4장.반감시와 통신비밀의 보호

4. 생체정보

2007년 정보통신부와 한국정보보호진흥원이 발간한 <바이오 정보 보호 가이드라인>은 생체정보(바이오정보)를 “지문·얼굴·홍채·정맥·음성·서명 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말하며, 가공되지 않은 원본 정보와 그로부터 추출되어 생성된 특징 정보를 포함한다”고 규정하고 있다.

생체정보는 모든 사람에게 존재한다는 ‘보편성’과 함께, 사람마다 다르다는 ‘고유성’(혹은 유일성)을 가지고 있으며, 대체로 그 정보가 평생 변하지 않는다는 ‘불변성’을 가지고 있기 때문에 개인식별(identification)이나 인증(authentification) 목적으로 공공 및 민간의 다양한 분야에서 활용되고 있다.

한국은 이미 1970년부터 열손가락 지문 날인을 시작했고, 이렇게 수집된 지문은 경찰의 수사 목적을 위해 활용되고 있다. 검찰과 경찰은 90년대 중반부터 유전자 은행 설립을 위해 노력해 왔으며, 2004년 <실종아동등의 보호 및 지원에 관한 법률>이 통과되어 유전자 데이터베이스가 도입되었고, 2009년 <디엔에이신원확인정보의 이용 및 보호에 관한 법률> 통과를 계기로 범죄자를 대상으로 한 유전자 데이터베이스 구축이 시작되었다. 한편, 범죄예방 및 시설안전 등을 목적으로 공공 및 민간 영역에서 CCTV의 도입이 급증하고 있으며, 최근에는 이를 ‘통합관제센터’를 통해 통합 관리하는 방향으로 나아가고 있다.

민간에서도 인터넷의 발전으로 인한 비대면 거래의 확대, 2000년을 전후로 한 모바일 기기의 확대, 이와 결부된 핀테크의 성장, 사물인터넷(IoT)이나 웨어러블 기기의 도입, 헬스케어와 원격 의료 도입 등과 맞물려 생체정보의 활용도가 높아지고 있다. 지문을 이용한 개인 스마트폰 보안에서부터, 지문·정맥·홍채 정보 등을 활용한 금융거래나 결제 서비스, 스마트 기기를 활용한 자가 건강 측정 및 원격 의료 서비스 등이 등장하고 있는 것이다. 특히, 한국적 상황에서는 주민등록번호의 남용으로 인한 개인정보 유출 문제, 그리고 접근성 문제를 노출한 공인인증서 논란이 불거지면서, 생체정보 인식이 인증방식의 대안으로 제시되고 있다.

생체정보의 활용도가 높아지면서 그 위험성에 대한 우려도 커지고 있다. 생체정보가 본인 식별이나 인증을 위해 활용되는 것은 그 유일성, 불변성 때문인데, 바로 그와 같은 특성 때문에 개인의 프라이버시에 미치는 영향도 치명적일 수 있기 때문이다. 즉, 유출되었을 경우 변경할 수 있는 신용카드 등과 달리, 생체정보는 한번 유출되면 그 피해를 복구하기 거의 불가능하다. 개인정보 유출로 인한 신원 도용의 문제 외에도, 인식 오류로 인한 피해, 장애인 접근권의 문제 등도 지적되고 있다. 또한 얼굴이나 DNA 정보와 같이 인증 목적의 정보 외에도 인종, 건강 등 다른 생물학적 정보 역시 포함하고 있을 수 있기 때문에, 민감한 사생활 침해 및 목적 외 이용 등의 문제도 제기된다.

이렇게 수집, 축적된 생체정보가 국가 감시의 용도로 사용될 위험성도 크다. 이미 범죄 예방을 목적으로 수집이 허용된 DNA 정보가 공권력과 충돌한 활동가들에 대해서도 수집되고 친족 전체에 대한 검색에 사용될 수 있다는 우려가 제기되고 있다. 특히, 한국의 경우 수사 목적의 개인정보 제공에 대해서는 영장 등 적법절차 통제가 미약하다. 경찰이 범죄 예방 목적으로 개인정보를 수집하여 데이터베이스로 축적하는 것에 대해서는 구체적인 법률에 따른 통제가 이루어지고 있지 않다.

