얼굴인식 체온 카메라와 코로나19 방역 조치, 개인정보 보호법 준수해야
개인정보 보호위원회, 얼굴인식 체온 카메라를 통한 코로나19 출입통제에도 개인정보 보호법 준수 지침
다만 민감한 생체인식정보인 국민의 얼굴인식정보 보호를 위한 과제 남아
- 진보네트워크센터는 지난 5월 성동구청이 코로나19 관련 청사 출입통제 목적으로 도입한 얼굴인식 체온측정 열화상 카메라(이하 얼굴인식 체온 카메라)의 개인정보 보호법 위반 문제를 지적하며 개인정보 보호위원회 등에 공개적인 민원을 제출한 바 있습니다. 이에 개인정보 보호위원회는 10월과 11월에 걸쳐 코로나19 관련 얼굴인식 체온 카메라 설치·운영에 있어 개인정보 보호법 준수의 필요성을 확인하는 취지의 결정을 내렸습니다. 진보네트워크센터는 정부와 지자체의 코로나19 관련 조치에 대하여 개인정보 보호법 준수를 요구한 개인정보 보호위원회 결정의 의의를 높이 평가합니다. 다만 민감한 생체인식정보인 국민의 얼굴인식정보 보호 문제가 해결되지 않은 한계가 있었습니다.
- 성동구청은 진보네트워크센터의 공개 민원에 대한 답변을 통해 얼굴인식 체온 카메라의 설치·운영이 개인정보 보호법 제58조 제1항 제3호에 근거해 공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우 일시적으로 처리되는 개인정보라며 개인정보 보호법 제15조 등 법 적용의 제외를 주장했으며, 최대 25,000명의 청사 방문자 얼굴인식 정보를 자동으로 저장하고 있었음에도 불구하고 업체가 제공한 제품 설명서 외 책임성을 갖춘 운영지침 없이 이를 운영해왔습니다.
동시에 이러한 얼굴인식 체온 카메라의 기술적 한계의 문제가 드러나기도 했습니다. YTN의 보도에 의하면 체온 측정에 있어 성능이 제대로 검증되지 않은 제품이 우후죽순 팔려나갔으며, 감시카메라 전문 매거진 IPVM의 보도에 의하면 성동구청과 성동구 스마트 버스정류장에 도입된 얼굴인식 체온 카메라의 운영은 업체의 사용 가이드라인과도 어긋나 오히려 방역에 저해될지도 모른다는 우려를 자아냈습니다. 식품의약품안전처 또한 ‘대규모 인원에 대해 개별 체온 측정이 현실적으로 불가능한 경우에는 열화상 카메라 등을 이용한 발열 감시를 하고 있으나, 개인별 정확한 체온을 측정하는 경우에는 의료기기로 인증된 체온계를 사용’하라고 입장을 밝힌 바 있습니다. - 10월 28일 개인정보 보호위원회는 성동구청이 코로나19 관련 출입 통제 등 확산 방지를 위해 얼굴인식 체온 카메라를 설치 운영하는 것은 개인정보 보호법 제58조(적용의 일부 제외) 제1항 제3호에 해당하지 않는다는 결정을 내렸습니다.
아울러 서울 소재 주요 시설의 열화상 카메라 설치운영 현황을 비공개로 실태점검하여 개인 얼굴이 포함된 영상이 저장되고 있는 일부 사례를 확인하고 ‘개인정보 저장의 원칙적인 금지’, ‘열화상 카메라 저장기능 비활성화’, ‘불가피하게 영상 저장 시 사전 고지 후 동의 절차’ 등 개인정보 보호법 상 준수해야 할 사항을 명확히 하는 ‘코로나19 관련 얼굴촬영 열화상 카메라 운영 시 개인정보보호 수칙’을 발표했습니다.
신기술 도입이라는 그럴듯한 명분과 눈가림만 있을 뿐 실제로는 방역과 정보인권에 도움이 안되는 일부 열화상 카메라의 위험성을 개인정보 보호위원회가 인지하고 이에 대하여 개인정보 보호 원칙을 확고히 한 것은 환영할 일입니다. 코로나19의 지구적 유행 상황에서 세계 각국 개인정보 보호위원회들은 정부와 지자체의 조치의 개인정보 보호법 준수를 평가하고 그 이행을 요구하는 활동을 해 왔습니다. 예를 들어 유럽개인정보보호이사회(EDPB)는 감염병 예방을 위한 조치가 일정하게 정보주체의 권리를 제한할 수는 있지만, 이는 기본권을 무효화할 정도의 일반적 제한이어서는 안되고 공공의 이익을 위해 필요하고 비례적인 조치여야 하며, 법에 근거해야 하고 그 제한의 기간이 엄격하게 한정되어야 한다고 밝혔습니다. - 다만 개인정보 보호위원회는 국민의 얼굴인식정보의 민감성 보호에 대해서는 소극적인 해석을 내렸습니다. 이러한 해석에 대하여 진보네트워크센터는 국민의 얼굴인식 정보 보호 측면에서 다음과 같은 의문과 과제를 제기합니다.
