민감정보 처리에 대해 충분히 고지 후 동의 획득, 삭제기능 보장 강화
최초 수집 목적(World ID 인증을 위한 신원 증명) 외 이용 제한 등 시정명령·개선권고 병행
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 제16회 전체회의를 열고, 개인정보보호 법규를 위반한 월드코인 파운데이션(Worldcoin Foundation, 이하 월드코인 재단)과 툴스 포 휴머니티(Tools for Humanity Corporation, 이하 TFH)에 대해 총 11억 400만원 과징금과 시정명령 및 개선권고를 부과하기로 9월 25일 의결했다.
▲월드코인 재단 및 TFH의 개인정보 처리 흐름도[이미지=개인정보위]
개인정보위는 올해 2월 월드코인 측이 가상자산을 대가로 생체정보를 무단으로 수집하고 있다는 민원 제기와 언론보도 등에 따라 조사에 착수했다.
조사 결과, 월드코인 재단과 월드코인 재단으로부터 개인정보 처리 업무를 위탁받은 TFH(가상자산 지갑 앱 개발·운영 등을 맡은 수탁자 및 처리자)가 합법 처리 근거 없이 국내 정보주체의 홍채정보 등 개인정보를 수집한 사실을 확인했다. 국내에서는 9만 3,463명이 월드앱을 설치했고, 이중 2만 9,991명이 홍채 인증을 등록한 것으로 드러났다. 또한 이를 국외로 이전하면서 개인정보보호법(이하 ‘보호법’)상 의무를 준수하지 않은 것으로 확인됐다.
-민감정보 처리 제한 의무 위반
먼저, 월드코인 재단은 오브를 통해 정보주체 홍채를 촬영한 후 이를 활용해 홍채코드를 생성하면서 국내 정보주체에게 ‘수집·이용 목적’ 및 ‘보유·이용 기간’ 등 보호법에서 정한 고지사항을 제대로 알리지 않았다.
특히, 홍채코드는 그 자체로 개인을 유일하게 식별할 수 있고 변경이 불가한 민감정보(생체인식정보)다. 우리 보호법상 처리를 위해서는 별도로 동의를 받고, 안전성 확보조치 등을 해야 하나 이를 위반한 것이다.
-국외 이전 의무 위반
월드코인 재단 및 TFH가 홍채코드를 비롯해 국내 정보주체로부터 수집한 이름, 이메일 등 개인정보를 독일 등 국외로 이전하면서 ‘개인정보가 이전되는 국가’, ‘개인정보를 이전받는 자의 성명(법인명) 및 연락처’ 등 보호법에서 정한 고지사항을 정보주체에게 알리지 않은 사실도 확인되었다.
아울러, 월드코인 재단은 홍채코드의 삭제 및 처리정지 등을 요구할 방법·절차를 마련하지 않았다. TFH는 월드앱 가입 시 만 14세 미만 아동의 연령 확인 절차가 미흡한 것으로 확인됐다.
월드코인 재단은 조사 과정에서 홍채코드 삭제 기능을 마련했고, 국내 홍채정보 수집을 재개하면서 현장에서 신분증 확인 절차를 도입한 상황이다.
이에 따라 개인정보위는, 월드코인 재단의 민감정보 처리 및 국외 이전 관련 의무 위반으로 7억 2,500만원, TFH의 국외 이전 관련 의무 위반에 대해 3억 7,900만원 과징금을 부과하기로 했다.
개인정보위는 월드코인 재단에는 △민감정보 처리 시 별도 동의를 충실히 받을 것 △홍채정보 등 개인정보가 최초 수집 목적 외 사용되지 않도록 보장할 것 △정보주체의 요청에 따른 삭제 기능을 실효적으로 제공할 것을, TFH에는 월드앱 △내 연령 확인 절차를 도입할 것 △공통으로 개인정보 국외 이전 시 법정 고지사항을 충분히 알릴 것을 내용으로 하는 시정명령 및 개선권고를 함께 부과했다.
