Law J. 2023; 82:63-88

pISSN: 1738-5903

DOI: https://doi.org/10.17248/knulaw..82.202307.63

헌법

자동화된 의사결정에 대한 기본권의 실효적 보장:

주민호 *
Effective protection of fundamental rights against automated decision-making
Min-Ho Joo *
Author Information & Copyright
*법학박사 / 경북대학교 법학연구원 전임연구원
*Ph.D in Law / Researcher, Law Research Institute of Kyungpook National University

© Copyright 2023, The Law Research Institute, Kyungpook National University. This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License (http://creativecommons.org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Received: Apr 07, 2023; Revised: Jul 21, 2023; Accepted: Jul 24, 2023

Published Online: Jul 31, 2023

국문초록

이 글은 EU AI법 제54조(공익 목적의 인공지능 시스템 개발)과 GDPR 제22조의 사이의 접점으로서 ‘자동화된 의사결정’을 바라보았다. EU AI법 제54조는 공익적 목적을 위하여 개인정보의 추가처리를 허용하여 인공지능 시스템을 개발 과정의 규정인 반면 GDPR 제22조는 인공지능과 같은 자동화된 의사결정에 대한 정보주체의 권리를 보장하는 규정이다.

개인정보보호라는 접점을 공유한 이 규정들은 의료정보와 같은 고위험의 개인정보를 추가처리하여 AI의 자동화된 의사결정에 이르는 단계를 다루는 영역에서 해석적으로 중요한 의미를 가지고 있으며, 이에 대한 정당화 요소로서 정보주체의 동의 및 적절한 조치가 수반된다. 고위험 영역일수록 개인정보의 동의 요건은 강화되며, 절차적으로 개인정보영향평가나 인공지능의 적합성 평가가 요구된다.

이러한 사전적 정보주체의 권리 보호에 더하여 신설된 개인정보보호법 제37조의2(자동화된 의사결정)에 대한 거부권 및 설명요구권은 적법절차의 원리가 사적 영역으로 확대된 것으로 사후적으로 정보주체의 권리 보장 차원에서 중요한 의미를 가진다고 할 수 있다. 특히 우리나라의 개인정보영향평가 제도는 공공기관으로 대상을 한정하고 있으므로, 설명요구권은 AI가 작동되는 사적 영역에서 입법적 미비를 보완할 수 있는 중요한 수단이 될 수 있다.

Abstract

This article looked at "automated decision-making" as an intersection between Article 54 of the EU AI Act (development of artificial intelligence systems for public interest purposes) and Article 22 of the GDPR. Article 54 of the EU AI Act regulates the development of artificial intelligence systems by allowing the further processing of personal data for public interest purposes, while Article 22 of the GDPR guarantees the rights of data subjects to automated decision-making by artificial intelligence.

These regulations, which share a touch-point of privacy, have interpretative significance in the area of further processing of high-risk personal data such as medical information and the steps leading up to automated decision-making by AI.

They also entail data subject’s consent and appropriate measures as justification. In high-risk areas, the requirements of consent are stricter, and data protection impact assessment or conformity assessment of AI is procedurally required.

In addition to this proactive protection of the rights of data subject, the newly established Article 37(2) of Personal Information Protection Act (automated decision-making), which provides for the right to contest and the right to request explanation, is an extension of the principle of due process to the private sphere, and is important in terms of ensuring the rights of data subject reactively. In particular, since Korea's system of data protection impact assessment is limited to public institutions, the right to request an explanation can be an important means to compensate for legislative deficiencies in the private sphere where AI is operated.

Keywords: 자동화된 의사결정; 프로파일링; 고위험의 인공지능; 개인정보영향평가; 인공지능 적합성 평가
Keywords: Automated decision-making; profiling; high-risk artificial intelligence; data protection impact assessment; conformity assessment

Ⅰ. 서론

오늘날의 정보가 우리 삶에 차지하는 비중은 무엇보다 높다고 할 수 있다. 더구나 AI를 통한 정보 이용의 편익이 더욱 점증하는 상황에서, 과거의 인공지능의 규율을 윤리적 측면의 소프트 로(soft law) 방식의 접근은 이제 EU의 AI법을 통하여 강행규범으로서 규율의 밀도가 높아졌다.

이러한 배경에는 인공지능이 주는 편익의 이면에서 발생하는 인권 보장의 축소 현상에 대한 사회적 공감대가 높아지기 때문이고, 더욱이 AI의 학습능력 발달로 인하여 자동화된 의사결정 능력을 갖추어 감에 따라서, 인간의 AI에 대한 지배권이 축소되는 추세 속에서 적어도 개인의 정보 통제권이 실효적으로 보장되어야 한다는 인권의 본질적 가치의 제고가 시대적 과제가 되었기 때문이다. 특히 기본권적 측면에서 인격권, 사생활 보호, 평등권에 관한 기본권의 침해와 그 권리 구제에 있어서 AI에 의한 자동화된 의사결정은 결정과정의 투명성을 담보하지 못하기 때문에 책임의 소재를 규율할 필요성이 편익과의 적정한 조화가 요청된다고 할 것이다.

즉, AI 시대에 맞는 개인정보주체의 자기결정권이 실효적보장이 요청되고 있으며, 이에 발맞춰 우리나라에서도 개정 「개인정보보호법」 제37조의2(자동화된 결정에 대한 정보주체의 권리)를 신설하였다.1) 이는 자동화된 결정이 인간의 개입 없이 정보주체의 중요한 법적 지위를 형성시킬 수 있다는 점에서 인간의 자율성과 존엄성에 대한 위해가 될 수 있음에 대한 지적에 대한 변화라 할 수 있다.2)

본고에서 비교법적인 접근으로 다루게 될 EU AI 법3)과 유럽 일반 개인정보보호법(General Data Protection Regulation, 이하 GDPR)은 그 규율의 목적은 상이하지만, AI 법 제54조4)와 GDPR 제22조5)는 개인정보의 처리라는 측면에서 공통의 접점을 가지고 있으며 이에 대한 양 규정의 해석을 통하여 인공지능의 편익과 개인정보보호 간의 법익 균형을 모색할 수 있다고 생각된다. 즉, 개인정보 처리에 초점을 맞춘 GDPR 제22조와 달리 AI 법안의 특징은 AI시스템 사용에 따른 위험 등급별 접근 방식을 따르고 있으므로 본질적으로 GDPR과 규율 방식과 실질적으로 상이하다. 그러나 두 법률 간에는 개인정보를 기반하여 적용되는 때에는 접점이 존재하며, 특히 고위험 AI에 의한 자동화된 의사결정이 개인정보와 관련을 가진 경우에는 GDPR 제22조에 정한 요건에 대한 검토를 필요로 한다.6)

그러나 분명한 점은 AI 법안은 AI 애플리케이션에 따라 위험 등급을 나누고, 그에 따라 규율 밀도가 다르다는 점은 GDPR보다 위험접근방식에 밀접하다고 할 수 있다.7) 이는 GDPR에 의한 규율이 기술중립적으로서 근본적으로 프로파일링을 금지하는 것이 아니라 개별 처리 단계에서 정보처리를 규율한다는 관점에 집중되는 것과는 달리 이용을 통한 편익의 관점에서 좀 더 보장된 방향의 설계라고 볼 수 있다.

Ⅱ. GDPR 제22조의 “프로파일링”과 “자동화된 의사결정”

1. 정보주체에 대한 프로파일링 및 평가
(1) GDPR 제22조

GDPR 제22조 제1항에서 “…프로파일링을 포함하여 자동화된 의사결정…(automated processing, including profiling8) )”9)으로 규정하고 있으므로, 프로파일링은 자동화된 의사결정과는 별개로, 개인의 특성에 대한 정보를 자동화하여 처리하는 때에 발생하는 위험에 대한 규율이며, 자동화된 의사결정 단계에까지는 이르지 않은 단계로서 개인정보보호 차원의 포괄적 위험으로서 개인의 대한 특성 평가이다. 즉, 프로파일링은 개인 및 비개인 데이터의 자동화된 처리 기법으로 데이터에서 상관관계를 추론하여 체계화된 정보를 생성하는 것을 목표로 하는 것이다.10) 이러한 측면에서 프로파일링은 개인에 대한 추론 데이터에 대한 법적 규율로서 개인정보보호의 대상이 되는 것으로 원칙적으로는 개인정보보호의 일반 원리와 더불어 관련 당사자의 이익과 이에 대한 권리 구제방안이 동시에 고려되어야 한다. 즉 정보주체의 자기정보 통제권과 밀접한 관련을 가진다. 이는 프로파일링이 정보처리의 한 행위로서 정보를 수집한 후 개인적 특성에 대한 평가로 연결되는 일련의 과정으로서, 사실적으로 정보수집, 평가, 의사결정을 구분지어 개인정보보호를 단계에 맞게 비례적으로 규율하는 것이 타당하며, 프로파일링이 사회적으로 널리 다양한 의미로 혼용되어 있으나, 법적 개념으로 GDPR 제4조 제4항에 정의되어 있다.11) 이에는 개인적 특성에 대한 정보수집과 평가로 구성된다.12)

