태그: 개인정보보호법

국가기관, 지자체 등이 구축하는 생체정보 활용 인공지능 시스템 전면 중단해야

- 과기부 주도 인공지능 산업의 위험성 드러나
생체정보 등 공공데이터의 민간기업 AI 학습용데이터 제공은 불법
- 개보위, 전국 지자체 추진 중인 생체정보 활용 사업 전수조사해야

언론보도에 따르면, 과학기술정보통신부(이하, ‘과기부’) 산하 정보통신산업진흥원이 대구 수성구의 ‘인공지능(AI) 융합 국민안전 확보 및 신속대응 지원 사업’에 선정한 5개 민간업체 중 한 업체가 인공지능 학습용으로 제공받은 시민들의 ‘얼굴 영상’ 10만여 건을 통제구역(실증랩) 밖으로 무단 반출한 것이 발각되었다. 법무부와 과기부의 얼굴인식 인공지능 추적식별 시스템 구축 사업에 내⋅외국인 얼굴정보 1억 7천여건이 무단 제공되어 충격을 준 것에 이어, 지자체가 CCTV를 통해 확보한 국민들의 영상정보를 인공지능 학습데이터로 민간기업에 무단으로 제공하였을 뿐 아니라 통제된 장소에서만 정보를 다루기 때문에 안전하다고 발표했던 과기부의 해명이 그야말로 거짓임이 드러난 것이다. 특히 이번에 적발된 업체 씨이랩은 2014년부터 국방부, 중소벤처기업부, 과기부 등 정부 부처나 공공기관의 기술 용역 과제 13건을 수주해온 것으로 알려져 이와 유사한 개인정보 유출 사례가 추가로 있을 수 있다는 의심이 든다. 과기부는 즉각 해당 사업을 중단하고, 적발된 업체를 사법처리할 뿐 아니라 이후 인공지능 관련 사업에서 퇴출시켜야 할 것이다. 

두 달이 지나도록 과기부는 민간업체가 관련 영상정보를 무단 반출한 사실조차 몰랐다고 하니 관리감독조차 제대로 이루어지지 않았다는 것은 명백하다. 데이터뉴딜, 인공지능 산업의 주무부처로 자처하고 있는 과기부가 과연 자신들이 주도하여 개발하고 있는 얼굴 등 생체정보를 활용한 인공지능시스템의 실태를 제대로 파악하고 있는지조차 의문이다. 국민의 생체정보 등을 보호할 의무가 있는 국가와 지자체가 앞다투어 인공지능 시스템 구축 사업 명분으로 정보주체 모르게 생체정보를 민간기업에 제공하고, 개인정보보호법상 정보처리자의 의무를 면제하도록 ‘위탁’형식이라는 꼼수까지 부린 것은 국가가 나서서 불법을 조장한 행태로 비난받아 마땅하며 그러한 사업은 전면 중단해야 한다. 

지난 10월 국회 국정감사에서 드러난 법무부의 얼굴인식 인공지능 식별 추적시스템 뿐 아니라, 이번 대구 수성구의 인공지능 시스템 등 전국의 많은 지방자치단체들이 치안이나 방역 등을 이유로 얼굴인식 인공지능 시스템을 운영 중이거나 개발 중인 것으로 알려지고 있다. 부천시가 도입 개발하고 있는 지능형 역학시스템은 시내 방범용 CCTV를 활용해 코로나19 등 감염병 확진자의 이동경로·마스크 착용 여부·밀접 접촉자 등을 추적한다는 명분이고, 경기 안산시가 2022년 시범도입을 준비 중인 아동학대 실시간 탐지 시스템도 어린이집 CCTV를 활용해 아동학대를 실시간 탐지한다는 목적이다. 이미 범죄예방용으로 인공지능 감시시스템을 시범 운영하는 곳도 있다. 제주 경찰은 안면인식·침입감지 기능을 갖춘 CCTV를 신변보호 대상자 집 주변에 설치해 특정 인물이 주변을 배회하면 대상자와 112 상황실에 실시간으로 얼굴 사진을 전송한다. 경찰청은 2022년부터는 이 시스템을 전국으로 확대할 계획이라고 한다. 

