유럽 GDPR과 한국 개인정보보호법으로 본 안면 인식 기술의 규제 차이

안면 인식 기술(Facial Recognition)은 생체 정보를 활용한 인증, 감시, 보안, 맞춤형 서비스 등 다양한 영역에서 급속히 확산하고 있다. 그러나 얼굴은 지문이나 홍채와 마찬가지로 고유한 식별 정보이자, 한 번 유출되면 변경이 불가능한 민감한 개인정보다. 이 때문에 유럽과 한국 모두 안면 인식 기술을 개인정보 보호의 최전선 이슈로 다루고 있으며, 각국은 관련 규제를 강화하거나 기준을 세분화하고 있다. 특히 유럽은 GDPR을 기반으로 생체정보의 활용을 원칙적으로 금지하면서도, 특정 조건으로 제한적으로 허용하고 있고, 최근 AI 법(AI Act)을 통해 안면 인식에 대한 추가 규제안을 확정했다. 반면 한국은 개인정보 보호법상 생체정보 보호 조항은 존재하지만, 실제 안면 인식 기술의 적용 현황과 규제 강도는 상당한 차이를 보인다. 본 글에서는 양국의 법적 기준, 기술 적용 범위, 사용자 권리 보장 수준을 비교해 보고, 기업과 서비스 운영자가 주의해야 할 사항들을 정리한다.

 

GDPR과 AI Act의 이중 프레임 – 유럽의 엄격한 규제 체계

유럽연합은 안면 인식 데이터를 GDPR에서 ‘민감정보(special categories of data)’로 명시하고, 원칙적으로 처리 금지 대상으로 분류한다. GDPR 제9조에 따르면, 생체정보는 개인의 식별을 목적으로 자동 처리되는 경우, 엄격한 요건을 충족하지 않으면 처리할 수 없다. 단, 명시적 동의가 있거나, 공익 목적, 법적 의무, 생명의 보호 등의 예외 사유에만 제한적으로 활용이 가능하다.

 

이러한 GDPR의 기본 원칙을 바탕으로, 유럽은 2024년 최종 통과된 AI 법(AI Act)에서 안면 인식 기술을 위험도에 따라 4단계로 분류하고, ‘실시간 공공 감시를 위한 안면 인식 시스템’을 고위험군으로 지정하여 사실상 공공장소에서의 실시간 안면 인식 기술을 전면 금지했다. 예외적으로는 ▲실종 아동 수색, ▲테러 방지, ▲중범죄 수사 등 극히 제한된 상황에서만 법원 또는 감독기관의 사전 승인을 거쳐 사용할 수 있다.

 

또한 유럽은 민간 기업이 안면 인식 기능을 활용할 경우, ▲데이터 처리 목적 명확화, ▲사용자의 자발적·명시적 동의 확보, ▲대체 인증 수단 제공, ▲데이터 최소화 및 보관 기간 명시 등의 기준을 충족해야 한다. 예컨대, 스마트폰의 얼굴 인식 기능처럼 사용자가 능동적으로 기능을 사용하는 경우에는 허용되지만, 소매점에서 고객의 얼굴을 몰래 촬영해 VIP 고객이나 잠재 범죄자를 식별하는 기술은 원칙적으로 불법이다. 이처럼 유럽은 안면 인식 기술에 대해 단순한 데이터 보호 수준이 아니라, 사회 윤리와 기본권 보호의 시각에서 포괄적 규제를 설정하고 있다.

 

한국 개인정보보호법과 안면 인식 – 개념은 존재하지만 실효성은 낮은 구조

한국의 개인정보보호법에서도 안면 인식 정보는 ‘생체정보’의 일종으로 민감정보에 포함된다. 개인정보보호법 제23조에 따라 민감정보는 원칙적으로 수집·이용이 금지되며, 예외적으로 정보 주체의 별도 동의를 얻거나, 법령에 명시된 경우에만 가능하다. 이에 따라 기업이나 기관이 얼굴 인식 기술을 도입할 때는 ‘동의서 작성’, ‘처리 목적의 명확화’, ‘별도 보관 정책’이 필요하다.

 

다만 현실에서는 이 기준이 형식적인 문구로 대체되거나, 내부 지침에만 의존하는 경우가 많다. 예를 들어, 기업 출입 관리 시스템, 무인 편의점의 고객 인식, 건물 보안 시스템 등에 안면 인식 기능이 도입되어 있지만, 실제로 사용자에게 별도의 사전 동의를 받거나, 얼굴 이미지의 저장 방식·보관 기간을 고지하지 않는 사례도 존재한다. 특히 “안면 인식은 단말기 내부에서만 작동하며 서버에 저장하지 않는다”는 설명만으로 법적 책임을 회피하는 사례도 다수다.

 

또한 한국에서는 아직 안면 인식 기술에 대한 행위 규제나 고위험 기술로서의 분류 체계가 존재하지 않는다. 공공기관의 경우에도 CCTV 연동 안면 인식 기능이 실험적으로 도입되는 경우가 있으며, 일부 지자체는 치안 강화를 이유로 얼굴 자동 판별 시스템을 설치하고 있다. 하지만 이에 대한 중앙정부 차원의 명확한 제어 기준은 부재하고, 실시간 인식 여부, 정보 저장 방식, 제삼자 제공 범위 등에 대한 구체적 제도화는 미비하다. 결과적으로 한국은 개념적으로는 민감정보 보호의 틀을 갖추고 있지만, 안면 인식 기술이라는 특수성과 위험성을 실질적으로 반영한 법적 장치는 부족하다.

