Law J. 2025; 90:1-30

pISSN: 1738-5903

DOI: https://doi.org/10.17248/knulaw..90.202507.1

행정법

인공지능을 통한 자동화된 처리에 의한 의사결정, GDPR 제22조 그리고 유럽연합법원의 Schufa 결정

박진완 *
Automated Decision-Making by Artificial Intelligence, Article 22 of the GDPR and the Schufa Case of the European Court of Justice
Zin-Wan Park *
Author Information & Copyright
*경북대 법전원 교수/법학연구원 연구위원
*Prof. Kyungpook National University Law School

© Copyright 2025, The Law Research Institute, Kyungpook National University. This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License (http://creativecommons.org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Received: Jul 10, 2025; Revised: Jul 25, 2025; Accepted: Jul 25, 2025

Published Online: Jul 31, 2025

국문초록

유럽연합법원(Court of Justice of the European Union (CJEU))은 2023년 12월 7일 Schufa 판결에서 신용평가기관인 Schufa가 수학적-통계적 방법을 사용하여 계산한 신용평가점수의 사용에 데이터 보호법적 관점에서의 법적인 평가를 하였다. 독일 비스바덴 행정법원이 당해 사건에서 적용되는 유럽연합법의 해석을 유럽연합법원에 구하는 유럽연합의 기능에 관한 조약 제267조에 의하여 청구한 사전결정절차(preliminary reference procedure/Vorabentischeidungsverfahren)에 대한 재판에서, 신용평가기관이 자신들의 업무협력 파트너인 은행과 같은 신용대부기관들을 위하여 그들의 잠재적 고객인 신용대출신청자에 대한 부정적 평가를 하여서, 이 잠재적 고객과의 계약거부를 초래하게 만드는 신용평가점수계산이 유럽연합의 데이터 보호-기본명령(Datenschutz-Grundverordnung(DSGVO)인 데이터보호일반규정(General Data Protection Regulation/GDPR) 제22조 제1항의 프로파일링을 포함한 자동화된 개별적 결정(automated individual decision-making, including profiling)에 해당하는지 여부에 대하여 검토하였다. 디지털 사회에서 헌법에 의하여 보장된 개인의 자유는 더 이상 전적으로 국가의 공권력에 의하여 침해되지만 않는다. 오히려 국가외적인 조직과 제도들 특히 사적인 조직인 거대한 글로벌 디지털 기업에 의한 침해의 위협에 직면한다.

유럽연합법원은 신용 정보 기관이 제공한 대출신청인의 신용정보에 대한 확률값을 제3자인 은행이 신용대출계약의 체결, 이행 혹은 종료에 강력하게 활용하는 경우에는 GDPR 제22조 제1항의 '자동화된 개별적 의사 결정'에 해당된다고 판시하였다. 따라서 은행업무 담당자와 업무처리와 같은 인간행위의 행위가 최종적으로 개입되었다 할 지라도, 그것이 특별한 의미가 없는 한에서는 자동화된 의사결정에 해당된다고 보는 것이 유럽연합법원의 판례의 핵심적 내용이라고 볼 수 있다.

Schufa 결정에서 문제가 된 신용평가점수 산정의 근거가 된 수학적-통계적 방법에 적용된 논리의 공개는 바로 GDPR 제15조 제1항 문자 (h) 속에 규정된 자동화된 처리에 의한 의사결정에 관련된 논리에 대한 중요한 정보에 대한 접근권 즉 안내요구권의 인정의 문제이다. GDPR 제22조와 결부된 제15조 제1항 문자 h가 어느 정도까지 이른바 설명요구권(right to explanation), 즉 자동화된 처리에 의한 의사결정에 사용된 논리에 대한 논증과 설명의무(Begründungs- und Darlegungspflicht)를 포함하고 있는지에 대해서는 격렬한 논쟁이 제기되었다.

Abstract

In its Schufa judgment of 7 December 2023, the Court of Justice of the European Union (CJEU) gave a legal assessment of the use of credit scores calculated using mathematical and statistical methods by the credit rating agency Schufa from a data protection law perspective. In a preliminary reference procedure (Vorabentischeidungsverfahren) brought by the German Administrative Court of Wiesbaden under Article 267 of the Treaty on the Functioning of the European Union, which seeks the interpretation of the applicable European Union law in the case at hand, the Court of Justice of the European Union considered whether the calculation of credit scores by credit rating agencies, which lead to negative assessments of potential clients of credit applicants for credit lending institutions such as banks, and thus to the refusal of potential clients to enter into contracts, constitutes automated individual decision-making, including profiling, within the meaning of Article 22 para. 1 of the General Data Protection Regulation (GDPR). In the digital society, the freedoms of individuals guaranteed by the Constitution are no longer exclusively violated by the public authorities of the state. Rather, they are threatened by violations by extra-state organisations and institutions, especially by large global digital corporations that are private entities.

The European Court of Justice ruled that if a third-party bank strongly uses the probability value of a loan applicant's credit information provided by a credit information agency in the conclusion, performance, or termination of a credit loan contract, it is considered 'automated individual decision-making' under Article 22, Paragraph 1 of the GDPR. Therefore, even if a human act, such as a bank employee or business processing, is ultimately involved, it can be seen as the core content of the European Court of Justice's case law that it is considered to be automated decision-making as long as it has no special meaning.

The European Court of Justice ruled that if a third-party bank strongly utilizes the probability value of a loan applicant's credit information provided by a credit information agency in concluding, performing, or terminating a credit loan contract, it constitutes 'automated individual decision-making' under Article 22 Paragraph 1 of the GDPR. Therefore, even if a human act, such as a bank employee or business processing, is ultimately involved, it can be seen as the core content of the European Court of Justice's case law that it constitutes automated decision-making as long as it has no special meaning. The disclosure of the logic applied to the mathematical-statistical method used to calculate the credit score in question in the Schufa decision is precisely a question of recognition of the right to access to important information about the logic involved in decision-making by automated processing, i.e. the right to information (right to explanation) as stipulated in Article 15 Paragraph 1 Letter (h) of the GDPR. There has been a heated debate as to the extent to which Article 15 Paragraph 1 Letter (h) in conjunction with Article 22 GDPR includes the so-called right to explanation, i.e. the duty to provide arguments and explanations (Begründungs- und Darlegungspflicht) regarding the logic used in decision- making by automated processing.

Keywords: 인공지능에 의한 프로파일링을 포함한 개별사례에서의 자동화된 의사결정; 인공지능에 의한 의사결정 과정; 신용조회에 관한 자동화된 의사결정으로 신용평가기관에 의한 점수산정; Schufa에 의한 신용평가점수산정; 유럽연합법원의 Schufa 사건
Keywords: Automated decision-making in individual cases; including profiling by artificial intelligence; Decision-making process by artificial intelligence; Automated decision-making regarding credit inquiries and scoring by credit rating agencies; Credit Rating Score Calculation by Schufa; SCHUFA case of the CJEU

I. 서

유럽연합의 기본권 헌장(Charter of Fundamental Rights of the European Union (CFR)) 제8조 제1항은 개인정보 보호권(right to the protection of personal data concerning him or her)을 기본권으로서 규정하고 있다. 기본권 헌장 제8조 제2항 제1문은 이러한 정보는 공정하게 (독일어 조문에서는 ‘단지 신의성실(Treu und Glauben)의 원칙에 의하여’) 확정된 목적을 위하여 그리고 당사자의 동의에 의하여 혹은 법률에 규정된 다른 정당화 근거에 의하여 처리될 수 있다고 규정하고 있다. 기본권 헌장 제8조 제2항 제2문은 모든 사람은 자신에 관하여 수집된 정보에 대한 접근과 이를 정정할 권리를 가진다고 규정하고 있다. 현대 정보화사회에서 개인의 사생활과 관련된 중요한 부분영역들 중의 하나로서 개인관련정보의 보호는 점점 더 중요해 진다. 이러한 상황에 맞게 이 기본권은 개인의 사생활과 관련된 영역에 있어서 개인정보의 보호를 위한 독자적 기본권으로 창설된 것이다1). 이러한 발전은 이전의 이차법(secondary law)에 의하여 구체화된 보호가 기본권으로서의 헌법의 영역으로 상승한 것이다2).

로만 헤어초크(Roman Herzog)의 주도아래 2000년 10월 2일 54개 조항으로 구성된 유럽연합의 기본권 헌장을 제정한 기본권 제정회의 의장단회의(Präsidum des Grundrechte-Konvents)의 첫 번째 주석에 의하면 기본권 헌장 제8조는 우선적으로 유럽공동체법(European Community law)을 모델로 하고, 두 번째로는 유럽회의(Council of Europe)의 개인정보 보호법을 근거로 한 것이다3). 기본권 제정회의 회장단 회의 주석은 개인정보보호규정인 유럽공동체조약(Treaty Establishing the European Community(TEC)) 제186조 (현재의 유럽연합의 기능에 관한 조약(Treaty on the Functioning of the European Union(TFEU)) 제16조)를 유럽연합의 기본권 헌장 제8조의 근거로 들고 있다. 그 이외에도 기본권 회장단 회의 주석은 개인정보의 처리와 자유로운 이동과 관련된 개인의 보호에 관한 1995년 10월 24일의 유럽의회와 유럽연합의 각료회의 지침 95/46/EC(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)을 들고 있다. 이 개인정보보호 지침은 현재 2016년 제4월 16일 채택되고 2018년 5월 25일 효력을 발생한 유럽연합 규정 2016/679(Regulation (EU) 2016/679), 즉 유럽연합 일반데이터보호규정(General Data Protection Regulation/GDPR)으로 대체되었다4). 그 외에도 유럽공동체 기관과 제도에 의한 개인정보의 처리와 자유로운 이동과 관련된 개인의 보호에 관한 2000년 12월 18일의 유럽의회와 유럽연합의 각료위원회의 규정 45/2001(Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data)도 유럽공동체의 기관과 제도들을 통한 개인관련정보의 처리의 경우에 개인의 보호를 위한 그리고 자유로운 정보의 교류를 기본권의 조건들과 제한들을 포함하고 있었다5).

