CPO 자격요건·독립성 강화…개인정보보호 경력 3년 필수
‘연 매출 1500억’ ㆍ100만 명 민감· 고유식별 정보 보유 기업
재학생 1만 명인 대학, 상급종합병원 등 포함
AI(인공지능) 등 자동화된 시스템이 내린 결정으로 피해를 본 사람이 AI 결정에 불복할 경우, 해당 결정을 적용하지 않도록 하는 등 권리 구제 절차도 마련된다. 만일 AI 채용 과정에서 지원자가 불합격과 같은 지원 결과를 받아들일 수 없는 경우, 회사 측에 해당 결정에 사용된 주요 개인정보의 유형이나 영향 등에 관해 설명을 요구할 수 있다. 또 서류에서 개인정보가 잘못된 정보나 오래된 정보 이용됐다고 판단되면 다시 정보를 제출해 재처리를 요구할 수 있다.
개인정보보호위원회는 이달 23일부터 내년 1월2일까지 이같은 내용을 담은 개인정보보호법 시행령 개정안을 입법예고한다고 22일 밝혔다.
이번 개정안은 AI 기술 발전을 염두한 내용을 구체화했다. AI와 같이 ‘완전히 자동화된 시스템’으로 내려진 결정이 개인정보 주체의 생명·신체·재산의 이익 등 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에 해당 정보주체가 이 결정을 거부한다면 적용하지 않는 조치를 하고, 정보주체가 인적 개입에 의한 재처리를 요구한 경우에는 그 조치 결과를 알리도록 했다.
또한 재학생 1만 명인 대학교와 상급종합병원 등은 3년 이상의 개인정보보호 경력을 가진 개인정보 보호책임자(CPO)을 의무적으로 지정해야 한다. CPO의 전문성과 독립성을 강화하기 위해 보호책임자의 자격요건과 적용대상, 독립성 강화방안 등을 정비했다. 전문성 강화를 위해 △연 매출액 1500억 원이면서 100만 명 이상 또는 5만 명 이상 민감· 고유식별 정보 보유한 기업 △재학생 1만 명인 대학 △상급종합병원 △중요 공공시스템 운영기관 등은 최소 6년 경력의 전문성을 보유한 CPO를 지정해야 한다.
6년의 경력 중 3년은 개인정보보호 관련 경력이어야 한다. 관련 전공 박사나 석사, 학사 학위도 차등을 둬 경력으로 인정한다. 자격 요건이 되지 않는 사람이 CPO가 됐을 경우 시정 명령 이후 과태료를 부과한다.
또한, CPO의 독립성을 보장해야 한다는 현장의 목소리를 반영해 CPO가 기업 최고경영자(CEO)와 이사회에 직접 보고할 수 있는 보고체계를 구축하도록 했다. 이와 함께 CPO가 개인정보 처리 관련 정보에 대한 접근과 인적·물적 자원 받을 수 있도록 했다. 아울러 개인정보 보호책임자간에 교류 협력을 활성화할 수 있도록 개인정보 보호책임자 협의회를 구성하고, 협의회의 공동사업에 대한 구체적인 범위를 규정해 개인정보위가 지원할 수 있도록 했다.
이밖에 손해배상책임 보장을 위한 보험(공제) 가입 및 준비금 적립 등 의무대상 기준을 현행 ‘매출액 5000만 원’ 및 ‘이용자 수 1000명’ 이상에서 ‘매출액 10억 원’ 및 ‘정보주체 수 1만 명’ 이상으로 조정했다. 중소기업이나 소상공인 부담이 커질 수 있다는 지적을 반영한 것이다. 또한, 고유식별정보 관리실태 정기조사의 기간을 2년에서 3년으로 조정하고 중복되는 조사·점검이 있는 경우 제외할 수 있도록 정비했다.
고학수 개인정보위원장은 “개정된 개인정보 보호법이 현장에서 차질 없이 시행될 수 있도록 입법예고 이후에도 간담회 및 설명회 등을 통해 학계, 산업계, 시민단체 등의 다양한 의견을 들어 시행령에 반영해 나갈 것”이라고 말했다.