현재의 GDPR 제22조에는 ‘개인적 특성’이라는 표현은 존재하지 않으나, GDPR 제정 전의 개인정보에 대한 지침(RL 95/46/EG) 제15조 제1항에는 개인의 내적 및 외적 측면에 대한 목록이 있었고, 현행 GDPR 전문(Recital, Erwägungsgrund)7113)에는 프로파일링을 ‘개인적 측면의 평가’를 명시적으로 제시하고 있다. 개인적 특성에는 지문 및 생체의 특징과 같은 개인의 신원 확인에 정도에 그침으로서 평가로 이어지지 않는 범주는 포함되지 않으며,14)15) 단순한 데이터 처리에 개인정보가 포함된다고 하더라도, 사실적 특성인지 개인적 특성인가의 구별 여부는 데이터 처리 당시의 상황에 의해 결정된다.16)

더욱이 개인정보가 아닌 데이터의 축적으로부터 특정 개인에 대한 비정형의 데이터 모음에서 분리하는 기술의 발달은 기존의 프로파일링과 AI가 지원하는 빅데이터 분석의 경계가 불분명해지는 것은 기본권 보호의 문제와 밀접한 관련성을 가지기 때문에 일반적으로 공공의 영역에서 인정되지 않으며, 구체적 적용을 위해서는 특별법을 통한 합법성 부여와 함께 입법 행위의 정당성 평가가 수반되어야 한다.17)

(2) AI의 수인불가 프로파일링

프로파일링과 관련된 EU 인공지능법은 제5조 제1항에 명시된 공적인 범용 사회적 평점 시스템(general purpose social scoring)으로 공공기관이 일정 기간에 걸쳐 사람의 신뢰도를 사회적 행동 또는 인지·예측된 개인적·인격적 특성에 기해 평가·분류하기 위한 시스템으로서, 그 사회적 평점이 데이터가 본래 생성·수집된 맥락과 무관한 사회적 맥락에서, 또는 일정한 사람이나 그 집단 전체에게 정당화하기 어렵거나 사회적 행동 또는 그 심각성에 상응하지 않는 해롭거나 불리한 처우로 이어질 수 있는 인공지능에 의한 프로파일링을 금지하는 것이라 할 수 있다. 이는 최초의 개인정보 수집에 대한 목적을 벗어난 추가 정보처리를 개인정보보호법이 금지하는 것과 AI법에 따른 수인불가 위험 인공지능 시스템의 금지 사항이 일치함을 보여주는 것이라 할 수 있다.

2. 자동화된 ‘의사결정’의 의의와 범위

GDPR 제22조 법문에는 의사결정을 명시하고 있으며, 이에 대한 규범적 의미는 결정적 효력을 가지는 형성적 행위(ein gestaltender Akt)임을 의미하며, 그 효과는 자연인 혹은 법인에게 귀속되어야 한다. 이 의사결정은 개별적·구체적 결정이어야 하며, 추상적·일반적 내용은 동법에 적용이 없다.18)

따라서 정보주체에게 법적 영향을 미치거나 이와 유사하게 정보주체에게 중대한 영향을 미치는 프로파일링 또는 개인적 특성에 기반한 개별 자동화된 결정에만 적용이 있다.19) 그러나 정보주체에게 법적 영향을 미치는 것의 의미는 AI의 형성적 의사결정이 정보주체의 법적 지위에 변화를 초래하는 것이지만, 이와 유사하게 정보주체에게 중대한 영향을 미치는 경우도 마찬가지로 사실적 침해에 해당하므로 추가적인 법적 평가로 보완되어야 하지만 법적 개념으로서 존재하고 있다.20)

궁극적으로 인간의 개입이 없는 자동화된 의사결정에 대한 법률상의 일방적 지위의 변화, 가령 전자 채용 심사, 금융대출심사에 대하여 규범적 차원에서 거부권, 재심사, 설명요구권을 정보주체의 권리로서 가지게 된다. 이는 적절한 안전조치 의무를 정보처리자에게 부여하는 GDPR 제22조 제3항에서 정의된 사항이기도 하다.

또한, GDPR 제22조 제1항에서 자동화된 결정은 인간의 개입이 없는 AI만의 독자적 결정21)을 의미하고, 다른 의사 결정의 보조수단으로 사용되는 경우는 배제된다. 다만, 이러한 AI에 의한 형성적 결정에 대한 적용 배제에 대한 예외의 경우에도 동법 제2항의 ⒝호의 유럽연합 혹은 회원국 법률에 의해 정보주체를 보호하기 위한 적절한 조치를 정보처리자에게 의무로 부여한 경우와는 달리 ⒜호와 ⒞호에서는 계약과 명백한 동의에 기반하여 그 예외가 인정되므로, 최소한의 인적 개입(human intervention)을 허용하고, AI의 의사결정에 대하여 정보주체의 견해를 피력하고, 의의를 제기할 수 있는 조치가 마련되어야 한다22). 즉 ⒝호는 입법자에 의해 적절한 조치를 부분적으로 또는 배타적으로 결정할 수 있음을 의미하며, ⒜호와 ⒞호는 최소한의 정보주체의 보호를 의미함으로써 사적자치 영역의 과소보호금지를 의미하는 것으로 보인다.

3. 프로파일링 및 자동화된 의사결정에 대한 우리나라 개정 「개인정보보호법」상의 규율: 거부권과 설명요구권
(1) 사적 영역으로 확대된 적법절차 원리

적법절차의 원리는 영미법계에서 유래한 것으로, 절차적 적법절차를 규정한 연방헌법수정 제5조 “누구든지 적법절차에 의하지 아니하고는 생명, 자유, 재산을 박탈당하지 아니한다.”로부터 연방 각 주(state)를 수범자로 하여 열거되지 아니한 자유와 권리의 헌법적 근거로 인용되는 연방헌법수정 제14조 “모든 주는 미합중국시민의 면책권이나 민권을 침해하는 법률을 제정하거나 시행하지 못한다.”로 실체적 적법절차의 원리로까지 확대되었다.

전통적으로 최소한의 절차적 적법절차의 내용은 공권력의 결정에 의해 심각한 이익침해가 발생하기 전에 관계사실에 대한 고지(notice)와 청문(hearing)을 받을 권리를 인정하는 것이며 그 이상의 절차적 권리의 인정여부는 공익과 사익 간의 법익의 형량에 따라 결정된다.23) 또한 공권력 행사의 적정성(due process)을 요구하는 실체적 적법절차는 공권의 자의성을 통제하기 위한 것으로 공권력 행사의 헌법상 기본권 침해 시 준수해야할 한계를 설정한 것으로 이해된다.24)

오늘날 적법절차의 원리는 정부 기관의 권력 작용에만 미치는 것이 아니며, 법원과 입법부는 민간 기업의 특정 행위에 대하여도 청문 절차를 부과하고 있으며,25) 이러한 적법절차에서 이의 제기권은 오류 수정, 부당한 결과 방지 또는 결정의 예측 가능성 및 일관성 향상을 통하여 합법성을 강화할 수 있다.

실제 사법영역에서 당사자 간의 계약을 통하여 절차의 내용과 방법을 사적 자치에 따라 형성하는 것과 달리 공법 관계에서 절차는 법률에 따라 사전에 정해지는 것이므로 적법절차는 인권보장과 밀접한 관련을 가지도록 요구된다. 이러한 근간에는 공법 관계에서 절차의 획일성과 강제성으로 인한 당사자의 권리보장으로서 청문 기회는 필수적 요건이 되는데, 인간을 대신하여 AI를 통한 자동화된 의사결정은 성질상 획일성을 가지게 됨과 아울러 투명한 절차에 대한 보장이 동시에 요청되는 사고에서 출발한다고 할 수 있다.

또한 적법절차의 보호법익이 개인의 자유에 관한 본질적 내용을 수반할 경우에는 엄격한 심사를 요하지만 비본질적 영역인 경우에는 합리적 심사가 요청되는 공법적 영역과 달리, 사인 간의 AI를 매개로 한 자동화된 의사결정에 대하여 우리 기본권 보장 체계로서 과잉금지원칙 간의 관계에서 주요한 쟁점이 될 것으로 생각된다.

(2) 거부권과 설명요구권

EU GDPR 제21조와 제22조에 대응하여 우리나라 개정 「개인정보보호법」에서 제37조(개인정보처리정지)를 개정하고, 제37조의2(자동화된 결정에 대한 정보주체의 권리 등)를 신설하였다.

동법 제37조의 개인정보처리정지는 프로파일링 등에 대한 위험에 대응하여 제37조 규범을 증보하여 정보주체를 보호하는 것으로 평가되며, 신설된 제37조의2는 GDPR 제22조의 자동화된 결정에 대한 정보주체의 권리에 대응한다. 즉 이러한 권리들은 독자적 기본권적 지위를 가지는 개인정보자기결정권의 구체화로서 의미를 가진다고 할 수 있다.

