다음은 우리의 일상이다. 핸드폰 전원을 켜며, 혹은 창을 열면서 지문을 인식시킴으로써 작동케 한다. 물건을 구매하며 결제하기 위해 동전/지폐를 꺼내거나 마그네틱 카드를 꺼내는 대신, 홍채 인식을 통해 활성화된, 핸드폰 앱에 내장된 신용카드를 활용한다. 회사 사무실에 들어가면서 지문을 찍으며, 혹은 홍채 인식을 통해 출입 기록을 입력한다. Covid-19 상황에서 기업들은 사무실/작업장 출입을 위해 통과하는 직원의 체온(열) 체크를 위해 원격 열 감시장치를 사용하고 있으며, 직원들의 체온 데이터는 실시간으로 기록에 남는다. 이처럼 기술의 발전에 따라 점차 더 많은 상황에서 사람(직원)들의 생체인식 데이터가 활용되고 있다. 분명한 것은, 스마트폰의 대중화가 사람들의 생체인식 데이터에 대한 인식 수용도를 별다른 저항 없이 시나브로 높였다는 점이다. 지문, 홍채 인식과 같은 기술은 첨단 문물을 대표하는 스마트폰의 필수적인 사양으로 자리잡고 있다.직원들의 생체 인식 데이터 활용에 대하여HR에서는 이러한 현상을 어떤 관점으로 바라봐야 할까? 몇몇 기업에서는 언택트 채용과정에서 인터뷰를 진행하면서 이미지 인식 기술을 통해 지원자의 표정 데이터를 수집하고 분석하는 과정을 거치고 있다. 고용주/HR 입장에서는 사전에 데이터 수집에 대한 동의를 구하는 절차를 거치고 있고, 지원자는 이에 대한 별다른 반론을 제기하지 않는다. 정확히 표현하면 하지 않는 것이 아니라 할 수 없는 것이다. 지원과정에서 지원자는 상대적으로 약자(乙)이기 때문이다. 하지만, 이러한 생체 데이터는 보다 더 민감하게 다뤄져야 하고 더 면밀한 이해가 필요하다. 데이터 침해의 경우에도 일반 데이터보다 더 심각한 위험에 처할 수 있다. 일반적인 보안 사항(암호)과는 달리 생체 데이터는 한 번 유출되면 재설정하거나 변경하기 어렵다. 그렇기 때문에 생체 인식 데이터는 법적으로도 매우 높은 수준의 규정 준수 요구를 받는다. 이런 배경에서 여기서는 직원 생체 데이터의 활용과 이와 관련된 법적 이슈 등을 통합적으로 살펴보도록 하겠다.

생체 데이터(Biometric Data)란? 먼저 생체 데이터가 무엇을 의미하는지 알아보자. 영국 정보위원회(UK Information Commissioner’s Office)와 GDPR(General Data Protection Regulation, 유럽 개인정보보호규정)에 따르면, 생체인식 데이터란 ‘개인을 고유하게 식별하기 위한 데이터’로써 지문, 홍채, 얼굴 이미지와 같이 신체적, 생리적, 또는 행동적 특성과 관련된 정보를 특정한 기술적 처리로 만든 데이터를 의미한다. 실생활에서 활용하는 예를 생각해보면, 얼굴 인식으로 스마트폰을 잠금 해제하거나 지문으로 태블릿을 잠금 해제할 때마다 우리는 생체 인식 데이터를 사용하고 있다. 한마디로, 생체 인식은 개인의 신체적/행동적 특성을 측정하여 신원을 확인하는 방법이다. 생체 데이터는 크게 신체적 특성을 지닌 데이터와 개인의 행동적 특성을 지닌 데이터로 나눌 수 있다.  ① 신체적 데이터 - 신체적 특성을 포함한 데이터로는 지문, 얼굴 이미지, 망막, 음성(목소리), 서명, DNA 등을 예로 들 수 있다.  ② 행동적 데이터 – 행동적 특성 이 발현되는 데이터로는 개인의 특정한 신체적 움직임, 특정 장소에 방문하는 패턴(네비게이션 패턴), 물건을 사용하는 방식, 그리고 특정 기기를 활용하는 패턴(예를 들어, 인터넷에서 어떤 웹사이트를 주로 방문하는지, 핸드폰에 어떤 애플리케이션을 설치하고 자주 접속하는지) 등이 포함된다. 생체 인식 데이터 사용 역사와 활용 배경 생체 인식 데이터 사용의 첫 시작은 기원전 2세기에 중국 황제가 지문으로 특정한 인장을 사용한 것에 기인한다. 이후 상업적으로 손가락 지문을 계약서 인증 방식으로 활용하기 시작하였는데, 이러한 상업적 활용의 시점은 1858년 인도의 영국 행정관 William James Herschel이 시초라고 여겨진다. 이후 생체 인식 데이터의 과학적 활용은 법의학 및 경찰 수사에서 이뤄지기 시작했다. 범죄자 식별을 위한 생체 인식 데이터 활용 배경은, 해당 데이터의 높은 정확도가 범죄 대상자를 특정하기에 유용했기 때문이다. 경찰 수사 영역에서의 이러한 활용은 약 100년 전부터 시작되었는데, 프랑스 경찰의 경우 888년에 지문을 통한 법의학 식별 장치를 활용한 바 있고, 영국에서는 1901년에, 미국에서는 1902년에 대상자의 신원 확인을 위해 생체 인식 데이터를 경찰 수사 과정에서 활용하기 시작했다. 근래에도 생체인식 데이터는 신분 확인 측면에서 많이 활용하고 있다. 비즈니스 측면에서는 특히 은행, 모바일 상거래, 그리고 개인의 신분 특정이 중요한 의료 분야, 또 국경 이동에서의 비자(visa)와 같이, 개인에 대한 정확한 식별이 중요한 분야에서 많이 쓰이고 있다. HR 측면에서는 어떨까? 가장 많이 활용하고 있는 경우는 고용주가 직원들의 생체 인식 데이터를 활용하여 직원들이 사무실에 출입하는 시간을 추적하고 모니터링하거나 회사 내부 시스템에 로그인하는 때를 기록하는 것이다. 특히, 외부에서 원격으로 회사 시스템에 접속할 때 직원 개인에 대한 신원을 제대로 확인해야 할 필요성이 높아지면서 이러한 생체인식 데이터 자취는 더욱 많이 남고, 또 기록되고 있다. 직원 생체인식 데이터 활용에 관한 법제화 고용주 혹은 HR 측면에서 가장 염려하는 바는 직원의 생체 데이터 수집 및 사용 위반으로 인하여 예상치 못한 법적 이슈가 발생하는 경우일 것이다. 이러한 관심에 맞추어 관련 법에 대한 제정도 점차 늘어나고 있다. 미국의 경우 생체 인식 데이터의 수집 및 활용을 규제하는 포괄적인 단일 연방법은 아직 없지만 2022년 초, 현시점에 논의 중이긴 하다. 지금까지는 주(state)별로 각기 다른 생체인식 개인정보 보호법을 제정하여 적용하고 있다. 대표적으로 일리노이(Illinoi)주의 경우 2008년에 BIPA(Biometric Information Privacy Act)를 통해서, 그리고 캘리포니아(California)주의 경우 CCPA(California’s Consumer Privacy Act)를 통해서 생체인식 데이터에 대한 내용를 법제화하고 있다. 해당 법률 내용을 살펴보면, 생체인식 데이터를 수집하기 위해 직원의 동의를 구하는 것뿐만 아니라 해당 데이터가 제삼자에게 공유될 때, 해당 직원에게 사전 알람을 줄 것을 요구하고 있다. 