헌법기업법무행정IT/지식재산

출입국 심사 생체정보 이전 논란, 헌재 각하 결정이 남긴 기업 리스크

출입국 심사 과정에서 수집된 생체정보가 AI 개발을 위해 민간기업에 제공되며 헌법소원이 제기됐지만 헌재는 각하 결정을 내렸습니다. 이번 결정의 의미와 함께 기업이 고객 생체정보를 활용하거나 AI 데이터로 사용할 때 반드시 점검해야 할 개인정보 법적 리스크를 살펴봅니다.
법무법인 슈가스퀘어's avatar
법무법인 슈가스퀘어
Mar 07, 2026
출입국 심사 생체정보 이전 논란, 헌재 각하 결정이 남긴 기업 리스크
Contents
법무부, 출입국 심사 생체 정보 기업에 이전헌재 ‘각하 결정’의 의미와 판단 근거생체정보 활용 논란, 앞으로의 과제는AI·데이터 사업을 하는 기업이라면 주목해야 할 포인트

법무부, 출입국 심사 생체 정보 기업에 이전

공항 출입국 심사 과정에서는 여행자의 얼굴 정보 등 다양한 생체정보가 수집되죠.

이러한 생체정보는 개인정보자기결정권의 보호 대상인데요. 개인정보자기결정권은 헌법 제10조(인간의 존엄과 가치, 행복추구권) 및 헌법 제17조(사생활의 비밀과 자유)에 근거합니다. 또한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다는 대법원 판례(대법원 2014. 7. 24. 선고 2012다49933 판결)도 있습니다.

정부가 보안과 신원 확인을 위해 활용되는 생체정보를 인공지능 개발 사업에 활용하도록 민간기업에 제공하면서 개인정보 침해 논란이 제기됐습니다.

일부 시민단체와 당사자들은 생체정보 제공이 개인정보자기결정권 등을 침해한다며 헌법소원을 제기했죠. 그러나 헌법재판소는 해당 사건에 대해 본안 판단 없이 재판관 전원일치로 ‘각하’ 결정을 내렸습니다(헌법재판소 2026. 2. 26 자 2021헌마1575 결정). 즉, 생체정보 제공 행위의 위헌 여부 자체를 판단하지 않고 사건을 종결한 것입니다.

헌재 ‘각하 결정’의 의미와 판단 근거

헌법재판소에서 말하는 각하는 청구의 내용이 위헌인지 여부를 판단하기 전에 사건이 헌법소원 심판의 요건을 충족하지 못한다고 판단할 때 내려지는 결정입니다. 예를 들어 이미 문제가 된 행위가 종료되어 더 이상 기본권 침해 상태가 존재하지 않거나 청구인이 권리 침해의 직접성을 인정받기 어려운 경우 등이 이에 해당합니다.

헌법재판소가 이번 사건에서 각하 결정을 내린 핵심 이유는 권리보호이익의 부재였습니다.

문제 된 인공지능 개발 사업은 이미 종료됐고 해당 사업에 제공된 출입국 심사 생체정보 역시 모두 파기된 것으로 확인됐던 것이죠. 헌재는 이러한 상황에서는 현재 진행 중인 기본권 침해가 존재한다고 보기 어렵다고 판단했습니다. 또한 동일한 형태의 사업이 다시 진행될 가능성도 구체적으로 확인되지 않는다고 보아 헌법소원을 통해 구제할 실익이 없다고 판단했습니다.

생체정보 활용 논란, 앞으로의 과제는

이번 결정은 생체정보 제공 행위의 위헌 여부를 직접 판단한 것은 아니기 때문에 개인정보 보호와 관련된 논의 자체가 끝났다고 보기는 어렵습니다. 특히 얼굴 정보와 같은 생체정보는 개인정보 보호법 제23조에 따른 민감정보에 해당하여 일반적인 개인정보보다 훨씬 높은 수준의 보호가 요구되죠.

법무부의 해당 행위는 개인정보 보호위원회가 「출입국관리법」 제1조(목적 조항)를 수집·이용하는 근거규정으로 보기 어렵다는 견해도 있고, 법률의 근거 없이 국민의 개인정보를 인공지능 개발에 활용하는 것은 법률유보의 원칙에 반할 수 있습니다.

따라서 향후 유사한 사업이 추진될 경우에는 정보 제공의 법적 근거와 절차, 이용 범위, 보관 및 파기 기준 등을 보다 명확하게 규정할 필요가 있습니다. 이를 통해 공익적 기술 개발과 개인정보 보호 사이의 균형을 제도적으로 확보하는 것이 중요한 과제가 될 것으로 보입니다.

AI·데이터 사업을 하는 기업이라면 주목해야 할 포인트

이번 헌재 결정은 생체정보 제공의 위헌 여부 자체를 판단한 것은 아니지만 기업 입장에서는 데이터 활용 과정에서 어떤 법적 리스크가 발생할 수 있는지를 보여주는 사례이기도 합니다. 특히 최근 스타트업이나 플랫폼 기업들이 인공지능 개발이나 데이터 분석을 위해 다양한 데이터를 활용하면서 ‘수집 목적을 넘어서는 활용’이 가능한지 여부가 중요한 쟁점으로 떠오르고 있죠.

법무법인 슈가스퀘어의 데이터·AI+LAW 인사이트

👉 AI+LAW | AI로 만든 얼굴·목소리, 어디까지 써도 될까? 기업 퍼블리시티권 리스크
👉AI+LAWㅣAI가 만든 콘텐츠, 우리 회사 자산이 맞을까? MS·OpenAI vs NYT 소송이 보여준 저작권 함정
👉AI+LAWㅣAI 도입 전에 반드시 점검해야 할 5가지 법률 리스크
👉DATA+LAWㅣ쿠팡·우리카드·틱톡… 데이터 리스크 관리가 기업 생존의 기본 전략인 이유
👉DATA+LAWㅣ국내법만 지켜도 절반은 통과! 해외 규제가 어려울 땐 한국 개인정보보호법부터 점검하세요
👉인공지능기본법 시행, 지금 준비해야 할 것ㅣAI 스타트업 성장 전략 설명회 핵심 정리

문제는 많은 기업들이 서비스 운영 과정에서 고객 데이터를 수집하면서도 추후 AI 학습이나 데이터 분석에 활용할 가능성까지 충분히 고려하지 않은 채 동의 절차를 설계하는 경우가 많다는 점입니다.

기업이 고객의 생체정보를 활용하거나 제3자에게 제공하는 경우에는 법적 근거와 동의 절차가 충분히 확보되어 있는지 면밀히 검토해야 합니다. 개인정보처리자가 개인정보를 제3자에게 제공하기 위해서는 원칙적으로 정보주체의 동의가 필요한데요. 동의 시에는 제공받는 자, 이용 목적, 제공 항목, 보유 및 이용 기간, 동의 거부 권리 등을 알려야 합니다(개인정보 보호법 제17조 제1항, 제2항). 특히 정보 수집의 목적, 이용 범위, 제3자 제공 여부 등이 명확하지 않을 경우 개인정보 침해나 법적 분쟁으로 이어질 가능성이 있습니다.

법무법인 슈가스퀘어는 기업의 개인정보 보호, 데이터 활용, AI 관련 규제 대응 등 기업법무 분야에서의 자문과 분쟁 대응 경험을 바탕으로 관련 법률 서비스를 제공합니다.

[상담문의]

Share article

법무법인 슈가스퀘어 공식 블로그

RSS·Powered by Inblog