자동화된 결정에 관한 개인정보보호법 정부 개정안 신설 규정의 문제점

다국어 초록 (Multilingual Abstract)

The rise of new technologies allows data controller to rely on automated decisions evaluating personal aspects of data subjects. Such decisions, solely based on automated processing with legal effects, may significantly affect data subjects’ rights. The EU GDPR, therefore, provides a data subjects’ right not to be subject to automated decision-making. Likewise, the Korean government recently provided a proposed amendment to the Personal Information Protection Act where data subjects can deny automated decision-making significantly affecting their rights and interests. This article compares the proposed amendment with the relevant provisions of the GDPR and criticizes that the former does not ensure an adequate level of data protection guaranteed in the latter. While the GDPR establishes a general prohibition for decision-making based solely on automated processing, the proposed amendment regulates general permission thereof, whereby the right to deny must be actively invoked by each data subject. Moreover, the proposed amendment simply requires data controllers to make public procedures and standards of automated decisions whereas the GDPR stipulates the data controllers’ duty to take appropriate measures to provide any information relating to automated decision-making in a concise, transparent, intelligible, and easily accessible form. By way of such comparison, the article argues that the future amendment of the Personal Information Protection Act should actively reflect the GDPR and prohibit automated decision-making in general to ensure the legitimate interests of data subjects.

번역하기

국문 초록 (Abstract)

오늘날 인공지능 등 신기술 발전에 따라 완전히 자동화된 시스템에 의하여 처리되는 개인정보의 수와, 그러한 처리에 전적으로 의존하는 의사결정 수는 점차 증가하고 있다. EU 일반개인정보보호규칙(General Data Protection Regulation, 이하 ‘GDPR’이라 한다)은 이처럼 오로지 기계에 의하여 수행되는 개인정보 처리와 그에 따른 결정이 인간 존엄을 침해할 수 있다는 위기의식 아래, 자동화된 결정에 따르지 않을 정보주체 권리를 규정하고 있다. 이러한 기조를 반영하여 2021년 정부가 제출한 개인정보 보호법 개정안은 디지털 시대에 적합한 정보주체 권리로서 자동화된 결정을 거부하거나 그에 대한 설명 등을 요구할 수 있는 권리를 도입하고 있다. 우리나라는 최근 통과된 EU 적정성 결정 승인을 유지하기 위하여 개인정보 보호법을 GDPR과 합치하는 방향으로 개정할 필요가 있다. 이에 본 논문은 자동화된 결정에 대한 정보주체 권리를 도입하는 개정안 제37조의2가 GDPR 관련 규정과 어떠한 차이를 가지는지를 비판적 관점에서 비교한다. 자동화된 결정의 원칙적 금지와 예외적 허용을 규정하는 GDPR과 달리, 개정안은 개인정보 수집이 가능한 모든 항목에서 그러한 결정을 원칙적으로 허용하고 있다. 이에 따라 정보주체는 거부권을 스스로 행사하고 원용하기 위하여 과중한 입증책임을 부담한다. 또한, 자동화된 결정의 유무와 그 결과를 정보주체에 ‘제공’할 것을 요구하는 GDPR과 달리, 개정안은 해당 결정의 기준과 절차를 ‘공개’할 것을 규정하고 있다. 이들 신설 규정은 정보주체가 과연 실제 현실에서 새롭게 도입된 대응권을 행사할 수 있는지에 관한 의구심을 자아낸다. 일반적으로 정보주체는 자동화된 개인정보 처리의 존재를 애초에 알기 어려우며, 그러한 결정이 어떻게 이루어지는지, 그 결과가 어떠한지, 그러한 결과가 자신에게 어떠한 영향을 미치는지를 파악하기 어렵기 때문이다. 이외에도 논문은 GDPR과 다각적 비교를 통하여, 개정안이 개인정보처리자의 편익과 정보주체의 권리 간 형량에 있어서 전자의 이익에 지나치게 편중하고 있다는 사실을 비판한다. 이에 논문은 자동화된 결정에 대한 정보주체 권리가 더욱 강화될 필요가 있음을 지적하면서, 이에 관한 개인정보 보호법 개정 방향을 제언하고 있다.

번역하기

오늘날 인공지능 등 신기술 발전에 따라 완전히 자동화된 시스템에 의하여 처리되는 개인정보의 수와, 그러한 처리에 전적으로 의존하는 의사결정 수는 점차 증가하고 있다. EU 일반개인정...

