‘프로파일링(profiling)’은 우리에게 비교적 친숙한 용어가 된 지 오래다. ‘범행을 했을 가능성이 있는 용의자를 식별하거나 동일한 범죄자가 저질렀을 것으로 추정되는 사건(들)에 나타나는 공통의 실마리(clues)를 연결하기 위해 법집행기관이 사용하는 수사 전략이’라는 학술적 정의를 굳이 언급하지 않더라도, ‘그것이 알고 싶다’와 같은 TV 프로그램을 통해 ‘프로파일러’가 범행의 실마리를 좇아 사건에 관여한 사람들의 심리와 행태를 파악하고, 범행의 배경을 추적하는 과정에서 다양한 정보를 수집하여 분석하는 일련의 정보처리에 관여하는 것은 낯설지 않다. 우리는 이러한 방송을 통해 프로파일링의 한 분야인 ‘범죄자 프로파일링(criminal or offender profiling)’을 접한 것이다. 이러한 프로파일링은 개인정보를 포함하는 다양한 데이터의 처리가 필요하다.

 

프로파일링은 반드시 범죄자 프로파일링에 한정되는 개념은 아니다. 심리 프로파일링(psychological profiling), 피해자 프로파일링(victimology profiling), 범죄자 프로파일링(criminal profiling), 인종 프로파일링(racial profiling), 데이터 프로파일링(data profiling), 행태 프로파일링(behavioral profiling), 성별 프로파일링(gender profiling), 성적 지향 프로파일링(sexual orientation profiling), 소비자 프로파일링(consumer profiling), 청중 프로파일링(audience profiling) 등 매우 다양한 유형의 프로파일링이 존재한다. 세계적인 영어 사전인 Merriam Webster는 프로파일링을 “알려진 특성이나 경향에 기반하여 사람에 관한 정보를 외삽(外揷, extrapolation)하는 절차를 의미한다.”라고 정의한다. 여기에서 “외삽”이란, 기존에 존재하는 경향이 계속되거나, 현재의 방법론을 향후에도 지속적으로 적용 가능할 것이라는 추정에 기반을 두여 무언가에 대한 결론을 내리거나 추정하는 활동을 의미한다.⁽¹⁾

 

다양한 유형의 프로파일링
[출처 : Slideshare.net]

우리나라는 개인정보보호 관련 법제에서 프로파일링의 개념을 정의하고 있지 않다. 또한, 프로파일링으로부터 정보 주체를 보호하기 위한 별도의 권리나 기제를 법제에 반영하고 있지 않다. 그런데, 현대 사회에서 개인정보 처리의 다양한 목적 가운데 가장 중요한 목적의 하나로 ‘정보 주체(온라인의 경우 ‘이용자’)의 정보를 수집하여, 그에 대한 프로필을 형성하고 맞춤형 서비스(특히, 광고)를 제공하는 것’이라는 점을 부정할 수는 없다. 이용자 관심사에 맞춰 홈페이지의 노출 상품 배열을 최적화 하는 것이나, 장바구니에 담아 놓은 물건 가운데 구매 가능성이 높은 것을 다시 살펴보도록 안내하는 등의 활동은 모두 프로파일링의 결과이다. 이와 관련하여, ▲정보 주체가 자신에 관한 프로파일링 진행 사실을 인지하기 어렵고 ▲그에 따라, 정보 주체가 행사할 수 있는 열람권 및 처리정지권 등의 권리 행사가 곤란하며 ▲기존의 권리로는 프로파일링을 포함하는 자동화 의사 결정으로부터 정보 주체를 충분히 보호하기 어렵다는 문제의식이 제기되고 있다. 또한, 당연하게도 개인정보보호 법제를 개정하여 프로파일링의 개념을 도입하고, 프로파일링에 대한 거부권 등 정보 주체를 보호할 수 있는 방안을 마련하는 등 정보 주체의 권리를 강화해야 한다는 주장도 이어진다.