유럽공동체법 이외의 유럽연합의 기본권 헌장 제8조의 근거가 된 유럽회의(Council of Europe)의 개인정보의 자동화된 처리와 관련된 개인의 보호를 위한 협약(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)으로 알려진 1981년의 협약 108(Convention 108)은 개인정보의 국경을 넘어서는 자유로운 이동과 관련하여 개인정보보호를 위한 구속력 있는 국제조약이다. 생체측정이나 알고리듬 투명성(algorithmic transparency) 투명성과 같은 인공지능과 관련된 계속적인 자동화된 개인정보처리기술의 발전에 대한 사생활과 개인정보 보호를 강화하기 위한 협약 108의 현대화된 버전으로 2018년에 채택된 협약 108+(Convention 108+)6)은 개인정보 보호를 기본적 인권으로 설정하고, 데이터 처리는 필요하고 목적에 비례해야 한다는 비례성(proportionality), 정보주체(data subjetct)의 권리 및 정보처리자(data controller)의 책임을 강조하고 있다. 협약 108+은 데이터 보호를 기본적 인권으로 강조하고 비례성, 개인정보와 관련된 데이터 주체 권리의 강화 및 데이터 처리와 관련된 책임과 투명성 보장의 필요성을 하는 것을 통해서 개인정보 보호와 관련된 인간의 자율성과 인간의 존엄을 보장하는 것으로 목적으로 하고 있다. 2019년 1월 28일 데이터 보호의 날을 맞아 유럽회의의 개인 정보처리와 관련된 개인 보호 협약(협약 108) 자문위원회(Consultative Committee)는 인공 지능 및 데이터 보호에 관한 지침(Guidelines on Artificial Intelligence and Data Protection)을 발표했다. 이 지침은 정책 입안자, 인공지능 개발자, 제조업체 및 서비스 제공업체가 인공지능을 사용할 때 개인정보 보호권을 침해하지 않도록 데이터 보호에 대한 권리를 훼손하지 않도록 지원하는 것을 목적으로 한다7).

유럽회의와 유럽연합은 별개의 국제기관으로서 양자는 서로 분리되어 있음에도 불구하고, 유럽회의 협약 108과 1995년 제정된 기존 EU의 데이터 보호 지침(Directive 95 / 46 / EC)를 대체한 2018년의 유럽연합의 일반데이터보호규정(General Data Protection Regulation) 양자는 서로 유사한 목적과 원칙을 공유하고 있다. 유럽인권협약(European Convention on Human Rights) 제8조는 개인정보의 보호를 위한 특별한 기본권을 규정하고 있지 않다. 그럼에도 불구하고 유럽인권협약 제8조에 규정된 사적 생활의 보호를 통해서 개인정보 보호권의 보호가 인정된다8).

기본권 헌장 제8조는 유럽연합의 기본권 헌장 제52조 제5항의 의미 속의 단순한 원칙이 아니라, 소송의 제기가 가능한 권리를 포함하고 있다9). 이 기본권은 기본권의 객체의 침해에 대한 방어권을 포함하고 있을 뿐만 아니라, 기본권 보호의무의 인정을 통한 특정한 보호적 내용도 제시한다.

인공지능은 이미 많은 기업의 의사 결정 과정에서 중요한 역할을 실행하고 있을 뿐만 아니라 전 세계 여러 나라의 많은 공공기관의 정책적 의사결정 뿐만 법원의 재판절차 진행에 있어서도 많은 기여를 하고 있다. 오늘날 인공지능에 의한 자동화된 처리에 의사결정, 즉 전적으로 인공지능에 의하여 자동화된 처리에 의한 의사결정은 많은 신용대부기관의 대출승인 뿐만 아니라 자산관리에도 사용되고, 또한 Facebook, Microsoft 및 Netflix와 같은 기술회사는 보다 강화된 학습 알고리듬을 통해 디지털 콘텐츠를 할당한다10). 이러한 상황전개와 관련하여 제기되는 가장 중요한 질문은 인공지능을 통한 자동화된 처리에 의한 의사결정이 어느 정도까지 우리의 생활영역에 영향을 미칠 수 있도록 허용해야만 하는가 하는 점이다. 인공지능에 의한 자동화된 처리에 의한 의사결정 (Automated Decision Making/ADM)의 보편화로 인하여 은행과 같은 민간회사 뿐만 아니라 법원과 같은 많은 공공기관에서 그 업무에 자동화된 처리에 의한 의사결정을 사용하고 있다. 최근의 이러한 자동화된 처리에 의한 의사결정의 금융, 사법 및 사회 서비스와 같은 다양한 부문에서의 사용은 ADM 시스템의 효율성, 속도 및 확장성 측면에서 많은 장점들을 제공함에도 불구하고, 이러한 인공지능에 의한 자동화된 의사결정의 시스템의 투명성, 공정성 보장을 통한 차별금지 및 개인의 기본권 보호의 요구도 강하게 제기되고 있다.

1995년 10월 24일의 유럽연합 지침 95/46/EC(Directive 95/46/EC) 제15조는 예를 들면 직업적 성과능력, 신용도, 신뢰성과 같은 개인의 개별적 측면에 대한 평가를 목적으로 하는 전적으로 자동화된 개인정보처리를 근거로 하여 데이터 주체에게 법적인 결과를 발생시키고, 심각하게 권리를 침해하는 결정의 대상이 되지 않을 권리를 인정한다. 이에 대한 예외는 당사자들 사이의 이익의 보호를 위한 법률적 근거가 존재하는 경우 및 예외 인정을 위한 계약체결이 행해진 경우에는 인정된다11). 그 이외에도 2018년 5월 24일까지 효력을 가진 개정 전의 독일연방정보호보법(Bundesdatenschutzgesetz a.F) 제6a조 제2항은 제2항 제2문은 적절한 조치에 의해 관련당사자의 정당한 이익이 보호되고, 책임있는 기관이 관련당사자에게 결정이 내려졌다는 사실을 전달하고, 당사자의 요청이 있는 경우 이 결정을 내리게 된 중요한 근거들(wesentliche Gründe)을 알려주고 설명해 주는 경우에는, 자동화된 개별적 의사결정이 허용된다고 규정하고 있다. 그러나 입법자는 이 결정의 중요한 근거들이 무엇인지에 대해서는 별도로 상세히 규정하고 않았다12).

현재의 독일연방정보보호법 제54조 제1항은 「데이터 주체에게 불리한 법적 결과를 발생시키거나 혹은 데이터 주체에게 중대한 권리침해를 발생시키는 전적으로 자동화된 처리에만 근거한 결정은 이것이 법조항(Rechtsvorschrift)에 규정된 경우에만 허용된다」고 규정하고 있다. 이 조항은 유럽연합 지침 20116/680(Directive (EU 2016/680))13) 제11조의 독일의 국내법적인 전환규정으로서 프로파일링을 포함한 관련당사자에게 불이익한 법적 결과를 발생시키는 자동화된 처리에 근거한 결정의 금지를 규정하고 있다. 유럽연합 지침 2016/680(Directive (EU 2016/680))14) 제11조에 의하여 요청된 법규정은 유럽연합 법규정 뿐만 아니라, 유럽연합의 가입국가의 국내법규정도 포함된다. 이 경우 국내법 규정은 법과 관련된 사안의 기본권 관련성 때문에 의회가 제정한 법률이어야만 한다15).

우리나라도 개인정보 보호법 제37조의2를 개정을 통해서 도입하여 인공지능 기술을 적용한 시스템을 포함한 완전히 자동화된 시스템에 의하여 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분은 제외)이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대하여 해당 결정을 거부할 수 있는 권리, 즉 자동화된 결정에 관한 정보주체의 권리를 법률의 차원에서 규정하고 있다. 이 규정은 위에서 언급한 유럽의 개인정보 보호법에 영향을 받아서 행해진 인공지능에 의한 자동화된 의사결정의 영향까지 고려한 입법으로 볼 수 있다,

Ⅱ. 유럽연합의 일반데이터보호규정(GDPR) 제22조에 의한 자동화된 처리에 의한 의사결정에 대한 개인정보의 보호

유럽연합 일반데이터보호규정(GDPR) 제22조 제1항은 프로파일링을 포함한 자동화된 처리에 근거하여 자신과 관련된 법적 효력을 발생시키거나 이와 유사하게 자신에게 중요한 영향을 미치는 의사결정의 대상이 되지 않을 데이터 주체(dada subject)의 권리를 인정하고 있다. 제22조 제2항은 이에 대한 예외로서 결정이 다음과 같은 사유에 근거하여 내려진 경우를 규정하고 있다: 데이터 주체와 개인정보 처리자인 데이터 컨트롤러(data controller) 간의 계약을 체결하거나 이행하는 데 필요한 경우 (a), 컨트롤러가 구속되고, 데이터 주체의 권리와 이익 그리고 정당한 이익을 보호하기 위한 적절한 조치를 규정하고 있는 유럽연합 혹은 유럽연합의 구성국가의 법에 의하여 승인된 경우 (b), 혹은 데이터 주체의 명시적 동의에 근거한 경우. 제22조 제3항은 제2항 (a) 및 (c)호(point)에 언급된 사례들에 해당되는 경우에는 데이터 컨트롤러는 데이터 주체의 권리와 자유 그리고 정당한 이익, 적어도 컨트롤러 측에서 인적인 개입을 허용하고, 자신의 입장을 표현하고 그리고 결정에 이의를 제기할 권리을 보호하기 위한 적절한 조치를 실행해야 한다고 규정하고 있다. 내용적으로 유럽연합 일반데이터보호규정(GDPR) 제22조는 이 규정에 의하여 대체되기 전의 선행규정인 유럽공동체 지침 95/46/EC(Directive 95/46/EC) 제15조와 개정 전의 독일연방정보호보법(Bundesdatenschutzgesetz a.F) 제6a조와 기본적으로 큰 차이가 없다. 그럼에도 불구하고 일반데이터보호규정 제22조와 유럽연합 지침 2016/680(Directive (EU 2016/680)) 제11조는 그 적용범위에 새로운 법개념으로 프로파일링을 추가하고 있기 때문에 적용범위가 프로파일링을 포함한 자동화된 처리에 의한 의사결정으로 확대되었다는 점에서 이전의 유럽공동체 지침 95/46/EC와 차이가 있다16).

