공항에서 찍은 출입국자 얼굴 사진 등 생체정보 1억7000만 건을 사기업에 위탁해 ‘인공지능 식별추적 시스템 개발사업’(이하 AI 개발 사업)을 추진한 법무부에 과태료 100만 원이 부과됐다. 개인정보보호위원회는 법무부가 보유한 생체 정보를 출입국 심사 AI 개발 사업에 활용한 것 자체는 정상적 위탁 계약이라고 판단했다. 시민사회단체들은 개인정보보호위원회가 법무부에 면죄부를 줬다며 반발했다. 

진보네트워크센터와 민변 디지털정보위원회 등 시민단체들은 28일 성명을 내고 법무부의 관련 사업은 개인정보보호법상 목적 외 이용에 해당한다며 반발했다.

이들 시민단체는 “국가가 공적 목적으로 수집 보관하던 내외국인의 민감 정보를 사기업들에 대규모로 제공한 이 사건은 정보 주체가 결코 예상하지 못했던 그들만의 거래였을 뿐만 아니라 사회가 AI 기술에 대한 신뢰를 잃게 만들었다”며 “그렇기에 이 사건에 면죄부를 준 위원회의 합법 판단은 더욱 실망스럽다”고 밝혔다. 

▲참여연대와 진보네트워크센터, (사)정보인권연구소, 민주사회를 위한 변호사 모임 등 4개 단체는 지난 1월27일 서울 삼청동 감사원 앞에서 ‘법무부·과기부의 얼굴인식 인공지능식별추적 시스템 구축 사업에 대한 공익감사청구’ 기자회견을 열고 감사 청구서를 제출했다. 사진=박서연 기자.
▲참여연대와 진보네트워크센터, (사)정보인권연구소, 민주사회를 위한 변호사 모임 등 4개 단체는 지난 1월27일 서울 삼청동 감사원 앞에서 ‘법무부·과기부의 얼굴인식 인공지능식별추적 시스템 구축 사업에 대한 공익감사청구’ 기자회견을 열고 감사 청구서를 제출했다. 사진=박서연 기자.

앞서 27일 개인정보보호위원회(위원장 윤종인)는 서울 종로구 정부서울청사에서 전체회의를 열고 ‘법무부 인천공항 출입국·외국인청’이 AI 개발 사업을 추진하면서 개인정보 주체의 동의 없이 내국인과 외국인의 생체 정보를 위탁한 것이 ‘개인정보보호법’을 위반했는지 심의했다.

조사 쟁점은 △AI 식별추적시스템 개발을 위해 활용된 얼굴 정보 등이 민감 정보에 해당하는지 △출입국 심사를 위한 AI 학습에 얼굴 정보를 이용한 것이 목적 범위 내 이용인지 △개인정보처리 위탁에 해당하는지 △개인정보처리 위탁 사실을 공개하지 않은 것이 개인정보보호법 위반인지 등이다.

개인정보보호위원회는 법무부가 처리 위탁 계약 이후에도 수탁자 명단을 공개하지 않은 점만 문제 삼아 과태료 100만 원을 부과했다. 개인정보보호법 ‘업무위탁에 따른 개인정보의 처리 제한’ 조항을 보면 개인 정보의 처리 업무를 위탁하는 개인정보처리자(위탁자)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(수탁자)를 정보 주체가 언제든지 쉽게 확인할 수 있도록 공개해야 한다.

▲참여연대와 진보네트워크센터, (사)정보인권연구소, 민주사회를 위한 변호사 모임 등 4개 단체는 지난 1월27일 서울 삼청동 감사원 앞에서 ‘법무부·과기부의 얼굴인식 인공지능식별추적 시스템 구축 사업에 대한 공익감사청구’ 기자회견을 열었다. 사진=박서연 기자.
▲참여연대와 진보네트워크센터, (사)정보인권연구소, 민주사회를 위한 변호사 모임 등 4개 단체는 지난 1월27일 서울 삼청동 감사원 앞에서 ‘법무부·과기부의 얼굴인식 인공지능식별추적 시스템 구축 사업에 대한 공익감사청구’ 기자회견을 열었다. 사진=박서연 기자.

