웨어러블·헬스케어 기기 개인정보보호법 가이드

스마트워치, 피트니스 밴드, 혈당 측정기, 수면 추적 기기는 이제 일상이 됐습니다. 하지만 이 기기들이 수집하는 심박수, 혈압, 혈당, 수면 패턴, 걸음 수 데이터는 개인정보보호법(PIPA)상 민감정보에 해당할 수 있어 일반 개인정보보다 훨씬 엄격한 규제가 적용됩니다.

1. 건강·생체 데이터와 민감정보 분류

어떤 데이터가 민감정보인가

PIPA 제23조는 건강 정보를 민감정보로 분류합니다. 웨어러블 기기에서 수집되는 데이터 중 민감정보 해당 여부를 정확히 구분해야 합니다.

| 데이터 종류 | 민감정보 여부 | 근거 | |-----------|-------------|------| | 심박수 (평균·안정 시) | 조건부 — 건강 상태 추론 가능 시 | PIPA 제23조 | | 혈당 수치 | 민감정보 | 질병 정보 직접 연결 | | 혈압 측정값 | 민감정보 | 건강 상태 직접 노출 | | 수면 패턴 분석 | 조건부 — 수면 장애 진단 목적 시 | 목적에 따라 분류 | | 걸음 수·칼로리 | 원칙적 일반 정보 | 건강 상태 직접 노출 없음 | | GPS 위치 (운동 경로) | 일반 + 위치정보 | 위치정보보호법 별도 적용 | | 심전도(ECG) 측정값 | 민감정보 | 심장 질환 정보 | | 혈중 산소포화도(SpO2) | 민감정보 | 호흡기 질환 연관 | | 스트레스 지수 | 조건부 | 정신건강 정보 연결 시 민감 |

실무 판단 기준: 특정 질병·건강 상태를 직접 추론할 수 있는 데이터라면 민감정보로 취급하는 것이 안전합니다.

2. 민감정보 수집 동의: 일반 동의와 다른 점

별도 동의가 반드시 필요

민감정보는 일반 개인정보 수집 동의와 분리된 별도의 명시적 동의를 받아야 합니다(PIPA 제23조 제1항). 앱 설치 시 일괄 동의로 처리할 수 없습니다.

올바른 동의 방식:

[건강 데이터 수집 동의 — 별도 동의 필요]

본 앱은 귀하의 건강 관리를 위해 다음 민감정보를 수집합니다:
• 심박수, 혈압, 혈중 산소포화도 (건강 이상 감지)
• 수면 패턴 데이터 (수면 질 분석)

수집 목적 외 사용 금지. 제3자 제공 시 별도 동의 획득.
보관 기간: 서비스 이용 종료 후 1년.

[동의] [거부] ← 이 두 버튼이 동일한 크기로 나란히 있어야 함

잘못된 동의 방식:

서비스 이용약관에 민감정보 수집 조항 혼입
"건강 데이터 포함 모든 정보 수집에 동의합니다" 식의 포괄적 동의
거부 버튼을 숨기거나 작게 처리

3. 건강 데이터 제3자 제공 및 활용 제한

보험사·광고주 제공의 위험

웨어러블 건강 데이터를 보험사, 의약품 회사, 광고 네트워크 등에 제공하는 것은 PIPA상 별도의 제3자 제공 동의 및 경우에 따라 민감정보 특별 동의가 필요합니다.

제3자 제공 전 체크리스트:

[ ] 제공받는 기관 명칭 고지
[ ] 제공 목적 구체적 명시
[ ] 제공 데이터 항목 열거
[ ] 제공받는 자의 보관 기간 고지
[ ] 동의 거부 권리 및 불이익 안내

실질적 주의사항:

❌ 금지: "파트너사와 데이터를 공유할 수 있습니다"
✅ 필수: "귀하의 심박수·혈압 데이터를 ○○생명보험에 
         보험료 산정 목적으로 제공합니다. 
         보관 기간 3년. 거부 가능 (단, ○○ 서비스 제한)"

익명화·가명화 처리 후 활용

완전히 익명화(재식별 불가 처리)된 데이터는 동의 없이 연구·통계에 활용 가능합니다. 가명처리 후 활용은 통계, 연구 목적으로 동의 없이 가능하지만 재식별 시도 금지 의무가 부과됩니다.

