[정보보호법바로알기 8] 페이스북의 성장과 개인정보보호③

얼굴인식으로 연결되는 개인정보도 개인정보보호법의 규율 대상

페이스북 개인정보 관리, 이용자 신뢰도 13%의 의미

[보안뉴스=법률사무소 민후 김경환 대표변호사] 2010년 12월 페이스북은 미국의 일부 이용자들에 대하여 얼굴인식 서비스를 시작했고 2011년 6월에는 그 서비스를 전 세계에 확장했다. 페이스북의 ‘얼굴인식 서비스’는 여러 사람이 등장하는 사진을 페이스북 이용자가 자신의 소셜 네트워크에 등록할 경우 그 이용자를 포함해 사진에 찍힌 사람들까지 포괄적으로 분석되어 얼굴과 이름을 식별해 친구추천 목록에 추가되는 서비스이다.

이 서비스의 문제점은 이용자의 얼굴뿐만 아니라 사진 안에 있는 다른 사람의 얼굴까지도 동의 없이 인식할 수 있다는 것이다. 현재 페이스북에는 전세계 인구의 10배에 해당하는 750억 이상의 사진이 저장되어 있는 바, 전혀 이름도 성도 모르는 타인의 얼굴을 이용하여 그 타인의 개인정보나 사생활까지 모두 파악할 수 있는 위험성이 있다.

예컨대 레스토랑 안에서 우연히 마음에 드는 이성을 발견한 경우, 몰래 그 이성의 사진을 찍어 페이스북에 올린 다음 그 사진을 추적하여 레스토랑 안에서 발견한 이성의 개인정보나 사생활을 파악할 수도 있고, 나아가 그 이성을 스토킹하고 범죄의 대상으로 삼을 수 있는 위험성도 있으며, 정부나 수사기관이 이를 이용하여 감시나 통제에 이용할 수도 있다.

이 서비스가 전 세계로 확대되자마자 유럽연합 27개국이 위법 여부를 놓고 조사에 착수했으며, 미국의 시민단체인 EPIC(전자개인정보센터), CDD(디지털민주주의센터) 등도 이 기능은 사생활 침해의 소지가 크고 페이스북은 이 기능에 대해 이용자들에게 충분한 사전 설명을 하여야 한다며 FTC(연방거래위원회)에 조사를 요청했다.

한편, 2011년 8월 4일 독일의 요하네스 카스파 함부르크 개인정보보호기구(Hamburg Commissioner for Data Protection and Freedom of Information)는 페이스북의 ‘얼굴인식 기능’ 서비스가 개인정보보호법 위반이라고 결론짓고 독일 정부 명의로 페이스북에 이 기능의 서비스를 중지할 것을 요구하는 내용을 서면 통보할 예정이라고 밝혔다.

이러한 논란 때문인지 페이스북은 초기의 동의 없는 얼굴인식 태깅 설정(opt-out 방식)에서 물러나 이용자들이 스스로 얼굴인식에 의한 태깅을 선택할 수 있도록 조치했다(opt-in 방식). 한편, 애플이나 구글 등도 얼굴인식 기술을 사용하기는 하지만 이는 직접 사진을 올린 사람에 한정하기 때문에 사생활 침해라는 혐의에서 살짝 벗어나 있다.

얼굴인식도 개인정보보호법의 규율대상이고 얼굴인식으로 연결되는 개인정보도 당연히 개인정보보호법의 규율대상이다. 고지나 동의 절차 없이 얼굴인식 태깅을 통하여 그 개인의 정보로 곧바로 연결된다면 이는 개인정보보호법의 위반 소지가 있다. 따라서 얼굴인식이 그 개인의 정보로 연결되는 과정에서 그 개인에 대한 고지나 그 개인의 동의 절차가 수반되어야 할 것이다(개인정보보호법 제17조, 제18조).

페이스북 개인정보 관리, 이용자 신뢰도 13%의 의미

페이스북은 IPO 전날에 개인정보에 대한 광고회사의 접근을 늘리기 위하여 프라이버시 정책을 개선하겠다고 발표했다. 투자자에게는 프라이버시의 불가피한 희생이 있더라도 광고수익을 올릴 수 있는 방안을 강구할테니 투자를 더 많이 하라는 메시지였다. 반면 이용자들에게는 프라이버시나 개인정보보호의 앞날이 험난할 것을 예고하는 메시지였다.

개인정보보호의 원리는 간단하다. 개인정보의 통제권을 기업이 아닌 개인정보 주체에게 두어야 한다는 것이다. 그러나 페이스북의 예에서 알 수 있듯이 개인정보를 보관하고 있는 기업이 이를 활용하는 과정에서 개인정보 주체의 개인정보자기결정이나 개인정보 통제를 고려하지 않는 경우가 매우 많다.

하지만 개인정보 주체의 통제권을 무시하는 기업의 개인정보 이용은 결국 그 기업의 신뢰를 약화시킬 수밖에 없다. 개인정보 관리에 대하여 페이스북을 신뢰하는 이용자들이 13%에 그치고 있는바, 이러한 불신이 페이스북의 미래에 좋은 영향을 주지 않을 것이라는 점은 어느 정도 예견 가능하다.

기업의 개인정보의 이용이 불가피하다면 그 이용방법에 대한 투자뿐만 아니라 개인정보 이용에 대한 개인정보 주체의 신뢰도 향상을 위한 투자, 예컨대 기술적 조치나 관리적 조치뿐만 아니라 근원적인 친개인정보보호적 비즈니스모델의 개발, 친프라이버시적 서비스 개발에도 마땅히 신경을 써야 할 것이다. 이러한 신뢰성 제고야말로 인터넷 기업이나 SNS 기업의 성장과 미래를 밝힐 등불이 될 것이다.

[글 _ 법률사무소 민후 김 경 환 대표변호사(hi@minwho.kr)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)