 

그러나, 프로파일링의 개념을 자칫 잘 못 이해하여 개념 정의를 제대로 하지 못하거나, 전체 프로파일링 활동 가운데 ‘규제의 범주에 포함할’ 프로파일링의 유형과 범주를 정밀하게 선 긋지 못하는 경우 온라인 생태계의 위축이나 붕괴에 이를 정도로 커다란 부작용을 일으킬 수 있다는 인식은 부족한 것으로 보인다. 지난 20대 국회에서 프로파일링을 규제하려는 입법 시도를 자세히 살펴보면 이와 같은 부족한 인식을 확인할 수 있기도 하다. 이 글은 프로파일링의 개념을 명확히 살피는 한편, 우리나라 법제에 프로파일링에 대한 정의 및 권리 관련 규정을 도입할 때 고려해야 할 지점을 짚어본다.

 

(유럽) GDPR이전의 프로파일링 규율 법제

 

유럽연합의 프로파일링 규제는 제2차 세계대전에서 나치와 나치 연합군(The Nazis and alliance)이 ‘순수혈통주의’를 주장하며 이민족을 대규모로 살상했던 행위인 홀로코스트(The Holocaust)와 포라이모스(Porajmos)로 그 근원을 거슬러 올라갈 수 있다. 일부는 유럽이 국가 정체성 확립을 위해 ‘외부인’들을 ‘ 배제(exclusion)’하고 ‘비인간화(dehumanization)’하는 방식을 채택해온 뿌리 깊은 중세시대의 역사적 경로를 프로파일링 규제 도입의 역사적 발원으로 지적하기도 한다. 그렇지만, 현대의 프로파일링 규제는 제2차 세계대전에서의 유대인 학살과 롬인 말살에 대한 반성에 기반을 두고 있다고 보는 것이 적절하다.⁽²⁾⁽³⁾

 

유럽연합은 인권 및 정치적 자유를 보호하기 위한 국제 조약인 ‘Convention for the Protection of Human rights and Fundamental Freedoms(유럽인권조약, 통상 ‘ECHR’로 칭함)’를 1950년에 합의하였고, 이는 1953년에 발효되었다. 총 59조(Articles)의 본문과 16개의 프로토콜(Protocols)로 구성된 이 조약은 제2차 세계대전 직후, 인권 보호의 필요성에 대한 반성의 결과로 세상에 빛을 보게 되었다. 이 조약은 유럽 평의회(Council of Europe) 회원국 법률에 매우 큰 영향을 미치고 있으며, 인권 보호에 있어 국제적으로 가장 효과적인 조약으로 여겨지고 있다.

 

유럽인권조약은 제8조에 사생활 및 가정사에 대해 존중을 받을 권리(Right to respect for private and family life), 제9조에 사상, 양심, 종교의 자유(Freedom of thought, conscience and religion), 제14조에 차별 금지(Prohibition of discrimination) 등의 조항을 담고 있는데, 해당 조항들은 프로파일링에 대한 법적 규율의 기초가 되는 내용을 담고 있다. 특히, 제14조는 “이 조약에 명시된 권리와 자유의 향유는 성별, 인종, 피부색, 언어, 종교, 정치 또는 다른 의견, 국가, 사회적 기원, 소수 민족/재산/태생 및 기타 사회적 지위와의 연관성 등 어떠한 근거에 의하더라도 차별 없이 보장되어야 한다.”라고 하여 권리주체가 자신의 권리 향유에 있어 차별받지 않아야 하는 점을 천명하고 있다. 해당 권리에 ‘프라이버시권’이 포함되는 것은 당연하다. 또한, Protocol No. 12, Article 1은 차별에 대한 일반적 금지(General prohibition of discrimination)의 내용을 담고 있으며, 이는 본문 제14조의 내용을 재확인하는 것이다.⁽⁴⁾

 

2018년 5월에 본격 적용된 유럽연합 개인정보보호 일반규정(General Data Protection Regulation)은 ‘프로파일링(profiling)’ 개념을 새롭게 도입했다. GDPR이 대체한 기존의 개인정보보호 지침(Data Protection Directive 95/46/EC, 이하 “DPD”)에는 그 정의가 존재하지 않았던 개념이다. 온라인 커뮤니케이션의 보호를 위한 e-Privacy Directive도 프로파일링을 언급하고 있지 않다. 그렇다고 하여 GDPR이 시행되기 전에 프로파일링이 유럽에서 제한 없이 허용되었던 것은 아니다. GDPR의 시행 이전의 Profiling은 DPD의 다음과 같은 규정을 통해 규제되고 있었다. 즉, DPD가 프로파일링 개념을 별도로 정의하고 있진 않았지만, 이를 규제할 수 있는 법체계를 갖추고 있었다는 점은 분명하다.

