[디지털데일리 이종현기자] 개인정보보호위원회(이하 개인정보위)가 개인정보보호법 시행령 개정안을 입법예고했다. 11월23일부터 내년 1월2일까지, 40일간 의견을 수렴한다.

이번 시행령 개정안은 3월14일 공포된 개정 개인정보보호법에 따른 후속 조치다. 2024년3월15일부터 시행이 예정된 ‘자동화된 결정에 대한 정보주체의 권리’, ‘최고개인정보호책임자(CPO)의 자격 요건 및 대상’, ‘손해배상의 보장’, ‘공공기관 개인정보보호수준 평가’ 등에 대한 절차를 마련하는 것이 골자다.

가장 눈길을 끄는 것은 자동화된 결정에 대한 정보주체의 권리 행사 절차 마련이다. 일반적인 개인정보 처리 과정에서 열람 및 정정‧삭제, 처리정지 등 요구권으로 보장되고 있는 정보주체의 권리를 인공지능(AI)이 적용된 완전히 자동화된 시스템에까지 확장하는 내용이다.

개인정보위는 자동화된 결정이 생명·신체·재산의 이익 등 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에 정보주체가 해당 결정을 거부한다면 적용하지 않도록 조치했다. 또 정보주체가 인적 개입에 의한 재처리를 요구한 경우에는 그 조치 결과를 알리도록 한다.

설명 등 요구 시에는 해당 결정의 결과, 해당 결정에 사용된 주요 개인정보의 유형 및 영향 등을 포함해 간결하고 의미있는 설명을 이해하기 쉽게 제공하도록 구체화했다. 권리·의무에 중대한 영향을 미치지 않는 경우에는 사전 공개한 기준과 절차 등을 활용해 설명할 수 있도록 했다는 설명이다.

이와 함께 CPO의 전문성 강화를 위해 매출액, 개인정보의 보유 규모를 고려해 일정 기준 이상 개인정보처리자는 개인정보보호 관련 경력(자격요건)을 갖춘 전문성이 있는 이를 지정하도록 하는 내용도 포함됐다.

구체적으로 개인정보보호 경력 3년 이상을 필수로 보유하고, 개인정보보호‧정보보호‧정보기술 경력 합을 6년 이상 보유하도록 했다. 적용 대상은 연 매출액 1500억원 이상인 100만명 이상 또는 5만명 이상의 민감‧고유식별정보를 보유한 개인정보처리자, 재학생 1만명 이상인 대학 등이다. 대규모 개인정보를 처리하는 상급종합병원과 개인정보위가 고시하는 기준을 충족하는 공공시스템 운영기관도 이에 해당한다.

또 개인정보위는 개인정보처리자가 개인정보 보호책임자의 독립성을 보장하기 위해 대표자 및 이사회에 직접 보고할 수 있는 보고체계 구축, 개인정보 처리 관련 정보에 대한 접근 보장, 인적·물적 자원 제공 및 부당한 지시에 대한 불이행을 이유로 한 불이익 금지 등 준수해야 할 사항을 구체하기도 했다.

고학수 개인정보위 위원장은 “지난 9월15일 법 시행 이후 개정법이 안정적으로 정착될 수 있도록 분야별 현장 설명회 및 안내서 발간 등을 통해 계속해서 현장과 소통해왔다. 그 과정에서 나온 자동화된 결정에 대한 권리 보장이나 CPO의 전문성·독립성 강화 등 의견을 개정안에 담았다”고 말했다.

이어서 “개정된 개인정보보호법이 현장에서 차질 없이 시행될 수 있도록 입법예고 이후에도 간담회 및 설명회 등을 통해 학계, 산업계, 시민단체 등의 다양한 의견을 들어 시행령에 반영해 나갈 것”이라고 부연했다.