[개인정보보호위원회]‘월드코인’ 관계사에 개인정보 보호법 위반으로 총 11억 400만 원 과징금 부과

‘월드코인’ 관계사에 개인정보 보호법 위반으로 총 11억 400만 원 과징금 부과

- 민감정보 처리에 대해 충분히 고지 후 동의 획득, 삭제기능 보장 강화, 최초 수집 목적(World ID(월드 아이디) 인증 위한 신원(사람) 증명) 외 이용 제한 등 시정명령·개선권고 병행

？ 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 9월 25일(수) 제16회 전체회의를 열고, 개인정보보호 법규를 위반한 월드코인 파운데이션(Worldcoin Foundation, 이하 ‘월드코인 재단’)과 툴스 포 휴머니티(Tools for Humanity Corporation, 이하 ‘TFH’)에 대해 총 11억 400만 원의 과징금과 시정명령 및 개선권고를 부과하기로 의결하였다.

？ 개인정보위는 올해 2월 “월드코인 측이 가상자산(‘월드코인’)을 대가로 생체정보를 무단으로 수집하고 있다”라는 민원 제기와 언론보도 등에 따라 조사에 착수하였다.

？ 조사 결과, 월드코인 재단과 월드코인 재단으로부터 개인정보 처리 업무를 위탁받은 TFH(수탁자 및 처리자(월드앱* 개발·운영 등))가 ①합법 처리 근거 없이 국내 정보주체의 홍채정보 등 개인정보를 수집**하고, ②이를 국외로 이전하면서 개인정보 보호법(이하 ‘보호법’)상 의무를 준수하지 않은 것을 확인하였다.

？ ？* 월드앱(World App) : 가상자산 지갑 애플리케이션

？ ** 국내 93,463명이 월드앱을 다운로드 받았으며, 이 중 29,991명이 홍채 인증(’24.9.6.기준)

？ 먼저, 월드코인 재단은 오브를 통해 정보주체의 홍채를 촬영한 후 이를 활용해 홍채코드를 생성하면서 국내 정보주체에게 ‘수집·이용 목적’ 및 ‘보유·이용 기간’ 등 보호법에서 정한 고지사항을 제대로 알리지 않았다.

？ ？※ 링크(‘Biometric Data Consent Form’)를 통해 생체정보 처리 관련 상세 내용을 기재하였으나, 영문으로만 공개(한글 양식은 ’24. 3. 22. 공개)

？ 특히, 홍채코드는 그 자체로 개인을 유일하게 식별할 수 있고 변경이 불가능한 민감정보(생체인식정보)로서, 우리 보호법상 처리를 위해서는 별도로 동의를 받고, 안전성 확보조치 등을 하여야 하나 이를 위반한 것이다.

？ 또한, 월드코인 재단 및 TFH가 홍채코드를 비롯해 국내 정보주체로부터 수집한 개인정보*를 독일 등 국외로 이전하면서 ‘개인정보가 이전되는 국가’, ‘개인정보를 이전받는 자의 성명(법인명) 및 연락처’ 등 보호법에서 정한 고지사항을 정보주체에게 알리지 않은 사실도 확인되었다.

？ ？* (월드코인 재단) 홍채코드 등 민감정보, (TFH) 이름, 이메일, 전화번호 등 월드앱 계정정보

？ 아울러, 월드코인 재단은 홍채코드의 삭제 및 처리정지 등을 요구할 수 있는 방법·절차를 마련하지 않았고, TFH는 월드앱 가입 시 만 14세 미만 아동의 연령 확인 절차가 미흡한 것으로 확인되었다.

？ ？※ 월드코인 재단은 조사 과정에서 홍채코드 삭제 기능을 마련하였고, 국내 홍채정보 수집을 재개하면서 현장에서 신분증 확인 절차를 도입함(’24.4월)

？ 이에 따라 개인정보위는, 월드코인 재단의 민감정보 처리 및 국외 이전 관련 의무 위반, TFH의 국외 이전 관련 의무 위반에 대해 각각 과징금을 부과하기로 결정하였다.

？ ？※ 월드코인 재단 : 7억 2,500만 원, TFH : 3억 7,900만 원

？ 또한, 월드코인 재단에는 민감정보 처리 시 별도 동의를 충실히 받을 것, 홍채정보 등 개인정보가 최초 수집 목적 외 사용되지 않도록 보장할 것과 정보주체의 요청에 따른 삭제 기능을 실효적으로 제공할 것을, TFH에는 월드앱 내 연령 확인 절차를 도입할 것, 그리고 공통적으로 개인정보 국외 이전 시 법정 고지사항을 충분히 알릴 것을 내용으로 하는 시정명령 및 개선권고를 함께 부과하였다.

？ 조사 및 심의 과정에서 월드코인 측은, 홍채코드로는 중복 가입 여부에 대한 확인만 가능하고, 특정 개인에 대한 식별은 곤란하므로 익명정보에 해당하며, 홍채코드 처리과정에 다양한 최신 기술을 적용해 보안성을 강화하고 있다고 설명하였다.

？ 이에 대해 개인정보위는, 월드코인 측이 정보주체로부터 직접 홍채 이미지를 촬영한 후 이를 활용해 홍채코드를 생성하고 있는 점, 홍채 관련 정보는 일신전속적·변경불가능한 것으로 개인별 홍채코드 역시 유일무이한 점, 그 결과 특정 개인에 귀속되어 식별자(Identifier)로 기능이 가능하고 실제로도 내부적으로 월드 아이디(World ID)와 연계되어 있는 것으로 확인되는 점 등을 종합 고려해, 보호법상 생체인식정보인 민감정보의 처리에 해당한다고 보았고, 국내 정보주체의 유효한 동의가 없어 보호법 위반으로 판단하였다.

？ 다만 앞서 제시한 시정명령 등을 통해 일정 조건들을 부과 ？ 민감정보 처리에 대해 충분히 고지 후 동의 획득, 삭제기능 보장 강화, 최초 수집 목적(월드 아이디(World ID) 인증 위한 신원(사람) 증명) 외 이용 제한 등 ？ 한 후 이를 준수하는 범위에서 민감정보의 처리 자체는 금지하지 않았다.

？ 전세계적인 인공지능(AI)·디지털 경제사회의 확산 속에, 인간의 고유한 속성인 바이오 등 민감정보의 이용과 개인 데이터의 국외 이전 또한 계속 증가하고 있어, 개인정보가 안전하게 보호되며 활용되기 위해서는, 처리자(사업자)의 보호법상 의무 및 책임에 대한 인식과 준수가 어느 때보다 강하게 요구된다.

？ 개인정보위는 앞으로도 신기술·신서비스에 대하여 개인정보 주체의 권리가 충실히 보장되며 활성화될 수 있도록 지속적으로 점검 및 지원해 나갈 계획이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사1과 김문구(02-2100-3115)