안녕하세요, 오프라인 공간을 더 똑똑하게 만드는 인공지능 스타트업 메이아이입니다.
CCTV 영상 속 방문객을 분석하는 인공지능 매쉬는 태생적으로 개인정보 보호의 개념과 밀접한 관계를 갖습니다. 따라서 매쉬 도입을 준비하는 대부분의 담당 부서는 매쉬가 개인정보보호법을 잘 준수하고 있는지 법무 검토를 하게 됩니다.
매쉬의 도입을 적극적으로 추진하고 계신 고객사와 담당자님의 수고를 덜어드리고자, 본 콘텐츠를 통해 매쉬와 관련된 개인정보보호법 조항을 정리하고 솔루션 도입 시 해야 할 일을 정리해 드리고자 합니다. 콘텐츠 말미에서는 솔루션 도입 품의에 도움을 드릴 수 있는 문서를 제공해 드릴 예정이오니, 적극 활용하시어 업무의 번거로움을 줄이시기를 바라겠습니다.
개인정보보호법을 준수하여 믿을 수 있는 솔루션
매쉬는 개인정보보호법을 준수하는 AI 분석 솔루션입니다. 많은 법률 자문과 정부 지자체에서 긍정적인 반응을 받은 바 있으며, 이미 국내 굴지의 대기업과 기관이 매쉬로 오프라인 공간의 문제를 해결하고 있습니다. 매쉬가 개인정보보호법을 준수할 수 있는 이유는 CCTV 영상을 통계 데이터로 변환하는 ‘가명 처리’ 작업을 진행하기 때문입니다. 세부 프로세스는 아래와 같습니다.
- 고객사 매장의 영상 수집 장치가 CCTV 영상 파일을 메이아이의 클라우드로 실시간 송신
- 메이아이가 자체 개발한 딥러닝 엔진이 방문객 데이터를 ‘가명 정보’로 변환
- 가명 정보 추출 직후 클라우드 내에서 원본 영상 삭제
- 도출된 가명 정보를 ‘통계 데이터’로 2차 변환
- 통계 데이터를 웹 대시보드, 보고서 등의 형태로 가공하여 고객사에게 제공
구체적인 예를 들기 위해 매쉬가 도입된 한 매장에 45세 남성 홍길동 씨가 방문했다고 가정해 보겠습니다. 매장에 설치된 CCTV에는 45세 남성 홍길동 씨의 방문 기록이 영상으로 남습니다. 그리고 매쉬는 그 영상을 클라우드로 옮겨와, 방문객의 성별과 연령대를 추론하고 동선 데이터를 추출합니다. 이때 도출되는 데이터는 ‘45세 남성 홍길동’이 아닌 ‘40대, 남성, A구역 N분 체류, 이후 B 구역으로 이동’과 같은 형식을 띕니다. 이처럼 개인을 특정하기 어려운 데이터를 ‘가명 정보’라고 부르며, 개인의 정보를 가명 정보로 변환하는 일련의 작업을 ‘가명 처리’라고 합니다.
CCTV 영상을 통계 데이터로 바꾸는 것이 적법한 이유
개인정보처리자는 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보주체의 동의 없이 가명 정보를 처리할 수 있다.
-개인정보보호법 제28조의2 제1항
지난 2020년, 국회는 가명 정보 활용 사업을 진흥시키기 위해 개인정보보호법에 위와 같은 조항을 신설한 바 있습니다. 그리고 메이아이의 비즈니스는 상기 조항에 언급된 ‘통계 작성’에 해당됩니다. 따라서 고객사는 상기 조항에 의거해, 매장 방문객에게 정보 이용 동의를 요청하는 등 고객 경험을 해칠 필요 없이 매쉬를 이용할 수 있습니다.
또한 상기 조항의 ‘가명 정보를 처리할 수 있다’라는 표현은 문언 그대로 ‘가명 정보’를 처리하는 행위와 적법하게 수집한 개인 정보를 ’가명 정보로 변환하는 절차’를 모두 포함합니다. 그러므로 관련 조항과 비즈니스 사이의 애매모호함이 추후에 문제를 일으키지 않을까 등의 염려는 접어두셔도 괜찮습니다.