유럽의 경우는 어떨까? 2018년에 발효하여 유럽 전역의 Data Privacy 이슈를 관장하는 GDPR 역시 본인의 동의 없이 개인 식별을 목적으로 생체인식 데이터를 처리하는 것을 원칙적으로 금지하고 있다.  다만, GDPR의 경우 이러한 금지에 대한 예외 규정을 별도로 두고 있다. 관련 내용을 살펴보면 다음과 같다. –생체인식 정보 제공자가 명시적으로 동의한 경우 –고용, 사회보장, 사회보호법 분야에서 정보주체 또는 정보주체의 의무를 이행하기 위하여 생체 정보가 필요한 경우 –개인의 중대한 이익을 보호하는 것이 필수적이며 이에 별도의 동의를 구하기 어려운 경우 –법적 청구에 중요한 경우 –공중 보건 분야의 공익을 위해 필요한 경우 지문기반 인증시스템의 법적 위반사례–네덜란드 기업 “Manfield” GDPR의 발효 이후 유럽에서는 데이터 보호 위반 사례가 급증하고 있다. 예를 들어, 2019년의 경우 GDPR이 발효된 2018년에 비해 데이터 위반 관련 법률 건수가 160%나 증가했다. 이러한 사례 중 직원 생체인식 데이터와 관련된 사례를 살펴보면, 최근 네덜란드 데이터 보호국 (DPA, Dutch Data Protection Authority)이 한 회사의 직원 생체데이터 불법적 활용과 관련하여 EUR 725,000 (한화 약 10억 원)에 해당하는 벌금을 부과한 경우가 있다. 해당 회사는 네덜란드의 신발 소매업체 Manfield인데, 해당 회사는 직원들이 자신의 업무 시간을 부정하게 기록하는 것을 방지하기 위해 작업공간 출입 시 지문 입력을 필수적으로 요하는 방식을 활용하였다. 그런데 네덜란드 데이터 보호국에서는 이러한 지문 입력 절차가 사무실 출입과 관련하여 인증 또는 보안상 필수적인 것이 아니며, 특히 이러한 절차를 위해 직원 개개인에 대한 동의를 받지 않았기 때문에, 이러한 지문 데이터 수집과 활용이 불법이라고 결론지었다.  참고로 GDPR 규정에 따르면, 직원의 생체인식 데이터 수집 및 활용을 위해서는 개별적 동의뿐만 아니라, 보안 및 인증을 위해 생체인식 데이터의 활용이 필수적인 상황이어야만 한다. 즉, 위 경우에는 직원의 사무실 출입 기록을 하기 위해, 꼭 지문이나 홍채인식과 같은 생체인식 데이터를 활용하지 않더라도 다른 방법, 예를 들면, 직원 ID카드 태그나 출입키 활용 등으로도 충분히 수행할 수 있기 때문에, 생체인식 데이터의 수집 및 활용이 정당하지 않다고 본 것이다. 해당 네덜란드 기업의 사례를 좀 더 구체적으로 살펴보자. 위 사안의 경우 2017년부터 2019년까지 직원들이 사무실 출입 때마다 자신의 지문을 스캔하였다. 새롭게 입사한 직원들도 다른 직원들이 다들 그렇게 행동하니 크게 문제가 있다고 생각하지 않았고 같은 방식으로 사무실 출입 시마다 지문을 등록하고 인식하는 행동을 반복하였다. 여기서 발생한 첫 번째 문제는 이에 대한 HR팀 혹은 고용주로부터의 사전 동의와 명시적 문서가 없었다는 점이다. 기업 입장에서는 사무실에 외부인 출입을 막기 위해, 그리고 누가 언제 출입했는지 여부를 기록으로 남기기 위해 직원의 지문등록 및 인증 절차를 활용했고, 이에 대하여 직원들이 묵시적으로 동의했기 때문에 그동안 관례로 해왔다고 주장하였으나, 이는 합당한 이유로 받아들여지지 않았다. GDPR 규정, 그리고 네덜란드의 데이터 보호규정(Dutch Personal Data Protection)에 의하면, 직원 생체인식 데이터에 대한 수집 및 활용은 필수적으로 명시화되어 종이 문서 혹은 이메일 문서 형식으로 동의를 받아야 했기 때문이다. 