조사 및 심의 과정에서 월드코인 측은, 홍채코드는 익명정보에 해당하며, 홍채코드 처리과정에 다양한 최신 기술을 적용해 보안성을 강화하고 있다고 설명했다. 홍채코드 중복 가입 여부 확인만 할 수 있고, 특정 개인에 대한 식별은 곤란하다는 이유에서다.
이에 대해 개인정보위는, 월드코인 측이 정보주체로부터 직접 홍채 이미지를 촬영한 후 이를 활용해 홍채코드를 생성하고 있는 점, 홍채 관련 정보는 일신전속적·변경 불가한 것으로 개인별 홍채코드 역시 유일무이한 점, 그 결과 특정 개인에 귀속되어 식별자(Identifier)로 기능이 가능하고 실제로도 내부적으로 월드 아이디(World ID)와 연계된 것으로 확인되는 점 등을 종합 고려해, 보호법상 생체인식정보인 민감정보의 처리에 해당한다고 보았고, 국내 정보주체의 유효한 동의가 없어 보호법 위반으로 판단했다.
다만 앞서 제시한 시정명령 등을 통해 일정 조건을 부과한 후 이를 준수하는 범위에서 민감정보의 처리 자체는 금지하지 않았다. 일정 조건 부과에는 민감정보 처리에 대해 충분히 고지 후 동의 획득, 삭제기능 보장 강화, 최초 수집 목적(월드 아이디(World ID) 인증을 위한 신원(사람) 증명) 외 이용 제한 등이 해당한다.
전세계적으로 인공지능(AI)·디지털 경제사회가 확산되고 있는 가운데, 인간의 고유 속성인 바이오 등 민감정보의 이용과 개인 데이터의 국외 이전이 계속 증가하고 있다. 개인정보가 안전하게 보호되며 활용되기 위해서는, 처리자(사업자)의 보호법상 의무 및 책임에 대한 인식과 준수가 어느 때보다 강하게 요구된다.
개인정보위는 앞으로도 신기술·신서비스에 대해 개인정보 주체의 권리가 충실히 보장되며 활성화될 수 있도록 지속해서 점검 및 지원해 나갈 계획이다.
[박은주 기자(boan5@boannews.com)]
최초 수집 목적(World ID 인증을 위한 신원 증명) 외 이용 제한 등 시정명령·개선권고 병행
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 제16회 전체회의를 열고, 개인정보보호 법규를 위반한 월드코인 파운데이션(Worldcoin Foundation, 이하 월드코인 재단)과 툴스 포 휴머니티(Tools for Humanity Corporation, 이하 TFH)에 대해 총 11억 400만원 과징금과 시정명령 및 개선권고를 부과하기로 9월 25일 의결했다.
▲월드코인 재단 및 TFH의 개인정보 처리 흐름도[이미지=개인정보위]
개인정보위는 올해 2월 월드코인 측이 가상자산을 대가로 생체정보를 무단으로 수집하고 있다는 민원 제기와 언론보도 등에 따라 조사에 착수했다.
조사 결과, 월드코인 재단과 월드코인 재단으로부터 개인정보 처리 업무를 위탁받은 TFH(가상자산 지갑 앱 개발·운영 등을 맡은 수탁자 및 처리자)가 합법 처리 근거 없이 국내 정보주체의 홍채정보 등 개인정보를 수집한 사실을 확인했다. 국내에서는 9만 3,463명이 월드앱을 설치했고, 이중 2만 9,991명이 홍채 인증을 등록한 것으로 드러났다. 또한 이를 국외로 이전하면서 개인정보보호법(이하 ‘보호법’)상 의무를 준수하지 않은 것으로 확인됐다.
-민감정보 처리 제한 의무 위반
먼저, 월드코인 재단은 오브를 통해 정보주체 홍채를 촬영한 후 이를 활용해 홍채코드를 생성하면서 국내 정보주체에게 ‘수집·이용 목적’ 및 ‘보유·이용 기간’ 등 보호법에서 정한 고지사항을 제대로 알리지 않았다.
