전통적으로 권리 또는 의무에 중대한 영향을 미치는 결정은 사람이 직접 해야 한다고 생각했지만, 정보처리 기술이나 인공지능(AI) 기술의 발달로 인해 이러한 결정을 사람의 개입 없이 완전히 자동화된 시스템에 의해 이뤄지고 있다. AI 면접으로 신입사원을 채용하는 경우, 개인의 신용점수를 자동화된 시스템을 통해 심사하고 점수를 부여하는 경우 등이 이러한 예다.
이 때 완전히 자동화된 시스템에 의해 권리 또는 의무에 중대한 영향을 미치는 결정을 받은 사람 입장에서 보면, 그 결정이 유리한 결정이면 그냥 넘어갈 수도 있지만 불리하거나 부당한 결정이라고 생각한다면 그 결정에 사용된 자신의 개인정보나 결정 과정에서 사용된 알고리즘에 대해 설명을 듣고 싶어할 것이고 나아가 그 결정을 거부하면서 인적 개입을 통한 재결정을 원하는 경우도 있을 것이다.
이렇게 하여 생긴 권리가 바로 개정 개인정보보호법 제37조의2 자동화된 결정(automated decision-making)에 대한 정보주체의 권리다. 이 권리는 유럽 GDPR 제22조를 모태로 하고 있는데, 최근 GDPR 제22조와 관련한 유럽사법재판소(ECJ)의 판단이 있어, 우리나라 개정 개인정보보호법 제37조의2의 정확한 이해를 위해서 유럽사법재판소의 판단을 살펴보고자 한다.
독일에서는 슈파(Schufa)라는 민간 신용 평가 기관에 의해 소비자 개인 또는 기업의 신용이 평가 및 관리되는데, 슈파는 다양한 요소를 고려해 매년 1억6500만명의 신용조사를 실시하고 시스템을 통해 신용도를 평가한 다음, 이를 은행 등의 계약 파트너에게 제공하고 있다. 그러나 슈파는 평가요소마다 가중치가 얼마나 부여되는 지는 공개하지 않고 있었다.
그런데 슈파가 제공한 신용도 점수 때문에 은행에서 대출이 거부된 OQ란 사람이 슈파가 보유하고 있는 일부 정보의 부정확성을 주장하면서 삭제를 요청했다. 그러나 슈파는 영업비밀이라면서 신용도 평가에 어떻게 가중치를 매기는지 등에 대한 정보 공개를 거부했고, 이에 OQ는 관할 감독기관을 거쳐서 비스바덴 행정법원에 소송을 제기하기에 이르렀다. 비스바덴 행정법원은 2021. 10. 1. GDPR 제6조 제1항 및 제22조의 해석과 관련해 유럽사법재판소에 예비판결을 요청하면서 사건을 ECJ에 회부했다.
ECJ는 2023. 12. 7. GDPR 제22조의 자동화된 결정은 인간의 개입 없이 온라인 신용 신청이나 직원 채용을 자동으로 거부하는 것을 포함하는 바, 신용정보 기관이 특정인의 개인정보와 향후 지급 약정을 이행할 수 있는 그 사람의 능력에 기반한 확률 값을 자동으로 설정하고, 해당 확률 값을 전송받은 은행 등이 해당 확률 값을 강력하게 활용해 그 사람과의 계약 관계를 설정, 이행 또는 종료하는 경우이므로, 따라서 슈파의 신용도 평가는 GDPR 제22조의 자동화된 결정에 해당한다고 판단했다(C-634/21).
이 ECJ 판결의 영향은 지대할 것으로 보이는바, 자동화된 시스템이 개인의 정보를 활용하는 방식에 대해 정보주체는 더 많은 통제권을 가지게 되었으며, 자동화된 시스템이나 AI를 운영하는 회사는 중요한 결정을 내리는 알고리즘에 대해 더 많은 법적 책임을 지게 되었다. AI를 통해 중요한 결정을 내리고자 하는 기업은, 시스템 개발 초기부터 윤리적·인권적 고려사항과 개인정보 보호을 우선시하는 AI 전략을 반드시 수립해야 할 것이다.
김경환 법무법인 민후 변호사