생체인증 데이터의 수집에 대한 규제 움직임. 그 영향을 탐구

최근 몇 년간 지문 및 얼굴인식 등의 생체인식 기술이 폭넓게 활용되고 있다. 그 용도는 결제와 공항에서의 수하물 체크인, 항공기 탑승 등 다양하다. 이러한 기술은 사용자의 인증 경험을 간단하게 하는 점도 있지만, 동시에 생체인증 데이터의 수집과 보존에 관한 개인정보보호의 문제도 새롭게 태어난다.

미국에서는 생체인증 데이터의 증가에 따른 우려에 대해, 주의 규제 당국이 법률을 제정하거나 제안하는 등 대응하고 있다. 먼저 이러한 법안을 통과시킨 것은 일리노이주로, 2008년에 생체인식정보 개인정보법(BIPA:Biometric Information Privacy Act)을 제정하고 있다. BIPA는 민간 조직의 생체인증 데이터의 수집 방법과 이용 방법, 저장 방법을 규제하는 것으로, 생체인증 데이터의 오용에 의한 피해를 입은 경우, 개인이 기업을 고소할 수도 있다.

BIPA는 약 10년 전에 제정된 법률이지만, 2019년 1월 Rosenbach 대 Six Flags의 일리노이주 대법원의 판결로 최근 다시 주목받게 되었다. 이 재판은 어느 아동의 부모가 일리노이 가네루 유원지, Six Flags Great America를 고소한 사건으로, 동의 없이 생체인식 데이터를 수집하는 것은 BIPA 위반이라고 주장했다. 덧붙여서, 개인 티켓을 스캔한 후 회전 게이트에서 생체검사를 요구 유원지는 증가 추세에 있다. 이 과정은 주로 부정 방지 대책으로 이루어지고 있으며, 티켓이나 패스를 분실해도 생체인증 데이터를 고객서비스 카운터에 제공하면 새로운 티켓이나 패스를 이용할 수 있도록 되어있다.

일리노이주 대법원은 하급 법원의 판결을 뒤집어 Six Flags가 BIPA을 침해했다고 판결했다. 중요한 것은 원고 측이 생체의 수집에 의한 손상이나 피해(도용 등)을 입을 필요가 없다고 일리노이주 대법원이 판단한 것이다. BIPA는 생체인증 데이터를 부적절하게 수집하는 것만으로, 소비자가 조직을 고소하는 것이 가능하다는 것이다.

이 판결은 소비자와 프라이버시권의 승리라고 할 수 있다. 향후 BIPA 대한 법적 대결의 증가가 예상되며, 재판 제도를 통한 움직임도 이미 많다. 놓칠 수 없는 것은 현재 샌프란시스코의 제9 순회항소법원에서 심사 중인 Patel 대 Facebook 소송에서 Facebook이 사이트에 업로드한 얼굴 사진을 태그하는 것에 대해 다투고 있다.

매사추세츠, 뉴욕, 미시간에서도 BIPA과 같은 의무를 부과하는 개인정보보호 법안을 마련하는 중이며, 다른 국가에서도 생체인증 데이터의 수집, 저장을 규정하는 법률을 고안할 전망이다.

이러한 움직임은 있지만, 이것이 생체인증의 멸망으로 이어지는 것은 아니다. 이것은 단순히 생체인증 데이터의 수집을 검토하고 있는 기업이라면, 개인정보보호를 전제한 설계 방식을 준수해야 한다는 것이다. 또한, 복잡해지는 법적 환경에 주의하고, 생체인증 데이터의 수집과 보존에 관해서는 새로운 법률을 준수하고 있는지 확인해두어야 할 것이다.

출처 참조 번역
生体認証データの収集に関する法規制の動き、その影響を探る
https://japan.zdnet.com/amp/article/35137279/

生体認証データの収集に関する法規制の動き、その影響を探る