바이오메트릭 데이터 활용 서비스에서 바이오정보 보호에 관한 연구
- 저자[authors] 정부금
- 발행사항 서울 : 고려대학교 정보보호대학원, 2019
- 형태사항[Description] 187 ; 26 cm
- 일반주기명[Note] 지도교수: 임종인
- 학위논문사항[Dissertation] 학위논문(박사)-- 고려대학교 정보보호대학원 : 정보보호학과 2019. 2
- 발행국(발행지)[Country] 서울
- 출판년[Publication Year] 2019
- 주제어 바이오정보,지능정보사회,바이오메트릭 데이터,프라이버시,개인정보,민감정보,생체정보,개인정보보호법제
- 소장기관[Holding] 고려대학교 도서관 (211009)
- UCI식별코드 I804:11009-000000082608
국문 초록 (Abstract)
바이오메트릭 데이터 활용 서비스란 개인의 바이오정보를 측정하여 신원을 확인하고 신분을 인증하며 개인에게 필요한 정보를 제공해주는 지능정보 서비스로 정의할 수 있다. 바이오정보는 크게 생체인식정보, 유전정보, 건강정보의 범주로 분류할 수 있다. 지문과 홍채, 목소리, DNA와 같은 사람의 신체적, 행동적, 유전적 특성, 활동 패턴 및 건강 상태를 측정하여 디지털 데이터로 변환하여 ICT 시스템 상에서 그 사람임을 확인하며, 확인된 개인기반의 유용한 서비스를 제공하는 것이다.
바이오메트릭 데이터 활용 서비스는 대면으로 눈으로 보고 확인하는 것과 같이 비대면 온라인에서 비밀번호나 추가적인 보안수단 없이 간편하고 정확하게 개인을 인식하고, 인식된 개인에 대해 다양한 서비스를 제공할 수 있다는데 의의가 있다. 서비스 제공을 위한 세부 기술로는 IoT 센서 기술, 바이오인증 기술, 개인맞춤형 서비스 기술, 이벤트기반 서비스 기술 및 클라우드 기반 기술 등이 있으며, 이러한 서비스는 사람의 신체와 행동 데이터를 디지털화하고, 여러 데이터베이스를 연결하여 분석하고, 수동 및 자동으로 인식된 데이터를 활용한다는 특성을 갖는다. 이렇게 측정되는 DNA를 포함한 사람의 바이오정보는 데이터베이스에 보관되는데 이러한 데이터베이스가 항상 안전할 것이라고는 믿을 수 없다. 바이오정보가 유출되면 그 정보를 기반으로 일반 개인정보로는 알 수 없는 개인에 대한 내적인 분석이 가능하며, 유출된 바이오정보는 그 정보의 소유주가 알지 못하는 사이에 다른 곳에서 다른 목적으로 사용될 수 있는 위험이 있다. 그럼에도 불구하고 바이오정보는 편리성과 안전성 및 공익을 위한 필요로 인하여 식별·확인 기능, 인증·검증 기능 및 모니터링 기능으로 금융, 헬스케어, 음성인식 AI 서비스, 영상인식 서비스, 공공분야 등에서 그 사용이 지속적으로 확대되고 있다.
개인정보는 오늘날 중요한 자산으로 부각되고 있고, 일반적인 개인정보보다 더 많은 민감한 정보를 담고 있는 바이오정보의 가치는 더욱 큰 것으로 볼 수 있다. 개인정보는 공공에서의 활용 및 상업적 활용의 소재로 사용되고 있어 개인정보의 유출 가능성은 더욱 높아지고, 이는 법적, 사회적, 경제적으로 중대한 문제로 대두되고 있다. 또한, 개인의 사생활 측면에서도 심각한 문제이다.
국제 규범에서는 바이오정보의 프라이버시 원칙들을 정의하고 있으며, 유럽연합 및 각국에서는 신기술의 발전을 반영하여 바이오정보의 보호와 활용을 위한 규범들을 추가하고 있다. 특히, 2018년 5월부터 실시된 유럽연합의 일반개인정보보호규정(GDPR)에서는 생체인식정보, 유전정보, 건강정보 등 민감정보를 특별한 범주의 개인정보로 명시하여 이러한 정보는 정보주체의 명시적 동의, 법령에 따른 필요에 의해서만 처리할 수 있으며, 공공, 통계목적 등의 활용을 위해서는 비식별화 조치를 취하여야 하며, 프라이버시 중심 설계, 영향평가 실시 등의 일반 개인정보보다 더 높은 수준의 특별한 처리 규정을 신설하였다.
