개인정보보호위원회가 지난 ’23년 11월 23일부터 입법예고한 개인정보 보호법 2차 시행령 개정안이 지난 3월 6일 국무회의에서 의결됨에 따라, 개정 개인정보 보호법에서 신설한 완전히 자동화된 결정에 대한 정보주체의 권리 등 일부 규정이 오는 3월 15일부터 시행될 예정입니다.

이번 2차 시행령 개정안에서는 작년 개인정보 보호법 개정 당시 시행일을 올해 3월 15일로 정한 조항들에서 대통령령에 위임한 사항들을 규정하고 있습니다. 아래에서는 3월 15일부터 시행 예정인 개정 법률 조항과 2차 시행령 개정안의 주요 내용을 살펴보도록 하겠습니다. 

▣ 개정안 주요 내용

1. 인공지능(AI) 등 완전히 자동화된 결정에 대한 정보주체의 권리 구체화

가. 법률

완전히 자동화된 결정*(이하 본 1항에서는 “자동화된 결정”이라 함)에 대해 정보주체가 거부하거나 설명 등을 요구할 수 있는 권리 신설
* “완전히 자동화된 결정”이란 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함)으로 개인정보를 처리하여 이루어지는 결정을 말함

• 자동화된 결정을 한 경우 그 과정에서 정보주체가 해당 결정에 대한 설명 또는 검토 요구 가능
• 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 거부 가능
• 단, 자동화된 결정이 이루어진다는 사실에 대해 정보주체가 명확히 알 수 있도록 동의서, 계약서 등을 통해 미리 알렸거나 법률에 명확히 규정이 있는 경우에는 거부는 인정되지 않고 설명 또는 검토 요구만 가능
• 개인정보처리자는 정당한 사유(다른 사람의 생명·신체·재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 등)가 있는 경우에는 거부·설명 등 요구를 거절할 수 있음

나. 시행령

자동화된 결정에 대한 거부·설명 등 요구권 행사의 절차 및 방법, 개인정보처리자의 조치사항 및 공개사항 등 세부절차를 규정

• (설명 요구 시 조치) 개인정보처리자는 (i) 자동화된 결정의 결과, (ii) 자동화된 결정에 사용된 주요 개인정보의 유형, (iii) 그 개인정보 유형이 자동화된 결정에 미친 영향 등 자동화된 결정의 주요 기준, (iv) 자동화된 결정에 사용된 주요 개인정보의 처리 과정 등 결정이 이루어지는 절차를 이해하기 쉽도록 제공하여야 함
• (검토 요구 시 조치) 개인정보처리자는 정보주체가 개인정보를 추가적으로 반영해줄 것을 요구하는 등 의견을 제출하는 경우 해당 의견을 자동화된 결정에 반영할 수 있는지 검토하고 반영 여부와 그 결과를 지체 없이 알려야 함
• (거부 시 조치) 개인정보처리자는 (i) 해당 자동화된 결정을 적용하지 않거나 (ii) 인적 개입에 의한 재처리를 진행하고 그 결과를 정보주체에게 알려야 함
• (공개사항) 자동화된 결정을 하는 개인정보처리자는 인터넷 홈페이지 등을 통해 (i) 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위, (ii) 자동화된 결정에 사용되는 주요 개인정보의 유형과 그 결정과의 관계, (iii) 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차, (iv) 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적인 항목, (v) 정보주체가 거부 또는 설명 등을 요구할 수 있다는 사실과 그 방법 및 절차를 공개하여야 함

2.  개인정보 보호책임자의 전문성·독립성 강화

가. 법률

개인정보 보호책임자(이하 “CPO”)가 업무를 독립적으로 수행할 수 있도록 보장할 의무 및 CPO 협의회(CPO 상호 간 협력을 위한 협의체) 관련 조항을 신설함

