영국의 한 학교가 학생들의 안면 스캔 처리에 대해 명시적 '옵트인(opt-in)' 동의를 받지 않고 안면 인식 기술을 사용한 사실이 영국의 데이터 보호 규제 기관으로부터 공식적으로 경고를 받았습니다.
이번 사안은 특히 아동이 관련된 학교 환경에서의 생체 인식 데이터 사용을 둘러싼 지속적인 사생활 논쟁을 재점화시켰습니다. 작년 뉴욕주가 학교에서의 안면 인식을 금지한 최초의 미국 주가 되면서 관련 논란이 불거진 바 있습니다. 이는 AI 기업들이 학교 보안 강화라는 명분으로 마케팅 활동을 늘리면서 촉발된 것이었습니다.
지문 인식 기술은 오랫동안 다양한 신원 확인 및 인증 목적으로 영국 학교에서 사용되어 왔지만, 안면 인식 기술 역시 그 사용 범위가 점차 늘고 있습니다. 특히 팬데믹 기간 동안 비접촉 결제가 필수화되면서 이러한 추세는 가속화되었습니다. 일부 학교에서는 최소 4년 전부터 안면 인식 소프트웨어를 활용해 급식 비용 결제를 처리해 왔습니다. 이러한 추세는 스코틀랜드 여러 학교들이 2021년 이 기술을 도입하기 시작하면서 정보국(Information Commissioner’s Office, ICO)의 개입을 촉발시키는 계기가 되었습니다.
그리고 약 3년의 시간이 흐른 지금, ICO가 다시 한번 조치에 나섰습니다.
에식스(Essex)의 첼므스퍼드(Chelmsford)에 위치한 첼머 밸리 고등학교(Chelmer Valley High School)는 2016년부터 지문 인식을 사용해왔지만, 2023년 3월부터 무현금 점심 식사 결제에 안면 인식 기술을 도입했습니다. 이 안면 인식 시스템은 CRB Cunninghams라는 회사에서 제공했습니다.
학교가 안면 인식 기술을 사용하는 것이 허용되기는 하지만, ICO에 따르면 학교는 새로운 생체 인식 기술을 도입하기 전에 반드시 데이터 보호 영향 평가(Data Protection Impact Assessment, DPIA)를 선행해야 합니다. 그러나 첼머 밸리 고등학교는 이 의무를 지키지 않았습니다. 해당 학교가 안면 인식 기술을 도입한 지 거의 1년이 지난 올해 1월에야 ICO에 DPIA를 제출한 것이 확인되었습니다.
더욱이 ICO는 학교가 학생들의 안면 스캔 처리에 필요한 "명확한 허가(clear permission)"를 얻지 못했다고 지적했습니다. 학교는 학부모들에게 기술 사용에 대한 서한을 보냈으나, 이는 '옵트아웃(opt-out)' 방식의 프로그램으로 제시되었습니다. 즉, 학생들이 참여하지 않겠다는 내용을 명시하는 양식을 반납하지 않으면 자동적으로 프로그램 참여자로 간주되는 방식이었습니다. 이는 동의에 있어 "명확하고 적극적인 조치(clear affirmative action)"가 요구된다는 영국 GDPR 제4조 제11항에 명백히 위배됩니다.
개인정보 캠페인 단체인 빅 브라더 워치(Big Brother Watch)의 옹호 관리자인 마크 존슨(Mark Johnson)은 TechCrunch에 "이 시스템으로 얻어진 안면 데이터는 매우 민감한 생체 정보입니다. 아동들이 단지 학교 급식 이용을 위해 출입국 심사와 같은 신원 확인 과정을 거칠 필요는 없습니다. 이번에 ICO가 개입한 것은 고무적입니다. 아동들은 개인 데이터를 스스로 관리하는 법을 배워야지, 학교에 의해 마치 돌아다니는 바코드처럼 취급되거나 충동적으로 생체 인식 데이터를 넘겨주는 존재가 아닙니다."라고 비판했습니다.
또한 영국 GDPR은 만 13세 이상의 아동은 자신의 데이터가 어떻게 처리될지에 대해 직접 동의를 제공할 수 있도록 규정하고 있으며, 이는 이 학교 학생들 대다수가 "자신의 권리와 자유를 행사할 기회를 박탈당했음"을 의미합니다.
ICO의 개인정보 혁신 책임자인 린 커리(Lynne Currie)는 성명을 통해 "학교 급식 환경에서 사람들의 정보를 다루는 것의 중요성은 음식 자체를 다루는 것만큼 중요합니다"라고 밝혔습니다. 이어 "모든 기관은 새로운 기술을 배포할 때 데이터 보호 위험을 완화하고 데이터 보호 법규를 준수하기 위한 필요한 평가를 수행할 것으로 기대합니다."라고 덧붙였습니다.
한편, ICO는 데이터 개인 정보 보호 규정을 위반하는 어떠한 기관에도 막대한 벌금을 부과할 권한을 가지고 있습니다. 실제로 이전에 발생했던 사례에서도 그러했습니다.
다만 이번 사례에서는 학교가 공적기관인 점과 최초 위반 사항의 성격 등을 고려하여, 최고 수준의 제재인 벌금 대신 행정 지도를 내리는 방식으로 결론이 났습니다.
TechCrunch에 보도된 이 사건의 배경에는 서비스 개발상의 과실이나 학교 측의 관리 미흡 등 시스템 개선에 대한 요구가 큰 이유가 있습니다.
이 사건은 개인정보와 공공의 이익 간의 경계가 어디까지 설정되어야 하는지에 대한 깊은 논의를 불러일으키고 있습니다.