인공지능(AI) 시대가 본격화하면서 AI혁신으로 인한 편익 극대화 노력과 함께 부작용을 최소화하기 위한 노력도 다양하게 펼쳐지고 있다. AI개발자나 AI를 이용해 상품·서비스를 제공하는 사업자가 자율적인 신뢰성 확보 노력을 하는가 하면, 유럽연합(EU)처럼 입법을 통해서 의무를 부과하고 규제를 만들기도 한다.
AI를 통해 미래 주도권을 잡으려는 국가는 AI를 이용한 혁신을 촉진하기 위한 법·정책을 고민하면서도 한편으론 부작용을 어떻게 하면 최소화해 AI의 안정적 발전을 뒷받침할 것인가를 고민하지 않을 수 없다. 최근 AI의 급격한 발전에 따라 세계가 함께 협력해 AI와 사람의 안정적 공진화를 위한 해법을 찾는 이유다.
우리나라에서도 정부나 민간이 자율규제로부터 입법적 대응까지 다양한 수준의 해결방안을 고민하고 있으며, 지난해 전면 개정해 올해 3월 15일 시행 예정인 '개인정보 보호법' 상의 자동화된 결정에 대한 정보주체의 권리도 같은 맥락에서 도입됐다. 즉, AI시대를 맞아 정보주체인 국민에게 AI를 포함하는 자동화된 시스템으로 개인정보를 처리해 이뤄지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우엔 해당 결정을 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있도록 권리를 부여했다. AI시대에 맞게 국민의 개인정보권을 강화한다는 측면에서는 바람직하지만, 그 구체적인 해석과 집행에 따라선 AI 혁신과 지속적 발전에 안전망이 될 수도 있고 반대로 장애물이 될 수도 있다.
AI와 관련한 일반적 권리로서 처음 도입됐기 때문에 미래 AI 사회를 겨냥한 다양한 법·정책적 대응방안을 논의하는 데 중요한 시금석이 될 수 있다. 특히 새로 도입한 자동화된 결정에 대한 규정을 실제 적용하는 과정에서 적용범위나 구체적인 기준 등을 둘러싸고 혼란이 발생할 수 있기 때문에 실효성 있는 합리적 해석·집행이 중요하다. 예를 들면, '자동화된 결정', 거부권이 인정되는 '권리 또는 의무에 중대한 영향을 미치는 경우', 자동화된 결정에 대한 설명의 구체적인 방법과 내용, 공개되어야 하는 '자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등'의 물음에 대한 실천가능한 명료한 해답을 제시해야 새롭게 도입된 자동화된 결정에 대한 권리의 실효성이 확보될 수 있다.
최근 몇 년 동안 전 세계의 개인정보보호법제 중에서 가장 주목받은 EU GDPR 제22조는 프로파일링(profiling)을 포함한 자동화된 개별적 의사결정에 대한 권리를 규정한다. 즉, 정보주체는 자신과 관련된 법적 효과를 야기하거나 자신에게 중대한 영향을 미치는 프로파일링을 포함한 자동화된 처리에만 기초한 의사결정에 종속되지 않을 권리를 가진다고 규정한다. 이러한 권리가 인정되지 않는 예외로서 자동화된 의사결정이 계약에 필요하거나 법률에 근거하거나 정보주체의 동의에 의한 경우가 있다. 그런데 EU에서도 자동화된 결정에 대한 권리를 둘러싸고 해석상 논란이 벌어지고 있다. 네덜란드 '우버(Uber) 사건'에서 Uber 개인정보처리방침 상의 자동화된 결정 조항에 규정된 '사기행위를 수행한 것으로 확인된 이용자의 계정 비활성화'에 따른 조치를 둘러싸고 1심 법원은 일시적인 차단은 장기적이거나 영구적인 효과를 가지지 않기 때문에 법적 결과를 초래하거나 중대한 영향을 미치지 않는다고 판단했다.