게다가 이러한 동의를 구하는 프로세스조차도 적절한 옵션과 함께 피동의자 입장에서 공정한 선택권이 있어야 한다.  데이터 수집 및 활용에 대한 동의를 받았으면 이로써 충분한가?  네덜란드 기업의 위반 사례에서 두 번째 이유는 우리가 조금 더 깊이 생각해 볼 부분이다. 여전히 많은 경우, 데이터 보호에 있어서 사전에 공지했고, 동의를 받았으면 크게 문제가 없다고 생각하기 때문이다. GDPR 규정에 의하면 인증 및 보안 목적의 처리가 필요한 경우 생체 인식 데이터의 수집 및 활용이 허용된다. 이 경우, 고용주 혹은 HR팀에서는 건물, 사무실, 작업장의 시스템과 보안을 위해 직원 생체인식 데이터의 활용이 필수 사항인지를 판단하여야 한다. 위 기업 사례에 대한 조사 결과를 보면, 기업 측에서는 사무실에 대한 보안 목적이기보다는 직원들이 사업장 출입 기록에 대한 거짓 보고를 방지하는 목적으로 생체인식 데이터를 활용한 것으로 보았다. 이 경우 회사 측에서는 꼭 직원의 생체인식 데이터가 아니더라도 출입을 위한 카드키와 같은 다른 방식을 활용할 수 있음으로, 생체 데이터의 활용이 GDPR에서 규정하는 필수적 사항이라고 보지 않은 것이다. 생체인식 데이터 활용에 대하여 상대적으로 긍정적인 정서를 가지고 있는 스웨덴에서조차 비슷한 사례가 있다. 해당 사례는 기업의 경우는 아니지만, 네덜란드 기업 사례와 비슷한 사유의 법적 조치가 있었다. 스웨덴의 한 고등학교(Anderstorp 고등학교)에서 학생들을 대상으로 출석 확인을 위해 안면인식 기술을 활용하였다. 3주간 시범적으로 22명의 학생에 대하여 학생들의 안면 인식을 통해 출석 여부를 확인하였다. 그리고 학교에서는 매우 성공적인 시도였다고 자체 평가하였다. 기존에는 학생들의 출석을 개별적으로 호명하는 것에 전교생 기준으로 매년 약 1만 7천 시간을 소비했는데, 이러한 시간 낭비를 혁신적으로 줄일 수 있다는 주장이었다. 게다가 학교 측에서는 법적 보호자인 부모들로부터 학생들에 대하여 안면인식 기술을 활용하는 것에 대한 사전 동의를 받았기 때문에 문제가 없을 것이라 보았다. 그런데도 이에 대한 스웨덴 데이터 보호당국은 안면 인식 데이터의 수집이 GDPR 규정에 따라 볼 때 필수적이거나 대체 불가능한 방안이 아니라고 보았고, 그에 따라 $20,700(약 2,500만원)에 달하는 벌금을 부과하였다. 이처럼 기본적으로 생체인식 데이터에 대한 수집과 활용에 대하여 법률적 입장은 매우 보수적이다. 원칙적으로 금지하고 있다고 보아도 무방할 정도이다. 즉, 회사 측에서 각 직원의 동의를 받았다고 하여도 처리 과정에서 유효하다고 볼 가능성이 높지 않다. 게다가 많은 경우 기업에서는 직원과의 고용계약 종료 시, 해당 직원의 생체인식 데이터를 파기하는 절차에 대해 마련해 놓고 있지 않다. 이렇게 고려해야 할 사항이 많음에도 불구하고 생체인식 데이터의 활용이 점차 많아지는 이유는 무엇일까?  