HR 생체데이터, 직원동의 받았으면 충분한가?
*생체데이터(Biometric data): 지문, 홍채, 얼굴 이미지 등
유학 과정에서, 직/간접적으로 겪었던 세가지 사례를 회상하며 시작한다.
[사례1]
영국 Exeter대학 재학중에 World Music Choir 합창단 활동을 하였다. 아카펠라 방식으로 각국의 다양한 노래를 각국의 언어로 부르는 society였는데, 연말 크리스마스에는 그동안 연습했던 곡들을 모아서 festival에 참여하여 공연을 하곤 했다. 당시 공연 홍보용 브로셔 제작을 위해 전체사진을 찍은 적이 있었다. 집에 돌아와 이메일을 열어보니 Choir 운영진으로부터 "사진의 외부 활용에 대한 동의"를 구하는 메일이 와 있었다. 개인이 동의하지 않을 경우, 해당 인원에 대해서는 얼굴 모습을 삭제하겠다는 것이었다. 흥미로웠다. 동의를 구하는 절차가 당연하다고 생각할 수도 있지만, 국내에서 비슷한 활동을 하며 사진에 찍혔을 때, 이런식으로 공식적인 동의를 구하는 절차를 겪어 본 적은 거의 없었던 것 같다. 이게 무슨 외부 수익을 내기 위한 상업적 목적인 것도 아니고, 친목으로 모이는 합창단 모임에서, 브로셔에 작게 담는 사진임에도 불구하고, 개개인에게 초상권에 대한 동의를 구하는 것이 인상적이었다. 50명 가까운 인원에게 일일이 받는 데 시간이 오래 걸렸을텐데 말이다.
[사례2]
마찬가지로 영국에서 있었던 일이다. 아이의 생일파티를 열었고, 많은 영국 아이들과 부모들이 참석하였다. 그날의 모임을 기념하며 마지막에 찍었던 사진에는 아이들과 어른들까지 모두 약 30명 정도의 모습이 담겼다. 즐거웠던 기억을 SNS에 남기고자 포스팅을 했는데, 바로 컴플레인이 있었다. 아무리 가까운 친우관계라 할지라도 아이들과 부모의 개별적 동의 없이, 소셜 미디어에 아이들의 모습이 외부에 노출되는 것은, risk 이슈가 매우 크다는 것이었다. 순간 멈칫했고, 업로드 했던 사진을 바로 SNS에서 삭제하였다.
[사례3]
독일에서 있었던 일이다. 직접 겪은 것은 아니지만, 친구로부터 간접적으로 알게된 이야기다. 그 친구가 독일 베를린에 있는 알렉산더 광장(Alexanderplatz)에서 찍은 사진의 배경이 이상했다. 기껏 찍은 사진의 멋진 배경을 이상하게(지저분하게) 포토샵 해놓고 SNS에 포스팅 한 것을 보고, 그 친구에게 물었다. 왜 사진 배경을 그렇게 해놓았느냐고. 그랬더니, 사진 배경에 타인의 모습이 동의없이 SNS와 같은 외부 매체에 노출되면 독일에서는 불법이란다. 배경에 있는 사람들의 얼굴이 명확히 보이지도 않았고, 식별 가능하다고 생각되지도 않았음에도 불구하고, 일단 법률적으로는 그렇다고,,, 그래서 민감하다고 하더라.
이렇게 사진 속 인물의 프라이버시에 대하여 민감하게 대하는 유럽 사회. 한국과는 사뭇 다르다고 느껴진다. 문화적으로 혹은 관행적으로 어느 정도는 그러려니 이해하는 것 같긴 하지만, 다른 사람의 모습이 함께 담긴 사진 정보를 SNS에 활용하는 것에 대하여 훨씬 덜 민감한 것 같다.
HR에서는 어떨까? 특히 기술 발달에 따라 지문, 홍채인식과 같이 생체데이터에 대한 수집 및 활용이 커지고 있다. 이런 데이터는 당연히 민감하게 대처할 것 같지만, 구체적으로는 어디까지 얼만큼 어떻게 활용할 수 있는지에 대한 명확한 이해가 부족한 듯 하다. 그래서 생체데이터의 개념과 활용과 이에 대한 법적 이슈까지 함께 살펴본다.
1. 생체 데이터(Biometric Data)란?