반면, 2심 법원은 알림 메시지 내용을 고려할 때 영구적인 결정이고 중대한 영향을 미쳤다고 보면서, 계정 비활성화 결정은 Uber가 원고들과 계약을 종료함으로써 원고들에게 법적 결과를 초래했다고 보아 자동화된 결정에 해당할 수 있는 사례를 인정했다. 또 설명 요구의 정도에 대해서도 단순히 어떤 행위들이 계정 비활성화로 이어질 수 있는지를 설명하는 것만으로는 불충분하고, 적어도 의사결정 과정에 영향을 미친 요인들과 그 요인의 중요성에 관한 정보, 자동화된 결정의 이유를 이해할 수 있는 그 밖의 정보를 제공해야 한다고 판결했다. 이러한 해석상 큰 편차는 법집행의 예측가능성을 낮춰서 AI 발전을 저해하는 걸림돌로 작용할 수 있다. 때문에 AI 발전과 국민의 권리가 조화롭게 보장되는 방향으로 하위법령이나 가이드를 마련하여 예측가능하고 일관성 있는 법의 해석·집행을 해야 한다.
먼저 해당 규정이 도입된 취지나 목적을 명확히 할 필요가 있다. 개정 과정에서 입법취지가 구체적으로 명시된 것을 찾아볼 수는 없다. 하지만 '개인정보의 처리 및 보호'에 관한 사항을 규정하는 '개인정보 보호법'에 규정된 점, 법안을 초안했던 개인정보보호위원회 개인정보보호법 개정 연구위원회의 조문별 입법 이유서가 'AI 알고리즘에 의한 자동화된 개인정보의 처리로 인해 중대한 영향을 받는 정보주체를 보호하기 위한 법제도적 장치를 마련할 것이 요구됨'에 따라 '자동화된 의사결정으로부터 중대한 영향을 받는 정보주체가 합리적으로 대응할 수 있는 권리를 보장'하려는 취지를 밝힌 점을 고려할 때 입법목적은 AI 맥락에서의 개인정보처리에 중점을 두어 정보주체의 권리를 보장하기 위한 것이라는 것을 알 수 있다.
따라서 단순한 자동화 시스템이 아니라 AI 수준의 자동화 결정을 중심으로 접근할 필요가 있고, AI '알고리즘'보다는 AI과 같은 완전히 자동화된 시스템을 이용한 '개인정보처리'에 초점을 둬 그에 따른 결정에 대한 정보주체의 권리를 보장하는 방향으로 해석해야 한다. 나아가 알고리즘 및 자동화된 결정의 공정성보단 그 전제로서 완전히 자동화된 시스템에 의한 개인정보처리의 투명성과 합법성을 보장하기 위한 것으로 이해하여야 한다. 개인정보처리의 합법성은 '개인정보 보호법' 제15조를 비롯한 다양한 합법처리근거를 출발점으로 해 전체 개인정보보호체계를 통해 확보될 수 있고, 완전히 자동화된 시스템에 의한 개인정보처리의 투명성은 기존의 법규정에 더해 신설된 설명요구권이나 공개 의무에 의해 더욱 강화된다.
입법취지나 법규정의 실효성이나 현상 등을 종합적으로 고려할 때 자동화된 결정은 △AI를 포함한 '완전히 자동화된' 시스템으로, △개인정보를 처리해 이뤄진 △결정이어야 한다. 이를 구체적으로 살펴보면, '완전 자동화'는 사람의 인적 개입이 없이 전적으로 자동화된 시스템만으로 처리돼야 한다는 것을 의미한다. 설사 인적 개입이 있었다고 하더라도 형식적이거나 절차적인 것에 불과한 경우에는 인적 개입이 없는 경우로 평가할 수 있을 것이다. 자동화된 결정은 개인정보처리를 기반으로 한 것이어야 한다. 완전히 자동화된 시스템의 개발 과정에서 개인정보가 처리되는 것을 의미하는 것이 아니라 완전히 자동화된 시스템을 통한 개별적인 결정 과정에서 특정 개인의 개인정보가 처리되는 것을 의미하기 때문에 원칙적으로 AI 개발을 위한 데이터 학습용 개인정보처리는 배제된다.
