[파이낸셜뉴스] 인공지능(AI) 확산에 따라 앞으로 민감한 개인정보를 처리하는 개인정보 보호책임자(CPO) 자격 요건이 강화되고, 공공분야 개인정보 보호수준 평가도 확대된다.
개인정보보호위원히는 6일 국무회의에서 '개인정보보호법 시행령' 개정안이 의결됨에 따라 AI 등 자동화된 결정에 대한 권리 등 일부 규정이 오는 15일부터 시행된다고 밝혔다.
개정법은 AI 확산에 따른 자동화된 결정 영역에서 국민의 권리가 신설됐고, 개인정보를 보다 전문적으로 보호하기 위해 기업·공공기관 등의 관리 강화가 골자다.
우선 AI가 이제 생활의 한 부분으로 자리 잡으며 사람의 개입 없이 이뤄지는 '완전히 자동화된 결정'에서 정보주체가 해당 결정에 대한 설명 또는 검토를 할 수 있게 된다. 만약 자신의 권리나 의무에 중대한 영향을 미치는 경우에는 거부도 가능하다.
자동화된 결정이란 AI 등 완전히 자동화된 시스템으로 개인정보를 처리해 이뤄지는 결정을 말한다. AI 면접 만으로 응시자의 개인정보를 분석해 합격, 불합격 결정을 하는 경우는 '완전히 자동화된 시스템'으로 볼 수 있다.
예를 들어 공공기관이 복지수당 지급 후 ‘AI 부정수급자 탐지시스템’ 만으로 부정수급 사례를 발견해 복지수당 지급을 취소하는 최종 결정을 했다면, 당사자는 해당 결정을 거부할 수 있다. 이 경우 공공기관은 복지수당 지급 취소 결정을 취소 또는 사람이 개입해 다시 처리하는 과정을 밟아야 한다. 그 조치 결과를 30일 이내(30일 2회 연장 가능)에 정보 주체에게 알려야 한다.
개인정보 보호책임자(CPO)의 책임도 강화된다. 전문성과 독립성을 기반으로 개인정보 보호 업무를 수행할 수 있도록 CPO의 자격 요건을 강화하고, CPO 협의회 신설을 통해 CPO 상호 간 협력이 긴밀하게 이뤄지도록 했다. CPO는 개인정보보호·정보보호·정보기술 경력을 총 4년 이상(개인정보보호 경력 2년 필수) 갖춰야 한다.
공공분야 개인정보 보호수준 평가도 확대된다. 그동안 개인정보위는 매년 ‘공공기관 개인정보 관리수준 진단’을 실시하고 있었으나, 법적 근거가 명확하지 않아 개인정보 관리 수준의 진단결과에 대한 신뢰성 확보에 한계가 있었다. 이를 해소하기 위해 ‘개인정보 보호수준 평가’에 대한 법적 근거를 신설했다.
이와 함께 개인정보위 고유식별정보 관리실태 정기조사 기간을 2년에서 3년으로 조정하고, 중복조사를 없앴다.
개인정보위는 자동화된 결정에 대한 권리, CPO 자격요건, 공공기관 개인정보 보호수준 평가, 손해배상 책임 보장제도 등 새롭게 신설되거나 변경된 사항을 중심으로 세부적인 기준 및 사례 등을 담은 안내서 초안을 이달 중 공개하고 설명회 등을 통해 현장의 의견을 반영하여 추가해 나갈 예정이다.
고학수 개인정보위 위원장은 “AI 기술을 활용한 자동화된 결정, CPO의 전문성과 독립성 강화 등 개정사항은 개인정보의 안전한 활용 과정에서 사회적 안전장치로서 그 중요성이 매우 크다”며 “개정된 제도가 제기능을 할 수 있도록 현장 홍보와 계도 활동에 집중하면서 정보주체인 국민과 기업 모두에게 도움이 될 수 있는 제도로 정착시켜 나가겠다”고 말했다.
yjjoe@fnnews.com 조윤주 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지