121.
자동화된 결정에 대한 정보주체의 권리
새 탭 열기
작성 이력 보기

생성자

기여자

2023. 3. 14. 개정된 개인정보보호법에서는 '자동화된 결정에 대한 정보주체의 권리'를 제37조의2로 신설하였다. 이 규정은 부칙 제1조 단서 및 제1호에 따라 2024. 3. 15.부터 시행되었다.

이에 따르면, '자동화된 결정'이 있을 경우 정보주체는 1) 자동화된 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우 원칙적으로 거부권을 가지고, 2) 자동화된 결정에 대하여 설명 등을 요구할 수 있다.

그리고 개인정보처리자는 이처럼 정보주체가 거부권을 행사하거나 설명 등을 요구한 경우에는, 정당한 사유가 없는 한, 1) 자동화된 결정을 적용하지 않거나, 2) 인적 개입에 의한 재처리 또는 설명 등 필요한 조치를 해야 한다.

더불어 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보 처리방식 등을 정보주체가 쉽게 확인할 수 있도록 공개해야 한다.

개인정보보호법

제37조의2(자동화된 결정에 대한 정보주체의 권리 등) ① 정보주체는 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분은 제외하며, 이하 이 조에서 “자동화된 결정”이라 한다)이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대하여 해당 결정을 거부할 수 있는 권리를 가진다. 다만, 자동화된 결정이 제15조제1항제1호ㆍ제2호 및 제4호에 따라 이루어지는 경우에는 그러하지 아니하다.

② 정보주체는 개인정보처리자가 자동화된 결정을 한 경우에는 그 결정에 대하여 설명 등을 요구할 수 있다.

③ 개인정보처리자는 제1항 또는 제2항에 따라 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구한 경우에는 정당한 사유가 없는 한 자동화된 결정을 적용하지 아니하거나 인적 개입에 의한 재처리ㆍ설명 등 필요한 조치를 하여야 한다.

④ 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.

⑤ 제1항부터 제4항까지에서 규정한 사항 외에 자동화된 결정의 거부ㆍ설명 등을 요구하는 절차 및 방법, 거부ㆍ설명 등의 요구에 따른 필요한 조치, 자동화된 결정의 기준ㆍ절차 및 개인정보가 처리되는 방식의 공개 등에 필요한 사항은 대통령령으로 정한다.

개인정보보호법 시행령

제44조의2(자동화된 결정에 대한 거부 및 설명 등 요구의 방법 및 절차) ① 정보주체는 법 제37조의2제1항에 따른 자동화된 결정(이하 “자동화된 결정”이라 한다)에 대해 같은 항 본문에 따라 거부하는 경우에는 개인정보처리자가 마련하여 제44조의4제1항제5호에 따라 공개하는 방법과 절차에 따라야 한다.

② 정보주체는 법 제37조의2제2항에 따라 자동화된 결정에 대해 개인정보처리자에게 다음 각 호의 설명 또는 검토를 요구할 수 있다. 이 경우 정보주체의 설명 또는 검토 요구는 개인정보처리자가 마련하여 제44조의4제1항제5호에 따라 공개하는 방법과 절차에 따라야 한다.

1. 해당 자동화된 결정의 기준 및 처리 과정 등에 대한 설명
2. 정보주체가 개인정보 추가 등의 의견을 제출하여 개인정보처리자가 해당 의견을 자동화된 결정에 반영할 수 있는지에 대한 검토

③ 제1항 및 제2항에 따른 정보주체의 자동화된 결정에 대한 거부, 설명 및 검토 요구(이하 “거부ㆍ설명등요구”라 한다)의 방법과 절차를 개인정보처리자가 마련하는 경우 준수해야 할 사항에 관하여는 제41조제2항을 준용한다. 이 경우 “열람 요구”는 “거부ㆍ설명등요구”로 본다.

[본조신설 2024. 3. 12.]

제44조의3(거부ㆍ설명등요구에 따른 조치) ① 개인정보처리자는 정보주체가 제44조의2제1항에 따라 자동화된 결정에 대해 거부하는 경우에는 정당한 사유가 없으면 다음 각 호의 어느 하나에 해당하는 조치를 하고 그 결과를 정보주체에게 알려야 한다.