먼저 생체 데이터가 무엇을 의미하는지 알아보자. 영국 정보위원회(UK Information Commissioner’s Office)와 GDPR(General Data Protection Regulation, 유럽 개인정보보호규정)에 따르면, 생체인식 데이터란 ‘개인을 고유하게 식별하기 위한 데이터’로써, 지문, 홍채, 얼굴 이미지와 같이 신체적, 생리적, 또는 행동적 특성과 관련된 정보를 특정한 기술적 처리로 만든 데이터를 의미한다. 실생활에서 활용하는 예를 생각해보면, 얼굴 인식으로 스마트폰을 잠금 해제하거나 지문으로 태블릿을 잠금 해제할 때마다 우리는 생체 인식 데이터를 사용하고 있다. 한마디로, 생체 인식은 개인의 신체적/행동적 특성을 측정하여 신원을 확인하는 방법이다.
생체 데이터는 크게 신체적 특성을 지닌 데이터와 개인의 행동적 특성을 지닌 데이터로 나눌 수 있다.
1) 신체적 데이터 - 신체적 특성을 포함한 데이터로는 지문, 얼굴 이미지, 망막, 음성(목소리), 서명, DNA 등을 예로 들 수 있다.
2) 행동적 데이터 – 행동적 특성이 발현되는 데이터로는 개인의 특정한 신체적 움직임, 특정 장소에 방문하는 패턴(네비게이션 패턴), 물건을 사용하는 방식, 그리고 특정 기기를 활용하는 패턴(예를 들어, 인터넷에서 어떤 웹사이트를 주로 방문하는지, 핸드폰에 어떤 어플리케이션을 설치하고 자주 접속하는지) 등이 포함된다.
2. 직원 생체인식 데이터 활용에 관한 법제화
고용주 혹은 HR 측면에서 가장 염려하는 바는 직원의 생체 데이터 수집 및 사용 위반으로 인하여 예상치 못한 법적 이슈가 발생하는 경우일 것이다. 이러한 관심에 맞추어 관련 법에 대한 제정도 점차 늘어나고 있다. 미국의 경우 생체 인식 데이터의 수집 및 활용을 규제하는 포괄적인 단일 연방법은 아직 없지만 2022년 초, 현 시점에 논의 중이긴 하다. 지금까지는 주(state)별로 각기 다른 생체인식 개인정보 보호법을 제정하여 적용하고 있다. 대표적으로 일리노이(Illinoi)주의 경우 2008년에 BIPA(Biometric Information Privacy Act)를 통해서, 그리고 캘리포니아(Califonia)주의 경우 CCPA(California’s Consumer Privacy Act)를 통해서 생체인식 데이터에 대한 내용를 법제화 하고 있다. 해당 법률 내용을 살펴보면, 생체인식 데이터를 수집하기 위해 직원의 동의를 구하는 것 뿐만 아니라 해당 데이터가 제 3자에게 공유될 때, 해당 직원에게 사전 알람을 줄 것을 요구하고 있다. 유럽의 경우는 어떨까? 2018년에 발효하여 유럽 전역의 Data Privacy 이슈를 관장하는 GDPR 역시 본인의 동의 없이 개인 식별을 목적으로 생체인식 데이터를 처리하는 것을 원칙적으로 금지하고 있다.
다만, GDPR의 경우 이러한 금지에 대한 예외 규정을 별도로 두고 있다. 관련 내용을 살펴보면 다음과 같다.
- 생체인식 정보 제공자가 명시적으로 동의한 경우
- 고용, 사회보장, 사회보호법 분야에서 정보주체 또는 정보주체의 의무를 이행하기 위하여 생체 정보가 필요한 경우
- 개인의 중대한 이익을 보호하는 것이 필수적이며 이에 별도의 동의를 구하기 어려운 경우
- 법적 청구에 중요한 경우
- 공중 보건 분야의 공익을 위해 필요한 경우
3. 지문기반 인증시스템의 법적 위반사례
GDPR의 발효 이후 유럽에서는 데이터 보호 위반 사례가 급증하고 있다. 예를 들어, 2019년의 경우 GDPR이 발효된 2018년에 비해 데이터 위반 관련 법률 건수가 160%나 증가했다. 이러한 사례들 중 직원 생체인식 데이터와 관련된 사례를 살펴보면, 최근 네덜란드 데이터 보호국 (DPA, Dutch Data Protection Authority)이 한 회사의 직원 생체데이터 불법적 활용과 관련하여 EUR 725,000 (한화 약 10억 원)에 해당하는 벌금을 부과한 경우가 있다. 해당 회사는 네덜란드의 신발 소매업체 Manfield인데, 해당 회사는 직원들이 자신의 업무 시간을 부정하게 기록하는 것을 방지하기 위해 작업공간 출입 시 지문 입력을 필수적으로 요하는 방식을 활용하였다. 그런데 네덜란드 데이터 보호국에서는 이러한 지문 입력 절차가 사무실 출입과 관련하여 인증 또는 보안상 필수적인 것이 아니며, 특히 이러한 절차를 위해 직원 개개인에 대한 동의를 받지 않았기 때문에, 이러한 지문 데이터 수집과 활용이 불법이라고 결론지었다.