나. 시행령

1) CPO가 전문성과 독립성을 기반으로 개인정보 보호 업무를 수행할 수 있도록 특정 개인정보처리자에 대하여는 CPO의 자격 요건을 강화함

• (적용대상 개인정보처리자) ① 연 매출액 또는 수입이 1,500억원 이상인 자로서, (i) 100만명 이상의 개인정보 또는 (ii) 5만명 이상 정보주체의의 민감·고유식별정보를 처리하는 개인정보처리자, ② 재학생 수 2만 명 이상인 대학(대학원 재학생 수 포함), ③ 대규모 민감정보를 처리하는 상급종합병원, ④ 공공시스템운영기관
• (CPO 자격 요건) 개인정보보호·정보보호·정보기술 경력*을 총 4년 이상(개인정보보호 경력 2년 필수) 갖추고 있는 사람**을 CPO로 지정할 것
  * 단, 동일 기간에 두 가지 이상 업무가 중복되는 경우 하나의 경력만 인정함
  ** 시행 당시 CPO로 지정되어 있는 사람의 경우 ’26.3.14.까지 자격요건을 갖추어어야 함.

2) 더불어, CPO의 독립성 보장을 위해 개인정보 처리 관련 정보에 대한 CPO의 접근 보장, 대표자 또는 이사회에 대한 CPO의 직접 보고체계 구축, CPO에 대한 필요한 인적·물적 자원 제공 등 개인정보처리자의 준수 사항을 신설하고, CPO 협의회가 수행하는 공동사업의 범위를 구체화하였음

다. 고시

「개인정보 보호책임자 경력 인정에 관한 고시」를 제정하여 CPO 경력 인정을 위한 자격의 종류, 교육의 범위 등 세부사항을 규정하였으며, 동 고시 또한 ’24. 3. 15. 시행될 예정

• (자격의 경력 인정) 

  구 분	경력 인정 자격	인정기간
  개인정보보호 경력	정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 제14조에 따른 정보보호 및 개인정보보호 관리체계 인증심사원 개인정보 영향평가에 관한 고시 제5조에 따른 개인정보 영향평가 전문인력 「변호사법」 제4조에 따른 변호사 자격 취득자	1년
  정보보호, 정보기술 경력	정보관리기술사, 컴퓨터시스템응용기술사	1년
  	정보보안기사, 정보처리기사	6개월

  ※ 각 자격 보유시 구분된 경력 내(개인정보보호 / 정보보호·정보기술)에서는 하나의 자격만 인정하며, 구분된 경력별 중복 인정은 가능

• (교육의 경력 인정) 개인정보보호위원회가 주관하거나 위탁 운영하는 교육을 이수한 경우 CPO의 개인정보 보호 경력을 인정함(단, 최대 3개월의 범위 내 인정 가능)

3. 대통령령으로 정하는 개인정보 처리방침 기재사항 확대

가. 법률

기존과 동일

나. 시행령

법 제30조제1항제8호에 따라 개인정보 처리방침에 기재하여 공개해야 하는 사항 추가

• 개인정보를 국외이전하는 경우 (i) 그 근거, (ii) 이전되는 개인정보 항목, (iii) 개인정보가 이전되는 국가, 시기 및 방법, (iv) 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다), (v) 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간, (vi) 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
• 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명

4. 손해배상책임 보장 의무대상자 변경

가. 법률

손해배상책임 이행을 보장하기 위해 보험 가입, 준비금 적립 등 의무를 이행해야 하는 대상이 온라인사업자에서 전체 개인정보처리자로 변경됨

나. 시행령

손해배상책임 보장 의무대상자 중 소상공인 등의 부담은 완화하면서 손해배상책임은 보장하도록 매출액·개인정보 보유량 기준과 의무면제 기준을 정비함

• (의무대상자) 연 매출액등 10억원 이상 & 정보주체 수 1만명 이상
  Cf) 기존: 연 매출액 5천만원 이상 & 이용자 수 1천명 이상 온라인 사업자
• (면제대상) 공공기관(CPO 자격요건 대상기관은 제외), 비영리법인 및 단체, 소상공인으로서 보험등에 가입한 전문수탁자에게 개인정보 저장·관리 업무를 위탁한 경우

5. 고유식별정보 관리실태 정기조사 관련 부담 완화

가. 법률

기존과 동일

나. 시행령

정기조사 기간을 늘리고 특정한 경우 정기조사를 실시한 것으로 간주하는 규정을 두어 중복조사로 인한 부담을 완화함

• (기간) 기존 2년 ➝ 개정 3년
• (간주 규정) ‘개인정보 보호수준 평가’, ‘개인정보보호인증(ISMS-P)’, 기타 다른 법률에 따라 점검이 이루어지는 경우 제외 가능