개인정보보호위원회는 출입국 심사 AI 알고리즘 학습에 활용한 정보는 민감정보라고 판단해 정보 주체 동의가 필요하다고 보면서도 이용 범위가 법을 위반하지 않았다고 판단했다.

개인정보보호위원회는 법무부가 보유한 안면 정보를 출입국 심사 AI 개발에 활용한 것은 목적 범위 내 이용에 해당한다고 판단했다. 위원회는 “출입국관리법상 정보화기기를 통한 출입국 심사·고도화를 통해 법의 목적인 ‘안전한 국경관리’를 달성코자 하는 것으로 당초 개인정보 수집 이용 목적 범위에 포함된다고 판단했다”고 밝혔다.

또 AI 개발 사업을 위해 AI 개발업체와 위탁계약을 체결한 것은 ‘개인정보 처리위탁’이라고 했다. 위원회는 “법무부는 출입국 심사에 대응하고자 하는 목적으로 참여기업과 계약을 체결했고, 업체의 연구 개발이 통제구역 내 법무부의 관리 감독 하에 이뤄졌으며 이러한 도입 필요성이 법무부에 있고, 위탁 받은 범위 내에서만 개인정보가 처리되는 점 등을 종합적으로 고려할 때 개인정보의 처리 위탁에 해당한다”고 판단했다.

진보넷 등 6개 시민단체들은 개인정보위의 조사 결과를 납득할 수 없다고 비판했다. 법무부가 AI 개발 사업을 위해 사기업과 맺은 계약은 위탁계약이 아니라 개인정보보호법에서 금지한 제3자 무단 제공이라는 것.

시민단체들은 “출입국 심사를 위한 인공지능 학습에 얼굴 사진 등을 이용한 것이 개인 정보의 목적 범위 내 이용에 해당한다고 판단했다. 출입국관리법의 목적인 ‘안전한 국경관리’를 위한 개인정보 수집 및 이용 목적 범위에 인공지능 학습이 포함된다고 판단한 것”이라며 “이는 민감한 생체 정보의 특별한 보호 필요성에 비추어 볼 때 그 적법한 처리 근거를 과도하게 폭넓게 인정한 것”이라고 지적했다.

▲ 사진=gettyimages
▲ 사진=gettyimages

시민단체들은 이어 “위탁계약을 체결했다고 해 실질적으로는 불법적인 제3자 제공이 위탁처리가 되는 것은 아니다”며 “과거 홈플러스 사건에서도 피고들이 홈플러스가 고객정보 수천만 건을 다수의 보험사에 넘긴 것이 위탁이라고 주장했으나 법원에서 인정되지 않았던 이유는 그 형식성이 아니라 실질성에 있어 수탁 회사들이 이 개인 정보 처리로 ‘독자적인 이익’을 가졌기 때문”이라고 설명했다.

법무부가 사업에 참여한 기업들에게 출입국 시스템 고도화와 무관한 개별 회사 인공지능 프로그램 향상이라는 독자적인 이익을 제공했기 때문에 단순한 위탁이 아닌  목적 외 이용이 있었다는 입장이다.

시민단체들은 “2020년 참여한 기업 가운데 향상된 프로그램에 대해 특허 등 지적재산권을 등록하거나 취득한 건수가 다수 있는 것으로 확인됐다. 이 프로그램들과 지적재산권 모두가 출입국관리법 규정상 출입국심사 목적을 위한 것이냐”고 지적했다.

끝으로 시민단체들은 “위원회의 이번 결정은 법무부에 사실상 면죄부를 부여한 것으로, 독립성을 가져야 할 위원회가 법무부나 과기정통부 등 주요 정부 부처의 눈치를 보고 있는 것이 아닌지 우려스럽다”며 “국가가 출입국 관리라는 공적 목적으로 수집 보관하던 개인정보를 사기업들의 이익을 위해 대규모로 제공한 것은 정보 주체인 내외국인의 기본권을 침해하는 것”이라고 비판했다.

저작권자 © 미디어오늘 무단전재 및 재배포 금지