국내법에서는 개인정보 보호법과 정보통신망법에서 개인정보와 민감정보에 대해서 규정하고 있다. 정보통신망법에서는 민감한 정보로서 건강, 유전정보를 포함하고 있으며, 생체인식정보를 포함할 수 있는 법적 여지를 두고 있다. 개인정보보호법에서는 민감정보로 건강, 유전정보로 한정하고 있고 생체인식정보는 일반 개인정보로 규정하고 있다. 바이오정보를 포섭할 수 있는 민감정보의 판단 여부에 대해서 개인정보 보호법에서는 사생활 침해로 규정하고 있고 정보통신망법에서는 개인의 권리·이익의 침해 여부를 추가하여 포함하고 있다. 민감정보의 처리에 있어서는 개인정보보호법에서는 별도의 동의를 받도록 하고 있으며, 민감정보를 포함한 개인정보의 수집 동의 위반 시, 정보통신망법에서는 벌칙 규정으로 두고 있는 반면 개인정보보호법에서는 과태료 규정을 두고 있는 등 두 법은 바이오정보가 포섭되는 민감정보의 범위 및 처리에 있어 다소 상이한 규정을 두고 있다. 또한 바이오정보에 대한 규정은 법적인 구속력이 없고 자율적인 참조 지침으로 사용되는 바이오정보 보호 가이드라인으로 제시하고 있다는 문제점이 있다. 아울러 유럽과의 교역을 위하여 참조하여야 할 EU GDPR에서는 개인정보관리자와 개인정보처리자라는 용어를 사용하고 있는 반면 국내 개인정보 보호법에서는 개인정보관리자라는 용어 없이 개인정보처리자와 개인정보취급자라는 용어로 그 개념은 유사하지만 용어상에 다소 혼동을 가져올 수 있는 문제점이 있다.
본 논문에서는 바이오메트릭 데이터 활용 서비스에서 바이오정보 보호를 위하여 바이오정보에 대한 적절한 규정 및 효율적인 보호를 위한 방안으로 관련 법규에 대한 개정안을 다음과 같이 제시하였다. 개인정보 보호법 제2조 제5항에서 개인정보처리자의 개념에서 개인정보관리자의 역할을 수행하는 위탁자와 개인정보취급자의 역할을 수행하는 수탁자를 서로 대응되게 명시적으로 정의하여 EU GDPR과의 균형이 이루어지도록 한다. 제23조에서는 민감정보로서 생체인식정보, 건강정보, 유전정보를 명시하고, 정보주체의 자유와 권리를 현저히 침해할 우려가 있는 정보로 정의하고, 제1항에서는 민감정보의 처리를 위해서는 정보주체의 명시적 동의를 받도록 하여야 하며, 제3항에서는 정보주체의 동의와 법령에 의하여 처리할 경우에는 비식별화 조치를 하여야 함을 명시하여야 한다. 제71조 벌칙에 개인정보 및 민감정보의 미동의 수집을 추가하여야 하며, 제75조 과태료에서는 개인정보의 미동의 수집 항은 삭제하여 정보통신망법과의 일관성을 이루어야 한다. 바이오메트릭 서비스는 클라우드 서버를 기반으로 제공되고 있으며, 이에 따라 클라우드 서버가 국외에 위치하여 바이오정보가 국외로 제공될 가능성이 존재하므로 제17조에서는 유전자정보에 대해서는 국외제공을 금지하거나 제한하는 규정을 신설하여야 한다. 정보통신망법에서는 제23조 제1항 민감정보의 수집 제한에 대해서 개인정보보호법과 일치되게 명시적 사전 동의를 받도록 규정하여야 한다. 또한 제28조에서 개인정보의 보호 조치를 위하여 기존에 정의된 암호화 외에 비식별화 조치를 하여야 함을 규정하여야 한다.
추가적으로 국제적인 바이오정보 프라이버시 논점 분석을 통하여 국내 바이오정보 보호 가이드라인의 개선 방안으로 바이오정보 책임성 원칙, 정확성 유지 원칙, 프로파일링 금지 원칙을 추가로 제시하였고 기존의 기술적, 관리적 보호 조치 외에 활용을 위한 조치로 익명화, 가명화를 추가하여야 함을 제시하였다.
또한 본 논문에서는 기존의 개인정보보호 법제의 개선 방안에 대해 연구하였으나 여러 개별법에 규정되어 있는 바이오정보를 더욱 일관성 있게 규정하기 위해서는 이를 발전시켜 독립적인 자기 완결적 법률을 제정하는 방안에 대한 연구가 필요할 것이다.