연구보고서
Ⅰ. 배경 및 목적
□ 사회적 관계에서 내가 누구인지를 알리고, 내가 정당한 권한을 가졌다는 것을 알려야 하는 상황은 매우 빈번하게 발생하며, 이를 확인하는 수단으로 오래 전부터 지문이나 비밀번호 등이 사용되어 왔음
□ 최근 과학기술과 정보통신기술의 발전을 토대로 새로운 인증방식과 인증기술로 등장한 지문인식, 홍채인식, 안면인식, 음성인식 등의 생체정보라 할 수 있음
□ 생체정보는 편리함으로 그 활용분야가 점차 확대되고 있으며 특히 최근에는 전자금융거래 등에서 적극 도입되고 있음
□ 이러한 활용분야의 확대에도 불구하고 우리 법제에서는 생체정보에 관하여 고유의 체계를 인정받지 못하고 있기에 이에 관한 법제 정비방안을 제안하고자 함
Ⅱ. 주요 내용
□ 생체정보의 의의
○ 사람의 고유한 신체적, 행동적 특징을 이용하여 개인의 신원을 확인할 수 있게 하는 정보로서, 지문, 홍채, 망막, 정맥패턴, 얼굴, 음성, 서명패턴 등 개인을 직접 나타내는 정보를 말함. 생체정보는 개인을 인식하거나 인증하기 위한 목적을 가진 “생체인식정보”로 파악하는 것이 필요함
○ 생체정보는 만인부동, 평생불변이라는 특성과 함께 언제 어디서나 쉽고 편리하게 사용할 수 있다는 점에서 강점과 위험을 모두 가지고 있음
□ 생체정보의 활용현황
○ 생체정보를 통하여 본인을 인식하고 인증하는 사례는 일상적인 영역에서부터 특수한 분야에 이르기까지 다양하게 찾을 수 있음
○ 금융분야에서는 본인확인을 위한 전자적 인증수단으로서 이용자의 생체정보를 활용하고 있는데, 최근 비대면 거래의 활성화로 인하여 앞으로 확대 사용될 가능성이 높음
○ 의료 및 헬스케어분야에서는 긴급의료, 의료기기용 앱, 모바일 등에서 생체정보를 활용하고 있는데, 이것이 본인인증이나 본인식별을 위한 목적으로 사용되는 것이 아니어서 의료(건강)정보와의 관계에서 대부분의 생체정보는 제외되겠지만 앞으로 원격의료가 본격적으로 도입되는 경우 그 규율에 문제가 발생할 수 있음
○ 범죄수사분야에서는 오래전부터 과학수사의 일환으로 혈액이나 DNA, 걸음걸이 등 생체정보가 활용되어 왔는데, 기본권 침해여부의 문제와는 별도로 본인인식이나 본인인증을 위한 목적으로 사용하는 생체정보로 보기에는 어려움이 있음
□ 생체정보 관련 법제
○ 생체정보에 관한 법령은 활용 분야에 따라 다양하게 분류할 수 있으나 아직 우리 법령이 생체정보에 관한 고유의 통일된 규율체계를 가지지 못하였기 때문에 개인정보의 틀 속에서 파악할 수밖에 없는 한계가 있음
○ 생체정보가 민감정보라고 보기에도 어려운 면이 있음
○ 생체정보를 명시적으로 언급한 경우로는 「전자금융거래법」 상의 “생체정보”, 「전자통신망법」 시행령 상의 “바이오정보”, 「전자서명법」 상의 “생체특성에 관한 정보” 정도를 들 수 있음
○ 이들 법령이 생체정보의 개념을 인정하였다고 하여 그 특유의 보호체계를 갖춘 것은 아니며, 생체정보의 보호에 관하여는 여전히 「개인정보보호법」 상의 일련의 보호조치가 적용되는 것으로 볼 수 있음
□ 주요 외국의 생체정보 관련 법제
○ 생체정보의 개념을 명시적으로 언급하고 그 규율체계를 기존의 개인정보와 별도로 정하고 있는 국가는 아직 존재하지 않는 것으로 보임. 외국의 입법례는 그 국가에서 그것을 활용하는 분야가 발전한 정도에 따라 규율의 밀도가 달라지는 것으로 파악됨
