프라이버시 이슈를 모아, 프리-뷰. 1. 안면 인식 기술 기업인 클리어뷰 AI가 어떤 논란이 있는지와,
2. 해외 각국에서 일어나고 있는 개인정보 주요 이슈에 대해 정리했어요. |
|
|
📢 구독자님, 이름을 변경하고 싶으신 경우, 링크를 눌러 수정해주세요! |
|
|
프랑스의 CNIL, 클리어뷰 AI에 2000만 유로 벌금 부과
미국 안면 인식 기업 클리어뷰 AI가 프랑스 개인정보보호 감독 기구 CNIL로부터 2000만 유로(약 275억 원)의 벌금과 데이터 삭제 명령을 받았어요. 이 벌금은 작년 12월 CNIL이 데이터 삭제 명령을 내렸음에도 회사가 이를 따르지 않은 것에 대한 제재에요. 2개월 내에 벌금을 내지 않으면 매일 10만 유로의 벌금이 추가돼요.
클리어뷰 AI가 뭐하는 곳인데?
클리어뷰 AI는 SNS와 웹에서 이용자 얼굴 사진을 스크래핑하여 데이터베이스를 구축한 회사예요. 이 데이터베이스를 통해 안면 인식 서비스를 제공하고요. 회사 측 발표에 따르면, 지금까지 200억 건 이상의 얼굴 데이터를 축적했으며, 매월 15억 개의 이미지가 추가된다고 해요.
왜 문제가 되는 건데?
- 무단 스크래핑: 얼굴 사진의 주체인 개개인으로부터 동의를 받지 않았어요. 그저 온라인상에 올라와있는 사진을 긁어왔기 때문에 사진의 주인은 클리어뷰 AI가 내 얼굴 데이터를 갖고 있는지조차 모를 수 있는 거죠.
- 정보기관 및 사법기관에 정보 제공 의혹: FBI, ICE 등 미 연방 정부 기관과 해외 1800개 이상의 법 집행 기관에서 활용 중이라고 홍보하다가 논란이 되자 사실이 아니라며 말을 바꾼 적이 있어요. 최근에는 우크라이나에 러시아 간첩 색출을 위해 기술을 지원하겠다고도 밝혔어요.
- 해킹으로 인한 정보 유출: 2020년 2월에는 해킹으로 인해 고객 명단이 유출되기도 했어요. 민감한 정보를 다루는 회사임에도 보안의 허술함이 드러난 거죠.
- 인종차별 알고리즘: 2021년 1월 미국 디트로이트 경찰이 AI 기반의 안면인식 기술을 통해 흑인을 체포하였는데, 나중에 무고함이 밝혀지며 안면인식 기술이 인종을 차별하는 도구가 될 수 있다는 우려가 제기됐어요.
프랑스뿐만이 아냐
클리어뷰 AI의 얼굴 데이터 수집에 대해 제재한 국가는 프랑스 말고도 많아요.
- 🇦🇺 호주: 2021.11.03 호주 정보청 OAIC, 호주 국민의 생체정보 수집 중단 및 파기 명령
- 🇫🇷 프랑스: 2021.12.17 CNIL, 프랑스인 얼굴 데이터 삭제 명령
- 🇮🇹 이탈리아: 2022.03.09 이탈리아 DPA, 2천만 유로 부과 및 이탈리아 시민 이미지 삭제 명령
- 🇬🇧 영국
- 2021.11.29 영국 ICO, 벌금 1700만 파운드 부과, 영국 국민의 개인정보 수집 중단 및 보유 데이터 삭제 명령 (클리어뷰 AI가 영국 법률 집행 기관에 안면 인식 기술을 무료 시험용 프로그램과 함께 제공한 것을 문제화)
- 2022.05.23 영국 ICO, 과징금 750만 파운드 부과(위 벌금에 대한 최종 결정)
- 🇬🇷 그리스: 2022.07.14 HDPA, 벌금 2천만 달러 부과
얼굴 인식 기술 분야의 미래는?
