이 책의 마지막 기술 장은 코드가 아니라 책임에 관한 것입니다. 얼굴은 가장 민감한 개인정보 중 하나이고, 그것을 다루는 일에는 법적·윤리적 의무가 따릅니다. 이 장은 한국의 법 환경(이 책 집필 시점인 2026년 기준)을 중심으로 반드시 지켜야 할 원칙을 정리합니다. 다만 법은 계속 바뀌므로, 실제 적용 전에는 반드시 최신 법령과 전문가의 확인을 거쳐야 합니다. 이 장은 출발점일 뿐 법적 조언이 아닙니다.

얼굴은 민감한 개인정보다

먼저 분명히 할 것. 얼굴 이미지와 거기서 뽑은 임베딩(특징)은 개인정보입니다. 더 나아가 신원 확인 목적의 생체인식정보는 한국 개인정보 보호법에서 민감정보로 분류되어, 일반 개인정보보다 더 엄격하게 보호됩니다. 임베딩이 "숫자 목록"이라 익명 같아 보여도, 사람을 식별하는 데 쓰이면 개인정보이며 민감정보입니다.

민감정보는 원칙적으로 처리가 제한되며, 처리하려면 더 강한 근거(특히 정보주체의 별도 동의)가 필요합니다.

지켜야 할 핵심 원칙

이 원칙들은 이 책 전체에서 설계로 실천해 온 것이기도 합니다. PART 05·10에서 "임베딩만 저장하고 원본 사진은 버리기", PART 10에서 "집계만 하고 개인은 저장 안 하기", "처리 사실 고지"가 모두 이 원칙의 코드 수준 실천이었습니다.

영상·고정 카메라의 추가 규정

출입구·매장처럼 고정된 곳에서 영상으로 얼굴을 처리할 때는 추가 규정이 적용됩니다. 영상정보처리기기(CCTV 등)에 대한 별도 의무(안내판 설치, 설치 목적·범위 고지 등)가 있고, 공개된 장소에서의 무차별 얼굴 인식은 특히 민감한 영역입니다.

세계적으로도 규제가 강화되는 추세입니다. EU의 AI 규제(AI Act)는 공공장소의 실시간 원격 생체 식별을 원칙적으로 금지하거나 고위험으로 다루고, 감정 인식 같은 용도에도 제한을 둡니다(PART 08). 한국을 포함한 여러 나라가 비슷한 방향을 논의·도입하고 있어, 국내외 동향을 함께 살펴야 합니다.

동의를 설계에 녹이기

동의는 형식적 체크박스가 아니라 시스템 설계의 일부여야 합니다.

거부한 사람을 위한 대체 수단(예: 카드·비밀번호)을 함께 제공하는 것이 중요합니다. 얼굴 인증이 유일한 길이면 사실상 동의를 강요하는 셈이 되기 때문입니다. PART 09에서 라이브니스 거짓 거부에 대비해 우회 경로를 둔 것과 같은 맥락입니다.

기술자의 책임

이 책을 마치며 기억할 마지막 한 가지. 무엇을 만들 수 있는가와 무엇을 만들어야 하는가는 다른 질문입니다. 얼굴 기술은 출입을 편하게 하고 프라이버시를 보호하는(모자이크) 좋은 도구가 될 수도, 사람을 감시하고 차별하는 도구가 될 수도 있습니다. 그 갈림길에 선 것이 만드는 사람입니다.

실무 팁. 새 얼굴 기술 프로젝트를 시작할 때, 코드보다 먼저 세 가지를 문서로 적으세요. 첫째, 무슨 목적으로 누구의 얼굴을 처리하는가. 둘째, 동의·보관·파기를 어떻게 할 것인가. 셋째, 이 시스템이 틀리거나 오용되면 누가 어떤 피해를 입는가. 이 세 질문에 답하지 못하면 아직 코드를 짤 때가 아닙니다. 그리고 실제 서비스 전에는 반드시 개인정보 전문가·법률 자문을 거치세요. 이 장은 출발점일 뿐, 법적 조언을 대신하지 않습니다.

이 장에서 기억할 것

얼굴 이미지와 임베딩은 개인정보이며, 신원 확인용 생체인식정보는 민감정보로 더 엄격히 보호됩니다. 별도의 명시적 동의·목적 제한·최소 수집·보관 기간·안전 조치·고지가 핵심 원칙이고, 이 책이 설계로 실천해 온 것들입니다. 고정 카메라·공공장소 인식·감정 인식에는 추가 규정과 강화되는 국내외 규제가 적용됩니다. 동의는 대체 수단과 함께 설계하고, "만들 수 있는가"보다 "만들어야 하는가"를 먼저 묻습니다. 법은 바뀌니 실제 적용 전 전문가 확인은 필수입니다. 다음 PART 12에서 이 책 전체를 마무리합니다.