개인 수준 데이터 → 집계 → 평균 심박수 통계
(재식별 불가한 수준의 집계라면 익명 데이터로 취급 가능)

4. 제조사-앱-클라우드 간 데이터 흐름 관리

기기 → 앱 → 서버 구조에서의 책임 분산

웨어러블 에코시스템은 일반적으로 다음 구조를 가집니다:

[기기 센서] → [블루투스] → [스마트폰 앱] → [클라우드 서버] → [분석·대시보드]

각 구간에서 데이터 처리자의 PIPA 의무:

| 구간 | 처리 주체 | 주요 의무 | |------|---------|---------| | 기기 내 저장 | 기기 제조사 | 기기 분실 시 암호화, 원격 삭제 기능 | | 앱 수집·전송 | 앱 개발사 | 수집 동의, 전송 암호화(TLS 1.2+) | | 클라우드 저장 | 서버 운영사 | 접근 통제, 암호화 저장, 위탁 계약 | | 제3자 연동 (애플헬스, 삼성헬스 등) | 각 플랫폼 | 플랫폼별 약관 + 별도 동의 필요 |

애플 헬스킷·삼성 헬스 연동 시 주의: 플랫폼의 개인정보 처리방침 외에 자사 앱의 처리방침에도 연동 사실과 데이터 흐름을 명시해야 합니다.

5. 건강 앱 권한 요청 설계

최소 권한 원칙 적용

앱이 요청하는 기기 권한은 서비스 제공에 필요한 최소 범위여야 합니다. 불필요한 센서 접근은 PIPA 제16조(최소 수집 원칙) 위반입니다.

잘못된 권한 요청 패턴:

❌ 수면 추적 앱이 마이크, 카메라, 연락처 접근 요청
❌ 걸음 수 측정 앱이 SMS 읽기 권한 요청
❌ 운동 기록 앱이 상시 위치 추적 권한 요청 (운동 시간만 필요)

올바른 권한 요청 방식:

// 필요한 시점에 맥락과 함께 요청
requestPermission('health.heartRate', {
  reason: '심박수 측정으로 운동 강도를 분석합니다',
  // "항상 허용" 대신 "앱 사용 중만 허용" 기본 제안
  preferredLevel: 'while_using'
});

6. 데이터 보관 기간 및 파기

건강 데이터 보관 정책

| 데이터 종류 | 권장 보관 기간 | 삭제 방법 | |-----------|--------------|---------| | 실시간 센서 원시 데이터 | 30~90일 (집계 후 삭제) | 서버 암호화 삭제 | | 일별·주별 집계 데이터 | 1~3년 (서비스 목적) | DB 완전 삭제 | | 의료 목적 건강 기록 | 최대 10년 (의료법 적용 시) | 별도 규정 따름 | | 계정 삭제 시 건강 데이터 | 즉시 파기 (30일 이내) | 계정 삭제와 연동 |

계정 삭제 = 데이터 즉시 삭제 연동 필수: "회원 탈퇴 후 30일간 데이터 보관 후 삭제"는 허용되나, 탈퇴 후 30일 초과 보관은 원칙적 위반입니다.

