얼굴정보 판매… 규제 권고 그쳐

▲ 2018년 5월 중국 베이징에서 열린 글로벌모바일인터넷콘퍼런스(GMIC)에 참여한 LL비전의 홍보관에 얼굴인식이 가능한 스마트 안경이 소개됐다. REUTERS

얼굴 정보와 다른 데이터가 연결되면 데이터 유출과 전매 위험이 커진다. “이렇게 많은 정보를 수집하면 데이터 시스템 위험이 커진다. 다른 나라에 비슷한 사례가 많다.” 왕시신 베이징대학 법학원 교수는 정보가 민감할수록 위험이 커진다고 했다.

<베이징청년보>는 인터넷쇼핑몰에서 공개적으로 얼굴 정보를 판 정황을 보도했다. 약 2천 명, 17만 건 데이터로, 한 명당 사진 50~100장이 있었다. 사진마다 자료가 첨부됐다. 눈·귀·코·입 윤곽을 포함한 106가지 핵심 부위의 정보와 성별, 성격, 외모 등 구체적인 정보가 포함됐다. 판매자는 얼굴 정보 일부를 검색엔진에서 수집하거나 소프트웨어 개발사 데이터베이스에서 가져왔다고 했다. 피해자 2명은 자신이 알지 못한 상황에서 정보가 수집됐다고 말했다.

허옌저는 지금도 얼굴 정보를 전매하는 브로커가 있지만 그 영향은 구체적인 응용서비스로 평가해야 한다고 말했다. “얼굴 정보와 다른 정보를 결합해 팔면 최악의 상황이 될 것이다. 얼마 전 알려진 인공지능(AI) 얼굴 변환 애플리케이션(앱) ZAO 사건이 이런 위험성을 보여준다.” 타인이 내 얼굴 정보를 입수한 뒤 팔아 돈을 벌 수 있고, 내 명예를 훼손하거나 사기에 이용할 수도 있다.

 

중국 법원 판결문 사이트에 관련 기록이 있다. 개인정보 침해 사건을 보면, 피고인이 한 장에 10~15위안(약 2500원)을 받고 얼굴 사진을 팔았다. 또 운전면허증 등 개인정보를 확보해 차량공유 서비스 디디추싱(滴滴出行)에서 가짜 차주 계정을 등록해 이익을 챙겼다. 다른 사건에서는 피고인이 3차원(3D) 얼굴 동영상을 만들어 알리페이 얼굴인증 시스템을 통과했다. 강도사건 범인은 피해자 신분증과 알리페이 앱 얼굴인식 기능을 이용해 알리페이 비밀번호를 바꾸었고, 결국 재산 피해를 줬다. 

2019년 2월에는 인터넷 보안을 위한 비영리단체 GDI재단의 빅터 게버스 연구원이 사회관계망서비스(SNS)를 통해, 중국 선전에 본사를 둔 센스넷츠(深網視界科技有限公司)에서 개인정보 257건이 유출됐다고 밝혔다. 신분증 번호와 성별, 국적, 주소, 생일, 사진, 고용주 등의 정보와 이들이 지난 24시간 동안 경유한 지리 정보까지 포함해 모두 668만 건이었다. 센스넷츠는 얼굴인식과 대중 분석, 행인 추적 등의 기술을 보안 분야에 적용하는 기업이다. 피해자는 주로 동영상 시스템에서 모니터링한 사람이었다고 한다.

<중국중앙텔레비전>(CCTV)이 제작한 다큐멘터리 <휘황중국>은 2017년 중국이 세계 최대 규모의 동영상 모니터링 네트워크를 만들었고, 2천만 대 넘는 감시카메라를 설치했다고 밝혔다. ‘중국톈왕’(天網)이라고 이름 붙인 이 사업은 인공지능과 빅데이터를 활용해 ‘예측 치안’을 진행한다. 이미 중국 국내에 보급됐고, 세계 최고 수준의 기술을 선보였다.

 

얼굴인식 장비가 스마트 알고리즘과 만나면 기능이 확장된다. 허옌저는 “얼굴인식 알고리즘에 따라 질병 여부와 인종을 파악할 수 있고 범죄율도 예측할 수 있다”고 말했다. “이렇게 되면 사생활 보호 차원을 넘어 일종의 모니터링 행위다. 촬영 대상은 심리적 부담과 알 수 없는 공포를 느낄 수 있다.”

거신 중국정보통신연구원 보안연구소 연구원은 얼굴 정보가 공개성이 높아 사람 행동을 가장 편리하게 많이 기록할 수 있다고 말했다. “행적 정보를 상세하게 기록해 입체적인 사용자 정보를 얻을 수 있다. 얼굴인식 기술이 남용되면 개인이 불필요한 추적과 정탐, 감시를 당할 수 있다. 얼굴인식과 관련된 정책 결정이 차별적인 상황을 초래할 수 있다.”

