[법률방송뉴스] 법무부가 보유한 개인정보를 출입국심사 인공지능(AI) 개발업체에 넘겨 활용한 것에 대해 개인정보보호위원회(개인정보위)는 ‘위법하지 않다’는 판단을 내놨습니다.
개인정보위는 오늘(27일) 정부서울청사에서 제7회 전체회의를 열고 법무부 인천공항 출입국·외국인청의 개인정보 보호법규 위반행위에 대해 이같이 심의·의결했다고 밝혔습니다.
개인정보위는 지난 2021년 국정감사에서 법무부가 민간 AI 개발업체에 정보를 넘겼던 문제점이 지적되자 과학기술정보통신부 등 관계기관과 사업 참여기관에 대해 조사했습니다.
그 결과 법무부는 지난 2019년부터 출입국심사 고도화를 위해 과학기술정보통신부와 업무협약을 체결해 AI 식별추적 시스템 개발 사업을 추진해왔으며, AI를 학습시키는 과정에서 법무부가 가진 내국인과 외국인의 개인정보가 활용된 것으로 드러났습니다.
사업에 참여한 AI 개발업체는 법무부가 수집한 내국인 5760만건과 외국인 1억2000만건의 개인정보에 접근했고, 주로 여권번호와 국적, 생년, 성별, 안면 이미지 등이 암호화되어 업체에 제공된 것으로 알려졌습니다.
다만 법무부는 사업 과정에서 입출력 장치가 없는 단말기인 제로 클라이언트를 통해서만 민간 기업이 접근할 수 있도록 제한했고 외부로 반출된 정보는 없을뿐더러 데이터베이스와 AI 알고리즘 학습에 활용된 개인정보는 모두 삭제된 것으로 확인됐습니다.
조사 과정에서는 AI 시스템 개발을 위해 활용된 정보 등이 민감한 정보인지 여부와 이용 행위가 목적범위 내에서 이뤄진 것인지 여부가 관건이 됐습니다.
개인정보위는 우선 "법무부가 출입국심사 AI 알고리즘 학습에 활용한 정보는 민감 정보이며, 개인정보보호법에 따라 정보주체의 동의 또는 명시적 법적 근거가 필요하다"고 설명했습니다.
다만 지문, 얼굴, 홍채 등 생체정보를 이용한 본인 확인이 가능하도록 법적 근거를 둔 출입국관리법에 따라 민감 정보는 적법하게 처리된 것으로 판단했습니다.
또한 개인정보위는 법무부가 보유한 정보를 출입국심사 AI 개발에 활용한 것은 목적범위 내 이용에 해당한다고 봤습니다.
이 행위는 출입국관리법의 목적인 '안전한 국경관리'를 달성하기 위한 것이기 때문에 당초 개인정보 수집·이용 목적 범위에 포함된다는 것입니다.
다만 개인정보위는 법무부가 해당 업체에 개인정보처리 위탁계약을 체결하면서 위탁사실과 수탁자를 홈페이지에 공개하지 않은 것은 개인정보보호법 제26조 제2항 위반에 해당한다고 판단했습니다.
이에 개인정보위는 법무부 인천공항 출입국·외국인청에 과태료 100만원을 부과했습니다.
그러면서 "AI 식별추적 시스템 개발 관련 개인정보처리 위탁계약을 AI 개발업체와 체결한 것은 '개인정보 처리위탁'에 해당한다"며 "법무부가 위탁계약을 체결하면서 위탁사실과 수탁자를 홈페이지에 공개하지 않은 것은 보호법 위반에 해당한다"고 설명했습니다.