7. 미성년자 건강 데이터

14세 미만 아동의 경우

PIPA 제22조의2에 따라 14세 미만 아동의 개인정보 수집은 법정대리인(부모) 동의가 필수입니다. 아동 대상 건강 추적 기능이 있는 경우:

연령 확인 절차 구현 (생년월일 입력 → 14세 미만 감지 시 부모 동의 프로세스로 전환)
아동 건강 데이터의 광고·마케팅 활용 금지 (동의와 무관)
아동 데이터는 가능한 기기 로컬 저장, 클라우드 전송 최소화

가족 공유 계정에서 자녀 건강 데이터 등록 시:
→ 보호자 계정으로 별도 동의 UI 제공
→ 아동 본인 계정과 데이터 분리 저장

8. 해외 서버 저장 및 국외 이전

웨어러블 기기 데이터를 미국, EU 등 해외 클라우드에 저장할 경우 국외 이전 동의 또는 표준계약조항(SCC) 적용이 필요합니다.

국외 이전 고지 예시:

[국외 이전 고지]
이전받는 자: Amazon Web Services (미국 버지니아)
이전 항목: 건강 측정 데이터 전체
이전 목적: 데이터 저장·분석 인프라 운영
이전 시기·방법: 측정 즉시 암호화 전송
보유 기간: 서비스 계약 기간 + 1년

GDPR 병행 적용 주의: EU 거주 사용자가 있다면 GDPR도 동시에 준수해야 하며, 건강 데이터는 GDPR 제9조 '특별 범주 데이터'로 더욱 엄격하게 규제됩니다.

9. 보안 기술 조치

건강 데이터 필수 보안 조치

PIPA 제29조(안전성 확보 조치 기준 고시)에 따라 민감정보는 일반 개인정보보다 강화된 보안이 요구됩니다.

필수 기술 조치:

전송 구간: TLS 1.2 이상 암호화
저장 구간: AES-256 암호화 (특히 건강 데이터)
접근 제어: 다중 인증(MFA) 권장, 비정상 접근 알림
기기 분실 대비: 원격 데이터 삭제 기능
로그 관리: 건강 데이터 조회·수정 이력 최소 1년 보관

# 건강 데이터 암호화 저장 예시
const encryptedData = await encrypt({
  algorithm: 'AES-256-GCM',
  data: healthRecord,
  key: userDerivedKey  // 사용자별 고유 키 파생
});

10. PipaGuard로 웨어러블 서비스 컴플라이언스 관리

웨어러블 서비스는 민감정보, 위치정보, 국외 이전이 복합적으로 얽혀 컴플라이언스 관리가 복잡합니다.

PipaGuard 지원 기능:

민감정보 수집 동의 양식 자동 생성
건강 데이터 보관 기간 만료 알림
국외 이전 고지문 템플릿 제공
정보주체 권리 행사(열람·삭제) 처리 워크플로
개인정보처리방침 자동 업데이트 가이드

무료로 시작하기: pipaguard.vercel.app

체크리스트: 웨어러블 서비스 PIPA 필수 점검

[ ] 건강·생체 데이터 항목별 민감정보 해당 여부 검토
[ ] 민감정보 별도 동의 UI 구현 (일반 약관과 분리)
[ ] 앱 권한 요청 최소화 및 맥락 제공
[ ] 제3자 제공 시 별도 동의 및 고지 절차 수립
[ ] 해외 서버 사용 시 국외 이전 고지 및 동의 처리
[ ] 건강 데이터 암호화 저장 및 전송 구현
[ ] 계정 삭제 시 건강 데이터 연동 삭제 기능 구현
[ ] 14세 미만 아동 감지 및 법정대리인 동의 절차 구현
[ ] 개인정보처리방침에 건강 데이터 처리 내용 명시
[ ] 건강 데이터 파기 이력 관리 시스템 구축

