오늘날 인공지능 등 신기술 발전에 따라 완전히 자동화된 시스템에 의하여 처리되는 개인정보의 수와, 그러한 처리에 전적으로 의존하는 의사결정 수는 점차 증가하고 있다. EU 일반개인정보보호규칙(General Data Protection Regulation, 이하 ‘GDPR’이라 한다)은 이처럼 오로지 기계에 의하여 수행되는 개인정보 처리와 그에 따른 결정이 인간 존엄을 침해할 수 있다는 위기의식 아래, 자동화된 결정에 따르지 않을 정보주체 권리를 규정하고 있다. 이러한 기조를 반영하여 2021년 정부가 제출한 개인정보 보호법 개정안은 디지털 시대에 적합한 정보주체 권리로서 자동화된 결정을 거부하거나 그에 대한 설명 등을 요구할 수 있는 권리를 도입하고 있다. 우리나라는 최근 통과된 EU 적정성 결정 승인을 유지하기 위하여 개인정보 보호법을 GDPR과 합치하는 방향으로 개정할 필요가 있다. 이에 본 논문은 자동화된 결정에 대한 정보주체 권리를 도입하는 개정안 제37조의2가 GDPR 관련 규정과 어떠한 차이를 가지는지를 비판적 관점에서 비교한다. 자동화된 결정의 원칙적 금지와 예외적 허용을 규정하는 GDPR과 달리, 개정안은 개인정보 수집이 가능한 모든 항목에서 그러한 결정을 원칙적으로 허용하고 있다. 이에 따라 정보주체는 거부권을 스스로 행사하고 원용하기 위하여 과중한 입증책임을 부담한다. 또한, 자동화된 결정의 유무와 그 결과를 정보주체에 ‘제공’할 것을 요구하는 GDPR과 달리, 개정안은 해당 결정의 기준과 절차를 ‘공개’할 것을 규정하고 있다. 이들 신설 규정은 정보주체가 과연 실제 현실에서 새롭게 도입된 대응권을 행사할 수 있는지에 관한 의구심을 자아낸다. 일반적으로 정보주체는 자동화된 개인정보 처리의 존재를 애초에 알기 어려우며, 그러한 결정이 어떻게 이루어지는지, 그 결과가 어떠한지, 그러한 결과가 자신에게 어떠한 영향을 미치는지를 파악하기 어렵기 때문이다. 이외에도 논문은 GDPR과 다각적 비교를 통하여, 개정안이 개인정보처리자의 편익과 정보주체의 권리 간 형량에 있어서 전자의 이익에 지나치게 편중하고 있다는 사실을 비판한다. 이에 논문은 자동화된 결정에 대한 정보주체 권리가 더욱 강화될 필요가 있음을 지적하면서, 이에 관한 개인정보 보호법 개정 방향을 제언하고 있다.
The rise of new technologies allows data controller to rely on automated decisions evaluating personal aspects of data subjects. Such decisions, solely based on automated processing with legal effects, may significantly affect data subjects’ rights. The EU GDPR, therefore, provides a data subjects’ right not to be subject to automated decision-making. Likewise, the Korean government recently provided a proposed amendment to the Personal Information Protection Act where data subjects can deny automated decision-making significantly affecting their rights and interests. This article compares the proposed amendment with the relevant provisions of the GDPR and criticizes that the former does not ensure an adequate level of data protection guaranteed in the latter. While the GDPR establishes a general prohibition for decision-making based solely on automated processing, the proposed amendment regulates general permission thereof, whereby the right to deny must be actively invoked by each data subject. Moreover, the proposed amendment simply requires data controllers to make public procedures and standards of automated decisions whereas the GDPR stipulates the data controllers’ duty to take appropriate measures to provide any information relating to automated decision-making in a concise, transparent, intelligible, and easily accessible form. By way of such comparison, the article argues that the future amendment of the Personal Information Protection Act should actively reflect the GDPR and prohibit automated decision-making in general to ensure the legitimate interests of data subjects.