각국 개인정보보호기관들에서 조사를 시작하자 클리어뷰 AI는 해당 국가에서 사업을 철수하기도 했어요. 구글, 유튜브, 트위터 등의 기업이 얼굴 인식 정보 무단 수집 정지를 요구하는 등 많은 비난도 받고 있고요.
얼굴 인식 분야는 사회적 논란과 함께 아직까지도 명확한 규제가 없는 사각지대로 손꼽혀요. 유럽에서도 안면 인식 기술 이용 금지에 대한 논의가 나왔지만 아직 명확하게 법제화된 건 없어요. 하지만 빠르게 성장하고 있는 아주 유망한 분야인 만큼, 앞으로 어떻게 이 난관을 풀어갈지 클리어뷰 AI의 행보에 관심이 주목되고 있어요.
|
|
|
거부해도 계속 위치 추적해온 구글, 합의금 지불하며 소송 종료
2020년 미국 애리조나 주의 법무장관이 제기한 소송에 대해 구글이 8500만 달러를 지불하는 것으로 합의했어요. 이 소송은 이용자가 구글 지도에서 위치 추적을 비활성화했음에도 구글이 위치정보를 계속 수집하는 것에 대한 소송이었어요. 특히 안드로이드 기기에서 이런 현상이 두드러졌어요.
구글은 이렇게 수집한 위치정보를 타겟 광고 시스템에 사용하여 연 매출 약 2,570억 달러를 달성했어요. 이에 비하면 합의금은 매출액의 0.01%도 되지 않죠. 현재는 추적을 거부한 이용자들의 위치정보는 수집하지 않고 있어요. |
|
|
직원 지문을 수집해 업무 시스템에 이용한 회사, 유죄 판결
직원들의 동의를 받지 않고 지문을 수집한 미국 철도회사(BNSF)로부터 2억 2,800만 달러를 직원들에게 지급하라는 판결이 나왔어요. 미국 일리노이 주의 개인 생체정보 보호법(BIPA)에 따르면 지문, 홍채와 같은 생체정보를 수집하려면 반드시 정보 주체의 동의를 받아야 해요. BNSF는 업무 상 시스템 운영을 위해 지문을 수집한 것임에도 동의를 받지 않아 유죄 판결을 받은 거죠.
일리노이 주의 개인 생체정보 보호법은 전 세계에서 가장 엄격한 생체정보 보호법인 만큼, 우리나라에서도 이런 판결이 나올 확률은 적어요. 하지만 우리나라 개인정보 보호법에서도 생체인식 특징정보는 민감정보로 분류하여 별도의 동의를 받도록 특별히 보호하고 있는 만큼, 사내 직원이라고 해서 마음대로 개인정보를 수집해 이용해서는 안 된다는 점을 꼭 기억해 주세요. |
|
|
재택근무할 땐 카메라 키세요! - 직원을 감시하는 인권 침해
네덜란드에서 재택근무 시 카메라 공유를 거부한 직원을 해고한 회사에게 유죄가 선고된 판결이 나왔어요. 회사는 카메라로 직원을 감시하는 건 사무실에서 관리자가 감시하는 상황과 동일하다고 주장했지만 받아들여지지 않았어요. 프라이버시를 침해한 회사는 직원에게 7만 5000유로를 지불해야 해요.
우리나라에서도 코로나19로 인해 재택근무가 확산되면서, 몇몇 회사의 “카메라와 마이크를 항상 켜놔라”, “컴퓨터 화면을 항상 공유한 상태로 일하라”는 등의 조치에 대해 직원 감시 논란이 일기도 했는데요. 개인정보보호위원회에서 근로자의 개인정보 처리 개선방안을 마련하겠다 발표했어요. 웹캠 외에도 사무실의 CCTV와 위치 추적 프로그램 등 디지털 기기가 근로 감시에 사용되는 경우가 있어, 근로자의 개인정보 보호를 위한 가이드라인을 마련할 예정이라고 해요. |
|
|
호주 개인정보 보호법 개정 예고…더욱 강력해진 처벌
1988년 제정되었던 호주 개인정보 보호법이 개정될 예정이에요. 지난 10월 25일 발표된 개인정보 보호법 개정안(초안)에서는 기업에 대한 규제와 처벌이 더욱 강화되었어요.
