2023년 3월 14일에 1년 후 시행을 공포했던 일부 규정이 적용되는 날이 다가오고 있다. 이에 따라 우리가 반드시 기억해야 할 내용 5가지를 꼽아본다.
1. AI를 비롯한 자동화된 결정에 대한 정보주체 권리 구체화
인공지능(AI)에 대한 기술은 끊임없이 발전하고 있고, 이에 따라 그를 위한 법제화도 꾸준히 진행되고 있다. AI의 기술 발전이 너무 빠르고, 일상에 스며드는 속도도 빠르다 보니, 법이 그를 따라잡지 못하는 실정이다. 그래서 앞으로도 꾸준히 AI와 관련된 개정과 신설은 있을 것으로 보인다.
사람의 개입이 없는 완전히 자동화된 결정이 내려지는 영역으로는 크게
① 개인정보 처리의 투명성 확보 ② 정보의 제공 등 대응권 보장
2가지를 들 수 있다.
여기서 '자동화된 결정'이란, 사람의 개입 없이 완전히 자동화된 시스템으로, 개인정보처리자가 정보주체의 권리 또는 의무에 영향을 미치는 최종적인 결정을 한 경우를 말한다. 그러므로 결정 과정에서 정당한 권한자의 실질적인 개입이 없거나, 형식적인 절차만 운영하고 있다면 그것은 자동화된 결정에 속한다고 말할 수 있다. 결국 개인정보처리자가 어느 정도의 업무를 맡느냐가 중요한 것이다.
정보주체인 국민은 자동화된 결정이 자신의 권리 또는 의무에 영향을 미치는 경우, 개인정보처리자에게 해당 결정에 대한 설명 또는 검토해줄 것을 요청할 수 있다. 이때의 '설명'이란, 당연히 기술적 프로세스를 말하는 것이 아닌, 결정의 처리 기준과 과정을 말한다.
정보주체는 자동화된 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당의 자동화된 결정에 거부할 권리도 있다. 이 경우 개인정보처리자는 ①해당 결정을 적용하지 않는 조치를 하거나 ②인적 개입으로 재처리를 하고 결과를 정보주체에 알리도록 한다. 물론, 법률에서 명화한 규정이 있는 경우에는 거부가 인정되지 않을 수 있다.
개인정보처리자는 다른 사람의 생명 · 신체 · 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 등 정당한 사유가 있는 경우에는 거부, 설명 등의 요구를 거절할 수 있다. 물론, 거절할 때는 그 사실을 정보주체에게 지체없이 알려야 한다.
2. 개인정보 보호책임자(CPO)의 전문성, 독립성 강화
CPO의 전문성 강화를 위해 개인정보보호 · 정보보호 · 정보기술 경력을 총 4년 이상 갖춰야 한다. 그러나 경과조치 규정 마련으로 2026년 3월 14일까지 그 요건을 충족할 수 있다면 현시점에서 4년이 되지 않아도 된다. 적용 대상으로는 다음이 있다. ①연 매출이 1,500억 이상인 자로서, 100만 명 이상의 개인정보 또는 5만 명 이상의 민감 · 고유식별정보를 처리하는 개인정보처리자 ②재학생 수 2만 명 이상인 대학 ③대규모 민감정보를 처리하는 상급종합병원 ④ 공공시스템운영기관
그리고 독립성을 위하여 대표자 또는 이사회에 정기적으로 보고할 수 있는 보고체계 구축, 개인정보 처리 관련 정보에 대한 접근 보장, 인적 · 물적 자원에 대한 자원 제공을 비롯해 준수해야 할 사항들이 신설됐다. 부디 이것이 실제 현장에서 긍정적인 영향으로 작용할 수 있기를 바란다.
3. 공공분야 개인정보 보호수준 평가 확대
한 마디로, '너희가 도통 믿질 못하니 빡세게 할게.'가 되겠다. 물론 실제 현장에서 돌아가는 분위기가 어떨지는 결과가 나와야 알겠지만 말이다. 이에 따라 공공기관의 개인정보보호 수준을 평가하고, 그 결과를 바탕으로 공개 및 개선을 권고할 수 있게 됐다. 평가 시행 전 평가계획 통보 등의 근거 규정이 마련됐는데, 사실 통보하지 않고 불시에 점검하는 것이 베스트긴 하겠다만, 그러다간 모두가 죽어나갈 지도 모른다. 그저 이 평가계획 통보라는 개념이 정말 합리적으로 작용할 수 있기를 바랄 뿐이다.
4. 손해배상책임 보장 의무대상자 변경
정보주체에 대한 손배 책임을 이행하기 위해 보험 가입, 준비금 적립 등을 해야 했던 의무 대상이 온라인 사업자에서 오프라인 · 공공부문을 포함하는 전체 개인정보처리자로 변경됐다. 정확히는 '연 매출액 5천만원 이상 + 이용자 수 1천 명 이상'의 온라인사업자 → '연 매출액 10억 이상' + '정보주체 수 1만 명 이상'의 개인정보처리자로 바뀌게 된 것이다.
공공기관(CPO 자격요건 대상은 제외), 비영리법인, 소상공인으로서 전문 수탁자에게 개인정보 저장 · 관리 업무를 위탁한 경우는 위에 해당되어도 제외된다.
'IT 보안 소식 및 동향' 카테고리의 다른 글
| 인공지능 회사를 먹여 살리는 일반 사용자들 (1) | 2024.03.12 |
|---|---|
| 팔로알토 "AI 공격에는 AI로 방어하라" (2) | 2024.03.07 |
| 국내 인증 개선, 인증 항목 257→189 대폭 감소, ISMS도 변동 (1) | 2024.02.28 |
| 가트너 선정, 2024 사이버 트렌드 (0) | 2024.02.23 |
| 구글 클라우드가 선정한 2024 사이버위협 빅4 국가 (1) | 2024.02.11 |