개인정보보호위원회의 생체정보 보호 가이드라인 개정 및 경미한 위반행위 대상 제재 기준 공개에 대하여 알려 드립니다.
생체정보 보호 가이드라인 개정
개인정보보호위원회는 지문·얼굴·정맥·홍채 등 생체정보의 보호와 안전한 활용을 위한‘생체정보 보호 가이드라인’을 2021. 9. 8. 공개하였습니다. 생체정보 보호 가이드라인은 기존의 ‘바이오정보 보호 가이드라인’을 개편한 것으로, 생체정보의 보호를 위한 기본원칙과 생체정보의 처리단계별 보호 조치 사례 등을 구체적으로 안내한 가이드라인입니다.
가이드라인의 주요 개정 내용은 다음과 같습니다.
-
기존 ‘바이오정보’로 사용되던 용어를 뜻이 명확한 한글 표현인 ‘생체정보’로 변경하고, 개인정보 관련 고시(‘개인정보의 안정성 확보조치에 대한 기준’, ‘개인정보의 기술적관〮리적 보호조치 기준’)에서 암호화 대상으로 규정하는 정보를 생체정보 중 특정 개인을 인증·식별할 목적으로 일정한 기술적 수단을 통해 처리되는 정보인 ‘생체인식정보’로 규정하여 암호화의 범위를 명확히 하였습니다(용어 변경과 관련한 고시 개정의 경우 2021. 9. 13. 시행 예정입니다).
* 생체정보는 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 인증·식별하는 목적이나 개인에 관한 특징(연령·성별·감정 등)을 알아보기 위해 일정한 기술적 수단을 통해 처리되는 정보로, 생체인식정보를 포함하는 개념입니다. 생체인식정보를 제외하고 개인에 관한 특징(연령·성별·감정 등)을 알아보기 위해 처리되는 ‘일반적인 생체정보’의 경우 저장 시 암호화, 원본정보 보관 시 분리보관 등이 의무사항은 아니지만, 생체인식정보에 준하는 보호 조치 이행이 권장됩니다.
-
생체인식정보가 처리되는 5단계에 따라 각 처리단계에서 필요한 총 15개의 보호 조치*를 안내하는 체계로 개편하였습니다.
* 1. 기획설〮계 단계(이용자가 생체인식정보 제공을 원하지 않거나 생체인식정보를 제공할 수 없는 상황에 대한 대체수단 마련 등) → 2. 수집단계(생체인식정보 전송구간 보
호 등) → 3. 이용제〮공 단계(동의받은 목적의 범위 내 이용, 생체인식정보 통제 수단 제공 등) → 4. 보관파〮기 단계(생체인식정보가 불필요하게 되었을 시 지체없는 파기 등)
→ 5. 상시점검(개인정보취급자에 대한 관리·감독 등)
-
가이드라인의 적용 대상을 정보통신서비스제공자등에서 개인정보처리자로 확대하고, 개인정보 보호법 시행령 개정(2020. 8. 5.자)에 따라 민감정보로 규정된 생체인식 특징정보의 수집이〮용 시 별도 동의가 필요함을 안내하였습니다.
* 예를 들어, 기존 인사관리 시스템에 등록하기 위한 목적으로 수집한 얼굴 사진을 추후 도입된 안면인식 시스템을 위해 다시 사용하기 위해서는 해당 얼굴 사진을 수집한 기존의 목적과 다른 목적으로 이용하는 것이므로 사용하기 전에 생체인식정보 수집·이용 동의를 별도로 받아야 합니다.
-
개인정보처리자를 위해 제품이나 서비스의 기획, 설계 및 개발을 수행하는 제조사에 대한 가이드라인을 제시하고, 생체인식정보 활용 서비스를 사용하는 이용자에 대해 서비스 이용 전 사전확인사항과 서비스 이용 시 주의사항 등을 안내하였습니다. 또한 부록에 개인정보처리자와 제조사, 이용자를 위해 가이드라인의 내용을 요약한 자율점검표를 첨부하였습니다.
-
마지막으로, 실제 확인된 다양한 생체정보의 활용 사례를 구체적으로 반영하였습니다.
경미한 위반행위 과징금 미부과 기준 제정
한편 개인정보보호위원회는 같은 날(2021. 9. 8.) 개인정보처리자의 개인정보 보호법규 위반 정도가 경미한 경우 과징금 부과를 시정조치 명령으로 갈음하고 과태료를 부과할 수 있는 기준을 제정하였습니다. 이와 같이 과징금을 부과하지 않을 수 있는 것으로 결정된 경미한 위반행위의 기준은 다음과 같습니다.
[경미한 위반행위에 대한 과징금 미부과 기준]
다음 각호의 사유 어느 하나 이상에 해당하는 경우 개인정보 내용, 규모 등을 종합적으로 고려하여 개인정보위원회에서 결정하는 경우 과징금 부과를 시정조치 명령으로 갈음할 수 있다.
-
최종 과징금 부과금액이 3백만원 이하로 과징금 부과의 실효성이 크지 않은 경우
-
사소한 실수 또는 시스템 오류로 인한 위반으로 피해가 발생하지 않았거나 미미한 경우
-
개인정보 유출규모가 100건 미만으로 피해가 발생하지 않았거나 미미한 경우
-
개인정보 유출규모, 위반행위로 인한 직접적 이익취득 여부, 개인정보보호 노력(개인정보 보호 인증, 자율규제 활동 등), 위반행위의 자진시정 및 정보주체에 대한 피해보상 여부
* ① 내지 ④ 사유로 과징금 부과를 시정조치 명령으로 갈음하여 처분을 받았음에도 추후 같은 위반행위로 적발된 개인정보처리자에게는 해당 과징금 미부과 사유를 재적용 하지 않음
같은 날 개인정보 보호위원회는 개인정보가 유출되었으나 위반행위가 경미한 6개 사업자에 대해 동 기준을 처음으로 적용하여 과징금에 갈음해 과태료 부과, 시정명령, 공표 등의 시정조치를 내렸습니다.
나아가 개인정보위원회 조사조정국장은 추후 개인정보보호법 개정시 형사벌을 경제벌 중심으로 전환하고 전체 매출액 기준으로 과징금을 부과하더라도 법 위반의 정도와 피해규모가 경미한 경우 과징금을 부과하지 않도록 개정을 추진할 계획을 밝혔습니다.