고작 2만불 벌금인데 파장 커지고 있는 스웨덴의 GDPR 판결

행정 간소화와 고효율 위해 안면 인식 실험한 학교...동의서 다 받았지만
동의서 작성하는 양자의 힘의 균형 맞춰지지 않으면 동의에 법적 효력 없어

[보안뉴스 문가용 기자] 스웨덴 정부 기관이 발표한 2만 달러라는 작은 GDPR 벌금이, 유럽 생체 인증 산업에 큰 파문을 일으키고 있다는 소식이다. 무슨 일이 일어난 걸까?

사건은 스웨덴의 셸레프테오라는 도시에서 시작됐다. 지역 내 한 학교에서 행정 업무 향상을 위해 22명의 학생들의 안면 정보를 따서 추적하는 실험을 진행했다. 물론 실험이었고, 사전에 학생 당사자와 부모의 동의를 받은 상태였다. 실험은 성공리에 마무리됐고, 본격 도입에 대한 검토가 시작됐다. 이 때 GDPR 감독 기관이 개입했고 프로젝트는 중단됐다.

감독 기관은 학교가 학부모와 학생에게서 받은 동의서를 문제 삼았다. GDPR의 기준에 못 미친다는 것이었다. 학교와 학생이라는 관계에서 입장의 균형이 제대로 갖춰지지 않았다는 게 가장 큰 문제였다. 쉽게 말해, 학교가 하라고 하면 할 수밖에 없는 게 학생과 학부모라는 것이다. 그런 상황에서 동의서는 큰 의미를 갖지 못한다는 내용이다.

그렇다는 건 사업주와 직원의 관계에서 생체 정보와 수집과 관련된 행태가 벌어지고, 동의서가 작성된다고 해도, ‘입장의 균형’ 문제 때문에 동의서가 인정되지 않을 수 있다는 소리다. GDPR에서는 생체 정보를 ‘특수한 유형의 개인정보’로 분류하고 있기 때문에 가능성이 높은 시나리오다. 유럽에 진출하거나 유럽 시민을 대상으로 사업을 벌이는 조직들이 염두에 두어야 할 상황이 하나 더 생긴 것이다.

잉스터즈(Inksters)라는 로펌의 상법 전문 고문인 데이비드 플린트(David Flint)는 외신인 시큐리티위크(SecurityWeek)와의 인터뷰를 통해 “유럽 여러 국가에 배치된 GDPR 감독 기구들은 개인정보의 처리에 있어 ‘고용인과 피고용인 관계에서 동의서만으로 모든 것이 승인되는 상황’을 타파하고자 움직이고 있다”고 밝혔다. 권력의 불균형이 심각할 경우 동의서는 실제적인 보호 효력을 갖지 못하기 때문이다.

GDPR 7항에는 이러한 내용이 이미 명시되어 있다. 양자가 실제적으로 동의하지 않을 권한이 있을 때에만 동의서가 법적으로 인정받을 수 있다는 내용이다. 생체 인증 제공에 동의하지 않았을 때 해고당할 수 있는 위치에 있다거나 그 외 불이익을 당할 확률이 높을 경우, 동의서가 작성되었다 하더라도 GDPR 감독 기관의 인정을 받을 수 없다는 것이 여기에 근거하고 있다.

법 관련 훈련 대행 업체인 앰버호크(Amberhawk)의 국장인 크리스 파운더(Chris Pounder)는 GDPR과 생체 정보의 관계에 대하여 다음과 같이 설명한다. “GDPR은 생체 정보를 특수한 개인정보로 보고 있습니다. 특수한 개인정보를 처리하려면 ‘합법적인 까닭’과 ‘특정 조건’이 부합해야 합니다. ‘합법적인 까닭’이란 6항에 명시된 상호 간 동의서나 상호 간 합법적인 이익을 말하고, ‘특정 조건’이란 9항에 규정된 것들을 말합니다.” 유럽에서 생체 인증 시스템을 도입하려면 6항과 9항을 반드시 숙지해야 한다는 것이다.