참고문헌 (Reference)

1 "헌법재판소 2022. 7. 5. 선고 2022헌마899 전원재판부 결정"

2 "헌법재판소 2022. 7. 21. 선고 2016헌마388, 2022헌마105, 110, 126 전원재판부결정"

3 "헌법재판소 2005. 5. 26. 선고 99헌마513, 2004헌마190 전원재판부 결정"

4 관계부처 합동, "인공지능 법·제도·규제 정비 로드맵" 2021

5 최경진, "빅데이터와 개인정보" 법학연구원 25 (25): 197-218, 2013

6 김용훈, "빅데이터 환경의 도래와 개인정보 보호방안" 법학연구소 53 (53): 177-220, 2018

7 김선남 ; 이환수, "빅데이터 개인정보보호 가이드라인(안)의 개선 방향에 관한 연구" 한국지능정보사회진흥원 21 (21): 20-39, 2014

8 박노형, "개인정보보호법" 박영사 2020

9 국회 정무위원회, "개인정보 보호법 일부개정법률안 검토보고" 제391회 국회 제7차 정무위원회 2021

10 개인정보보호위원회, "개인정보 보호법 일부개정법률(안) 입법예고"

1 "헌법재판소 2022. 7. 5. 선고 2022헌마899 전원재판부 결정"

2 "헌법재판소 2022. 7. 21. 선고 2016헌마388, 2022헌마105, 110, 126 전원재판부결정"

3 "헌법재판소 2005. 5. 26. 선고 99헌마513, 2004헌마190 전원재판부 결정"

4 관계부처 합동, "인공지능 법·제도·규제 정비 로드맵" 2021

5 최경진, "빅데이터와 개인정보" 법학연구원 25 (25): 197-218, 2013

6 김용훈, "빅데이터 환경의 도래와 개인정보 보호방안" 법학연구소 53 (53): 177-220, 2018

7 김선남 ; 이환수, "빅데이터 개인정보보호 가이드라인(안)의 개선 방향에 관한 연구" 한국지능정보사회진흥원 21 (21): 20-39, 2014

8 박노형, "개인정보보호법" 박영사 2020

9 국회 정무위원회, "개인정보 보호법 일부개정법률안 검토보고" 제391회 국회 제7차 정무위원회 2021

10 개인정보보호위원회, "개인정보 보호법 일부개정법률(안) 입법예고"

11 Lee A. Bygrave, "The EU General Data Protection Regulation (GDPR): A Commentary" Oxford University Press 2020

12 Bart W. Schermer, "The Crisis of Consent: How Stronger Legal Protection May Lead to Weaker Consent in Data Protection" 16 : 2014

13 European Commission, "Proposal for a Council Directive Concerning the Protection of Individuals in Relation to the Processing of Personal Data, COM/1990/314/FINAL/2"

14 Michael Kosinski, "Private traits and attributes are predictable from digital records of human behaviour" 110 (110): 2013

15 UK Information Commissioner’s Office, "Feedback Request: Profiling and Automated Decision-making"

16 Bart Custers, "Ethics and the internet" Intersentia 2001

17 박노형, "EU 적정성 결정에 따른 개인정보보호위원회 고시인 보완규정의 법적 분석" 법학연구원 (106) : 395-435, 2022

18 박노형 ; 정명현, "EU GDPR상 프로파일링 규정의 법적 분석" 안암법학회 (56) : 283-315, 2018

19 Maja Brkan, "Do Algorithm Rule the World? Algorithmic Decision-Making and Data Protection in the Framework of the GDPR and Beyond" 27 (27): 2019

20 Lee A. Bygrave, "Automated Profiling: Minding the Machine: Article 15 of the EC Data Protection Directive and Automated Profiling" 17 (17): 2001

21 European Data Protection Supervisor, "Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit"

22 "Article 29 Data Protection Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01"

상세검색

RISS 보유자료

상세검색

해외전자자료

자동화된 결정에 관한 개인정보보호법 정부 개정안 신설 규정의 문제점 - EU GDPR과의 비교 분석 = A Critique of the Automated Decision-making Provision in the Proposed Amendment to the Personal Information Protection Act - Comparative Analysis with the EU GDPR

부가정보

동일학술지(권/호) 다른 논문

분석정보

연관 공개강의(KOCW)

이 자료와 함께 이용한 RISS 자료

나만을 위한 추천자료