경비업체·CCTV 운영자 개인정보보호법 완전 가이드
CCTV는 이미 일상입니다. 아파트 출입구, 편의점, 주차장, 엘리베이터 — 한국인은 하루에 수십 번 카메라 앞을 지납니다. 그런데 이 카메라를 운영하는 주체 — 경비업체, 아파트 관리사무소, 건물주, 기업 보안팀 — 는 모두 개인정보처리자입니다.
PIPA는 영상정보처리기기(CCTV)에 대해 일반 개인정보보다 훨씬 엄격한 규정을 적용합니다. 이를 모르고 운영하다가 과태료를 받는 사례가 매년 늘고 있습니다.
CCTV 설치 전: 반드시 확인해야 할 것
설치가 허용되는 장소
PIPA 제25조는 CCTV 설치 목적을 제한적으로 열거합니다:
| 허용 목적 | 예시 장소 | |---------|---------| | 범죄 예방·수사 협조 | 건물 출입구, 주차장, 공용 복도 | | 시설 안전·화재 예방 | 보일러실, 전기실, 창고 | | 교통 단속·주차 관리 | 주차장 입출구 | | 산업 안전 관리 | 공장 위험 구역 |
절대 설치 금지 구역
- 화장실, 목욕탕, 탈의실 내부
- 수면 공간 (숙박업소 객실 등)
- 의료 처치 공간 (진료실 내부)
- 위 장소에 설치 시 성폭력처벌법 위반 + PIPA 위반 이중 처벌
설치 전 체크리스트
[CCTV 설치 전 필수 확인]
□ 설치 목적이 PIPA 허용 목적에 해당하는가?
□ 설치 장소가 금지 구역이 아닌가?
□ 안내판 설치 계획 수립 여부
□ 개인정보 처리방침에 CCTV 항목 추가 여부
□ 위탁 경비업체 사용 시 위탁 계약서 준비
□ 영상 저장 장치(NVR/DVR) 접근 권한 설정 계획
안내판: 법정 의무 사항
CCTV를 설치했다면 반드시 안내판을 부착해야 합니다. 안내판 없는 CCTV는 그 자체로 위법입니다.
안내판 필수 기재 항목
[CCTV 안내판 예시]
📹 CCTV 촬영 중
설치 목적: 시설 안전 및 범죄 예방
촬영 범위: 건물 출입구 및 주차장
보관 기간: 30일 (이후 자동 삭제)
관리 책임자: 홍길동 (보안팀장)
연락처: 02-1234-5678
- 안내판 크기: 잘 보이는 크기 (법정 최소 규격 없으나 식별 가능해야 함)
- 위치: 촬영 지역 입구 또는 잘 보이는 곳
- 야간 촬영 시: 야간에도 식별 가능하도록 조명 설치 권장
영상 보관 기간
법정 기준
PIPA는 영상 보관 기간을 최소한으로 규정합니다:
- 원칙: 수집 목적 달성 후 즉시 파기
- 일반 기준: 30일 이내 (대부분의 운영자가 이 기준 채택)
- 특수 목적: 사고 발생, 수사 협조 요청 등은 필요 기간 연장 가능
보관 기간별 운영 현황
| 운영 주체 | 통상 보관 기간 | 특이사항 | |---------|-------------|--------| | 아파트 관리사무소 | 30~60일 | 입주민 동의로 연장 가능 | | 상가·건물 | 30일 | 범죄 발생 시 수사 기관 요청 시까지 보관 | | 공장·물류센터 | 30~90일 | 산업재해 조사 목적 연장 가능 | | 금융기관 | 90일~1년 | 금융감독원 지침 별도 적용 |
자동 삭제 시스템 구축 권장
[NVR/DVR 자동 덮어쓰기 설정]
권장 설정:
- 저장 용량 다 찼을 때 자동 덮어쓰기 ON
- 보관 기간 초과 영상 자동 삭제 스케줄 설정
- 삭제 로그 기록 (삭제 일시, 삭제 구간 기록)
주의사항:
- 수동 삭제만 운영할 경우 담당자 휴가·퇴직 시 누락 발생
- 자동화 시스템이 가장 안전
영상 열람·제공 요청 처리
정보주체(촬영된 사람)의 열람 요청
촬영된 당사자는 자신이 찍힌 영상의 열람을 요청할 권리가 있습니다.
