개인정보보호법 §37조의2 — 자동화된 의사결정
시행일: 2024.03.15 (이미 발효 중)
권리 3종
- ①항 거부권 — 정보주체는 자동화된 결정을 거부할 수 있습니다.
- ②항 설명요구권 — 결정 기준·절차·개인정보 처리 방식을 설명받을 권리.
- ④항 공개 의무 — 개인정보처리자는 위 세 사항을 명확히 공개해야 합니다.
Junyul 매핑
| 권리 / 의무 | Junyul 기능 | 관련 이벤트 타입 |
|---|---|---|
| 자동화된 결정 사실 고지 | SDK disclosure 미들웨어 + 대시보드 공개 정책 페이지 | transparency.policy_disclosed, transparency.notice_shown |
| 거부권 접수 | React/Vue 거부 버튼 컴포넌트, API objection.received | objection.received |
| 설명 제공 | Impact Assessment 편집기 §2·§5 내용 + 템플릿 자동 생성 | decision.explanation_provided |
| 인간 재처리 | 대시보드 Human Review 워크플로 | decision.human_review_triggered → decision.human_review_completed |
| 결정 번복 | 재처리 결과 저장 + 원결정 참조 | decision.decision_reversed |
AI 기본법·GDPR과의 중첩
PIPA §37조의2는 pipa_37_2_kr legal_basis로 태그됩니다. 동시에 AI 기본법 ai_basic_law_kr 또는 GDPR gdpr_art_22와 결합된 결정은 Junyul의 단일 workflow로 모두 기록·이행됩니다.
2024 이후 주요 가이드라인
- 2024.08: PIPC 「자동화된 결정에 대한 정보주체의 권리 안내서」 (v1.0)
- 2025.03: PIPC 「설명요구 응답 표준 템플릿」
- 2026.02: PIPC·AI기본법 교차 해설서 (MSIT 공동)
Junyul 룰셋은 이 가이드라인 개정 때마다 v2026.xx.yy.1 형태로 업데이트되며, 자동으로 고객사의 활성 룰셋에 제안됩니다. 기존 룰셋을 유지할지, 신규로 전환할지 여부는 법무팀이 대시보드의 /settings/rulesets에서 선택할 수 있습니다. 전환은 감사 로그에 불변 기록으로 남고, 이후 감사 보고서에 룰셋 버전 필드로 자동 인용됩니다.
왜 이 조항이 중요한가
PIPA §37조의2는 2024년 3월 시행된 뒤 실제 민원·소송이 빠르게 누적되고 있습니다. 개인정보보호위원회는 2025년 상반기까지 약 40건의 자동화된 결정 관련 분쟁에 대해 개선 권고를 발하였으며, 그중 약 70%는 “결정 기준·절차의 불충분한 공개”문제로 분류되었습니다. 이는 많은 기업이 “AI를 쓰고 있다”는 사실은 공개하지만, 구체적으로 어떤 피처가 어떻게 가중치 되는지는 설명하지 못했기 때문입니다.
Junyul은 이 간극을 메우기 위해 두 가지 접근을 제공합니다. 첫째, @junyul.track 데코레이터는 호출 시점의 입력 피처 이름(원본이 아니라 필드명만)과 모델 버전·리스크 티어를 자동으로 이벤트에 기록합니다. 둘째, 설명요구 대응 템플릿은 LLM이 해당 이벤트 로그와 룰셋을 참조해 한국어 자연어로 초안을 작성하며, 법무팀이 검토·서명해 7일 이내 전달(PIPA 시행령 제44조의3 기준) 기한을 충족할 수 있도록 돕습니다.
배포 체크리스트
- SDK가
disclosure이벤트를 생성하는지/events?event_type=transparency.notice_shown에서 확인. objectionUI 컴포넌트가 로그인·비로그인 모두에서 접근 가능한지 검증 (비로그인 경로에서는 이메일 + 캡차 기반 거부 접수).- 자동화된 결정이 “인간 개입 없음”으로 표시된 경우, 대시보드
/assets/:id/impact에서 PIPA §37조의2 ②항 대응 섹션이 채워져 있는지 확인 — 미작성 시 컴플라이언스 스코어에 경고 표시. - 분기별 리포트 생성(
/reports): 거부권·설명요구 건수, 평균 응답 시간, 인간 재처리 결정 번복률. PIPC 서면 질의 대응 시 증거로 제출 가능.