여기서 한 가지 짚고 넘어가야 할 건 대부분의 유럽 국가에서 경찰들의 안면 인식 생체 정보 사용에는 별다른 제약이 없다는 것이다. 여기에는 두 가지 이유가 있다.
1) GDPR은 기업체들을 위한 규정이다. 사법 기관은 GDPR의 적용 대상이 아니다.
2) 사법 기관의 생체 정보 사용은 기업의 그것과 다르게 취급된다. 합법적으로 수집된 이미지와 스캔 된 이미지를 비교하는 것이 거의 전부이기 때문이다. 비교했을 때 닮은 부분이 없다면 스캔된 이미지의 인물을 식별할 방법이 없다. 식별에 실패할 경우 스캔한 이미지는 삭제한다.

은행의 생체 정보 사용 현황도 눈여겨볼 만하다. 여러 은행에서 생체 인증을 도입하고 있는데, 여기에는 고객들의 적극적인 동의가 존재한다. 게다가 은행과 고객 사이에서는 입장 차이나 힘의 불균형은 거의 없다고 여겨지기 때문에 ‘동의’가 합법으로 인정된다. 사실 은행과 고객이 완전히 동등한 위치에 있는 건 아니지만, 고객이 얼마든지 다른 은행을 선택할 수 있다는 것 때문에 둘의 동의는 문제없다고 받아들여진다.

생체 정보를 기반으로 한 인증 시스템의 도입은 이제 막을 수 없는 흐름이 됐다. 앞으로 수년 안에 대부분의 사람들이 모든 잠금장치를 생체 정보로 풀 것으로 예상된다. 하지만 GDPR과 같은 정책이 이러한 흐름에 제동을 걸고 있다. 아니, 정책과 정서에 맞는 속도로 발전을 이뤄가야 한다. 스웨덴에서의 벌금형 사건이 주는 메시지는 “생체 인증을 안전하게 사용할 수 있는 방법이 필요하다”는 것이라고 일부 해외 매체들은 정리하고 있다.

파운더는 “이건 기술보다 정책적으로 해결해야 할 사안”이라는 입장이다. “생체 인증 사업에서 보면 GDPR이 지나치게 빡빡한 것일 수도 있습니다만, 시민들 편에서 보면 신뢰할 수 있는 안전 장치가 작용한 것입니다. 중요한 건 현재 유럽에서 사업을 하고자 하는 사람들은 생체 정보 수집과 활용에 있어 무척 조심스러워야 한다는 겁니다.”

3줄 요약
1. 스웨덴에서 나온 한 GDPR 판결, 큰 파문 일으킴.
2. “동의서를 받았다고 해도 권력에 불균형 있었다면 인정 못함.”
3. 유럽에서 생체 정보 사업적으로 사용하려면 GDPR 6항과 9항 숙지해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

GDPR

2018년 5월 25일부터 시행되는 EU(유럽연합)의 개인정보보호 법령이며, 동 법령 위반시 과징금 등 행정처분이 부과될 수 있어 EU와 거래하는 우리나라 기업도 이 법에 위반되지 않도록 주의할 필요

● 이전 EU 지침은 권고 차원의 규정인 점에 반해, GDPR은 모든 회원국이 의무적으로 준수해야하는 강행 규정이라는 점에서 큰 차이가 있음(위반시 과징금 부과)

● 또한, GDPR은 EU 내 사업장을 운영하는 기업 뿐만 아니라 전자상거래 등을 통해 해외에서 EU 주민의 개인정보를 처리하는 기업에게도 적용

● 아울러, GDPR은 개인정보책임자(DPO) 지정 등 기업의 책임성을 강화하는 내용과 정보이동권 등 정보주체의 권리를 강화하는 내용이 추가

https://www.kisa.or.kr/business/gdpr/gdpr_tab1.jsp

GDPR 안내 < 개인정보보호 < 주요사업 : 한국인터넷진흥원

Source for https://www.boannews.com/media/view.asp?idx=82915#