편의성·위험성 ‘양날의 칼날’ 지닌 생체정보, 개인정보 보호 필요성↑

최근 생체정보의 활용성이 커지면서 개인정보 침해 등에 대한 위협도 함께 증대되고 있다. 이에 해외 국가들이 규제를 강화하고 있는 반면, 우리나라는 생체정보에 대한 명확한 정의도 명시돼 있지 않는 등 부족한 면이 많은 것으로 나타났다. 최근 국가인권위원회가 국가에 의한 실시간 원격 얼굴인식 기술의 도입 등을 금하는 내용의 입법을 추진할 것을 권고한 바도 있는 만큼, 이와 관련한 구체적인 논의가 필요할 것으로 보인다.

생체정보 활용성 급증, 관련 법률 마련 필요해

이와 관련해 18일 국회입법조사처(입법처)가 ‘생체정보의 안전한 활용을 위한 입법 과제’라는 제목의 보고서를 발간했다. 보고서에 따르면 최근 안면인식 기술 발달 등으로 생체정보 활용이 급증했으나 별다른 법률이 마련된 바 없어 개인의 자유와 권리 침해에 대한 우려가 높아지고 있다.

생체정보는 현재 안면인식을 통한 출입 통제, 스마트폰 잠금 해제, 금융권의 본인인증 등 다양한 분야에서 활용되고 있으며 향후 이용이 일상화되는 등 보다 확대될 것으로 보인다. 정보통신산업진흥원의 보고서에 따르면 글로벌 생체인식 시장은 오는 2028년까지 연평균 성장률 15%를 기록하며 약 1,050억 달러(약 140조원) 규모로 성장할 것으로 전망된다. 그러나 생체정보는 유일성, 불변성 등 특수성으로 인해 다른 개인정보보다 유출 및 오·남용 시 파급효과가 더 크다는 점에서 우려의 목소리가 커지고 있다.

韓, 생체정보 보호 가이드라인 마련

이에 따라 해외 주요국에선 생체정보를 보호하기 위한 규제를 강화하고 있다. 우리나라 또한 가이드라인 개정 등을 통해 생체정보 보호를 위한 구체적인 기준 마련 등 노력을 이어가는 중이다. 앞서 지난 2021년 개인정보보호위원회는 지문·얼굴·정맥·홍채 등 생체정보의 보호와 안전한 활용을 위한 ‘생체 정보보호 가이드라인’을 개정해 공개한 바 있다. 가이드라인은 안전한 생체정보 이용환경 조성을 위해 개인정보처리자, 관련기기 제조사, 이용자 등이 알아야 할 사항을 구체적이고 알기 쉽게 안내하는 것을 최우선으로 했다.

가이드라인은 기존 ‘바이오 정보’ 용어의 개념을 명확히 하기 위해 한글 표현인 ‘생체정보’로 그 명칭을 변경하고 개인정보 보호법령에서 암호화 대상으로 규정하는 정보를 ‘생체인식정보’로 정의해 암호화 범위를 명확히 했다. 또 보호원칙 중심으로 구성된 기존 가이드라인을 생체인식정보가 처리되는 5단계에 따라 각 처리 단계에서 필요한 총 15개의 보호조치를 안내하는 체계로 개편해 이해도를 높였다. 적용 대상을 기존 ‘정보통신서비스제공자등’에서 ‘개인정보처리자(정보통신서비스제공자등 포함)’로 확대하고, 개인정보 보호법 시행령 개정에 따라 민감정보로 규정된 생체인식 특징정보의 수집·이용 시 별도 동의가 필요하다는 점을 안내하기도 했다.

제조사·이용자 편과 자율점검표 등을 추가해 활용도도 높였다. 제조사 편에서는 안전한 이용환경 조성에 필요한 제조사의 역할을 추가했고, 이용자 편에서는 이용자가 일상생활에서 생체인식정보 활용 서비스를 쉽게 이해하고 안전하게 활용할 수 있도록 서비스 이용 전 사전확인 사항과 서비스 이용 시 주의사항 등을 안내했다. 실태점검 등을 통해 확인한 다양한 생체정보 활용 사례를 구체적으로 반영, 가이드라인의 전체적인 이해도를 높이기도 했다.

법적 기반 부족한 韓, 반면 해외에선?

다만 전문가들 사이에선 우리나라의 생체정보 관련 법적 기반이 아직 미흡한 측면이 많다는 목소리가 나온다. 우리나라는 ‘출입국관리법’ 및 ‘항공보안법’에는 생체정보를 ‘개인정보 보호법’에 따라 처리한다고 규정하고 있으나, 개인정보 보호법은 생체정보라는 용어를 사용하지도, 개념을 정의하고 있지도 않다. 생체정보 관련 사항을 법률에 명확히 규정함으로써 생체정보 보호를 강화하고 법적 안정성을 제고하는 해외 입법 사례와 비교하면 현저히 부족한 모습이다.

이에 입법처는 미국, EU 등의 입법례를 참고할 필요가 있다고 제언했다. 미국은 연방 차원의 관련 법률은 없으나 주 차원에서 일리노이주가 2008년 미국 최초로 생체정보 관련 법률을 제정한 뒤 텍사스주, 워싱턴주, 메인주 등이 줄줄이 관련 법률을 제정했다. 일리노이주 ‘생체인식정보 보호법’에 따르면 생체인식정보는 ‘어떠한 개인을 식별하는 데 사용하는 해당 개인의 생체인식 식별자 기반 정보’로 정의된다. 일리노이주 법률은 민간기업이 생체인식정보를 수집, 거래하기 위해선 정보 주체의 동의를 받도록 했다. 또 과실로 인한 손해는 1,000달러, 고의적인 손해에는 5,000달러의 배상을 청구할 수 있도록 해 책임성을 강화했다. 이외 메인주 ‘공무원의 안면감시 시스템 사용규제를 통한 개인정보 보호 및 보안강화에 관한 법률’은 공무원이 안면감시 시스템 및 데이터를 수집하거나 제3자와 수집 등 협약을 체결하거나 제3자에 수집 등을 허가하는 것을 금하고 있다.

EU는 ‘일반 개인정보보호법’에서 생체정보를 별도로 정의하고 있으며, 생체인식정보를 민감정보의 하나로 규정하고 있다. 특히 동법 제4조는 생체정보를 안면 영상이나 지문정보와 같이 특정 기술 처리로 얻어진 자연인의 신체적, 생리적, 행태적 특성과 관련된 정보로서 자연인을 고유하게 식별할 수 있도록 해주거나 확인해 주는 것이라고 정의했다. 또 민감정보는 정보 주체의 명시적 동의 획득 등의 경우를 제외하곤 원칙적으로 처리를 금지했다.

최근 생체정보의 활용도가 높아지면서 그 위험성도 함께 커지고 있다. 이에 입법처는 제도가 기술의 발전 속도를 따라가지 못하면 기술은 그 가치를 충분하게 발휘할 수 없으며 부작용이 커질 우려도 있다고 지적했다. 특히 우리나라의 ‘출입국관리법’, ‘항공보안법’ 등 다수 법령이 생체정보에 대한 통일성 없는 규율 범위를 규정하고 있다는 점을 꼬집으며 체계적인 규율을 위해 통일된 기준을 제시할 필요가 있다고 강조했다.