2022-11-27 20:10 (일)
개인정보위, 출입국관리 AI 식별추적시스템 구축사업 개인정보보호법 위반여부 조사결과는...
상태바
개인정보위, 출입국관리 AI 식별추적시스템 구축사업 개인정보보호법 위반여부 조사결과는...
  • 길민권 기자
  • 승인 2022.04.27 17:44
이 기사를 공유합니다

위탁사실과 수탁자를 홈페이지에 공개하지 않은 것...과태료 100만 원 부과

개인정보보호위원회(위원장 윤종인, 이하 “개인정보위”)는 4월 27일 정부서울청사에서 제7회 전체회의를 열고 법무부 인천공항 출입국·외국인청(이하 “법무부”)의 개인정보보호법규 위반행위에 대해 심의하고 그 결과를 발표했다.

개인정보위는 언론보도를 계기로 지난해 말 법무부·과학기술정보통신부 등 관계기관과 사업참여기관에 대한 대대적인 조사에 착수한 바 있다. 조사결과에 따르면, 법무부는 과학기술정보통신부와 업무협약을 체결하여 출입국 심사 고도화를 위한 인공지능(AI) 식별추적 시스템 개발사업을 2019년부터 추진했고, 사업 참여기업이 법무부가 ‘출입국관리법’ 제3조·제6조·제12조의2 및 제28조에 따라 수집한 내국인 5,760만 건 및 외국인 1억2천만 건의 개인정보에 접근하여 출입국 관리 고도화를 위한 인공지능 알고리즘을 학습시킨 사실을 확인했다.

다만, 법무부는 동 사업 과정에서 별도 구축한 실증랩의 제로 클라이언트(입출력 장치가 없는 단말기)를 통해서만 민간 참여기업이 접근할 수 있도록 제한하여, 법무부 서버 외부로 안면정보 등 개인정보가 반출되지 않도록 조치하였고, 그 결과, 현재까지 외부로 반출된 개인정보와 인공지능 알고리즘이 없는 것으로 확인하였으며, 관련 데이터베이스와 저장매체에 있는 인공지능 식별추적시스템 알고리즘 학습에 활용된 개인정보는 모두 삭제된 것으로 확인되었다.  

개인정보위는 이 사안에 대한 개인정보보호법상 위반여부를 판단하기 위하여, ➊인공지능 식별추적시스템 개발을 위해 활용된 안면정보 등이 민감정보에 해당하는지, ➋출입국 심사를 위한 인공지능 학습에 안면정보를 이용한 것이 목적범위내 이용인지, ➌개인정보 처리 위탁에 해당하는지, ➍개인정보 처리위탁 사실을 공개하지 않은 것이 개인정보보호법 위반인지 여부 등을 집중적으로 논의하였다.   

개인정보위의 판단결과는 다음과 같다. 

법무부가 출입국심사 인공지능 알고리즘 학습에 활용한 정보는 민감정보이며, 개인정보보호법 제23조에 따라 정보주체의 동의 또는 명시적 법적 근거가 필요하다. 

현행 개인정보보호법 제23조 제1항 제2호는 ‘법령에서 민감정보의 처리를 요구하거나 허용하는 경우’ 민감정보 처리가 허용된다고 규정하고 있는데, 이는 법령에서 민감정보의 종류를 열거하고 그 처리를 요구하는 경우를 의미한다.

아울러, 현행 출입국관리법은 ‘생체정보’의 종류로 지문, 얼굴, 홍채 및 손바닥 정맥 등을 나열하고 있고(제2조 제15호), ‘생체정보’의 활용에 관하여 규정하고 있는데(제3조, 제6조, 제12조의2), 이는 지문, 얼굴, 홍채, 손바닥 정맥 등 생체정보를 이용한 본인 확인이 가능하도록 법적 근거를 마련하고자 한 것으로서 따라서, 본인 확인을 위해서는 홍채, 얼굴, 지문 이미지 등으로부터 특징점을 추출한 정보의 처리가 필수적이므로, 출입국관리법에서 출입국 심사 시 생체정보의 활용이 가능하다고 규정한 것은 민감정보의 처리를 허용하는 것으로 해석함이 타당하다고 판단한다. 