 

Data Protection Directive 95/46/EC Article 3 Scope 1. This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.   Article 12 Right of Access Member States shall guarantee every data subject the right to obtain from the controller: (a) without constraint at reasonable intervals and without excessive delay or expense: – knowledge of the logic involved in any automatic processing of data concerning him at least in the case of the automated decisions referred to in Article 15(1);   Article 15 Automated individual decisions 1. Member States shall grant the right to every person not to be subject to a decision which produces legal effects concerning him or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him, such as his performance at work, creditworthiness, reliability, conduct, etc.   2. Subject to the other Articles of this Directive, Member States shall provide that a person may be subjected to a decision of the kind referred to in paragraph 1 if that decision: (a) is taken in the course of the entering into or performance of a contract, provided the request for the entering into or the performance of the contract, lodged by the data subject, has been satisfied or that there are suitable measures to safeguard his legitimate interests, such as arrangements allowing him to put his point of view; or (b) is authorized by a law which also lays down measures to safeguard the data subject’s legitimate interests.

이와 같은 DPD의 규정은 GDPR에 와서 프로파일링의 명시적 정의 및 프로파일링을 포함한 자동화 의사결정에 있어서의 제한, 그리고 정보주체의 권리 보장으로 그 형체가 보다 구체화되었다.

 

GDPR에 도입된 프로파일링 정의 및 정보주체의 권리

 

GDPR은 프로파일링의 개념을 법에 본격적으로 명시하면서 기존 DPD의 프로파일링 규제를 보다 구체화할 수 있는 체계를 갖추었다. 아래 글 상자는 GDPR에 도입된 프로파일링의 정의인데, 이는 다시 다음과 같은 구성요소로 구분해볼 수 있다.

 

(1) 자동화 처리(any forms of automated processing)

(2) 개인정보의 처리(processing of personal data)

(3) 개인적 측면을 평가(evaluate certain personal aspects)

 

Article 4 Definitions   (4) ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;

 

 

프로파일링의 정의에서 가장 눈 여겨 봐야 할 지점은 개인적 측면을 ‘평가’하기 위해 개인정보를 ‘자동화 처리’한다는 것이다. 즉, 사람의 인적 개입(human intervention)이 있다거나, 개인적 측면을 평가하기 위한 목적이 아닌 경우에 해당한다면, 비록 개인에 관한 자동화 개인정보 처리가 발생한다 할지라도 GDPR이 규율하고자 하는 프로파일링에는 해당하지 않는다는 점을 분명히 하고 있다.

 

또한, GDPR 제22조는 “프로파일링을 포함하는 자동화 개별 의사결정”에 대한 내용을 담고 있는데, 구체적인 내용은 다음과 같다.

 

Article 22 Automated individual decision-making, including profiling   1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.     2. Paragraph 1 shall not apply if the decision: (a) is necessary for entering into, or performance of, a contract between the data subject and a data controller; (b) is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests; or (c) is based on the data subject’s explicit consent.   3. In the cases referred to in points (a) and (c) of paragraph 2, the data controller shall implement suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision.   4. Decisions referred to in paragraph 2 shall not be based on special categories of personal data referred to in Article 9(1), unless point (a) or (g) of Article 9(2) applies and suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.

