[디지털데일리 김보민기자] 인공지능(AI) 등 자동화된 결정이 이뤄지는 영역에서 기업과 기관이 준수해야 하는 사항을 담은 안내서가 나왔다.

개인정보보호위원회(이하 개인정보위)는 '자동화된 결정에 대한 개인정보처리자의 조치 기준'이 시행된다고 26일 밝혔다. 이와 함께 자동화된 결정에 대한 정보주체 권리와, 기업 및 기관 등의 조치 사항을 사례 중심으로 설명한 안내서도 공개했다.

자동화된 결정이란, AI 기술을 비롯해 완전히 자동화된 시스템으로 개인정보를 처리해 이뤄진 결정을 뜻한다. 정보주체는 자동화된 결정에 대해 설명 또는 검토를 요구할 수 있고, 권리 또는 의무에 대한 중대한 영향을 미치는 경우에는 거부할 수 있다.

기업과 기관은 이번 제도 시행에 맞춰 정보주체 권리와 의무에 영향을 미치는 결정을 하면서, 사람이 개입하지 않는 방식으로 운영할 때 기준과 절차를 공개해야 한다.

모든 자동화된 시스템에 의한 결정이 자동화된 결정에 해당하는 것은 아니다. 개인정보위는 자동화된 결정에 해당하는지 여부를 확인해야 한다고 강조했다. 최종 결정 전에 사람에 의한 판단 절차를 마련해 운영하고 있는 경우, 자동화된 결정에 해당하지 않는다.

AI 기술 등을 활용해 자동화된 시스템으로 의사결정을 하고 있는 기업과 기관은, 자동화된 결정 자율진단표를 활용해 스스로 여부를 확인해볼 수 있다.

자동화된 결정에 해당하는 경우에는 정보주체 권리 행사 요구 내용에 맞춰 조치를 취해야 한다. 일례로 정보주체가 설명을 요구할 경우, '의미 있는 정보'를 선별해 제공해야 한다. 의미 있는 정보란, 알고리즘이나 머신러닝 작동 과정에서 개인정보 처리에 대한 수학적 설명이 아닌 정보를 뜻한다.

개인정보위는 사람이 이해하기 어려운 AI 기술의 특성을 고려해, 기술 발전 상황에 따라 '설명 가능한 AI(이하 XAI)'을 단계적으로 적용할 수 있도록 준비해야 한다고 부연했다.

정보주체가 자동화된 결정을 거부한 경우에는 기업과 기관 등은 적용을 정지하고, 조치 결과를 정보주체에 알려야 한다. 사람이 개입해 재처리한 후, 그 결과를 알리는 것도 가능하다.

이 경우에는 정보주체에 '중대한 영향을 미치는 경우'에 해당하는지 판단하는 것이 중요하다. 중대한 영향의 예시로는, 자동화된 결정을 통해 채용 불합격 결정이 이뤄져 근로 기회 자체가 박탈되거나 계약 해지 등으로 권리행사가 제한되는 경우가 포함된다.

양청삼 개인정보정책국장은 "AI 기술을 활용해 자동화된 결정을 할 때에는 이번에 공개한 안내서를 참고해 그 기준과 내용을 미리 파악하고, 정보주체 요청에 대응할 수 있도록 준비가 필요하다"고 강조했다. 이어 "새로운 제도가 현장에 정착될 수 있도록 설명회 등을 통해 홍보와 안내를 할 계획"이라고 말했다.

한편, 이번에 공개한 안내서는 개인정보위 누리집에서 확인할 수 있다.