2024년 8월 1일 발효된 유럽연합의 인공지능법은 일반적으로 인공지능이 사용되는 영역에서는 개인정보법 보다 더 강하게 잠재된 위험등급을 강화하고 있다. 인공지능에 의하여 자동화된 처리에 의한 의사결정과 관련하여 일반데이터보호규정 제22조는 개인이 검증되지 않은 기계에 의한 의사결정의 대상이 되는 것을 방지한다17). 회사나 은행이 비즈니스와 관련된 결정을 준비하기 위해 인공지능을 사용하는 것은 현재 법적 상황에서 원칙적으로 금지되지 않는다. 독일 은행법(Gesetz über das Kreditwesen (Kreditwesengesetz - KWG)) 제18조(거대한 신용의 교부(Vergabge der Großkrediten))와 같이 특별히 규정된 예외를 제외하고, 법률은 인공지능을 사용하여 도출된 적절한 정보가 정확하게 어떻게 구성되었는지를 명시하는 것을 요구하지 않는다. 그 외에도 확률값을 사용하여 결정되는 인공지능을 사용한 결과가 인공지능에 자체적 의사결정과정에 대한 이해의 어려움, 이른바 블랙박스(black box) 문제로 인하여 인공지능의 사용자체를 반대할 수는 없다18).

회사의 경영진은 비즈니스에 관련된 결정을 내리기 위하여 인공지능을 활용하여 적절한 정보를 도출하고, 이를 바탕으로 의사결정을 내릴 수도 있다. 이 경우 경영진은 인공지능을 통한 의사결정의 대상이 된 업무에 대한 위임의 범위내에서 인공지능을 사용하여 결정을 내려야 한다. 이와 관련하여 경영진은 인공지능이 결정이 대상이 된 업무에 맞게 신중하게 선택되었고, 이와 관련된 업무처리에 적합하게 훈련되었는지 여부 뿐만 아니라 인공지능에 의한 데이터의 사용과 처리가 적법하게 행해졌는지 여부에 대해서도 주의깊게 검토해야만 한다. 더 나아가서 경영진은 왜 자신들이 인공지능을 사용하여 도출한 결과를 고려했는지 혹은 고려하지 않았는지를 객관적으로 이해할 수 있는 방식으로 설명하는 것을 통해서 인공지능의 사용결과를 검토할 수 있다. 이와 관련하여 경영진은 왜 인공지능이 어떤 특정한 결과에 도달했는지에 대해서 설명할 필요는 없다19).

유럽연합의 일반데이터 보호규정 제22조는 개인에 대하여 법적 효과를 발생시키거나 중대한 영향을 미치는 프로파일링을 포함한 자동화된 처리에만 근거한 결정의 대상이 되지 않을 수 있는 개인의 권리를 규정하고 있고, 이 규정은 현재 법원과 데이터 보호 당국(DPA) 모두에서 적용되고 있다. 이와 별도로 2024년 8월 1일 효력을 발생한 유럽연합의 인공지능법(AI Act) 즉 유럽연합의 인공지능에 대한 조화된 규칙을 규정하는 규정 2024/1689 (Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence)20)는 인공지능의 위험을 해결하는데 있어서 유럽의 전 세계적인 주도적인 역할을 할 수 있도록 하기 위하여 제정된 AI에 관한 최초의 포괄적인 법적 프레임워크이다21). 이 규정은 기본권과 안전을 보호하는 동시에 신뢰할 수 있는 인공지능의 개발 및 사용을 보장하는 것을 목표로 하는 이 규정은 잠재된 위험 수준(risk levels)에 따라 AI 시스템을 허용할 수 없는 위험(unacceptable risk), 높은 위험(high-risk), 제한된 위험(limited risk) 및 최소 위험(minimal/no risk)으로 분류하고 있다. 세바스티앙 바로스 베일(Sebastião Barros Vale)은 유럽연합 인공지능법이 효력을 발생하기 전인 2022년에 자동화된 의사결정(ADM)과 관련된 일반데이터보호규정(GDPR) 조항과 AI 법안 사이의 연관성을 다음과 같이 정리하고 있다22): ① 어떻게 공급자(provoders) 및 사용자(users)에 대한 AI 법의 개념이 GDPR의 컨트롤러(controllers) 및 프로세서(processors)와 잘 비교될 수 있는지, ② 어떻게 AI법이 AI 시스템 배포자(deployers)의 GDPR 준수를 촉진할 수 있는지, ③ 자동화된 의사결정 법학(ADM jurisprudence)의 렌즈를 통해 AI법에 따른 의무를 강화하거나 명확히 할 수 있는 기회, ④ GDPR 시행 판례와 AI법의 금지 관행 또는 고위험 사용 사례 간의 중복적 겹칩, ⑤ GDPR 및 AI법에 따른 배상 문제. 유럽연합에서 인공지능법이 발효됨에 따라서 신용평가와 같은 평가점수사정에 인공지능을 사용하는 경우 추가 요구 사항이 규제될 것과 관련하여 2025년 1월 18일 고인이 된 위르겐 태거 (Jürgen Taeger)교수는 평가점수산정은 AI 규정 초안의 별첨 III 제5호 문자(lit.) b 채점은 "고위험" 응용 프로그램으로 분류되고, 이에 대해서 많은 제한이 부가될 것이다라고 전망을 하였다23).

일반데이터보호규정(GDPR)은 자동화된 의사결정(ADM) 프로세스의 투명성 보장요구를 충족시키기 위하여 데이터 처리자인 데이터 컨트롤러(data controller)가 자동화된 의사결정에 적용되는 알고리듬에 적용되는 논리(logic)와 이러한 자동화된 의사결정과정의 중요성과 결과를 공개할 것을 요구한다. 일반데이터보호규정(GDPR) 제13조, 제14조, 제15조는 기업이 처리되는 데이터와 의사결정에 영향을 미치는 판단기준에 대해 개인에게 의미 있는 정보를 제공하도록 의무화함으로써 이러한 투명성 보장을 강화하고 있다. 이러한 일반데이터보호규정(GDPR)의 자동화된 의사결정에 대한 규제 프레임워크는 자동화된 의사결정 속에 내포되어 있는 잠재적 위험을 완화하고, 자동화된 의사결정 프로세스가 특히 개인의 삶에 큰 영향을 미칠 수 있는 결정을 만들어 내는 경우, 이러한 결정이 개인의 권리를 침해하지 않도록 하기 위해 고안된 것이다24). 우리나라의 개인정보 보호법 제37조의 제2항은 개인정보처리자가 자동화된 결정을 한 경우에 그 결정에 대하여 설명 등을 요구할 수 있는 정보주체의 권리를 인정하고 있다. 동법 제37조의 제4항은 개인정보처리자의 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개해야 할 의무를 규정하고 있다.

자동화된 의사결정에 의한 의사결정 프로세스로 인하여 데이터 주체에게 부정적 영향을 미치는 결정이 내려진 경우에 데이터 주체를 이로부터 보호하기 위하여 일반데이터보호규정(GDPR) 제22조는 데이터 주체의 프로파일링을 포함한 자동화된 처리에만 근거한 결정에 근거하여 자신에 대하여 법적 효력을 발생시키거나 이와 유사하게 중대한 영향을 미치는 프로파일링을 포함한 전적으로 자동화된 처리과정에 근거한 결정의 대상이 되지 않을 권리를 보장하고 있다. 이 권리는 데이터 주체에게 부정적 영향을 미치는 자동화된 처리과정에 근거한 의사결정이 가지는 특별히 높의 위험과 잠재적인 위험발생가능성으로부터 데이터 주체를 보호하기 위한 것이다. 따라서 자연인에 의한 최종적 의사결정권한 보장되지 않은, 전적으로 자동화된 처리에 근거하여 만들어진 의사결정은 관련당사자인 데이터 주체의 권리를 침해하거나, 이와 유사한 결과를 발생시키는 결정의 근거가 될 수 없다25).

일반데이터보호규정(GDPR) 제22조 제1항은 제2항 속에 규정된 예외적인 사유인 (a) 데이터 주체와 정보처리자인 데이터 컨트롤러 간의 계약 체결 또는 이행에 필요한 경우, (b) 데이터 컨트롤러가 구속되고, 데이터 주체의 권리, 자유 및 정당한 이익을 보호하기 위한 적절한 조치를 규정하고 있는 유럽연합 또는 국내법에 의해 허용된 경우, (c) 데이터 주체의 명시적 동의가 있는 경우 해당하고, 제22조 제2항 문자 (a) 및 (c)에 언급된 경우, 데이터 컨트롤러는 정보주체의 권리, 자유 및 정당한 이익을 보호하기 위해 적절한 조치로서, 정보처리자인 데이터 컨트롤러는 데이터 주체가 결정을 수정할 수 있는 영향을 미칠 수 있도록 예방 조치를 취할 의무의 부담자로서 데이터 주체가 컨트롤러에 대하여 개입을 구할 수 있는" 권리로서 데이터 주체가 자신의 견해를 제시하고 결정에 이의를 제기할 수 있는 권리를 보장해야 한다26). 따라서 일반데이터보호규정(GDPR) 제22조는 제2항 속에 규정된 특정 조건이 충족되지 않는 한 프로파일링을 포함하여 자동화된 처리에만 근거한 결정의 대상이 되어서는 안 된다는 것을 명확히 하고 있다. 이러한 조건에는 자동화된 의사결정이 계약이나, 유럽연합법이나 국내법에 의하여 인정되거나 개인의 명시적 동의에 의하여 필요한 경우에 해당된다27).

유럽연합법원(Court of Justice of the European Union (CJEU))은 2023년 12월 7일 Schufa 판결28)에서 신용평가기관인 Schufa가 수학적-통계적 방법을 사용하여 계산한 신용평가점수의 사용에 데이터 보호법적 관점에서의 법적인 평가를 하였다. 독일 비스바덴 행정법원(Verwaltungsgericht Wiesbaden)이 당해 사건에서 적용되는 유럽연합법의 해석을 유럽연합법원에 구하는 유럽연합의 기능에 관한 조약 제267조에 의하여 청구한 사전결정절차(preliminary reference procedure/Vorabentischeidungsverfahren)에 대한 재판에서, 신용평가기관이 자신들의 업무협력 파트너인 은행과 같은 신용대부기관들을 위하여 그들의 잠재적 고객인 신용대출신청자에 대한 부정적 평가를 하여서, 이 잠재적 고객과의 계약거부를 초래하게 만드는 신용평가점수계산이 유럽연합의 일반데이터보호규정(General Data Protection Regulation/GDPR) 제22조 제1항의 프로파일링을 포함한 자동화된 개별적 결정(automated individual decision-making, including profiling)에 해당하는지 여부에 대하여 검토하였다. 디지털 사회에서 헌법에 의하여 보장된 개인의 자유는 더 이상 전적으로 국가의 공권력에 의하여 침해되지만 않는다. 오히려 국가외적인 조직과 제도들 특히 사적인 조직인 거대한 글로벌 디지털 기업에 의한 침해의 위협에 직면한다29).

