안녕하세요. 하나은행이 바뀌고나서 자체적으로 얼굴정보를 수집하길래... 어이가없어서
상담원한테 서비스해지 및 얼굴정보 삭제 요청했습니다.
'지금은 삭제가 어렵다'라는 답변 받았습니다. (채팅내역 가지고있음)
관련해서 개인정보보호법 찾아보고, 국민신문고 통해서 금융감독원으로 민원 진행하였습니다.
아래 관련법령 및 어디어디에 저촉될지 검토해달라는 저의 논리 및 의견 첨부하였으니,
하나은행을 이용하시거나 또는 개인정보보호에 관심있으신 분들은 부디 개별적인 조치 및 신고 등에 도움 되시기 바랍니다.
감사합니다.
/////// 이하 1. 사실관계 2. 관련조항 3. 요청사항
1. 사실관계
- 하나은행이, 금번 앱 업데이트를 하면서 스마트폰 자체의 지문인식/얼굴인증 기능이 아닌, (이 경우, 스마트폰에서 '인증되었다'는 시그널만 하나은행측으로 보내는 것으로 알고 있음) 하나은행이 자체적으로 실제 사람 얼굴을 수집하는 인증 방식으로 변경함 (이 경우, 하나은
행이 직접 사람들 얼굴정보를 수집함. 인증이 안될 시, 핀번호로 대체 우회 가능한 경로 이미존재)
- 은행이 개인의 얼굴을 수집하는 것이 찜찜하여, 금일 오전 (첨부된 상담내역) 상담사 통해 해당 서비스 해지 및 정보 삭제를 요청함
- 은행측에서 '현재로써는 얼굴인증 삭제가 어려우며' 라고, 얼굴인증 삭제의 능력이 없거나 또는 의사가 없거나 또는 둘 다에 해당할 수 있는 발언을 함
- 또한 은행 서비스 약관에 의거, 탈퇴 이후에도 5년 보관이 맞다고 주장함 (위 은행 주장내역 관련, 상담채팅내역 첨부) (본 민원에는 첨부하였으나, 클리앙에는 첨부 안하였습니다)
2. 관련법령 <개인정보보호법(이하 '법')>
- 제4조(정보주체의 권리)
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
4. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리
- 제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.
- 제21조(개인정보의 파기)
① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
- 제23조(민감정보의 처리 제한)
①개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보"라 한다)를 처리하여서는 아니 된다. 다만, 다
음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.
- 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
- <대통령령(이하 '시행령'>
제18조(민감정보의 범위) 법 제23조제1항 각 호 외의 부분 본문에서 "대통령령으로 정하는 정보"란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리
하는 경우의 해당 정보는 제외한다.
3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
<다시 법>
- 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
- 제36조(개인정보의 정정ㆍ삭제)
① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그
결과를 정보주체에게 알려야 한다.
③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
- 제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
4의4. 제36조제2항(제27조에 따라 정보통신서비스 제공자등으로부터 개인정보를 이전받은 자와 제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 정정ㆍ삭제 등 필요한 조치(제38조제2항에 따른 열람등요구에 따른 필요한 조치를 포함한다)를 하지 아니하고
개인정보를 이용하거나 이를 제3자에게 제공한 정보통신서비스 제공자등
- 제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
2. 제36조제2항을 위반하여 정정ㆍ삭제 등 필요한 조치를 하지 아니하고 개인정보를 계속 이용하거나 이를 제3자에게 제공한 자
- 제75조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.
6. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여안전성 확보에 필요한 조치를 하지 아니한 자
11. 제36조제2항을 위반하여 정정ㆍ삭제 등 필요한 조치를 하지 아니한 자
3. 요청사항
- 저의 요청사항은, 해당 하나은행 앱 내 '얼굴인증 서비스의 해지' 및 '이미 저장된 얼굴인증정보의 삭제' 이고,
- 얼굴인증 서비스 없이도 은행서비스를 이용할 수 있는 시스템이 이미 갖추어져 있으므로(핀번호 입력)
- 얼굴인증 서비스의 제공은 하나은행 서비스를 이용하는데 있어서 필수적이고 최소한의 정보에 해당하지 않는 바,
1) 저의 요청사항이 법 제21조제1항 '그 개인정보가 불필요하게 되었을 때'에 해당한다고 보기 때문에, 법 제36조 제1항부터 제3항까지에 따라 개인정보의 지체없는 파기 및 복구/재생되지 아니하도록 조치 토록 하나은행 측에 요청 부탁드리며, 이에 대한 거절 시 법 제71조
제4의4호 및 법 제73조제2호, 그리고 법 제75조제1항제11호에 따른 조치 부탁드립니다.
