6. 지문 등 생체인식정보의 수집

1) 개요

스마트폰 잠금해제 기능에서부터 출입국 관리, 근태관리 시스템까지 지문, 정맥, 홍채 등 생체인식기술의 활용이 증가하고 있다. 코로나19로 비대면 및 비접촉이 중요해지자 얼굴 인식을 통한 출퇴근 관리 기기를 도입하는 경우도 늘어나고 있다. 해외에서는 인공지능과 얼굴인식 기술을 활용해 용의자 추적 목적으로 일반 시민의 얼굴을 스캔하고 운전면허 데이터베이스의 사진과 대조하는 등 범죄수사 목적으로 활용하고 있어 논란이 커지고 있다. 이러한 생체인식정보는 암호와 같이 외울 필요도 없고 스마트카드와 같이 분실할 우려도 없기 때문에 일상생활에서 보안 목적으로 많이 도입되고 있지만, 우리 몸의 특징을 활용한다는 점에서 인권 침해의 우려를 불러일으킨다.

생체인식정보는 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인의 신체적・생리적・행동적 특징에 관한 정보로서 특정 개인을 인증・식별하기 위해 일정한 기술적 수단을 통해 처리되는 정보를 의미한다[개인정보보호위원회, 「생체정보 보호 가이드라인」, 2021]. 이러한 생체인식정보는 몇 가지 특성을 가지고 있는데, 우선 대부분의 사람들이 가지고 있는 특징이라는 점이다(보편성). 대다수 사람들이 가지고 있는 특징이 아니라면 식별이나 인증을 목적으로 활용되기 힘들 것이다. 둘째는 다른 사람과 구별되는, 특정 개인에게 고유한 정보이다(고유성). 셋째 평생 변하지 않는 속성을 가지고 있다(영구성). 지문이 지워지는 것과 같은 예외적인 경우가 있지만, 대체적으로는 영구적인 속성을 가지고 있다.

이러한 특성 때문에 생체인식정보가 개인의 프라이버시에 미치는 영향은 치명적일 수 있다. 비밀번호나 신용카드는 유출이 되면 바꿀 수 있지만 생체인식정보는 유출이 되어도 바꿀 수 없다. 한번 유출되면 그 피해를 복구하는 것이 거의 불가능할 수 있다. 나아가 생체인식정보는 나도 모르게 수집될 수 있는 위험도 증가한다. 예를 들어 먼 거리에서 정보주체가 인식하지 못하는 사이에 영상장치로 촬영하고 홍채나 얼굴인식정보를 추출할 수도 있고, 컵과 같은 물건에서 지문과 유전자 정보를 채취할 수도 있다. 생체인식정보를 통해 나의 일거수일투족이 감시, 추적될 위험성이 있는 것이다.

2) 생체인식정보 처리 관련 규율

생체인식정보는 전 세계적으로 민감정보로서 특별한 보호를 받는다. 우리나라는 2020년 개인정보보호법 시행령 개정을 통해 생체인식정보를 민감정보로 인정하였다. 민감정보를 처리하기 위해서는 법령에서 민감정보의 처리를 허용하거나, 정보주체로부터 별도의 동의를 받아야 한다.

개인정보보호위원회는 2021년 9월, 생체인식정보의 안전한 활용기반의 조성을 목적으로 「생체정보 보호 가이드라인」을 발간하였다. 이 가이드라인은 생체정보 중 특정 개인을 인증・식별하기 위한 것, 즉 지문,홍채, 얼굴 등에서 추출한 특징점 등을 이용하여 특정 개인임을 확인하려는 목적의 정보를 생체인식정보로 규정하고 있다. 여기서 인증이란 “이용 권한이 있는 특정 개인임을 확인하기 위하여 이용자가 입력한 생체정보를 기기 등에 저장된 정보와 대조하여 본인 여부를 확인”하는 것을 의미하며, 식별이란 “개인의 생체정보를 데이터베이스에 저장된 다수의 생체정보와 대조하여 여러 사람 중 특정 개인을 구분하여 확인”하는 것을 의미한다. 예를 들어 생체인식 출입통제 시스템에서 특정 방문자의 지문과 등록된 지문을 비교하여 정당한 출입 권한이 있음을 확인하는 것이 인증이라면, 길거리 CCTV에 찍힌 특정인을 운전면허 데이터베이스와 비교하여 누구인지 확인하는 것이 식별이라고 할 수 있다.

