-알고리즘에 대한 해외 법적 규율 현황
 |
| ▲ GDPR은 빅데이터 분석과 AI, 기계학습에 의한 프로파일링이나 자동처리가 개인의 권리나 자유에 중대한 영향을 미칠 우려가 있다고 해서 개인의 권리나 자유, 특히 프라이버시를 보호하기 위해 프로파일링 등의 개인 데이터의 자동처리에 대해 새로운 규제를 하고 있다.(이미지=freepik) |
EU법 차원의 AI(인공지능)에 의한 데이터 분석에서 법적 대응의 선진적인 대처로 EU일반 데이터 보호 규칙(GDPR)이 있다. GDPR은 2016년 5월 제정돼 2018년 5월 25일 공식 시행됐다. GDPR은 빅데이터 분석과 AI, 기계학습에 의한 프로파일링이나 자동처리가 개인의 권리나 자유에 중대한 영향을 미칠 우려가 있다고 해서 개인의 권리나 자유, 특히 프라이버시를 보호하기 위해 프로파일링 등의 개인 데이터의 자동처리에 대해 새로운 규제를 하고 있다.
권오성 성신여대 교수 겸 변호사는 지난 11월 22일 라이더유니온·플랫폼희망찾기·공공운수노조·정의당 이은주 의원·노회찬재단이 국회 의원회관에서 공동 주최한 ‘플랫폼 알고리즘, 어떻게 볼 것인가?’ 토론회에서 ‘플랫폼 기업의 알고리즘 통제 문제에 대한 노동법적 쟁점’이란 주제로 발표하면서 알고리즘에 대한 해외의 법적 규율 현황을 소개했다.
권 변호사에 따르면 GDPR에서는 원칙적으로 데이터 주체(식별된 또는 식별될 수 있는 자연인)는 스스로 법적 효력을 발생시키거나 중대한 영향을 미치는 프로파일링 등의 자동처리에만 기초한 결정에 대한 불복종 권리를 가진다.
여기서 ‘권리’라는 문언을 이용하고 있어 데이터 주체가 적극적으로 요구했을 때만 해당 원칙이 적용된다는 의미로 받아들여진다. 그러나 해당 원칙은 그러한 의미가 아니라 프로파일링 등의 자동처리에만 기초한 결정에 대한 일반적인 금지를 규정한 것이다.
AI에 의한 데이터 분석을 시행해 그 외의 요인을 고려하지 않고 그 분석 결과만을 근거로 결정을 내릴 때도 해당 원칙이 적용될 수 있다. 다만, ▲데이터 주체와 데이터 관리자와의 계약의 체결 또는 이행에 있어서 필요한 결정 ▲관리자가 복종하고 또한 데이터 주체의 권리나 자유 및 정당한 이익을 보호하는 적절한 조치를 명하는 유럽연합 또는 가맹국의 법률에 따라 정당화되고 있는 결정 ▲데이터 주체의 명확한 동의에 근거한 결정에 대해서는 이 원칙이 적용되지 않는다.
권 변호사는 “근로자와 사용자에 의한 노동계약과 이행 프로세스를 전제로 할 때 사용자는 근로자의 개인 데이터에 관한 프로파일링 등의 자동처리를 하고, 이에 근거한 인사노무관리상 결정을 하는 것이 금지되지는 않는다”고 설명했다.
이어 “다만, 허가되는 것은 프라이버시에 대한 침해가 적은 방법을 이용할 수 있는지를 고려해 목적 달성을 위해 프라이버시에 대한 침해가 적은 유효한 방법이 존재하지 않으며 자동처리에 근거한 결정이 필요한 경우로 한정된다”고 했다.
예컨대 기업에 의한 구인 모집에 다수의 응모자가 쇄도했기 때문에 유능한 채용 후보자를 선발하는데 개인 데이터의 자동처리에 의한 응모자의 선별이 필요할 때 등이 해당한다.
또 프로파일링 등의 자동처리, 즉 AI에 의한 인사데이터 분석을 하고 이에 근거한 인사 노무 관리상의 결정을 하려고 할 때는 데이터 관리자인 사용자는 우선 사전에 예정된 처리 작업의 개인 데이터 보호에 대한 영향 평가를 할 것이 요구된다.
 |
| ▲ 권오성 성신여대 교수 겸 변호사는 “데이터 주체인 근로자는 프로파일링 등의 자동처리의 시행 유무에 대해서 사용자로부터 확인받을 권리를 가지는 동시에 그것이 시행될 때 그 의의나 상정되는 결과, 관련된 논리에 대해 유의미한 정보 등에 접근할 수 있는 권리를 갖는다”라고 말한다.(이미지=freepik) |
◇ “데이터 관리자, 필요에 따라 데이터 주체 등에 의견 구해야”
데이터 보호영향평가란 ‘데이터 처리를 기술하고, 데이터 처리의 필요성과 비례성을 평가하며 개인 데이터의 처리에 기인하는 자연인의 권리와 자유에 대한 리스크 관리를(리스크 평가와 리스크에 대처하는 조치의 결정에 의해) 지원하기 위해서 설계된 프로세스’다.