생체정보의 민감성과 프라이버시 침해 우려는 오래전부터 제기되어 왔지만, 생체정보 전체를 보호하기 위한 법적 규제는 아직 없는 상황이다. 정보통신부가 2005년 및 2007년에 관련 가이드라인을 발표하였고, 개인정보보호법에서 CCTV 나 민감정보 관련 규정을 일부 두고 있으며, DNA 관련 법률에 일부 내용이 포함되어 있을 뿐이다.

4-1. 얼굴 정보와 CCTV

1999년 대법원은 누구든지 “자기의 얼굴 기타 모습을 함부로 촬영당하지 않을 자유”를 가진다고 하면서, “수사기관이 범죄를 수사함에 있어 현재 범행이 행하여지고 있거나 행하여진 직후이고, 증거보전의 필요성 및 긴급성이 있으며, 일반적으로 허용되는 상당한 방법에 의하여 촬영을 한 경우”를 제외하고는 원칙적으로 영장주의가 적용된다고 판시하였다(99도2317 판결).

그러나 경찰은 CCTV, 차량번호자동인식장치, 블랙박스, 채증장비, 바디캠 등 수많은 영상정보 수집장치 및 웨어러블 장비를 이용하여 일상적으로 얼굴정보를 수집하고 있으며 이중 일부는 데이터베이스로 집적하거나 지능화하여 정밀하게 분석되는 데 사용되고 있다. 문제는 경찰이 다양한 장비로 상당히 많은 양의 영상정보를 처리하면서도 각각의 영상정보 수집, 사용 및 제한에 대해 구체적으로 규정한 법률적 근거를 갖고 있지 않다는 것이다. 경찰이 구체적인 법률 없이 자체적인 지침에 의하여 관행적으로 영상정보를 처리하기 때문에 기본권을 과도하게 침해한다는 논란이 일고 있다. 특히 사회적 합의나 구체적인 법적 근거 없이 경찰의 자체적인 의사결정만으로 전국민의 차량번호판을 자동으로 인식하여 그 이동경로를 데이터베이스로 집적한 후 제한없이 사용하는 것은 중대한 인권침해이다.

방범용 CCTV는 2002년 서울 강남구와 강남경찰서가 처음으로 도입하였다. 이에 대하여 국민을 잠재적 범죄자로 취급하고 사생활을 침해한다는 비판과 더불어 아무런 법률적 규범 없이 경찰과 지방자치단체의 자의적인 운영에 맡겨져 있다는 점에서 논란이 일었다. CCTV의 전체적인 범죄예방 효과는 아직까지 구체적으로 입증되지 않았으며 오히려 풍선효과 등 역효과가 발생한다는 주장이 제기되고 있다. 그러나 지방자치단체와 경찰은 ‘지역 주민의 심리적 안정’이라는 이유를 들어 CCTV 를 빠른 속도로 보급하였다. 2004년 국가인권위원회는 지방자치단체, 경찰청 등에서 설치·운영하고 있는 범죄예방 및 범죄수사를 위한 CCTV 등 무인단속장비와 관련, 국회의장과 행정자치부 장관에게 CCTV 등 무인단속장비의 설치·운영에 관한 법적 기준을 마련할 것을 권고했다. 2007년 처음으로 <공공기관의 개인정보 보호에 관한 법률>에 CCTV 관련 규정이 신설되었다(제4조의2). 그러나 이 규정은 범죄예방 및 교통단속 등 공익을 위하여 필요한 경우에 공공기관이 공청회를 거쳐 폐쇄회로 텔레비전을 설치하고 안내할 것을 규정하였을 뿐, 설치를 제한하거나 정보주체의 권리를 규정하지 않았다. 2011년 개인정보보호법이 제정되면서 비로소 공공 뿐 아니라 영상정보자동처리기기 일반에 대한 규범이 정립되었다.

개인정보보호법은 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 ‘영상정보처리기기’에 대한 규정을 두고 있다(제25조). 누구든지 법률에 규정된 6가지 경우 외에 공개된 장소에 영상정보처리기기를 설치·운영하여서는 안 되는데, 이는 법령에서 구체적으로 허용하고 있는 경우, 범죄의 예방 및 수사를 위하여 필요한 경우, 시설안전 및 화재 예방을 위하여 필요한 경우, 교통단속이나 교통정보의 수집·분석 및 제공을 위하여 필요한 경우 등이다. 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치·운영하여서는 안 되고(교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설은 예외), 특히 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추는 경우 형사처벌받는다. 공개된 장소에 영상정보처리기기를 설치·운영하는 것은 원칙적으로 안내판, 운영·관리 방침, 공청회·설명회(공공기관의 경우) 등으로 공개되어야 한다.