우선 개정 제37조의 개인정보의 처리정지에는 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리를 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있으며,26) 처리정지를 요구받은 개인정보처리자는 지체 없이 그 요구에 따라 개인정보처리의 전부 혹은 일부를 정지27)하여야 한다. 또한 정보주체가 동의 철회한 경우 수집된 개인정보를 복구·재생할 수 없도록 파기하는 등 필요한 조치를 하여야 하며28), 처리된 정보는 지체 없이 파기29) 등 필요한 조치를 하여야 하도록 명시하였다.

또한 신설된 동법 제37조의2(자동화된 결정에 대한 정보주체의 권리)에는 완전히 자동화된 시스템(인공지능 기술을 적요한 시스템 포함)으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분 제외)이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대하여 해당 결정을 거부할 수 있는 권리를 가지도록 하며30), 자동화된 결정에 대한 설명요구권31), 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명을 요구한 경우에는 정당한 사유가 없는 한 자동화된 결정을 적용하지 아니하거나 인적 개입에 의한 재처리·설명 등 필요한 조치를 하여야 하며32), 정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개33)하도록 하였다.

프로파일링과 자동화된 의사결정이 정보 주체에게 미칠 수 있는 잠재적 위험과 간섭을 고려하여 정보처리자에게는 투명한 정보처리가 요청된다. 이러한 맥락에서 정보주체가 자동화된 의사 결정에 대하여 구체적이고 쉽게 접근가능하도록 규정한 「개인정보보호법」상의 일련의 권리들 열람권과 접근권 등은 설명요구권에 대한 사전적 권리로서 존재하며, 설명요구권 행사시 AI의 알고리즘이 가지는 로직(logic)에 대하여 결정에 도달할 의존한 기준을 알릴 수 있는 방법을 마련하여야 한다.34)

다만, 자동화된 결정으로 인한 권리, 의무에 중대한 영향을 미치는 경우의 의미는 GDPR 제22조의 마찬가지로 법적 지위의 변화를 초래하는 형성적 결정에 한하는 것이 타당하다.

Ⅲ. AI와 관련한 GDPR 제22조의 해석

1. 자율적 AI가 적용된 개인정보처리와 의사결정에 대한 문제 제기
(1) 문제 제기

앞서 GDPR 제22조의 개인정보처리를 통한 “프로파일링”과 “자동화된 의사결정”으로 통한 정보주체의 정보결정권의 행사에 대한 일반적 법해석을 검토하였다. GDPR 제22조의 적용은 자율적 의사결정능력을 지닌 AI만을 전제한 것은 아니므로, 인간의 개입이 없는 자율적 AI의 개인정보처리인 경우에는 GDPR 제22조의 적용이 검토될 필요가 있을 것이다.

유럽평의회회(the Council of Europe)는 인공지능을 ‘인간의 인지 능력을 기계가 재현하는 것을 목적으로 하는 일련의 과학, 이론 및 기술’로 정의하고 있으며,35) 인공지능의 발달 목표는 인간에게만 위임된 복잡한 작업을 기계에 맡길 수 있도록 하며, 나아가 작동환경에 대한 정교한 분석을 통해 특정 목표를 달성할 수 있는 높은 수준의 자율성을 가진 데이터 처리 시스템과 관련되어 있다.36)

고도화된 AI의 편익에도 불구하고 자율적 의사 결정 기능, 즉 알고리즘의 예상치 못한 방식으로 결정할 가능성의 여지는 지속적인 논란이 진행되어 왔다. 실제 AI는 새로운 작업을 수행할 때마다 AI의 자가발전적인 지속적 분석, 정교화, 재조정 과정을 통해 이전의 모든 결과를 고려하기 때문에, 심층적이고 지속적이 데이터 처리가 최초의 소프트웨어 개발과 비교해서 AI의 자율적 결정은 예측불가능성이 존재한다.37)

개인정보보호 차원에서, GDPR 제22조는 자동화된 의사결정 시스템에서 “전적으로 자동화”되어 있고 “법적 또는 이와 유사하게 중대한 영향”을 미치는 경우에는 이를 제한하는 내용을 담고 있다.38) 원칙적으로 법적 이와 유사하게 중대한 영향을 미치는 프로파일링을 포함한 완전 자동화된 의사 결정은 일반적으로 금지되어 있다.39) 이는 기술의 발달로 인하여 지능화된 AI는 보이지 않는 데이터 간의 상관관계를 파악하는 광범위한 능력으로 인하여 숨겨져 있는 정보를 얻어낼 수 있으며, 이러한 프로세스는 특수한 범주(민감정보)로 분류되는 정보에 대한 침해 위험을 내포하는 측면으로 이해할 수 있다.

이러한 맥락에서 개인정보보호에 대한 제도를 중심으로 책임의 관점에서 AI와 개인정보보호와의 관계속에서 자동화된 결정의 전제조건인 데이터의 이용(추가처리 포함)의 적법성 요건과 GDPR 제22조의 해석론을 통하여 의사결정 시스템의 적법성 평가 방안에 대한 논의가 필요할 것으로 생각된다.

(2) EU AI법 제54조의 개인정보 추가 처리

EU AI법안 제54조는 인공지능 규제샌드박스에서 공익을 위한 인공지능 시스템을 개발하기 위한 정보의 추가 처리를 규율한다. 즉 본 조항은 AI 시스템을 개발하기 위하여 수집된 개인정보의 목적 외 이용 및 추가 처리를 제한된 열거 범위의 공익적 목적으로 한정하고 있으며, 개인정보보호와 관련된 정보처리의 일반원칙들이 AI영역에서 구체화시키고 있다고 할 수 있다.

우선 개인정보 추가처리를 위하여 열거된 중요한 공익 목적40)은 ① 관할기관의 통제와 책임 하에 형사범죄의 예방이나 수사, 탐지, 기소 또는 벌금의 집행. 이는 공공의 안전에 대한 위협을 방지하고 안전을 보장하는 업무를 포함하도록 하고, 이에 관련된 개인정보 처리는 회원국의 법률 또는 EU법에 따르도록 명시하였고 ② 공공의 안전과 공중보건(질병의 예방, 통제, 치료) ③ 환경의 질을 높은 수준으로 보호하고 개선하기 위한 것으로 한정하고 있다.

또한 하이리스크 인공지능 시스템의 경우에는 AI번 제Ⅲ편 제2장(하이리스크 인공지능 시스템의 요건)41)에 속하는 요건을 한 가지 이상 충족하여 준수하는 데 필요한 경우로서, 익명처리(anoymised) 정보나 합성(synthetic) 정보, 기타 비개인 정보로는 해당 요건을 제대로 충족할 수 없어야 한다.42)

또한 샌드박스와 관련해 처리되는 모든 개인정보는 참여자(정보주체)의 통제기본권을 보호하기 위해 기능적으로 분리되고 격리된 정보처리 환경에 있어야 하며, 정보의 접근은 권한 있는 자만이 가능하도록 하고 있다.43) 위해가 발생하는 경우 대응체계를 마련하고, 개인정보의 이전을 금지하며, 정보처리가 종료되면, 개인정보를 삭제할 것을 규정하고 있다.44)

개인정보를 처리하는 인공지능에 대한 규율이면서, 실제 개인정보에 관한 구체적인 보호를 권리, 의무 관계를 명확히 확인할 수 없으므로, 해당 조문의 권리관계는 GDPR의 일련의 정보주체의 자기정보결정권과 인공지능의 자동화된 의사결정을 규율하는 GDPR 제22조의 해석을 통한 보완이 필요하다고 할 수 있다.

(3) 단계별 책임 관점의 규율 필요성

개인정보보호법이 AI이용의 모든 측면을 규율할 수 없다는 것은 분명하지만 프라이버시를 넘어선 개별 인격의 사적 영역을 보호하는 성격을 가지고 있으며, 이는 인간의 존엄성에 대한 광범위한 보호를 의미한다.45)

이러한 광범위한 보호는 구체적으로 규범의 해석적 접근으로 책임에 관한 소재를 분명하게 밝히는 것을 필요로 한다. 즉 AI로 인한 자동화된 의사결정의 메카니즘으로서 AI의 생산자, 개발자, 사용자의 책임은 AI의 프로세스를 구현하는 데 영향을 미치며,46) 자율 결정의 알고리즘을 전문적으로 이용하는 경우에는 GDPR의 위험기반접근에 따른 엄격한 요건이 수반되며47) 데이터보호영향평가(data protection impact assessments)의 적정성 판단의 요인이 된다.48)

책임 관점의 접근은 각 AI이 가지는 자기학습능력으로 인한 개별화된 고유성과 독창성을 가지고 있으므로, 법적·윤리적인 심층적 분석과 더불어서 데이터보호를 위해 사례별(case-by-case) 혹은 부문별(sector-by-sector) 접근 방식이 요구된다고 할 수 있다. 특히 개인정보의 보호밀도를 달리하는 정보의 위계에 따라서 그 수집 방법, AI의 자기학습능력과 같은 시스템의 특수성을 고려할 필요가 있다. 이는 AI 시스템을 규율하는 법률과의 관계, 즉 규율 대상에 대한 규범의 구체화로서 대응 관계를 명확히 확보하는 데에 유용하며, 한층 더 구체적으로 세분화된 규율로서의 발전적 방향을 의미한다. 이를 통하여 개인정보보호의 요구와 혁신과 삶의 질 향상이라는 공익적 요구와의 법익 균형을 이루어 가는 것이라고 생각된다. 또한 AI 알고리즘의 복잡성으로 인한 무과실 책임 적용(정보처리자의 입증책임)과는 별도로 정보처리에 관련 당사자들의 책임의 분배가 한층 중요해졌다고 할 수 있다.