사람의 연령.성별.감정 등의 상태를 확인 또는 분류하기 위한 용도로 활용하기 위한 생체정보는 생체인식정보가 아니다. 예를 들어 어떤 앱이 안면인식을 통해 특정 연령이나 성별을 분류하는 기능을 한다면 이는 생체정보를 활용하는 것이기는 하지만 생체인식정보의 활용은 아니다. 블로그에 올린 인물 사진 역시 개인정보이기는 하지만 생체인식정보는 아니다. 여기서 생체인식정보인지 여부가 중요한 것은 이에 따라 개인정보보호법의 적용이 달라지기 때문이다. 기업 내에서는 주로 출입통제나 권한 확인 등 인증 목적으로 활용하기 때문에 생체인식정보로 간주할 수 있고 개인정보보호법상 민감정보로 규율된다.

생체인식정보는 ‘원본정보’와 ‘특징정보’로 구분된다. 원본정보는 인증 또는 목적으로 입력장치 등을 통해 수집・입력되는 정보이고 이로부터 특징점을 추출하는 등의 일정한 기술적 수단을 통해 생성되는 정보를 특징정보라고 한다. 가이드라인은 원본정보는 생체인식정보를 전자적으로 처리하는 과정에서 유출되거나 오・남용되는 경우 개인정보 침해 위험성이 크므로, 원본정보의 안전한 보관을 위해 저장시 암호화, 원본정보를 특징정보 생성 후에도 보관하는 경우 다른 개인정보와 분리 보관 등 별도의 보호조치를 할 것을 권고하고 있다. 물론 일반적으로 특징정보가 생성되면 원본정보의 수집.이용 목적이 달성된 것이므로, 특징정보 생성 후 원본정보를 지체없이 파기하는 것이 원칙이다. 원본정보가 남아 있을 경우 또 다른 목적으로 남용될 가능성이 있기 때문이다.

기업 내에서 출입통제 목적으로 생체인식정보 시스템을 도입한다면, 우선 전 직원을 대상으로 생체정보를 수집한 후 특징정보를 추출하여 데이터베이스를 구축할 것이다. 이후 직원들이 자신의 지문, 얼굴 등을 인식시키면 이로부터 특징점을 찾아내 데이터베이스에 기록된 정보와 비교하여 정당한 권한을 가진 사람인지 판단하게 된다. 이때 특징정보를 추출할 때 사용한 원본정보는 삭제하도록 할 필요가 있다.

개인정보보호위원회가 중앙행정기관으로서 권한이 확대된 것과 생체인식정보가 민감정보로 인정된 것은 모두 2020년에 들어서이다. 그 이전에 생체인식 기술의 도입이나 노동감시와 관련한 민원은 국가인권위원회에 주로 제기되었다. 국가인권위원회에 접수된 생체인식 관련 진정은 대부분 지문인식과 관련된 사건이다. 이러한 진정 사건에 대해 국가인권위원회는 생체인식정보의 인권침해성을 고려하여 대체수단을 마련할 것과 정보주체의 개별 동의를 얻을 것 등의 조치를 마련할 것을 권고하고 있다.

〔사례〕 출퇴근 지문인식기 관련 국가인권위원회의 결정

– 국가인권위원회 침해구제 제2위원회 결정 – 19진정0262600 사건
A시에서 운영하는 한 도서관에서 지문인식을 이용한 출퇴근 관리를 시행했다. 해당 시는 초과근무수당 부당운영 등의 문제를 겪고 있었고 이를 해결하기 위한 한 방편으로 기존 수기대장에서 복무관리시스템을 활용하는 것으로 변경하였고 이와 함께 지문인식기를 설치하여 운영하고 있었다. 지문인식기 외에 대체수단은 없는 상황이었고, 물리적으로 지문인식이 불가능한 경우에만 아이디와 패스워드를 이용한 근태관리를 진행했다. 이에 국가인권위원회는 개인의 권리에 대해 제대로 고지하지도 않았고, 대체방안도 마련하지 않은 채 지문인식기를 활용하여 직원들의 지문정보를 수집, 활용한 것은 사실상 지문등록을 강요한 것이라 할 수 있으며 개인정보자기결정권을 침해한 것으로 판단된다고 결정했다.

