AI 추천 시스템, 신용 자동 심사, 행동 기반 광고 타겟팅 — 이 모든 것이 자동화된 개인정보 처리입니다. 개인정보보호법은 이러한 처리에 대해 정보주체가 알고 대응할 수 있도록 보호 의무를 부과합니다.
특히 2023년 이후 개정된 법령에서는 자동화된 결정에 대한 설명 요구권과 거부권이 강화됐습니다.
프로파일링이란?
프로파일링(Profiling)은 개인의 특성을 자동으로 분석·예측하는 처리를 말합니다.
프로파일링의 예:
✅ 구매 이력 → "이런 상품을 좋아할 것" 예측
✅ 접속 시간대 + 클릭 패턴 → 라이프스타일 분석
✅ 대출 이력 + 소비 패턴 → 신용 점수 산출
✅ 채팅 내용 + 앱 사용 → 감정·심리 상태 추정
✅ 위치 이력 → 생활 반경 및 직장/자택 추론
개인정보보호법상 자동화 처리 의무
처리방침 기재 의무 (제30조)
자동화된 결정이 정보주체에게 중요한 영향을 미치는 경우, 처리방침에 반드시 기재해야 합니다.
■ 자동화된 처리 및 프로파일링
당사는 다음 목적으로 개인정보를 자동화하여 처리합니다.
1. 맞춤 상품 추천
처리 방식: 구매 이력, 검색 이력, 장바구니 데이터 분석
처리 결과: 개인별 상품 추천 리스트 생성
거부 방법: [설정 > 맞춤 추천 비활성화]
2. 신용 자동 심사 (대출·후불 결제)
처리 방식: 거래 이력, 납입 실적, 외부 신용 데이터 결합 분석
처리 결과: 한도 및 금리 자동 결정
설명 요구: 고객센터(OO-OOOO-OOOO) 통해 설명 제공
정보주체의 권리 (개정 PIPA 제37조의2)
자동화된 결정이 법적 효력을 갖거나 중요한 영향을 미치는 경우:
| 권리 | 내용 | 처리 기간 | |------|------|---------| | 설명 요구권 | 자동 결정의 기준·근거 설명 요구 | 10일 이내 | | 거부권 | 자동화된 처리에 의한 결정 거부 | 즉시 또는 10일 이내 | | 인적 검토 요구권 | 자동 결정 대신 사람이 검토 요청 | 30일 이내 |
"중요한 영향"의 기준
모든 자동화 처리가 이 권리 행사 대상은 아닙니다. 법적 효력이나 중요한 영향을 미치는 경우에만 해당합니다.
해당하는 경우 (중요한 영향 인정)
✅ 대출 승인·거절 자동 결정
✅ 보험료 자동 산정
✅ 채용 지원자 1차 자동 스크리닝
✅ 신용카드 한도 자동 조정
✅ 서비스 이용 자동 제한 (차단·정지)
✅ 가격 차별 (개인별 다른 가격 자동 제시)
해당하지 않는 경우
❌ 상품 추천 알고리즘 (법적 효력 없음)
❌ 광고 타겟팅 (구매 강제 아님)
❌ 콘텐츠 노출 순서 변경 (알고리즘 피드)
※ 단, 처리방침 기재는 권장됨
서비스 유형별 자동화 처리 가이드
커머스: 개인화 추천
법적 의무:
□ 처리방침에 추천 알고리즘 존재 명시
□ 추천 비활성화 옵션 제공 (권장)
권장 조치:
□ 추천 근거 표시 ("최근 본 상품과 비슷해요")
□ 추천 알고리즘 개요 공개 (완전한 공개 불필요)
핀테크: 신용·대출 자동 심사
법적 의무 (강화):
□ 자동 결정 사실과 근거를 처리방침에 기재
□ 설명 요구권 행사 방법 안내
□ 인적 검토 요구 시 절차 마련
구현 예시:
"자동 심사 결과에 이의가 있으시면
[고객센터 연결] 또는 [이의 제기] 버튼을 눌러
담당자 검토를 요청할 수 있습니다."
HR테크: 채용 자동 스크리닝
법적 의무 (높음):
□ AI 스크리닝 사실을 채용 공고에 명시
□ 탈락 결정의 근거 설명 제공 (요청 시)
□ 인적 검토 보완 절차 마련
주의: AI가 이력서를 자동 탈락시키고
인사 담당자가 검토하지 않는 구조는 위험
프로파일링 데이터 보관 기한
프로파일링에 사용된 데이터는 분석 목적이 달성되면 파기해야 합니다.
구매 이력 기반 추천 프로파일:
→ 서비스 이용 기간 동안 유지, 탈퇴 시 파기
신용 자동 심사 데이터:
→ 심사 완료 후 5년 (금융 분쟁 대비)
행동 로그 기반 프로파일:
→ 6개월~1년 (목적 달성 후 파기)
민감 정보 기반 프로파일링 금지
개인정보보호법 제23조에 따라 다음 민감 정보를 기반으로 프로파일링하는 것은 별도 동의 없이 금지됩니다.
❌ 건강 상태 기반 보험 가격 차별
❌ 종교·정치 성향 기반 콘텐츠 조작
❌ 임신 여부 기반 광고 타겟팅
❌ 성적 지향 추론 기반 마케팅
이를 위해 의도적으로 민감 정보를 입력받지 않더라도, 행동 데이터에서 민감 정보를 추론하는 경우에도 같은 제한이 적용될 수 있습니다.
처리방침 자동화 처리 섹션 예시
■ 자동화된 의사결정 및 프로파일링
[자동화 처리 현황]
당사는 서비스 제공 과정에서 다음과 같은
자동화된 처리를 수행합니다.
처리 유형 | 목적 | 법적 효력 여부
맞춤 추천 | 상품/콘텐츠 추천 | 없음
가격 산정 | 프로모션 개인화 | 없음
보안 탐지 | 비정상 접근 차단 | 있음 (접근 제한)
[정보주체 권리]
자동화된 결정이 귀하에게 중요한 영향을 미치는 경우:
1. 결정 기준에 대한 설명을 요구할 수 있습니다.
2. 자동 결정에 이의를 제기하고 인적 검토를 요청할 수 있습니다.
문의: privacy@example.com
실무 체크리스트
처리방침
- [ ] 자동화된 처리 현황을 처리방침에 기재했다
- [ ] 법적 효력이 있는 자동 결정에 대한 설명 요구권 안내가 있다
- [ ] 인적 검토 요구 절차가 마련되어 있다
구현
- [ ] 중요 자동 결정에 이의 제기 기능이 있다
- [ ] 개인화 추천 비활성화 옵션이 있다
- [ ] 민감 정보를 기반으로 한 프로파일링을 하지 않는다
운영
- [ ] 설명 요구권 접수 시 10일 이내 처리하는 절차가 있다
- [ ] 인적 검토 요구 시 30일 이내 처리하는 절차가 있다
PipaGuard로 자동화 처리 점검
처리방침 자동화 섹션 기재, 설명 요구권 대응, 민감 정보 기반 프로파일링 금지까지 — AI·자동화 서비스 특화 PIPA 체크리스트를 자동으로 점검받으세요.
pipaguard.vercel.app에서 무료로 시작할 수 있습니다.