2. 인공지능의 추가 처리에 대한 AI법의 문제점(수집 목적과 추가처리와의 관계)

유럽데이터보호위원회(the European Data Protection Board)와 유럽데이터보호감독관 (European Data Protection Supervisor)은 EU AI법안의 개인정보 추가 처리에 관한 사항을 법안의 규율성이 적절하지 못함을 지적하고 있다. 제안된 법안 제54조는 데이터의 추가처리에서 정보주체의 법익과 관련된 구체적 기준과 AI 시스템이 샌드박스 내에서만 사용되는 것인가에 대한 여부에 대하여 제시가 불분명하다는 것이다.49)

이는 추가처리와 데이터 처리의 목적과 관련된 것으로서 GDPR에 따르면 AI을 활용한 데이터 재이용의 가능성과 방법의 적정성에 관한 것이다.(데이터 처리의 적법성50))

(1) AI 소프트웨어가 인간에 의해 완전히 통제되는 경우

특정 범주의 정보를 정보주체가 특별한 목적상의 동의(ad hoc consent)를 하거나, 다른 법률에 근거하여 GDPR 제9조 제2항에 해당되어 동의가 필요 없는 경우는 GDPR 제5조 제1항 ⒝51)호에 따라 최초 수집 목적과 양립 가능한 범위의 목적에 대하여 데이터의 재이용이 가능하며, 실제로 데이터가 주로 수집된 목적과 양립할 수 있기 때문에 추가처리를 명시적으로 허용하고 있다.

(2) AI 소프트웨어를 인간이 완전히 통제할 수 없는 경우

AI 소프트웨어를 인간이 완전히 통제할 수 없는 경우에는 GDPR 제22조(자동화된 의사결정) 제4항에 의해 AI의 자동화된 의사결정에 의해 개인정보주체에 대하여 법적 효력 혹은 중대한 영향을 미치는 결정의 적용 배제의 예외52) 사유에 대한 예외로서 GDPR 제9조 제2항(특정범주의 개인정보 처리)의 ⒜호53)와 ⒢호54)가 적용되고, 개인정보주체의 권리와 자유 및 정당한 이익을 보호하는 적절한 조치가 갖추어진 경우가 아니라면 동법 제9조 제1항의 특정 범주의 개인정보를 처리할 수 없다.

(3) 위 두 경우의 공통점(목적 기속성)

개인정보의 재사용의 적법성은 데이터의 추가 처리되는 목적 간의 호환성이 인정되는 경우에 한한다. 추가처리는 GDPR 제6조 제4항에 근거하여 수집목적와 의도된 추가처리의 목적과의 관련성, 정보주체와 정보처리자 간의 관계와 관련해서 개인정보가 수집된 상황, 동법 제9조에 따른 특정 범주의 개인정보가 처리되는지 여부, 의도된 추가처리가 정보주체에게 초래할 수 있는 결과 등을 고려하여야 한다. 따라서 AI의 데이터 처리가 공익상의 동일한 목적일 경우에는 합법성이 보장되어야 한다.55) 목적 외 이용에는 별도로 정보주체의 동의가 필요하며, 이에 더하여 EU AI법안 제54조는 공익을 목적으로 한 범죄예방, 보건의료, 환경보호라는 특수한 영역에 대하여 특정범주의 정보를 처리하는 인공지능 개발의 규제 샌드박스라는 점에 제한된다.

Ⅳ. 데이터 보호와 AI의 자동화된 의사결정 과정의 정합성

1. 서설

AI 시스템의 복잡성과 이질성으로 인하여 특정한 응용 프로그램에 대한 가치 판단은 시스템 자체의 구체적인 특성을 고찰해야 하는 방법상의 난점을 가지고 있다. 실제 AI 운영의 지침과 그에 따른 평가기준을 파악하기 위해서는 최소한의 응용 프로그램을 토대로 법체계상, 자동화된 의사결정의 자율성이 유보된 범위를 확인하는 것은 선결 요건이 된다. 이러한 요건에 기반하여 자동화된 의사결정정의 합법성을 평가하는 경계 설정 아래 개인정보와 자율화된 의사결정 간의 관계에 대한 검토가 필요하다.56)

개인정보보호와 자율화된 의사결정에 대한 문제제기의 본질은 AI가 가진 정교함과 같은 인간보다 우월한 능력에 관한 의구심이 아니라, 인간으로부터 독립된 의사결정이 가능해졌다는 전제에서 출발한다. AI를 통하여 도출된 결과에 대하여 인간이 최종 판정을 하는 경우라면, 자동화된 의사결정이라 볼 수 없으므로 개인정보보호를 위한 GDPR 제22조의 적용은 배제된다고 볼 수 있다.57)

그러므로 AI의 자율성이 폭넓게 인정되는 경우에 있어서는 개별 사례별로 발생 가능한 위험에 대한 구체적 검토가 필요하며, AI를 통한 자동화된 의사결정의 합법성 인정 여부가 논의의 핵심이 된다. 이는 인공지능의 알고리즘과 이를 활용하는 인간과의 관계, 즉 알고리즘에 따른 자동화된 의사결정을 해당 영역의 종사자가 그대로 따를 것인가에 대한 최종 의사결정의 통제권과 관련되는 것이라 할 수 있다.

이러한 관점에서 프로파일링을 포함한 자동화된 개별 의사 결정(automated individual decision-making)은 GDPR 제22조의 해석에 따른 해결 방안을 모색하는 것이 타당하다. 즉 정보주체는 자신에 관한 법적 효과를 발생시키거나 이와 유사하게 자신에게 중대한 영향을 미치는 프로파일링을 포함한 자동화된 처리만을 기반으로 하는 결정의 대상이 되지 않을 권리를 가지는 것은 정보주체의 실효적 권리를 도출하는 데 중요한 의의를 가진다.58) 이는 GDPR 제22조의 Working Party(WP 29)59)에 규정된 바와 같이 원칙적으로 자동화된 처리만을 기반으로 하는 한 의사 결정에 대하여 정보주체가 개인정보 처리와 관련한 어떠한 조치를 하는가의 여부와 관계없이 금지하고 있으므로 하위 개별 영역에 따른 예외를 검토할 필요성이 있다.

2. GDPR 제22조에 따른 AI의 개인정보의 합법적 처리의 근거

AI의 자신에 관한 법적 효과를 발생시키거나 이와 유사하게 자신에게 중대한 영향을 미치는 결정에 대한 고려 사항은 GDPR의 가이드라인인 Working Party(WP 29) 뿐만 아니라 다른 방식으로 자율적 알고리즘(autonomous algorithm)에 의해 생성될 수 있는 효과의 유형과 관련하여 기능적이며 체계적인 해석이 요구된다. 단, GDPR 제 22조의 규범적 효력을 발생하기 위해서 일정한 수준 이상으로 의미있는 개인정보의 위험이 초래된 경우라야 한다.60)

그러나 GDPR 제22조 제4항은 GDPR 제9조 제2항의 특정 목적의 정보처리에 대하여 정보주체의 명백한 동의가 있는 경우61)와 추구하는 목적에 비례하도록 유럽연합 또는 회원국 법률에 근거하여 상당한 공익상의 이유로 처리가 필요한 경우와 개인정보보호권의 본질을 존중하고 개인정보주체의 기본적 권리 및 이익을 보호하기 위해 적절하고 구체적인 조치를 제공하는 경우62)의 예외를 제외하고는 특정 범주의 개인정보를 자동화하는 것을 금지하고 있다. 즉, AI의 자동화된 의사결정은 정보주체의 동의와 유럽연합 또는 회원국의 법률에 의한 상당한 공익상의 이유의 존재를 선결 조건으로 합법화되는 것으로 해석된다.

따라서 개인의 민감정보를 수반하는 치료 목적의 의료정보에 대한 AI의 의사결정은 정보주체의 동의와 개별 법률상의 근거를 합법 요건으로 한다고 볼 수 있다.