 

실제 서비스 적용 사례 비교 – 민간과 공공에서의 온도 차

유럽에서는 안면 인식 기술의 사용이 철저하게 제한되어 있어, 민간 기업이 이를 도입할 때도 매우 조심스럽다. 예를 들어 프랑스의 한 백화점 체인은 고객 동선 분석과 고객 식별을 위한 안면 인식 시스템을 도입하려 했으나, CNIL로부터 사전 중단 명령을 받았다. 이유는 “명시적 동의가 없는 안면 식별 시도는 GDPR 및 ePrivacy 위반”이며, 대체 수단이 존재함에도 안면 인식을 전면 적용한 점에서 과도한 개인정보 침해로 간주했기 때문이다. 반면 유럽의 스마트폰 제조사나 공항 보안 시스템 등에서는 사용자의 동의와 선택권을 전제로 제한적 안면 인식 기술이 도입되고 있으며, 그 과정은 투명하게 고지되고, 기술적 보호 장치도 엄격하게 요구된다.

 

한국에서는 오히려 민간 기업에서 안면 인식이 적극 도입되는 추세다. 예를 들어 무인 카페, 스마트 편의점, 프롭테크 서비스에서는 얼굴 기반 출입 통제, 자동 결제, 고객 맞춤 서비스에 안면 인식 기술이 활용되고 있다. 다만 사용자는 자신의 얼굴 정보가 어디에 저장되는지, 삭제는 어떻게 요청할 수 있는지, 다른 인증 방법은 있는지에 대한 정보를 제대로 안내받지 못하는 경우가 많다. 이는 동의가 형식화되거나, ‘서비스 이용을 위한 필수 요소’로 구성된 구조에서 발생하는 문제다.

 

또한 공공기관에서도 시범사업이나 시청 주도의 범죄 예방 사업 등에서 안면 인식이 사전 고지 없이 사용되기도 하며, 이에 대한 법적 대응 수단은 사실상 부재한 상태다. 이러한 구조는 사용자 권리가 기술보다 한참 뒤처져 있는 한국의 현실을 보여주는 대표적인 사례라 할 수 있다.

 

법 집행과 감독기관의 역할 차이

유럽에서는 GDPR 및 AI Act를 기반으로 감독기관이 사전 개입과 사후 제재를 모두 수행할 수 있는 권한을 가진다. 예를 들어, 안면 인식 기술이 도입될 경우 기업은 사전에 데이터 보호 영향평가(DPIA)를 수행하고, 고위험 평가를 받은 기술은 감독기관의 사전 승인을 받아야 한다. 또한 민원이 접수되거나 언론 보도를 통해 기술 사용이 드러날 경우, 조사 착수 → 명령 → 과징금까지 이르는 체계가 신속하게 작동된다. 프랑스 CNIL, 독일 BfDI, 아일랜드 DPC 등은 특히 안면 인식 관련 사건에 매우 엄격하게 대응하고 있으며, 민간 기업만 아니라 공공기관의 감시 기술 활용에도 적극적으로 개입한다. 이는 안면 인식이 표현의 자유, 집회의 자유, 프라이버시 등 헌법적 권리와 충돌할 가능성이 높다는 사회적 인식이 반영된 결과다.

 

반면 한국은 개인정보보호위원회가 민감정보 보호에 대한 일반적 권한은 가지고 있지만, 안면 인식 기술 자체에 대한 별도의 가이드라인이나 평가 체계는 미비하다. 따라서 감독기관의 개입은 사후 민원이나 언론 보도에 의존하게 되며, 기업이 자율적으로 기술의 위험도를 평가하거나 보고하는 구조는 거의 없다. 기술이 선도하고 규제가 뒤따르는 구조가 반복되고 있고, 사용자는 자신의 얼굴 정보가 어디서 어떻게 활용되는지 제대로 알 권리조차 보장받지 못하는 실정이다.

 

안면 인식 기술은 편리함과 효율성이라는 이점 속에, 지속적 감시와 통제의 위험성을 동시에 품고 있는 기술이다. 유럽은 이를 개인정보 문제를 넘어 인권, 표현의 자유, 민주주의의 문제로 인식하고 있으며, GDPR과 AI 법을 통해 기술의 방향성과 윤리적 한계를 설정했다. 기술을 통제하는 것은 기술을 막는 것이 아니라, 사람을 보호하기 위한 경계선을 그리는 일이라는 철학이 담겨 있다. 한국은 법적으로 생체정보 보호 조항은 존재하지만, 실제 기술 적용 현장에서는 사용자 권리가 설계 단계에서 충분히 고려되지 않으며, 명확한 사전 고지나 대체 수단 제공 없이 안면 인식 기능이 남용되는 구조가 반복되고 있다. 앞으로는 안면 인식 기술을 도입하는 기업이라면 단지 보안이나 편의성만을 고려할 것이 아니라, ▲명시적 동의 체계 ▲데이터 보관 주기 ▲삭제 요청 처리 절차 ▲대체 인증 제공 여부 등을 반드시 포함해야 한다. 결국 안면 인식 기술의 미래는 법이 아니라 사람의 권리를 중심에 둔 기술 설계가 결정짓는다. 사용자 얼굴은 ‘데이터’가 아니라, 존중받아야 할 개인의 일부라는 인식이 서비스 기획 단계에서부터 반영되어야 한다.