Ⅲ. 유럽연합연합법원의 Schufa 판결이 내려진 배경에 대한 설명

개인정보(personal data/personenbezogene Daten/données à charactère personnel)는 일반데이터보호규정(GDPR) 제4조 제1호 그리고 유럽연합 규정 2018/1725 (Regulation (EU) 2018/1725) 제3조 제1호에 의하면 그 정보가 자연인의 사적영역 내지 은밀한 영역 혹은 다른 영역들에 해당하는지 여부에 관계없이 특정한 혹은 특정가능한 자연인에 대한 모든 정보들이 개인관련정보로 분류될 수 있다30). 그 정보가 민감한 정보인지 여부는 중요한 역할을 하지 않는다. 연봉이나 소득 그리고 재산세 납부와 같은 직업과 관련된 정보도 동 기본권의 보호범위에 들어간다31). 일반적 신용보호 공동체(Schutzgemeinschaft für allgemeine Kreditsicherung)의 약자명칭인 Schufa는 소비자에 대한 정보를 수집하고, 처리하기 위하여 독자적으로 활동하는 기관이 아니라, 국가의 업무위임을 통해서가 아닌, 자신의 협력파트너(제3자)인 소비자와 계약체결을 하거나, 하였거나 혹은 하게 될 회사의 위임을 통해서 행위를 하는 사적인 회사이다. Schufa의 핵심권한은 시민의 정보를 처리하여 그의 금전지불능력에 대한 평가, 즉 신용평가를 하는 것이다. 이를 위하여 컴퓨터 프로그램을 통해서 얻어진 알고리듬인, 이른바 채점(Scoring)을 통해서 획득된 일종의 점수부여체계가 투입된다. 이렇게 획득된 점수가 Schufa에 의하여 작성된 신용평가 보고서의 토대가 된다32).

신용대부와 관련된 채권자 보호기관으로서 Schufa는 모든 소비자들의 은행계죄개설의 전제조건으로서 Schufa에 통지할 것을 요구하고 있다. 이를 통해서 Schufa는 은행계좌를 개설한 모든 소비자들의 신용정보를 수집할 수 있다33). 이러한 Schufa 절차는 은행이 대출시민의 부정적 특성을 독일 Wiesbaden에 있는 민간신용평가기관인 Schufa Holding AG에 전송하는 것과 관련이 있다. 이와 관련된 데이터 교환은 은행과 고객의 이익의 보호 뿐만 아니라 독일민법(Bürgerliches Gesetzesbuch(BGB)) 제505a조 속에 규정된 소비자 대출 계약에 있어서 차용인의 신용도 평가를 이행해야될 의무와 신용기관에 관한 법률(Gesetz über das Kreditwesen (Kreditwesengesetz - KWG)) 제18조에 의한 신용문서수집과 관련된 의무를 이행하는데 기여한다34).

이렇게 Schufa는 모든 소비자들의 개인정보를 수집하고, 처리하기 때문에 개인정보 보호법이 Schufa의 정보수집과 처리에 대해서 적용된다. 따라서 이에 대해서는 유럽연합의 일반데이터보호규정(GDPR), 독일 연방정보보호법(Bundesdatenschutzgesetz(BDSG)) 그리고 독일민법(BGB)이 적용된다. 일반데이터보호규정(GDPR)과 독일 연방정보보호법의 경합적 적용과 관련하여 2018년에 발효된 유럽연합-명령(EU-Verordnung)인 일반데이터보호규정(GDPR)이 유럽법의 직접효에 의하여 국내법인 독일 연방정보보호법 보다 우선적으로 적용된다. 따라서 두 법률 사이의 모순과 흠결은 일반데이터보호규정(GDPR)에 유리하게 해석해야만 하기 때문에, 독일데이터 보호법은 일반데이터보호규정(GDPR)에 맞게 조정해야될 필요성이 발생한다. 그럼에도 불구하고 유럽연합법원은 2023년 12월 7일의 Schufa 결정 속에서 이러한 양 법률 사이의 조정이 항상 조화롭게 이루어지는 것은 아니라고 지적하고 있다35).

이와 관련하여 현재는 유럽연합의 일반데이터보호규정(GDPR)이 적용된다. 따라서 독일에서 임대계약, 휴대전화제공계약 혹은 전기공급계약을 체결할 때, 은행, 통신서비스 또는 에너지 공급업체는 Schufa와 같은 민간신용정보기관에 개인의 신용도에 대해서 문의를 하게 된다. 이에 대하여 신용정보기관은 이른바 관련자가 얼마나 지불의무를 잘 이행하고 있는지에 대한 자신들의 점수평가점수를 그들에게 제공한다. 따라서 민간신용기관의 신용평가점수가 낮은 경우에는 관련자는 관련계약의 체결이 어려워 진다. 이와 관련하여 Schufa와 같은 신용평가기관의 신용보고서(Schufa-Bonitätsauskunft)에 의한 지불능력에 대한 평가, 즉 신용평가점수의 부족으로 인하여 대출이 거부된 독일시민들이 이와 관련된 소송을 법원에 제기하게 된 것이 유럽연합법원의 Schufa 결정이 내려진 배경이 되었다36).

관련당사자들은 신용평가 보고서가 작성되는 실무적 관행 뿐만 아니라 공적인 등록서류에서 가져온 부채면제허용에 대한 정보를 공적정보를 저장하고 있는 것과 관련하여 신용정보회사에 대하여 소송을 제기하였다. 신용정보회사가 은행과 같은 고객에 대하여 전달하는 신용정보회사가 작성한 신용평가점수의 중요한 근거가 되는 고객의 잔여채무 면제 승인에 대한 정보를 신용정보회사는 공공등록부의 저장기간인 6개월 보다 훨씬 긴 3년 동안 저장하여 보관하였다.

개인신용정보제공기관으로서 Schufa는 독자적 데이터베이스를 가지고 있는 공공등록부의 잔여채무면제와 관련된 정보를 기록하고 보관한다. 이러한 정보는 등록 후 3년이 지난 후 독일에서 신용 정보를 제공하는 기관협회에 의하여 제정되고, 관할 감독 기관이 승인한 행동 강령에 따라 삭제된다37). 이에 대해서 유럽연합법원(Court of Justice of the European Union (CJEU))은 이제 ECJ는 잔여부채무 면제 승인에 대한 정보에 대한 채점을 통한 점수부여와 이 정보 6개월의 기간을 넘어서는 3년의 기간 동안의 저장 모두 일반데이터보호규정(GDPR)을 위반한다고 결정하였다.

2023년 12월 7일 유럽연합법원은 독일 신용 조사 기관에 대한 판결을 내렸다38). 유럽연합법원은 이 판결 속에서 독일 비스바덴 행정 법원(Verwaltungsgericht Wiesbaden)이 사전결정절차(preliminary reference procedure)를 통해서 제기한 유럽연합의 일반데이터보호규정(GDPR))의 해석의 요구에 대해서 판단하였다. 독일법원의 사전결정절차 청구는 일반데이터보호규정 제6조 제1항 그리고 제22조의 해석과 관련된 것이었다.

자신들의 파산 절차와 관련하여, UF와 AB는 각각 2020년 12월 17일과 2021년 3월 23일에 내려진 법원의 결정에 의하여 자신들의 잔여 채무를 조기에 탕감받게된 UF와 AB는 이러한 자신들의 법원의 결정에 의한 잔여채무 탕감사실에 대한 인터넷 상의 공식적 게시가 파산법(Insolvenzverordnung) 제9조 제1항과 파산절차의 공시 및 인터넷상의 재구성에 관한 명령(Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren und Restrukturierungssachen im Internet (InsBekV) 제3조 제1항, 제2항에 의하여 6개월 후에 중단되었다39). 이러한 6개월간의 잔여채무면제 기록의 공공등록부 게시기간에도 불구하고 Schufa의 3년 동안의 보관으로 인하여 Schufa가 제공한 자신들의 부정적인 신용평가보고로 인하여 제3자와의 신용계약이 거부된 것으로 추정되는 UF와 AB는 자신들의 잔여채무면제에 대한 법원의 결정기록의 등재를 삭제를 Schufa에 요청하였다. 이러한 그들의 요청에 대해서 Schufa는 자신들의 정보제공은 일반데이터보호규정(GDPR)을 준수하여 실행된 것이고, 이에 대해서는 파산절차의 공시 및 인터넷상의 재구성에 관한 명령(InsBekV) 제3조 제1항 속에 규정된 6개월의 게시기간규정이 않는다고 설명한 후 그들의 요청을 거부하였다40). 이에 대해서 UF와 AB는 Schufa Holding AG에 대한 감독기관인 헤센주 데이터 보호 및 정보자유 담당관(Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI))에게 원고의 정보의 안내와 삭제를 요구하는 소원(complaint/Beschwerde)을 청구하였다41). 이러한 Schufa가 보관하고 있는 자신들의 개인정보의 안내와 삭제요구 소원청구가 Schufa의 데이터 처리를 적법하게 평가한 헤센주 데이터 보호 및 정보자유 담당관(HBDI)에 의하여 거부되자, 이러한 거부통지에 대하여 그들은 일반데이터보호규정(GDPR) 제78조 제1항에 의하여 비스바덴 행정법원(VG Wiesbaden)에 소송을 청구하였다42).

소송의 원고들은 Schufa의 신용평가점수 산정과 관련된 수학적-통계적 산정방법에 대한 정보공개 요청을 Schufa가 거부한 것과 관련 Schufa의 점수 모델 속에서의 개별 변수들(Variablen) 및 가중치(Gewichtung)에 대한 정보를 제공하지 않은 것과 관련하여 비스바덴 행정 법원에 소송을 제기했다. 비스바덴 행정법원은 Schufa의 신용점수산정이 일반데이터보호규정(GDPR) 제22조의 자동화된 의사결정에 해당하는지 여부에 대한 해석을 유럽연합법원에 요청하였다. 이것은 헤센주 데이터 보호 및 정보자유 담당관(HBDI)가 청구인들의 소원들을 기각한 입장과는 명백히 반대되는 것이었다43).