 

제22조는 ‘프로파일링을 포함하는’ 전적으로(solely) 자동화 처리에 기반한 의사결정의 대상이 되지 않을 권리를 규정하고 있는데, 이러한 권리는 해당 의사결정이 정보주체에게 “법적인 또는 이와 유사한 중대한 영향을 미치는 경우(legal effects or similarly significantly affects him or her)”에 한하여 적용된다(제1항). 또한, 이와 같은 권리는 (a) 정보주체와 개인정보처리자간 계약의 체결 내지 이행을 위해 필요한 경우, (b) 정보주체의 권리와 자유 및 정당한 이익을 보호하는 조치를 담고 있고, 개인정보처리자가 적용을 받는 유럽연합 내지 회원국의 법률에 의해 승인된 경우, (c) 정보주체의 명시적 동의에 기반하는 경우에는 적용되지 않는다(제2항). 또한, 제2항에 의해 제1항의 권리가 적용되지 않는 자동화 의사결정이 발생하는 경우라 할지라도, 민감정보에 기반한 결정은 정보주체의 명시적 동의 또는 상당한 수준의 공익이 있는 경우인 동시에 정보주체의 권리와 자유 및 정당한 이익을 보호할 수 있는 조치가 마련된 경우에만 가능하다(제4항)

 

상기의 내용을 기반으로 자동화 의사결정과 프로파일링의 개념 구분을 도식화하면 아래 그림과 같다. 특히, GDPR이 중점적인 규율 대상으로 삼고 있는 영역인 ‘(프로파일링을 포함한) 자동화 개별 의사결정’ 영역은 모든 프로파일링 행위에 적용되는 것이 아니라, 자동화 의사결정과 프로파일링이 공존하는 지점 가운데에서도 지극히 제한적 영역에만(=정보주체에게 법적인 효과 또는 그와 유사하게 중요한 영향을 미치는 경우) 적용되는 것을 확인할 수 있다.⁽⁵⁾

GDPR에서의 자동화 의사결정과 프로파일링의 관계

우리나라 프로파일링 규제 입법동향

 

지난 20대 국회에선 더불어민주당 소속의 진선미 의원과 이재정 의원이 각 개인정보보호법 일부개정안 발의를 통해 프로파일링에 대한 규제를 도입하려 시도하였다. 비록 법제화까진 이르지 못하였으나, 프로파일링에 대한 일반적 규제를 도입하기 위한 국내 최초의 시도였다는 점에서 의의가 있었다 할 것이다. 아래에선 주요 내용을 비교, 분석해 살펴본다.

 

1. 정의 규정

진선미 의원안	이재정 의원안
제2조(정의) 3의5. “프로파일링”이란 개인의 업무 성과, 경제 상황, 건강, 취향, 관심사, 행동, 위치 또는 이동 등을 분석 평가하거나 예측하기 위하여 이루어지는 개인정보의 자동화된 처리를 말한다.   3의6. “자동화된 의사결정”이란 프로파일링 등 자동적 처리에만 의존하여 정보주체에 관한 법적 효력을 초래하거나 이와 유사하게 정보주체에게 중대항 영향을 미치는 결정을 하는 것을 말한다.	제2조(정의) 2의3. “프로파일링”이란 개인의 업무 성과, 경제 상황, 건강, 성향, 관심사, 행동, 위치 또는 이동 등을 분석 평가하거나 예측하기 위한 개인정보의 처리를 말한다.

 

진선미 의원안과 이재정 의원안의 프로파일링 규정은 구조나 내용 면에서 GDPR의 프로파일링 정의를 거의 그대로 옮겨온 것으로 이해된다. 그러나, 진선미 의원안이 개인정보의 ‘자동화된 처리’를 프로파일링의 구성 요소로 포함한데 반해, 이재정 의원안은 개인정보의 처리에 있어 자동화와 수동화를 구분하지 않았다. 이런 경우, 프로파일링의 범위가 지나치게 확장된다. 자동화 처리 외에도 ‘파일링’ 등 수동화 처리(manual processing)가 프로파일링에 포함된다. 오프라인 영역까지 규제의 대상으로 포섭할 수 있게 된다는 의미이다.