참고로 GDPR 규정에 의거하면, 직원의 생체인식 데이터 수집 및 활용을 위해서는 개별적 동의 뿐만 아니라, 보안 및 인증을 위해 생체인식 데이터의 활용이 필수적인 상황이어야만 한다. 즉, 위 경우에는 직원의 사무실 출입 기록을 하기 위해, 꼭 지문이나 홍채인식과 같은 생체인식 데이터를 활용하지 않더라도 다른 방법, 예를 들면, 직원 ID카드 태그나 출입키 활용 등으로도 충분히 수행할 수 있기 때문에, 생체인식 데이터의 수집 및 활용이 정당하지 않다고 본 것이다.
해당 네덜란드 기업의 사례를 좀 더 구체적으로 살펴보자. 위 사안의 경우 2017년부터 2019년까지 직원들이 사무실 출입 때마다 자신의 지문을 스캔하였다. 새롭게 입사한 직원들도 다른 직원들이 다들 그렇게 행동하니 크게 문제가 있다고 생각하지 않았고 같은 방식으로 사무실 출입시마다 지문을 등록하고 인식하는 행동을 반복하였다. 여기서 발생한 첫 번째 문제는 이에 대한 HR팀 혹은 고용주로부터의 사전 동의와 명시적 문서가 없었다는 점이다. 기업 입장에서는 사무실에 외부인 출입을 막기 위해, 그리고 누가 언제 출입했는지 여부를 기록으로 남기기 위해 직원의 지문등록 및 인증 절차를 활용했고, 이에 대하여 직원들이 묵시적으로 동의했기 때문에 그동안 관례적으로 해왔다고 주장하였으나, 이는 합당한 이유로 받아들여지지 않았다. GDPR 규정, 그리고 네덜란드의 데이터 보호규정(Dutch Personal Data Protection)에 의하면, 직원 생체인식 데이터에 대한 수집 및 활용은 필수적으로 명시화되어 종이 문서 혹은 이메일 문서 형식으로 동의를 받았어야 하기 때문이다. 게다가 이러한 동의를 구하는 프로세스 조차도 적절한 옵션과 함께 피동의자 입장에서 공정한 선택권이 있어야 한다.
4. 데이터 수집 및 활용에 대한 동의를 받았으면 이로써 충분한가?
네덜란드 기업의 위반 사례에서 두 번째 이유는 우리가 조금 더 깊이 생각해 볼 부분이다. 여전히 많은 경우, 데이터 보호에 있어서 사전에 공지를 했고, 동의를 받았으면 크게 문제가 없다고 생각하기 때문이다. GDPR 규정에 의하면 인증 및 보안 목적의 처리가 필요한 경우 생체 인식 데이터의 수집 및 활용이 허용된다. 이 경우, 고용주 혹은 HR팀에서는 건물, 사무실, 작업장의 시스템과 보안을 위해 직원 생체인식 데이터의 활용이 필수 사항인지를 판단하여야 한다. 위 기업 사례에 대한 조사 결과를 보면, 기업 측에서는 사무실에 대한 보안 목적이기 보다는 직원들이 사업장 출입 기록에 대한 거짓 보고를 방지하는 목적으로 생체인식 데이터를 활용한 것으로 보았다. 이 경우 회사 측에서는 꼭 직원의 생체인식 데이터가 아니더라도 입출입을 위한 카드키와 같은 다른 방식을 활용할 수 있으므로, 생체 데이터의 활용이 GDPR에서 규정하는 필수적 사항이라고 보지 않은 것이다.
생체인식 데이터 활용에 대하여 상대적으로 긍정적인 정서를 가지고 있는 스웨덴에서 조차 비슷한 사례가 있다. 해당 사례는 기업의 경우는 아니지만, 네덜란드 기업 사례와 비슷한 사유의 법적 조치가 있었다. 스웨덴의 한 고등학교(Anderstorp 고등학교)에서 학생들을 대상으로 출석 확인을 위해 안면인식 기술을 활용하였다. 3주간 시범적으로 22명의 학생들에 대하여 학생들의 안면 인식을 통해 출석 여부를 확인하였다. 그리고 학교에서는 매우 성공적인 시도였다고 자체 평가 하였다.