특히, 홍채코드는 그 자체로 개인을 유일하게 식별할 수 있고 변경이 불가한 민감정보(생체인식정보)다. 우리 보호법상 처리를 위해서는 별도로 동의를 받고, 안전성 확보조치 등을 해야 하나 이를 위반한 것이다.
-국외 이전 의무 위반
월드코인 재단 및 TFH가 홍채코드를 비롯해 국내 정보주체로부터 수집한 이름, 이메일 등 개인정보를 독일 등 국외로 이전하면서 ‘개인정보가 이전되는 국가’, ‘개인정보를 이전받는 자의 성명(법인명) 및 연락처’ 등 보호법에서 정한 고지사항을 정보주체에게 알리지 않은 사실도 확인되었다.
아울러, 월드코인 재단은 홍채코드의 삭제 및 처리정지 등을 요구할 방법·절차를 마련하지 않았다. TFH는 월드앱 가입 시 만 14세 미만 아동의 연령 확인 절차가 미흡한 것으로 확인됐다.
월드코인 재단은 조사 과정에서 홍채코드 삭제 기능을 마련했고, 국내 홍채정보 수집을 재개하면서 현장에서 신분증 확인 절차를 도입한 상황이다.
이에 따라 개인정보위는, 월드코인 재단의 민감정보 처리 및 국외 이전 관련 의무 위반으로 7억 2,500만원, TFH의 국외 이전 관련 의무 위반에 대해 3억 7,900만원 과징금을 부과하기로 했다.
개인정보위는 월드코인 재단에는 △민감정보 처리 시 별도 동의를 충실히 받을 것 △홍채정보 등 개인정보가 최초 수집 목적 외 사용되지 않도록 보장할 것 △정보주체의 요청에 따른 삭제 기능을 실효적으로 제공할 것을, TFH에는 월드앱 △내 연령 확인 절차를 도입할 것 △공통으로 개인정보 국외 이전 시 법정 고지사항을 충분히 알릴 것을 내용으로 하는 시정명령 및 개선권고를 함께 부과했다.
조사 및 심의 과정에서 월드코인 측은, 홍채코드는 익명정보에 해당하며, 홍채코드 처리과정에 다양한 최신 기술을 적용해 보안성을 강화하고 있다고 설명했다. 홍채코드 중복 가입 여부 확인만 할 수 있고, 특정 개인에 대한 식별은 곤란하다는 이유에서다.
이에 대해 개인정보위는, 월드코인 측이 정보주체로부터 직접 홍채 이미지를 촬영한 후 이를 활용해 홍채코드를 생성하고 있는 점, 홍채 관련 정보는 일신전속적·변경 불가한 것으로 개인별 홍채코드 역시 유일무이한 점, 그 결과 특정 개인에 귀속되어 식별자(Identifier)로 기능이 가능하고 실제로도 내부적으로 월드 아이디(World ID)와 연계된 것으로 확인되는 점 등을 종합 고려해, 보호법상 생체인식정보인 민감정보의 처리에 해당한다고 보았고, 국내 정보주체의 유효한 동의가 없어 보호법 위반으로 판단했다.
다만 앞서 제시한 시정명령 등을 통해 일정 조건을 부과한 후 이를 준수하는 범위에서 민감정보의 처리 자체는 금지하지 않았다. 일정 조건 부과에는 민감정보 처리에 대해 충분히 고지 후 동의 획득, 삭제기능 보장 강화, 최초 수집 목적(월드 아이디(World ID) 인증을 위한 신원(사람) 증명) 외 이용 제한 등이 해당한다.
전세계적으로 인공지능(AI)·디지털 경제사회가 확산되고 있는 가운데, 인간의 고유 속성인 바이오 등 민감정보의 이용과 개인 데이터의 국외 이전이 계속 증가하고 있다. 개인정보가 안전하게 보호되며 활용되기 위해서는, 처리자(사업자)의 보호법상 의무 및 책임에 대한 인식과 준수가 어느 때보다 강하게 요구된다.
개인정보위는 앞으로도 신기술·신서비스에 대해 개인정보 주체의 권리가 충실히 보장되며 활성화될 수 있도록 지속해서 점검 및 지원해 나갈 계획이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
