• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    연구논단

    인공지능과 자동화평가 대응권

    이대희 교수 (고려대 로스쿨) 입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • 166997.jpg

    자동화평가와 프로파일링

    지난해 8월 5일 시행된 개정 신용정보의 이용 및 보호에 관한 법률(신용정보법)은 자동화평가 및 이에 대한 대응권을 신설하였다. '자동화평가'는 신용정보처리 분야에서 인공지능을 활용하는 것으로서 신용정보회사 등의 종사자가 평가 업무에 관여하지 아니하고 컴퓨터 등 정보처리장치로만 개인신용정보 및 그 밖의 정보를 처리하여 개인인 신용정보주체를 평가하는 행위로 정의된다(제2조). 자동화평가는 인간이 관여하지 아니하고 자동적인 수단에 의하여 신용정보주체를 평가하는 것으로서 머신러닝에 기초한 개인신용평가, 인공지능을 활용한 온라인 보험료 산정, 사전 프로그램된 알고리즘에 의한 대출여부 결정 등을 들 수 있다.

      

    자동화평가는 프로파일링에 의하여 이루어지는 것이 일반적이지만 양자는 엄격히 구별되는 개념이다. 신용정보법상의 자동화평가는 컴퓨터 등 정보처리장치만에 의한 평가로서 프로파일링 여부와는 관계없다. 또한 프로파일링이 관여되더라도 자동적으로 이루어지는 프로파일링(수동적인 프로파일링은 제외)만 포함된다. 프로파일링에 의하여 상관관계가 있는 것으로 밝혀진 데이터들(프로파일)은 일정한 결정이나 평가를 위하여 사용되는데 이러한 평가가 '인간이 관여하지 아니하고' 정보처리장치로만 이루어지는 경우가 자동화평가이다.


    인공지능 알고리즘의 문제점

    프로파일링은 서로 다른 데이터결합물 간에 상관관계를 발견하기 위한 것으로서, 일반적으로 알고리즘을 사용하여 일정한 행동을 예측하거나 서비스 제공 여부와 같은 결정을 하기 위하여 사용된다. 프로파일링을 위하여 가장 많이 사용되는 방법은 머신러닝이다. 머신러닝 알고리즘은 자동적이고 신속한 처리에 의하여 데이터 처리를 향상시키고 데이터에서 일정한 패턴을 찾아내거나 자동적으로 예측·분류·결정 등을 한다. 머신러닝 알고리즘에 의하여 자동화평가가 가능해지는데 예컨대 직무성과 분석, 안면 인식, 보험·대출 자격 심사, 신용평가 등이 자동적으로 이루어질 수 있다.

     

    그런데 인간이 관여하지 아니하고 컴퓨터 등 정보처리장치로만 개인신용정보 및 그 밖의 정보를 처리하여 특정 개인의 신용을 평가하고 이에 따른 결정을 하는 경우 투명성 문제가 발생할 수 있다. 머신러닝 알고리즘은 매우 불명확하여 이용자들에게 블랙박스(black box)로 작용하기 때문이다. 머신러닝 알고리즘에 의한 자동 의사결정 과정은 불투명하고 편견에 의하여 차별이 발생할 수 있고 전혀 예측할 수 없는 결과를 야기할 수도 있다. 더군다나 프로파일링은 정보주체의 동의 없이 이루어지거나 심지어 정보주체가 인식하지도 못하는 상황에서 이루어지고 민감정보가 처리되어 정보주체의 프라이버시나 이해관계에 중대한 영향을 미칠 수 있다. 궁극적으로 인간이 관여하지 않고 기계에 의하여서만 이루어지는 자동적인 의사결정은 기계에 대한 인간의 종속화를 불러오는데 바로 여기에 자동화평가를 규율할 필요성이 있게 된다.

     


    자동화평가 대응권의 인정 필요성

    신용정보법은 자동화평가와 관련하여 신용정보주체에게 ①설명요구권 ②정보제출권 ③이의제기권을 부여하고 있다. 이러한 권리는 자동화평가에 대한 적극적인 대응권으로서 자동화평가로 인하여 불이익을 받을 수 있는 신용정보주체를 구제하기 위한 것이다.

     

    166977_1.jpg

    알고리즘에 의한 시스템은 사회적으로 많은 영향을 미치므로 자동화 시스템을 디자인하고 활용함에 있어서 공정성·책임성·투명성을 증진시킬 필요성이 있다. 알고리즘에 의한 자동화평가에 대해서도 설명을 요구하고 자동화평가의 결과에 대하여 이의를 제기할 수 있는 것은 당연한 것이 된다. 신용정보법이 자동화평가 대응권을 부여한 것은 머신러닝이나 프로파일링 등에 의하여 이루어지는 자동화평가에 대하여 투명성을 확보하기 위한 것이라 할 수 있다.

     


    유럽연합 개인정보규범: GDPR

    신용정보법상의 자동화평가 대응권은 유럽연합의 개인정보 규범인 GDPR에 기원한다. GDPR은 자동적 의사결정과 관련하여 ①자동화평가(프로파일링 포함)의 존재 등 정보주체에 대한 정보통제자의 정보제공 의무 ②자동화평가의 존재 등의 정보에 대하여 접근할 권리 ③자동화처리에만 바탕한 결정의 적용을 받지 않을 권리 등을 규정하고 있다. GDPR은 이러한 권리에 대한 예외를 허용하고 예외가 허용되는 2가지 경우에도 정보주체의 권리·자유 및 정당한 이익을 보호하기 위하여 일정한 조치를 취하도록 하고 있다.