유럽연합법원은 이와 관련하여 Schufa의 신용평가점수산출이 일반데이터보호규정(GDPR) 제22조 제1항, 제15조 제1항 문자(lit.) h의 적용범위에 포함되는 결정으로 볼 수 있는지 여부에 대해서 검토해야만 했다. 이 문제는 신용평가점수 산정에 대한 적용된 계산방법의 논리적 적용과정에 대한 설명의무 (GDPR 제15조 제1항 문자 h) 외에도 이에 대한 명백한 허가가 벌률을 통해서 인정된 경우가 아니라면 원칙적으로 그러한 행위는 인정될 수 없다는 허가유보가 포함된 금지(Verbot mit Erlaubnisvorbehalt) (GDPR 제22조 제1항)과도 관련성을 가진다44). 개인정보 보호법에서 허가유보가 포함된 금지는 당사자의 동의, 관련 법률규정, 정당한 이익 등 예외를 인정하는 법적 근거가 명백히 인정되지 않는 한 일반적으로 개인 데이터 처리가 금지되는 것을 의미한다. 허가 유보를 포함한 금지 원칙은 개인정보보호의 핵심 구성 요소로서 개인 데이터가 정당한 이유 없이 처리되지 않는 것을 보장한다.

일반데이터보호규정(GDPR) 제22조 제1항은 개인이 자신에 대하여 법적 효력을 발생시키거나 혹은 이와 유사하게 중대한 영향을 미치는 프로파일링(Profiling)을 포함한 자동화된 처리에 근거한 의사결정에 종속되지 않을 권리를 규정하고 있다. 프로파일링을 어떤 독자적 결정이 내려지기 전에 사전에 판단할 정보를 파악하는 사전적 진행과정으로 파악하는 입장과 일반적으로 프로파일링으로 알려진 관련정보 처리와 연계된 결정을 프로파일링으로 이해하는 입장이 존재한다45). Schufa와 같은 신용정보기관의 점수산정은 프로파일링으로 분류된다. 이 사건 속에서 일반데이터보호규정(GDPR) 제22조 제1항의 결정(decision)의 대상이 되는 행위는 점수산정에 있는 것이 아니라, 예를 들면 은행과 같은 신용 기관과 같은 다른 제3자에 대한 후속적 행위이다. 신용평가기관의 신용평가점수를 다른 제3자인 신용대부기관에 알려주는 것을 통해서, 그 신용평가점수는 제3자의 후속적 결정에 영향을 미친다. 왜냐하면 이 경우 완전히 제3자인 은행과 같은 신용대부기관은 신용평가기관의 데이터와 신용평가모델의 신용평가의 내부적 논리에 대한 접근과 인식을 할 수 없기 때문이다46).

Ⅳ. 유럽연합법원의 판결의 내용

자신의 계약파트너인 은행에 소비자의 신용도에 대한 정보를 제공하는 민간회사인 Schufa가 자신에 대한 부정적 정보를 전달하여 은행대출이 거부된 OQ는 Schufa에게 등록된 자신의 정보를 보내고, 부정확한 것으로 의심되는 일부정보를 삭제할 것을 요청하였다47). 유럽연합법원은 사전결정절차(preliminary reference procedure)를 신청한 비스바덴 행정법원의 첫 번째 질문인 일반데이터보호규정(GDPR) 제22조 제1항이 신용 정보 기관이 개인과 관련된 개인 데이터에 근거를 둔 그리고 미래에 채무지불책임을 충족시킬 수 능력에 관한 확률값을 자동적으로 도출하고, 이렇게 도출된 확률값을 전송받은 제3자 (예컨대 은행)이 잠재적 고객인 소비자와 대출계약과 같은 계약관계를 체결, 이행 그리고 종료하기 위하여 그 확률값을 강력하게 활용하면 자동화된 개별적 의사결정을 구성한다고 해석되어야만 하는지 여부에 대해서 판단해야만 했다48). 즉 이것은 신용평가기관이 자동화된 처리과정을 통해서 발행한 신용평가점수를 제3자인 은행이 자신의 잠재적 고객과의 계약체결여부에 대한 판단에 강력하게 활용할 경우 일반데이터보호규정(GDPR) 제22조 제1항에 의하여 허용되지 않는 프로파일링을 포함한 자동화된 개별적 의사결정에 해당하는지 여부에 대한 판단이다.

이와 관련된 판단에 있어서 유럽연합법원은 순수하게 자동화된 처리에 근거한 의사결정의 잠재적 위험과 알고리듬적 차별과 관련하여 일반데이터보호규정(GDPR) 제22조의 보호목적은 보다 광범위하게 해석되어야 한다고 보면서, 유럽연합법의 해석은 그 법조문의 문구적 표현 뿐만 아니라 그 문구의 맥락적 의미(context), 전체 법률이 추구하는 목표와 목적까지 고려해야 한다는 점을 강조하고 있다49). 이러한 해석적 관점에서 유럽연합법원은 일반데이터보호규정(GDPR) 제22조 제1항 속에 규정된 데이터 주체가 자신에 대하여 법적 효과를 발생시키거나 혹은 이와 유사하게 자신에게 영향을 미치는 프로파일링을 포함한 자동화된 처리에 근거한 의사결정의 대상이 되지 않을 권리가 적용되기 위한 세가지 누적적 조건들(cumulative conditions)을 다음과 같이 설정하고 있다50): 첫째, '결정(decision)'이 있어야 하고, 둘째, 해당 결정이 '프로파일링을 포함한 자동화된 처리에만 전적으로 근거'해야만 하며, 셋째, 이해 당사자와 관련된 법적 효과를 발생시키거나' 또는 '이해 당사자‘에게 이와 유사하게 상당한 영향을 미쳐야만 한다. 따라서 Schufa의 사례와 같이 인공지능에 의한 전자적 처리방식을 적용하여 특정한 점수값에 도달하지 못했다는 이유로 자동으로 거부결정이 내려지는 경우에는 당연히 일반데이터보호규정(GDPR) 제22조의 자동화된 의사결정에 해당된다51).

유럽연합법원은 자동화된 처리에 의한 의사결정 속의 결정(decision)개념의 광범위한 적용범위에 대한 해석으로서 일반데이터보호규정(GDPR) 내에서 법적 구속력이 있는 조항에 대한 맥락(context)과 해석을 제공하는 주석으로서 일반데이터보호규정 리사이틀 71(GDPR Recital 71)을 들고 있다52): 「정보주체는 결정의 대상이 되지 않을 권리를 가지며, 이러한 결정에는 오로지 자동화된 처리에만 근거하여 자신과 관련된 개인적 측면을 평가하는 조치가 포함될 수 있으며, 이러한 조치는 정보주체에 관한 법적 효력을 발생시키거나 인적 개입 없이 온라인 신용신청의 자동 거부 또는 전자모집 관행과 같이 정보주체에게 중대한 영향을 미칠 수 있다.」

일반데이터보호규정 리사이틀 71(GDPR Recital 71)은 이러한 자동화된 처리에 해당되는 경우로서 「자연인과 관련된 개인적 측면을 평가하는 개인 데이터의 모든 형태의 자동 처리로 구성되는 '프로파일링'이 포함되며, 특히 데이터 주체의 업무 성과, 경제적 상황, 건강, 개인적 선호도 또는 관심사, 신뢰성 또는 행동, 위치 또는 이동과 관련된 측면을 분석 또는 예측하기 위한 '프로파일링'」을 들고 있다.

일반데이터보호규정(GDPR) 제4조 제4항은 프로파일링(profiling)의 개념을 다음과 같이 정의하고 있다: 「'프로파일링'은 어떤 자연인과 관련된 확실한 개인적 측면을 평가하기 위해, 특히 자연인의 업무 성과, 경제적 상황, 건강, 개인적 선호도, 관심사, 신뢰성, 행동, 위치 또는 이동과 관련된 측면을 분석하거나 예측하기 위해 개인 데이터를 사용하는 것으로 구성된 어떤 형태의 개인 데이터 자동 처리」. 유럽연합법원은 Schufa의 신용평가점수의 도출이 어떤 개인과 관련된 개인 데이터와 그 개인의 미래의 대출 상환 능력을 근거로 한 확률 값을 자동적 처리에 의하여 확정한 것이기 때문에 프로파일링에 해당한다고 보았다53).

Schufa는 자신들은 단지 자신들의 평가시스템에 의하여 자동적으로 산출된 신용평가점수를 은행에 제공했을 뿐이지, 대출거부에 대한 최종적 결정은 은행이 내렸기 때문에 일반데이터보호규정(GDPR) 제22조에 의한 자동화된 처리에 의사결정이 아니라고 주장하였다. 따라서 이 재판에서 논의된 핵심적 논의점은 이러한 유형의 간접 자동화, 특히 인간 운영자가 의사 결정의 일부에 관여하는 경우에도 일반데이터보호규정(GDPR) 제22조 제1항이 적용될 수 있는지 여부에 대한 판단이었다54). 이와 관련하여 유럽연합법원는 세 번째 누적적 조건이 자동화된 처리에 의한 결정이 관련당사자인 데이터 주체에 대하여 '법적 효력'을 발생시키거나. 그 사람에게 '그와 유사한 현저한' 영향을 미쳐야 한다는 조건 역시 소비자가 대출 신청서를 은행에 보낸 경우, Schufa에 의하여 전송된 부정적인 확률 값으로 인하여 거의 대부분의 경우에 해당 해당은행이 대출 신청을 거부하게 되기 때문에 충족된 것으로 보았다55). 따라서 이러한 결정이 평가프로그램에 의하여 전적으로 자동적으로 결정된 것은 아니라 할 지라도, 신용대출기관이 Schufa가 보내준 신용평가서에 의하여 자동적으로 신용대출의 거부를 실행했다면, 일반데이터보호규정(GDPR) 제22조와 신용평가서에 의한 신용대출의 거부에 대해서 규정하고 있는 독일연방정보보호법(BDSG) 제30조가 적용되는 경우에 해당된다56).