2020. 8. 5. 개정 개인정보 보호법 시행령 제18조는 민감정보의 범위에 “개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보”를 신설하였습니다. 이는 유럽연합 GDPR을 비롯한 세계 여러나라 개인정보 보호법에서 생체인식정보(biometric data)를 민감정보로 보호하고 있는 것과 유사합니다. 얼굴인식정보는 대표적인 생체인식정보에 속하는데 이러한 생체인식정보의 경우 일반 개인정보 보다 제한적으로 처리되는 민감정보에 해당합니다. 민감정보는 정보주체에게 별도로 동의를 받은 경우이거나 법령에서 민감정보의 처리를 요구하거나 허용하는 경우를 제외하고 그 처리가 금지되며 이를 위반할 경우 형사처벌을 받습니다.
그러나 개인정보보호위원회는 열화상 카메라의 얼굴인식 처리를 민감정보 처리가 아닌 일반 개인정보의 처리로 보고 개인정보 보호법 제23조가 아닌 제15조를 적용하였습니다. 더불어 영상을 저장하지 않는 열화상 카메라는 감염병 예방법 제49조제1항제7호에 따른 불가피한 조치로서 동의가 필요하지 않다고 보았습니다. 아마도 이들 열화상 카메라가 정보주체 식별에 이르지 않고 ‘발열’ ‘비발열’ 등 ‘분류’ 기능에 그친다고 판단하였기 때문인 것으로 보입니다. 하지만 일부 얼굴인식 체온 카메라의 경우, 엄연히 ‘신원 확인 관리’, ‘내/외부인 감지’ 등을 위한 얼굴인식 기능이 포함되어 있었습니다. 무인 운영 등으로 출입 통제가 되지 않은 발열자나 그 접촉자에 대하여는 사후에 얼굴인식을 통해 대상 추적을 할 계획을 가진 곳도 있었을 것입니다. 이 경우 단순 체온 측정을 위한 얼굴 검출과 감지를 넘어 식별(1:N)과 인증(1:1)을 목적으로 하는 생체인식정보의 처리에 해당하기 때문에 민감정보로서 정보주체의 별도 동의를 받거나 법령에서 얼굴인식정보의 처리를 구체적으로 명시하였어야 그 처리가 적법합니다.
또한 개인정보 보호위원회는 얼굴인식 체온 카메라 운영에 있어 불가피하게 얼굴 사진을 저장할 경우 이를 위한 법령적 근거가 없기 때문에 촬영 대상자에게 사전고지 후 동의를 받도록 안내하였습니다. 그러나 공공장소를 출입하는 시민에게 받는 동의는 진정한 동의라고 보기 어렵습니다. 개인정보 보호법에서 말하는 동의란 자유로운 선택을 보장해야 하고, 목적이 명확해야 하며, 충분한 설명이 이루어져야 합니다. 동의하지 않으면 공공기관 출입이 불가능하거나 다른 방안을 선택할 수 없다면 이는 사실상 일방적 고지에 가까울 것입니다. 얼굴인식 체온 카메라 운영 뿐 아니라 최근 국가와 지자체의 많은 방역 관련 조치가 실질적으로는 ‘동의’라 볼 수 없는 ‘동의’를 기반으로 이루어지고 있는데 이러한 관행은 전반적으로 합법적이고 최소한으로 이루어지도록 재검토되어야 합니다. - 한국 정부와 지자체의 코로나19 관련 여러 방역 조치의 이면에는 정보인권 침해 우려가 내재해 있습니다. 확진자 동선공개 등의 몇몇 정책은 개인정보를 보호하는 방향으로 개선되고 있으나 일부 지자체는 여전히 이를 잘 이행하고 있지 않습니다. 이번 얼굴인식 체온 카메라의 설치 운영 또한 마찬가지입니다. 감염병 대유행이라는 위기가 국민의 정보인권을 과도하게 침해하며 신기술 기업의 통제없는 실험장으로 전락하지 않도록 정부와 지자체는 개인정보 보호법을 준수해야 합니다. 더불어 개인정보 보호위원회는 독립적인 개인정보 보호 감독기구로서 국민의 개인정보 보호에 대한 권리를 위해 적극적인 보호 조치와 감독에 나서야 할 것입니다. 끝.