개인정보 자동화결정 거부권
AI가 내 대출·취업을 거절해도 막을 수 있습니다
AI가 이미 나의 신용·취업·보험을 판단하고 있습니다. 2024년 3월부터 시행된 개인정보 자동화결정 거부권을 아직 모른다면, 불이익을 당해도 이의 한 번 못 제기하는 상황이 됩니다.
2026 마이데이터 전 분야 확대
과징금 매출액 10% 상향 추진
설명요구권 + 검토요구권 포함
① AI 판사가 내 인생을 결정하는 시대, 자동화결정 거부권이란?
개인정보 자동화결정 거부권은 사람의 개입 없이 오직 알고리즘과 AI만으로 이루어지는 결정에 대해 정보주체(= 나)가 거부하거나 설명을 요구할 수 있는 법적 권리입니다. 2024년 3월 15일부터 개정 개인정보 보호법 제37조의2가 시행되면서 한국에도 EU GDPR의 ‘자동화된 의사결정 반대권(Article 22)’에 준하는 권리가 정식으로 도입되었습니다.
이 권리가 왜 중요한지를 한 가지 사례로 설명하겠습니다. 직장인 A씨는 인터넷 전문은행 앱에서 대출 심사를 신청했다가 단 3초 만에 “거절”이라는 결과를 받았습니다. 상담원을 연결하려 해도 “AI 심사 결과이므로 재심사 불가”라는 답변만 돌아왔습니다. 이제는 다릅니다. 법 개정 이후 A씨는 해당 금융기관에 “어떤 기준으로 거절됐는지 설명하라”고 공식 요구하고, 필요하면 “사람이 직접 재검토하라”고 요청할 수 있습니다.
② 어디까지 적용되나? 대출·채용·보험·콘텐츠 추천까지
이 권리의 적용 범위를 이해하려면 먼저 「자동화된 결정」의 정의를 알아야 합니다. 개인정보보호법에서 말하는 자동화된 결정이란, 오로지 자동화된 시스템에만 의존하여 정보주체의 권리나 의무에 중대한 영향을 미치는 결정을 뜻합니다. 여기서 “중대한 영향”이 핵심인데, 개인정보위가 발표한 안내서에 따르면 단순히 긍정적 혜택(추천 쿠폰, 취미 콘텐츠 추천 등)은 해당하지 않으며, 아래와 같은 영역이 주요 적용 대상입니다.
| 분야 | 구체적 사례 | 중대한 영향 여부 |
|---|---|---|
| 금융·대출 | AI 신용평가, 대출 한도·금리 자동 산정, 카드 발급 거절 | ✅ 해당 |
| 채용·인사 | AI 면접 점수화, 이력서 자동 필터링, 승진 평가 알고리즘 | ✅ 해당 |
| 보험 | 건강 데이터 기반 보험료 자동 산정, 보험 가입 거절 | ✅ 해당 |
| 의료 | AI 진단 보조 결과만으로 치료 방향 결정 | ✅ 해당 |
| 임대차·부동산 | 임차인 신용 자동 심사, 임대 거절 | ✅ 해당 |
| 콘텐츠 추천 | 유튜브 알고리즘, 쇼핑 맞춤 추천 | ❌ 대체로 비해당 |
중요한 것은 사람이 최종 결정에 전혀 개입하지 않은 경우에만 이 법이 적용된다는 점입니다. AI가 후보군을 추리더라도 사람 담당자가 최종 검토했다면 해당 법 조항의 직접 적용 대상이 아닐 수 있습니다. 하지만 현실에서는 AI 결과를 그대로 통보하는 경우가 압도적으로 많기 때문에 사실상 대부분의 디지털 심사 영역이 이 권리의 적용 대상이라고 봐도 무방합니다.
③ 3가지 권리 완전 해부: 거부권·설명요구권·검토요구권
개인정보 보호법 제37조의2는 하나의 권리가 아니라 세 가지 독립적인 권리의 묶음입니다. 각각의 차이를 명확히 이해해야 상황에 맞게 행사할 수 있습니다.
1) 거부권(Opt-out Right)
AI 자동화 결정 자체를 거부하는 권리입니다. 예를 들어 금융기관에서 AI만으로 대출 심사를 진행하려 할 때, 사전에 또는 결정 후에 “이 자동화 결정 과정에서 나를 배제해 달라”고 요구할 수 있습니다. 기업은 정당한 사유 없이 이를 거부하지 못합니다.