자주 묻는 질문

Q. 걸음 수나 칼로리도 민감정보인가요?

A. 걸음 수·칼로리 자체는 일반 개인정보로 취급할 수 있습니다. 하지만 이 데이터를 다른 건강 정보와 결합해 특정 질병을 추론하거나, 보험·금융 목적으로 활용한다면 민감정보로 다루는 것이 안전합니다.

Q. 스마트워치 앱이 아닌 스마트폰 앱에서 건강 데이터를 읽을 때도 동의가 필요한가요?

A. 네. 애플 헬스킷이나 삼성 헬스에서 데이터를 읽는 행위도 개인정보 처리에 해당합니다. 자사 앱 내에서 별도의 건강 데이터 수집·처리 동의를 받아야 합니다.

Q. 익명화된 건강 데이터로 AI를 학습시켜도 되나요?

A. 완전한 익명화(재식별 불가)가 전제돼야 합니다. 단순한 개인식별자 제거만으로는 부족하며, k-익명성, 차분 프라이버시 등 기술적 익명화 기준을 적용하고, 외부 전문가의 익명화 검증을 받는 것이 권장됩니다.

웨어러블 헬스케어 시장이 급성장하면서 건강 데이터를 둘러싼 규제도 강화되고 있습니다. 특히 건강 정보는 보험료 차별, 고용 불이익 등 정보주체에게 심각한 불이익을 줄 수 있어 개인정보보호위원회의 집중 감독 대상입니다. PipaGuard로 체계적인 컴플라이언스 관리를 시작하세요.

웨어러블·헬스케어 기기 개인정보보호법 가이드

1. 건강·생체 데이터와 민감정보 분류

어떤 데이터가 민감정보인가

PIPA 제23조는 건강 정보를 민감정보로 분류합니다. 웨어러블 기기에서 수집되는 데이터 중 민감정보 해당 여부를 정확히 구분해야 합니다.

실무 판단 기준: 특정 질병·건강 상태를 직접 추론할 수 있는 데이터라면 민감정보로 취급하는 것이 안전합니다.

2. 민감정보 수집 동의: 일반 동의와 다른 점

별도 동의가 반드시 필요

민감정보는 일반 개인정보 수집 동의와 분리된 별도의 명시적 동의를 받아야 합니다(PIPA 제23조 제1항). 앱 설치 시 일괄 동의로 처리할 수 없습니다.

올바른 동의 방식:

[건강 데이터 수집 동의 — 별도 동의 필요]

본 앱은 귀하의 건강 관리를 위해 다음 민감정보를 수집합니다:
• 심박수, 혈압, 혈중 산소포화도 (건강 이상 감지)
• 수면 패턴 데이터 (수면 질 분석)

수집 목적 외 사용 금지. 제3자 제공 시 별도 동의 획득.
보관 기간: 서비스 이용 종료 후 1년.

[동의] [거부] ← 이 두 버튼이 동일한 크기로 나란히 있어야 함

잘못된 동의 방식:

서비스 이용약관에 민감정보 수집 조항 혼입
"건강 데이터 포함 모든 정보 수집에 동의합니다" 식의 포괄적 동의
거부 버튼을 숨기거나 작게 처리

3. 건강 데이터 제3자 제공 및 활용 제한

보험사·광고주 제공의 위험

제3자 제공 전 체크리스트:

[ ] 제공받는 기관 명칭 고지
[ ] 제공 목적 구체적 명시
[ ] 제공 데이터 항목 열거
[ ] 제공받는 자의 보관 기간 고지
[ ] 동의 거부 권리 및 불이익 안내

실질적 주의사항:

❌ 금지: "파트너사와 데이터를 공유할 수 있습니다"
✅ 필수: "귀하의 심박수·혈압 데이터를 ○○생명보험에 
         보험료 산정 목적으로 제공합니다. 
         보관 기간 3년. 거부 가능 (단, ○○ 서비스 제한)"

익명화·가명화 처리 후 활용

개인 수준 데이터 → 집계 → 평균 심박수 통계
(재식별 불가한 수준의 집계라면 익명 데이터로 취급 가능)

4. 제조사-앱-클라우드 간 데이터 흐름 관리

기기 → 앱 → 서버 구조에서의 책임 분산

웨어러블 에코시스템은 일반적으로 다음 구조를 가집니다:

[기기 센서] → [블루투스] → [스마트폰 앱] → [클라우드 서버] → [분석·대시보드]

각 구간에서 데이터 처리자의 PIPA 의무:

애플 헬스킷·삼성 헬스 연동 시 주의: 플랫폼의 개인정보 처리방침 외에 자사 앱의 처리방침에도 연동 사실과 데이터 흐름을 명시해야 합니다.

