[개인정보보호법] "생체정보 보호 가이드라인" 개정
최근 지문·홍채를 이용한 스마트폰 잠금해제, 안면인식을 활용한 출입통제 및 음성 기반의 AI 비서 서비스 등 다양한 분야에서 생체정보를 활용한 인증·식별 서비스가 증가하고 있음.
이에 따라, 현행 개인정보 보호법령 및 관련 고시 등에서 규정하고 있는 생체정보에 대하여 개념 및 범위를 명확하게 하고, 생체인식정보 보호를 위한 기본원칙과 처리 단계별 보호 조치 등을 구체적으로 제시함으로써 생체인식 정보의 안전한 활용기반을 조성하고자 함.
위의 내용을 목적으로 개인정보 보호법령 개정사항(2020.08 개정)을 반영하고, 기존 바이오정보 보호 가이드라인(2017.12)을 수정·보완하여, 2021년 9월 생체정보 보호 가이드라인을 개정하여 발표함.
💡 생체정보?
지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 인증, 식별하거나 개인에 관한 특징(연령, 성별, 감정 등)을 알아보기 위해 일정한 기술적 수단을 통해 처리되는 정보를 의미함.
💡 생체인식정보?
생체정보 중 특정 개인을 인증, 식별할 목적으로 처리되는 정보를 의미함
그 전에는 개인정보로 분류되었던 홍채, 지문 등의 "생체인식정보"가 2020년 8월 개인정보보호법 시행령이 개정되며, 민감정보로 분류되어 생체 정보 등을 수집할 경우 '민감정보 수집 동의 절차'를 별도로 받아야 함
📝 주요 개정안
1. 용어 및 개념의 명확화
- 기존 ‘바이오정보’에서 용어의 개념을 명확히 하기 위해 ‘생체정보’로 변경함에 따라, 가이드라인의 명칭도 ‘생체정보 보호 가이드라인’으로 변경하였음
- 개인정보 보호법령에서 암호화 대상으로 규정하는 정보를 ‘생체인식정보’로 정의하고, 암호화 범위를 명확히 함
- 생체인식정보를 정보통신망을 통하여 전송하거나 보조저장매체 등을 통하여 전달, 저장 시 하는 경우 암호화 의무대상임
(일반적인 생체정보는 의무사항 아님 ➜ 가이드 내, “부록 3. 일반적인 생체정보에 권장되는 보호조치” 참고)
- 적용 대상을 기존 ‘정보통신서비스제공자등’에서 ‘개인정보처리자(정보통신서비스제공자등 포함)’로 확대함
2. 보호 원칙 및 생체정보 처리 단계별 보호 조치 제시
- 기존 보호원칙 중심에서 생체인식정보가 처리되는 5단계에 따라 각 처리단계에서 필요한 총 15개의 보호조치를 안내하는 체계로 개편하였음(기획·설계 단계, 수집단계, 이용·제공 단계, 보관·파기 단계, 상시점검의 5단계)
3. 제조사·이용자 구분 및 자율점검표 등을 추가
- 안전한 이용환경 조성을 위한 제조사의 역할을 구체적으로 명시함
- 이용자가 생체인식정보 활용 서비스를 안전하게 이용하기 위한 구체적인 이용방법 및 주의사항을 안내함
4. 가이드라인 내 FAQ 반영
<예시>
Q1. 스마트 폰으로 촬영하여 SNS, 클라우드에 저장하는 일반적인 사진 및 음성 등도 생체정보에 해당하는지?
A. 일반적인 사진 및 음성 등이 개인을 인증·식별하거나 개인에 관한 특징을 알아보기 위해 일정한 기술적 수단을 통해 처리되지 않는다면 일반적인 개인정보에 해당함
Q2. 디지털 광고판에 설치된 카메라로 이용자의 얼굴 사진에서 성별, 연령대, 감정(입술 모양) 등을 추출하는 서비스인 경우 수집하는 얼굴 사진을 암호화하여 저장해야 하는지?
A. 추출하는 정보가 개인을 인증 또는 식별에 사용할 수 없는 정보라면 생체인식정보가 아닌 일반적인 생체정보이므로 암호화 의무대상이 아님( 하지만, 일반적인 생체정보의 경우에도 유출되거나 오·남용되는 경우 개인정보 침해 위험성이 크고, 언제든지 인증 또는 식별 목적으로 사용될 가능성이 있으므로, 원본정보에 준하는 보호 조치 이행을 권장함)
.
.
.
(이하 생략)
이 외에도 생체정보 보호 가이드에 대해 더 자세한 내용을 알고싶다면 하단에 첨부한 '생체정보_보호_가이드라인'을 참조 바람니다!