CJEU SCHUFA 판결을 통한 자동화된 의사결정의 책임성 고찰
데이터가 자본을 넘어 권력의 원천이 된 현대 정보사회에서 알고리즘은 기업의 핵심적 경쟁 우위이자 영업비밀로 간주되어 왔다. 그러나 특정 기업의 알고리즘 산출물이 개인의 삶과 경제적 기회에 결정적인 영향을 미치기 시작하면서, 그 폐쇄성과 불투명성에 대한 법적 투쟁이 가속화되고 있다. 2023년 12월 7일 유럽사법재판소(Court of Justice of the European Union, CJEU)가 선고한 오큐(OQ v Land Hessen, intervener: SCHUFA Holding AG, Case C-634/21) 판결은 이러한 갈등의 정점에서 알고리즘의 법적 지위를 재정립한 기념비적 사례이다. 이 판결은 인공지능과 자동화된 시스템이 산출하는 결과값이 단순한 참고 자료를 넘어 실질적 결정력을 행사할 때, 이를 어떻게 법적으로 통제해야 하는지에 관하여 기준을 제시하였다. 이 사건의 판결문을 통해 내용을 자세히 살펴본다(판결문).
사건의 발단은 독일의 유력 신용정보회사인 슈파 홀딩 주식회사(SCHUFA Holding AG)가 산출한 신용 점수로부터 비롯되었다. 성명 미상의 원고 오큐(OQ)는 슈파 측이 생성한 부정적인 신용 점수로 인해 제3자로부터 대출 승인을 거절당하자, 자신의 데이터에 대한 접근 및 삭제를 요청하였으나 슈파는 해당 점수의 구체적인 산출 논리가 영업비밀임을 내세워 거부하였다(para. 15-16). 이에 오큐는 헤센주 데이터 보호 및 정보 자유 위원회(Hessischer Beauftragter für Datenschutz und Informationsfreiheit)에 민원을 제기하였으나 기각되었고, 결국 독일 비스바덴 행정법원(Verwaltungsgericht Wiesbaden)을 거쳐 유럽사법재판소에 선결 결정(preliminary ruling)이 요청되었다(para. 18-20).
이 사건의 핵심 쟁점은 신용정보회사가 산출한 '확률값'(probability value) 자체가 유럽 개인정보보호법(GDPR) 제22조 제1항이 규정하는 '자동화된 개별 의사결정'에 해당하는지 여부였다(para. 40). 슈파 측은 자신들이 내놓은 결과물은 단지 은행이 대출 여부를 판단할 때 참고하는 수치일 뿐이며, 최종적인 법적 결정은 인간(은행 담당자)이 내리는 것이므로 자동화된 결정이 아니라고 주장하였다(para. 16). 그러나 CJEU는 문언적 해석을 넘어 실질적인 영향력에 주목하였다. 해당 확률값이 제3자인 대출 기관에 전달되어 그들의 의사결정에 "결정적인 역할(Determining role)"을 수행한다면, 그 확률값의 생성 행위 자체가 이미 GDPR이 규제하는 자동화된 결정의 영역에 포함된다고 판단하였다(para. 48).
CJEU는 GDPR 제22조의 입법 취지가 자동화된 처리에 의한 프로파일링으로부터 개인의 권리를 보호하는 데 있음을 강조하였는데(para. 44-45), 만약 슈파와 같은 정보기관의 행위를 결정이 아니라고 본다면, 데이터 주체는 신용 점수가 어떻게 만들어졌는지에 대한 '의미 있는 정보'(meaningful information about the logic involved)를 요구할 권리를 상실하게 된다(para. 23). 이는 정보기관이 영업비밀이라는 방패 뒤에 숨어 사실상 개인의 경제적 운명을 좌우하면서도 법적 책임은 회피하는 결과를 초래할 수 있다. 따라서 재판소는 점수를 산출하는 단계와 이를 활용하는 단계가 분리되어 있더라도, 그 사이의 인과관계가 명확하다면 전체 프로세스를 하나의 자동화된 결정으로 간주해야 한다고 판시하였다(para. 50-52).
이 대목에서 알고리즘이 기업의 '영업비밀'인가 아니면 사회적 책임이 따르는 '공동의 자원'인가에 대한 논의가 심화된다. 전통적 관점에서 알고리즘은 특정 기업이 막대한 자본과 기술을 투입해 개발한 독점적 자산이다. 슈파 판결에서도 피고 측은 수학적·통계적 모델의 가중치와 변수가 경쟁력의 핵심임을 주장하며 비공개의 당위성을 역설하였다. 그러나 CJEU는 알고리즘이 더 이상 사적인 영역에만 머물 수 없음을 선언한 것과 다름없다. 즉, 알고리즘이 사회 시스템의 필수적인 문지기(gatekeeper) 역할을 수행하게 될 때, 그것은 단순한 비밀을 넘어 공공의 감시와 투명성이 요구되는 공공재적 성격을 띠게 된다.
알고리즘을 공공재로 보려는 시각은 그것이 생성하는 결과의 '불가피성'과 '보편성'에 근거한다. 현대 사회에서 금융 서비스, 채용, 공공 서비스 접근권은 개인의 생존과 직결되는데, 이를 결정하는 알고리즘이 블랙박스(black box)화되어 있다면 법치주의의 근간인 '설명 책임'이 무너지게 된다. 슈파 판결은 기업의 영업비밀 보호보다 개인의 정보 주권과 투명성 확보가 더 상위에 있는 가치임을 시사하였다. 이는 알고리즘의 소유권 자체를 박탈하라는 의미는 아니나, 그 작동 원리가 공정하고 차별이 없음을 입증할 책임이 기업에 있음을 명시한 것이다.
특히 이 판결에서는 GDPR 제13조 제2항 (f)호와 제14조 제2항 (g)호를 인용하며, 자동화된 의사결정의 존재 여부뿐만 아니라 그 논리에 대한 정보를 제공해야 함을 확인하였다(para. 8-9). 이는 알고리즘이 소수의 기술 권력이 독점하는 '비밀 무기'가 아니라, 사회적 합의와 법적 기준 안에서 작동해야 하는 '공유된 규칙'이 되어야 함을 뜻한다. 글로벌 거대 기술 기업들이 알고리즘과 소프트웨어 생태계를 통해 시장 지배력을 행사하는 현 시점에서, 슈파 판결의 논리는 특정 기술 표준이 시장의 진입 장벽이 될 때 경쟁법의 관점에서 이를 어떻게 해체하거나 개방해야 하는지에 대한 강력한 법적 도구가 될 수 있다는 점을 제시해 준다.
결국, CJEU의 이번 판결은 알고리즘의 법적 지위를 '기업의 성역'에서 '사법적 통제의 대상'으로 전격 전환하였다는 데에 의의가 있다. 알고리즘은 개발자에게는 수익을 창출하는 비밀 병기일 수 있으나, 그것이 사회 구성원의 권리 행사를 제약하는 인프라로 작동하는 순간 공공의 감시망 아래 놓여야 한다는 원칙을 확립한 것이다. 이는 인공지능(AI) 기술의 발전이 인간의 존엄성과 충돌할 때 법이 나아가야 할 방향을 제시한다. 기술의 효율성이 투명성의 가치를 압도할 수 없다는 이 판결의 명제는 향후 전 세계적으로 전개될 빅테크 규제와 데이터 주권 논의에서 중요한 참고가 될 수 있다.