Covid-19 상황에서 직원 홍채인식 데이터의 활용 유익 3가지 장기화되어 가고 있는 Covid-19은 변화에 있어 매우 보수적이었던 HR에 많은 변화를 이끌어 내고 있다. 가장 대표적인 것이 원격근무(remote work)의 활성화이다. 하지만 산업의 특성상 그리고 업무의 특성상 원격 근무가 원천적으로 어려운 경우가 있다. 실험을 위한 기반 시설이 필요한 연구직, 혹은 생산 시설이 필요한 제조업의 현장직 등이 그러하다. 이 경우, 직원들은 계속해서 사무실로 출근을 해야 했는데, 무언가 직접적인 접촉이 일어나는 상황을 줄이고 비접촉 방식으로 전환하는 과정에서 생체인식 데이터의 활용 방식도 변화가 있었다. 단적인 예로 근무시간 기록을 위해 개인 인식이 필요한 상황에서 손 기하학 기반의 생체인식 솔루션(ex. 지문, 손 모양 등)을 활용하던 기업들은 얼굴 혹은 홍채 인식 방식으로 바꾸었다. 이 경우 직접적인 접촉이 필요 없기 때문이다. 하지만 얼굴 인식의 경우 마스크를 쓰면, 혹은 화장을 짙게 하거나 수염이 있다가 없는 경우 인식상의 오류가 종종 발생하였다. 반면 홍채 인식의 경우엔 신원 인증 프로세스상에서 특정화 작업에 별다른 영향을 받지 않기 때문에 더 선호되는 상황이다. 이러한 홍채 인식 데이터를 활용한 인식 방법은 몇 가지 장점이 있다.  ① 접촉의 여지가 없다 –앞서 언급했듯, 접촉의 여지가 없다. 안면인식에서 발생하는 마스크 및 기타 얼굴 이미지의 변화 현상에도 영향을 받지 않는다. ② 매우 높은 정확성 –각 사람의 홍채는 고유하고 유일한 정보이다. 심지어 일란성 쌍둥이조차도 서로 다른 홍채 패턴을 가지고 있다. 그렇기 때문에 홍채 인식을 통한 개인 식별력은 매우 높은 정확성을 가진다고 볼 수 있다. ③ 편의성 및 유연성 –홍채 인식 기반의 시스템을 제공하는 소프트웨어는 대부분 한 번 등록하면 관련된 모든 기관 및 장소에서의 접근 권한을 컨트롤 할 수 있다.  계속해서 활용 범위가 확장되는 생체인식 데이터  스웨덴은 여러 유럽 국가 중 생체인식 데이터 기술의 활용과 적용이 매우 활발한 국가이다. 특히Covid-19의 장기화로 인해 비접촉식 결제 솔루션이 발달하였다. 이런 방식을 가능케 하는 대표적인 기술은 피부 살갗에 마이크로칩(chip)을 이식하는 방법이다. 이미 수년 전부터 스웨덴에서는 수천 명의 사람들이 피부 겉면에 칩을 삽입하여, 집에 출입하기 위한 키(Key), 스포츠 센터의 회원권, 개인 건강정보 저장수단, 대중교통 이동 및 물건 구매 후 결제 수단 등으로 활용하고 있다. 더욱이 Covid-19으로 인한 백신 접종 여부를 확인하는 백신패스(pass) 조차도 이 칩을 통해 인증하고 있다. 물론 이런 방식은 의무가 아니고, 모든 개인에게 자율적인 선택권이 있다. 게다가 이러한 칩을 몸에 삽입하는 방식이 윤리적으로, 종교적으로, 정치적으로 반감을 사고 있는 것도 사실이다. 그럼에도 이처럼 칩을 활용하여 생체 인식 데이터의 활용 범위가 확장되고 있다는 사실 자체를 부정하기는 어렵다. 생체인식 데이터는 신체적 특성 데이터 외에 행동적 특성 데이터를 포함한다. 특정 직원이 어느 현장을 자주 방문하는지, 어떤 시간에 어느 지역을 자주 지나가는지와 같은 직원의 위치 정보는 행동적 특성에 기반한 생체인식 데이터라 할 수 있다. 