금융기관들이 획득한 생체인증 정보는 해당 금융사나 금융결제원 분산관리정보센터 등에 각각 분산된다. 이 정보는 암호화된 상태로 저장되기 때문에 금융사도 직접 정보를 열람할 수 없다. 또 다른 방법으로는 금융사가 정보를 직접 수집하지 않고 결제가 이뤄지는 스마트 기기에만 저장되는 방식도 있다.
전문가들은 생체 정보에 대한 기술표준화 작업이 미비하고, 한 번 저장되면 변경될 수 없다는 점을 우려하고 있다. 생체정보가 도난돼 타인에 의해 부정 사용될 경우도 있지만 녹내장이나 당뇨 등 질병으로 인해 홍채 정보가 바뀔 수도 있다. 또 안면마비 등으로 얼굴 근육이 변할 경우 기기가 미세한 변화를 인식하지 못할 수도 있다.
수집된 생체 정보의 소유권 문제도 해결해야 할 과제다. 신용카드사가 지문 결제를 할 경우 고객의 카드번호와 기존 신용정보, 지문 등 생체 정보는 해당 카드사 전산망에 기록된다. 만약 이 회사가 부도 나거나 타 회사에 영업양도될 경우 해당 데이터, 특히 생체인식 정보의 소유권이 그대로 양도되는 게 맞는 건지 논란의 여지가 있기 때문에 미리 대비해야 한다는 지적이다.
생체정보 보관 및 감독 기관을 어떻게 구성해야 할지도 과제다. 개인정보인권도 헌법적 권리인 만큼 정부가 아닌 제3의 독립된 기구 마련이 필요하다는 주장이다.
정 교수는 "정부기관은 정보 수집 주체이기 때문에 객관적으로 명확한 보호를 하기 어렵다"며 "정부나 금융사 등 이해관계자로부터 독립된 견제 기관이 없으면 사생활침해 등 심각한 문제가 발생할 수 있다"고 말했다.