(1) EU AI 법안 제54조의 공익 범주의 자동화된 정보 처리와 정보주체의 동의 강화
1) 공익적 목적과의 양립으로서 동의

GDPR 제22조 제4항(제9조 제2항 ⒜호와 ⒢호)에 따라 정보주체의 명백한 동의와 EU 연합 또는 회원국의 법률의 근거에 예로서 독일 연방개인정보법(Bundesdatenschutzgesetz, 이하 BDSG) 제37조 개별 사례에 서 프로파일링을 포함한 자동화된 의사결정에서는 추가적으로 보험계약(Versicherung)에 따른 급부제공(Leistungserbringen)의 일환으로서 의료분야에서 AI의 자동화된 의사결정은 GDPR 제22조 제2항 ⒜ 개인정보주체와 개인정보처리자 간의 계약을 체결 또는 이행하는 데 필요한 경우, ⒝ 개인정보처리자에 적용되며, 개인정보주체의 권리와 자유 및 정당한 이익을 보호하기 위한 적절한 조치를 규정하는 유럽연합 또는 회원국 법률이 허용하는 경우, ⒞ 개인정보주체의 명백한 동의에 근거한 경우를 넘지 못하도록 하고 있으며,63) ⒜호와 ⒞호의 경우에도(정보주체와의 계약 혹은 정보주체의 명백한 동의) 불구하고, GDPR 제22조 제3항에서는 개인정보처리자는 개인정보주체의 권리와 자유 및 정당한 이익, 최소한 개인정보처리자의 인적 개입을 확보하고 본인의 관점에서 피력하며 자동화된 의사결정에 대하여 이의를 제기할 수 있는 권리를 보호하는 데 적절한 조치를 시행할 것을 의무로 부여하고64), 여기서도 마찬가지로 공익상 목적의 존재65)는 필요조건인 것으로 해석하는 것이 타당하다.

2) 정당화 사유로서의 동의

GDPR 제22조 제4항에서 요구하는 동의는 자동화된 의사결정의 승인 및 정당화로 규범적 의미를 지닌다. AI의 효율성과 정확성에 기초한 편익과는 별도로 불투명이 야기하는 문제와의 균형이 요청되므로, 양자의 관계에서 정보주체의 ‘동의’는 AI의 자동화된 의사결정을 정당화하며, 정보주체의 적극적인 통제력에 대한 실효적인 보장 수단이 된다.66) 이는 AI이 제공하는 편익에 대한 이해의 불충분, 혹은 편익의 거부로 인하여 상실하는 AI의 혁신성 사이에서 정보주체에게는 설명을 근거로 하는 동의(the informed consent)의 행사이어야 하며,67) AI의 의사결정과 정보주체의 편익 사이의 연결 경로가 된다.68) 그러나 항상 동의가 정보 처리에 적절한 근거가 되는 것은 아니므로 정보주체의 입장에서 예상되는 정보의 이용과 결과에 대한 충분한 관련 정보를 제공받은 상태에서 정보주체의 선택에 따른 동의이어야 한다.69) 이러한 측면에서 GDPR의 입법 의사에 대하여 개인의 자율적인 동의 결정은 우위에 있으며, 이는 정보주체의 정보를 정보주체 자신으로부터 보호하는 것이 아니기 때문이다.70) 개인정보 주체가 어떠한 편익을 누리기 위해 완전 자동화된 절차에 강제 참여하는 것은 자발성을 결여한 동의가 된다.71) 또한 AI의 이용의 목적과 위험 사이의 비례적 관계의 전단계로 정당화 평가의 의미를 동시에 가진다고 할 수 있다.

마찬가지로 우리나라 「개인정보보호법」에서도 자동화된 의사결정에 대한 거부권 행사의 예외적 요건으로 동법 제15조 제1항·제2호 및 제4호에 의한 경우에는 적용이 배제되므로, 동의 절차의 정당성 확보는 자동화된 의사결정에 대한 거부권 및 설명요구권의 행사에 대한 전제적 검토 사항이 된다.

3. 정보주체를 보호하기 위한 적절한 조치
(1) 입법에 의한 보호의무

GDPR 제22조 제2항에 근거하여 계약의 목적, 법률상의 근거, 명시적 동의에 따른 개인정보처리라 하더라도 민감정보의 자동화된 의사결정은 금지된다.72) 그럼에도 불구하고 예외의 예외로서 GDPR 제9조에 근거하여 민감정보 처리에 대한 정보주체의 명백한 동의73)와 추구하는 목적에 비례하도록 공익상의 목적 아래 개인정보보의 본질을 존중하고 개인정보주체의 기본적 권리 및 이익을 보호하기 위해 구체적 조치74)를 한 경우에는 정보처리가 허용되며, AI 및 빅데이터 기술의 사용과 GDPR 제5조의 목적 제한 간에는 긴장관계가 존재하며, GDPR 제5조의 개인정보 처리의 목적에 양립할 수 있는 경우에 있어서 추가처리가 허용된다. 이에 대한 적법성의 확인은 새로운 목적이 최초 개인정보 수집 목적과 호환가능여부를 검토하는 것으로 GDPR 가이드라인인 WP29에 따르면 새로운 목적과 최초 목적 간의 거리, 데이터 주체의 예상에 부합하는 새로운 목적의 일치성, 데이터의 성질과 정보주체의 이익에 대한 영향, 정보처리자가 공정한 처리를 보장하고 부당한 영향을 방지하기 위하여 선택한 보호 조치가 그 기준이 된다.

이와 동시에 자동화된 의사결정이 허용되는 AI의 개발을 위한 정보처리에는 공익의 목적 아래, GDPR 제22조 제2항의 계약의 목적, 법률상의 근거, 명시적 동의 중 하나를 요건으로 하지만 계약의 목적과 명시적 동의인 경우에는 최소한의 적절한 조치를 요구하는 반면, 법률상의 근거에 의한 적절한 조치는 입법자에게 유보되어있다.

이에 대하여는 위험에 대한 사례별 접근을 통하여 평가되어야 하지만, 적절한 조치에 포함되는 일련의 사항들은 GDPR 상의 정보처리자의 의무 내용과 정보주체의 정보 통제권(열람, 정정, 삭제, 처리정지, 동의철회)로 구성될 수 있을 것이다. 구체적으로 드러나는 정보주체의 요구는 정보처리자의 자동화된 처리 개입 요구할 권리, 정보주체의 관점을 제시할 권리, 자동화된 결정에 대한 이의를 제기하고 그 내용에 대한 재평가할 권리로 나타날 수 있다.75) 이는 승인된 자동화된 처리에 대한 부작용을 보완하는 조치를 의미한다.

(2) 개인정보영향평가와 AI의 적합성 평가의 관계와 개인정보보호

개인정보 영향평가는 개인정보처리 신규 시스템의 구축 또는 기존 운영 중인 시스템의 변경 시 개인정보 처리로 인한 잠재적인 개인정보 침해 발생 가능성 및 영향을 사전에 조사·예측·검토하여 개선방안을 도출하는 체계적인 절차를 말한다.76) 이는 사전에 개인정보 침해 발생 가능성을 확인하고 조치하여 예방할 수 있으며, 사후 발생하는 문제점을 최소화하여 비용을 절감하는 효과를 가지고 있다.77) 우리나라의 경우, 공공기관만을 개인정보영향평가의 의무대상으로 하는데 비하여, EU에서는 개인정보의 처리의 성격과 범위, 상황, 목적을 참작하여, 특히 신기술을 사용하는(밑줄 저자) 처리유형이 개인의 권리와 자유에 중대한 위험을 초래할 것으로 예상되는 경우, 개인정보처리자는 처리 이전에, 예정된 처리 작업이 개인정보보호에 미치는 영향에 대한 수행을 할 것을 의무화하고 있다.78)

반면 EU AI법에 따르면, 고위험 인공지능인 경우 제3자에 의한 적합성 평가를 의무화하고 있다.79) 부속서 Ⅲ에는 자연인의 생체인증 범주화, 중요 인프라의 관리 운영, 교육·직업 훈련, 채용·인사관리와 필수적 공공 및 민간 서비스 혜택과 접근과 같은 특정 목적의 경우에는 적합성 평가를 거치도록 하고 있다.

자동화된 의사결정 및 프로파일링에 관한 AI에 의한 개인정보 처리는 EU에서는 개인정보영향평가와 AI적합성 평가 모두가 적용되며, 우리나라와 같이 개인정보영향평가가 공공기관에만 의무로 되어있는 경우에는 개정 개인정보보호법 제97조의2에 따른 자동화된 정보주체의 권리가 사적 영역에서는 특히 중요한 의미를 가진다고 볼 수 있다.

Ⅴ. 결론

개인정보보호법 제37조의2(자동화된 결정에 대한 정보주체의 권리)의 신설은 인공지능으로 인한 편익과 그 위험에 관한 숙고에서 비롯된다. EU AI법의 규제 샌드박스를 통한 공익적 목적 차원에서 개발이 필요한 인공지능시스템이 수집된 목적과 달리 추가적으로 정보 처리되는 경우에는 당연히 GDPR 또는 EU 회원국의 개별 개인정보보호법에 따라 규율된다고 할 것이다.