자동화된 결정 과정에서 그 결정의 대상이 되는 개별적인 정보주체와 합리적 관련을 가지는 개인정보처리가 있는 경우로 이해하는 것이 타당하다. 자동화된 결정은 정보주체에 대한 개별화된 결정이어야 하며, 정보주체에게 법적 영향을 미치는 경우이어야 한다. 아울러 자동화된 결정은 정보주체에게 법적 영향을 미치는 최종적인 결정이어야 하며, 결정이 이뤄지는 중간 과정에서 도출된 자동화된 데이터처리 결과에 불과한 경우도 배제된다. 다만, 단계별 결정이 진행되는 경우에 개별 단계가 독립적으로 정보주체에게 영향을 미치는 경우에는 각 단계별로 최종적인 결정인지의 여부를 판단하면 된다. 나아가 '완전히 자동화된 시스템―개인정보처리―결정―정보주체' 사이의 실질적 관련성이 존재해야 한다.
설명이나 공개가 요구되는 대상 범위 속에 알고리즘 그 자체나 결정에 이용되는 모든 개인정보 항목과 그 개인정보 사이의 구체적인 상관관계를 숫자로 표현한 구체적인 수치 등을 포함해야 하는가와 관련해서는 AI의 진화 흐름을 볼 때 현실적이지도 않고 바람직하지도 않다. 특히, AI 알고리즘 그 자체를 그대로 공개하거나 패러미터와 가중치 등을 상세하게 공개할 경우에는 AI을 오남용하거나 왜곡함으로써 더 큰 혼란을 야기하고 AI를 활용하고자 하는 본래 목적을 달성할 수 없기 때문이다. 입법취지를 완전히 자동화된 시스템에 의한 개인정보처리의 '투명성'에 초점을 맞추게 되면, 투명성 제고에 필요한 범위에서 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 공개하거나 설명하면 충분하다. 설명 요구권와 공개 의무 사이의 관계도 투명성 제고를 위하여 유기적으로 연계하여 해석할 필요가 있다. 즉, 투명성 제고를 고려하면 공개 의무에 따라 공개된 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등에 맞게 개별적인 자동화된 결정이 이루어졌는지를 설명하는 것으로 그 취지는 충족될 수 있을 것이다.
AI의 개발 및 활용의 취지를 고려하면 AI을 과도하게 규제하는 것은 바람직하지 않지만, 다른 한편 처리 과정이 불투명한 AI의 '블랙박스(blackbox)성'을 고려할 때 정보주체의 적절한 보호도 도외시할 수 없다. AI의 활성화를 통한 국민적 편익의 증진이라는 이익과 AI으로부터 발생할 수 있는 개인정보처리에 있어서의 국민에게 미치는 불이익을 적절히 조화할 수 있는 방향으로 하위법령을 정비하고 수범자들이 예측가능하고 준수가능한 합리적 기준을 가이드함으로써 본격화하는 AI시대에 우리나라가 신뢰 기반의 AI 세상을 열어갈 수 있도록 든든한 법제도적 기반을 마련해나가야 한다.
최경진 가천대 법학과 교수 kjchoi@gachon.ac.kr
〈필자〉최경진 교수는 가천대 인공지능(AI)·빅데이터정책연구센터장이다. 데이터·정보통신기술(ICT)·개인정보보호 법 연구자로 관련 법·정책 전문가다. 현재 한국인공지능법학회장, 한국정보법학회 수석부회장, UN 국제상거래법위원회 정부대표로 활동하고 있다. 개인정보보호법학회장도 역임했다. OECD 인공지능, 데이터 및 프라이버시 전문가그룹(Expert Group on AI, Data, and Privacy)에 한국 대표로 참여하고 있으며, 데이터와 ICT에 대한 폭넓은 이해를 바탕으로 법·제도 개선과 정책 추진에 기여하고 있다.