생체정보에 대한 규제 비교(한국, GDPR)

생체정보란?

생체정보에 대한 법률적 정의는 개인정보보호법에서 아래와 같이 정의되어있습니다. 

만일 생체정보를 다루는 서비스를 기획하거나 이용하려면 개인정보보호법을 준수해야 합니다.

 

• 생체정보 : 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 인증ㆍ식별하거나 개인에 관한 특징을 알아보기 위해 일정한 기술적 수단을 통해 처리되는 정보 (개인정보의 안전성 확보조치 기준 제2조 16호)

 

생체정보가 특정 개인을 인증 또는 식별할 목적으로 처리될 경우, 생체인식정보가 됩니다.

 

가장 흔한 예시를 들어볼까요?

손가락 지문을 스캔 한 것 자체는 생체정보이지만, 

지문을 이용하여 특정인을 식별하거나, 출근여부를 체크하거나, 출입을 허용하거나, 휴대폰 단말기 잠금을 해제한다면

생체인식정보에 해당합니다.

생체정보 가이드라인 p6

 

 

생체정보는 민감정보일까?

 

생체정보는 개인정보 중에서도 민감정보에 해당합니다.

개인정보보호법 시행령 제18조 3호에서 민감정보의 범위에 생체정보와 같은 개념을 정의하고 있는데요,

 

 

민감정보는 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보(개인정보보호법 제23조 1항)로 

민감정보를 수집할 때에는 정보주체가 제대로 인지할 수 있도록 별도로 안내하고 동의를 획득해야 합니다.

 

생체정보와 생체인식정보는 어떻게 보호해야 할까?

생체인식정보는 원본정보를 암호화하고, 특징정보를 생성한 후에도 원본정보를 보관해야할 경우 다른 개인정보와는 분리하여 보관해야합니다.

 

 

GDPR에서 생체정보는 ?

GDPR에서 생체정보는 Article 4. Definition에서 'biometric data'로 정의되어있습니다.

https://gdpr-info.eu/art-4-gdpr/

자연인을 식별할 수 있는 유일한 정보로 국내 법처럼 생체정보와 생체인식정보로 개념을 나누고 있진 않지만,

한국 개인정보보호법 및 생체정보 가이드라인과는 아래와 같은 유사점/차이점을 보이고 있습니다.

 

# 국내 법과 유사한 사항

- 목적을 특정하여 처리에 대한 명시적인 동의를 획득해야하는 정보로 분류

- GDPR Rectical no.51에서 biometric data를 민감한 개인정보로 정의하고, 추가적인 보호가 필요하다고 정의

- 한국 개인정보보호법과 GDPR에서는 정보주체가 명시적으로 동의하거나, 법률에 의거한 경우 처리가 가능한 것으로 봄

- 법률(개인정보보호법) 및 규정(GDPR)에 명시된 케이스 외에는 생체정보를 처리하지 못하도록 함

 

# 국내 법과 상이한 사항

- 생체정보와 생체인식정보에 대한 개념을 분리하고 있지 않음

- 사진처리는 자연인의 고유한 식별 또는 인증을 허용하는 특정 기술적 수단을 통해 처리되는 경우에만 biometric data에 해당

- GDPR에서는 개인의 중대한 이익을 보호하는 목적으로 정보주체의 동의가 어려운 경우도 biometric data를 처리할 수 있음

 

특히 GDPR에서는 생체정보(바이오 인식정보), 유전정보, 건강 관련정보를 특수 범주의 개인정보로 분류하는데요.

 

#GDPR에서 특수 범주의 개인정보(바이오 인식정보, 유전정보, 건강관련정보)에 해당하는 의무

- 제22조의 프로파일링을 포함한 자동화된 개별 의사결정의 기초로 사용될 수 없음

- 제27조의 역내 대리인 지정의 예외가 적용되지 않음

- 제30조의 처리활동 기록 의무를 준수해야 함

- 제35조 개인정보영향평가 의무, 제37조 DPO 지정의무가 적용될 가능성이 높음

<출처 - 해외 개인정보보호법률 상담사례집_2022_개인정보보호위원회>

https://gdpr-info.eu/recitals/no-51/

개인정보보호위원회에서 2021.09에 발간한 '생체정보 보호 가이드라인'에 따르면 EU EDPB(유럽 개인정보보호 이사회)에서 발간된 생체인식정보 보호 가이드라인은 '영상정보 가이드라인_2019'와 '생체인식 기술 발전에 대한 의견_2012'만 기재되어있는데요.

 

2022년 5월에 '얼굴인식을 법 강제에 사용할 경우에 대한 가이드라인'이 발간되어 국내 가이드라인과 비교하여 살펴보았습니다.

 

EPDB_얼굴인식을 법 강제에 사용할 경우에 대한 가이드라인

EDPB > Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement

edpb-guidelines_202205_frtlawenforcement

 

이 가이드라인에서는 안면인식기술을 FRT로 명명하고 있으며,

3.2.4에서는 최근 국내에서도 다양한 논의가 진행중인 '정보주체에 대한 권리'에 대한 규정이 정의되어있고, 

3.2.5에서 데이터 보호에 대한 주요 내용을 담고 있습니다.

 

• FRT 사용 전 데이터 보호 영향평가(DPIA) 시행
• FRT가 정보주체의 권리와 자유에 대한 높은 위험이 수반되거나, 위험을 완화하기 위한 조치가 부재한 경우 감독기관과 협의
• 생체인식데이터가 손상되지 않기 위해 템플릿 보호조치를 구현
• Privacy by Desigh에 따라 개인정보보호를 고려한 설계 
• 컨트롤러 또는 프로세서의 합법성 입증 및 데이터 무결성, 보안을 위해 로깅 수행

 

특히 한국 '생체정보보호 가이드라인'에서 원본정보에 대한 암호화를 요구하고 있는데,  EPDB에는 '템플릿 보호조치'로만 되어있고 구체적인 방안을 명시하고 있진 않습니다. 한국 법률에 비해 보호조치의 범주를 열어두고 있는데, 기존 GDPR의 동향을 살펴보았을 때 한국 '생체정보 가이드라인'을 준수할 경우, EPDB의 '템플릿 보호조치'를 준수한다고 볼 가능성이 높습니다.

 

이외에도 조금 더 구체화 되는 가이드가 발간되면, 추가 업데이트하도록 하겠습니다.

 

 

 

한국 생체정보보호 가이드라인 이외 참고자료