신용정보법 §36조의2 — 자동화평가

시행 중 (금융위원회 소관)

금융권 AI는 본 조항이 AI 기본법보다 우선 적용될 가능성이 높습니다.

주요 의무

  • 설명요구권 — 자동화평가 결과의 기준·처리 방식을 설명할 의무.
  • 정보제출권 — 기초 정보의 정정/삭제 요청을 수용할 의무.
  • 이의제기권 — 재처리·재평가 요구 수용 의무.
  • (거부권 없음) — PIPA §37조의2·AI 기본법과 차이.

Junyul 이벤트 매핑

  • decision.automated_decision_made — 평가 시점 기록. legal_basescredit_info_36_2_kr가 반드시 포함되어야 합니다.
  • decision.explanation_provided — 설명 전달 시점.
  • objection.received / objection.resolved — 이의제기 수명주기.

유의사항

금융회사는 「개인정보의 안전성 확보 조치 기준」과 함께 상기 의무를 중첩 이행해야 합니다. Junyul Business 티어는 이 교차 매핑을 미리 구성해 제공합니다. 구체적으로는 신용정보법 §36조의2와 개인정보보호법 §37조의2가 동일한 의사결정에 동시에 적용되는 경우가 흔하며(예: 대출 승인 거절 → 신용평가 + 자동화된 결정 모두 해당), 이때는 legal_bases 배열에 ["credit_info_36_2_kr", "pipa_37_2_kr"]를 동시에 담습니다. 대시보드는 해당 이벤트에 두 조항의 이행 체크리스트를 모두 표시합니다.

설명 템플릿 구조

금융위원회는 2023년 「자동화평가 설명 표준 템플릿」을 공개하여 최소 구성 요소를 명시했습니다:

  • (1) 평가 대상 거래의 종류 및 신청 일시
  • (2) 평가에 사용된 개인신용정보 항목 (예: 소득, 연체 이력, 연령, 직업 구분)
  • (3) 각 항목의 영향 정도를 정성적으로 표현 (상/중/하 또는 가중치 %)
  • (4) 평가 결과 산출 절차 개요 (모델 유형·기간·정확도 지표 포함)
  • (5) 정정·삭제 요구 시 재평가 진행 방법 안내

Junyul의 설명요구 대응 템플릿은 이 5요소를 자동으로 채워 LLM이 한국어 초안을 작성합니다. 법무팀은 /assessments/:id/explanation에서 검토·서명한 뒤 PDF 또는 공식 문서 양식으로 내보낼 수 있습니다. 이의제기 접수 시점부터 25일 이내(신용정보법 시행령 §28조의3 기준) 회신 기한도 대시보드가 카운트다운하여 법무팀 대시보드에 노출합니다.

과태료 및 감독 행정

신용정보법 §36조의2 위반에 대한 과태료는 건당 최대 3천만원(법 §50조)이며, 반복 위반·고의 위반 시 가중됩니다. 금융감독원은 2024년 이후 연 2회 현장검사에서 자동화평가 관련 설명요구 응답 기록을 요구하고 있으며, 응답 지연(25일 초과)이 반복되면 기관 경고·업무 개선 명령으로 확장될 수 있습니다. Junyul은 법 시행 당시 인지한 금감원 감독규정 별책 17호(2024년 개정)의 체크리스트를 룰셋으로 내장해, 현장검사 대응 시 증빙 제출 시간을 수 일에서 수 시간으로 단축하는 것을 목표로 합니다. Enterprise 티어 계약 고객은 검사 사전 준비 단계에서 Junyul 컴플라이언스 팀의 원격 지원(주 5시간/분기)을 포함합니다.

재평가 워크플로우

이의제기 결과 재평가가 필요한 경우 Junyul은 다음 단계를 자동으로 트리거합니다. 첫째, 원결정 이벤트를 참조하는 decision.decision_reversed 또는 decision.human_review_triggered 이벤트를 생성합니다. 둘째, 인간 심사자가 대시보드에서 재처리 결과를 입력하면 decision.human_review_completed가 기록되고 원결정 이벤트의 해시체인에 연결됩니다. 셋째, 번복 결정이 이뤄지면 감사 로그에 원결정 해시와 함께 불변 기록됩니다. 이 체인은 금융감독원 현장검사 시 조회·인증 가능한 형태로 7년간 보존(cold_archive_manifests 테이블 + S3 Parquet Object Lock)됩니다.