뉴스클리핑

[정책현황] Using live facial recognition technology in public places

Posted by

2021-07-19 / Taylor Wessing / Debbie Heywood

원문기사보기 :

Using live facial recognition technology in public places
ICO publishes guidance as the EDPB calls for an outright ban.

의견서원문보기 :

ico-opinion-the-use-of-lfr-in-public-places-20210618.pdf
***

영국 ICO 공공장소에서의 실시간 얼굴인식 기술 사용관련 의견서 발표

  • 얼굴인식기술 FRT(facial recognition technology)은 개인 데이터와 생체 데이터를 활용하므로, 개인의 데이터보호법에 적용을 받음
  • 실시간안면인식 LFR(Live facial recognition)은 공공장소에서 실시간으로 무분별한 개인정보의 수집, 처리 가능하므로, 보다 높은 법적 기준이 요구됨
  • ICO는 법집행기관 외의 기관이 LFR 사용을 할 경우, 평가 및 조사를 위해 본 의견서를 활용할 것

FRT와 LFR 개념 구분

얼굴인식기술 FRT(facial recognition technology)

  • 얼굴 이미지로부터 사람을 식별하거나 인식하는(identified or recognized) 프로세스
  • 시스템은 특정인을 식별(신원확인 등)하거나, 특정인을 범주화 (특정 범주에 생체인식 템플릿을 배치)하기위해 얼굴 간 유사도를 추정함
  • FRT는 휴대폰 잠금 해제, 온라인 은행 계좌 개설, 여권 심사 통과 등에 사용되며, 삶을 효율적, 안전하게 만듬
  • 사용자가 예측가능한 범위내에서 활용되는 개념

실시간안면인식 LFR(Live facial recognition)

  • FRT는 일반적으로 1:1 처리. 개인은 직접 참여하며, 자신의 데이터가 사용되는 이유와 방법을 인지하고 있음
  • LFR은 CCTV처럼 특정 카메라 범위를 통과하는 모든 사람을 대상으로 데이터를 자동적, 무차별적으로 수집
  • 정보가 실시간/대규모로 수집되면서 이에 대한 개인의 인식, 선택, 통제가 매우 부족함
  • 생체 인식 데이터는 생물학적/행동적으로 개인 식별 가능한 데이터로 영구적 특징을 가지고 있어 변경 어려움
  • 또한 연령, 성별, 민족 등 다른 특성 추론 가능
  • 영국 법원은 DNA, 지문과 같이 매우 고유하며 사적인(intrinsically private) 정보로 정의
  • LFR은 이런 민감한 생체 인식정보를 정보주체의 인식/개입 없이 대량으로 무분별하게 수집할 수 있음

LFR의 사용

  • 물리적 소매점, 레저 및 교통 환경 또는 기타 공공 장소에서 범죄 또는 기타 원치 않는 행동을 방지하기 위해 감시 목적으로 LFR을 사용
  • LFR은 구내에 들어오는 특정 개인을 식별하고 컨트롤러가 조치(대상의 강제 퇴거)를 취하도록 허용
  • 마케팅, 타겟 광고 및 기타 상업적 목적을 위해 LFR을 사용하려는 욕구가 증가
  • 생체인식정보를 사용하여 개인을 범주화(평가, 분류, 구분)하는 것도 포함
  • 온라인의 다양한 소스, SNS등의 빅데이터와 통합되어 개인식별 가능성이 증가되는 추세

LFR 의견서의 적용 범위

  • 식별 및 분류 목적 활용 (purposes of identification and categorisation)
  • 개인소유 여부와 관계 없는 공공장소 적용
  • 온라인 환경 제외
  • 검증, 본인인증과 같은 1:1 매칭 처리 제외

LFR 사용 조건

  • LFR은 대부분 특수범주의 개인데이터 처리가 포함되므로, UK General Data Protection Regulation (UK GDPR) and the Data Protection Act 2018 (DPA 2018)의 모든 부분을 준수해야 함
  • 컨트롤러는 공공장소에서 LFR을 사용하기 위한 명시적, 합법적 목적이 필요
  • 컨트롤러는 유효한 법적 근거를 식별해야 함
  • 특수 범주 데이터 및 범죄 데이터를 처리하기 위한 조건 충족해야 함
  • LFR은 컨트롤러의 목적을 달성하기 위해 반드시 필요해야 함
  • 컨트롤러는 합리적인 범위안에서 LFR의 대체 수단사용할 수 없음을 입증해야 함
  • LFR은 기술적으로 충분히 정확해야 하며, 편견과 차별의 위험을 제어할 수 있어야 함
  • LFR 사용에 관한 영향평가 – data protection impact assessments (DPIAs)를 수행해야 함
  • 개인의 권리 및 자유에 관한 LFR 사용의 영향을 고려해야 함
  • 데이터 보호 원칙의 준수 및 책임을 지어야 함
  • 적법성, 공정성, 필요성 및 비례성에 대한 요구 사항 충족 확인
  • 법 집행기관과 협력시, 역할 및 책임을 명확히 해야 함

추후 진행사항

  • ICO는 지속적으로 조사 및 자문업무 수행 예정
  • DPIA 평가
  • 운영중인 LFR 시스템의 감사
  • 데이터 보호 행동강령 및 인증체계 마련

댓글 남기기