본인확인을 위한 신분증 사본 저장에 따른 지문정보 수집에 대한 제도 개선 권고

Ⅰ. 권고 배경 국가인권위원회에 신원확인을 위해 주민등록증 제시를 요구하는 사례와 관련한 상담이 여러 건 제기되었고, 최근 이동통신사가 회원 가입 시 이용 자의 주민등록증 앞뒷면을 스캔하여 저장함으로써 지문 정보를 수집하고 이용자의 지문 정보 삭제 요청도 거부하고 있는 실태에 대한 언론보도가 있어, 금융기관과 이동통신사에서 이루어지는 본인확인을 위한 주민등록증 사본 저장 실태를 조사하여 「국가인권위원회법」제25조 제1항에 따라 이 러한 관행이 사생활의 자유 등 기본권을 침해할 우려가 있는지 여부를 검토 하였다. Ⅱ. 판단기준 「헌법」제10조, 제17조, 제37조, 「개인정보 보호법」제15조, 제16조, 제30조, 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」제22조, 제23조의2, 제 27조의2, 제30조, 헌법재판소 99헌마513 결정, 경제협력개발기구(OECD)의 「프라이버시 보호와 개인 데이터의 국제적 유통에 관한 가이드라인」등을 참고하였다. Ⅲ. 판단 1. 본인확인을 위한 신분증 사본 저장의 현황 및 문제점 현재 금융기관 및 이동통신사는 관행적으로 계좌개설과 회원 가입 시 서비 스 이용자에 대한 신원확인을 위하여 신분증을 제시하도록 하여 확인한 후 신분증의 앞면과 뒷면을 복사 또는 스캔하고 이를 정보통신망에 파일로 저장 하고 있다. 이 때 가장 보편적으로 사용되는 신분증인 주민등록증이 제시될 경우 금 융기관과 이동통신사는 서비스 이용자의 성명, 주민등록번호, 사진, 주소에 더불어 주민등록증 뒷면에 현출되어 있는 지문 정보도 컴퓨터 파일로 만들어 저장함으로써 암호화 처리도 되지 않은 바이오 정보를 그대로 수집.저장하 게 된다. 주민등록증으로 신분을 확인하는 것 자체는 문제될 것이 없으나, 이 를 복사 저장함으로써 지문 정보의 수집과 관리의 문제가 발생하는 것이다. 또한, 이동통신사가 서비스 이용자의 지문 정보 삭제 요청을 거부한 사례 가 언론에 보도되는 등 이미 수집한 지문 정보에 대한 정보주체의 정정 요 구도 잘 수용되지 않는 것으로 보이고, 위와 같이 신원확인을 위해 신분증 의 앞뒷면 사본을 수집하는 관행은 국가인권위원회의 조사 결과 금융기관 및 이동통신사 외에도 공공기관과 민간기관에서 광범위하게 이루어지고 있었다. 2. 개인정보자기결정권 침해 여부 금융기관 및 이동통신사는 신분증의 완결성, 주소에 대한 최신성, 채권. 채무 관계에 대한 본인 확인, 직원의 본인 확인 여부에 대한 증빙 등을 위 해서 신분증 앞뒷면을 복사하여 저장할 필요성이 있다고 주장하였다. 그러나, 정보 주체가 동의하면 개인정보의 수집.저장.이용이 가능하다 할지라도 이용자가 개인정보 항목에 대한 창구 직원의 수집 동의 요구에 실질적으로 거부하기 어렵다는 점, 서비스 이용 신청서 등에 이미 이용자의 주민등록번호와 주소를 기재하고 있으며 주민등록증 뒷면에 기재되어 있는 주소가 반드시 최신성을 담보하고 있다고 할 수 없는 점, 주민등록증 앞면 에 기재된 주민등록번호와 사진 등으로도 본인 확인을 할 수 있는 점 등을 고려할 때 이러한 주장은 합리성이 부족하다 할 것이다. 또한, 「개인정보보호법」제30조 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제27조의2에 따라 개인정보처리자 또는 정보통신서비스 제공자가 정하여 공개하여야 하는 "개인정보 처리방침" 또는 "개인정보 취급 방침"을 살펴본 결과, 금융기관과 이동통신사가 수집하는 개인정보 항목에 지문 정보는 포함되어 있지 않았다. 따라서, 주민등록증 뒷면의 지문 정보 를 수집하는 것은 각 금융기관과 이동통신사가 정한 위 방침을 위반하는 것으로 보인다. 