우리나라의 역시 자동화된 의사결정의 대상이 되지 않을 권리의 보장을 개인정보 보호법에 제37조의2 속에 규정하고 있음에 따라, 신용정보회사들의 컴퓨터에 심어진 인공지능 등에 의한 정보처리장치를 통해서 신용평가를 하는 것과 관련하여 신용정보의 이용 및 보호에 관한 법률 (신용정보법) 제36조의2 속에 자동화평가 결과에 대한 설명 및 이의제기 등에 관한 권리를 인정하고 있다. 이 법규정 속에서 “자동화평가”의 절차, 기준 및 방식 등에 관한 설명요구권, 정보제출권 및 이의제기권(기초정보의 정정・삭제요구 및 재처리요구권)은 인정되고 있으나(신용정보법 제36조의2 제1항, 제2항), 신용정보주체의 “거부권”을 인정되지 않고 있다57),

Ⅴ. Schufa 판결의 평가

유럽연합법원은 신용 정보 기관이 제공한 대출신청인의 신용정보에 대한 확률값을 제3자인 은행이 신용대출계약의 체결, 이행 혹은 종료에 강력하게 활용하는 경우에는 일반데이터보호규정(GDPR) 제22조 제1항의 '자동화된 개별적 의사 결정'에 해당된다고 판시하였다58). 따라서 은행업무 담당자와 업무처리와 같은 인간행위의 행위가 최종적으로 개입되었다 할 지라도, 그것이 특별한 의미가 없는 한에서는 자동화된 의사결정에 해당된다고 보는 것이 유럽연합법원의 판례의 핵심적 내용이라고 볼 수 있다.

이와 관련하여 카탸 랑엔부허(Katja Langnenbucher) 교수는 첫 번째 언론대응에서 Schufa는 자신들이 설문조사한 신용기관들은 어떤 경우이든 자신들이 제공한 신용평가점수를 대출보장에 대한 독자적 결정의 근거로 활용하지 않는다는 주장하였다는 것을 주목하면서, 유럽연합법원의 판례가 은행들이 Schufa의 보고서가 바로 은행대출계약에 결정적 영향을 미치지 않는 예외적 상항에 대한 고려가 없음을 지적하고 있다. 랑엔부허(Langenbucher) 교수는 이러한 상황전개는 비스바덴 행정법원(Verwaltungsgericht Wiesbaden)이 유럽연합법원에 사전결정절차를 신청하게된 입장과도 상반되는 것이고, 이로 인하여 미래의 소송 청구인들에게 상당한 법적 불확실성이 발생했다는 것을 지적하고 있다59).

그럼에도 불구하고 발레리아 카포리오(Valeria Caforio)와 와 페데리카 파올루치(Federica Paolucci)는 Schufa 판결은 일반데이터보호규정(GDPR) 제22조의 적용범위를 자동화된 결정의 범위를 자동화된 처리에 의한 의사결정에 영향을 받은 인간의 결정영역까지 확대하였는다는 점을 강조하고 있다. 그들은 자동화된 의사결정(ADM) 시스템은 특히 신용 평가에 사용될 때 의미 있는 투명성과 인간의 감독 없이는 작동할 수 없다는 생각을 강화시키고, 자동화된 시스템이 개인에게 영향을 미치는 결정에서 중요한 역할을 하는 경우, 해당 개인은 그러한 결정이 어떻게 이루어지는지 알고 필요한 경우 이의를 제기할 권리가 있다60)는 점을 지적하면서 인간 개입의 중요성을 강조했는 점에서 Schufa 판결은 일반데이터보호규정(GDPR)에 따라 자동화된 의사결정(ADM)의 적용범위를 판단하는 중요한 선례가 된다고 보고 있다61).

일반데이터보호규정(GDPR) 제15조는 데이터 주체는 컨트롤러로부터 자신에 관한 개인 데이터가 처리되고 있는지 여부에 대한 확인을 받을 권리로서 데이터 주체의 개인정보와 다양한 정보들에 대한 액세스권(right of access by the data subject)을 규정하고 있다. 유럽연합법원은 일반데이터보호규정(GDPR) 제15조 제1항 문자 h에 언급된 「일반데이터보호규정(GDPR) 제22조 제1항 및 제4항에 언급된 프로파일링을 포함한 자동화된 의사 결정의 존재, 그리고 적어도 그러한 경우 관련된 논리에 대한 의미 있는 정보, 데이터 주체에 대한 이러한 처리의 중요성 및 예상되는 결과」에 대한 데이터 주체의 컨토롤러에 대한 안내요구권을 가진다는 점을 지적하고 있다62).

Schufa 결정에서 문제가 된 신용평가점수 산정의 근거가 된 수학적-통계적 방법에 적용된 논리의 공개는 바로 GDPR 제15조 제1항 문자 (h) 속에 규정된 자동화된 처리에 의한 의사결정에 관련된 논리에 대한 중요한 정보에 대한 접근권 즉 안내요구권(Auskunfsanspruch)의 인정의 문제이다. 안내요구권이 대상이 되는 알려주어야 하는 사항은 자동화된 의사결정이 내려진 사실 뿐만 아니라 결정에 사용된 논리에 대한 신빙성 있는 정보 그리고 관련된 결정의 적용범위이다63). 우리나라 개인정보 보호법 제37조의2 제4항은 개인정보처리자가 정보주체가 쉽게 확인할 수 있도록 공개해야 할 사항으로 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 규정하고 있다.

일반데이터보호규정(GDPR) 제22조와 결부된 제15조 제1항 문자 h가 어느 정도까지 이른바 설명요구권(right to explanation), 즉 자동화된 처리에 의한 의사결정에 사용된 논리에 대한 논증과 설명의무(Begründungs- und Darlegungspflicht)를 포함하고 있는지에 대해서는 격렬한 논쟁이 제기되었다. 로렌츠 프랑크(Lorenz Frank) 교수는 일반데이터보호규정(GDPR) 제15조 제1항 문자 h의 문구는 이러한 권리의 광범위한 확대시도를 인정하지 않는 것으로 보인다고 하면서, 데이터 주체의 신용평가 등과 같은 자동적 처리에 의한 의사결정에 적용된 논리에 대한 설명과 일반데이터 보호규정(GDPR) 제22조 제3항에 의한 자동화된 의사결정에 대한 이의제기는 컨트롤러가 이와 관련된 논증자료를 제공하고, 정보처리기술에 의하여 유발된 정보비대칭(technikinduzierte Informationsasymmetrie)이 제거된 경우에만 가능하다고 보고 있다64). 자동화된 처리에 의한 의사결정에 사용된 인공지능에 의한 정보처리 기술이 알고리듬 편향성을 보여서 모든 당사자에게 정확한 정보에 근거한 결정이 내려질 수 있는 동등한 기회가 보장되지 못한다면, 이것은 경쟁의 왜곡과 비효율적인 결과의 초래로 이어질 수 있다.

단지 신용평가점수(Scoring)만 제공되고 Schufa 판례에서 문제가 된 확률값(probablity value/Wahrscheinlichkeit-Werte)과 같은 점수값(Score-Werte)이 제공되지 않는 경우, 이러한 가상적 점수값에 안내요구권이 주장될 수 있다. 설사 일반데이터보호규정(GDPR) 제15조 제1항 문자 h에 이에 대한 안내요구권이 직접적으로 도출될 수 없다고 할 지라도, 이러한 확률값과 같은 점수값이 자동화된 처리에 의한 의사결정의 확정에 어느 정도까지 영향을 미쳤는지 여부에 대한 판단이 이 권리의 도출에 매우 중요하다고 볼 수 있다. 왜냐하면 이러한 권리의 적용범위와 이러한 권리의 인정을 통해서 나타난 법적 효과는 관련 당사자가 그 점수값의 의미에 대한 정당환 평가를 할 수 있는 경우에만 가능하다65), 따라서 확률값과 같은 점수값에 대한 접근권 즉 안내요구권 보장의 핵심적 관건은 정부주체가 정보처리 프로세스를 이해하고 개입할 수 있는 능력을 가지고 있어야만 한다.

은행과 같은 비즈니스 고객의 신용조회에 따른 신용평가기관의 신용평가는 자신의 데이터베이스에 저장된 데이터를 기반으로 인정된 수학적 통계적 방법에 따라 행해진 신용평가점수를 바탕으로 형성된 신용 등급을 고객에게 전송하는 형태로 행해진다. 신용평가보고서와 채점은 서로 구분되고, 신용평가점수가 반영된 신용평가 보고서는 채점과정의 결과이다. 독일 연방정보보호법(BDSG) 제31조 제1항은 채점을 "자연인과 관련된 계약 관계의 체결, 실행 또는 종료를 결정할 목적으로 이 자연인의 어떤 특정된 미래 행동에 대한 확률 값을 사용하는 것"으로 정의하고 있다. 채점은 데이터 컨트롤러의 데이터만 사용하여 점수를 계산하는 내부 채점과 신용평가기관에서 평가를 수행하는 외부 채점으로 구분된다. Schufa의 신용평가 보고서 제공행위는 외부채점에 해당한다66). 신용평가점수의 채점은 결정에 중요한 영향을 미치는 알고리듬(algorithm) 형태의 컴퓨터 프로그램에 의하여 행해진다. 2014년 독일연방법원은 Schufa가 개발한 채점절차의 공개와 관련하여, 특히 신용평가 보고서의 전제 조건인 이른바 점수식(Score-Formel)을 영업비밀(Geschäftsgeheimnis)로 공개할 필요가 없다고 결정하였다67).

Schufa는 소비자 파산절차가 실행된 후 잔여부채의 면제를 허가받은 소비자에 대해서는 두 번째로 최악의 기준가치를 할당하였다. 이러한 Schufa의 영업관행은 소비자 파산절차의 법적으로 규정된 목표와 양립할 수 없는 것이었다. 자신과 관련하여 법적 효력을 발생시키거나 유사하게 중대한 영향을 미치는 프로파일링을 포함한 자동화된 처리에만 근거한 의사결정의 결정의 대상이 되지 않을 데이터 주체의 권리 인공지능과 같이 알고리듬(algorithm)에 의하여 전자적으로 도출되는 의사결정 프로세스에도 적용되어야만 한다68). 이와 관련하여 독일 비스바덴 행정법원(Verwaltungsgericht Wiesbaden)은 오로지 컴퓨터 속에 심어진 알고리듬(algorithm)에 근거하여 실행되는 Schufa의 신용평가 점수채점이 이러한 조건에서 허용될 수 있는지 여부에 대한 판단과 관련하여 유럽연합법원에 사전결정절차를 청구하였다69). 이에 대하여 2023년 12월 7일 유럽연합법원은 소비자와의 신용대출계약의 체결에 관한 신용대출기관의 결정이 오로지 Schufa와 같은 신용평가기관의 신용평가점수에 근거하여 내려진 경우에는 일반데이터보호규정(GDPR)에 의하여 금지되는 개별 사례에서의 자동화된 의사결정에 해당된다는 명확한 입장을 표명하였다70).

