출입국심사를 위해 안면인식 기능이 있는 인공지능(AI)을 학습시키는 과정에서 내국인과 외국인의 개인정보를 개발 업체에 제공하고도 위·수탁계약 체결 사실을 공개하지 않은 법무부에 과태료 100만원 부과 처분이 내려졌다.

개인정보보호위원회(위원장 윤종인)는 27일 정부서울청사에서 제7회 전체회의를 열어 법무부 인천공항 출입국·외국인청에 대한 개인정보보호법규 위반 여부를 심의한 결과 이렇게 결정했다고 밝혔다.

법무부는 지난 2019년부터 과학기술정보통신부와 업무협약을 체결하고 인공지능(AI) 식별추적 시스템 개발사업을 추진해왔다.

이 과정에서 사업에 참여한 AI 개발업체는 법무부가 수집한 내국인 5760만건 및 외국인 1억2000만건의 개인정보에 접근해 AI 알고리즘을 학습시켰다.

접근한 개인정보에는 주로 여권번호와 국적, 생년, 성별, 안면 이미지 등이 암호화 돼 담겼다.

개인정보위는 법무부가 해당 업체에 개인정보처리 위탁계약을 체결하면서 위탁사실과 수탁자를 홈페이지에 공개하지 않은 것은 개인정보보호법 제26조제2항 위반에 해당한다고 판단했다.

출입국 관리 목적으로 수집된 안면정보 등 개인정보를 출입국관리법상 근거가 없는 AI 알고리즘 학습 등 다른 목적으로 사용하기 위해서는 정보주체의 동의를 받거나 별도로 명시적 법적 근거가 필요하다고 봤다.

다만 개인정보위는 법무부가 별도로 구축한 단말기를 통해서만 업체가 접근할 수 있도록 제한해 서버 외부로 개인정보가 반출되지 않도록 조치했다고 확인했다. 현재까지 외부로 반출된 개인정보와 AI 알고리즘은 없다는 게 개인정보위의 판단이다.

또 개인정보위는 관련 데이터베이스와 AI 알고리즘 학습에 활용된 개인정보는 모두 삭제된 것으로 확인했다.

이 밖에도 이날 개인정보위 전체회의에서는 개인정보가 유출됐는데도 이용자에게 정해진 시간 내에 유출 통지를 하지 않거나, 개인정보 이전 사실을 제대로 알리지 않은 4개 사업자들에 대한 과태료 제재 처분을 각각 의결했다.

제주항공은 시스템을 업데이트 하면서 담당자 실수로 이용자 개인정보가 유출됐지만 개인정보 유출에 대한 신고나 통지를 하지 않았다는 이유로 과태료 600만원을 받았다.

야놀자는 해커의 협박 메일로 개인정보 유출을 인지해 신고는 했지만 정당한 사유 없이 법정기한(24시간)을 초과한 후 이용자에게 유출 사실을 통지해 과태료 300만원을 처분 받았다.

안다르는 게시판 오류로 인한 개인정보 유출을 인지한 후에 법정기한(24시간)을 초과해 개인정보 유출을 신고한 후 이용자에게 별도로 유출 통지를 하지 않았다. 또 법적 근거 없이 이용자의 주민등록번호를 수집한 것도 적발돼 과태료 총 1100만원을 받았다.

미래비젼교육은 다른 사업자에 영업을 양도하면서 개인정보가 이전된다는 사실을 이용자들에게 미리 통지하지 않아 과태료 300만원 처분을 받았다.