데이터 보호영향평가의 대상은 자연인의 권리와 자유롭게 고도의 리스크를 초래할 가능성이 있는 데이터 처리다. 이러한 데이터 처리에 대해서 데이터 관리자가 그 개시 전에 데이터 보호 책임자와 처리자가 일체가 돼 데이터 보호영향평가를 확실히 시행할 책임을 진다.
권 변호사는 “데이터 보호영향평가로서 적어도 상정되는 처리 작업과 처리목적을 기술하고, 처리의 필요성 및 비례성을 평가하며 데이터 주체의 권리와 자유에 대한 리스크를 평가한 후 리스크에 대한 대처와 해당 규칙 준수의 증명을 위한 상정되는 조치를 특정한다”며 “그리고 이러한 일을 문서화해 데이터 처리를 감시해 정기적으로 재검토하는 프로세스를 반복해야 한다”고 말했다.
이어 “데이터 보호영향평가의 시행에 있어서는 데이터 관리자는 필요에 따라서 데이터 주체 또는 그 대표자의 의견을 구해야 한다”며 “이러한 영향평가를 공표할 의무는 없지만, 설명책임과 투명성의 관점에서 데이터 관리자는 적어도 영향평가의 개요나 결론 등의 공표를 검토할 필요가 있다”고 했다.
또 “영향평가 결과 리스크를 허용할 수 있는 수준까지 줄이는 데 충분한 조치를 찾아낼 수 없을 때는 데이터 관리자는 리스크를 줄이려는 조치의 정비에 대해 감독기관과 사전 협의를 해야 한다”고 덧붙였다.
아울러 데이터 관리자인 사용자는 데이터 주체인 근로자의 권리나 자유, 정당한 이익을 보호하는데 적절한 조치를 마련해야 한다고 했다. 이러한 조치에는 적어도 관리자 측의 책임으로 인간을 관여시킬 것을 요구할 권리, 의견표명의 권리, 결정에 대한 이의신청 권리를 보호하는 조치가 포함된다.
권 변호사는 “특별한 유형의 개인 데이터(이른바 ‘민감정보’)를 수반하는 프로파일링 등의 자동처리에만 의한 결정에 대해서는 데이터 주체의 명시적인 동의가 있을 때 또는 실질적인 공공의 이익을 이유로 필요할 때 중 어느 하나에 해당해도 데이터 주체의 권리나 자유, 정당한 이익을 보호하는 적절한 보호조치를 데이터 관리자가 마련하고 있지 않으면 허용되지 않는다”고 전했다.
이와 함께 프로파일링 등의 자동처리, 즉 AI 의한 인사데이터 분석을 하는 데 있어서 데이터 관리자인 사용자는 공정하고 투명성이 있는 처리를 보증하기 위해 그 실시를 비롯해 그 ‘의의나 상정되는 결과’, 관련된 논리에 대해 유의미한 정보 등을 근로자에게 제공해야 한다고 했다.
여기서 ‘의의나 상정되는 결과’란 자동처리에 관한 정보와 그것에 기초한 결정이 데이터 주체에 대해 어떠한 영향을 미칠지에 관한 정보다. ‘관련된 논리에 대해 의미 있는 정보’에 대해서는 사용되는 알고리즘의 복잡한 설명, 또는 알고리즘의 모든 개시까지도 반드시 요구되지는 않지만 결정에 이르는데 의거하는 논리적 근거나 기준 등 데이터 주체가 결정의 이유를 이해하는데 충분히 포괄적인 정보를 제공해야 한다고 여겨진다.
권 변호사는 “데이터 주체인 근로자는 프로파일링 등의 자동처리의 시행 유무에 대해서 사용자로부터 확인받을 권리를 가지는 동시에 그것이 시행될 때 그 의의나 상정되는 결과, 관련된 논리에 대해 유의미한 정보 등에 접근할 수 있는 권리를 갖는다”며 “또 근로자는 프로파일링 등의 자동처리에 의한 자신에 대한 결과가 부정확하거나 불완전하면 바로 그것을 정정하거나 완전히 하도록 사용자에게 요구할 수 있다”고 설명했다.
그는 “프로파일링 등의 자동처리 또는 이에 근거한 결정이 적법하게 이루어지지 않았을 때는 근로자는 그에 관련된 개인 데이터의 삭제 또는 처리의 제한을 사용자에게 요구할 수 있다”고 말했다.
소상공인포커스 / 김영호 기자 jlist@naver.com
[ⓒ 소상공인포커스. 무단전재-재배포 금지]
