유럽 디지털 권리 센터(noyb)는 12월 19일 목요일(12월 19일) 아일랜드에 본사를 둔 저가 항공사인 라이언에어(Ryanair)가 안면 인식을 사용하는 인증 절차에 대해 이탈리아 데이터 보호 당국(DPA)에 불만을 제기했습니다.
해당 불만 사항은 라이언에어의 검증 프로세스가 이제 EU의 일반 데이터 보호 규정(GDPR) 위반 혐의로 유럽 DPA 4곳 앞에서 활성 불만 사항의 대상이 되었음을 의미합니다.
noyb의 데이터 보호 변호사인 Felix Mikolasch는 목요일 보도 자료에서 “Ryanair는 법적 의무를 완전히 무시하고 사용자에게 매우 민감한 생체 인식 데이터를 처리하도록 불법적으로 유도하고 있습니다”라고 밝혔습니다.
Ryanair 대변인은 목요일에 Euractiv에 이메일을 통해 “Noyb의 불만을 환영하지만” 회사는 “검증 보호 장치의 효율성을 감소시키려는 역행 시도를 정당화하기 위해 noyb에 전화했습니다”라고 말했습니다.
원고에 따르면 Ryanair는 사용자가 웹사이트에서 항공편을 예약하려면 영구 계정을 만들도록 의무화하므로 GDPR의 데이터 최소화 원칙을 위반했습니다. 데이터 최소화 원칙은 기업이 필요한 만큼만 데이터를 처리해야 한다는 것을 의미합니다.
Noyb는 또한 Ryanair가 사용자에게 생체 인식 얼굴 인식을 사용하는 확인 프로세스를 선택하도록 유도한다고 믿습니다.
라이언에어는 사용자가 항공권을 예약하려고 할 때 안면인식 인증 과정을 미리 선택한다. 사용자가 탈퇴하는 경우 라이언에어에 자필 서명과 주민등록증 사본을 제공해야 합니다. Noyb는 이것이 GDPR의 동의 원칙을 침해한다고 믿습니다.
Noyb는 또한 유럽 데이터 보호 기관(EDPB)의 2022 지침을 인용하여 얼굴 인식이 사람들에게 용납할 수 없는 위험을 초래할 수 있다고 말합니다.
EDPB는 특히 2021년 의견에서 안면 인식 자동 인식을 위한 인공 지능을 금지할 것을 촉구했습니다.
Noyb는 이미 2023년 7월 스페인 DPA에 Ryanair의 관행에 대해 일반 데이터 보호 규정(GDPR) 불만 사항을 제기했습니다.
지난 5월에는 단기 임대 회사를 위한 EU 로비 조직인 eu travel tech가 프랑스 및 벨기에 데이터 개인 정보 보호 당국에 Ryanair의 검증 프로세스에 대해 두 건의 불만 사항을 제기했습니다.
GDPR 절차 규칙에 따라 스페인(AEPD), 프랑스(CNIL), 벨기에(APD-GBA) 및 이탈리아(Garante) DPA는 아일랜드 DPC(DPC)와 공동 결정에 참여할 것으로 예상됩니다. Ryanair는 더블린에 본사를 둔 회사입니다.
GDPR 조사를 둘러싼 시장 분쟁
noyb의 보도 자료에서는 “검증 절차의 실제 목적은 온라인 여행사가 라이언에어 항공편을 구매하고 이후에 웹사이트에서 재판매하기 위해 계정을 설정하는 것을 방지하는 것 같습니다”라고 밝혔습니다.
라이언에어는 또한 얼굴 인증 절차를 놓고 Opodo, eDrams, Booking.com과 같은 온라인 여행사(OTA)와 분쟁을 벌이고 있습니다.
OTA는 Ryanair가 사용자가 마켓플레이스에서 티켓을 예약하는 것을 방지하기 위해 얼굴 인식 확인 프로세스를 구축했다고 믿고 있습니다. Ryanair의 견해는 OTA가 불법적으로 행동하고 있으며 CEO인 Michael O’Leary는 이들 회사를 “해적”이라고 불렀습니다.
지난 5월 일부 OTA가 GDPR 불만 사항을 제출했을 때 Ryanair의 대변인은 Euractiv에 OTA가 “항공편을 잘못 판매”하고 있으며 Ryanair 웹사이트에서 스크린스크래핑한 데이터가 “불법적으로 획득”되었다고 말했습니다.
