[자료] 자동화된 결정에 대한 정보주체의 권리 안내서

2024년 5월 24일 초안을 공개했던 자동화된 결정에 대한 정보주체의 권리 안내서 확정버전이 공개되었다.

https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049&bbscttNo=20762

개인정보 포털

기존에는 없던 안내서라 모든 내용이 새로운 느낌이고 법과 관련 고시(자동화된 결정에 대한 개인정보처리자의 조치 기준)에 대한 보충적인 해설을 포함한 문서라고 생각하면 된다. 

 

안내서를 읽어본 결과 느낀점을 요약해보면, 

1) '자동화된 결정'에 해당 하는지에 대한 판단이 가장 중요하다. 개인정보보호법의 주된 수범대상이 개인정보처리자이고 의무를 부과받는 주체라 개인정보처리자가 아니면 적용되지 않는 조항이 대부분인 것처럼 자동화된 결정 관련 법령의 적용대상에 해당하는지에 대한 사전 판단이 선행되어야 한다. 

 

2) 정보주체의 권리 또는 의무에 영향을 미치는지와 그 영향이 중대한지에 대한 판단이 두 번째로 중요하다. 자동화된 결정 여부에 대한 판단 기준에 '정보주체의 권리 또는 의무에 영향을 미치는 결정'인지가 포함되어 있으며, 해당 영향이 중대할 경우에 한해 거부권 요구가 가능하기 때문 

 

3) 정보주체의 권리행사 요구에 거절할때와 거절하지 않을 때의 처리기한이 다른 점에 유의해야 한다. - 거절 : 10일 이내 - 수용 : 30일 이내(단, 30일 이내 처리하기 어려운 고시상 사유가 있는 경우 최대 90일 이내) 

 

4) 요약 표, Q&A, 예시 등이 잘 구성되어 있어 정독해야 한다. 

 

참고할 만한 내용을 정리해 보면 다음과 같다. 

1. 개인정보 보호법 상의 자동화된 결정에 해당하려면 아래 5가지 요건을 모두 충족해야 한다. 

 1) 자동화된 결정이 완전히 자동화된 시스템에 의해야 함 

 - 정당한 권한을 가진 사람이 실질적으로 결정하는 절차가 존재할 경우 자동화된 결정에 해당하지 않음 

 2) 자동화된 결정이 개인정보를 처리해 이뤄져야 함 

 3) 자동화된 결정이 개인정보처리자가 내린 최종적 결정이어야 하고, 정보주체의 권리 또는 의무에 (법적)영향을 미치는 결정이어야 함 

  - 맞춤형 광고나 뉴스추천은 실제 이용여부에 대한 결정을 정보주체가 하기 때문에 개인정보 처리자의 결정으로 볼 수 없음 

  - 최종적으로 확정되기 전에 정보주체가 개입하여 의견을 개진하고 개인정보처리자에 의한 검토 절차가 운영 될 경우 최종적 결정으로 보기 어려움 

 4) 개인정보의 처리와 결정 사이에 실질적 관련성이 있어야 함 - 정보를 단순 난수화하여 무작위 추출을 통해 기계적으로 선정하는 경우는 관련성이 없다고 봐야 함 

 5) 다른 법률에 자동화된 결정 관련 특별한 규정이 없어야 함 

  - 행정기본법 제20조의 자동적 처분, 신용정보법 제36조의2의 자동화 평가, 수입식품안전관리 특별법 제20조의2(수입신고 수리의 자동화)의 수입신고 수리의 자동화 등은 해당 법률이 특별법으로 우선 적용 됨 

 

요약이 잘 되어 있어 표만 봐도 자동화된 결정 판단 시 고려사항을 알 수 있음

 

2. 자동화된 결정을 거부할 수 있는 권리는 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에 한함.

단, 자동화된 결정이 개인정보보호법 제15조제1항제1호ㆍ제2호 및 제4호에 따라 이뤄지는 경우 법적 안전성 유지와 법적 효력 유지를 위해 거부할 수 있는 권리가 주어지지 않음

 

3. 정보주체 거부권 행사 제외 요건인 개인정보보호법 제15조제1항제1호에 근거한 동의는 단순히 개인정보 수집 및 이용에 대한 동의를 받는 것을 의미하는게 아니라 동의를 받는 과정에서 자동화된 결정에 대해 정보주체가 명확하게 인지할 수 있도록 자동화된 결정이 이루어 진다는 사실을 구분하여 알리고 동의를 받거나 자동화된 결정 관련 사항을 별도로 알리고 동의를 받아야 함

 

<동의문에 포함해야 할 내용>

- 자동화된 결정이 이루어지는 업무의 내용과 목적

- 자동화된 결정 과정에서 처리되는 주요 개인정보의 유형

 

4. 정보주체 거부권 행사 제외 요건인 개인정보보호법 제15조제1항제4호에 근거한 자동화된 결정은 도입 목적이 계약 이행 또는 계약 체결 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 필요한 것이어야 하고, 계약의 내용과 자동화된 결정 간의 실질적 관련성이 인정될 수 있어야 함.

