금년(2024년) 3월15일부터 시행되는 개인정보 보호법상의 제도 중에 자동화된 결정(AI에 의한 결정 포함)에 대한 정보주체의 권리를 규정한 조항이 있습니다(제37조의2). 위 규정은 신용대출, 직원채용 등과 같은 사안에서 개인정보처리자가 완전히 자동화된 시스템에 의해 정보주체의 권리의무에 중대한 영향을 미치는 ‘결정’을 하는 경우, 정보주체가 이러한 결정에 대해 거부권, 설명요구권을 행사할 수 있도록 하고 있습니다. 

개인의 권리의무를 규정함에 있어 법률 단계에서 ‘인공지능’을 언급하는 경우는 드문 편인데, 개인정보 보호법은 2023년 개정에서 AI를 염두에 둔 규정을 명시적으로 포함하였습니다. 위 규정은 연혁적으로 볼 때 EU의 개인정보 보호법(GDPR)을 참고한 것입니다. 

그러나 일견 유사해 보이는 양 법률은 자동화된 결정에 대해 기본적으로 상이한 전제에 있습니다. EU GDPR 제22조(Automated individual decision-making, including profiling: ADM)는 원칙적으로 개인정보처리자의 자동화된 결정을 금지하고, 예외적으로 정보주체의 동의가 있는 경우, 계약이행에 필요한 경우, 타 법률의 근거가 있는 경우에 한정하여 정보주체에 대한 개인정보처리자의 자동화된 결정을 허용합니다. 그리고 이와 같이 자동화된 결정이 허용되는 경우에도 정보주체를 보호하기 위해 정보주체에게 해당 결정에 대한 이의제기권을 인정합니다(ADM의 원칙적 금지 ► 예외적 허용 ► 정보주체에게 이의제기권 부여). EU의 이러한 입법태도는 정책적으로는 AI의 투명성과 공정성을 확보하기 위함이고 철학적으로는 사람이 기계에 의한 판단대상이 되어서는 아니된다는 이념적 결단에 기인합니다. 다만, 이의제기권의 주요 내용은 자동화된 결정에 대해 인간의 개입을 요구하거나 결정의 근거를 설명하여 달라는 것으로 해석되므로, 개인정보처리자는 인간의 판단을 개입시켜 동일한 결정을 내릴 수 있습니다. 

반면 한국 개인정보 보호법 제37조의2는 원칙적으로 자동화된 결정을 금지하지 않습니다. 정보주체는 AI 등에 의한 자동화된 결정이 자신의 권리의무에 중대한 영향을 미치는 경우에 한하여 해당 결정을 거부하거나 그 결정에 대한 설명을 요구할 수 있습니다. 거부권이 행사되는 경우 개인정보처리자는 원칙적으로 정당한 사유가 없는 한 자동화된 결정을 적용하지 않아야 하지만 인적 개입에 의해 동일한 결정을 할 수도 있습니다. 나아가 이러한 거부권, 설명요구권은 사전에 해당 결정에 대한 정보주체의 동의가 있는 경우, 계약 이행에 필요한 경우, 법률의 특별한 근거가 있는 경우에는 인정되지 않습니다(거부권의 제한). 이와 같이 거부권, 설명요구권이 제한되는 경우 정보주체가 다시 자동화된 결정에 대해 이의를 제기할 수 있는지 여부는 한국의 법률 문언상으로는 명확하지 않습니다(ADM의 원칙적 허용 ► 이의제기권 ► 이의제기권의 제한). 이 점에서 한국법상 정보주체의 대응권은 EU GDPR와 비교할 때 상당히 약화되었다고 볼 수 있습니다. 실무적으로는 개인정보처리자가 정보주체로부터 형식적인 동의를 받아 자동화된 결정에 대한 거부권을 애초부터 제한하려는 상황이 발생할 수 있습니다. 

이와 같은 자동화된 결정에 대한 정보주체의 거부권, 설명요구권은 한국, EU 모두 법문상으로는 개인정보처리자의 최종적인 결정(decision)에 대해 인정되고 그 전 단계의 평가(evaluation)나 조치(measure)에 대해서는 인정되지 않습니다. 

관련하여, 작년(2023년) 12월 7일 EU 최고사법재판소(CJEU)는 독일의 독과점적인 신용평가회사인 SCHUFA (Schutzgemeins chaft für allgemeine Kreditsicherung)가 개인의 지불능력에 관한 점수(확률값)를 자동화하여 평가하는 행위에 대해 이를 GDPR 제22조의 자동화 결정(ADM)으로 인정하였습니다. 