1. 해당 자동화된 결정을 적용하지 않는 조치
2. 인적 개입에 의한 재처리

② 개인정보처리자는 정보주체가 제44조의2제2항에 따라 자동화된 결정에 대해 같은 항 제1호에 따른 설명을 요구하는 경우 정당한 사유가 없으면 다음 각 호의 사항을 포함한 간결하고 의미있는 설명을 정보주체에게 제공해야 한다. 다만, 개인정보처리자는 해당 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치지 않는 경우에는 정보주체에게 제44조의4제1항제2호 및 제3호의 사항을 알릴 수 있다.

1. 해당 자동화된 결정의 결과
2. 해당 자동화된 결정에 사용된 주요 개인정보의 유형
3. 제2호에 따른 개인정보의 유형이 자동화된 결정에 미친 영향 등 자동화된 결정의 주요 기준
4. 해당 자동화된 결정에 사용된 주요 개인정보의 처리 과정 등 자동화된 결정이 이루어지는 절차

③ 개인정보처리자는 정보주체가 제44조의2제2항에 따라 같은 항 제2호에 따른 검토를 요구하는 경우에는 정당한 사유가 없으면 정보주체가 제출한 의견의 반영 여부를 검토하고 정보주체에게 반영 여부 및 반영 결과를 알려야 한다.

④ 개인정보처리자는 다른 사람의 생명ㆍ신체ㆍ재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있어 법 제38조제5항에 따라 거부ㆍ설명등요구를 거절하는 경우에는 그 사유를 정보주체에게 지체 없이 서면등의 방법으로 알려야 한다.

⑤ 개인정보처리자는 제1항부터 제3항까지의 규정에 따라 정보주체의 거부ㆍ설명등요구에 따른 조치를 하는 경우에는 정보주체의 거부ㆍ설명등요구를 받은 날부터 30일 이내에 서면등의 방법으로 해야 한다. 다만, 30일 이내에 처리하기 어려운 정당한 사유가 있는 경우에는 정보주체에게 그 사유를 알리고 2회에 한정하여 각각 30일의 범위에서 그 기간을 연장할 수 있다.

⑥ 제1항부터 제5항까지의 규정에 따른 정보주체의 거부ㆍ설명등요구에 따른 조치에 관한 세부 사항은 보호위원회가 정하여 고시한다.

[본조신설 2024. 3. 12.]

제44조의4(자동화된 결정의 기준과 절차 등의 공개) ① 개인정보처리자는 법 제37조의2제4항에 따라 다음 각 호의 사항을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등을 통해 공개해야 한다. 다만, 인터넷 홈페이지 등을 운영하지 않거나 지속적으로 알려야 할 필요가 없는 경우에는 미리 서면등의 방법으로 정보주체에게 알릴 수 있다.

1. 자동화된 결정이 이루어진다는 사실과 그 목적 및 대상이 되는 정보주체의 범위
2. 자동화된 결정에 사용되는 주요 개인정보의 유형과 자동화된 결정의 관계
3. 자동화된 결정 과정에서의 고려사항 및 주요 개인정보가 처리되는 절차
4. 자동화된 결정 과정에서 민감정보 또는 14세 미만 아동의 개인정보를 처리하는 경우 그 목적 및 처리하는 개인정보의 구체적인 항목
5. 자동화된 결정에 대하여 정보주체가 거부ㆍ설명등요구를 할 수 있다는 사실과 그 방법 및 절차

② 개인정보처리자는 제1항 각 호의 사항을 공개할 때에는 정보주체가 해당 내용을 쉽게 알 수 있도록 표준화ㆍ체계화된 용어를 사용해야 하며, 정보주체가 쉽게 이해할 수 있도록 동영상ㆍ그림ㆍ도표 등 시각적인 방법 등을 활용할 수 있다.

[본조신설 2024. 3. 12.]

[본조신설 2023. 3. 14.]

부 칙 <법률 제19234호, 2023. 3. 14.>

제1조(시행일) 이 법은 공포 후 6개월이 경과한 날부터 시행한다. 다만, 다음 각 호의 개정규정은 각 호의 구분에 따른 날부터 시행한다.

1. 제11조의2, 제31조, 제35조의3, 제37조의2, 제39조의7, 제60조제5호, 제75조제2항제16호ㆍ제20호ㆍ제21호ㆍ제24호 및 같은 조 제4항제1호ㆍ제9호의 개정규정: 공포 후 1년이 경과한 날

최근 작성일시: 2024년 8월 14일

지금 회원가입하고 법률레터 받아보세요!

121.자동화된 결정에 대한 정보주체의 권리새 탭 열기작성 이력 보기

121.
자동화된 결정에 대한 정보주체의 권리
새 탭 열기
작성 이력 보기