또한 이용약관에 자동화된 결정에 관한 내용을 구분하여 명시해 정보주체가 명확히 인지할 수 있도록 알려야 함

 - 완전히 자동화된 시스템을 통해 자신의 개인정보를 처리하여 결정을 내린다는 점과, 해당 결정이 자신의 권리 또는 의무에 중대한 영향을 미친다는 점이 모두 예상 가능해야 함

 

5. 정보주체 거부권 행사 제외 요건인 개인정보보호법 제15조제1항제2호에 근거한 자동화된 결정은 법률에서 구체적으로 특별한 규정을 두고 있거나, 법령에 근거해 부여받은 의무를 이행할 수 있는 수단이 자동화된 시스템에 의한 결정으로 제한되어 있는 경우에 한함 19페이지에 적혀 있는 내용이나 31페이지의 내용과 상충되는 면이 있어 판단에 어려움이 있음

 

<31페이지>

자동화된 결정이 아닌 방식으로 법령상 의무를 이행할 수 있다고 하더라도 자동화된 결정의 도입ㆍ활용이 법령상 금지되거나 제한 되지 않고 기업 등 개인정보처리자가 합리적인 사업적 판단에 따라 이를 자동화된 결정을 통하여 처리하는 경우 이에 대한 이용자의 거부를 거절할 수 있음

 

6. 정보주체의 권리 또는 의무에 영향을 미치는 자동화된 결정에 해당하는 경우에 한해, 정보주체가 개인정보처리자에게 해당 자동화된 결정의 기준 및 처리과정에 대한 설명을 요구하거나, 의견 전달 및 검토 요구를할 수 있음

 - 정보주체의 권리 또는 의무에 영향을 미치지 않는 자동화된 결정은 정보주체의 권리행사 대상이 아님

 

7. 정보주체가 설명을 요구하는 경우, 정보주체의 권리 또는 의무에 중대한 영향을 미치는지 여부에 따라 정보주체의 설명 요구에 따라 제공해야할 정보 항목이 다름

 

<중대한 영향을 미치는 경우>

- 자동화된 결정의 결과

- 자동화된 결정에 사용된 주요 개인정보의 유형

- 위 개인정보의 유형이 자동화된 결정에 미친 영향 등 자동화된 결정의 주요 기준

- 자동화된 결정에 사용된 주요 개인정보의 처리 과정 등 자동화된 결정이 이뤄지는 절차

*사례: 개별적 설명 제공(예시)를 잘 읽어봐야 함

 

<중대한 영향을 미치지 않는 경우>

인터넷 홈페이지에 공개한 아래 내용을 선별해 알려야 함

- 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계

- 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차

 

8. 정보주체가 의견을 제출하고 검토를 요구하는 경우 정당한 사유가 없으면 정보주체의 의견을 반영할 수 있는지 검토하고 그 결과를 알려야 함

 - 거절 사유가 있는 경우에는 10일 이내에 서면 등의 방법으로 알려야 하고

 - 검토 요구를 반영해 재처리한 경우 결과를 30일 이내에 알려야 함

 

9. 개인정보처리자가 정보주체의 요구를 거절할 수 있는 경우 거절할 정당한 사유가 있는지를 판단할때는 정보주체의 불이익과 개인정보처리자 또는 제3자의 이익을 비교 형량하여 개별적으로 판단해야 한다.

 

<정보주체가 자동화된 결정을 거부한 경우>

- 거부권 성립 요건을 충족하는지를 검토해 거부권이 성립하지 않는 경우에는 거절하고 10일 이내에 알려야 함

- 자동화된 결정이 아닌 방식으로 법령상 의무를 이행할 수 있다고 하더라도 자동화된 결정 도입 및 활용이 법령상 제한되지 않고 개인정보처리자가 합리적인 사업적 판단에 따라 자동화된 결정을 통해 처리하는 경우 이용자의 거부 요청을 거절할 수 있음

- 다른 정보주체와의 관계에서 형평성 및 공정성을 확보하기 어려운 반면, 서비스의 성격에 비춰 정보주체가 이를 거부하여 달성할 수 있는 이익이 명확하지 않거나 합리적이라고 보기 어려운 경우도 거절 사유에 해당할 수 있음

- 정보주체가 자동화된 결정을 거부하면서 개인정보처리자의 서비스 제공 및 의무이행 중단에 대한 수용의 의사를 명확히 밝히지 않았다면 거부권 행사를 거절할 수 있음

 

10. 자동화된 결정에 대해 설명을 요구한 경우

 - 개인정보 처리자가 법률에 따라 비밀로 유지해야 하는 정보나 내용의 공개에 해당하거나 법률상 의무 또는 절차에 위반될 수 있는 경우에는 설명 요구 거절 가능

 - 정보주체가 충분히 예상할 수 있는 내용이거나 사실과 다른 내용이라면 설명 요구 거절 가능

 - 정보주체가 제출한 의견의 내용이 자동화된 결정 과정에 이미 반영되어 있거나 동일한 검토 요구가 반복적으로 제기된 경우 설명 요구 거절 가능