.svg)
AI 솔루션 문의하기
2025년 개정된 개인정보보호법이 eKYC 업계에 미치는 파장이 만만치 않습니다. 가장 큰 변화는 얼굴인식정보가 민감정보로 명확히 규정됐다는 점입니다. 개인정보보호위원회는 지난 9월 '생체정보 보호 가이드라인'을 개정해 공개했는데, 이제 지문·얼굴·정맥·홍채 등 생체인식 특징정보 수집·이용 시 별도 동의가 필요합니다.
국내 개인정보보호법은 얼굴인식 정보를 민감정보로 규정하고 있습니다. 개인정보처리자는 민감정보를 수집·이용·제공하는 경우 정보주체의 동의를 받아야 하며, 법무부와 과학기술정보통신부가 출입국 본인확인용으로 수집한 1억 7천만 건의 얼굴 정보를 민간기업에 제공한 사건이 사회적 논란을 불러일으키기도 했습니다.
▶ 2025년 개정안 주요 변화사항
▶ 개인정보 전송요구권 도입: 정보주체가 본인 또는 지정된 기관으로 개인정보를 자유롭게 전송할 권리
▶ 자동화된 결정 거부권: AI 시스템의 완전 자동화된 결정에 대한 정보주체의 거부권 보장
▶ 생체인식정보 민감정보 포함: 별도 동의 없이는 수집·이용 불가
▶ 가명정보 결합 전문기관 지정 요건 강화: 신뢰성과 안전성 확보 방안 마련
eKYC 서비스를 제공하는 금융사들은 국내법뿐만 아니라 GDPR(General Data Protection Regulation)도 함께 고려해야 합니다. EU에 국외점포를 개설하여 영업하고 있거나, EU 고객을 대상으로 서비스를 제공하는 경우 GDPR 적용을 받기 때문입니다.
GDPR에서는 정보 주체의 권리보장을 위하여 8대 권리를 명문화하고 있습니다. 이 중 개인정보 이동권, 반대권, 자동화된 결정 관련 내용은 새롭게 도입된 개념으로, 우리나라 개인정보보호법 개정안과도 맥을 같이 합니다.
유럽 등 다른 나라에서 얼굴인식을 포함하여 개인을 식별하려는 목적으로 생체정보를 처리하는 '생체인식정보(biometrics)'를 '민감정보'로서 별도로 보호하고 있습니다. 2019년 스웨덴 개인정보 감독기구는 학교에서 얼굴인식장치 사용을 금지했고, 2020년 2월 프랑스 법원은 학교 앞 얼굴인식장치 사용을 불법으로 판결하기도 했습니다.
2024년 1월부터 본격 운영에 들어간 금융결제원의 신분증 안면인식 공동시스템은 금융권 eKYC 도입을 가속화하는 전환점이 됐습니다. 하지만 개인정보보호 측면에서는 새로운 도전이 시작됐습니다.
금융회사는 개인정보보호법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻어야 합니다. 금융위원회는 '금융분야 개인정보보호 가이드라인'을 통해 금융회사의 개인정보 관련 법률 이해도를 제고하고 자체적으로 법률을 준수하도록 안내하고 있습니다.
국내 금융기관들은 비대면 본인확인과 결제 연계 서비스에서 얼굴인식 기술을 활발히 도입하고 있습니다. 신한카드의 '신한 페이스 페이'와 같은 얼굴인식 결제 서비스가 대표적입니다. 얼굴인식 기술은 지문인식에 비해 인식 오차율이 현저히 낮으며, 지문인식 오차율은 5만분의 1인 반면 얼굴인식 오차율은 100만분의 1 수준입니다.
동의 절차의 적법성 확보
eKYC 서비스에서 얼굴인식정보는 민감정보에 해당하므로 별도의 명시적 동의가 필요합니다. 금융투자협회는 「개인정보 유출 재발방지 종합대책」 관련 금융투자업분야 개인정보 표준동의서를 개선해서 금융회사가 최소한의 정보만을 수집하고 고객도 정보제공 내용을 명확히 인지할 수 있도록 동의서 양식을 개편했습니다.