 

 

 

또한, 진선미 의원안은 “자동화된 의사결정”의 정의를 제시하면서, GDPR Article 22(1)의 내용을 그대로 가져왔다. 이에 반해, 이재정 의원안은 “자동화 의사결정”을 별도로 규정하진 않았다. 이재정 의원안의 프로파일링 정의가 자동화/수동화 개인정보 처리를 모두 포괄하고 있다는 점에서 “자동화 의사결정”의 정의를 별도로 규정하지 않은 점은 수긍할 수 있는 지점이다.

 

 

 

2. 권리 관련 규정

진선미 의원안

이재정 의원안

제4조(정보주체의 권리) 4의2. 프로파일링과 자동화된 의사결정을 거부할 권리   제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지(프로파일링의 정지를 포함한다)를 요구할 수 있다.   제37조의2(자동화된 의사결정에 대한 권리) ① 개인정보처리자는 자동화된 의사결정의 절차와 영향을 정보주체에게 충분히 설명해야 한다. 또한 정보주체는 자동화된 의사결정을 받지 않을 권리를 갖는다. ② 자동화된 의사결정이 다음 각 호의 어느 하나에해당하는 경우에는 제1항을 적용하지 아니한다. 다만, 민감정보에 기반을 둔 자동화된 의사결정은 제3호에 해당하는 경우에만 제1항을 적용하지 아니한다. 1.법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 2.정보주체와 개인정보처리자 간에 계약을 체결 또는 이행하는데 필요한 경우 3.정보주체로부터 별도의 동의를 받은 경우 ③ 제2항에 따라 자동화된 의사결정을 할 수 있는 경우에도 개인정보처리자는 정보주체의 권리를 보호하기 위하여 최소한 개인정보처리자의 관여를 보장하고 정보주체에게 이의제기의 기회를 제공하는 등의 적절한 조치를 하여야 한다.

제4조(정보주체의 권리) 4의2. 프로파일링을 거부할 권리   제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지(프로파일링의 정지를 포함한다)를 언제든지 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다.   제37조의2(프로파일링에 대한 권리) ① 개인정보처리자는 프로파일링을 할 수 없다. 다만, 다음 각 호의 경우에는 그러하지 아니하다. 1.법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 2.정보주체와 개인정보처리자 간에 계약을 체결 또는 이행하는데 필요한 경우 3.정보주체로부터 별도의 동의를 받은 경우 ② 개인정보처리자는 자동화된 방식이 포함되는 프로파일링 중 보호위원회 규칙으로 정한 프로파일링을 할 경우, 프로파일링이 정보주체에게 미치는 영향과 예상되는 결과, 프로파일링의 작동 원리인 로직 등을 정보주체에게 충분히 설명해야 한다. 다만, 개인정보 주체 이외의 자로부터 개인정보를 수집하고, 개인정보주체에게 위 사실을 설명하는 것이 상당한 노력을 기울여도 가능하지 아니한 경우에는 설명하지 아니할 수 있다. ③ 정보주체의 자유와 권리를 침해할 수 있는 우려가 있는 경우로서 보호위원회 규칙으로 정한 프로파일링을 하기 위해서는 법 제33조가 정한 개인정보 영향평가를 실시하여야 한다.

 

 

 

진선미 의원안은 프로파일링과 자동화된 의사결정에 대한 거부권을, 이재정 의원안은 프로파일링 거부권을 제시하였다. 전자의 경우 GDPR Article 22(1)의 내용을 거의 그대로 반영한 것에 다름없지만, 이재정 의원안은 프로파일링에 대한 거부권을 규정함으로써 자동/수동을 구분하지 않고 개인적 측면에 대한 분석이 발생하는 모든 개인정보처리를 거부할 수 있는 권리를 부여한 것이다. 이재정 의원안이 프로파일링을 매우 폭넓게 규정하고 있다는 점에서 현대 사회에서 발생하는 개인정보 처리행위 대부분에 대한 거부권을 부여하는 것과 다름없다. 만약 해당안이 법률에 반영되는 경우 개인정보처리에 대한 거의 “전면적 금지(blanket ban)”에 상응하는 효과를 야기할 수 있어 불합리한 측면이 있다.

