GDPR의 자동화된 의사결정이란 무엇인가?

일반 개인정보 보호법(GDPR)에 따른 자동화된 의사결정(ADM)은 인간의 개입 없이 알고리즘이나 인공지능과 같은 기술적 수단을 통해 내려지는 모든 결정으로 정의됩니다. 예시로는 자동화된 제품 추천 및 은행업에서의 알고리즘적 사기 탐지가 있습니다. GDPR 제22조에 명시된 바와 같이, 개인("정보 주체")은 프로파일링을 포함하여 오직 자동화된 처리에 기반한 결정의 대상이 되지 않을 권리를 가지며, 특히 그러한 결정이 법적 효력을 발생시키거나 개인에게 중대한 영향을 미치는 경우에 그렇습니다.

ADM이 허용되는 세 가지 주요 근거:

• 계약의 이행: 정보 주체와 사업자 간의 계약 체결 또는 이행을 위해 ADM이 필요한 경우입니다.
• 법적 승인: 탈세 감시와 같이 연합 또는 회원국 법률에 의해 ADM이 승인된 경우입니다.
• 명시적 동의: 정보 주체가 처리에 대해 명시적으로 동의한 경우입니다.

법적 및 실제적 영향은 다음과 같이 관찰되었습니다:

• ADM을 도입하는 사업자는 의미 있는 인간의 개입, 개인이 자신의 견해를 표현할 기회, 그리고 결정에 이의를 제기할 수 있는 능력과 같은 보호 장치를 보장해야 합니다.
• "중대한 영향"의 범위는 광범위하게 해석되며 신용도, 고용 기회 또는 공공 서비스 접근성에 대한 영향을 포함할 수 있습니다.
• ADM 시스템은 투명성, 알고리즘 편향성, 사용자 동의 메커니즘의 적절성에 대한 규제 당국의 정밀 조사를 촉발했습니다.
• 최근의 실증 연구에 따르면, 많은 조직이 제22조를 완전히 준수하기 위한 적절한 프로세스, 특히 설명 제공 및 효과적인 이의 제기 절차와 관련하여 부족한 점이 있는 것으로 나타났습니다.

요약하자면, GDPR은 엄격한 법적 조건이 충족되고 명시적인 보호 장치가 마련되지 않는 한 중대한 영향을 미치는 ADM을 제한합니다. 관련 문헌에서는 이러한 보호 장치를 운영하고 의미 있는 인간의 감독을 보장하는 데 있어 지속적인 어려움이 있음을 강조합니다.