이처럼 국가기관, 지자체 등이 공적 목적으로 보유하고 있는 다양한 개인정보와 얼굴, 지문과 같은 생체정보, 질병, 건강정보와 같은 민감정보를 사회적 합의나 논의 없이 민간기업의 인공지능 기술 개발에 무단 제공하면서 개인정보보호법 위반 여부나 인권, 프라이버시 등 기본권에 미칠 영향을 고려하지 않았다면 큰 문제이다. 막대한 예산이 집행되고 사람의 민감한 얼굴정보를 사용하는 정부 주도 사업에서 현행 개인정보보호법의 준수 여부를 철저하게 검토하거나 주무 부처인 개인정보보호위원회와의 협의는 기본임에도, 최근 언론보도로 알려진 사례들은 개인정보보호위원회의 검토조차 거치지 않은 것으로 보인다. 개인정보 보호의 검토 없이 우후죽순 늘어나는 국가 주도의 생체정보 활용 인공지능 시스템 개발 사업에 관하여 개인정보 감독기구로서 개인정보보호위원회의 제 역할이 절실하다. 최근 드러난 사례 이외에도 전국적으로 추진 중인 유사 사업이 더 많을 것이라는 점에서, 개인정보보호위원회가 공공기관과 전국 지자체 등이 개발 중인 생체정보 활용 인공지능 시스템 사업 현황과 실태를 전수 조사할 것을 요구한다. 

전세계적으로 법집행기관이 얼굴인식 등 생체정보를 활용한 인공지능 시스템을 사용하는 것에 대해 대량감시 위험과 유출시 피해 회복 불가능의 우려에서 규제방안 마련에 사회적 논의를 진행하고 있는 마당에 우리나라만 유독 아무런 견제장치도 없이 국가기관과 지자체들이 앞다투어 인공지능시스템을 운영하려고 하는 것은 부끄러운 일이다. 인공지능은 산업기술적 측면 뿐 아니라 우리 삶 전체를 바꿀 새로운 현상이기 때문에 인권을 중심으로 한 통합적이고 총체적 접근이 필요하다. 인공지능 산업 육성에만 초점을 맞출 것이 아니라, 인공지능으로 발생할 수 있는 인권 제약에 대하여 제대로 된 관리감독체계가 마련되어야 한다. 연이어 드러나는 과기부 주도의 인공지능 시스템 관련 사건들이 이를 여실히 보여주지 않는가. 더 늦기 전에 인공지능의 위험성을 통제할 수 있는 법제를 마련할 것과 이를 위해 인공지능으로 영향을 받는 당사자를 비롯한 시민사회가 함께 참여하는 범국가 차원의 인공지능 컨트롤타워를 마련할 것을 촉구한다. 끝.

[관련기사 참조] 정부가 ‘연구용’ 줬더니, 얼굴 영상 10만건 빼돌렸다

[내려받기] 20211117_논평_생체정보활용인공지능시스템중단촉구

국제인권기준에 따른 개인정보 보호 법제도 개선방안 연구

사단법인 정보인권연구소는 2020년 11월 <유럽연합 「개인정보보호 규정」(GDPR) 등 국제인권기준에 따른 개인정보 보호 법제도 개선방안 연구> 보고서를 발간하였습니다.

최근 정부와 기업은 데이터 산업 활성화를 위해 개인정보 보호를 완화하는 여러 정책을 추진하고 있습니다. 쇼핑내역은 물론 민감한 건강정보에 이르기까지 많은 개인정보가 정보주체의 동의 없이 광범위하게 가명처리 후 거래되기 시작했습니다. 개인정보 보호법은 지난해 데이터3법 논란에 이어 2차 개정을 눈앞에 둔 상황입니다.