5. 건강 앱 권한 요청 설계

최소 권한 원칙 적용

앱이 요청하는 기기 권한은 서비스 제공에 필요한 최소 범위여야 합니다. 불필요한 센서 접근은 PIPA 제16조(최소 수집 원칙) 위반입니다.

잘못된 권한 요청 패턴:

❌ 수면 추적 앱이 마이크, 카메라, 연락처 접근 요청
❌ 걸음 수 측정 앱이 SMS 읽기 권한 요청
❌ 운동 기록 앱이 상시 위치 추적 권한 요청 (운동 시간만 필요)

올바른 권한 요청 방식:

// 필요한 시점에 맥락과 함께 요청
requestPermission('health.heartRate', {
  reason: '심박수 측정으로 운동 강도를 분석합니다',
  // "항상 허용" 대신 "앱 사용 중만 허용" 기본 제안
  preferredLevel: 'while_using'
});

6. 데이터 보관 기간 및 파기

건강 데이터 보관 정책

계정 삭제 = 데이터 즉시 삭제 연동 필수: "회원 탈퇴 후 30일간 데이터 보관 후 삭제"는 허용되나, 탈퇴 후 30일 초과 보관은 원칙적 위반입니다.

7. 미성년자 건강 데이터

14세 미만 아동의 경우

PIPA 제22조의2에 따라 14세 미만 아동의 개인정보 수집은 법정대리인(부모) 동의가 필수입니다. 아동 대상 건강 추적 기능이 있는 경우:

연령 확인 절차 구현 (생년월일 입력 → 14세 미만 감지 시 부모 동의 프로세스로 전환)
아동 건강 데이터의 광고·마케팅 활용 금지 (동의와 무관)
아동 데이터는 가능한 기기 로컬 저장, 클라우드 전송 최소화

가족 공유 계정에서 자녀 건강 데이터 등록 시:
→ 보호자 계정으로 별도 동의 UI 제공
→ 아동 본인 계정과 데이터 분리 저장

8. 해외 서버 저장 및 국외 이전

웨어러블 기기 데이터를 미국, EU 등 해외 클라우드에 저장할 경우 국외 이전 동의 또는 표준계약조항(SCC) 적용이 필요합니다.

국외 이전 고지 예시:

[국외 이전 고지]
이전받는 자: Amazon Web Services (미국 버지니아)
이전 항목: 건강 측정 데이터 전체
이전 목적: 데이터 저장·분석 인프라 운영
이전 시기·방법: 측정 즉시 암호화 전송
보유 기간: 서비스 계약 기간 + 1년

9. 보안 기술 조치

건강 데이터 필수 보안 조치

PIPA 제29조(안전성 확보 조치 기준 고시)에 따라 민감정보는 일반 개인정보보다 강화된 보안이 요구됩니다.

필수 기술 조치:

전송 구간: TLS 1.2 이상 암호화
저장 구간: AES-256 암호화 (특히 건강 데이터)
접근 제어: 다중 인증(MFA) 권장, 비정상 접근 알림
기기 분실 대비: 원격 데이터 삭제 기능
로그 관리: 건강 데이터 조회·수정 이력 최소 1년 보관

# 건강 데이터 암호화 저장 예시
const encryptedData = await encrypt({
  algorithm: 'AES-256-GCM',
  data: healthRecord,
  key: userDerivedKey  // 사용자별 고유 키 파생
});

10. PipaGuard로 웨어러블 서비스 컴플라이언스 관리

웨어러블 서비스는 민감정보, 위치정보, 국외 이전이 복합적으로 얽혀 컴플라이언스 관리가 복잡합니다.