지하철에서 얼굴인식 기술을 이용해 선별 보안검사를 하려는 계획이 대표 사례다. 2019년 10월29일 잔밍후이 베이징시 철도교통지휘센터 주임은 포럼에서 얼굴인식 기술로 승객을 분류한 뒤 보안검사를 할 예정이라고 밝혔다. 분류 기준에 따라 얼굴정보 데이터베이스를 만들고, 얼굴인식 시스템으로 승객을 판별해 정보를 전송하며, 보안요원이 이를 근거로 선별 보안 조처를 한다는 내용이다.

“선별 보안검사의 핵심은 공공장소에서 당신의 사진이 찍힌다는 사실이다. 효율을 높이려는 목적 같지만 사실은 신용을 평가하는 것이다.” 왕시신 교수는 “평가란 데이터베이스에서 사람을 분류하는 일이며, 데이터베이스에서 보안등급으로 사람을 나눈다면 국민을 차별하는 일이 된다”고 지적했다.

두안웨이원 중국사회과학원 과학기술사회연구센터 주임이 말했다. “과거 기록에 따라 미래 가능성을 판단하는 것은 두 가지 의미가 있다. 첫째, 그 판단이 정확하지 않을 수 있다. 둘째, 결정이나 평가에 영향을 끼친다. 평가는 취업과 보험 등 여러 분야에 영향을 끼진다. 평가가 사실과 다르면 그 파장을 예측하기 힘들다.” 개인정보보안규범 초안을 작성한 전문가그룹 위원인 허옌저는 문제점을 제기했다. “효율 제고란 명분에 따라 얼굴인식을 도입하는 건 더욱 신중해야 한다. 전문가를 초청해 필요성을 검증하고, 닭 잡는 데 소 잡는 칼을 쓰는 건 아닌지 점검해야 한다. 작은 문제를 해결하려다 더 큰 문제를 일으킬 수 있다.”

 

거신 연구원은 “생체인식 정보 수집 규제는 인터넷보안법의 개인정보 수집과 사용에 관한 ‘합법성, 정당성, 필요성’ 원칙에 따라 ‘고지와 동의’ 틀에서 수집과 사용 목적을 명시하는 등 투명성에 맞아야 한다”고 말했다. 국가표준인 개인정보보안규범에도 민감한 개인정보 규정이 있다. 하지만 전문가들은 규정으로 얼굴인식에 따른 문제를 충분히 규제할 수 없다며, 법의 허점을 노려 갖가지 방법을 동원하는 업체가 있다고 지적한다.

예를 들어 얼굴인식 응용의 적법성을 가늠하는 기준인 개인정보보안규범은 권고성 국가표준이다. 사용을 강제하지 않아 이 기준을 계약에 명시해야 법적 구속력이 생긴다. 허옌저는 이 규범 초안을 만들 때 강제가 아니라 권고로 해서 어느 정도 여지를 둠으로써 이견이 있는 상황에서도 실천하도록 했다고 말했다. “정당성, 합법성, 필요성의 기준과 구체적인 실천 방법에서 해석이 각각 다르다. 이때 국가기관이 발표한 규범 가치가 커서 기업은 물론 정부와 사법기관도 참고한다.”

권고는 채택하지 않아도 된다는 뜻이다. 하지만 사람 얼굴의 특징은 전형적인 개인정보여서 수집, 사용하려면 다른 법률과 규정의 제한을 받는다. 얼굴인식 1호 사건에서 궈빙 교수가 동물원을 대상으로 소송을 낼 때 소비자권익보호법의 ‘경영자의 소비자 개인정보 수집과 사용에 관한 제한 조항’을 인용했다.

현재 제정 중인 민법전에도 개인정보 보호 내용을 보완했다. 2019년 4월20일 입법기관 2차 심의에 오른 민법전 인격권 초안에서 개인정보 범위를 규정했다. 자연인의 성명, 출생 일시, 신분증 번호, 생체인식 정보, 주소, 전화번호 등이 포함됐다. 8월22일 제출한 3차 심의안은 전자우편 주소와 소재 정보를 추가했다. 자연인의 개인정보를 수집하고 처리할 때 반드시 자연인 또는 그 보호자의 동의를 받고 수집 목적을 명시해야 한다고 규정했다.

다른 나라에서도 사생활 침해와 소수인종·여성 차별 문제가 불거지자 입법기관과 감독기관이 얼굴인식 기술 보급에 신중한 태도를 보였다. 2019년 8월 스웨덴 북부 도시 셸레프테오에서 안데르스톨프고등학교에 얼굴인식 기술을 이용한 출결 확인 업무 시행을 허가했다. 하지만 스웨덴 데이터보호국이 유럽연합 개인정보보호법(GDPR)에 위배된다는 이유로 벌금 20만스웨덴크로나(약 2400만원)를 부과했다. 데이터보호국은 학교의 일부 장소는 공공장소로 볼 수 있지만 학생이 언제 교실에 들어갔는지는 사생활이라며, 학교가 ‘간섭이 적은’ 방식으로 학생 출결 현황을 확인하는 것이라고 지적했다.

