백화점을 운영하는 회사가 백화점에 출입하는 고객의 얼굴정보를 분석한 다음 그 분석 데이터를 근거로 고객의 동선과 구입물품을 파악하게 되면, 백화점은 그 고객의 기호를 완전히 파악할 수 있고 나아가 그 고객이 원하는 제품까지도 분석해 낼 수 있다.
그 결과 백화점은 그 고객이 원하는 제품을 포함한 이메일 광고를 보낼 수 있고, 그 고객이 백화점에 방문했을 때에 그 고객이 사고 싶은 물품에 대하여 집중적으로 안내·광고를 할 수 있다.
신상이 궁금하거나 찾고자 하는 사람의 얼굴을 이미지로 저장한 다음 그 이미지 정보를 포털이나 SNS에 올려 검색하면, 얼굴정보 검색 엔진은 인터넷상의 사진이나 동영상의 인물을 검색하여 그 사람에 대한 검색결과를 제공하여 준다.
심지어 그 사람의 얼굴표정에 대한 정보를 분석함으로써 그 사람의 성별, 나이, 얼굴형, 머리카락 상태, 피부상태뿐만 아니라 심리상태에 대한 정보까지 제공하여 준다. 얼굴인식 기능이 있는 담배 자동판매기는 구매자의 얼굴정보를 분석하여 미성년자 여부를 가려낸다.
온라인 쇼핑몰에 자신의 사진을 올린 다음 원하는 선글라스, 안경, 모자 등의 제품을 선택하면, 사진 위에 선글라스, 안경, 모자 등의 제품이 착용된 결과를 본 후, 원하는 제품에 대한 쇼핑을 할 수 있다.
앞서의 예는 얼굴인식 기술((Facial Recognition Technologies)의 활용을 보여주는 실제 사례들을 소개한 것이다.
과거 얼굴정보는 다른 형태의 개인정보보다 외부적으로 노출이 잘 되어 있어 제3자에 의한 수집도 용이하며, 설사 수집을 한다고 하더라도 마케팅 등 목적에의 이용 가능성도 크지 않았기에 그 중요성이 크지 않았다.
그러나 디지털 기술, 얼굴인식 기술, 데이터 기술, 정보통신망 기술 등의 IT 산업 발전으로 얼굴정보에 대한 활용이 현실화되고 급속히 증가함에 따라 얼굴정보의 중요성이 급격히 커져가고 있다. 미국 National Institutes of Standards and Technology(NIST) 자료에 따르면, 얼굴인식 기술은 급속도로 발전하여 지금은 1% 이하의 오인식률을 보인다고 알려졌다.
얼굴인식 기술을 통한 얼굴정보의 활용에 대하여 IT 기술 발전을 실감할 수 있고 많은 편의를 누리고 있어 즐겁기도 하고 고맙기도 하지만, 다른 한편 프라이버시에 대한 걱정이나 악용 가능성에 대한 고민도 작지 않다. 빅브라더의 출현에 기여할 것이라고 우려하는 사람도 있다.
그렇지만 IT 기술이라는 것은 인간성이나 인격의 담보라는 전제 위에 그 생활의 편의성을 제공하는 것이고, 또 마땅히 그래야만 하는 것이므로 인간성이나 인격을 침해하는 활용, 인권을 고려하지 않은 무제한의 활용이나 무분별한 기술 응용을 허락할 수는 없다.
특히, 얼굴정보를 얼굴인식 기술을 이용하여 마케팅에 활용하거나 이를 분석하여 광고수익을 올리고 있다면 그 사람의 얼굴정보에 대한 통제권도 보장해 주어야 한다.
이러한 당위성을 근거로 구체적으로 기업의 얼굴인식 기술 및 그 활용은 어디까지 허용되는지, 법적인 한계를 검토해 보고자 한다.
첫째, 기업은 데이터(얼굴정보)의 보안에 특히 신경써야 한다. 한 개인의 신용카드 번호가 유출됐다 하더라도 그 신용카드 번호를 바꿀 수 있고, 한 개인의 전화번호가 노출되었다 하더라도 그 전화번호를 교체하면 그만이지만, 한 사람의 얼굴정보란 것은 전세계에 노출되었다고 하더라도 스스로 변경할 수도 없고 대체 가능하지도 않다. 때문에 얼굴인식 기술이 활용되는 한 얼굴정보를 절대로 일반적인 개인정보와 같이 취급하지 말아야 한다.
얼굴인식 기술이 적용되는 얼굴정보의 이러한 특성을 고려하여 얼굴인식 기술을 활용하고자 하는 기업은 얼굴정보의 수집, 탐지, 저장, 분석, 대조, 처리 등의 모든 단계에서 다른 개인정보보다 더 강한 보안을 유지해야 한다. 그리고 저장 및 처리 과정에서의 접근제어, 얼굴정보에 대한 암호화, 얼굴정보의 익명화·비식별화한 상태로의 저장 등이 의무적으로 고려되어야 한다.
