공개된 얼굴정보(개인정보)를 스크래핑해서 데이터베이스를 구축한 후 안면인식기술을 판매한 경우, 이러한 행위는 적법한가?​

[사실관계]

미국 뉴욕 기반의 인공지능 스타트업 Clearview AI(클리어뷰 AI)는 2017년 설립되어, 페이스북, 인스타그램, 트위터 등과 같은 소셜네트워크 등에 올려진 개인들의 얼굴정보를 대규모로 스크래핑해서 100억건 이상의 데이터베이스를 구축하고, 이를 이용하여 범죄 용의자의 신원을 파악하는 등의 목적의 안면인식기술을 개발하여 공공기관뿐만 아니라 학교나 민간기업 등에 판매하였다. 고객은 신원파악을 원하는 이미지를 클리어뷰 AI에 제공하면, 클리어뷰 AI는 머신러닝 알고리즘을 적용하였는바, 이 알고리즘을 이용하여 해당 이미지를 벡터값으로 치환하여 구축한 데이터베이스와 비교 대조하여 유사한 얼굴정보를 제공하였다.​

[외국의 법적조치] : 한결같이 불법으로 판단함

o 미국(2020. 1.) : 뉴욕타임즈 기사 이후 일리노이주, 뉴욕주 등에서 개인정보보호 위반을 이유로 집단소송이 개시됨

o 독일(2021. 1.) : 독일 함부르크 데이터보호당국은 삭제명령을 내림

o 스웨덴(2021. 2.) : 스웨덴 개인정보 감독기구는 자국 경찰청에 형사데이터법 위반 즉 개인정보영향평가 미이행 등을 이유로 과징금을 부과하고 시정조치를 명함

o 핀란드(2021. 9.) : 핀란드 개인정보 감독기구는 형사데이터법을 위반한 자국 경찰당국에 대하여 시정조치를 명함

o 호주(2021. 11.) : 호주 개인정보 감독기구는 동의 없는 얼굴정보(개인정보) 수집을 이유로 수집중단 및 삭제명령을 내림

o 프랑스(2021. 11.) : 프랑스 개인정보 감독기구 CNIL은 GDPR 위반을 이유로 중지명령, 삭제명령을 내림

o 캐나다(2021. 12.) : 캐나다 주 개인정보 감독기구는 동의 없는 수집을 이유로 삭제명령을 내림

o 이탈리아(2022. 2.) : 이탈리아 개인정보 감독기구는 GDPR 위반을 이유로 과징금 부과 명령, 시정명령을 내림

o 미국(2022. 5.) : 클리어뷰는 얼굴인식 데이터베이스를 판매하지 않고 정부기관에만 사용하기로 시민단체 ACLU와 합의함

o 영국(2022. 5.) : 영국 개인정보 감독기구 ICO는 UK GDPR 위반을 이유로 750파운드 과징금 부과명령, 삭제명령 등을 내림

o 그리스(2022. 7.) : 그리스 개인정보 감독기구는 GDPR 위반을 이유로 과징금 부과명령, 시정명령을 내림​

[클리어뷰 AI의 주장]

o 안면인식 기술에 대하여 미국 연방 특허를 취득했다

o 미국 수정헌법 제1조의 권리가 있는바, 공개자료를 사용할 수 있는 권리가 있다

o 모든 얼굴정보는 사람들이 자발적으로 온라인에 게시하여 공개적으로 이용가능한 정보이다. ​

[트위터, 구글, 유투브, 링크드인, 메타 등의 입장]

클리어뷰 AI에게 자신의 플랫폼에서 이용자의 얼굴정보를 스크래핑하는 것을 중단할 것을 요구함​

[우리법]

o 공개된 개인정보도 보호 대상인지 : 공개된 개인정보도 개인정보자기결정권의 보호대상이다.

대법원 2016. 8. 17. 선고 2014다235080 판결

인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리이다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 개인의 동일성을 식별할 수 있게 하는 일체의 정보이고, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 아니하며 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다.​

o 공개된 개인정보의 활용시 정보주체의 동의를 꼭 받아야 하는가? 원칙적으로 정보주체의 동의를 얻어야 하나, 다만 아래 경우에 해당하면 동의 없이 활용할 수 있다.

대법원 2016. 8. 17. 선고 2014다235080 판결

이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집·이용·제공 등 처리를 할 때는 정보주체의 별도의 동의는 불필요하다고 보아야 하고, 별도의 동의를 받지 아니하였다고 하여 개인정보 보호법 제15조나 제17조를 위반한 것으로 볼 수 없다. 그리고 정보주체의 동의가 있었다고 인정되는 범위 내인지는 공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적뿐만 아니라, 정보처리자의 정보제공 등 처리의 형태와 정보제공으로 공개의 대상 범위가 원래의 것과 달라졌는지, 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 등을 검토하여 객관적으로 판단하여야 한다.

o 클리어뷰 AI 사안은 합법인가? 불법인가?

위 대법원 2016. 8. 17. 선고 2014다235080 판결을 클리어뷰 AI 사안에 대입하면, 예컨대 SNS에 자신의 얼굴정보를 올린 사람이 있는 경우 이 사람의 의사는 자신의 얼굴정보를 이용하여 신원파악하는 데까지 이용하는 것까지 동의했다고 보기는 어렵고, 사후통제도 불가능하다. 따라서 위 대법원 2016. 8. 17. 선고 2014다235080 판결에 의하더라도 불법에 해당한다.

* 법무법인 민후 김경환 변호사 작성, 블로그(2022. 11. 26.) 기고.