금융기관들이 획득한 생체인증 정보는 해당 금융사나 금융결제원 분산관리정보센터 등에 각각 분산된다. 이 정보는 암호화된 상태로 저장되기 때문에 금융사도 직접 정보를 열람할 수 없다. 또 다른 방법으로는 금융사가 정보를 직접 수집하지 않고 결제가 이뤄지는 스마트 기기에만 저장되는 방식도 있다.
전문가들은 생체 정보에 대한 기술표준화 작업이 미비하고, 한 번 저장되면 변경될 수 없다는 점을 우려하고 있다. 생체정보가 도난돼 타인에 의해 부정 사용될 경우도 있지만 녹내장이나 당뇨 등 질병으로 인해 홍채 정보가 바뀔 수도 있다. 또 안면마비 등으로 얼굴 근육이 변할 경우 기기가 미세한 변화를 인식하지 못할 수도 있다.
수집된 생체 정보의 소유권 문제도 해결해야 할 과제다. 신용카드사가 지문 결제를 할 경우 고객의 카드번호와 기존 신용정보, 지문 등 생체 정보는 해당 카드사 전산망에 기록된다. 만약 이 회사가 부도 나거나 타 회사에 영업양도될 경우 해당 데이터, 특히 생체인식 정보의 소유권이 그대로 양도되는 게 맞는 건지 논란의 여지가 있기 때문에 미리 대비해야 한다는 지적이다.
생체 정보가 개인의 동의 없이 무분별하게 사용될 수도 있다. 정연덕 건국대학교 법학전문대학원 교수는 "개인의 눈, 피부 색깔, 홍채, 망막, 지문, 유전정보부터 이와 연계된 다른 정보, 예를 들어 HIV양성반응, 총기소지 여부, 정치성향 등도 광범위하게 수집될 수 있다"며 "수집된 생체인식 정보가 중앙집중적으로 관리되면 오·남용될 가능성이 있다"고 지적했다.
생체정보 보관 및 감독 기관을 어떻게 구성해야 할지도 과제다. 개인정보인권도 헌법적 권리인 만큼 정부가 아닌 제3의 독립된 기구 마련이 필요하다는 주장이다.
정 교수는 "정부기관은 정보 수집 주체이기 때문에 객관적으로 명확한 보호를 하기 어렵다"며 "정부나 금융사 등 이해관계자로부터 독립된 견제 기관이 없으면 사생활침해 등 심각한 문제가 발생할 수 있다"고 말했다.