자동입국 시스템의 생체 정보 삭제 요청은 어떻게 해야 할까?

생체정보는 정맥, 패턴, 음성 지문, 얼굴, 홍채  등 사람마다 고유한 생물학적 특징을 의미하며, 최근 공공기관과 민간 기업 모두 이 정보를 다양한 서비스에 활용하고 있다. 자동입국 시스템, 모바일 인증, 출입통제 시스템, 결제 인증 등 수많은 분야에서 생체정보는 편리하고 강력한 인증 수단으로 기능하지만, 동시에 개인정보 보호 측면에서는 가장 민감하고 위험한 정보이기도 하다.

 

 

기술의 확산과 함께 “내 생체정보는 어디에 저장되어 있으며, 누구와 공유되고 있는가?”에 대한 국민적 관심이 높아지고 있다. 특히 사용자가 자발적으로 제공했든, 서비스를 이용하는 과정에서 자동으로 수집되었든 간에, ‘삭제 요청’이라는 권리를 행사할 수 있는가는 매우 중요한 문제다. 개인정보 보호법을 비롯한 관련 법령은 정보주체가 본인의 생체정보에 대해 열람·정정·삭제·처리정지 등을 요구할 수 있도록 규정하고 있으며, 이에 따른 구체적인 절차도 명시되어 있다.

이 글에서는 생체정보가 수집된 이후 어떻게 삭제 요청을 할 수 있는지, 그 절차와 법적 근거, 기관별 대응 방식, 실제 유의할 점까지 단계별로 정리해본다. 이는 자동입국 시스템, 기업 인증 시스템, 공공 생체 데이터베이스 등 다양한 상황에서 정보주체가 자신의 권리를 실질적으로 행사할 수 있도록 돕기 위한 가이드가 될 것이다.

 

생체정보 삭제 요청이 가능한 법적 근거와 정보주체의 권리

대한민국에서는 「개인정보 보호법」이 생체정보를 포함한 민감정보의 처리에 대해 가장 핵심적인 법적 틀을 제공하고 있다. 개인정보 보호법 제4조는 정보주체의 권리로서 “자신의 개인정보에 대해 열람·정정·삭제·처리정지를 요구할 수 있는 권리”를 보장하고 있으며, 생체정보도 이 조항의 적용 대상이다.

특히 생체정보는 개인정보 보호법상 ‘고유식별정보’에 해당하거나, 특정 조건에서는 ‘민감정보’로 분류되기 때문에 일반적인 정보보다 더 엄격한 보호 조치가 요구된다. 이러한 정보가 목적 외로 사용되거나 보관 기간을 초과해 저장되는 경우, 정보주체는 삭제를 요청할 수 있는 법적 권한을 가진다.

또한 공공기관이 생체정보를 수집한 경우에는 「공공기관의 개인정보 보호에 관한 법률」도 함께 적용되며, 이 경우에는 기관 내 개인정보 보호책임자(CPO)를 통해 삭제 요청을 정식으로 접수할 수 있다. 이 외에도 출입국관리법, 생명윤리법 등 개별 법령에서 생체정보 처리에 대한 제한과 삭제 권한을 명시하고 있는 사례가 늘어나고 있다.

한편, 정보주체는 삭제 요청 이전에 자신의 생체정보가 어떤 경로로 수집되었고 어디에 보관되고 있는지를 확인할 권리도 함께 가진다. 이를 위해 개인정보처리자는 수집 목적, 보유 기간, 보관 장소 등을 정보주체에게 명확히 고지해야 하며, 요청 시 이에 대한 설명을 제공해야 한다. 이처럼 법적으로 생체정보 삭제 요청은 분명히 보장된 권리이며, 그 실현을 위해서는 정보주체의 인식과 주도적인 권리 행사가 매우 중요하다.

 

생체정보 삭제 요청 절차: 공공기관과 민간기업의 대응 방식

생체정보 삭제 요청 절차는 수집 주체가 공공기관이냐 민간기업이냐에 따라 세부 절차가 조금씩 다르지만, 기본적인 흐름은 유사하다. 우선 정보주체는 해당 기관 또는 기업의 개인정보처리방침(PPP)을 확인하여 삭제 요청 접수 방법을 파악해야 한다. 대부분의 기관이나 기업은 홈페이지나 모바일 앱 내에 ‘개인정보 열람 및 삭제 요청’ 메뉴를 제공하고 있으며, 이를 통해 온라인으로 신청이 가능하다.

공공기관의 경우, 요청자는 본인임을 증명할 수 있는 신분증 또는 공인인증서를 통해 행정안전부 통합포털(https://www.privacy.go.kr) 또는 각 기관의 전자민원센터를 통해 요청을 접수할 수 있다. 예를 들어 자동입국 시스템을 이용한 경우, 출입국·외국인청 또는 인천공항공사 등의 담당 부서에 민원 신청이 가능하며, 해당 기관은 요청을 받은 후 30일 이내에 삭제 여부를 결정하고 결과를 통지해야 한다.

민간기업의 경우에도 삭제 요청은 가능하지만, 처리 속도와 대응 수준은 기업마다 다를 수 있다. 예를 들어 생체정보 기반 얼굴 인증을 사용하는 플랫폼(예: 금융 앱, 보안 출입 시스템 등)은 고객센터 또는 앱 내 개인정보 요청 메뉴를 통해 본인 확인 후 삭제를 진행한다. 다만 기록이 서버에 암호화되어 저장되어 있는 경우, ‘즉시 삭제’가 아닌 비활성화 처리 후 일정 보관 기간이 지나야 삭제되는 방식이 많다.