더구나, 다른 신분증과 달리 주민등록증의 경우 뒷면에 지문 정보가 기재 되어 있다는 점에서 그 정보의 수집과 저장에 신중함이 요구된다. 지문 정 보와 같은 바이오 정보는 개인의 고유성.동일성을 나타내는 정보로서 유 일성, 불변성, 보편성을 가지고 있어 유일식별자로서 기능하고, 각 개인의 신체에 각인되어 특별한 신체적 변화가 없는 한 평생토록 바꿀 수 없기 때 문에 개인 식별성이 가장 강력한 개인정보에 해당하며, 일반적인 텍스트 정 보에 비하여 정보의 오.남용을 방지하기 위해 보다 강력한 보호가 필요하다. 그런데, 최근 들어서 지문 등 바이오 정보를 통한 본인확인 기술의 확산 에 따라 바이오 정보의 복제 및 위조 범죄가 지속적으로 발생하고 있는 상 황이고, 고도정보화 사회에서 지문 정보의 오.남용으로 인해 국민 개인의 기본적 인권이 침해될 가능성이 커지고 있다. 이에 국가인권위원회는 "스마 트스쿨 구축을 위한 지문인식시스템 설치에 대한 의견표명(2011. 10. 27.)"에 서, 명확한 인식과 설명 없는 지문 정보 수집의 위험성과 저장 및 관리 과 정에서 개인정보가 유출되는 경우의 위험성, 다른 개인정보와의 결합에 따 른 오.남용 문제를 지적한바 있다. 이러한 바이오 정보의 특수성을 고려할 때, 금융기관 및 이동통신사가 위 와 같이 서비스 이용자의 신원 확인에 필요한 최소한의 범위를 넘어 주민 등록증 뒷면까지 복사하여 지문 정보를 수집하고 파일로 저장하는 관행은 각 금융기관 및 이동통신사가 정한 "개인정보 처리방침" 또는 "개인정보 취 급방침"을 위반하고, 이용자의 개인정보자기결정권을 과도하게 제한하는 것 으로 판단된다. 한편, 위 현황 및 문제점에 기술한바와 같이 이동통신사가 서비스 이용자 의 지문 정보 삭제 요청을 거부하는 사례가 있는데, 이는 정보주체가 개인 정보의 수집.이용.제공 등의 동의 철회 시 정보통신서비스 제공자는 지 체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 하여야 한다고 규 정한 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제30조를 위반 하고, 이용자의 개인정보자기결정권을 침해하는 행위라 할 것이다. 3. 제도 개선의 필요성 이와 같은 주민등록증 뒷면 복사.저장으로 인한 지문 정보 수집 관행의 개선을 위하여, 금융기관의 감독기관인 금융위원회위원장에게, 그동안 금융 기관이 관행적으로 수집해온 지문 정보를 모두 파기하도록 지도.감독할 것을 권고하고, 이동통신사와 관련한 개인정보 보호 주무기관인 방송통신위 원회위원장에게는, 이동통신사가 관행적으로 수집해온 지문 정보를 모두 파 기하도록 지도.감독할 것과, 이동통신사가 서비스 이용자의 동의 없이 지 문 정보를 수집하고 이용자의 삭제 요청도 거부하는 사례를 조사하여 그 결과에 따라 적절한 조치를 취할 것을 권고하는 것이 적절하다고 판단된다. 나아가, 이러한 지문 정보 수집 관행이 금융기관이나 이동통신사뿐 아니 라 다른 공공기관 및 민간기관에서도 광범위하게 이루어지고 있다는 점에 서, 「개인정보 보호법」의 주무부처인 안전행정부장관에게, 그동안 공공기 관과 민간기관이 본인확인을 위한 주민등록증 복사.저장 과정에서 수집해 온 지문 정보를 파기하도록 계도하고, 이를 불이행하는 기관에 대하여는 법 률 위반 사항을 조사하여 조치하도록 권고하며, 또한, 본인확인을 위하여 주민등록증에 수록된 지문정보를 수집 이용하지 않도록 「주민등록법」제 25조 등 관련 법령을 개선할 것을 권고하는 것이 적절하다고 판단된다. Ⅳ. 결론 이상과 같은 이유로 「국가인권위원회법」제25조 제1항에 따라 주문과 같이 결정한다.