 

이 법은 2018년 5월 유럽연합 28개 회원국에서 GDPR가 발효된 뒤 처음 벌금이 부과된 사례다. GDPR는 기업이 신원정보와 인터넷 데이터, 생체인식 데이터, 의료보건·유전자 데이터, 인종 등 개인정보를 불법 수집했을 때 1년 전 세계 매출액의 4% 또는 2천만유로(약 257억6천만원)까지 벌금을 매길 수 있도록 규정했다. 강도 높은 개인정보 보호·감독 규정으로, 유럽 역사상 가장 엄격한 사생활보호법으로 평가받는다.   

미국 일부 지역에서도 얼굴인식 기술을 금지했다. 2019년 5월14일 캘리포니아주 샌프란시스코시 입법기관 감사회는 ‘비밀모니터링 중단 조례’를 통과시켰다. 경찰과 교통관리 등 53개 부서에서 얼굴인식 기술을 쓰지 못하도록 하고 모니터링 시설 사용을 제한했다. 6월27일에는 매사추세츠주 서머빌시 의회가 시와 경찰이 얼굴인식 프로그램을 쓰지 못하도록 하는 법안을 통과시켰다.

5개월 전에는 매사추세츠주 신시아 스톤 크렘 상원의원과 데이비드 M. 로저스 하원의원이 주정부가 생체인식 모니터링 기술 사용을 못하도록 요구하는 법안을 의회에 제출했다. 로저스 의원은 법안에서 “정부기관이 얼굴인식 기술을 사용해 주민의 권리와 자유에 중요한 위협을 초래했다”고 주장했다.

그러나 엄격한 감독 조처 역시 비판받았다. 10월22일 매사추세츠주 상하의원 합동위원회는 두 법안에 관한 청문회를 열었다. 찬성이 많았지만 반대도 적지 않았다. 미국보안산업협회 대표는 이렇게 중요하고 유용한 기술을 금지하는 건 시기상조라고 주장했다. “얼굴인식 기술 자체는 결함이 없다. 기술 유용성을 확보한 상태에서 책임 있게 사용하는 방법을 논의해야 한다.”

전문가들은 개인정보를 보호하는 중국의 법과 규정이 분산돼 있어 체계적인 관리가 부족하다며, 얼굴 특징 등 민감한 정보 보호의 실효성이 떨어진다고 지적했다. 전문가 의견 수렴에 참여한 거신 연구원이 말했다. “상세한 법규와 국가표준을 만들어 얼굴인식 기술 응용, 특히 상용화 규제를 강화해야 한다. 개인정보 보호 문제는 국민 권리 보호와 함께 공·사적 영역에서 개인정보 이용, 여러 이해당사자 이익과 관련돼 있어 보호와 이용을 단순 비교하면 안 된다.”

“자연인 인격과 사생활, 정보 권리를 존중해야 하지만 입법의 거시적 틀에서 개인정보보호법 제정은 법익을 고려해야 한다. 개체 권리를 보호해야 하지만 공공이익 증진과 산업 발전, 국가안보 등 다른 요소도 고려해야 한다.” 왕시신 교수는 데이터를 일종의 자원으로 간주해 ‘현대의 석유’라고 한다면서 데이터를 수집한 다음 종합적으로 개발·이용해야 더 큰 공공이익이 생긴다고 말했다.

그는 의료 분야에서 빅데이터 연구가 의학 진보와 발전을 촉진할 수 있지만 환자의 민감한 정보라고 설명했다. 그래서 법률이 해야 할 일은 일률적으로 ‘수집을 금지’하는 게 아니라 비식별 처리나 암호 저장, 정보의 핵심 요약만 저장하는 등 인터넷 보안과 데이터 보호를 개선할 방법을 고민해야 한다.

 

최근 과학계 인사들이 ‘사회적 이익을 위한 기술’을 외치고 있다. 개인 권익 보호와 산업 발전, 정부 행정 등 합리적 요구 사이에서 균형을 잡는 건 신기술 적용 과정에서 해결해야 할 영원한 과제다. 윤리학자들은 새 시각을 제시했다. 두안웨이원 주임은 얼굴인식 기술이 특정 상황에선 민감해 감독이 필요한 산업으로 간주해야 한다고 말했다. “아무나 카메라를 설치하는 게 아니라 법규에 따라 설치하고 사용해야 한다.” 

8월21일 전국인민대표대회 장톄웨이 대변인은 기자회견에서 개인정보보호법 입법이 이번 전국인민대표대회 상무위원회 계획에 포함됐고, 법제공작위원회가 초안을 작성하고 적절한 시기에 상무위원회 심의를 받게 될 것이라고 밝혔다.

2019년 11월27일, 인공지능 분야에서 대표 기업인 센스타임은 전국정보기술표준화기술위원회 생체특징인식기술분과 전체회의가 11월20일 베이징에서 열렸다고 밝혔다. 회의에서 센스타임이 의장을 맡았고, 27개 기업으로 구성된 얼굴인식워킹그룹을 만들어 얼굴인식 국가표준 제정 작업을 시작했다.