 따라 이루어지는 경우에 해당하는지 여부를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 개인정보를 수집ㆍ이용하는 과정에서 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확하게 인지할 수 있도록 알리고 동의를 받았는지 여부

2. 자동화된 결정에 대하여 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 자동화된 결정이 불가피한 경우에 해당하는지 여부

3. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 자동화된 결정을 하는 경우로서 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확하게 인지할 수 있도록 알렸는지 여부

제4조(정보주체의 거부에 따른 조치) ① 개인정보처리자는 정보주체가 자동화된 결정을 거부하는 경우에는 해당 결정의 적용을 정지하여 정보주체의 권리 또는 의무에 중대한 영향을 미치지 않도록 조치하고 그 결과를 정보주체에게 알려야 한다. 다만, 인적 개입에 의한 재처리를 하고 그 결과를 정보주체에게 알린 경우에는 그러하지 아니하다.

② 개인정보처리자는 제1항 본문에 따라 자동화된 결정의 적용을 정지한 경우로서 정지 상태를 해소하고 정보주체의 권리를 보호하기 위해 필요한 경우에는 제6조에 따른 조치를 한 후 그 결과를 정보주체에게 알릴 수 있다.

③ 개인정보처리자는 자동화된 결정에 대한 정보주체의 거부 내용에 설명 및 검토를 요구하는 내용이 포함되어 있는 경우에는 각각의 조치를 한 후 그 결과를 함께 알릴 수 있다.

제5조(정보주체의 설명 요구에 따른 조치) ① 개인정보처리자는 정보주체가 자신의 권리 또는 의무에 중대한 영향을 미치는 자동화된 결정에 대해 설명을 요구하는 경우에는 정보주체에게 개별적으로 영 제44조의3제2항 각 호의 사항을 포함한 간결하고 의미있는 설명을 제공해야 한다.

② 개인정보처리자는 제1항에 따라 정보주체에게 자동화된 결정에 대해 설명할 때에는 정보주체에게 의미있는 정보를 선별하여 정보주체가 이해하기 쉬운 방식으로 간결하게 제공해야 한다.

③ 개인정보처리자는 제1항 및 제2항에도 불구하고 정보주체가 자신의 권리 또는 의무에 중대한 영향을 미치지 않는 자동화된 결정에 대해 설명을 요구한 경우에는 영 제44조의4제1항에 따라 미리 인터넷 홈페이지를 통해 공개하거나 정보주체에게 서면등의 방법으로 알린 사항 중 다음 각 호의 사항을 선별하여 정보주체가 이해하기 쉬운 방식으로 간결하게 알릴 수 있다.

1. 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계

2. 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차

④ 개인정보처리자는 정보주체가 자동화된 결정에 대한 설명 요구의 내용에 검토를 요구하는 내용이 포함되어 있는 경우에는 각각의 조치를 한 후 그 결과를 함께 알릴 수 있다.

제6조(정보주체의 검토 요구에 따른 조치) 개인정보처리자는 정보주체가 영 제44조의2제2항에 따라 제출한 다음 각 호의 의견을 자동화된 결정에 반영할 수 있는지에 대한 검토를 요구한 경우에는 반영 여부를 검토하고 반영한 경우에는 그 결과를 정보주체에게 알려야 한다.

1. 자동화된 결정 과정에서 처리되는 개인정보를 추가하거나 정정한 후 재처리

2. 자동화된 결정 과정에서 정보주체에게 영향을 미치는 고려사항에 대한 재검토

제7조(정보주체의 거부ㆍ설명등요구에 대한 거절 등) ① 개인정보처리자는 정보주체가 자동화된 결정에 대하여 거부ㆍ설명등요구를 한 경우라고 하더라도 정보주체의 요구에 따른 조치를 거절할 정당한 사유가 있는 때에는 해당 조치를 하지 않을 수 있다. 이 경우 정당한 사유가 있는지 여부는 정보주체의 자동화된 결정에 대한 거부ㆍ설명등요구를 제한하여 정보주체가 입게 될 불이익과 개인정보처리자 또는 제3자의 이익을 비교ㆍ형량(衡量)하여 개별적으로 판단해야 한다.

② 정보주체가 자동화된 결정에 대하여 거부한 경우 정보주체의 요구에 따른 조치를 거절할 수 있는 정당한 사유에 해당하는지를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 해당 결정이 자동화된 결정이고 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에 해당하여 영 제44조의3제1항에 따른 조치 의무가 있는지 여부

2. 자동화된 결정이 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한지 여부

3. 해당 조치로 인해 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는지 여부

4. 해당 조치로 인해 개인정보처리자의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우로서 정보주체의 자동화된 결정에 대한 권리보다 우선하는지 여부

5. 해당 자동화된 결정을 적용하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우에 해당하는지 여부

③ 정보주체가 자동화된 결정에 대하여 설명을 요구한 경우 이를 거절할 정당한 사유에 해당하는지를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 해당 결정이 자동화된 결정에 해당하여 영 제44조의3제2항에 따른 조치 의무가 있는지 여부

2. 자동화된 결정에 대한 설명이 법률에 따라 금지되거나 제한되는지 여부

3. 자동화된 결정에 대한 설명으로 인해 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는지 여부

4. 자동화된 결정에 대한 설명으로 인해 개인정보처리자의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우로서 정보주체의 자동화된 결정에 대한 권리보다 우선하는지 여부

5. 자동화된 결정에 대한 설명을 요구한 사항이 정보주체가 충분히 예상할 수 있는 내용이거나 사실과 다른 내용인지 여부

④ 정보주체가 자동화된 결정에 대하여 개인정보를 추가하는 등 의견 제출을 통해 검토를 요구한 경우 해당 요구를 거절할 정당한 사유에 해당하는지를 판단할 때에는 다음 각 호의 사항을 고려해야 한다.

1. 해당 결정이 자동화된 결정에 해당하여 영 제44조의3제3항에 따른 조치 의무가 있는지 여부

2. 정보주체가 제출한 의견의 내용이 자동화된 결정 과정에 이미 반영되어 있거나 동일한 내용의 검토 요구가 반복적으로 제기된 것인지 여부

제8조(조치 기간 및 방법) ① 개인정보처리자는 영 제44조의3제1항부터 제3항의 규정에 따라 정보주체의 거부ㆍ설명등요구에 따른 조치를 하는 경우에는 정보주체의 요구를 받은 날부터 30일 이내에 처리하고 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 “서면등의 방법”이라 한다)으로 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하여 30일 이내에 처리하기 어려운 경우에는 정보주체에게 그 사유를 알리고 2회에 한정하여 각각 30일의 범위에서 그 기간을 연장할 수 있다.

1. 거부ㆍ설명등요구에 대하여 추가적인 조치가 필요하거나 요구된 내용이 복잡하여 정해진 기간 내에 조치하기 곤란한 경우

2. 천재지변, 일시적인 업무량 폭주 등으로 정해진 기간 내에 조치하기 곤란한 경우

② 개인정보처리자는 영 제44조의3제4항에 따라 정보주체의 거부ㆍ설명등요구에 대하여 거절하려는 경우에는 그 사유와 이의제기 방법 및 절차를 정당한 사유가 없는 한 거부ㆍ설명등요구를 받은 날부터 10일 이내에 서면등의 방법으로 알려야 한다.

제9조(재검토기한) 보호위원회는 이 고시에 대하여 「행정규제기본법」 및 「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」에 따라 2025년 1월 1일을 기준으로 매 3년이 되는 시점(매 3년째의 12월 31일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.

 

부 칙

이 고시는 발령한 날부터 시행한다.