     

    166997_2.jpg

    신용정보법과 GDPR은 자동적인 의사결정과 관련하여 매우 유사하게 규정하고 있다는 것을 알 수 있는데 신용정보법이 GDPR의 내용을 원용하였다는 것을 알 수 있다. 그런데 정보주체의 권리·자유 및 정당한 이익을 보호하기 위하여 일정한 조치에 대하여 GDPR의 본문 및 전문(recital)이 약간 달리 규정하고 있다. 곧 위의 표에서 볼 수 있다시피 GDPR의 서문은 정보주체가 설명을 요구할 수 있다고 하고 있는데 이로 인하여 유럽에서는 설명요구권이 과연 인정되는 것인지 논란이 되기도 한다. 

     

    제29조 작업반(Art. 29 Working Party)의 가이드라인은 설명권을 이행함에 있어서 비록 알고리즘을 복잡하게 설명하거나 알고리즘 전체를 공개하는 것이 반드시 필요하지는 않지만 의사결정이 이루어지는 배경 논리나 의사결정이 이루어지는 기준을 알려주는 간단한 방법을 모색할 것을 주문하고 있다. 이를 위하여 작업반은 ㉮ 정보주체에게 정보통제자(한국의 개인정보법상 사실상 개인정보처리자 가까운 개념)가 자동화 의사결정을 한다는 것을 통지하고 ㉯ 관련된 논리에 관한 의미 있는 정보를 제공하고 ㉰ 정보처리의 중요성과 예상되는 결과를 설명하도록 하고 있다. 또한 알고리즘이나 머신러닝이 어떻게 작동하는가에 관하여 복잡하게 수학적으로 설명하는 대신에 ㉮ 프로파일링이나 의사결정 과정에 사용되었거나 사용될 예정인 데이터의 유형 ㉯ 이러한 유형의 데이터가 왜 적절한지 ㉰ 자동화 의사결정 과정에서 분석에 사용된 통계 등 프로파일이 어떻게 이루어지는지 ㉱ 이러한 프로파일이 자동화 의사결정 과정에서 왜 관계되는지 ㉲ 이러한 프로파일이 정보주체에 관한 결정을 하기 위하여 어떻게 사용되는지 등과 같이 정보를 전달하기 위한 명확하고 종합적인 방법을 고려할 것을 권고하고 있다. 작업반의 이러한 설명은 한국에서 자동화평가 대응권을 해석하고 적용하는데 상당한 도움이 될 수 있을 것으로 보인다.

     


    자동화평가 대응권의 내용

    개인신용정보주체의 자동화평가 대응권을 다음의 사례를 통하여 고찰해 보자.

    은행의 고객이 온라인을 통하여 대출을 신청하고, 은행은 대출 신청을 심사하여 고객에 대한 대출 여부를 결정하고자 한다. 은행은, 그동안 고객에 대하여 축적하거나 고객이 제출한 정보(개인신용정보)를 처리하여 산출한 신용평점이나 개인신용평가회사가 고객에 대하여 수집한 신용정보를 분석하여 은행에게 제공한 신용평점을 바탕으로 대출을 거부하기로 결정하였다. 은행 및 개인신용평가회사가 고객의 신용정보를 처리함에 있어서는 사람이 관여하지 않고 컴퓨터 등 정보처리장치에 의하여서만 이루어졌는데 사전에 신용점수 산출 등에 대한 기준이 입력된 알고리즘을 이용한 것이었다. 은행이 고객에게 대출을 거부한 것도 은행 자신 및 개인신용평가회사가 은행에게 제공한 신용평점을 바탕으로 자동적으로 거부한 것이었다.

    신용정보주체인 고객은 은행에 대하여 첫째, ①자신에 대한 개인신용평가 및 대출 거부가 자동화평가에 의한 것인지 여부 ②㉮자동화평가의 결과, ㉯자동화평가의 주요 기준, ㉰자동화평가에 이용된 기초정보에 대하여 설명해 줄 것을 요구할 수 있다(설명요구권).

     

    둘째, 고객은 은행에 대하여 자신에게 자동화평가 결과의 산출에 유리하다고 판단되는 정보를 제출할 수 있다(정보제출권).

     

    셋째, 고객은 자동화평가에 이용된 기초정보의 내용이 정확하지 아니하거나 최신의 정보가 아니라고 판단되는 경우 ①기초정보를 정정하거나 삭제할 것을 요구하고 ②자동화평가 결과를 다시 산출할 것을 요구할 수 있다(기초정보의 정정·삭제 및 자동화평가 결과의 재산출 요구권).


    위의 사례에서 은행은 ①신용정보법이나 다른 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 ②고객의 요구에 따르게 되면 금융거래 등 상거래관계의 설정 및 유지 등이 곤란한 경우 등에는 고객의 요구를 거절할 수 있다.

     

     

     이대희 교수 (고려대 로스쿨)


    최근 많이 본 기사