앞서 언급한 바와 같이 인간의 개입 없이 AI에 따른 자연인의 특성을 분류하고 평가하는 프로파일링, 형성적 지위를 초래하는 자동화된 의사결정이 가능한 AI 시스템의 출현은 인공지능이 가지는 편익에 대척하는 인간의 존엄성에 위해가 된다고 할 수 있다. 개인정보의 보호는 이러한 인간의 존엄성에 비롯되는 인격권의 사전적 위험으로부터 보호기능으로 작동한다고 할 수 있다.

EU AI법에 따른 공익적 목적을 위한 인공지능 시스템 개발을 위한 수집 목적 외로 공익을 위한 추가처리를 허용하는 경우, 즉 목적 외 정보이용이 허용되는 규제샌드박스 내에서 인공지능 시스템의 개발에서도 사전적 권리보호로서 다른 개인정보보호의 적법성의 원칙들은 인정되며, 고위험 인공지능의 적합성 판정의 절차와 더불어 사후의 개인정보주체의 권리보장을 위한 자동화된 결정에 대한 거부권 및 설명요구권은 사후적 권리구제의 기능을 수행한다고 할 수 있다.

다만 보충적으로 설명요구권이 원류가 적법절차의 원리에서 비롯된 것이라는 시각에서 볼 때, 자유권을 보호영역으로하는 설명요구권의 절차 보장의 의미를 기본권 보장체계에서 과잉금지의 원칙과의 관계를 설정하는 것은 법리상 혼돈스럽다. 특히 AI에 의한 자동화된 의사결정은 사적 영역에서 이루어지는 것으로, 사적 자치의 영역은 과잉금지원칙의 일반의 각 단계가 그대로 적용되기 보다는 법익균형성이라는 최적화의 원리가 무엇보다 중요하기 때문이다.

Notes

1) 개정 「개인정보보호법」 제37조의2(자동화된 결정에 대한 정보주체의 권리)에서는 인공지능 기술을 적용한 시스템을 포함한 완전히 자동화된 시스템에 따라 개인정보를 처리하여 이루어지는 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에는 개인정보처리자에 대하여 해당 결정을 거부할 권리를 가지도록 하고, 이에 대한 설명요구권, 정보처리자의 재처리 의무, 자동화된 결정의 기준과 절차에 대한 공개를 규정하고 있다. 이는 EU GDPR 제21조, 제22조의 규정과 맥락상 동일하다고 볼 수 있다. 다만, 자동화된 의사결정만을 규정하여 GDPR에서 비교하여 ‘프로파일링’이 없는 것은 정보주체의 통제권 행사를 통하여 실질상의 보완이 이루어져야하는 점이 차이라 할 수 있다. 실제 현행 우리나라 「개인정보보호법」 제37조에서 정보주체의 개인정보처리 정지 요구권이 부여되어 있다.

2) 권건보, 정보접근권의 실효적 보장에 관한 고찰 – 정보주체의 정보접근권을 중심으로 -, 미국헌법학회, 미국헌법연구 제29권 제2호, 2018, 38면.

3) EU AI법에서 제시한 입법 목적은 “인공지능 기술이 빠르게 발전하고 있고, 전 산업과 사회 곳곳에 막대한 경제적, 사회적 편익을 제공함과 동시에 개인과 사회에 부정적인 영향을 미치거나 새로운 리스크를 유발할 개연성도 크므로 기술발달의 속도와 예상되는 역기능과의 균형을 이루는 접근방식의 노력이 필요하다.”고 하고 있다.(Reasons for and objectives of the proposal in 「Proposal for a Regulation laying down harmonised rules on artificial intelligence : Artificial Intelligence Act」

4) EU AI법안 제54조 (Article 54 Further processing of personal data for developing certain AI systems in the public interest in the AI regulatory sandbox, 인공지능 규제샌드박스에서 공익을 위한 인공지능 시스템을 개발하기 위한 개인정보의 추가 처리)

5) GDPR 제22조의 ‘자동화된 의사결정’에 대한 정보주체의 보호는 정보주체가 의사결정의 객체로 전락하는 것을 방지하기 위한 것으로 동 규정을 정보주체의 자동화된 의사결정에 대한 거부권 행사 여부와 관계없이 원칙적인 금지를 규정한 것으로 보기도 한다(Paal/Pauly, DS-GVO Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling, DS-GVO BDSG 3. Auflage 2021, Rn. 1)

6) EU 인공지능 법안(EU: Proposal for a Regulation laying down harmonised rules on artificial intelligence, Artificial Intelligence Act)의 규정안의 이유와 목적 편에서 “EU시장에 출시되어 이용되는 인공지능시스템은 안전해야 하며, 기본권과 EU의 가치에 관한 기존 법률을 준수해야 한다.”라고 제시되어 있으므로, AI 법안에 따른 개인정보 처리에 관한 사항은 GDPR 제22조에 따르며, 특수한 개별 영역은 개별 법률이 특별법의 지위를 가지고 있다.

7) BeckOK DatenschutzR/von Lewinski, 43. Ed. 1.2.2023, DS-GVO Art. 22 Rn. 1.1

8) ‘profile’이라는 용어는 원래 선을 긋다는 이탈리아어 ‘profilo’에서 유래된 것으로, 물체의 윤곽을 그려내는 것을 의미한다. 현재의 profiling은 데이터 처리를 통한 개인과 집단의 성향에 대한 윤곽을 평가하는 것이라 할 수 있다(European Parliament, The impact of the General Data Protection Regulation (GDPR) on artificial intelligence, 2020, p.22).

9) GDPR Ariticle 22 para 1

9) The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling(밑줄 저자), which produces legal effects concernign him or her or similarly significantly affects him or her.

10) European Parliament, The impact of the General Data Protection Regulation (GDPR) on artificial intelligence, 2020, p.23

11) GDPR 4조 제4항 프로파일링 정의 :

11) 프로파일링은 특히 자연인의 업무 성과, 경제적 상황, 건강, 개인적 선호, 관심사, 신뢰도, 행태, 위치 또는 이동에 관한 측면을 분석하거나 예측하기 위해 행해지는 경우로서, 자연인에 관련한 개인적인 특정 측면을 평가하기 위해 개인정보를 사용하여 이루어지는 모든 형태의 자동화된 개인정보의 처리를 말한다.

11) 한편, 우리나라에서 소개한 EU GDPR 2020EU 일반 개인정보보호법 가이드북에서는 프로파일링은 개인의 특징을 분석하거나 예측하는 등 해당 개인의 특성을 평가하기 위하여 행해지는 모든 형태의 ‘자동화된(automatic)’개인정보 처리를 의미한다. 예를 들면 개인의 업무 수행, 경제적 상황, 관심사, 지역적 이동 등을 분석하거나 예측하기 위하여 개인정보를 자동화된 방식으로 처리하는 경우 프로파일링에 해당한다. 컨트롤러는 프로파일링의 경우에도 GDPR의 개인정보보호 원칙에 따른 보호조치를 취해야 하며, 프로파일링에 사용된 개인정보(input personal data)와 프로파일링 결과, 생성된 정보(output data) 모두에 정보주체의 권리를 보장해야 한다. 프로파일링을 통한 민감정보의 처리는 제9조 제2항 민감정보 처리 규정이 준수된 경우에만 가능하며 프로파일링을 포함한 자동화된 의사 결정에는 제22조를 통해 추가적인 보호조치를 적용해야 한다.(인터넷 진흥원, EU GDPR 2020EU 일반 개인정보보호법 가이드북, 2020, 28면.)

12) GDPR 제4조 제4항의 프로파일링의 정의는 개인적 특성 측면의 평가를 위한 개인정보의 모든 형태의 자동화된 처리로 규정함으로써 실제로는 정보처리의 방법에 관한 개방성을 기반으로 개인정보 처리의 위험 규율의 확대를 통한 목적론적 해석에 의미를 두는 것이 타당해 보인다.

13) GDPR 전문(Recital, Erwägungsgrund )71

13) 정보주체는 자동처리에만 근거하여 정보주체의 개인적인 측면을 평가하는 조치를 포함할 수 있고, 온라인 신용 신청(credit application)에 대한 자동적 거절이나 인적 개입 없이 이루어진 전자채용(e-recruiting) 관행 등 정보주체에게 법적인 영향이나 이에 상응하는 중대한 영향을 미치는 결정에 적용받지 않을 권리를 갖는다. 이러한 처리는, 개인의 개인적인 측면을 평가하는 모든 형태의 개인정보의 자동처리로 구성된 ‘프로파일링’을 포함하며 (밑줄 저자) 특히 정보주체의 업무능력, 경제적 상황, 건강, 개인의 성향이나 관심사, 신뢰성 또는 행동, 위치 또는 이동과 관련된 측면을 분석하고 예측하며, 정보주체에게 법적인 영향이나 이에 상응하는 중대한 영향을 미치는 경우 그러하다. 그러나 프로파일링 등 이러한 처리에 근거한 의사결정은 정보처리자가 적용받는 유럽연합 또는 회원국의 법률에 명시적으로 인가하는 경우 허용되어야 하며, 여기에는 사기 및 탈세의 감시목적과 이 법 및 유럽연합기구와 국가 감시기구의 기준 및 권고에 따른 예방 목적이 포함되며, 정보처리자가 제공하는 서비스의 보안과 안정성을 보장하고, 정보주체와 정보처리자 간의 계약의 체결이나 수행에 필요한 경우, 또는 정보주체가 본인의 명백한 동의를 제공하는 경우를 해당한다. 어떠한 경우에도, 이러한 처리는 정보주체에게 구체적인 통지전달, 인적개입을 획득할 수 있는 권리, 의사를 표현한 권리, 이러한 평가 이후 도달한 결정에 대한 설명을 획득할 권리, 해당 결정에 이의를 제기할 권리 등, 적절한 안전조치를 적용받아야 한다. 이러한 조치에 아동은 해당하지 않는다.