그런데 경찰의 모든 영상장비 운용이 단지 ‘범죄의 예방 및 수사를 위해 필요한 경우’라는 조항만으로 정당화될 수는 없다. 특히 경찰은 영상정보 등 경찰이 수집한 개인정보를 데이터베이스로 집적하여 관리하는 것이 경찰법(제3조)과 경찰관직무집행법(제2조)에 폭넓게 규정된 ‘치안정보의 수집·작성 및 배포’에 근거를 두고 있다고 주장한다. 그러나 이 조항들은 개인정보의 수집요건이라든가 수집범위, 정보의 보관이나 처리, 정보주체의 권리 등에 관해 상세히 규정하고 있는 바가 없고, 경찰이 국민의 개인정보 자기결정권을 제한하는 공권력을 행사함에 있어 구체적인 근거가 된다고 보기 어렵다.

가장 많은 논란은 경찰이 집회시위 참가자 감시용으로 영상정보를 수집·이용하는 것이다. 집회현장에서 수많은 채증장비가 무분별하게 참가자의 얼굴정보를 수집하고 있다. 세월호 집회 등에서는 교통단속 등 다른 목적으로 설치된 CCTV를 유가족이나 집회 참가자를 감시하는 데 사용되면서 집회시위 권리 침해 논란이 일었다.

지방자치단체에서 설립한 CCTV는 본래 시설안전, 주차단속 등 그 설치 목적별로 수집 및 운영되고 있었다. 그런데 정부 방침으로 지방자치단체별로 통합관제센터가 구축되면서 본래 목적을 넘어서는 영상정보처리가 만연해졌다. 특히 법률상 제3자인 경찰이 영상을 실시간으로 상시 제공받거나 때로는 통합관제센터를 사실상 운영하면서 영상 조작에도 관여하는 것으로 드러났다. 국가인권위원회는 △지자체 CCTV 통합관제센터의 설치⋅운영 목적을 구체화하고 △개인영상정보 공유를 최소화하는 한편 공유⋅제공 요건⋅절차를 마련하며 △개별 CCTV별로 운영결과를 매년 투명하게 지역주민과 언론에 공개하고 △설치⋅운영 목표의 설정, 관리⋅운영지침 제정⋅운영 등에 있어서 지역주민⋅인권단체⋅지역전문가 등의 참여를 보장할 것을 제언하였다(정보인권 보고서).

개인정보보호위원회는 지방자치단체가 교통정보 수집, 교통단속, 범죄예방을 목적으로 수집하는 CCTV 통합관제센터 영상을 경찰서, 소방서, 군부대에 상시 제공하거나 직접 조작하도록 할 수 없다고 보았다(개인정보보호위원회 2015. 11.23. 제2015-19-33호 결정, 2015. 6. 8.  제2015-10-17호 결정 등). 다만 관련 법률 규정에 근거하여 재난재해 또는 구급상황 발생 시 현장 확인 목적으로, 긴급차량 출동 시 출동 경로 분석 목적으로, 교통사고 등 범죄수사와 공소제기 목적으로, 통합방위훈련 기간에 훈련 상황 확인 목적으로 전용회선을 통하여 위 영상을 제공하는 것은 가능하다고 보았다.

2015년 경찰청은 웨어러블 카메라(일명 ‘바디캠’)의 도입을 추진하였다. 개인정보보호위원회는 경찰은 영상·음성정보를 수집하지 아니하면 공무집행방해죄의 수사가 불가능하거나 현저히 곤란한 경우에 필요한 최소한의 범위에서 바디캠을 사용할 수 있고, 웨어러블 카메라를 대여하지 아니하면 범죄 피해자 보호가 불가능하거나 현저히 곤란한 경우에 범죄 피해자에게 이를 대여할 수 있다고 결정하였다(개인정보보호위원회 2015. 6. 8. 제2015-10-18호 결정).