[열람 요청 처리 절차]
1. 요청자 신원 확인
- 본인 확인 (신분증)
- 위임 시 위임장 + 위임자·수임자 신분증
2. 해당 영상 존재 여부 확인
- 요청 일시, 장소, 본인 외관 특징 확인
3. 열람 방법 결정
- 현장 모니터 열람 (영상 반출 없음)
- 제3자 개인정보 모자이크 처리 후 제공
4. 거부 가능한 경우
- 제3자 개인정보가 과도하게 포함된 경우
- 수사 진행 중 수사 방해 우려
- 요청 영상이 이미 삭제된 경우
5. 처리 기한: 10일 이내 (1회 연장 가능)
수사기관·법원 요청
수사기관이 영상 제출을 요청하는 경우:
- 임의 제출: 수사기관 요청서 수령 후 자체 판단으로 제공 가능
- 압수영장: 법원 영장 제시 시 반드시 제공 의무
- 요청 기록 보관: 누가, 언제, 어떤 영상을 가져갔는지 기록 필수
얼굴인식 AI 카메라 — 2024년 강화된 규정
일반 CCTV와 달리 얼굴인식(안면인식) 기능이 탑재된 카메라는 훨씬 엄격한 규정이 적용됩니다.
얼굴인식 = 생체정보 처리
얼굴 특징값 추출·비교는 PIPA상 **민감정보(생체인식정보)**에 해당합니다:
- 일반 동의가 아닌 별도 명시적 동의 필요
- 동의 거부 시 서비스·출입 거부 불가 (원칙)
- 처리 목적 달성 즉시 특징값 삭제 의무
허용 가능한 얼굴인식 활용
허용 (적법한 동의 확보 시):
✅ 직원 출퇴근 관리 (동의한 직원만)
✅ 스마트폰 잠금 해제 (이용자 스스로 설정)
✅ 본인 인증 (명시적 동의 + 즉시 삭제)
허용 어려움 (현행 해석 기준):
⚠️ 불특정 다수 군중 실시간 신원 확인
⚠️ 블랙리스트 자동 감지·경보
⚠️ 마케팅 목적 감정 분석
경비업체 위탁 관계의 개인정보 책임
건물주가 경비업체에 보안을 맡기는 경우 개인정보 책임 구조:
책임 분리
- 건물주(위탁자): 설치 목적·안내판·처리방침 책임
- 경비업체(수탁자): 영상 관리·접근 통제·삭제 실행 책임
위탁 계약서 필수 기재 항목
[경비 위탁 계약서 개인정보 조항]
1. 위탁 업무 범위 (CCTV 모니터링, 영상 저장 관리 등)
2. 수탁자 준수 의무 (보관 기간, 접근 제한, 유출 금지)
3. 재위탁 금지 또는 승인 조건
4. 보안 사고 발생 시 즉시 통보 의무
5. 계약 종료 시 영상 데이터 반환 또는 파기 확인
6. 정기 교육 및 점검 의무
개인정보 침해 사례: 경비·CCTV 분야
주요 위반 유형과 제재 사례
| 위반 유형 | 처분 내용 | |---------|---------| | 안내판 미부착 | 과태료 1,000만 원 이하 | | 목욕탕·탈의실 설치 | 형사 처벌 (성폭력처벌법) | | 보관 기간 초과 | 시정명령 + 과태료 | | 수사기관 외 무단 제공 | 2년 이하 징역 또는 2,000만 원 벌금 | | 얼굴인식 동의 없이 운영 | 과태료 3,000만 원 이하 |
PipaGuard로 CCTV 운영 관리하기
CCTV 수십 대를 운영하는 건물·시설에서 안내판 현황, 보관 기간 설정, 열람 요청 처리 이력을 수작업으로 관리하기는 어렵습니다.
PipaGuard는 CCTV 운영자와 경비업체를 위한 개인정보 관리 도구입니다:
- CCTV 설치 현황 및 안내판 관리 체크리스트
- 영상 보관 기간 초과 알림
- 열람·제공 요청 처리 기록 관리
- 위탁 계약서 개인정보 조항 템플릿
핵심 요약
| 영역 | 핵심 의무 | |------|---------| | 설치 | 허용 목적·금지 구역 준수 | | 안내판 | 목적·범위·보관기간·책임자 필수 기재 | | 보관 기간 | 30일 원칙, 자동 삭제 시스템 구축 | | 열람 요청 | 10일 내 처리, 제3자 모자이크 후 제공 | | 얼굴인식 | 생체정보 — 별도 명시적 동의 필수 | | 위탁 | 계약서에 개인정보 처리 조항 반드시 포함 |
카메라가 많을수록 책임도 커집니다. 올바른 운영 절차가 법적 리스크와 분쟁을 막는 가장 확실한 방법입니다.