개인정보위는 법무부 인천공항 출입국· 외국인청(이하 “법무부”)의 개인정보 보호법규 위반행위에 대해 심의하고 그 결과를 발표하였다.
목차
1. 개요
2. 판단 쟁점
3. 판단 결과
1. 개요
- 법무부는 과학기술정보통신부와 업무협약을 체결하여 출입국 심사 고도화를 위한 「¹인공지능(AI) 식별추적 시스템 개발사업」을 ‘19년부터 추진하였고, 사업 참여기업이 법무부가 ‘출입국관리법’ 제3조·제6조·제12조의2 및 제28조에 따라 수집한 내국인 5,760만 건 및 외국인 1억2천만 건의 ²개인정보에 접근하여 출입국 관리 고도화를 위한 인공지능 알고리즘을 학습시킨 사실을 확인했다.
1. 인공지능(AI) 식별추적 시스템 개발사업 ① 출입국 심사고도화를 위한 인공지능 안면인식 ② 폐쇄회로텔레비전(CCTV) 활용 출입국 심사장 이상행동 추적 등 2개 영역으로 추진되었으며 이중 CCTV 활용 이상 행동 추적사업은 사업이 중단된 ‘21.10월까지 CCTV 영상정보가 활용되지 않았음
2. 개인정보 - 일방향 암호화 된 여권번호, 국적, 생년, 성별, 안면이미지 정보 등
- 법무부는 동 사업 과정에서 별도 구축한 *실증랩의 제로 클라이언트(입출력 장치가 없는 단말기)를 통해서만 민간 참여기업이 접근할 수 있도록 제한하여, 법무부 서버 외부로 안면정보 등 개인정보가 반출되지 않도록 조치하였고, 그 결과, 현재까지 외부로 반출된 개인정보와 인공지능 알고리즘이 없는 것으로 확인하였으며, 관련 데이터베이스와 저장매체에 있는 인공지능 식별추적시스템 알고리즘 학습에 활용된 개인정보는 모두 삭제된 것으로 확인되었다.
AI 실증랩 : 개발된 AI 솔루션이 빅데이터와 결합돼 실제로 작동되게 해주는 인큐베이터
2. 쟁점
① 인공지능 식별추적시스템 개발을 위해 활용된 안면 정보 등이 민감정보에 해당하는지
② 출입국 심사를 위한 인공지능 학습에 안면정보를 이용한 것이 목적범위내 이용인지
③ 개인정보 처리 위탁에 해당하는지
④ 개인정보 처리 위탁 사실을 공개하지 않은 것이 개인정보보호법 위반인지
3. 결과
① 법무부가 출입국심사 인공지능 알고리즘 학습에 활용한 정보는 민감 정보이며, 개인정보보호법 제23조에 따라 정보주체의 동의 또는 명시적 법적 근거가 필요하다
- 현행 개인정보 보호법 제23조 제1항 제2호는 ‘법령에서 민감정보의 처리를 요구하거나 허용하는 경우’ 민감정보 처리가 허용된다고 규정하고 있는데, 출입국관리법에서 출입국 심사 시 생체정보의 활용이 가능하다고 규정한 것은 민감 정보의 처리를 허용하는 것으로 해석함이 타당하다고 판단한다.
- 아울러, 개인정보위는 출입국 심사장 이상행동 인공지능 식별추적을 위해 폐쇄회로텔레비전 영상정보 내 특정 개인에 관한 특징점을 추출 하는 행위 역시 민감정보의 처리에 해당하며, 조사결과 영상정보가 실제로 이용되지 않았으므로 위법 여부를 판단하지 않았다.
※ 개인정보위는 ‘폐쇄회로텔레비전 영상정보를 이용한 인공지능 이상행동 탐지 솔루션’ 개발을 재추진하기 위해서는 정보주체의 사전 동의(예: 개인정보 이용 동의를 받은 연기자의 연출 데이터 활용 등)를 받거나, 이를 허용하는 법적근거를 마련하거나, 다른 정보와 결합하더라도 개인을 식별할 수 없도록 비식별화하여 추진할 필요가 있다고 판단하였다.
② 법무부가 보유한 안면 정보를 출입국 심사 인공지능 개발에 활용한 것은 목적 범위내 이용에 해당한다.
- 출입국 심사 과정에서 수집한 안면 정보를 안면인식 인공지능 개발에 활용하는 것은 출입국관리법상 정보화기기를 통한 출입국 심사·고도화 를 통해 법의 목적인 ‘안전한 국경관리’를 달성코자 하는 것으로 당초 개인정보 수집·이용 목적범위에 포함된다고 판단하였다.
- 한편, 출입국 관리목적으로 수집된 안면정보 등 개인정보를 출입국 관리법상 근거가 없는 인공지능 알고리즘 학습 등 다른 목적으로 사용하기 위해서는 정보주체의 동의를 받거나, 별도의 명시적 법적근거를 마련하는 등 보호법상의 요건을 충족하여야 한다고 판단했다
③ 법무부가 출입국심사 고도화를 목적으로 인공지능 식별추적 시스템 개발 관련 개인정보처리 위탁계약을 인공지능 개발업체와 체결한 것은 개인정보 보호법 제26조의 ‘개인정보 처리위탁’에 해당한다.
- 법무부는 출입국 심사에 대응하고자 하는 목적으로 참여기업과 계약을 체결하였고, 업체의 연구·개발이 통제구역내 법무부의 관리·감독 하에 이루어졌으며, 이러한 도입의 필요성이 법무부에 있고, 위탁받은 범위(인공지능 알고리즘을 개발하기 위한 범위) 내에서만 개인정보가 처리되는 점 등을 종합적으로 고려할 때 개인정보의 처리위탁에 해당한다고 판단했다.
④ 법무부가 위 3항의 위탁계약을 체결하면서 위탁사실과 수탁자를 홈페이지에 공개하지 않은 것은 개인정보 보호법 제26조제2항 위반에 해당한다
- 이에 대해 개인정보 보호법 제75조제4항제5호에 따라 과태료 100만 원을 부과한다.
신기술 적용을 위한 법적 요구사항을 지키는 것은 힘들지만 반드시 필요한 일입니다. 개인정보 보호 관계자 여러분들 화이팅입니다.
