AI 면접 결정에 거부 가능…개인정보 수집 땐 '목적' 쉽고 분명하게
by함정선 기자
2023.04.11 06:30:00
개인정보보법 개정안 9월부터 시행…뭐가 달라지나
AI 면접, 인사평가 등 자동화 결정에 거부·설명 요구
필수동의 없이도 SNS 등 서비스 이용
과징금 상한액 높아지며 부담도 늘어
[이데일리 함정선 기자] 앞으로 SNS나 포털 등 인터넷 서비스를 이용할 때 내 정보가 어디에 쓰일지도 모르는 채 개인정보 수집이나 이용에 ‘동의’하는 일이 사라질 전망이다. 정부가 오는 9월 개인정보보호법 개정안 시행을 앞두고 개인정보를 수집·이용할 때 사용 목적을 쉬운 단어로 분명하게 밝히도록 시행령에 담기로 하면서다.
10일 개인정보보호위원회에 따르면 시행령에는 서비스 사업자가 사용자에게 개인정보 수집·이용에 대한 동의를 구할 때 개인 정보를 어디에 사용할지 구체적으로 설명하고, 누구나 이해하기 쉬운 단어나 문구를 사용해야 하는 내용이 담긴다. 물론 사업자는 사용자가 동의를 원치 않을 때는 거절할 방법도 함께 제공해야 한다.
또한 정부는 개인정보 수집·이용에 대한 ‘필수동의’ 규정이 삭제됨에 따라 네이버와 카카오 등 주요 서비스 사업자와 필수동의를 없앤 사전 테스트를 진행하는 것도 협의하기로 했다. 개인정보보호법 시행을 앞두고 사업자와 사용자의 혼란을 최소화하기 위해서다. 예를 들어 네이버나 카카오 등은 사용자에 블로그나 채팅 등 서비스를 필수동의 없이 우선 제공하고, 향후 맞춤광고 제공 등 추가 목적이 생겼을 때 사용자의 동의를 받는 방식으로 먼저 서비스 개선에 나설 것으로 보인다.
필수동의가 사라지는 대신 사업자는 합리적으로 예상할 수 있는 범위 내에서 동의 없이 개인정보를 수집·이용해야 하고, 개인정보 처리 방침을 정해 의무적으로 공개해야 한다. 이 책임은 모두 사업자에 있어 개인정보보호 책임은 다하도록 했다.
AI 면접에서 떨어지거나 AI가 평가한 인사평가에서 불이익을 당하는 등 AI가 인생을 뒤바꿀 수도 있는 결정을 내렸을 때도 앞으로 개인정보보호법에서 답을 찾을 수 있을 전망이다. 개인정보보호법 개정안에는 ‘자동화 의사결정에 대한 대응권’이 신설됐기 때문이다. 이 규정은 AI가 채용 면접이나 복지 수급 등 중대한 영향을 미치는 의사결정을 할 경우 이 결정을 거부하거나 설명을 요구할 권리를 부여한다.
다만 AI 서비스가 빠르게 발달하며 다양한 일을 대체하고 있는 만큼 ‘자동화 의사결정’이 어느 수준인지, 사람의 개입을 어느 정도까지 인정할 것인지 등에 대한 기준과 개념을 시행령 등에 담아야 할 것으로 보인다.
2020년 데이터3법 입법 이후 3년 만에 개정된 개인정보보호법은 이처럼 개인이 스스로 정보에 대한 권리를 행사할 수 있는 방향으로 개편됐다.
개정안에 따라 개인은 자신의 개인정보를 보유한 기업이나 기관에 정보를 다른 곳으로 옮기도록 요구할 수도 있게 된 점도 특징이다. 이를테면 A통신사가 보유한 자신의 개인정보를 B유통사에 전송해달라 요청할 수 있는 것. 그간 사용자들은 금융과 공공분야에서만 정보를 통합해 사용해왔는데 앞으로는 의료부터 쇼핑 등 더 다양한 분야에서 정보를 통합해 사용하는 서비스가 생겨날 수 있다.
개정 개징정보보호법은 사업자에는 기회이면서 한편으로는 부담으로 작용하고 있다. 개인정보 전송요구권, 개인정보 이동권 신설로 ‘마이데이터’ 사업 기회는 열렸지만 개인정보 유출 등 법 위반 시 과징금 부과 기준은 강화됐기 때문이다.
마이데이터 사업은 그간 금융과 공공 분야에서만 허용됐지만 법 개정에 따라 모든 산업에서 가능해졌다. 이에 LG유플러스는 지난달 주주총회에서 마이데이터 사업 본격화를 위해 정관에 관련 업무를 추가했고, 한진과 삼성바이오로직스 등도 정관에 마이데이터 관련 업무를 넣었다.
기업으로선 그간 복잡했던 규제가 단순화한 점도 긍정적이라는 평가다. 온라인과 오프라인으로 이원화했던 규제가 하나의 규제로 합쳐지면서 유출 신고 기준도 하나로 통합, 법을 지키는 것이 좀 더 쉬워졌기 때문이다.
기업 입장에서 개인정보 등을 유출 등으로 개인정보보호법을 위반했을 때 과징금 상한액이 기존 ‘관련 매출액의 3%’에서 ‘전체 매출액의 3%’로 확대된 것은 부담이라는 평가다. 최근 개인정보위원회로부터 1000만원의 과징금 처분을 받은 스타벅스의 경우 지난해 매출을 고려하면 최대 7500억원, 6억원의 과징금을 부과받은 맥도날드는 3000억원의 과징금까지 부과받을 수 있는 조항이어서다. 다만, 국회 통과 과정에서 ‘위반행위와 관련 없는 매출액’을 과징금에서 제외할 수 있다는 조항이 추가된 점에는 안도하고 있다.
그러나 그동안은 개인정보 유출과 관련이 있는 매출인지 여부를 개인정보위가 입증해야 했지만, 이제는 유출과 관련이 없는 매출임을 입증해야 하는 책임을 기업이 안게 됐다. 개인정보위 관계자는 “기업이 위반 행위와 관련 없는 매출에 대한 입증을 어떻게 하느냐에 따라 과징금 부담을 덜 수 있어 오히려 기업에 합리적일 수 있다”고 말했다.