AI 사진 보정, 얼굴 인식 앨범, 아바타 생성 앱은 사용자의 얼굴 이미지와 생체 특징점을 처리합니다. 얼굴 데이터는 PIPA상 **생체인식정보(민감정보)**에 해당할 수 있어 각별한 주의가 필요합니다.
얼굴 데이터의 법적 분류
| 처리 수준 | 민감정보 해당 여부 | 예시 | |---------|---------------|------| | 사진 파일 저장 (원본) | ❌ 사진 자체는 민감정보 아님 | 갤러리 앱 | | 얼굴 인식 (사람 감지) | ⚠️ 경계 영역 | 사진 내 사람 수 카운트 | | 얼굴 특징점 추출 | ✅ 생체인식정보 = 민감정보 | 얼굴 인식 잠금, 앨범 분류 | | 생체 측정값 저장 | ✅ 민감정보 | FaceID 벡터값 |
핵심 판단 기준: 개인을 식별하기 위해 얼굴 특징점을 추출·저장하는 순간부터 민감정보 처리.
앱 유형별 처리 분석
AI 사진 보정 앱 (스노우, 에픽 등)
- 필터·보정 효과 적용: 기기 내에서만 처리하면 민감정보 이슈 적음
- 서버로 전송하여 AI 처리: 얼굴 데이터 국외이전 발생 가능
- 처리방침에 서버 처리 여부 및 위치 명시 필수
얼굴 인식 앨범 정리 앱
- 사진 내 인물별로 그룹화 → 얼굴 특징점 추출 = 민감정보
- 기기 내 처리(온디바이스 AI): 서버 전송 없으면 위험 낮음
- 클라우드 동기화: 얼굴 데이터 서버 전송 → 민감정보 처리
처리방침 고지 예시:
"사진 내 인물을 자동 분류하기 위해 얼굴 특징점을 추출합니다.
이 데이터는 기기 내에서만 처리되며 서버로 전송되지 않습니다."
AI 아바타 생성 앱
- 사용자 얼굴 사진을 업로드하여 아바타 생성
- 얼굴 사진 서버 업로드 → 국외이전 가능성
- 생성 완료 후 원본 사진 서버 삭제 여부 명시
나이 예측·감정 분석 앱
- 얼굴로 나이·성별·감정을 추정 → 얼굴 특징점 분석 = 민감정보
- 분석 결과에 건강 상태 추론 가능성 → 더 민감
서버 전송 여부 고지 의무
사용자가 알고 싶은 핵심 정보:
처리방침 필수 기재:
□ 얼굴 데이터를 서버로 전송하는가?
□ 전송하면 어느 국가의 서버인가?
□ 서버에 얼마나 보관하는가?
□ AI 모델 학습에 활용하는가?
해외 AI 서버 처리 위탁
중국, 미국 AI 기업의 얼굴 처리 서비스를 이용하는 경우:
- 얼굴 데이터(민감정보) 국외이전 → 처리방침에 기재 필수
- 민감정보의 국외이전 → 명시적 동의 필요 (일반 정보보다 높은 기준)
동의서 예시:
□ [선택] AI 얼굴 분석을 위한 개인정보 국외이전 동의
이전받는 자: [AI 서비스사명]
이전 국가: 미국
이전 항목: 얼굴 사진, 얼굴 특징점 데이터
이전 목적: AI 얼굴 보정 처리
보관 기간: 처리 완료 후 즉시 삭제
아동 얼굴 데이터
아동(만 14세 미만)의 얼굴 데이터 처리:
- 만 14세 미만 아동 민감정보 수집: 법정대리인 동의 필수
- 아동이 이용하는 교육·게임 앱의 카메라 접근 → 특별 주의
AI 학습에 사용자 사진 활용
수집한 얼굴 사진을 AI 모델 학습에 사용하는 경우:
반드시 별도 동의 필요:
- 서비스 약관에 포함하는 것은 불충분
- 이용자가 명확히 이해하고 선택할 수 있어야 함
예시:
□ [선택] AI 모델 개선을 위한 사진 활용 동의
- 활용 방식: 가명처리 후 학습 데이터로 사용
- 거부 시 서비스 이용에 지장 없음
처리방침 기재 사항
[사진 편집·얼굴 인식 앱 개인정보 처리방침]
생체정보 처리:
- 얼굴 특징점 추출 여부: [예/아니오]
- 처리 위치: [기기 내 / 서버]
- 보관 기간: [처리 즉시 삭제 / 기간]
국외이전 (해당 시):
- 이전받는 자: [AI 서비스사]
- 이전 국가: [국가]
- 별도 동의 항목으로 관리
AI 학습 활용: [별도 선택 동의 항목]
최소 준수 체크리스트
- [ ] 얼굴 특징점 추출 시 민감정보 별도 동의
- [ ] 서버 전송 여부·국가 처리방침 명시
- [ ] 해외 AI 처리 시 국외이전 동의
- [ ] AI 학습 활용 별도 선택 동의
- [ ] 아동 얼굴 데이터 보호자 동의 절차
PIPAGuard로 사진 앱 처리방침 점검하기
처리방침 생체정보 기재, 국외이전 동의 설계, AI 학습 동의 항목을 자동으로 점검합니다.