법무부가 출입국 심사 인공지능(AI) 시스템을 개발하는 과정에서 1억 7000만건 가량의 개인정보를 민간업체에 넘긴 것에 대해 적법하다는 판단이 나왔다.

개인정보보호위원회는 27일 정부서울청사에서 제7회 전체회의를 열고 법무부 인천공항 출입국·외국인청(이하 법무부)의 개인정보 보호법규 위반행위에 대해 심의하고 그 결과를 발표했다.

개인정보위는 언론보도를 계기로 지난해 말 법무부·과학기술정보통신부 등 관계기관과 사업참여기관에 대한 대대적인 조사에 착수한 바 있다. 조사결과를 보면 법무부는 과학기술정보통신부와 업무협약을 체결해 출입국 심사 고도화를 위한 ‘인공지능(AI) 식별추적 시스템 개발사업’을 2019년부터 추진했다.

정혜원 개인정보보호위원회 조사총괄과장 / 개인정보위
정혜원 개인정보보호위원회 조사총괄과장 / 개인정보위
출입국 심사고도화를 위한 인공지능 안면인식과 폐쇄회로텔레비전(CCTV) 활용 출입국 심사장 이상행동 추적 등 2개 영역으로 추진했다. 이중 CCTV 활용 이상행동 추적사업은 사업이 중단된 2021년 10월까지 CCTV 영상정보가 활용되지 않았다.

사업 참여기업이 법무부가 ‘출입국관리법’ 제3조·제6조·제12조의2 및 제28조에 따라 수집한 내국인 5760만건과 외국인 1억2000만건의 개인정보에 접근해 출입국 관리 고도화를 위한 인공지능 알고리즘을 학습시킨 사실을 확인했다.

다만, 법무부는 동 사업 과정에서 별도 구축한 실증랩의 제로 클라이언트(입출력 장치가 없는 단말기)를 통해서만 민간 참여기업이 접근할 수 있도록 제한해 법무부 서버 외부로 안면정보 등 개인정보가 반출되지 않도록 조치했다. 현재까지 외부로 반출된 개인정보와 인공지능 알고리즘이 없는 것으로 확인했다. 관련 데이터베이스와 저장매체에 있는 인공지능 식별추적시스템 알고리즘 학습에 활용된 개인정보는 모두 삭제된 것으로 확인됐다.

개인정보위는 동 사안에 대한 개인정보보호법상 위반여부를 판단하기 위해 ▲인공지능 식별추적시스템 개발을 위해 활용된 안면정보 등이 민감정보에 해당하는지 ▲출입국 심사를 위한 인공지능 학습에 안면정보를 이용한 것이 목적범위내 이용인지 ▲개인정보 처리 위탁에 해당하는지 ▲개인정보 처리위탁 사실을 공개하지 않은 것이 개인정보보호법 위반인지 여부 등을 집중적으로 논의했다.

개인정보위는 법무부가 출입국심사 인공지능 알고리즘 학습에 활용한 정보는 민감정보며, 개인정보보호법 제23조에 따라 정보주체의 동의 또는 명시적 법적 근거가 필요하다고 판단했다.

현행 개인정보 보호법 제23조 제1항 제2호는 ‘법령에서 민감정보의 처리를 요구하거나 허용하는 경우’ 민감정보 처리가 허용된다고 규정하고 있는데, 이는 법령에서 민감정보의 종류를 열거하고 그 처리를 요구하는 경우를 의미한다.

아울러, 현행 출입국관리법은 ‘생체정보’의 종류로 지문, 얼굴, 홍채 및 손바닥 정맥 등을 나열하고 있고(제2조 제15호), ‘생체정보’의 활용에 관해 규정하고 있는데(제3조, 제6조, 제12조의2), 이는 지문, 얼굴, 홍채, 손바닥 정맥 등 생체정보를 이용한 본인 확인이 가능하도록 법적 근거를 마련하고자 한 것이다. 따라서 본인 확인을 위해서는 홍채, 얼굴, 지문 이미지 등으로부터 특징점을 추출한 정보의 처리가 필수적이므로, 출입국관리법에서 출입국 심사 시 생체정보의 활용이 가능하다고 규정한 것은 민감정보의 처리를 허용하는 것으로 해석함이 타당하다고 판단한다.

개인정보위는 출입국 심사장 이상행동 인공지능 식별추적을 위해 폐쇄회로텔레비전 영상정보 내 특정 개인에 관한 특징점을 추출하는 행위 역시 민감정보의 처리에 해당한다. 조사결과 영상정보가 실제로 이용되지 않았으므로 위법 여부를 판단하지 않았다.

개인정보위는 아울러 ‘폐쇄회로텔레비전 영상정보를 이용한 인공지능 이상행동 탐지 솔루션’ 개발을 재추진하기 위해서는 정보주체의 사전 동의(개인정보 이용 동의를 받은 연기자의 연출 데이터 활용 등)를 받거나 이를 허용하는 법적근거를 마련하거나, 다른 정보와 결합하더라도 개인을 식별할 수 없도록 비식별화해 추진할 필요가 있다고 판단했다.

개인정보위는 법무부가 보유한 안면 정보를 출입국 심사 인공지능 개발에 활용한 것은 목적 범위내 이용에 해당한다고 봤다.

출입국 심사 과정에서 수집한 안면 정보를 안면인식 인공지능 개발에 활용하는 것은 출입국관리법상 정보화기기를 통한 출입국 심사·고도화를 통해 법의 목적인 ‘안전한 국경관리’를 달성코자 하는 것으로 당초 개인정보 수집·이용 목적범위에 포함된다고 판단했다.

출입국 관리목적으로 수집된 안면정보 등 개인정보를 출입국 관리법상 근거가 없는 인공지능 알고리즘 학습 등 다른 목적으로 사용하기 위해서는 정보주체의 동의를 받거나, 별도의 명시적 법적근거를 마련하는 등 보호법상의 요건을 충족해야 한다고 판단했다.

개인정보위는 법무부가 출입국심사 고도화를 목적으로 인공지능 식별추적 시스템 개발 관련 개인정보처리 위탁계약을 인공지능 개발업체와 체결한 것은 보호법 제26조의 ‘개인정보 처리위탁’에 해당한다고 판단했다.

법무부는 출입국 심사에 대응하고자 하는 목적으로 참여기업과 계약을 체결했고, 업체의 연구·개발이 통제구역내 법무부의 관리·감독 하에 이뤄졌으며, 이러한 도입의 필요성이 법무부에 있고, 위탁받은 범위(인공지능 알고리즘을 개발하기 위한 범위) 내에서만 개인정보가 처리되는 점 등을 종합적으로 고려할 때 개인정보의 처리위탁에 해당한다고 판단했다.

또 개인정보위는 법무부가 위 3항의 위탁계약을 체결하면서 위탁사실과 수탁자를 홈페이지에 공개하지 않은 것은 보호법 제26조제2항 위반에 해당한다 봤다. 이에 대해 보호법 제75조제4항제5호에 따라 과태료 100만원을 부과했다.

윤종인 개인정보보호위원회 위원장은 "정부와 공공기관 등은 법령에 따라 개인정보를 수집·이용하는 만큼 개인정보의 이용에 관한 법적 근거를 잘 살펴야 할 것이다"며 "특히 안면인식 정보 등 민감정보를 처리하는 경우에 정보주체의 개인정보 자기결정권이 침해되지 않도록 개인정보보호 법령을 준수할 필요가 있다"고 말했다.

류은주 기자 riswell@chosunbiz.com


키워드