덧붙이자면 개인정보보호 위원회는 메이아이와 같은 인공지능 기반 영상 정보 처리 산업의 성장세를 고려하여, 2023년에 개인정보보호법 개정과 더불어 보도자료 배포를 통해 사업을 안정적으로 영위할 수 있도록 지원하였습니다.
메이아이 역시 개인정보보호 위원회와 직·간접적으로 소통하며 비즈니스 모델을 지속적으로 검토 받아왔습니다. 이에 따라 최근 개정된 개인정보보호법 25조 제1항 제6호(영상의 별도 저장 없이 고정형 카메라를 설치하여 통계 작성이 가능한 특례)와는 무관하게, 고객사는 2020년에 신설된 조항을 통해 매쉬를 안정적으로 이용하실 수 있습니다. 솔루션 도입 품의 시 이 점도 함께 참고해 주시면 감사하겠습니다.
매쉬를 도입할 때 해야할 일은?
서두에서 묘사한 바와 같이 매쉬의 법무 검토가 마무리된 뒤에는, 다음의 2가지 작업을 수행해야 합니다. 서비스 이용 계약과 함께 진행해야 하는 ‘개인정보처리 위탁 계약 체결’과 이 내용을 방문객에게 고지하는 ‘고지 의무 수행’이 바로 그것입니다.
개인정보처리 위탁 계약 체결
메이아이는 고객사와 함께 미리 정해둔 목적(통계 작성)을 달성하기 위해, 개인 정보에 해당하는 CCTV 영상을 고객사 대신 처리해야 합니다. ‘대신 처리한다’라는 의미의 위탁 계약이 체결되면 메이아이는 이를 바탕으로 협의된 범위의 개인 정보를 최소한으로 처리할 수 있습니다. 여기서 협의된 범위란, 설치된 CCTV 중 분석 대상으로 정한 CCTV 영상만 분석한다거나 영업시간에 촬영된 영상만 분석한다 등이 될 수 있습니다.
만약 CCTV를 에스원, SK쉴더스(구 ADT 캡스), KT텔레캅 등의 국내 주요 보안 업체를 통해 설치했다면, 상기 개인정보처리 위탁 계약 절차가 익숙하실 것이라고 생각됩니다. 위 보안 업체들 역시 개인 정보에 해당하는 CCTV 영상을 미리 정해 둔 목적(보안, 시설관리 등)을 달성하기 위해 고객사의 업무를 대신 처리하기 때문입니다.
고지 의무 수행
앞서 매쉬는 2020년 신설된 조항을 통해 방문객에게 개별 동의를 받지 않아도 된다고 서술했습니다만. 메이아이에게 개인정보의 처리를 위탁하는 고객사는 다른 법률 조항에 의해 이 내용을 방문객에게 알릴 필요가 있습니다.
방문객 고지는 매장에 실물 게시판을 설치하여 CCTV 영상이 통계 작성 목적으로 취급됨을 알리는 것을 원칙으로 합니다. 그러나 매장이 다수 존재하거나 출입구가 여럿인 경우 등. 현실적인 여건이 따라주지 않는다면 홈페이지 고지로 대신할 수 있습니다. 이 경우, 웹사이트 내 개인정보처리 방침 혹은 영상정보처리기기 운영 방침 부분에 위탁 목적을 ‘통계 작성’으로, 업체 명을 ‘메이아이’로 기재하면 됩니다.
아래에 참고하실 수 있는 메이아이 고객사 예시를 첨부합니다.
이 밖에 법률적 문의 사항이 생기면?
메이아이는 고객사의 안정적인 매쉬 도입을 위해 <개인정보보호법 준수 관련 안내문>과 <고지 의무 수행 사례 및 가이드>를 문서 제공해 드리고 있습니다. 이 외의 문의 사항이 발생할 경우에는 채널톡, 이메일 등으로 궁금한 점을 전달해 주시기를 부탁드립니다. 메이아이는 어떤 궁금증도 성실하게 해결해 드릴 준비가 되어 있습니다.