 

 

진선미 의원안이 GDPR Article 22(1)의 내용을 거의 그대로 반영하였다고 하여 문제점이 없진 않다. GDPR은 Article 22(1)에서 ‘전적으로 자동화된 의사결정’에 해당하는 프로파일링에 의한 의사결정의 대상이 되지 않을 권리를 부여하는데 반해, 진선미 의원안은 ‘자동화된 의사결정’과 ‘프로파일링’ 거부권을 각기 규정함으로써, ‘일부 자동적 프로파일링(semi-automatic profiling)’에 대해서도 거부권을 부여하고 있는 것으로 해석할 여지를 남긴다. 즉, GDPR보다 더 넓은 범위의 프로파일링 규제가 발생하는 것이다. ‘일부 인적 개입(human intervention)이 발생하더라도, 전반적으로 자동화 개인정보 처리에 의한 프로파일링이 발생하는 것으로 평가되는 경우’ 이 역시 거부권을 행사할 수 있는 대상이 된다. 일부에서는 진선미 의원안의 “자동화된 의사결정”의 정의가 ‘프로파일링 등 자동적 처리에만 의존하여 정보주체에 관한 법적 효력을 초래하거나 이와 유사하게 정보주체에게 중대한 영향을 미치는 결정을 하는 것을 말한다.’라고 규정하고 있는 점을 들어 ‘전적으로 자동화된 의사결정’에만 적용될 것이라는 의견을 제시한다. 그러나, 전적으로(solely) 자동화된 의사결정과 ‘자동화 처리에만 의존한 의사결정’이 동일한 개념인지는 현재로서는 불명확하다.

 

 

진선미 의원안과 이재정 의원안은 또 다른 측면에서 심각한 문제점을 안고 있는데, 바로 “정보주체와 개인정보처리자 간에 계약을 체결 또는 이행하는데 필요한 경우”에 “자동화된 의사결정을 받지 않을 권리를 부여하는 동시에, 정보주체로 하여금 자동화된 의사결정의 절차와 영향을 설명 받을 권리(진선미 의원안)”, 또는 “프로파일링 전면 금지권(이재정 의원안)”의 적용을 받지 않을 수 있다는 것이다. 표면상으로는 합리적인 것으로 보이나, 실제 우리나라의 개인정보 처리의 절대 다수가 ‘정보주체의 동의’에 의한 것이며, 유럽연합과는 달리 계약 체결 내지 이행을 위해 정보주체의 동의 없이 개인정보를 처리하는 경우는 거의 없거나 매우 제한적이라는 측면에서 계약 체결 또는 이행에 필요한 경우에 해당하는 예외가 현실에서 적용될 여지가 거의 없다는 점에 주목할 필요가 있다. 이는 자동화 의사결정이나 프로파일링에 대한 권리가 거의 예외 없이 절대적 권리로 작용하여 개인정보 처리를 크게 위축시키는 결과를 불러올 수 있다는 점에서 매우 정교하게 접근할 필요가 있다.

 

3. 신용정보법의 자동화평가 대응권 도입

 

올해 8월 5일에 시행된 개정 신용정보의 이용 및 보호에 관한 법률(신용정보법)은 “”자동화평가”란 제15조제1항에 따른 신용정보회사등의 종사자가 평가 업무에 관여하지 아니하고 컴퓨터 등 정보처리장치로만 개인신용정보 및 그 밖의 정보를 처리하여 개인인 신용정보주체를 평가하는 행위를 말한다.”(제2조 제14호)라고 하여 자동화평가에 대한 정의를 전격 도입하였다. 또한, 자동화평가 결과에 대한 설명 및 이의제기 등에 대한 권리를 신설(제36조의2)하였다. 구체적으로 신용정보주체의 설명요구권(제1항), 이의제기권(제2항), 개인신용평가회사등의 거절권(제3항) 등을 규정하였다.

 

신용정보법에 따라 개인인 신용정보주체가 개인신용평가회사등에 대하여 설명을 요구할 수 있는 대상정보는 다음과 같다(제36조의2 제1항 제1호 가목 내지 다목, 제2호 가목 내지 라목).