4-2. 디엔에이(DNA) 정보

DNA 정보는 생체정보 가운데 가장 민감한 개인정보에 속한다. DNA는 유전정보가 포함된 영역과 그렇지 않은 영역으로 나뉘는데, DNA 감식을 하면 개인식별이 가능한 고유한 특성을 알 수 있을 뿐 아니라 인종적 특성, 질병, 건강상태, 유전적 질환 등 민감한 생물학적 정보도 알 수 있다. 무엇보다 DNA 정보는 개인 뿐 아니라 그 친족 전체가 공유하는 유전정보를 포함하고 있다. DNA 감식에 필요한 시료는 혈액, 타액, 모발 등에서 적은 양으로도 쉽게 채취할 수 있다.

이 때문에 DNA 정보는 개인정보보호법령에서 민감한 정보로서 보호되고 있다. 민감정보는 정보주체에게 법에 따른 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우이거나 법령에서 민감정보의 처리를 요구하거나 허용하는 경우를 제외하고는 처리가 금지되는 개인정보이다. 개인정보보호법 시행령은 ‘유전자검사 등의 결과로 얻어진 유전정보’를 민감정보로 분류하였다(법 제23조 및 시행령 제18조 제1호).

한국에서 검찰과 경찰은 90년대 중반부터 유전자 은행 설립을 위해 노력해 왔다. 2004년 논란 끝에 <실종아동등의 보호 및 지원에 관한 법률>이 통과되어 처음으로 국가적인 유전자 데이터베이스가 구축되었다. 이 법률은 실종아동 등의 발견을 위하여 보호자가 확인되지 아니한 보호시설 입소아동 등과 실종아동 등을 찾고자 하는 가족으로부터 유전자 검사 대상물을 채취할 수 있도록 규정하고 있다. 실종아동등의 발생을 예방하고 조속한 발견과 복귀를 도모하기 위한 목적으로 아동의 민감한 유전정보를 국가적으로 관리하도록 규정한 이 법률은 2011년 현재 만18세까지 아동을 대상으로 하면서 그 대상과 기간이 광범위하다는 지적을 받고 있다. 다만 입법 당시 경찰의 남용을 방지하기 위하여 실종아동등의 신상정보 데이터베이스는 어린이재단 등 실종아동전문기관이 구축·운영하도록 하고 유전자 데이터베이스는 이와 분리하여 국립과학수사연구원 등 유전자검사를 전문으로 하는 기관이 구축·운영하도록 하였으며, 유전자 데이터베이스를 실종아동등을 발견하기 위한 목적 외의 용도로 사용할 수 없도록 하였다.

2009년에는 성범죄자 등의 재범방지를 목적으로 <디엔에이신원확인정보의 이용 및 보호에 관한 법률(DNA법)>이 제정되어 범죄경력자를 대상으로 국가적인 DNA 데이터베이스가 운영되고 있다. 그러나 그 대상범죄가 노동자와 활동가들이 농성을 하거나 공권력과 충돌한 경우를 포함하고 있어 논란이 일었다. 2014년 8월 헌법재판소는 DNA 채취 대상이 된 쌍용노동자, 용산철거민이 제기한 헌법소원심판청구에 대해 합헌결정을 내렸다. 2016년 파업에 참여하였다가 이 법에 의해 DNA를 채취당한 구미 KEC지회 노동자 48명이 또다시 헌법소원 심판을 청구하였다.

최근 국내외에서는 DNA 데이터베이스를 이용한 ‘친족검색’이 논란을 부르고 있다. 2014년 헌법재판소가 합헌 결정을 내렸던 배경에는 현행 DNA법이 범죄 현장에서 확보한 용의자 DNA가 데이터베이스에 등록된 범죄자의 것과 일치하는지를 따지는 ‘일대일 동일인 판독’ 방식만 허용하기 때문이라는 판단이 있었다. 그런데 친족검색이란, DNA 정보를 친족 전체가 공유하는 특성을 이용하여 검색결과가 100% 일치하지 않아도 용의자의 가족·친척까지 수사하는 기법이다. 가족 중 전과자가 있으면 범죄수사의 용의자가 되는 친족검색은 연좌제나 다름이 없는 인권침해로 지탄을 받고 있다.