정보주체인 국민들이 지금의 데이터 환경을 신뢰할 수 있을까요. 소비자와 이용자의 개인정보를 부당하게 매매하거나 유출한 기업들은 충분히 책임을 지는 모습을 보여주지 못해 왔습니다. 데이터 산업이 정당하고 투명하지 못하다면 국민에게 어떤 이익이 돌아올 수 있을지 의문입니다. 무엇보다 개인정보 자기결정권은 헌법이 보호하는 기본권으로서 산업 발전을 위하여 이를 부당하게 제한해서는 안 될 것입니다.

데이터 환경은 인공지능 등 기술의 발전으로 갈수록 불투명해지고 있습니다. 그러나 우리 사회에서 정보주체의 권리 보장에 대한 진지한 고민은 4차 산업혁명의 구호 속에 실종되어 가는 듯 합니다. 반면 유럽연합 GDPR 등 국제기준에서는 정보주체가 자신의 개인정보 처리에 대하여 정보를 제공받을 권리, 접근할 권리, 수정할 권리, 삭제할 권리, 처리를 제한할 권리, 이동시킬 권리, 프로파일링 및 자동화된 의사결정에 대하여 행사할 수 있는 권리 등을 정교화해 나가고 있습니다.

또 최근 유럽에서는 기업 등 개인정보를 처리하는 자의 책임성 또한 강화되고 있습니다. 개인정보를 처리하는 자는 제품과 서비스에서 설계에 의한 개인정보 보호(data protection by design)와 기본설정에 의한 개인정보 보호(data protection by default)의 의무가 있고, 특히 고위험 개인정보 처리를 하는 경우 공공은 물론 민간에게도 개인정보 보호 영향평가의 의무가 있습니다. 나아가 개인정보 처리 활동을 기록해야 하고 독립적인 정보보호 책임자(DPO)를 두도록 하고 있기도 합니다. 그러나 안타깝게도 우리의 현행법과 개정안에서는 개인정보 처리자의 책임성 보장이 매우 부실한 상황입니다.

이에 연구보고서는 국내외 현황을 다각도로 살펴보고 정보주체에게 공정하고 투명하고 책임감 있는 개인정보 처리를 위한 정책 권고를 담았습니다. 우리의 개인정보 보호 법제도들은 정보주체의 권리를 충분히 보장하고 개인정보 처리자들의 책임성 또한 강화하는 방향으로 개선해야 할 필요가 있습니다. 또한 인공지능 등 신기술 환경에서 정보 인권을 보장하기 위한 거버넌스와 절차가 마련되어야 하고 국가인권위원회와 개인정보 보호위원회가 제 역할을 해야 합니다. 신용정보법과 개인정보 보호법으로 분산되어 있는 개인정보 보호 체계는 일원화되어야 하고, 정보기관 및 수사기관에 광범위한 예외를 구체적으로 한정할 필요가 있습니다.

국가인권위원회가 발주한 이 실태조사 연구보고서는, 사단법인 정보인권연구소 이사장 이호중 교수(서강대학교 법학전문대학원)가 책임을 맡았습니다. 이은우 변호사(법무법인 지향), 오병일 대표(진보네트워크센터), 장여경 이사(정보인권연구소), 김재완 박사(한국방송통신대학교)가 공동연구원으로 참여하고 희우 활동가(진보네트워크센터)가 연구보조원으로 참여했습니다.

♣️ 사단법인 정보인권연구소는 시민사회 관점에서 정보인권을 지지하는 대안적 정책을 연구하고 생산하기 위해 2018년 창립하였습니다(이사장: 이호중 서강대학교 법학전문대학원 교수). http://idr.jinbo.net

♣️ 연구보고서 전체 파일은 국가인권위원회에서 다운받으시거나 첨부파일을 내려받으시기 바랍니다.

[연구보고서 내려받기] 2020정보인권연구소_개인정보보호법제도개선연구_최종보고서