기존에는 학생들의 출석을 개별적으로 호명하는 것에 전교생 기준으로 매년 약 1만 7천 시간을 소비했는데, 이러한 시간 낭비를 혁신적으로 줄일 수 있다는 주장이었다.
게다가 학교 측에서는 법적 보호자인 부모들로부터 학생들에 대하여 안면인식 기술을 활용하는 것에 대한 사전 동의를 받았기 때문에 문제가 없을 것이라 보았다.
그럼에도 불구하고 이에 대한 스웨덴 데이터 보호당국은 안면 인식 데이터의 수집이 GDPR 규정에 의거해 볼 때 필수적이거나 대체 불가능한 방안이 아니라고 보았고, 그에 따라 $20,700(약 2,500만원)에 달하는 벌금을 부과하였다.
5. 직원들의 생체 인식 데이터, HR은 어떻게 대처해야?
아무래도 HR 담당자는 일반 직원들보다 데이터에 대해 더 민감하다. 직원에 대한 프로파일과 개인 자료를 많이, 또 자주 다루기 때문이다. 게다가 동일한 HR 소속이라도, 권한이 있는 사람만 접속 가능하게 다뤄지고 있기 때문에 HR은 데이터에 어느정도 민감하다고 볼 수 있다. 하지만, 앞서 생체 인식 데이터에 대하여 동의를 구하는 것 만으로 충분하지 않기에 GDPR 규정에 의거하여 법률적 조치를 부과 받은 사례는 HR 담당자들로 하여금 다시금 생각을 되짚게 한다.
이런 관점에서,
첫째, 생체인식 데이터에 대한 법적인 조치와 흐름을 면밀하게 이해하고 있어야 한다. 앞서 이야기했듯 개인정보에 대한 침해 이슈가 증가함에 따라, 생체인식 데이터를 포함한 직원 개인 정보의 수집 및 활용에 대한 법률적 보호 역시 강화되고 있다. 그리고 이러한 조치에는 단순히 동의를 받는 것에 그치지 않고, 수집된 데이터를 활용하는 측면도 고려해야 한다. 즉, 생체인식 데이터를 활용해야 하는 이유가 논리적으로 타당해야 한다. 단순히 기술적으로 더 나은 방법이기 때문이 아니라, 다른 방식의 데이터 활용으로는 보안 및 인증에 한계가 있다는 점까지도 증명할 수 있어야 한다.
둘째로, 일단 법적 문제가 발생하면 기업이 불리한 입장에 놓인다는 점 역시 염두에 두어야 한다. 채용 과정에서 혹은 기존 직원들에게 생체인식 데이터의 수집 및 활용 동의를 요구하는 과정에서 고용주는 상대적인 갑(甲)의 위치에 있고, 이러한 요구를 받는 직원은 약자(乙)의 측면에 있다고 간주한다는 점 역시 기업에 잠재적인 리스크이다. 이를 사전에 방지하기 위해, 생체인식 데이터 활용을 위한 합법성, 공정성, 투명성, 목적 제한, 데이터 활용의 최소화, 정확성, 보관 및 관리에 대한 사항, 책임에 대한 여부, 등을 면밀히 검토해야 한다.
셋째로, 앞으로는 이직 또는 퇴사하는 직원이 회사에 대하여 생체인식 데이터를 포함한 개인정보 파기 절차를 물을 수 있다는 점도 간과해서는 안 될 것이다. 아직까지 그런 경우가 딱히 없었으니 별다른 대비의 필요성을 못 느낀다는 말은 타당한 사유가 되지 못한다. ‘다른 직원들도 다 하니까 그냥 하세요, 별 다른 일 없을 겁니다.’라는 방식의 주먹구구식 요구는 시대에 참 많이 뒤떨어진 행태이다. 직원 관련 법적 이슈가 발생한 이후에 뒤늦게 이를 해결하기 위해 움직이는 HR이 아닌, 사전에 미리 방지하고 준비할 수 있어야 한다.
* 주요 참고문헌
- BBC News (2019). Facial recognition: School ID checks lead to GDPR fine
- ICO (2022). Information Commissioner’s Office, UK (Category: For organisations)
- Tech Times (2022). Amazon Allegedly Collected Biometric Data Without Consent in Its COVID Wellness Checks