중요한 점은, 정보주체가 삭제 요청을 했음에도 불구하고 처리가 지연되거나 거부될 경우, 개인정보보호위원회에 신고하거나 행정심판을 청구할 수 있다는 점이다. 특히 삭제 요청을 무시하거나 정당한 사유 없이 거절할 경우에는 관련 법령에 따라 과태료나 행정처분이 가능하다. 정보주체는 이러한 법적 권리의 실효성을 확보하기 위해 절차를 정확히 인지하는 것이 매우 중요하다.

 

생체정보 삭제 요청 시 유의해야 할 사항과 예외 조항

생체정보 삭제 요청은 정보주체의 권리로 명시되어 있지만, 모든 경우에 무조건 삭제가 가능한 것은 아니다. 법적으로는 다음과 같은 예외 조항들이 존재하며, 이에 해당할 경우 기관이나 기업은 삭제 요청을 거부할 수 있다.

첫 번째는 법령에 의해 보관이 의무화된 경우다. 예를 들어 출입국관리법, 범죄수사규칙, 테러방지법 등에 따라 특정 목적을 위해 수집된 생체정보는 법적으로 일정 기간 동안 보관해야 할 의무가 있다. 이 경우 해당 정보를 삭제하면 행정상·법률상 문제가 발생할 수 있기 때문에 요청이 수용되지 않는다.

두 번째는 사법기관의 수사 중이거나, 행정절차가 진행 중인 상태에서는 생체정보 삭제가 제한될 수 있다. 예컨대 출입국 심사 기록, 공항 자동게이트 사용 기록 등이 수사에 활용 중일 경우, 해당 정보는 증거 보존의 관점에서 일정 기간 삭제가 불가능하다.

세 번째는 삭제 요청이 불명확하거나, 본인 확인이 되지 않는 경우다. 정보주체가 자신이라는 것을 명확히 입증하지 못하면, 생체정보 삭제는 개인정보 오남용 가능성을 높이기 때문에 처리되지 않는다. 따라서 삭제 요청을 하기 전에는 반드시 본인임을 입증할 수 있는 증빙자료를 준비해야 하며, 서식에 따라 요청서를 정확히 작성하는 것이 중요하다.

또한 민간기업의 경우, 서비스 해지와 생체정보 삭제가 반드시 동시에 이루어지는 것이 아니라는 점에도 주의해야 한다. 사용자가 계정을 삭제하더라도, 내부 정책상 일부 생체 인증 정보가 백업 서버에 일정 기간 남아있을 수 있으며, 이 경우 ‘완전 삭제’를 원한다면 별도의 요청 절차를 거쳐야 한다.

결국 생체정보 삭제는 단순히 “삭제해주세요”라고 요청한다고 해서 즉시 이루어지는 것이 아니며, 법률적 근거와 절차, 예외 상황에 대한 충분한 이해가 필요하다.

 

생체정보 삭제 권리를 강화하기 위한 제도적 개선 방향

생체정보 삭제 요청은 이론적으로는 법률에 보장된 권리이지만, 실제 사용자들이 이를 쉽고 명확하게 행사하기 위해서는 제도적 보완이 반드시 필요하다. 현재 개인정보 보호법상 삭제 요청은 가능하지만, 세부적인 절차나 기한, 기관별 대응 매뉴얼은 통일되어 있지 않다. 이에 따라 정보주체가 혼란을 겪거나 삭제 요청을 포기하는 사례도 발생하고 있다.

첫째, 생체정보 전용 삭제 요청 통합 플랫폼 구축이 필요하다. 현재는 기관·기업마다 삭제 요청 경로가 달라, 이용자가 어디에 어떤 방식으로 요청해야 할지 알기 어렵다. 통합된 온라인 플랫폼을 통해 기관·기업 구분 없이 생체정보 삭제를 요청하고, 그 처리 현황을 실시간으로 확인할 수 있는 시스템이 필요하다.

둘째, 생체정보 보유 및 삭제 의무의 고지제도 강화가 요구된다. 현재 일부 서비스는 생체정보를 수집하면서도 보관 기간이나 삭제 기준을 명확히 고지하지 않고 있다. 따라서 정보 제공 시점에 사용자에게 삭제 방법, 보관 기한, 삭제 불가 예외 사유 등을 반드시 안내하도록 하는 제도적 장치가 필요하다.

셋째, 삭제 거부 사유에 대한 설명 책임 강화도 필요하다. 사용자가 삭제 요청을 했음에도 불구하고 기관이나 기업이 이를 거부할 경우, 단순한 ‘법령상 불가’가 아닌, 구체적인 조항과 판단 근거를 설명해야 하며, 사용자 입장에서 수용 가능한 언어로 답변이 이루어져야 한다.

마지막으로, 민간 기업에 대한 생체정보 삭제 실태조사 및 감시체계가 정기적으로 이루어져야 한다. 생체정보는 한번 유출되면 되돌릴 수 없는 민감정보이기 때문에, 사후 대응보다는 예방과 사전 통제가 훨씬 더 중요하다. 이 모든 제도 개선은 결국 사용자의 ‘디지털 자기결정권’을 보호하기 위한 기반이며, 생체정보 시대에 개인의 권리를 실질적으로 지키는 방법이 될 것이다.