[성명] 얼굴정보 1억 7천만건 무단 사용에 대한 개인정보보호위원회의 납득할 수 없는 조사결과를 규탄한다
– 대규모 민감정보 침해 사건에도 합법 판단, 신뢰할 수 없는 인공지능 사회 불러
– 국가가 공적 목적으로 수집보관하는 개인정보를 사기업들에 대규모 제공, 정보주체가 결코 예상하지 못했던 그들만의 거래 누가 견제하나
1. 4월 27일, 개인정보보호위원회(이하 위원회)는 법무부와 과학기술정보통신부의 인공지능 식별추적시스템 구축사업에 대한 개인정보보호법 위반 여부 조사결과를 발표했다. 위원회 조사결과에 따라 내국인 5,760만 건 및 외국인 1억2천만 건의 민감정보가 정보주체의 동의나 개별 고지 없이 처리되었다는 사실들이 다시금 확인되었다. 국가가 공적 목적으로 수집보관하던 내국인과 외국인의 민감정보를 사기업들에 대규모로 제공한 이 사건은 정보주체가 결코 예상하지 못했던 그들만의 거래였을 뿐만 아니라, 사회가 인공지능 기술에 대한 신뢰를 잃게 만들었다. 그렇기에 이 사건에 면죄부를 준 위원회의 합법 판단은 더욱 실망스럽다.
2. 먼저 위원회는 출입국 심사를 위한 인공지능 학습에 얼굴 사진 등을 이용한 것이 개인정보의 목적범위내 이용에 해당한다고 판단했다. 출입국관리법의 목적인 ‘안전한 국경관리’를 위한 개인정보 수집 및 이용 목적 범위에 인공지능 학습이 포함된다고 판단한 것이다. 그러나 이는 민감한 생체정보의 특별한 보호 필요성에 비추어 볼 때 그 적법한 처리 근거를 과도하게 폭넓게 인정한 것이다. 출입국관리법에서 명시한 내국인과 외국인의 얼굴, 지문 등 ‘생체정보’의 처리 목적은 내국인의 출국심사(제3조) 및 입국심사(제6조), 외국인의 입국심사시 본인확인(제12조의2)으로 제한된다. 그러나 이 인공지능 ‘식별추적’시스템 사업은 처음부터 본인확인을 넘어 광범위한 1:N 얼굴인식, 이상행동 감지와 위험인물 감지 등을 목표로 하고 있었다. 이러한 시스템의 개발 목표는 사업계획서와 보고서 뿐만 아니라 2020년 사업 진행 이후 참가 기업들이 일제히 취득한 특허 명칭들을 통해서도 확인할 수 있다. 이는 출입국관리법에서 규정한 본인확인을 위한 처리 목적을 넘어서는 목적외 이용이다.
특히 위원회는 사업의 절반에 해당하는 이상행동 감지와 관련해 CCTV 영상이 ‘활용’되지 않았다며 추가적인 판단을 하지 않았고, 다만 ‘재추진’하려면 정보주체의 사전 동의를 받거나 이를 허용하는 법적근거를 마련하라며 그 위법성을 간접적으로 인정하였다. 여기서 위원회가 공항 이동통로 등 곳곳에 설치되었던 200대 이상의 데이터 수집용 CCTV 설치 및 이미 이루어진 리얼데이터 ‘수집’ 행위에 대해서는 아예 위법성 여부를 판단하지 않은 것은 심각한 직무유기이다. 나아가 위원회는 이상행동 감지와 같은 목적으로 출입국 목적을 넘어서 처리된 다른 개인정보들에 대해서는 ‘국경관리’ 목적을 광범위하게 인정하는 모순적이고 비겁한 태도를 취하고 있다.
3. 또한 위원회는 출입국심사 고도화를 목적으로 인공지능 식별추적 시스템 개발과 관련된 기업과의 계약이 ‘개인정보 처리위탁’에 해당된다고 판단했다. 그러나 형식적인 위탁 계약을 체결하였다고 하여 실질적으로는 불법적인 제3자 제공이 위탁처리가 되는 것은 아니다. 과거 홈플러스 사건(대법원 2016도 13263 판결)에서도 피고들이 홈플러스가 고객정보 수천만 건을 다수의 보험사에 넘긴 것이 위탁이라고 주장하였으나 법원에서 인정되지 않았던 이유는 그 형식성이 아니라 실질성에 있어 수탁 회사들이 이 개인정보 처리로 ‘독자적인 이익’을 가졌기 때문이었다. 그런데 법무부 사업 역시 ‘실증랩’ 참여 기업들에게 출입국 시스템 고도화와 무관한 개별 회사 인공지능 프로그램 향상이라는 독자적인 이익을 제공하였고, 사업 계획부터 “AI 기업들에게 공공 분야 실증 및 시장수요 제공을 통해 국내 AI 산업 활성화에 기여”하려는 데 그 목적을 두고 있었다. 2020년 참여한 기업 가운데 향상된 프로그램에 대하여 특허 등 지적재산권을 등록하거나 취득한 건수가 다수 있는 것으로 확인됐다. 이 프로그램들과 지적재산권 모두가 출입국관리법 규정상 출입국심사 목적을 위한 것이었다는 말인가?