14) Gola/Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, § 6a Rn. 8; BT-Drs. 14/4329, 37

15) 신원확인의 정도에 그치는 것이 아니라, 일정한 유전자를 가진 사람이 암에 걸릴 확률이 평균보다 높고, 특정 교육 및 직업을 가진 사람이 채무불이행의 확률이 높다는 것으로 추론(평가)가 이어지는 경우에는 해당 정보주체의 불이익한 처우에 대한 위험이 초래될 수 있기 때문에 문제가 되는 것이다.

16) BeckOK DatenschutzR/von Lewinski, 43. Ed. 1.2.2023, DS-GVO Art. 22, Rn. 11

17) BT-Drs. 17/11582 ; Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz 3. Auflage 2022, Rn. 42

18) BeckOK DatenschutzR/von Lewinski, 43. Ed. 1.2.2023, DS-GVO Art. 22, Rn. 14

19) ‘결정’의 범위에 관하여 최근 유럽사법재판소에 회부된 신용점수의 자동 설정 자체가 결정에 속하는가에 대한 다툼이 진행중이다. 사건 당사자인 피고(SCHUFA Holding AG('SCHUFA'))는 수학적 통계방법을 이용하여 개인의 특정 특성을 기반으로 하여 개인의 미래 행동 가능성을 예측하는 신용 점수를 설정하는 것으로 정보주체의 계약 당사자인 민간 신용정보회사에 정보를 제공하는 역할을 함으로써 실질적인 의사결정을 내리는 주체가 아니라는 주장에 대하여 유럽사법재판소의 GDPR 제22조 제1항의 자동화된 의사결정의 범위에 대한 적용 여부가 사안의 핵심으로 제기되어 진행되고 있다.(Case C-634/21[2] held by the ECJ in Luxembourg on 26 January 2023) ; The ECJ's First Landmark Case on Automated Decision-Making - a Report from the Oral Hearing before the First Chamber, European Law Blog, February 20, 2023 Monday

20) BeckOK DatenschutzR/von Lewinski, 43. Ed. 1.2.2023, DS-GVO Art. 22, Rn. 26

21) BT-Drs. 16/10529, 13

22) GDPR 제22조 제3항

23) 김종철, 적법절차원리의 헌법화에 대한 소견 – 미국연방헌법상 적법절차원리의 기능을 중심으로 - , 전남대학교 법학연구소 공익인권법센터 인권법평론 제20호, 2018, 14면

24) 김종철, 적법절차원리의 헌법화에 대한 소견 – 미국연방헌법상 적법절차원리의 기능을 중심으로 - , 전남대학교 법학연구소 공익인권법센터 인권법평론 제20호, 2018, 14면

25) Cotran v. Rollings Hudig Hall Int'l, Inc., 948 P.2d 412, 422 (Cal. 1998), 이 판례에서는 묵시적 고용 계약의 맥락에서 ‘정당한 이유’에는 주장된 위법행위에 대한 통지 및 직원이 대응할 기회를 포함한 적절한 조사를 요구한다고 지적하였다.

26) 「개인정보보호법」 제37조 제1항

27) 「개인정보보호법」 제37조 제2항

28) 「개인정보보호법」 제37조 제3항

29) 「개인정보보호법」 제37조 제4항

30) 「개인정보보호법」 제37조의2 제1항

31) 「개인정보보호법」 제37조의2 제2항

32) 「개인정보보호법」 제37조의2 제3항

33) 「개인정보보호법」 제37조의2 제4항

34) Article 29 Working Party (WP29), ‘Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679’ (WP251 6 February 2018), p. 45.

35) https://www.coe.int/en/web/artificial-intelligence/glossary

36) https://fra.europa.eu/sites/default/files/fra_uploads/fra-2020-artificial-intelligence_en.pdf; Michele Ciancimino, AI-Based Decision-Making Process in Healthcare, EuCML 2022, p. 173

37) Michele Ciancimino, AI-Based Decision-Making Process in Healthcare, EuCML 2022, p. 174

38) GDPR 제22조 제1항

39) Article 29 Working Party (WP29), ‘Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679’ (WP251 6 February 2018), p. 34.

40) EU AI법안 제54조 제1항 ⒜

41) 제8조(요건의 준수의무), 제9조(리스크관리 시스템), 제10조(데이터와 데이터 거버넌스), 제11조(기술문서작성), 제12조(기록관리), 제13조(투명성 확보 및 활용자에 대한 정보제공)

42) EU AI법안 제54조 제1항 ⒝

43) EU AI법안 제54조 제1항 ⒟

44) EU AI법안 제54조 제1항 ⒢

45) P Perlingieri, ‘Privacy digitale e protezione dei dati personali tra persona e mercato’ (2018) Foro napoletano 484; L Floridi, ‘On Human Dignity as a Foundation for the Right to Privacy’ (2016) 29 Philos. Technol. 307-312.;

46) 실제 EU의 인공지능 민사책임 보고서 내에 있는 초안에서는 인공지능, 로봇 및 관련 기술의 운영자에 대해서 단순히 운영자로만 지칭하는 것이 아니라 운영자들을 세부적으로 프로트엔드 운영자와 백엔드 운영자로 나누어 분류하여 각각의 기능과 역할에 따른 책임을 별도로 구성하고 있다.( 박혜성·김법연·권헌영, 인공지능 규제에 관한 연구, 공법연구 제49집 제3호, 2021, 371면

47) Gola/Klug, Die Entwicklung des Datenschutzrechts, NJW 2022, 2598

48) Cf. J Morley, CC Machado, C Burr, J Cowls, I Joshi, M Taddeo and L Floridi, ‘The ethics of AI in health care: A mapping review’ (2020) Social Science & Medicine 113 ff.; N Terry, ‘Of Regulating Healthcare AI and Robots’ (2019) 21(3) Yale J. L. & Tech. 163 ff.; with regard to the need for a case-by-case legal approach about the use of new technologies see e. g. G Frezza, ‘Blockchain, autenticazioni e arte contemporanea’ (2020) Dir. fam. pers. 491 ff.; O Pollicino and G Romeo, Internet Law, Protection of Fundamental Rights and Constitutional Adjudication (Routledge 2016).; Michele Ciancimino, AI-Based Decision-Making Process in Healthcare, EuCML 2022, p. 175

49) European Data Protection Board and European Data Protection Supervisor, ‘Joint Opinion on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence’, 18 June 2021 <https://edps.europa.eu/node/7140_en> 17-18.

50) GDPR 제6조 제4항 개인정보를 수집한 목적 외로 처리하는 것이 개인정보주체의 동의 또는 제23조 제1항의 목적을 달서하기 위한 민주사회의 필요하고 비례적인 조치를 구성하는 유럽연합 또는 회원국 법률에 근거하지 않는 경우, 개인정보처리자는 개인정보의 목적 외 처리가 해당 개인정보를 수집한 당초 목적과 양립될 수 있는지 확인하기 위해서 특히 다음 각 호를 고려해야 한다.

50)

  • (a) 수집 목적과 의도된 추가처리 목적 간의 연관성

  • (b) 특히 개인정보주체와 개인정보처리자 간의 관계와 관련하여 개인정보가 수집된 맥락

  • (c) 특히 제9조에 따른 특정 범주의 개인정보가 처리되는지 여부 또는 제10조에 따른 범죄경력 및 범죄행위와 관련된 개인정보가 처리되는지 여부

  • (d) 의도된 추가처리가 개인정보주체에 초래할 수 있는 결과

  • (e) 암호처리나 가명처리 등 적절한 안전조치의 존재

51) 개인정보 처리 원칙으로서 목적 기속성에 해당하는 것으로 “구체적이고 명시적이며 적법한 목적을 위해 수집되어야 하고, 해당 목적과 양립하지 않는 방식으로 추가 처리되어서는 안 된다. 공익적 기록보존의 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위한 추가 처리는 제89조 제1항(가명처리)에 따라 본래의 목적과 양립되지 않는 것으로 보지 않는다.”고 규정하고 있다.