 

다음에 대한 자동화 평가를 하는지 여부	– 개인신용평가 – 대통령령으로 정하는 금융거래의 설정 및 유지 여부, 내용의 결정 – 그 밖에 컴퓨터 등 정보처리장치로만 처리하면 개인신용정보보호를 저해할 우려가 있는 경우로서 대통령령으로 정하는 행위
자동화 평가를 하는 경우, 다음의 사항	– 자동화평가의 결과 – 자동화평가의 주요 기준 – 자동화평가에 이용된 기초정보의 개요 – 그 밖에 상기와 유사한 사항으로서 대통령령으로 정하는 사항

 

이와 같은 신용정보법의 자동화평가 관련 권리 도입은 GDPR의 프로파일링 관련 규정에 기반한 것인데, 유럽연합이 자동화 의사결정에 대한 거부권을 도입한 배경이 신용정보 분석에 기반한 ‘알고리즘의 대출 거부’ 등과 같은 “비인간에 의한 인간의 배제”로부터 인간을 보호하기 위한 점이라는 것에서 금융권에 한해 이와 같은 권리를 도입한 것은 비교적 적절한 대응이라 할 것이다.⁽⁶⁾

 

다만, 일부에선 신용정보법의 자동화평가 관련 권리 도입이 매우 부적절한 수준이라며 비판적 의견을 견지하기도 한다. 특히, 개인신용평가 결과에 대한 설명 및 이의제기 도입의 미비성, 차별금지 대상의 협소, 자동화평가에 대한 권리의 형해화 등에 대한 비판이 확인된다.⁽⁷⁾

금융분야 프로파일링 대응권 도입방안에 대한 설명

[출처 : 금융위원회]

나가며

 

프로파일링은 개인정보의 자동화 처리를 통해 특정한 개인적 측면을 평가하는 것을 의미한다. 현대 사회에서 프로파일링은 매우 다양한 측면에서 발생할 수밖에 없다. 이용자의 관심사를 반영한 웹페이지 배열, 관심사를 반영한 뉴스나 영화 추천 등이 모두 프로파일링에 해당한다. 개인적 측면에 대한 평가를 기초로 각종 맞춤형 서비스가 제공되는 상황에서 프로파일링은 모든 온라인 서비스 이용 과정 중에 피할 수 없는 일상이 된 것이다. 유럽연합이 GDPR에서 ‘법적 효과 또는 그와 유사한 중대한 영향을 미치는 자동화 개인정보 처리(프로파일링 포함)’만을 규제의 대상으로 집중하게 된 이유가 여기에 있다. 모든 것을 규율하려는 것이 아니라, 실제 문제가 발생할 영역을 핀셋으로 집어내어 규율의 초점을 맞춘 것이라 할만하다.

 

따라서, 프로파일링에 대한 규제를 설계할 때 1) 프로파일링을 포함하는 자동화 의사결정에 있어 어느 지점을 ‘법적 통제의 대상’으로 삼을 것인가, 2) 법적 통제의 대상에 예외를 둘 때, 어느 정도의 여지를 열어둘 것인가, 3) 특별법이 아닌 ‘일반법’에 정보주체의 권리를 새롭게 창설할 때, 특별법(개별법)과의 관계에서 일반법으로서의 지위를 어떻게 공고히 할 것인가를 고려하는 것은 매우 중요하다.

 

비 자동화 개인정보처리를 프로파일링에 포함한다거나, 자동화 의사결정의 대상이 되지 않을 권리의 예외에 우리나라 개인정보 처리의 절대다수를 차지하는 ‘정보주체의 동의에 기반한 개인정보 처리’를 포함하지 않는다던가, 프로파일링에 대한 전면적 금지(blanket ban)를 선언 한다던가 하는 것은 매우 부적절한 태도로서 GDPR의 작동 방식을 제대로 이해하지 못하였기에 제시할 수 있는 주장이다. 데이터 3법이 본격 발효된 8월 이후에도 개인정보의 활용이 어렵다는 시장의 목소리를 정밀하고 정교하게 살펴야 할 것이다.