[ 법안 주요 내용 ]
- 데이터 유출 시, 유출된 정보로 얻을 수 있는 이익의 3배 또는 회사의 연간 국내 매출액의 30% 중 더 높은 금액(최대 5천만 달러)을 벌금으로 부과 (cf. 현재 한도는 210만 달러)
- 아동 개인정보의 관리 강화 의무
- 온라인 플랫폼 규제를 위한 온라인 개인정보 보호 코드 개발 권한
전 세계적으로 개인정보 보호법 개정이 이루어지는 가운데, 각국마다 세부 규정은 차이가 있지만 개정 방향은 비슷해요. 기업에 대한 규제·처벌 강화와 아동의 개인정보 보호, 이 두 가지가 핵심이죠. 우리나라 개인정보 보호법 개정안도 현재 국회의 통과를 앞두고 있는데요, 개정안에서는 현행법에 비해 개인정보 유출 시 기업이 내야 하는 과징금의 상한선이 높아졌어요. 개인정보 보호에 대한 사회적 인식이 강화되는 만큼, 기업에서도 주의가 필요해요. |
|
|
백신 프로그램 업데이트 하지 않아 개인정보 유출, 440만 파운드 벌금 부과
2020년 5월 사이버 공격으로 인해 약 113,000명의 직원 개인정보가 유출된 Interserve Group에게 영국 ICO(개인정보보호 감독기관)가 440만 파운드의 벌금을 부과했어요. 이 액수는 ICO가 부과한 벌금 중 4번째로 큰 금액이에요.
백신 프로그램을 업데이트하지 않고 사용하던 직원이 피싱 메일을 클릭하면서 해커가 내부 시스템에 접근할 수 있었어요. 그 결과 계좌 정보, 급여, 성적 취향, 종교 등 직원들의 민감한 정보까지 유출되었고요. 이 직원은 보안 교육을 제대로 받은 적도 없어 더욱 문제가 되었어요.
Interserve Group은 2020년 당시에도 파산 위기였으며 2024년에 회사 운영을 종료할 계획이어서 벌금을 모두 낼 수 있을지는 확실치 않아요. ICO는 회사의 어려운 상황을 알았음에도, 이로 인해 벌금을 줄여주지는 않았어요. 정보 유출이 발생한 원인이 아주 기본적인 사항이기 때문에 회사의 책임이 분명하다고 본 거예요. |
|
|
10·29 참사, 2차 가해가 일어나지 않도록 조심해 주세요
지난 10월 29일, 이태원에서 발생한 참사로 인해 너무나 많은 소중한 이들이 우리의 곁을 떠났습니다. 사고 현장의 모습이 SNS에 실시간으로 공유되었고, 현장의 심각함이 그대로 느껴지는 영상에 많은 사람들이 더 큰 충격을 받았죠.
이러한 게시물에 대해 개인정보보호위원회와 한국인터넷진흥원은 10·29 참사와 관련하여 11월 한 달간 개인정보 침해 집중 모니터링을 실시하겠다고 밝혔어요. 경찰청장과 국무총리도 허위 사실 유포, 자극적인 사고 장면 공유를 자제해달라 부탁했고요. 수위 조절도 되지 않은 영상이 빠르게 유포되면서 고인을 모욕하는 사람들이 나타났기 때문이에요.
참사 희생자분들의 죽음을 막지는 못했지만, 2차 가해는 막을 수 있습니다. 피해자와 유가족들의 아픔이 더 커지지 않게 부디 함께 보듬어 주세요. |
|
|
|