법무부가 출입국심사 고도화를 위해 안면인식 기능이 있는 인공지능(AI)을 학습시키는 과정에서 내국인과 외국인 개인정보를 개발업체에 제공하고 개인정보처리 위탁계약을 체결한 사실을 공개하지 않아 과태료 100만원을 부과받았다.
개인정보보호위원회는 27일 오전 정부서울청사에서 제7회 전체회의를 열고 법무부 인천공항 출입국·외국인청에 대한 개인정보보호법규 위반을 심의하고 이같이 결과를 발표했다.
법무부는 지난 2019년부터 과학기술정보통신부와 업무협약을 체결하고 인공지능(AI) 식별추적 시스템 개발사업을 추진해왔다.
이 과정에서 사업에 참여한 AI 개발업체는 법무부가 수집한 내국인 5760만건 및 외국인 1억2000만건의 개인정보에 접근해 AI 알고리즘을 학습시켰다. 주로 여권번호와 국적, 생년, 성별, 안면이미지 등이 암호화돼 제공됐다.
개인정보위는 법무부가 해당 업체에 개인정보처리 위탁계약을 체결하면서 위탁사실과 수탁자를 홈페이지에 공개하지 않은 것은 개인정보보호법 제26조제2항 위반에 해당한다고 판단했다.
출입국 관리목적으로 수집된 안면정보 등 개인정보를 출입국관리법상 근거가 없는 AI 알고리즘 학습 등 다른 목적으로 사용하기 위해서는 정보주체의 동의를 받거나 별도로 명시적 법적 근거가 필요하다고 봤다.
다만 개인정보위는 법무부가 별도로 구축한 실증랩의 제로 클라이언트(입출력 장치가 없는 단말기)를 통해서만 업체가 접근할 수 있도록 제한해 서버 외부로 개인정보가 반출되지 않도록 조치했고, 현재까지 외부로 반출된 개인정보와 AI 알고리즘은 없다고 밝혔다.
관련 데이터베이스와 AI 알고리즘 학습에 활용된 개인정보는 모두 삭제된 것으로 확인됐다.
이밖에도 이날 개인정보위 전체회의에서는 개인정보가 유출됐는데도 이용자에게 정해진 시간 내에 유출 통지를 하지 않거나 개인정보 이전 사실을 제대로 알리지 않은 4개 사업자들에 대한 과태료 등 제재 처분이 의결됐다.
제주항공은 시스템을 갱신(업데이트)하면서 담당자 실수로 이용자 개인정보가 유출됐지만 개인정보 유출에 대한 신고나 통지를 하지 않았다는 이유로 과태료 600만원을 받았다.
야놀자는 해커의 협박 메일로 개인정보 유출을 인지해 신고는 했지만 정당한 사유 없이 법정기한(24시간)을 초과한 후 이용자에게 유출 사실을 통지해 과태료 300만원을 처분받았다.
안다르는 게시판 오류로 인한 개인정보 유출을 인지한 후에 법정기한(24시간)을 초과해 개인정보 유출을 신고한 후 이용자에게 별도로 유출 통지를 하지 않았다. 또 법적 근거 없이 이용자의 주민등록번호를 수집한 것도 적발돼 과태료 총 1100만원을 받았다.
미래비젼교육은 다른 사업자에 영업을 양도하면서 개인정보가 이전된다는 사실을 이용자들에게 미리 통지하지 않아 과태료 300만원 처분을 받았다.