6. 공공분야 개인정보 보호수준 평가 확대

가. 법률

공공기관 대상 ‘개인정보 보호수준 평가’에 대한 법적 근거를 신설하고 그 평가 결과를 바탕으로 공개 및 개선을 권고할 수 있도록 함

나. 시행령

개인정보 보호수준 평가를 수행하기 위한 기준, 평가 시행 전 평가계획 통보, 자료제출 및 자료·방문 평가 등 근거 규정을 마련함

▣ 시사점

1. 자동화된 결정에 관한 정보주체의 권리 관련

개인정보보호위원회의 설명에 의하면 “완전히 자동화된 결정”이란 사람의 개입 없이 완전히 자동화된 시스템으로 개인정보를 분석하는 등 처리하는 과정을 거쳐 이루어지는 결정을 의미하므로, 그 결정 과정에 정당한 권한을 가진 자가 실질적인 개입을 하는 경우에는 이에 해당하지 아니하나 단순 결재 등 형식적 절차만 운영되는 경우에는 이에 해당합니다. 

또한 “완전히 자동화된 결정”은 개인정보처리자가 최종적인 결정을 하는 것으로서 정보주체의 권리 또는 의무에 직접 영향을 미치는 것이어야 하므로 맞춤형 광고·뉴스 추천과 같이 개인정보처리자가 단순히 추천만 하고 그 추천에 따른 최종적인 선택·결정은 정보주체가 하는 경우나 본인 확인을 위한 단순 사실의 확인과 같은 경우와 같이 정보주체의 권리·의무에 영향을 미치지 않는 경우는 자동화된 결정에 해당하지 않습니다. 

따라서 완전히 자동화된 결정을 하는 AI 시스템을 도입하더라도, 그 시스템에 의해 산출된 자료를 참고하여 권한이 있는 사람이 실질적으로 결정을 하는 절차를 마련하거나, 정보주체가 최종적인 선택·결정을 할 수 있도록 하는 경우에는 해당 조항에 따른 거부·설명 요구권 및 설명의무 등이 적용되지 않는다는 점을 참고하시기 바랍니다.

2. CPO 자격요건 관련

개인정보보호위원회는 CPO의 자격요건 인정에 대한 세부적인 절차 및 기준 등에 관하여 별도의 안내서를 올해 6월까지 마련할 계획이라고 밝혔습니다.

관련하여, 기존 CPO로 지정된 사람의 경우 ’26.3.14.까지 자격요건을 갖추면 되고 학위 및 자격 취득, 교육을 통해서도 기간을 인정받을 수 있다는 점(시행령 별표 1 경력 인정 요건, 경력 인정 고시 참조) 등을 참고하시어 자격요건을 갖춘 자를 CPO로 지정하거나, 기존 CPO가 자격요건을 갖출 수 있도록 조치할 필요가 있습니다.

3. 그 외

개인정보보호위원회는 이번 2차 시행령 개정안의 세부적인 기준 및 사례 등을 담은 안내서 초안을 3월 중 공개하고 설명회 등을 통해 보완할 계획임을 밝혔는바, 안내서 내용도 함께 살펴 개정안을 준수할 수 있도록 기존 내부관리계획 등을 보완할 필요가 있겠습니다.

About Shin & Kim’s ICT Group

법무법인(유) 세종은 개인정보 분야의 독보적인 전문성과 인적 네트워크(윤종인 전 개인정보보호위원회 위원장, 김영호 전 행정안전부 차관, 최재유 전 과학기술정보통신부 차관 등)를 보유하고 있으며, 기업들을 위하여 개인정보보호법과 GDPR을 비롯한 국내외 개인정보 규제, 개인정보 유출사건 대응, 개인정보보호 컴플라이언스 체계 수립 등 개인정보보호에 관한 전문적인 자문을 제공하고 있습니다. 특히, 최근 ‘AI·데이터 정책센터’를 발족하여 AI·데이터 기반 제품·서비스의 도입부터 운영, 관리, 개선 등 전 단계에 걸쳐 법적 위험을 최소화하는 맞춤형 자문을 제공하고 있으며, 더불어 ICT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 자문도 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.