윤종인 개인정보위 위원장이 27일 정부 서울청사에서 개최된 제7회 개인정보위 전체회의에서 모두발언을 하고 있다.[사진=개인정보위]
개인정보보호위원회가 인공지능(AI) 식별추적 개발 사업에서 위탁사업자를 명시하지 않은 법무부에 과태료 100만원 부과 처분을 내렸다.
개인정보위는 27일 정부 서울청사에서 제7회 전체회의를 열고 법무부 인천공항 출입국·외국인청(이하 법무부)의 개인정보 보호법 위반행위를 심의하고 그 결과를 발표했다.
법무부는 과기정통부와 업무협약을 체결해 출입국 심사 고도화를 위한 'AI 식별추적 시스템 개발사업'을 2019년부터 추진해왔다. 개인정보위는 사업 과정에서 개인정보 보호 처리가 미흡했다는 작년 10월 언론보도를 계기로 법무부·과학기술정보통신부 등 관계기관과 사업 참여기관에 대한 대대적인 조사를 실시했다.
이번 개인정보위 조사결과, 사업 참여기업은 법무부가 출입국관리법 제3조·제6조·제12조의2 및 제28조에 따라 수집한 내국인 5760만건과 외국인 1억2000만건의 개인정보에 접근해 출입국 관리 고도화를 위한 AI 알고리즘을 학습시켰다. 해당 개인정보에는 일방향 암호화를 수행한 여권번호, 국적, 생년, 성별, 안면 이미지 정보 등이 포함됐다.
다만, 법무부는 사업 과정에서 별도 구축한 실증랩의 입·출력 장치가 없는 단말기(제로 클라이언트)를 통해서만 민간 참여기업이 접근할 수 있도록 제한했다. 법무부 서버 외부로 안면정보 등 개인정보가 반출되지 않도록 조치했다. 개인정보위에 따르면 현재까지 외부로 반출된 개인정보와 AI 알고리즘은 없으며, 관련 데이터베이스(DB)·저장매체에 있는 AI 식별추적 시스템 학습에 활용된 개인정보는 모두 삭제됐다.
개인정보위는 개인정보 보호법 위반 여부를 판단하기 위해 △AI 식별추적 시스템 개발을 위해 활용된 안면정보 등이 민감정보에 해당하는지 △출입국 심사를 위한 AI 학습에 안면정보를 이용한 것이 목적범위내 이용인지 △개인정보 처리 위탁에 해당하는지 △개인정보 처리위탁 사실을 공개하지 않은 것이 개인정보 보호법 위반인지 여부 등을 논의했다.
◆ 사업 위탁계약자 명시 안해…법무부에 100만원 과태료 처분
법무부가 AI 개발업체와 AI 식별추적 시스템 개발 관련 개인정보처리 위탁계약을 체결한 것은 개인정보 보호법 제26조의 '개인정보 처리위탁'에 해당한다.
개인정보위는 "법무부는 출입국 심사에 대응하려는 목적으로 참여기업과 계약을 체결했고, 업체의 연구개발(R&D)이 통제구역내 법무부의 관리·감독 하에 이뤄졌다"면서 "도입 필요성이 법무부에 있고, 위탁받은 범위(인공지능 알고리즘을 개발하기 위한 범위) 내에서만 개인정보가 처리되는 점 등을 종합적으로 고려한 결과"라고 설명했다.
하지만 법무부는 위탁계약을 체결하면서 위탁사실과 수탁자를 홈페이지에 공개하지 않았다. 개인정보위는 보호법 제26조제2항 위반으로 보고 보호법 제75조제4항제5호에 따라 법무부에 과태료 100만원을 부과했다.
◆ AI 학습에 활용된 지문·홍채·얼굴 등 이미지…모두 '민감정보'
개인정보위는 법무부가 출입국심사 AI 알고리즘 학습에 활용한 정보는 민감정보이며, 개인정보 보호법 제23조에 따라 정보주체의 동의 또는 명시적 법적 근거가 필요하다고 봤다. 현행 개인정보 보호법 제23조 제1항 제2호는 '법령에서 민감정보의 처리를 요구하거나 허용하는 경우' 민감정보 처리가 허용된다고 규정하고 있다. 법에서 민감정보의 종류를 열거하고 그 처리를 요구하는 경우를 의미한다.
현행 출입국관리법은 생체정보의 종류로 지문·얼굴·홍채·손바닥 정맥 등을 나열하고 있고(제2조 제15호) 생체정보의 활용을 규정한다(제3조, 제6조, 제12조의2). 개인정보위 측은 "본인 확인을 위해서는 홍채·얼굴·지문 이미지 등으로부터 특징점을 추출한 정보의 처리가 필수다. 출입국관리법에서 출입국 심사 시 생체정보의 활용이 가능하다고 규정한 것은 민감정보의 처리를 허용하는 것으로 해석함이 타당하다"고 말했다.
아울러, 개인정보위는 출입국 심사장 이상행동 AI 식별추적을 위해 CCTV 영상정보 내 특정 개인에 관한 특징점을 추출하는 행위 역시 민감정보 처리에 해당한다고 판단했다. 다만 조사결과 법무부 사업 과정에서 영상정보가 실제로 이용되지 않았으므로 위법 여부를 판단하지 않았다. 개인정보위는 CCTV 영상정보를 이용한 AI 이상행동 탐지 솔루션 개발을 재추진하기 위해서는 정보주체의 사전 동의를 받거나, 이를 허용하는 법적근거를 마련, 혹은 다른 정보와 결합하더라도 개인을 식별할 수 없도록 비식별화해야 한다고 권고했다.
◆ 사업 목적 범위 아닌 AI 학습시, 정보주체 동의 필요
출입국 심사 과정에서 수집한 안면 정보를 안면인식 AI 개발에 활용하는 것은 출입국관리법상 IT기기를 통한 출입국 심사·고도화를 통해 법의 목적인 '안전한 국경관리'를 달성코자 하는 것으로 당초 개인정보 수집·이용 목적범위에 포함된다고 판단했다.
출입국 관리목적으로 수집된 안면정보 등 개인정보를 출입국 관리법상 근거가 없는 AI 알고리즘 학습 등 다른 목적으로 사용하는 경우, 정보주체의 동의를 받거나, 별도의 명시적 법적근거를 마련하는 등 보호법상의 요건을 충족해야 한다고 판단했다.
윤종인 개인정보위 위원장은 "정부와 공공기관 등은 법령에 따라 개인정보를 수집·이용하는 만큼 개인정보의 이용에 관한 법적 근거를 잘 살펴야 할 것"이라며 "특히 안면인식 정보 등 민감정보를 처리하는 경우에 정보주체의 개인정보 자기결정권이 침해되지 않도록 개인정보 보호법을 준수할 필요가 있다"고 강조했다.