위 CJEU의 결정에는 SCHUFA의 개인신용평가 점수를 전달받은 은행 등이 이러한 값에 크게 의존하여 대출 등을 ‘결정’한다는 상황이 전제되어 있습니다. SCHUFA는 이 사건에서 자신은 개인신용 ‘평가’를 할 뿐이고  대출 등의 ‘결정’을 하지 않기 때문에 정보주체는 은행의 대출거절 결정에 대해 은행에 대해 설명요구권을 행사하여야 한다고 주장하였습니다. 

그러나 CJEU는 전문(recital) 71의 설명, 은행이 SCHUFA의 평가(establishment)에 크게 의존하여 대출 등의 결정(decision)을 한다는 점을 들어 SCHUFA의 행위를 GDPR상의 ADM으로 인정하였습니다. 이러한 판결에 따르면 은행으로부터 대출을 거절당한 정보주체는 SCHUFA에 대해(서도) 관련 판단의 근거에 대한 설명을 요구할 수 있게 됩니다. 사실 위 CJEU 판결의 법정책적 취지는 은행뿐만 아니라 실질적인 정보를 가지고 있는 신용평가기관에 대해서도 정보주체의 설명요구권 등을 인정하려는 것으로 생각됩니다. 만약 SCHUFA의 신용점수설정(scoring) 행위를 ADM으로 보지 않고 은행의 대출거절 결정을 ADM으로 보게 되면, 정보주체는 신용점수설정의 세부 정보를 알지 못하는 은행으로부터 근거 설명 등의 적절한 보호조치를 제공받을 수 없게 되는 문제가 발생합니다. 

3.  신용정보법의 내용
 

이러한 개인신용평가행위에 대한 한국 개인정보 보호법의 태도는 어떠할까요? 앞서 말씀드린 바와 같이, 한국 개인정보 보호법은 개인정보처리자의 최종적인 자동화된 ‘결정’이 정보주체의 권리의무에 중대한 영향을 미칠 때에만 정보주체의 거부권, 설명요구권을 인정합니다. 따라서 SCHUFA의 개인신용평가행위에 대해 정보주체는 개인정보 보호법상의 대응권을 주장할 수 없을 것으로 생각됩니다. 

다만, 이러한 SCHUFA의 행위는 개인정보 보호법의 특별법인 신용정보법 제36조의2(자동화된 평가 결과에 대한 설명 및 이의제기 등)에 의해 규율될 수 있습니다. 다행히 정보주체는 신용평가기관의 개인신용점수설정 행위에 신용정보법에 규정된 설명요구권, 이의제기권을 행사할 수 있습니다. 이러한 해석은 신용평가행위가 신용정보법의 직접적인 규율대상이기 때문에 가능한 것이고 만약 문제된 자동화된 ‘평가’가 신용정보를 처리한 결과가 아닌 일반적인 자동화된 평가인 경우에는 개인정보 보호법 및 신용정보법 모두의 적용을 받지 않는 것으로 해석될 가능성이 높습니다.

이 경우 한국의 신용정보주체는 금융기관에 대해 어느 정도까지 설명을 요구할 수 있는지 문제될 것입니다. 신용정보법상으로는(제36조의2 제1항 제2호) 자동화평가의 주요 기준과 자동화평가에 이용된 기초정보를 설명하도록 되어 있는데, 구체적 상황에서 어느 수준의 설명을 해야 하는지 또는 할 수 있는지 문제될 것으로 보입니다. 

4.  시사점

마지막으로, 위 CJEU의 SCHUFA 판결은 개인정보 보호에 관한 사건이지만 근본적으로는 SCHUFA가 독일 내에서 7,000만명의 신용정보를 가지고 있는 독과점적인 사업자라는 점을 유념할 필요가 있습니다. 은행이 SCHUFA의 신용점수에 절대적으로 의존하게 된 것은 SCHUFA가 독일 내에서 신용정보를 독과점적으로 보유한 기관이라는 점에서 상당부분 기인한 것입니다. 이 사건은 개인정보 보호의 문제가 독점규제, 공정거래의 문제와 쉽게 연결될 수 있다는 점을 시사하고 있습니다. 또한 개인정보처리자는 정보주체에 대해 중대한 영향을 미치는 결정을 하려는 경우 제3자의 자동화된 판단에 전적으로 의존하지 않고 인간의 관여를 개입시키는 절차를 마련하는 것이 바람직합니다.


관련영상: 인공지능 채용심사? 자동화된 결정에 대한 정보주체의 권리에 대한 가장 쉬운 설명 (구태언 변호사, 전응준 변호사)