2) 설명요구권(Explanation Right)
AI가 내린 결정의 근거와 로직에 대한 설명을 요청하는 권리입니다. “내 대출이 왜 거절됐나요?”라고 물으면 기업은 단순히 “AI가 판단한 결과입니다”라고 답변하는 것으로 의무를 다할 수 없습니다. 개인정보위 안내서에 따르면, 의미 있는 정보(meaningful information)를 선별하여 제공해야 합니다. 예를 들어 “소득 대비 기존 부채 비율이 기준 초과, 최근 6개월 연체 이력 반영”과 같이 구체적인 설명 의무가 부여됩니다.
3) 검토요구권(Human Review Right)
자동화 결정에 이의가 있을 경우, 사람이 직접 재검토하도록 요구하는 권리입니다. 이것이 사실상 가장 강력한 권리입니다. 기업은 AI 결과를 사람 담당자가 실제로 재검토하고 그 결과를 정보주체에게 알려야 합니다. “검토했지만 결과는 동일합니다”라는 답변도 가능하지만, 검토 자체를 생략하는 것은 위법입니다.
④ 실전 행사 방법: 클릭 한 번으로 AI 결정에 이의 제기하기
권리가 있어도 행사하는 방법을 모르면 무용지물입니다. 아래 4단계 절차를 따라가면 됩니다.
자동화 결정 여부 확인 — 해당 기업의 개인정보처리방침을 확인합니다. 2025년 5월 개정된 개인정보 처리방침 작성지침에 따라 모든 사업자는 자동화 결정의 존재와 그 행사 방법을 처리방침에 명시해야 합니다. 홈페이지 하단 ‘개인정보처리방침’ 링크에서 확인하세요.
권리 행사 채널 확인 — 기업마다 공식 채널이 다릅니다. 개인정보보호 담당자 이메일, 앱 내 ‘개인정보 권리 행사’ 메뉴, 또는 서면 요청 등의 방법이 있습니다. 처리방침에 명시된 방법으로만 요청해야 법적으로 기록이 남습니다.
공식 요청서 발송 — 요청서에는 ① 본인 확인 정보, ② 대상 자동화 결정 내용, ③ 거부/설명/검토 중 행사하려는 권리의 종류, ④ 요청 이유를 명시하면 됩니다. 구체적일수록 기업이 무시하기 어렵습니다.
응답 기한 확인 및 미응답 시 신고 — 기업은 원칙적으로 정당한 사유가 없는 한 요청에 응해야 합니다. 응답 없거나 거부 사유가 불충분하다면 개인정보보호위원회 침해신고센터(privacy.go.kr 또는 국번없이 182)에 신고할 수 있습니다.
⑤ 2026년 달라지는 것: 마이데이터 전 분야 + 징벌적 과징금 10%
2026년은 개인정보 자동화결정 거부권의 실질적 파급력이 한층 강해지는 해입니다. 크게 두 가지 변화가 눈에 띕니다.
마이데이터 제3자 전송 서비스, 에너지·교육·고용·문화여가로 확대
2025년 의료·통신 분야에서 시작된 마이데이터 본인전송요구권이 2026년에는 에너지(전기·가스 사용량), 교육(성적·수강 이력), 고용(급여·근로계약), 문화여가(도서관 대출, 공연 이용 이력) 분야까지 확대됩니다. 이 데이터들은 AI가 나를 평가할 때 활용하는 핵심 정보들입니다. 내 데이터를 직접 통제·이동할 수 있게 되면, AI 모델에 입력되는 데이터 자체를 관리하는 것도 가능해집니다.
징벌적 과징금 매출액 3% → 10%로 상향 추진
2026년 초 현재 개인정보 보호법 개정안이 국회 법제사법위원회를 통과한 상태로, 고의·중과실로 개인정보를 침해하거나 자동화결정 관련 의무를 위반한 기업에 대한 과징금 상한이 전체 매출액의 3%에서 최대 10%로 대폭 상향됩니다. 3년 이내 반복 위반 또는 피해자 1,000만 명 이상의 경우에도 상향된 과징금이 적용됩니다. 매출액 산정이 어려운 경우 최대 50억 원까지 부과 가능합니다.
⑥ 기업이 거부권 요청을 무시하면? 처벌과 구제 절차
자동화결정 거부권의 실효성은 “위반 시 어떤 일이 벌어지는가”에 달려 있습니다. 현행법 체계와 2026년 예정된 강화 내용을 함께 정리합니다.