둘째, 투명성 강화이다. 기업 입장에서 얼굴정보는 다른 개인정보보다 취득하기 쉽고 수집과정에서 정보주체의 반발도 적지만, 소비자 입장에서 보면 얼굴인식 기술이 적용되는 한 다른 개인정보보다 훨씬 더 민감한 개인정보를 제공하는 것이다.
때문에 일반적인 개인정보보다 얼굴정보에 대한 투명성은 훨씬 더 강하게 보장되어야 한다. 얼굴정보를 활용하는 기업은 반드시 얼굴정보의 수집, 저장, 이용, 처리나 보안에 대해 정확하게 고지해야 하며, 원래 정해진 활용 방안과 다른 활용을 고려할 때에는 이를 사전에 공개하거나 고지해야 한다.
여기서 중요한 것이 있는데, 얼굴정보를 제공한 소비자에 대한 계몽이다. 대부분의 소비자는 누구나 자신의 얼굴을 볼 수 있고 또한 공개된 장소에서 촬영이 이루어 지므로, 기업이 얼굴정보를 영상정보로 저장한다 하더라도 법적으로 문제가 되지 않는다고 생각한다. 그러나 이것은 얼굴인식 기술이 존재하지 않을 때에 이야기이다.
얼굴인식 기술, 영상정보의 축적 등으로 인하여 소비자가 예상하는 결과와는 차원이 다른 결과가 나올 수 있다. 소비자가 이러한 점을 인식하고 스스로 현 시점에 맞는 권리를 찾아갈 때에 기업은 소비자에게 원하는 고품질의 투명성을 제공할 것이다.
셋째, 정보주체의 통제권(프라이버시) 강화이다. 현행 개인정보호보법에 따르면, 얼굴정보에 대하여는 통상의 개인정보에 적용되는 정보주체의 통제권이 적용될 뿐이다(참고로 얼굴정보는 제23조의 민감정보에도 해당하지 않고, 제24조의 고유식별정보에도 해당하지 않는다). 얼굴인식 기술의 발달이나 다양한 활용에 대하여 고려하지 않은 결과이다.
그러나 얼굴인식 기술을 활용한 얼굴정보의 이용은 이미 우리 곁에 와 있고, 프라이버시 심각한 침해는 가능성을 넘어 개연성의 수준으로 올라와 있다. 그리고 얼굴정보를 마케팅에 활용하는 Point of Purchase Advertising International’s Digital Signage Group(POPAI)라는 기업 마케팅 연합조직은 수년 전부터 얼굴정보에 대하여 프라이버시 침해가 매우 심각한 정보로 분류하고 있다.
프라이버시의 잠재적인 침해정도가 극도로 심각한 얼굴정보에 대하여 정보주체의 선택권이나 통제권을 보장하여 프라이버시권의 실질적인 보장이 이루어져야 한다. 구체적으로 얼굴정보의 수집·활용에 대한 명시적인 동의절차, 이용제한에 대한 옵트인 방식 설정절차, 이용에 대한 감시절차, 이용 이후 얼굴정보의 확실한 파기보장, 얼굴정보의 위탁에 대한 동의절차, 수집목적 외의 이용시 별도의 동의절차 등에 대하여 일반적인 개인정보보다 더 강력한 통제권이 보장되어야 한다.
넷째, 자율규제의 강화이다. 얼굴정보의 활용이나 얼굴인식 기술의 마케팅적 이용은 기업간의 무한경쟁에서 나온 결과이다. 그리고 얼굴인식 기술은 나날이 발전하고 있고, 이를 활용한 사업모델 역시 갈수록 진보하고 있다.
이러한 현실에서 국가에 의한 타율적 규제도 못할 바 아니지만, 기업은 스스로의 이익을 지키고, 동시에 합법적인 경영을 하면서 소비자의 신뢰를 고양하기 위하여 자율적인 규율을 만들고 이를 스스로 감시하면서 지켜나가는 것이 바람직하다고 본다.
얼굴인식 기술과 얼굴정보의 활용에 대하여 세계 여러 나라 정부는 매우 심각하게 그 부작용을 고려하고 있고, 기업에게 합법적인 가이드라인을 제시하려고 노력하고 있다.
미국의 경우, 연방거래위원회(Federal Trade Commission)는 1년간의 각계각층의 논의 결과를 집약하여 2012년 10월 발행한 ‘얼굴 인식 기술 가이드라인(Facing Facts: Best Practices for Common Uses of Facial Recognition Technologies)에서 합법적인 가이드라인을 제시하고 있고, 일본도 가이드라인 제정을 서두르고 있다.
이제 우리나라도 얼굴정보에 대한 고전적 태도를 버리고, 세계적 추세에 보조를 맞추어 갈 필요성이 크다고 본다.
* 법무법인 민후 김경환 대표변호사 작성, 블로그(2013. 1. 1.), 보안뉴스(2013. 1. 1.) 기고.