아울러, 개인정보위는 출입국 심사장 이상행동 인공지능 식별추적을 위해 폐쇄회로텔레비전 영상정보 내 특정 개인에 관한 특징점을 추출하는 행위 역시 민감정보의 처리에 해당하며, 조사결과 영상정보가 실제로 이용되지 않았으므로 위법 여부를 판단하지 않았다. 

개인정보위는 아울러 ‘폐쇄회로텔레비전 영상정보를 이용한 인공지능 이상행동 탐지 솔루션’ 개발을 재추진하기 위해서는 정보주체의 사전 동의(예: 개인정보 이용 동의를 받은 연기자의 연출 데이터 활용 등)를 받거나, 이를 허용하는 법적근거를 마련하거나, 다른 정보와 결합하더라도 개인을 식별할 수 없도록 비식별화하여 추진할 필요가 있다고 판단하였다.

법무부가 보유한 안면 정보를 출입국 심사 인공지능 개발에 활용한 것은 목적 범위내 이용에 해당한다.

출입국 심사 과정에서 수집한 안면 정보를 안면인식 인공지능 개발에 활용하는 것은 출입국관리법상 정보화기기를 통한 출입국 심사·고도화를 통해 법의 목적인 ‘안전한 국경관리’를 달성코자 하는 것으로 당초 개인정보 수집·이용 목적범위에 포함된다고 판단하였다.

한편, 출입국 관리목적으로 수집된 안면정보 등 개인정보를 출입국 관리법상 근거가 없는 인공지능 알고리즘 학습 등 다른 목적으로 사용하기 위해서는 정보주체의 동의를 받거나, 별도의 명시적 법적근거를 마련하는 등 보호법상의 요건을 충족하여야 한다고 판단했다.

법무부가 출입국심사 고도화를 목적으로 인공지능 식별추적 시스템 개발 관련 개인정보처리 위탁계약을 인공지능 개발업체와 체결한 것은 보호법 제26조의 ‘개인정보 처리위탁’에 해당한다.

법무부는 출입국 심사에 대응하고자 하는 목적으로 참여기업과 계약을 체결 법무부-사업수행기관간 개인정보 처리위탁 계약서 제3조(위탁업무의 목적 및 범위) “사업수행기관”은 계약이 정하는 바에 따라 인공지능 식별추적시스템 구축사업 수행을 목적으로 다음과 같은 개인정보 처리업무를 수행한다.

인공지능식별추적시스템 기술개발 및 검증을 위한 개인정보 처리업무(후략)하였고, 업체의 연구·개발이 통제구역내 법무부의 관리·감독 개인정보 처리위탁 계약서 제8조(수탁자에 대한 관리·감독 등) ① “관리기관”은 “사업수행기관”에 대하여 다음 각호의 사항을 감독할 수 있으며, “사업수행기관”은 특별한 사유가 없는 한 이에 응하여야 한다.

1. 개인정보의 처리현황, 2. 개인정보의 접근 또는 접속현황, 3. 개인정보 접근 또는 접속 대상자, 4. 목적외 이용·제공 및 재위탁 금지 준수여부, 5. 암호화 등 안전성 확보조치 이행여부, 6. 그 밖에 개인정보의 보호를 위하여 필요한 사항 하에 이루어졌으며, 이러한 도입의 필요성이 법무부에 있고, 위탁받은 범위(인공지능 알고리즘을 개발하기 위한 범위) 내에서만 개인정보가 처리되는 점 등을 종합적으로 고려할 때 개인정보의 처리위탁에 해당한다고 판단했다.

법무부가 위 3항의 위탁계약을 체결하면서 위탁사실과 수탁자를 홈페이지에 공개하지 않은 것은 보호법 제26조제2항 위반에 해당한다.

이에 대해 보호법 제75조제4항제5호에 따라 과태료 100만 원을 부과한다. 

윤종인 개인정보보호위원회 위원장은 “정부와 공공기관 등은 법령에 따라 개인정보를 수집·이용하는 만큼 개인정보의 이용에 관한 법적 근거를 잘 살펴야 할 것”이라고 언급하며 “특히 안면인식 정보 등 민감정보를 처리하는 경우에 정보주체의 개인정보 자기결정권이 침해되지 않도록 개인정보보호 법령을 준수할 필요가 있다.”라고 강조하였다.

★정보보안 대표 미디어 데일리시큐!★