업계기사
의견: 생체인식 데이터의 책임 있는 활용 방안을 공급업체가 공개해야 한다
작성자
marketing
작성일
2025-05-09 11:34
조회
33
Written by: John E. Bredehoft
Released: 6 May 2025
From: Biometricupdate.com
생체인식 공급업체는 수집한 생체 데이터를 어떻게 다뤄야 할까? 존 E. 브리드호프트(John E. Bredehoft)는 생체 데이터를 통제하고 처리하는 조직, 데이터에 대한 개인의 권리, 그리고 공급업체가 책임 있는 데이터 사용을 위해 반드시 다뤄야 할 핵심 이슈들을 살펴본다.
매일 사람들은 지문, 손바닥 정맥, 얼굴, 홍채, 음성, DNA 또는 기타 생체정보를 다양한 기관에 제공한다. 이 기관들은 국경관리기관, 운전면허 발급기관, 경찰서와 같은 정부기관일 수도 있고, 은행, 병원, 스포츠 경기장 같은 민간기관일 수도 있다.
생체인식 공급업체는 이러한 기관들이 생체 데이터를 수집, 매칭 및 저장할 수 있도록 지원한다.
일반적으로 정부 기관이나 민간 조직은 생체 데이터의 ‘통제자(controller)’ 또는 소유자 역할을 하며, 생체인식 공급업체는 단순히 데이터를 ‘처리자(processor)’의 역할을 맡는다.
하지만 예외도 있다. 4월 말, 조엘 R. 맥컨비(Joel R. McConvey)는 위스콘신주 밀워키 경찰국이 구치소 기록에서 250만 건의 얼굴 이미지를 생체인식 기업 바이오메트리카(Biometrica)에 제공하는 제안에 대해 보도했다.
그렇다면 왜 어떤 생체인식 업체가 생체 데이터의 통제자가 되길 원할까? 그럴듯한 이유 중 하나는 내부 테스트를 위해서다. 업체가 자사 알고리즘을 개선하기 위해 실제 데이터를 기반으로 지속적으로 시험하려는 것이다. 이 외에도 새로운 서비스를 제공하기 위한 목적 등의 이유가 있을 수 있다.
생체 데이터 수집에 대한 우려
물론, 생체 정보나 기타 개인 정보를 사용하는 모든 행위에는 프라이버시(개인 정보 보호) 문제가 수반됩니다. 다음과 같은 질문이 대표적인 우려를 반영합니다:- 누가 왜 생체 정보를 수집하는가?
- 수집한 정보를 어떻게 활용할 것인가?
- 그 정보를 이후에 어떻게 처리하거나 보관할 것인가?
- 누가 해당 정보에 접근할 수 있는가?
예를 들어, 미국 캘리포니아주에서는 생체 정보가 ‘민감한 개인 정보(sensitive personal information)’로 분류되며, 이는 캘리포니아 소비자 프라이버시법(CCPA)과 캘리포니아 프라이버시 권리법(CPRA)의 보호 대상에 해당합니다.
CCPA, CPRA, 그리고 유럽의 일반개인정보보호법(GDPR)과 같은 유사한 법률은 개인의 생체 정보를 포함한 개인정보에 대한 권리를 다음과 같이 보장하고 있습니다:
- 알 권리: 기업이 어떤 개인정보를 수집하는지, 그 정보를 어떻게 사용하는지, 또 누구와 어떻게 공유하는지를 알 수 있는 권리
- 삭제 요청 권리: 특정 조건 하에 기업의 데이터베이스에서 개인정보 삭제를 요청할 수 있는 권리
- 개인정보 공유·판매 거부 권리: 기업이 개인정보를 제3자에게 공유하거나 판매하는 행위에 대해 거부할 수 있는 권리
- 신원을 확인하는 모든 조직(예: 은행)은 신원 확인 및 인증 목적으로 개인 정보를 사용할 때 명시적인 동의를 받아야 합니다.
- 선택 사항으로, 알고리즘 훈련 목적으로 생체 벤더가 귀하의 정보를 사용할 수 있도록 별도의 명시적 동의를 요청할 수도 있습니다.
하지만 다른 곳들은… 글쎄요, 그렇지 못한 경우도 많습니다.
생체인식 기술 제공업체는 어떻게 행동해야 할까?
책임 있는 생체정보 활용을 보장하기 위해 생체인식 기술 제공업체는 다음과 같은 조치를 취해야 합니다:- 투명성을 유지하라. 일부 사람들은 생체인식 업체가 수집한 모든 데이터가 비밀스러운 글로벌 감시 슈퍼컴퓨터로 전송된다고 믿고 있습니다. 데이터가 어떻게 공유되고, 어떻게 공유되지 않는지를 고객과 사용자에게 명확히 설명하지 않으면, 그들은 거짓을 믿게 됩니다.
- 최소한의 개인 정보만 수집하라. 필요하지 않은 정보는 수집하지 마십시오. 수집하지 않은 정보는 해커들이 탈취할 수 없습니다.
- 최소한의 개인 정보만 저장하라. 보관할 필요가 없는 데이터는 저장하지 마십시오. 분산 신원 기술을 지지하는 이들 역시 이에 동의할 것입니다.
- 모든 개인정보 보호법과 규제를 준수하라. 당연한 이야기지만, 이를 소홀히 하는 업체들도 있습니다. 법을 위반하고 적발될 경우, 그에 따른 대가를 치르게 됩니다.
- 수집 및 통제하는 모든 생체정보의 구체적인 사용 목적을 공개하라. 법적으로 요규되는 경우도 많지만, 그렇지 않더라도 왜 어떤 정보를 수집하는지에 대해 고객과 사용자에게 교육해야 합니다.
- 종합적인 보안 대책을 적용하라. 자사 시스템, 고객 시스템, 통합된 시스템 전체에 대한 데이터 보호를 보장해야 합니다. 클라우드 제공업체, 애플리케이션 파트너, 공급망 기업 등과 데이터를 공유하는 경우에는 제3자 위험 관리(TPRM)를 통해 위험을 최소화해야 합니다.
- 윤리적 영향을 고려하라. 기술적 실행에 집중하다 보면 행동의 윤리적 함의를 간과하기 쉽습니다. 생체인식, 인공지능, 머신러닝 등 기술의 윤리적 영향을 사전에 고려하는 기업은 미래의 도전에 더욱 잘 대비할 수 있습니다.
반대로, 생체 정보를 대수롭지 않게 다루는 업체는 큰 문제에 직면할 수 있습니다. 예를 들어, 2019년 미국 세관국경보호청(CBP)의 하청업체가 무단으로 생체 데이터를 자체 서버에 저장했다가 해킹당한 사건을 떠올려 보십시오. CBP는 해당 업체와의 계약을 중단했고, 하청업체는 심각한 부정적 여론에 직면했습니다. 이런 일이 귀사의 비즈니스에 발생하지 않도록 주의해야 합니다.