유럽연합법원은 Schufa의 상업적 비밀 보장의 문제에 대한 직접적 언급은 하지 않았다. Schufa가 관리하는 자동적 신용평가점수 산출시스템에 따라 할당된 부정적 평가점수에 의하여 은행에 신청한 대출이 거부된 대출신청자가는 Schufa가 점수산출과정에 사용된 데이터와 논리에 대한 접근의 요구권 보장의 문제에 대한 의문을 제기하게 만든다. 유럽연합법원은 일반데이터보호규정(GDPR) 제22조의 의미와 적용범위를 강조한 첫 번째 결정인 Schufa 결정 속에서 GDPR 제22조 제1항의 데이터 주체의 프로파일링을 포함한 자동화된 처리에 의한 의사결정의 대상이 되는 않을 권리의 범위에 신용평가점수와 같은 어떤 특정한 특성이나 행동의 미래의 발생가능성을 결정하는 점수산정과정에 사용되는 점수산정 과정에 사용되는 확률값(probability values)을 포함시켰다71).

유럽연합법원은 GDPR 제22조 제1항의 적용범위에 확률값을 포함시키는 확대해석은 노동법적인 측면에서 인공지능에 사용되는 알고리듬의 적용에 의한 자동적 의사결정이 근로자에 대한 여러 가지 평가과정에도 적용될 수 있다는 점에서 이 판례는 매우 중요한 의미를 가진다. 이러한 상황에 대한 예측을 Asymina Aza는 “당신의 보스는 알고리듬이다(Your Boss Is an Algorithm)”라는 Antonio Aloisi와 Valerio De Stefano 책 속의 내용을 다음과 같이 언급하고 있다72): “인식(perceptions)은 데이터로 전환되고, 데이터는 평가점수가 되고, 평가점수는 순위가 되고, 순위는 영향을 미친다”, 이것은 마치 프로야구 등과 같은 스포츠 세계에서 통용되는 데이터에 의한 점수평가를 통한 순위산정을 바탕으로 프로야구선수들에 대한 연봉평가가 이루어지는 시스템이 근로영역에 그대로 도입되는 상황을 지적한 것이라고 볼 수 있다.

근로자의 채용, 작업장에 업무지시와 평가, 승진 그리고 해고 등과 관련된 중요한 결정들이 인공지능에 의한 알고리듬적 경영(algorithmic management)에 의하여 행해지는 노동관계 현실이 많이 확대되는 경우에는 일반데이터보호규정(GDPR)과 노동자와의 관련성은 증가된다73). 이러한 알고리듬 경영방식의 작동의 비밀유지가 회사의 영업비밀로 보호받는 다면, 이에 대한 투명성, 책임성 및 설명 가능성의 보장은 어렵게 된다74). 그로 인하여 노동계에서의 알고리듬 거버넌스(algorithmic governance)가 성립하게 된다75). 이러한 인공지능에 의한 자동화된 의사결정(ADMS)이 적용되는 알고리듬 거버넌스가 이전에는 주로 플랫폼 노동업무에만 한정된 것이 특히 Covid-19 팬데믹 이후 이전에 '오프라인' 작업 환경으로 간주되었던 환경인 공장과 창고, 사무실 그리고 회사의 접대영역까지 확대되었다76).

Ⅵ. 결론

독일시민들이 제기한 소송 절차를 심리하던 Wiesbaden 행정법원(Verwaltungsgericht)은 유럽연합법원에 대하여 사전결정절차를 신청하면서 당해소송절차에 적용되는 GDPR에 규정된 개인정보의 보호범위에 대하여 자세히 설명해 줄 것을 요청하였다. 이와 관련하여 유럽연합법원은 신용정보기관이 은행과 같은 신용대부기관이 소비자와 신용대부계약을 체결할 때 발생하는 채권자 위험의 평가와 관련하여 신용정보기관에 대하여 제기한 신용평가문의와 관련하여 신용정보기관이 수학적-통계적 방법을 사용하여 작성한 신용정보평가서에 대한 개인정보호보법적인 관점에서의 평가를 하였다.

처음의 소송절차에서 관련당사자들은 Schufa Holding AG에 대한 감독권을 가지고 있는 헤센주 데이터 보호 및 정보자유 담당관(Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI))에게 원고의 정보의 안내와 삭제를 요구하고, 점수평가에 적용된 논리와 점수계산의 적용범위에 대해서 알려줄 것을 청구하였다77). 이와 관련하여 유럽연합법원은 Schufa가 자신들의 고객인 은행을 위하여 부정적 평가가 수반된 신용평가점수를 제공하여 은행이 자신들의 잠재적 고객과의 대출계약을 거부하는 만드는 신용평가점수계산 시스템이 일반데이터보호규정(GDPR) 제22조 제1항에 의하여 허용되지 않는 개별 사례들 속에서의 자동화된 처리에 근거한 의사결정에 해당하지 여부에 대하여 판단하였다. 유럽연합법원은 "신용평가기관이 신용평가대상자에 대하여 취합된 정보를 바탕을 하여 산정진 신용평가점수를 그 이외의 추가적인 권고나 언급 없이 제3자(예를 들면 은행)에게 전송하고, 이 점수가 고객의 대출승인 계약체결에 결정적 영향을 미친다면, 이것은 일반데이터보호규정(GDPR)에 의하여 금지되는 개별 사례에서의 자동화된 의사결정에 해당된다고 보았다. 이와 관련하여 유럽연합법원은 개인에 대하여 법적 효력을 가지는 결정이 자동화된 의사결정에 의하여 처리되는 것은 허용될 수 없다는 것을 명백히 확정하였다. 유럽연합법원의 Schufa 판결이 근로자의 데이터 보호권에 대해서는 명백하게 언급하지 않았음에도 불구하고, 이 결정은 근로자의 채용, 업무평가, 승진 등 근로관계 영역에 있어서 알고리듬의 적용을 통한 자동화된 의사결정의 적용의 규제에 있어서 매우 중요한 의미를 가진다78).

Notes

1) Hans D. Jarass, Jarass, Charta der Grundrechte der EU, 4. Aufl., München 2021, EU- Grundrechte-Charta Art. 8 Rn, 2.

2) Jochen von Bernstorff, in: Jürgen Meyer/Sven Hölscheidt (Hrsg.), Charta der Grundrechte der Europäischen Union, EU-Grundrechtecharta, 6. Auflage 2024, GRC Art. 8 Rn. 1.

3) Bernsdorf, 위의 책, GRC Art. 8 Rn. 2.

4) Jarass, 앞의 책 (주 1), EU-Grundrechte-Charta Art. 8 Rn. 1.

5) Erläuterungen des Präsidiums des Europ. Konvents, ABl 2004 C 310-431); Jarass, EU- Grundrechte, München 2005, § 13 Rn. 1.

6) Council of Europe, Modernisation of the Data Protection “Convention 108”, https://www.coe.int/en/web/portal/28-january-data-protection-day-factsheet.

7) Council of Europe, New Guidelines on Artificial Intelligence and Data Protection, https://www.coe.int/en/web/data-protection/-/new-guidelines-on-artificial-intelligence-and-personal-data-protection.

8) Jarass, 앞의 책 (주 5), § 13 Rn. 1.

9) Jarass, 앞의 책 (주 1), EU-Grundrechte-Charta Art. 8 Rn, 2.

10) Philip Meissner/Yusuke Narita, Artificial intelligence will transform decision-making. Here's how, World Economic Forum Sep 27, 2023. https://www.weforum.org/stories/2023/09/how-artificial-intelligence-will-transform-decision-making/.

11) Sven Polenz, in: Jürgen Taeger/Jan Pohle, Computerrechts-Handbuch Werkstand: 40. EL März 2025, 132 Materielles allgemeines Datenschutzrecht Rn. 111.

12) Sven Polenz, in Jürgen Taeger/Jan Pohle, Computerrechts-Handbuch Werkstand: 40. EL März 2025, 132 Materielles allgemeines Datenschutzrecht Rn. 111.

13) 016년 4월 27일 유럽 의회 및 이사회의 지침(EU) 2016/680은 형사 범죄의 예방, 조사, 탐지 또는 기소 또는 형사 처벌의 집행을 목적으로 관할 당국에 의한 개인 데이터 처리 그리고 이러한 정보의 자유로운 이동 그리고 각료회의 기본 결정(Council Framework Decision) 2008/977/JHA 폐지에 관련된 자연인의 보호에 대한 2016년 4월 27일의 유럽의회와 각료회의의 유럽연합 지침(Directive (EU)) 2016/680 (Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA).

14) 016년 4월 27일 유럽 의회 및 이사회의 지침(EU) 2016/680은 형사 범죄의 예방, 조사, 탐지 또는 기소 또는 형사 처벌의 집행을 목적으로 관할 당국에 의한 개인 데이터 처리 그리고 이러한 정보의 자유로운 이동 그리고 각료회의 기본 결정(Council Framework Decision) 2008/977/JHA 폐지에 관련된 자연인의 보호에 대한 2016년 4월 27일의 유럽의회와 각료회의의 유럽연합 지침(Directive (EU)) 2016/680 (Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA).

15) Daniel Mundil, in: Heinrich Amadeus Wolff/Stefan Brink/Antje von Ungern-Sternberg (Hrsg.), BeckOK Datenschutzrecht, 52. Edition Stand: 01.02.2024, BDSG § 54 Rn. 2.

16) Kai von Lewinski, in: Heinrich Amadeus Wolff/Stefan Brink/Antje von Ungern-Sternberg (Hrsg.), BeckOK Datenschutzrecht, 52. Edition Stand: 01.05.2025, DS-GVO Art. 22 Rn. 1.

17) Lewinski, 위의 책, DS-GVO Art. 22 Rn. 1.1.

18) Georg Langheld/Christian Haagen, Einsatz Künstlicher Intelligenz bei unternehmerischen Entscheidungen Möglichkeiten, Pflichten und offene Fragen, NZG 2023, S. 1537.

18) Rechtsanwälte Dr. Georg Langheld, LL. M. (Univ. of Chicago), und Dr. Christian Haagen

19) Georg Langheld/Christian Haagen, 위의 논문, S. 1540.

20) Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act) (Text with EEA relevance).

21) European Commission, AI Act. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai.

22) Sebastião Barros Vale, GDPR and the AI Act interplay: Lesson from FPF’s ADM Case-Law Report, Future of Privacy Forum November 3, 2022. https://fpf.org/blog/gdpr-and-the-ai-act-interplay-lessons-from-fpfs-adm-case-law-report/s.