2) 관련하여 위 하나은행측 발언(얼굴인증 삭제가 어려움)이 법 제21조 1항 위반인지 여부에 대한 검토 및 이에 따른 적절한 조치 부탁드립니다.
3) 법 제23조제1항 및 시행령 제18조제3호에 의거, 얼굴정보는 '민감정보'에 해당하는 바, 법 제23조제2항에 따라, 하나은행 측이 법 제29조에 따른 안전조치의무를 하였는지 여부에 대한 확인 및 확인결과 말씀 부탁드리며, 미비 시 법 제75조제1항제6호에 적용을 받을지 여
부에 대한 검토 및 이에 따른 적절한 조치 부탁드립니다.
4) 또한 관련하여 위 하나은행측 발언(얼굴인증 삭제가 어려우며)이, 법 제29조 안전조치 의무 위반인지 여부(쟁점: 제29조는 개인정보의 분실, 도난, 유출, 위조, 변도 또는 훼손되지 않도록 기술적, 관리적, 물리적 조치를 하여야 하는 바, 정보의 삭제기능 미비가 이에 해당될
지)에 대한 검토 및 이에 따른 적절한 조치 부탁드립니다.
5) 하나은행측이 '얼굴인증 삭제가 어렵다'라고 주장한 바, 법 제30조제1항제3의2호와 관련하여, 개인정보의 파기절차 및 파기방법에 대한 하나은행 측의 '개인정보 처리방침'을 요청합니다.
6) 위 5)의 개인정보 처리방침 관련하여 처리방침 미비 시 이에 따른 적절한 조치 부탁드리며, 처리방침이 있음에도 불구하고 삭제를 거부한 경우 역시 이에 따른 적절한 조치 부탁드립니다.
저도 모르고 얼굴 등록해놨는데, 삭제하고프네요.
그나마 정상적인 정부라 금감원 민원이 가장 효과적입니다.
어플도 이제 맘대로 사용 못하겠네요...
하나은행은 어플을 왜 이렇게 바꾼건지..
그러게말입니다.
아이포니앙에 올린다는게 모공에 올라갔네요 이런 ㅠ
저는 기술적으로 접근하고 민원을 넣었었는데, 법무적으로 올려주시니.. 훨씬 깔끔할 것 같습니다.
https://www.boannews.com/media/view.asp?idx=82285
위와 같은 기사를 보면... 이미 서버에 저장하고 있다가 털려서 바이오정보가 공공제가 되는 세상이 성큼 다가오고 있는 것 같습니다.
---
이스라엘의 두 전문가들이 접근할 수 있었던 데이터의 양은 ‘2780만 건의 기록’으로, 용량은 23 기가바이트였다고 한다. 클라이언트의 대시보드에 접근하기 위한 정보, 암호화 되지 않은 사용자 이름과 비밀번호, ID, 안전 구역에 드나든 기록, 보안 권한 등급, 집 주소, 이메일 주소, 모바일 장비 관련 정보, OS 정보가 포함된 기록들이었다.
가장 치명적이라고 꼽히는 건 지문과 안면 정보가 암호화 되지 않은 채 노출되어 있었다는 점이다. 생체 인식 기술에 사용되는 디지털 정보는 물론 이미지 정보들까지 저장되어 있었다. 이런 정보들은 비밀번호와 달리 변경이 불가능한 것이기 때문에 유출이나 노출이 절대 일어나서는 안 된다고 보안 전문가들은 수년 전부터 경고해왔는데, 그 일이 정말로 일어난 것이다.
/Vollago