해당 사업이 전년도 사업에 참여한 기업 중 우수 평가를 받은 기업만이 다음 년도 사업에 참여하고 나머지는 제외되는 ‘오디션’ 방식으로 진행되었다는 점도 주목해야 한다. 일단 다수의 기업(2020년 16개, 2021년 8개)과 동시에 위탁계약을 맺어 모두에게 대규모 출입국 개인정보를 이용할 수 있도록 개방하고 실제 출입국관리 목적을 위해서는 그중 성능이 우수한 소수의 기업만을 선발하는 방식이다. 즉 참가 기업 중 다수는 엄밀한 의미에서 실제 법무부 사업을 위탁하지 않았을 기업이며 이들은 자사 인공지능 기술 향상이라는 이익만을 얻고 퇴장한 셈이다. 이것이야 말로 위원회가 말하는 ‘출입국관리법상 근거가 없는 인공지능 알고리즘 학습 등 다른 목적으로 사용’한 경우에 해당하며, 이는 처리위탁이 아니라 엄연하게 불법적인 개인정보 제3자 제공이다. 얼마 전 대구 수성구에서 과학기술정보통신부가 지원한 이와 유사한 ‘실증랩’, ‘오디션’ 사업 방식에 참여한 기업이 10만 건의 주민 개인정보를 빼돌린 사건이 벌어졌는데도 위원회는 이 위험천만한 사업 방식에 대하여 면죄부를 부여한 것이다. 향후 정부는 국가가 보유한 모든 개인정보에 대하여 이런 해괴한 해석으로 민간 기업들에게 일제히 개방할 생각은 아닌지 끔찍하기조차 하다. 개인정보보호법의 제정 취지의 근본부터 무너뜨리는 해석이 아닐 수 없다.
4. 한편 위원회의 이번 조사 결과는 얼굴사진과 함께 처리된 여권번호, 국적 등의 개인정보에 대해서는 거의 다루지 않았다. 여권번호는 개인정보보호법에 따라 엄연히 처리가 제한되고 있는 고유식별정보이며, 법령에서 ‘구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우만 처리할 수’ 있다. 그러나 위원회는 이에 대해 전혀 언급이 없다. 또한 국적에 관한 정보는 생체인식 정보와 마찬가지로 민감정보인 인종 및 민족에 관한 정보에 포함될 수 있는 정보다. 특히 참가기업이 제공된 개인정보를 이용하여 인종을 유추할 수 있는 출신대륙을 분류했다는 사실로 보건대 이 과정에서 인종 정보가 처리되었을 가능성이 있다. 그러나 위원회는 이와 같은 쟁점에 대해 전혀 살펴보지 않은 듯 하다. 개발 과정과 개발 후에 출입국 심사 과정에서 차별적 효과를 낳을 수 있는 민감한 개인정보의 위험성에 대해서는 보다 상세한 조사가 이뤄졌어야 했다. 특별한 법적 보호를 요구하는 민감한 개인정보조차 보호하지 못하는데, 개인정보보호 감독기구에게 부여된 강력한 권한은 대체 무엇을 위해 존재하는 것인가?
5. 위원회의 이번 결정은 법무부에 사실상 면죄부를 부여한 것으로, 독립성을 가져야 할 위원회가 법무부나 과학기술정보통신부 등 주요 정부부처의 눈치를 보고 있는 것이 아닌지 우려스럽다. 국가가 출입국관리라는 공적 목적으로 수집보관하던 개인정보를 사기업들의 이익을 위해 대규모로 제공한 것은 정보주체인 내국인과 외국인의 기본권을 침해하는 것이다. 국가 개인정보보호 감독기구가 민감정보의 대규모 침해에도 엉성한 합법성 판단으로 당장의 사업 안정성만을 도모한다면 신뢰할 수 없는 인공지능 사회를 불러올 것이다. 이처럼 우리의 개인정보와 인공지능의 미래가 처해 있는 위기를 생각해 볼 때, 우리 단체들은 위원회의 이번 조사 결과와 해석에 결코 수긍할 수 없다.
6. 특히 유럽과 미국 등 세계 각국은 얼굴인식 등 생체정보를 활용한 인공지능시스템의 위험성을 통제하는 법제도를 마련하고 있고, 유엔 인권최고대표는 공개된 장소에서 실시간 원격생체인식에 대해 모라토리엄을 각국 정부에 권고한 상황이다. 그럼에도 우리나라에서 국가기관이 보유한 얼굴인식 등 민감한 생체정보를 사기업에 제공하는 행태에 대해 개인정보보호 감독기구조차 아무런 견제와 감시의 역할을 하지 못하는 것은 개탄스러운 일이 아닐 수 없다. 우리 단체들은 자신의 얼굴정보를 비롯한 민감한 개인정보가 국내 기업들의 이익을 위해 부당하게 제공된 내국인과 외국인 피해자들과 함께 법원과 헌법재판소 등 사법적 판단을 구하여 정부의 잘못된 해석을 바로잡기 위하여 끝까지 노력할 것이다. 끝.
2022년 4월 28일
공익법센터 어필, 민주사회를위한변호사모임 디지털정보위원회, 사단법인 정보인권연구소, 외국인이주노동운동협의회, 진보네트워크센터, 참여연대