현행 제재 체계 (2024년 3월 시행 이후)
개인정보 보호법 제37조의2를 위반하여 정보주체의 권리 행사를 방해하거나 정당한 이유 없이 거부하는 경우, 개인정보보호위원회의 시정명령 대상이 됩니다. 더불어 정보주체는 침해가 있었음을 이유로 민사상 손해배상을 청구할 수 있으며, 입증 책임 일부가 기업에 전환되는 구조입니다.
구제 신청 3단계 경로
개인정보보호위원회 침해신고 — privacy.go.kr 또는 국번없이 182. 처리 후 결과 통보까지 평균 30일 내외가 소요됩니다.
개인정보분쟁조정위원회 조정 신청 — 개인과 기업 간 분쟁을 비용 없이 중재합니다. 조정 성립 시 확정판결과 동일한 효력이 있습니다.
단체소송 — 2026년 개정안에는 단체소송 요건에 ‘손해배상’을 추가하는 내용이 포함돼 있어, 대규모 피해 시 집단 행동이 더 용이해집니다.
⑦ 알아야 할 한계: 모든 AI 결정에 통하지 않는 이유
이 권리가 강력한 것은 사실이지만, 맹목적으로 믿으면 실망할 수 있습니다. 실무적으로 주의해야 할 한계를 솔직하게 짚겠습니다.
첫째, 법적으로 허용된 자동화 결정은 예외입니다. 법령에 근거한 자동화 결정(예: 세금 자동 산정 시스템, 교통 단속 카메라 벌점 처리)에는 이 거부권이 적용되지 않습니다. 국가가 법률로 정한 행정 처분은 개별 거부 요청의 대상이 아닙니다.
둘째, 적용 대상 사업자 범위의 현실적 한계가 있습니다. 마이데이터 전송 의무를 지는 대형 사업자(평균 매출 1,800억 원 초과 + 이용자 100만 명 이상)는 의무 대상이지만, 중소 스타트업이나 영세 사업자는 현실적 이행 역량이 부족한 경우가 많습니다.
셋째, 설명요구를 했더라도 결과가 뒤집히지 않을 수 있습니다. 기업이 설명 의무를 성실히 이행하더라도 결론 자체를 번복할 의무는 없습니다. 설명 자체가 납득할 만하다면 거부 결정은 유효하게 유지됩니다. 다만, 설명 내용이 부당하거나 차별적 요소가 발견된다면 별도의 불합리한 처우 금지 법령(예: 금융소비자보호법, 차별금지법 논의) 위반으로 문제를 제기할 수 있습니다.
🙋 자주 묻는 질문 Q&A
대출 거절 후에도 자동화결정 거부권을 행사할 수 있나요?
AI 채용 면접에서 탈락한 경우도 이 권리를 쓸 수 있나요?
설명요구를 하면 기업이 영업비밀이라며 거절할 수 있나요?
마이데이터 권리와 자동화결정 거부권은 어떻게 다른가요?
기업이 응답 기한을 얼마나 지켜야 하나요?
마치며 — AI 시대, 모르는 사람만 불이익을 당합니다
개인정보 자동화결정 거부권은 2024년 3월에 이미 시행됐지만, 정작 이 권리를 알고 있는 사람은 극소수에 불과합니다. 기업들은 AI 심사를 기본값으로 운영하고, 대부분의 사람들은 “AI가 거절했으니 어쩔 수 없다”며 포기합니다. 하지만 이제는 아닙니다.
2026년에는 마이데이터가 에너지·교육·고용 분야로 확대되고, 징벌적 과징금이 매출액 10%로 상향될 예정입니다. 이는 기업에게는 부담이지만, 개인에게는 실질적인 협상 카드가 생기는 것을 의미합니다. AI가 내린 결정을 무조건 수용하던 시대에서, 이의를 제기하고 설명을 요구할 수 있는 시대로 넘어가고 있습니다.
법은 아는 사람만 보호합니다. 오늘부터라도 대출 심사, 채용, 보험 가입에서 AI의 결정을 받았다면 “이 결정은 자동화 결정인가, 설명을 요구할 수 있는가”를 먼저 확인하는 습관을 들이시기 바랍니다.
※ 본 콘텐츠는 2026년 3월 6일 기준 공개된 법령 및 정책 자료를 바탕으로 작성된 정보 제공 목적의 글입니다. 개별 법률 문제는 반드시 전문가(법무사·변호사)와 상담하시기 바랍니다. 법령 개정에 따라 내용이 변경될 수 있습니다. 외부 링크(개인정보보호위원회 공식 사이트)는 참고용이며, 해당 기관의 운영 방침에 따라 변경될 수 있습니다.
댓글 남기기