이런 관점에서 휴머나이즈(Humanyze)의 생체배지를 활용한 시스템은 생각해 볼 법한 케이스이다. 휴머나이즈는 직원들의 행동 데이터를 취합 및 분석하여 비즈니스 인사이트를 도출하는 서비스를 제공한다. 예를 들어, 휴머나이즈에서 제공하는 ID배지를 패용하고 있으면 이를 통해 의사소통에 있어서 누가 어떤 사람과 어떤 빈도수 및 지속 시간을 가지고 의사소통을 했는지를 측정한다. 일례로, 이러한 측정을 바탕으로 회사 내 로비의 테이블 크기와 구조를 바꾸는 것만으로도 직원들의 의사소통 빈도수가 변화하고, 이에 따라 더 많은 상호작용과 소통, 협업이 일어난다는 관련성을 증명하였다.  마치며 – 우리는 직원들의 생체 인식 데이터에 대해 충분히 민감한가? 아무래도 HR 담당자는 일반 직원들보다 데이터에 대해 더 민감하다. 직원에 대한 프로파일과 개인 자료를 많이, 또 자주 다루기 때문이다. 게다가 동일한 HR 소속이라도, 권한이 있는 사람만 접속할 수 있게 다뤄지고 있기 때문에 HR은 데이터에 어느 정도 민감하다고 볼 수 있다. 하지만, 앞서 생체 인식 데이터에 대하여 동의를 구하는 것만으로 충분하지 않기에 GDPR 규정에 따라 법률적 조치를 부과받은 사례는 HR 담당자들로 하여금 다시금 생각을 되짚게 한다.  이런 관점에서, 첫째, 생체인식 데이터에 대한 법적인 조치와 흐름을 면밀하게 이해하고 있어야 한다. 앞서 이야기했듯 개인정보에 대한 침해 이슈가 증가함에 따라, 생체인식 데이터를 포함한 직원 개인 정보의 수집 및 활용에 대한 법률적 보호 역시 강화되고 있다. 그리고 이러한 조치에는 단순히 동의를 받는 것에 그치지 않고, 수집된 데이터를 활용하는 측면도 고려해야 한다. 즉, 생체인식 데이터를 활용해야 하는 이유가 논리적으로 타당해야 한다. 단순히 기술적으로 더 나은 방법이기 때문이 아니라, 다른 방식의 데이터 활용으로는 보안 및 인증에 한계가 있다는 점까지도 증명할 수 있어야 한다. 둘째로, 일단 법적 문제가 발생하면 기업이 불리한 입장에 놓인다는 점 역시 염두에 두어야 한다. 채용 과정에서 혹은 기존 직원들에게 생체인식 데이터의 수집 및 활용 동의를 요구하는 과정에서 고용주는 상대적인 갑(甲)의 위치에 있고, 이러한 요구를 받는 직원은 약자(乙)의 측면에 있다고 간주한다는 점 역시 기업에 잠재적인 리스크이다. 이를 사전에 방지하기 위해, 생체인식 데이터 활용을 위한 합법성, 공정성, 투명성, 목적 제한, 데이터 활용의 최소화, 정확성, 보관 및 관리에 대한 사항, 책임에 대한 여부, 등을 면밀히 검토해야 한다.  셋째로, 앞으로는 이직 또는 퇴사하는 직원이 회사에 대하여 생체인식 데이터를 포함한 개인정보 파기 절차를 물을 수 있다는 점도 간과해서는 안 될 것이다. 아직까지 그런 경우가 딱히 없었으니 별다른 대비의 필요성을 못 느낀다는 말은 타당한 사유가 되지 못한다. ‘다른 직원들도 다 하니까 그냥 하세요, 별다른 일 없을 겁니다.’라는 방식의 주먹구구식 요구는 시대에 참 많이 뒤떨어진 행태이다. 직원 관련 법적 이슈가 발생한 이후에 뒤늦게 이를 해결하기 위해 움직이는 HR이 아닌, 사전에 방지하고 준비할 수 있어야 한다.