PipaGuard 지원 기능:

민감정보 수집 동의 양식 자동 생성
건강 데이터 보관 기간 만료 알림
국외 이전 고지문 템플릿 제공
정보주체 권리 행사(열람·삭제) 처리 워크플로
개인정보처리방침 자동 업데이트 가이드

무료로 시작하기: pipaguard.vercel.app

체크리스트: 웨어러블 서비스 PIPA 필수 점검

[ ] 건강·생체 데이터 항목별 민감정보 해당 여부 검토
[ ] 민감정보 별도 동의 UI 구현 (일반 약관과 분리)
[ ] 앱 권한 요청 최소화 및 맥락 제공
[ ] 제3자 제공 시 별도 동의 및 고지 절차 수립
[ ] 해외 서버 사용 시 국외 이전 고지 및 동의 처리
[ ] 건강 데이터 암호화 저장 및 전송 구현
[ ] 계정 삭제 시 건강 데이터 연동 삭제 기능 구현
[ ] 14세 미만 아동 감지 및 법정대리인 동의 절차 구현
[ ] 개인정보처리방침에 건강 데이터 처리 내용 명시
[ ] 건강 데이터 파기 이력 관리 시스템 구축

자주 묻는 질문

Q. 걸음 수나 칼로리도 민감정보인가요?

Q. 스마트워치 앱이 아닌 스마트폰 앱에서 건강 데이터를 읽을 때도 동의가 필요한가요?

Q. 익명화된 건강 데이터로 AI를 학습시켜도 되나요?

웨어러블·헬스케어 기기 개인정보보호법 가이드: 심박수부터 수면 데이터까지

웨어러블·헬스케어 기기 개인정보보호법 가이드

1. 건강·생체 데이터와 민감정보 분류

어떤 데이터가 민감정보인가

2. 민감정보 수집 동의: 일반 동의와 다른 점

별도 동의가 반드시 필요

3. 건강 데이터 제3자 제공 및 활용 제한

보험사·광고주 제공의 위험

익명화·가명화 처리 후 활용

4. 제조사-앱-클라우드 간 데이터 흐름 관리

기기 → 앱 → 서버 구조에서의 책임 분산

5. 건강 앱 권한 요청 설계

최소 권한 원칙 적용

6. 데이터 보관 기간 및 파기

건강 데이터 보관 정책

7. 미성년자 건강 데이터

14세 미만 아동의 경우

8. 해외 서버 저장 및 국외 이전

9. 보안 기술 조치

건강 데이터 필수 보안 조치

10. PipaGuard로 웨어러블 서비스 컴플라이언스 관리

체크리스트: 웨어러블 서비스 PIPA 필수 점검

자주 묻는 질문

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

웨어러블·헬스케어 기기 개인정보보호법 가이드: 심박수부터 수면 데이터까지

웨어러블·헬스케어 기기 개인정보보호법 가이드

1. 건강·생체 데이터와 민감정보 분류

어떤 데이터가 민감정보인가

2. 민감정보 수집 동의: 일반 동의와 다른 점

별도 동의가 반드시 필요

3. 건강 데이터 제3자 제공 및 활용 제한

보험사·광고주 제공의 위험

익명화·가명화 처리 후 활용

4. 제조사-앱-클라우드 간 데이터 흐름 관리

기기 → 앱 → 서버 구조에서의 책임 분산

5. 건강 앱 권한 요청 설계

최소 권한 원칙 적용

6. 데이터 보관 기간 및 파기

건강 데이터 보관 정책

7. 미성년자 건강 데이터

14세 미만 아동의 경우

8. 해외 서버 저장 및 국외 이전

9. 보안 기술 조치

건강 데이터 필수 보안 조치

10. PipaGuard로 웨어러블 서비스 컴플라이언스 관리

체크리스트: 웨어러블 서비스 PIPA 필수 점검

자주 묻는 질문

지금 바로 PIPA 컴플라이언스 점검하기

관련 글