3) 생체인식정보의 수집에 대한 노동자의 대응 방안

① 「생체정보 보호 가이드라인」에서도 권고하고 있다시피, 생체인식정보는 개인정보 침해 위험성이 크기 때문에 처리 목적을 달성할 수 있는 다른 수단이 있는지 사전에 검토할 필요가 있다. 생체인식 시스템을 도입할 경우에도, 생체인식정보마다 특성과 위험성이 다르기 때문에, 활용 목적을 달성하면서도 침해 위험성을 최소화할 수 있는 생체인식정보를 선택한다. 예를 들어 단지 출퇴근 시간을 확인하려는 목적으로 생체인식 시스템을 도입하는 것은 생체인식정보의 위험성 및 다른 대체수단이 많이 있음을 고려할 때, 도입하지 않는 것이 바람직하다.

② 생체인식정보 시스템의 도입 단계부터 개인정보보호 중심 설계 원칙을 적용하여 생체인식정보 처리의 모든 과정에서 예상되는 개인정보 침해위험 요인을 사전에 분석하고 예방 조치를 취하도록 요구해야 한다. 개인정보보호 중심 설계Privacy by Design, PbD란 제품・서비스 개발 시 기획 단계부터 개인정보 처리의 전체 생애주기에 걸쳐 이용자의 프라이버시를 고려한 정책을 적용하여 설계에 반영하는 것을 의미한다. 직장 내에서 생체인식정보 시스템을 도입할 경우, 자체적으로 시스템을 개발하기보다는 시장에 출시된 제품을 구매하는 경우가 많을 것이다. 그러나 실제 생체인식정보를 수집・운영하는 곳은 그것을 구매한 기업이기 때문에, 목적 달성을 위해 생체인식정보 시스템이 필요한지, 필요하다면 어떠한 생체인식정보를 수집할 것인지, 생체인식정보 수집의 법적 근거는 무엇인지, 위험성을 최소화하기 위한 안전조치는 어떻게 취할 것인지 등에 대해 사전 분석이 필요하다.

③ 생체인식정보 시스템을 도입하더라도 다른 불가피한 목적이 있는 것이 아니라면, 특징정보 추출 후 원본정보는 삭제하도록 해야 한다.

④ 생체인식정보 시스템을 도입하더라도 출입카드나 수기명부와 같은 대체수단이 반드시 마련되어야 한다. 설사 노동조합 차원에서 생체인식정보 시스템 도입에 동의했다고 하더라도, 생체인식정보의 제공을 원하지 않는 노동자에게 최소한의 선택권을 제공할 필요가 있다. 또한 때로는 지문이 손상되는 등 생체인식을 사용할 수 없는 경우도 있기 때문에 대체수단의 마련이 필요하다.

⑤ 생체인식정보는 매우 민감한 정보이기 때문에, 생체인식정보 시스템의 도입 전에 개인정보 영향평가를 수행할 필요가 있다. 수집되는 개인정보의 양이 많은 경우, 인공지능 등 신기술과 결합할 경우에는 더욱 필요하다. 또한 생체인식정보를 단말기 내에서 처리하는 것보다 중앙 서버에 전송하여 처리하는 경우 위험성이 더욱 커지기 때문에, 개인정보 영향평가를 통해 침해 요인을 분석하고 안전조치를 마련할 필요가 있다. 국내 개인정보보호법은 공공기관의 경우 일정한 요건을 갖춘 개인정보 처리에 대해 영향평가를 의무화하고 있으며, 민간기업 등 공공기관 외의 경우에도 개인정보 처리의 위험성이 높을 경우 영향평가를 수행할 것을 권고하고 있다.

⑥ 생체인식정보는 민감정보이기 때문에, 다른 공공적 필요에 따라 법령에서 생체인식정보 수집을 허용하는 경우가 아니라면, 대부분 직장 내에서 생체인식정보를 수집하는 경우 정보주체의 ‘별도의 동의’를 받아야 한다. 즉, 시설 보안 등 개인정보처리자의 정당한 이익이 있다고 정보주체인 노동자의 동의 없이 도입할 수 없으며, 이는 개인정보보호법 위반이 된다. 노동자의 동의는 다른 개인정보에 대한 동의와 별도로 받아야 하며, 당연히 이 동의는 강제되어서는 안 된다.