○ 유럽연합은 1995년 「개인정보지침」을 2016년 「개인정보보호규칙」으로 대체하면서 적용대상을 확대하고 다양한 정보처리의 원칙과 정보보호조치를 강화하였음. 여기에는 생체정보의 개념 등도 포함되었음
○ 독일에서는 공공분야, 즉 테러 등 국가안보와 관련된 다수의 분야에서 지문 등의 생체정보를 활용하고 그에 대한 안전한 사용을 정하고 있음
○ 미국에서는 민간분야, 특히 금융산업과 관련한 연방 법률에서 생체정보를 언급하고 있으나 아직 포괄적 규율체계는 없고, 일부 주법에서 프라이버시보호와 관련하여 생체정보의 개념과 범위, 보호체계를 명시한 것으로 파악됨
○ 일본에서는 아직 생체정보를 법령에서 도입하지 않고 개인정보의 하나로 파악하고 개인정보 보호체계를 적용하고 있는 것으로 보임
□ 법제 정비방안
○ 생체정보의 개념과 용어를 명확하게 통일하는 것이 필요하며, 그 규율체계를 설계함에 있어서는 일반법인 개인정보보호법에 개인정보, 민감정보와는 별개의 생체정보 규정을 둘 것인가, 생체정보를 적용하는 다수의 개별법에 별도의 조문을 둘 것인가, 아니면 생체정보에 관한 자기완결적 법률을 둘 것인가에 대한 선택이 필요함
○ 생체정보는 생체원본정보와 생체인식정보로 구별되어야 하는데, 생체원본정보의 경우 도난이나 위조가 되는 경우 회복이 불가능하기 때문에 가급적 원본정보를 저장하지 않도록 하며, 저장 또는 송수신하게 되는 경우 반드시 비식별화할 필요가 있음
○ 생체정보는 일반적인 개인정보 식별자와는 다르며, 민감정보라고 단정하기에도 어렵기 때문에 고유의 보호조치가 필요하며, 가장 기본적인 것은 법령 등에 최소한의 기술적·물리적·관리적 보호조치에 관한 사항을 규정하는 것이 필요하며, 그 외에 정보처리자의 의무를 강화하고 정보주체의 동의절차를 보다 실효적으로 구성할 필요가 있음
○ 생체인식 기반 본인확인서비스의 안전성과 신뢰성 확보를 위해 일원화된 관리·감독 체계와 인증제도를 도입할 필요가 있음
○ 중요한 생체정보인 유전자정보는 어떠한 경우에도 비식별조치가 되어야 하며, 유전자정보가 해외로 유출되는 것을 막기 위해 원칙적으로 국외이전을 금지하거나 엄격히 제한하여야 할 필요가 있음
Ⅲ. 기대효과
□ 생체정보의 법제 정비방안에 관한 연구는 그동안 단편적으로 이루어져 왔던 개별법적 관점에서의 논의를 종합함으로써 법체계적 정합성을 유지하고 추후 법령 개정 시 참고할 수 있는 기초자료로서 활용될 수 있을 것으로 기대함
□ 특히 정부에서 수립하려고 하는 「바이오정보보호 가이드라인」을 발전시키거나 이를 법제화하고자 하는 때에 참고자료가 될 수 있음
제1장 서 론 21
제1절 연구의 필요성 및 목적 21
제2절 연구의 범위 및 방법 24
제2장 생체정보 일반론 29
제1절 생체정보의 의의 29
제2절 생체정보의 활용 현황 38
제3절 소 결 52
제3장 생체정보 관련 법제 현황 59
제1절 서 설 59
제2절 생체정보 관련 법제 62
제3절 소 결 88
제4장 생체정보 관련 해외 입법례 91
제1절 서 설 91
제2절 EU 및 OECD 92
제3절 미 국 100
제4절 독 일 113
제5절 일 본 126
제6절 시사점 135
제5장 결론: 생체정보 관련 법제의 정비 방향 137
제1절 생체정보의 규율 체계 137
제2절 생체원본정보와 생체인식정보의 구분 160
제3절 생체정보 수집·이용 및 처리에 관한 보호장치의 확충 163
제4절 기 타 172
참고문헌 177