AI 채용 불합격시 업체에 설명 요구 가능해진다

고학수 개인정보보호위원회 위원장[사진=개인정보위]

사람의 개입 없이 인공지능(AI)이 100% 진행한 채용 절차에서 불합격 통보를 받을 시 설명 요구 등 권리를 행사할 수 있는 절차가 법적으로 보장된다. 연 매출액 1500억원 이상인 업체(개인정보 처리자)를 대상으로 개인정보 보호책임자(CPO)의 자격 요건도 강화된다. 내년 3월 시행되는 개인정보 보호법 시행령 2차 개정안에 따라서다.

22일 개인정보보호위원회는 이런 내용을 담은 개인정보 보호법 시행령 2차 개정안이 내년 3월 15일 시행된다고 밝혔다. 이달 23일부터 내년 1월 2일까지 40일 간 입법예고 기간을 거친다. 이번 시행령 개정안은 올해 3월 공포된 개정된 개인정보 보호법에 따른 후속 조치의 일환이다.
 

AI가 채용 불합격 통보? 설명 요구할 권리 마련돼

앞서 개인정보 보호법 제37조2에는 정보주체가 AI의 자동화된 결정을 거부하거나 설명을 요구할 수 있는 권리가 신설됐다. 이에 시행령은 정보주체의 요구 절차·방법, 개인정보 처리자의 조치 사항과 공개 사항 등 세부 절차를 마련했다.

특히 시행령은 정보주체가 AI의 결정이 본인 생명·신체·재산의 이익 등 권리·의무에 중대한 영향을 미친다고 판단해 이를 거부하면, 업체는 해당 결정을 적용하지 않아야 한다고 명시했다. 사람의 개입을 통한 재처리를 요구하면 업체는 그 조치 결과를 정보주체에 알려야 한다.

관련기사

• 개인정보위, '제4회 개인정보 보호의 날' 기념식 개최
• 한은·개인정보위, CBDC 관련 '개인정보 기술포럼' 개최

이와 함께 시행령은 업체가 해당 결정에 사용된 주요 개인정보의 유형·영향 등을 포함해 간결하고 의미있는 설명을 이해하기 쉽게 제공해야 한다는 내용도 담았다.

김직동 개인정보위 개인정보보호정책과장은 지난 21일 오전 정부서울청사에서 열린 시행령 2차 개정안 입법예고 설명회에서 "AI 기술 발전 등 시장 상황을 반영한 조치"라며 "(AI가 채용을 진행하더라도) 사람이 직접 채용하는 절차와 같은 환경을 보장하기 위한 것"이라고 강조했다. 또 "내부 영업비밀 등 정당한 사유가 있어 설명 제공이 어렵다면 이를 (정보주체에) 명시·통지해야 한다"고 덧붙였다.
 

정보보호 6년 이상 경력 갖춘 CPO 선임해야

더불어 내년 3월부터 중견 이상 규모를 가진 업체는 CPO 선임 기준이 까다로워진다. 업체는 개인정보 보호 분야에서 경력 3년 이상을 필수로 보유한 인물을 CPO로 지정해야 한다. 이 경력 기간을 포함해 최소 6년 이상 개인정보 보호·정보보호·정보기술 등 분야에서 근무한 인물이어야 한다.

해당 자격 요건의 적용 대상에는 병원·대학 등 기관도 포함됐다. 구체적인 적용 대상은 △연 매출액 1500억원 이상이며 대량의 개인정보(100만명 이상 또는 5만명 이상 민감·고유식별정보)를 보유한 처리자 △재학생 수 1만명 이상인 대학 △대규모 개인정보를 처리하는 상급 종합병원 △공공 시스템 운영 기관 등이다.

이를 어기면 개인정보위의 시정명령을 받게 된다. 시정명령 후에도 개선하지 않으면 3000만원 이하 과태료 부과 조치가 내려진다. 다만 CPO는 겸직 제한 규정이 없어, 정보보호최고책임자(CISO)와 겸직도 가능하다.

이번 시행령은 개인정보 처리자가 CPO의 독립성을 보장하기 위해 △대표자·이사회에 직접 보고할 수 있는 보고 체계 구축 △개인정보 처리 관련 정보에 대한 접근 보장 △인적·물적 자원 제공 △부당한 지시에 대한 불이행을 이유로 한 불이익 금지 등 준수해야 할 사항을 구체화했다.
 

공공기관 대상 평가 절차 등 구체화…손해배상책임 범위 개선

공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 '개인정보 보호수준 평가'에 대한 법적 근거가 마련됨에 따라, 법에서 위임된 평가 대상, 평가 기준·절차 등에 관해 필요한 구체적인 사항을 마련했다.

효율적인 평가 실시를 위한 평가단 구성·운영에 대한 근거 규정을 마련했고 필요 시 현장 방문 또는 대면 평가의 방법으로 실시할 수 있도록 절차를 정비했다.

더불어 보호법에서 손해배상의 보장 의무 대상이 정보통신 서비스 제공자 등에서 개인정보 처리자로 변경됨에 따라 구체적 기준 등 조정이 필요하게 됐다. 이번 시행령 개정을 통해 개인정보 손해배상책임 보장 의무가 부여되는 대상자의 기준을 합리적으로 조정하고 법에서 위임한 의무면제 기준을 구체화했다.

손해배상책임 보장을 위한 보험(공제) 가입·준비금 적립 등 의무 대상 기준을 현행 '매출액 5000만원 및 이용자 수 1000명' 이상에서 '매출액 10억원 및 정보주체 수 1만명' 이상으로 조정했다. 보호법 제39조의7에서의 의무가 면제되는 공공기관, 비영리법인·단체, 소상공인으로 개인정보 처리를 위탁한 자 등에 대한 구체적인 기준을 마련했다.
 

식별정보 관리 정기 조사 2년→3년 조정

이외에도 시행령은 고유식별정보 관리실태 정기 조사의 기간을 2년에서 3년으로 조정하고 중복되는 조사·점검이 있는 경우 제외할 수 있도록 명시했다.

또한, 개인정보를 국외에서 수집해 처리하는 경우 국외에서 처리된다는 사실과 국외 이전의 경우 법적 근거를 개인정보 처리 방침에 기재하도록 개선했다.

이번 시행령 2차 개정안과 관련 의견은 내년 1월 2일까지 국민참여입법센터 웹사이트 또는 개인정보위 전자우편·일반우편 등 방식으로 제출 가능하다.

고학수 개인정보위 위원장은 "개정된 개인정보 보호법이 현장에서 차질 없이 시행될 수 있도록 입법예고 이후에도 간담회와 설명회 등을 통해 산학계와 시민단체 등의 의견을 들어 시행령에 반영해 나갈 것"이라고 강조했다.