[개인정보 A to Z] '바이오정보=개인정보', 오늘부터 딱 외우는 겁니다!

 

"

비밀번호(패스워드) 입력 대신
지문·홍채·얼굴 인식으로 잠금 장치를 해제하는 시대
보안 기술의 영역이 '생체'로 확장된 지 오래입니다
이는 우리의 '생체 정보', 즉 '바이오정보' 또한
보호되어야 할 대상이 되었다는 뜻이죠

"

 

 

지난 9일 '데이터 3법'이 국회 본회의를 통과했습니다. 개인정보보호법, 신용정보법, 정보통신망법 등 3개 법의 개정안을 묶어 데이터 3법이라고 부르는데요, 『사이렌24』에서도 이 이슈에 대해 주목한 바 있습니다.

 

 

※ 관련 콘텐츠 보기

 

[개인정보 A to Z] 나인 줄 몰라? 맘만 먹으면 알아? '가명정보' 이야기

[개인정보 A to Z] 내 맞춤형 서비스가 많아진다면서요? '데이터 경제'에 대하여

 

 

데이터 3법을 한 번 더 언급해볼까 합니다. 세 가지 법안 중 '정보통신망법'만 간략히 짚어볼 거예요. 이번 주제인 '바이오정보 보호'와 연관이 있기 때문이지요.

 

스마트 기기 시대이자 빅데이터 시대, 이젠 내 '얼굴'도 개인정보입니다. / 이미지 출처: Pixabay(이미지 클릭)

 

l '개인정보 최소 수집의 원칙'

정보통신망법 개정안은 지난해 9월 4일 발의가 되었습니다. 정식 명칭은 '정보통신망 이용 촉진 및 정보 보호 등에 관한 법률 일부 개정 법률안'이에요. 이른바 '개인정보 최소 수집의 원칙'을 지키기 위한 법적 근거 마련이 이 개정안의 발의 목적입니다. 국민 개개인의 생년월일, 위치, 음성 등 개인정보가 기업 및 기관에 활용될 때, 사생활 침해 염려없이 '최소한'으로만 수집되도록 법적 제어 장치를 걸어 두는 개념이지요.

 

2018년 미국 시애틀에서 황당한 일이 있었습니다. 문제의 주인공은 바로 아마존(Amazon)사의 AI스피커(스마트 스피커) '에코(Echo)'. 한 가정의 집에 놓여있던 에코가 부부의 대화를 녹음한 뒤 제3자에게 전송해버린 것입니다. 아내와 남편의 대화를 '메시지 보내기'로 잘못 인식해 벌어진 사고였다고 해요. 한마디로, AI 스피커 사용자들의 음성 정보, 그러니까 '바이오정보'가 유출된 셈입니다. 이 사태는 금세 IT 및 보안 업계에 이슈로 떠올랐고, 대중에게 바이오정보 보호에 대한 경각심을 일깨워주었죠.

 

이러한 바이오정보 유출의 예방책이 바로 개인정보 최소 수집의 원칙이라 할 수 있는데요, 실제로 정보통신망법 개정안은 개인정보 자기결정권 및 최소 수집의 원칙을 AI 스피커에도 적용했습니다.

 

스피커야, 스마트한 건 좋은데 지킬 건 지켜야지?

 

 

「바이오정보 보호 가이드라인」

 

1990년대만 해도, 홍채 인식이나 안면 인식을 활용한 잠금 장치 해제는 공상과학 영화 속에서나 보던 장면이었습니다. 2020년 현재 시점에서는 흔하디 흔한 일상적 풍경이지만요. 이처럼 바이오정보의 활용이 상용화됨에 따라, 우리나라 방송통신위원회와 한국인터넷진흥원이 2017년 「바이오정보 보호 가이드라인」을 발표했습니다. 바이오정보에 대한 명확한 개념 정의, 그리고 6대 보호 원칙 등을 담고 있어요.

 

이 가이드라인은 바이오정보를 '지문, 홍채, 음성, 필적 등 개인의 신체적·행동적 특성에 관한 정보로서 개인을 인증 또는 식별하기 위하여 기술적으로 처리되는 개인정보'라고 규정하고 있습니다. 그렇습니다. 간단히 말해, 바이오정보는 엄연히 '개인정보'의 한 종류라는 것이지요. 바이오정보 보호를 위한 6대 원칙도 살펴봐야겠습니다!

 

 

■ 바이오정보 6대 보호 원칙   제1원칙(비례성 원칙) -사업자는 바이오정보 활용에 따르는 위험과 예상 편익을 비교하여 수집·이용 여부 판단 -서비스 도입 시 바이오정보의 종류별 특성을 고려해 침해 위엄을 최소화할 수 있는 바이오정보 선택   제2원칙(수집·이용 제한의 원칙) -사업자는 바이오정보의 수집·이용 목적, 항목, 보유 기간을 이용자에게 명확히 알리고 동의 받아야 함 -특징정보 생성 후 원본정보는 원칙적으로 파기해야 함. 원본 정보를 파기하지 않으려면 그 이유(목적) 및 보유 기간을 별도로 고지 후 동의 받아야 함.   제3원칙(목적 제한의 원칙) -인증 또는 식별 목적으로 이용자에게 동의받은 바이오정보를 무단으로 질병검사 등 다른 목적으로 활용해서는 안 됨 -바이오정보를 다른 목적으로 홀용하기 위해서는 이용자의 사전 동의 등 적법한 절차를 따라야 함   제4원칙(통제권 보장의 원칙) -이용자가 자신의 바이오정보를 쉽게 수정하거나 삭제할 수 있도록 기기나 웹·앱 등을 통한 통제 방법을 제공해야 함 -아동 등 바이오정보 제공을 원하지 않거나 신체적 장애가 있는 경우 등을 대비하여 비밀번호 등의 대안을 마련하는 것이 바람직함   제5원칙(투명성 원칙) -바이오정보 보호에 관한 사항을 이용자에게 적극적으로 안내하고 이용자의 문의 등을 처리하기 위한 피해구제 기능을 마련·운영해야 함.   제6원칙(바이오정보 보호 중심 설계 및 운영 원칙) -바이오정보를 활용한 서비스의 개발·설계 단계부터 이용자의 바이오정보를 보호할 수 있는 기본 값(Defaults) 설정 등 방안을 고려하도록 권고함 -바이오정보를 서버로 전송하여 대량으로 처리하려면 바이오정보 침해 예방을 위해 개인정보 영향평가를 실시할 것을 권고함   ※ 출처: 정부24(바로 가기)    해당 페이지에서 「바이오정보 보호 가이드라인」 전문을 내려받기 하실 수 있습니다.

 

 

 

내 홍채도 나의 개인정보! 잘 보호되고 있는지 두 눈 부릅뜨고 지켜봐야합니다!

 

 

앞서 언급한 AI 스피커를 비롯해 스마트폰, 태블릿PC 등 다양한 분야의 적잖은 기기들이 사용자들의 바이오정보를 요구하고 있습니다. 간편 결제 앱(각종 '페이'서비스), 금융 앱 등에서도 바이오정보는 활발히 활용되지요. 바꿔 말하면, 우리의 목소리와 눈(홍채)과 얼굴이 데이터로서 '서버'에 저장된다는 겁니다. '바이오정보=개인정보'! 이 공식을 명심하시고 보호받을 권리와 보호할 의무를 보다 깊이 논의해야 할 시기가 아닌가 싶습니다.