23) Jürgen Taeger, Externes Scoring als „automatisierte Entscheidung im Einzelfall“ über eine Kreditgewährung – zugleich Besprechung von EuGH, Urt. v. 7.12.2023 – C-634/21, BKR 2024, S. 47. 유럽연합 인공지능법 제54조와 일반데이터보호규정 제22조와 관계에 대해서는 다음의 논문을 참조, 주민호, 자동화된 의사결정에 대한 기본권의 실효적 보장 – EU AI법 제54조와 GDPR 제22조와의 관계를 중심으로 -, 법학논고 제82집, 경북대학교 법학연구원 2023, 63-88면.

24) Valeria Caforio/Federica Paolucci, The Rise of Automated Decision-Making and Its Legal Framework, Media Laws November 18, 2024. https://www.medialaws.eu/the-rise-of-automated-decision-making-and-its-legal-framework/.

25) Sebastian Schulz, in: Peter Gola/Dirk Heckmann, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz: DS-GVO/BDSG VO (EU) 2016/679, 3. Aufl., München 2022, DS-GVO Art. 22 Rn. 1.

26) Schulz, 위의 책, DS-GVO Art. 22 Rn. 32.

27) Lee A Bygrave, “Article 22 Automated Individual Decision-Making, Including Profiling,” in The EU General Data Protection Regulation (GDPR): A Commentary, ed. Christopher Kuner et al. (Oxford University Press, 2020), 0, https://doi.org/10.1093/oso/9780198826491. 003.0055; Caforio/Paolucci, The Rise of Automated Decision-Making and Its Legal Framework, Media Laws November 18, 2024. https://www.medialaws.eu/the-rise-of-automated-decision-making-and-its-legal-framework/.

28) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21.

29) Hans-Jürgen Papier, Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, S. 3025.

30) Jarass, 앞의 책 (주 1), EU-Grundrechte-Charta Art. 8 Rn. 6.

31) Jarass, 앞의 책 (주 1), EU-Grundrechte-Charta Art. 8 Rn. 7.

32) Ulrich Wiedemann, Die Schufa-Bonitätsauskunft, VuR 2024, S. 174.

33) Wiedemann, 위의 논문, S. 174

34) Klaus J. Hopt, in: Hopt, Handelsgesetzbuch: HGB, Bd. 9, 4. Aufl., München 2025, 2. Teil. VI. (7) Rn. A55.

35) Wiedemann, 앞의 논문 (주 32), S. 176.

36) Schufa-Score darf nicht maßgeblich für Kreditwürdigkeit sein, becklink 2029255.

37) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, ECLI: EU:C:2023:957, para. 26.

38) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, ECLI: EU:C:2023:957.

39) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, ECLI: EU:C:2023:957. para. 25.

40) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, ECLI: EU:C:2023:957. para. 27.

41) Entscheidungsgleichheit einer automatisierten Datenverarbeitung – Schufa, NZA 2024, S. 45.

42) Entscheidungsgleichheit einer automatisierten Datenverarbeitung – Schufa, NZA 2024, S. 46.

43) Katja Langenbucher, Die Schufa vor dem EUGH, BKR 2024, S. 66.

44) Langenbucher, 위의 논문, S. 66.

45) Lewinski, 위의 책 (주 16), DS-GVO Art. 22 Rn. 7.

46) Langenbucher, 앞의 논문 (주 43), S. 66.

47) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, para. 15-16.

48) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, para. 40.

49) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, para. 41.

50) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, para. 43.

51) Lewinski, 위의 책 (주 16), DS-GVO Art. 22 Rn. 16.1.

52) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, para. 45.

53) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, para. 47.

54) Caforio/Paolucci, The Rise of Automated Decision-Making and Its Legal Framework, Media Laws November 18, 2024. https://www.medialaws.eu/the-rise-of-automated-decision-making-and-its-legal-framework/.

55) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, para. 48.

56) Lewinski, 위의 책 (주 16), DS-GVO Art. 22 Rn. 25.2.

57) 최정규/허종/이민주, [개인정보・데이터・AI / 디지털혁신] 자동화된 결정 조항의 시행, 그 전망과 과제, 법률신문 2024-04-01 13:31.

58) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, para. 73.

59) Langenbucher, 앞의 논문 (주 43), S. 67.

60) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, paras 54, 56.

61) Caforio/Paolucci, The Rise of Automated Decision-Making and Its Legal Framework, Media Laws November 18, 2024. https://www.medialaws.eu/the-rise-of-automated-decision-making-and-its-legal-framework/.

62) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, paras 54, 56.

63) Lewinski, 위의 책 (주 16), DS-GVO Art. 22 Rn. 57.

64) Lorenz Frank, in: Gola/Heckmann/Schulz, 3. Aufl. 2022, München, DS-GVO Art. 15 Rn. 18.

65) Lorenz Frank, 위의 책, DS-GVO Art. 15 Rn. 19.

66) Wiedemann, 앞의 논문 (주 32), S. 179.

67) BGH v. 28.1.2014 – VI ZR 156/13, NJW 2014, S. 1235; Wiedemann, 앞의 논문 (주 32), S. 179.

68) Wiedemann, 앞의 논문 (주 32), S. 179.

69) VG Wiesbaden v. 1.10.2021 – 6 K 788/20.WI, BKR 2021, S. 782 = VuR 2022, 70 mAnm Krüger

70) CJEU, Judgement of the Court (First Chambeer) 7 December 2023 – C-634/21, ECLI :EU:C:2023:957.

71) Asymina Aza, Scores as Decisions? Article 22 GDPR and the Judgment of the CJEU in SCHUFA Holding (Scoring) in the Labour Context, Industrial Law Journal, Volume 53, Issue 4, December 2024, pp. 840-841.

72) Antonio Aloisi and Valerio De Stefano, Your Boss is an Algorithm, Hart Publishing 2022, p. 58; Aza, 위의 논문, p. 841.

73) Aza, 위의 논문, p. 842.

74) Ifeoma Ajunwa, The “black box” at work, Big Data & Society 2020, p. 2.

75) Aza, 앞의 논문 (주 71), p. 843.

76) Aza, 앞의 논문 (주 71), p. 843.

77) Taeger, 앞의 논문 (주 23), S. 41.

78) Aza, 위의 논문 (주 71), p. 840.

[참고문헌]
1. 영어문헌

1.

Antonio Aloisi and Valerio De Stefano, Your Boss Is an Algorithm. Artificial

2.

Intelligence, Platform Work and Labour, Hart Publishing 2022.

3.

Asymina Aza, Scores as Decisions? Article 22 GDPR and the Judgment of the CJEU in SCHUFA Holding (Scoring) in the Labour Context, Industrial Law Journal, Volume 53, Issue 4, December 2024, pp. 840-858

4.

Lee A Bygrave, “Article 22 Automated Individual Decision-Making, Including Profiling,” in The EU General Data Protection Regulation (GDPR): A Commentary, ed. Christopher Kuner et al. (Oxford University Press, 2020), 0,
.

5.

Valeria Caforio/Federica Paolucci, The Rise of Automated Decision-Making and Its Legal Framework, Media Laws November 18, 2024. https://www.medialaws.eu/the-rise-of-automated-decision-making-and-its-legal-framework/.

6.

Ifeoma Ajunwa, The “black box” at work, Big Data & Society 2020, pp. 1-6.

7.

Philip Meissner/Yusuke Narita, Artificial intelligence will transform decision-making. Here's how, World Economic Forum Sep 27, 2023. https://www.weforum.org/stories/2023/09/how-artificial-intelligence-will-transform-decision-making/.

8.

Sebastião Barros Vale, GDPR and the AI Act interplay: Lesson from FPF’s ADM Case-Law Report, Future of Privacy Forum November 3, 2022. https://fpf.org/blog/gdpr-and-the-ai-act-interplay-lessons-from-fpfs-adm-case-law-report/s.

2. 독일문헌

9.

Jochen von Bernstorff, in: Jürgen Meyer/Sven Hölscheidt (Hrsg.), Charta der Grundrechte der Europäischen Union, EU-Grundrechtecharta, 6. Auflage 2024, GRC Art. 8.

10.

Lorenz Frank, in: Gola/Heckmann/Schulz, 3. Aufl. 2022, München DS-GVO Art. 15.

11.

Klaus J. Hopt, in: Hopt, Handelsgesetzbuch: HGB, Bd. 9, 4. Aufl., München 2025, 2. Teil. VI. (7).

12.

Hans D. Jarass, EU-Grundrechte, München 2005.

13.

Hans D. Jarass, Jarass, Charta der Grundrechte der EU, 4. Aufl., München 2021, EU-Grundrechte-Charta Art. 8.

14.

Katja Langenbucher, Die Schufa vor dem EUGH, BKR 2024, S. 66 ff.

15.

Georg Langheld/Christian Haagen, Einsatz Künstlicher Intelligenz bei unternehmerischen Entscheidungen Möglichkeiten, Pflichten und offene Fragen, NZG 2023, S. 2023.

16.

Kai von Lewinski, in: Heinrich Amadeus Wolff/Stefan Brink/Antje von Ungern-Sternberg (Hrsg.), BeckOK Datenschutzrecht, 52. Edition Stand: 01.05.2025, DS-GVO Art. 22.

17.

Daniel Mundil, in: Heinrich Amadeus Wolff/Stefan Brink/Antje von Ungern- Sternberg (Hrsg.), BeckOK Datenschutzrecht, 52. Edition Stand: 01.02.2024, BDSG § 54.

18.

Hans-Jürgen Papier, Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, S. 3025 ff.

19.

Sebastian Schulz, in: Peter Gola/Dirk Heckmann, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz: DS-GVO/BDSG VO (EU) 2016/679, 3. Aufl., München 2022, DS-GVO Art. 22.

20.

Jürgen Taeger, Externes Scoring als „automatisierte Entscheidung im Einzelfall“ über eine Kreditgewährung – zugleich Besprechung von EuGH, Urt. v. 7.12.2023 – C-634/21, BKR 2024, S. 41 ff.

21.

Ulrich Wiedemann, Die Schufa-Bonitätsauskunft, VuR 2024, S. 174 ff.

법학논고
(우41566) 대구광역시 북구 대학로 80 경북대학교 법학연구원(416호)
Tel : 053-950-6824 | Fax : 053-950-6884 | lawinsreview@knu.ac.kr

Copyright © Law Research Institute, Kyungpook National University. 2025. Powered by Guhmok