52) 자동화된 의사결정을 적용받지 않을 권리를 명시한 GDPR 제22조 제1항과 달리 동법 제2항에서는 다음 각 호에 해당하는 경우는 제1항의 적용을 배제하고 있다.

52)

  • (a) 개인정보주체와 개인정보처리자 간의 계약을 체결 또는 이행하는 데 필요한 경우, ⒝ 개인정보처리자에 적용되며, 개인정보주체의 권리와 자유 및 정당한 이익을 보호하기 위한 적절한 조치를 규정하는 유럽연합 또는 회원국 법률이 허용하는 경우, ⒞ 개인정보주체의 명백한 동의에 근거하는 경우

53) 개인정보주체가 단일 또는 복수의 특정한 목적으로 특정 범주의 개인정보를 처리하는 데 명백한 동의를 제공한 경우

54) 추구하는 목적에 비례하도록 유럽연합 또는 회원국 법률에 근거하여 상당한 공익상의 이유로 처리가 필요한 경우와 개인정보보호권의 본질을 존중하고 개인정보주체의 기본적 권리 및 이익을 보호하기 위해 적절하고 구체적인 조치를 제공하는 경우

55) Michele Ciancimino,AI-Based Decision-Making Process in Healthcare, EuCML 2022, p. 176

56) Michele Ciancimino, AI-Based Decision-Making Process in Healthcare, EuCML 2022, p. 177

57) Mazzini (n. 16) 279-280, referring to Recitals 6 and 7 GDPR, underlines that “the GDPR certainly is a key piece of EU legislation, if not the piece of EU legislation, that was put together keeping in mind the challenges for privacy emerging from new ‘data hungry’ technologies of the digital age”; in this way, Art. 22 GDPR is “perhaps the most relevant intersection between AI and GDPR”. See ibid., 280-295, for an important analysis of the relationship between Art. 22 GDPR and Artificial Intelligence. ; Michele Ciancimino, AI-Based Decision-Making Process in Healthcare, EuCML 2022, p. 177

58) AI-Based Decision-Making Process in Healthcare, EuCML 2022, p. 177

59) Article 29 Working Party (WP29), ‘Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679’ (WP251 6 February 2018), 19.

60) 의료 정보의 처리와 관련된 것이 대표적인 사례로서, 자동화된 의사결정이 자연인의 권리에 직접적 영향을 미칠 수 있는 영역이다.

61) GDPR 제9조 제2항 ⒜ 호

62) GDPR 제9조 제2항 ⒢ 호

63) BDSG 제37조 제1항

64) GDPR 제22조 제3항

65) GDPR 제9조 제2항 ⒢호의 추구하는 목적에 비례한 법률과 상당한 공익상의 이유를 전제로 개인정보보호권의 본질을 존중하고 개인정보주체의 기본적 권리 및 이익을 보호하기 위해 적절하고 구체적인 조치를 제공하는 것을 요청하고 있다.

66) 정보처리 측면에서 정보주체의 동의는 정보주체의 통제권 행사임과 동시에 실질적으로는 개인정보자기결정권의 제한하거나 일부 포기하는 의미도 가진다고 할 수 있다.(김창조, 정보주체의 개인정보자기결정권 보장과 개인정보의 활용, 경북대학교 법학연구원, 법학논고 제75집, 2021, 78면)

67) GDPR 제4조 제11항에 정의된 ‘동의’는 정보주체 본인과 관련된 개인정보의 처리에 대해 합의한다는 개인정보주체의 희망을 진술 또는 명백한 적극적인 행위를 통하여 자유롭고, 구체적으로, 결과에 대하여 인지하여 분명하게 나타낸 의사표시라고 표현되어 있다.

67) 그러나 동의의 구체화는 개인정보의 보호밀도에 따라 달리하는 것으로 개별적인 상황에 따르는 것이 타당하다고 본다. 즉 보건의료영역은 당사자인 환자의 자기결정권 행사에는 설명을 근거로 한 동의를 필요하지만, 빅데이터 기반의 비민감 정보에서는 opt out 방식의 동의(notice and consent)가 적정하다.

68) AI-Based Decision-Making Process in Healthcare, EuCML 2022, p. 178

69) Guidelines on automated individual decision-making and profiling for the purposes of regulation 2016/679, p. 21 (in Article 29 Data Protection Working Party)

70) Paal/Pauly, DS-GVO Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling, DS-GVO BDSG 3. Auflage 2021, Rn. 38

71) European Parliament, The impact of the General Data Protection Regulation (GDPR) on artificial intelligence, 2020, S. 61

72) GDPR 제9조 제1항

73) GDPR 제9조 제2항 ⒜호

74) GDPR 제9조 제2항 ⒢호

75) Paal/Pauly, DS-GVO Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling, DS-GVO BDSG 3. Auflage 2021, Rn. 35

76) 개인정보보호법 제33조

77) 장시영, 개인정보 영향평가 제도의 국내·외 현황 비교 및 시사점, 정보통신방송정책 제30권 14호, 2018, 3면

78) GDPR 제35조 제1항

79) EU AI법 제6조 제2항

[참고문헌]

1.

권건보, 정보접근권의 실효적 보장에 관한 고찰 – 정보주체의 정보접근권을 중심으로 -, 미국헌법학회, 미국헌법연구 제29권 제2호, 2018

2.

권건보, 김일환, 지능정보시대에 대응한 개인정보자기결정권의 실효적 보장방안, 미국헌법학회, 미국헌법연구 제30권 제2호, 2019

3.

김재완, EU 일반정보보호규정(GDPR)의 알고리즘 자동화 의사결정에 대한 통제로써 설명을 요구할 권리에 대한 쟁점 분석과 전망, 민주법학 제69권, 2019

4.

김종철, 적법절차원리의 헌법화에 대한 소견 – 미국연방헌법상 적법절차원리의 기능을 중심으로 -, 전남대학교 법학연구소 공익인권법센터 인권법평론 제20호, 2018

5.

김종호, 인공지능 시대의 윤리와 법적 과제, 한남대학교 과학기술법연구원, 과학기술법연구 제24권 제3호, 2018

6.

김창조, 정보주체의 개인정보자기결정권 보장과 개인정보의 활용, 경북대학교 법학연구원, 법학논고 제75집, 2021

7.

박노형, 정명현, EU GDPR상 프로파일링 규정의 법적 분석, 안암법학회, 안암법학 제56권, 2018

8.

박상돈, 헌법상 자동의사결정 알고리즘 설명요구권에 관한 개괄적 고찰, 헌법학연구 제23권 제3호, 2017

9.

박진완, 우리 헌법상 일반적 인격권의 보장체계, 공법연구 제33집 제1호, 2004

10.

박혜성·김법연·권헌영, 인공지능 규제에 관한 연구, 공법연구 제49집 제3호, 2021

11.

엄주희·김소윤, 인공지능 의료와 법제, 한국의료법학회지 제28권 제2호, 2020

12.

이재희, 평등권의 대사인효와 그 구제적 적용방식 : 일반조항 해석과 관련하여, 저스티스 통권 제138호, 2013

13.

인터넷 진흥원, EU GDPR 2020EU 일반 개인정보보호법 가이드북, 2020

14.

장시영, 개인정보 영향평가 제도의 국내·외 현황 비교 및 시사점, 정보통신방송정책 제30권 14호, 2018

15.

최영희·한근희, 개인정보영향평가의 문제점과 개선방안, 정보보호학회논문지 제24권 제4호, 2016

16.

Article 29 Working Party (WP29), ‘Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679’ (WP251 6 February 2018)

17.

European Parliament, The impact of the General Data Protection Regulation (GDPR) on artificial intelligence, 2020

18.

Michele Ciancimino, AI-Based Decision-Making Process in Healthcare, EuCML 2022

19.

Margot E. Kaminski & Jennifer M. Urban, The right to contest AI, 121 Colum. L. Rev. 1957, November, 2021

20.

Patricia Peck Pinheiro/Helen Batista Battaglini, Artificial Intelligence and Data Protection: A Comparative Analysis of AI Regulation through the Lens of Data Protection in the EU and Brazil

21.

BeckOK DatenschutzR/von Lewinski, 43. Ed. 1.2.2023, DS-GVO Art. 22

22.

Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz 3. Auflage 2022

23.

Gola/Klug, Die Entwicklung des Datenschutzrechts, NJW 2022

24.

Paal/Pauly, DS-GVO Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling, DS-GVO BDSG 3. Auflage 2021

25.

Newstex Blogs(European Law Blog), The ECJ's First Landmark Case on Automated Decision-Making - a Report from the Oral Hearing before the First Chamber, February 20, 2023 Monday 7:07 AM EST

법학논고
(우41566) 대구광역시 북구 대학로 80 경북대학교 법학연구원(416호)
Tel : 053-950-6824 | Fax : 053-950-6884 | lawinsreview@knu.ac.kr

Copyright © Law Research Institute, Kyungpook National University. 2024. Powered by Guhmok