자동화된 결정에 대한 정보주체의 권리(법 제37조의2)

• 인공지능(AI)의복잡한처리과정, ‘블랙박스’로표현되는불투명성으로인해정보 주체인국민과개인정보처리자간의‘정보비대칭’문제가제기됨에따라,
•  
• 법개정(’23.3.14.공포)을통해자동화된결정에대해정보주체가설명을요구하거나 의견제출을통한검토요구를할수있도록하여투명성을보장하였으며,
•  
• 정보주체의권리또는의무에중대한영향을미치는경우에는일정한조건이충족될 경우에는거부할수있도록규정을신설하였다

 

 

제37조의2(자동화된 결정에 대한 정보주체의 권리 등)

① 정보주체는 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분은 제외하며, 이하 이 조에서 “자동화된 결정”이라 한다)이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대 하여 해당 결정을 거부할 수 있는 권리를 가진다.

 

다만, 자동화된 결정이 제15조제1항제1호·제 2호 및 제4호에 따라 이루어지는 경우에는 그러하지 아니하다.

 

② 정보주체는 개인정보처리자가 자동화된 결정을 한 경우에는 그 결정에 대하여 설명 등을 요 구할 수 있다.

 

③ 개인정보처리자는 제1항 또는 제2항에 따라 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구한 경우에는 정당한 사유가 없는 한 자동화된 결정을 적용하지 아니하거 나 인적 개입에 의한 재처리·설명 등 필요한 조치를 하여야 한다.

 

④ 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.

 

⑤ 제1항부터 제4항까지에서 규정한 사항 외에 자동화된 결정의 거부·설명 등을 요구하는 절차 및 방법, 거부·설명 등의 요구에 따른 필요한 조치, 자동화된 결정의 기준ㆍ절차 및 개인정보 가 처리되는 방식의 공개 등에 필요한 사항은 대통령령으로 정한다

 

제44조의2(자동화된 결정에 대한 거부 및 설명 등 요구의 방법 및 절차)

 

① 정보주체는 법 제37조의 2제1항에 따른 자동화된 결정(이하 “자동화된 결정”이라 한다)에 대해 같은 항 본문에 따라 거부 하는 경우에는 개인정보처리자가 마련하여 제44조의4제1항제5호에 따라 공개하는 방법과 절차 에 따라야 한다.

 

② 정보주체는 법 제37조의2제2항에 따라 자동화된 결정에 대해 개인정보처리자에게 다음 각 호 의 설명 또는 검토를 요구할 수 있다. 이 경우 정보주체의 설명 또는 검토 요구는 개인정보처리자 가 마련하여 제44조의4제1항제5호에 따라 공개하는 방법과 절차에 따라야 한다. 1. 해당 자동화된 결정의 기준 및 처리 과정 등에 대한 설명 2. 정보주체가 개인정보 추가 등의 의견을 제출하여 개인정보처리자가 해당 의견을 자동화된 결정 에 반영할 수 있는지에 대한 검토

 

③ 제1항 및 제2항에 따른 정보주체의 자동화된 결정에 대한 거부, 설명 및 검토 요구(이하 “거부 ㆍ설명등요구”라 한다)의 방법과 절차를 개인정보처리자가 마련하는 경우 준수해야 할 사항에 관 하여는 제41조제2항을 준용한다. 이 경우 “열람 요구”는 “거부ㆍ설명등요구”로 본다. 제44조의3(거부ㆍ설명등요구에 따른 조치)

 

① 개인정보처리자는 정보주체가 제44조의2제1항에 따 라 자동화된 결정에 대해 거부하는 경우에는 정당한 사유가 없으면 다음 각 호의 어느 하나에 해 당하는 조치를 하고 그 결과를 정보주체에게 알려야 한다. 1. 해당 자동화된 결정을 적용하지 않는 조치 2. 인적 개입에 의한 재처리 ② 개인정보처리자는 정보주체가 제44조의2제2항에 따라 자동화된 결정에 대해 같은 항 제1호에 따른 설명을 요구하는 경우 정당한 사유가 없으면 다음 각 호의 사항을 포함한 간결하고 의미있 는 설명을 정보주체에게 제공해야 한다. 다만, 개인정보처리자는 해당 자동화된 결정이 정보주체 의 권리 또는 의무에 중대한 영향을 미치지 않는 경우에는 정보주체에게 제44조의4제1항제2호 및 제3호의 사항을 알릴 수 있다. 1. 해당 자동화된 결정의 결과

 

2. 해당 자동화된 결정에 사용된 주요 개인정보의 유형 3. 제2호에 따른 개인정보의 유형이 자동화된 결정에 미친 영향 등 자동화된 결정의 주요 기준 4. 해당 자동화된 결정에 사용된 주요 개인정보의 처리 과정 등 자동화된 결정이 이루어지는 절차

 

③ 개인정보처리자는 정보주체가 제44조의2제2항에 따라 같은 항 제2호에 따른 검토를 요구하는 경우에는 정당한 사유가 없으면 정보주체가 제출한 의견의 반영 여부를 검토하고 정보주체에게 반영 여부 및 반영 결과를 알려야 한다.

 

④ 개인정보처리자는 다른 사람의 생명ㆍ신체ㆍ재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있어 법 제38조제5항에 따라 거부ㆍ설명등요구를 거절하는 경우에는 그 사유를 정보주체에게 지체 없이 서면등의 방법으로 알려야 한다.

 

⑤ 개인정보처리자는 제1항부터 제3항까지의 규정에 따라 정보주체의 거부ㆍ설명등요구에 따른 조치를 하는 경우에는 정보주체의 거부ㆍ설명등요구를 받은 날부터 30일 이내에 서면등의 방법 으로 해야 한다. 다만, 30일 이내에 처리하기 어려운 정당한 사유가 있는 경우에는 정보주체에게 그 사유를 알리고 2회에 한정하여 각각 30일의 범위에서 그 기간을 연장할 수 있다.

 

⑥ 제1항부터 제5항까지의 규정에 따른 정보주체의 거부ㆍ설명등요구에 따른 조치에 관한 세부 사항은 보호위원회가 정하여 고시한다.

 

 

제44조의4(자동화된 결정의 기준과 절차 등의 공개)

 

① 개인정보처리자는 법 제37조의2제4항에 따라 다음 각 호의 사항을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등을 통해 공개해야 한다. 다만, 인터넷 홈페이지 등을 운영하지 않거나 지속적으로 알려야 할 필요가 없는 경우에는 미리 서면등의 방법으로 정보주체에게 알릴 수 있다.

 

1. 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위

 

2. 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계

 

3. 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차

 

4. 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적인 항목

 

5. 자동화된 결정에 대하여 정보주체가 거부ㆍ설명등요구를 할 수 있다는 사실과 그 방법 및 절차

 

② 개인정보처리자는 제1항 각 호의 사항을 공개할 때에는 정보주체가 해당 내용을 쉽게 알 수 있도록 표준화ㆍ체계화된 용어를 사용해야 하며, 정보주체가 쉽게 이해할 수 있도록 동영상ㆍ그 림ㆍ도표 등 시각적인 방법 등을 활용할 수 있다