필수 동의 항목 구성
▶ 공통 필수항목: 성명, 생년월일, 연락처 등 기본 신원정보
▶ 특정기준에 따른 필수항목: 거래목적, 자금출처 등 KYC 관련 정보
▶ 상품별 필수항목: 각 금융상품 특성에 따른 추가 정보
▶ 민감정보 별도 동의: 얼굴인식정보 등 생체정보에 대한 명시적 동의
데이터 처리 및 보관 기준 준수
생체인식정보의 안전한 관리를 위해서는 처리 단계별로 총 15개의 보호조치를 준수해야 합니다. 개인정보보호위원회는 생체인식정보가 처리되는 5단계에 따라 각 처리 단계에서 필요한 보호조치를 안내하는 체계로 가이드라인을 개편했습니다.
정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 개인정보의 파기 또는 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하는 등 필요한 조치를 취해야 합니다.
2024년 3월 15일 시행 예정이 된 개인정보보호법 2차 개정안은 자동화된 결정에 대한 정보주체의 권리에 대한 절차를 마련하도록 예정되어 있습니다. AI기술의 발전으로 완전히 자동화된 시스템으로 개인정보를 처리하는 상황에서 정보주체의 권리가 보장되도록 해야 합니다.
이 결정이 생명, 신체, 재산의 이익 등 자신의 권리 또는 의무에 영향을 미치는 경우에 결정을 거부하면 기업은 적용하지 않도록 해야 합니다. 또한 인적 개입에 의한 재처리를 요구하면 그 조치 결과를 알려야 합니다.
정보주체가 설명 요구 시에는 해당 결정의 결과, 해당 결정에 사용된 주요 개인정보의 유형 및 영향 등을 포함해 간결하고 의미 있는 설명을 이해하기 쉽게 제공해야 합니다.
eKYC 솔루션을 도입하는 금융사들이 자주 놓치는 부분이 업무위탁 처리와 국외이전 관련 규정입니다. 개인정보보호법 제26조 4항에 근거하여 위탁자는 정보주체의 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 않도록 수탁자를 교육하고 처리 현황을 점검하는 등 개인정보를 안전하게 처리하는지 감독해야 합니다.
클라우드 서비스를 이용하는 경우 국외이전 문제도 고려해야 합니다. 개인정보보호법은 원칙적으로 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우에 정보주체의 개인정보를 국외로 이전할 수 있다고 규정하고 있습니다.
클라우드 서비스 제공자가 제공하는 저장 위치가 국외 리전에 구성되는 경우 해당 개인정보 처리가 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁·보관이 필요함에 대하여 개인정보처리자가 입증을 하지 못하는 경우, 개별 정보주체별로 국외 이전의 동의를 받아야 하는 어려움이 발생할 수 있습니다.
정부는 기업과 연구자들이 안전성이 확보된 환경에서 유연하게 가명화된 데이터를 분석할 수 있도록 '개인정보 안심구역' 제도를 도입했습니다. 2025년 현재 국립암센터와 한국사회보장정보원 등 5개 기관이 개인정보 안심구역 시범운영 기관으로 지정되어 운영되고 있습니다.
디지털 전환이 가속화되는 시점에서 AI 얼굴인식 기술의 개인정보보호 인증은 기업의 신뢰성과 지속가능성을 보장하는 전략적 도구가 되고 있습니다. 개정된 개인정보보호법이 지난 9월 15일부터 시행됨에 따라 개인정보 처리 과정에서 준수사항 등 많은 변화가 예상됩니다. 2024년 3월 15일 시행 예정인 개인정보보호책임자(CPO) 지정요건, 자동화된 결정에 대한 권리, 개인정보 처리 일반분야, 처리방침 평가제, 영상정보처리기기 운영규정 및 안전조치 기준, 국외이전과 제재 규정 등이 개정됨에 따라 충분한 숙지가 필요합니다.
금융사들은 eKYC 도입 시 개인정보보호법 준수를 단순한 규제 대응보다 고객 신뢰 확보의 기회로 인식해야 할 때입니다.
.svg)
.svg)
