개인정보보호위 진정 기자회견
“휴대전화 가입시 불법적 얼굴인식정보 처리, 시정요구하라!”
일시 및 장소: 2026. 2. 11.(수) 10:30 정부서울청사 정문(광화문 방면)
취지 및 목표
지난 2025년 12월 23일부터 휴대전화 개통 시 안면인증 시범 적용이 시작되었으며, 2026년 3월 23일부터 통신 3사 및 알뜰폰 전반에 전면 의무화될 예정임. 과학기술정보통신부는 보이스피싱 등 금융사기 범죄에 악용되는 이른바 ‘대포폰’을 근절한다는 명분을 제시하지만, 이 정책은 시민들의 개인정보 자기결정권을 과도하게 침해하는 것으로 국제 인권규범과 개인정보 보호원칙에 어긋날 뿐 아니라, 개인정보보호법을 정면으로 위반하고 있음.
‘동의’의 조건을 규정하고 있는 개인정보보호법 시행령 제17조는 ‘동의’가 정보주체의 자유로운 의사에 따라 결정되어야 한다고 규정하고 있으며, 이용자의 자유로운 의사와 무관하게 동의를 강제하는 것은 ‘적법한 동의’일 수 없음. 따라서 안면인식 의무화 정책은 아무런 법적 근거가 없는 개인정보 처리로서 위법하며, 과기정통부는 통신사에 위법한 개인정보 처리를 강요하는 것에 다름 아님.
이에 시민사회(디지털정의네트워크, 민주사회를위한변호사모임 디지털정보위원회, 정보인권연구소, 참여연대)는 본 정책이 시행되어 위법적인 개인정보 처리가 다수 발생하고 이에 따라 국민들의 개인정보자기결정권이 침해되기 전에, 개인정보보호위원회에서 이에 대한 조사를 시행하고 과기정통부 등 관계부처와 협의하는 등 필요한 조치를 할 것을 요청하는 진정을 제기하여 기자회견을 진행하고자 함.
구성
- 제목 : 개인정보보호위 진정 기자회견 “휴대전화 가입시 불법적 얼굴인식정보 처리, 시정요구하라!”
- 일시 및 장소 : 2026년 2월 11일(수) 오전 10시 30분, 정부 서울청사 정문(광화문 방면)
- 공동주최 : 디지털정의네트워크, 민주사회를위한변호사모임 디지털정보위원회, 정보인권연구소, 참여연대
- 프로그램
-
- 사회 : 최새얀(변호사, 민변 디지털정보위원회)
- 발언
-
-
- 휴대전화 가입시 안면인증 의무화 정책 경과 및 과기정통부 규탄 발언 : 구본석(변호사, 참여연대 공익법센터 운영위원)
- 휴대전화 가입시 안면인증 의무화의 개인정보보호법 위반 이유 : 최호웅(민변 디지털정보위원회 위원장)
- 본인확인을 위한 안면인증 기술의 보편적 활용의 문제점 : 희우(디지털정의네트워크 활동가)
-
- 문의 : 참여연대 공익법센터 02-723-0666, 디정넷 02-774-4551, 민변 디정위 070-5176-8163, 정보인권연구소 02-701-7687
2026년 2월 11일
디지털정의네트워크, 민변 디지털정보위원회, 정보인권연구소, 참여연대
첨부 1. 개인정보보호위원회 진정서
휴대전화 개통 시 안면인식 의무화 정책의 위헌·위법성에 관한 진정
개인정보 보호위원회 귀중
진정취지
진정인은 과학기술정보통신부가 추진 중인 휴대전화 개통 시 안면인증 의무화 정책이「개인정보 보호법」을 위반하여 정보주체의 민감정보를 위법하게 처리하고, 나아가 헌법상 개인정보자기결정권을 중대하게 침해한다고 판단하여, 이에 대한 조사 및 과학기술정보통신부 등 관계부처와의 협의 등 필요조치를 요청하고자 본 진정을 제기합니다.
진정이유
- 휴대전화 개통 시 안면인증 의무화 정책의 개요와 개인정보보호법의 적용여부
과학기술정보통신부(이하 ‘과기정통부’)는 2025. 12. 19. 보이스피싱 등 금융사기 범죄에 악용되는 이른바 대포폰을 근절한다는 명목으로 이동통신 3사 및 알뜰폰 사업자로 하여금 휴대전화 개통 절차에 안면인증을 의무적으로 도입하도록 하고, 2025. 12. 23.부터 시범운영 후 2026. 3. 23.부터 본격 시행할 예정이라고 발표하였습니다. 이에 따르면 이용자는 휴대전화 개통 또는 명의변경 시 신분증 진위 확인과 별도로 신분증 사진과 실제 얼굴을 실시간으로 대조하는 생체인증 절차를 반드시 거쳐야 하며, 이를 거부할 경우 계약 체결이 사실상 불가능하게 됩니다(이하 과기정통부의 해당 정책을 ‘안면인증 정책’이라고 하겠습니다).
2024년 12월 개인정보보호위원회가 발간한 생체정보 보호 안내서에 따르면 “생체정보”란 지문, 얼굴, 홍채, 정맥, 음성 등 ① 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 ②특정 개인을 인증식〮별하거나 ③개인에 관한 특징을 알아보기 위해 ④일정한 기술적 수단을 통해 처리되는 정보라고 정의하고 “생체인식정보”란 생체정보 중 특정 개인을 인증식〮별할 목적으로 일정한 기술적 수단을 통해 처리되는 정보라고 정의하고 있으며, 2025년 12월 개인정보보호위원회가 발간한 ‘개인정보 질의응답 모음집’에 따르더라도 ‘일반적인 얼굴 사진을 차후에 인증식〮별 등의 목적으로 일정한 기술적 수단으로 처리할 경우 해당정보는 개인정보보호법 시행령 제18조 제3호에 따른 민감정보에 해당한다고 설명하고 있습니다.
결국 안면인증 정책은 안면인증을 위하여 개인의 얼굴을 인증식〮별할 목적으로 일정한 기술적 수단을 통해 처리되는 정보를 생성하는 것이므로 생체인식정보를 활용한 정책이라고 할 것이고 생체인식정보 처리에는 개인정보보호법 제23조가 적용되어야 한다고 할 것입니다.
- 안면인증 정책의 개인정보보호법 위반
가. 개요
개인정보 보호법에서는 생체인식정보를 민감정보로 규정하고 원칙적으로 그 처리를 금지하고 있습니다. 다만, ①그 처리에 정보주체의 동의를 받는 경우이거나, ②법령에서 민감정보의 처리를 요구하거나 허용하는 경우에만 예외적으로 개인정보처리자가 민감정보를 처리할 수 있습니다[동법 제23조(민감정보의 처리 제한)].
하지만 ‘안면인증’은 위와 같이 원칙적으로 처리가 금지되고 있는 생체인식정보를 처리할 수 있는 예외 사유에 해당하지 않음에도 강제하고 있는 위법한 정책이라고 판단되는 바입니다.
나. 정보주체의 동의 여부
해당 정책은 휴대폰통신 사업자로 하여금 이용자의 휴대폰 개통 시 휴대폰 본인확인방식으로 안면인증을 반드시 하도록 하고 있습니다. 즉 비대면 형식으로 휴대폰을 개통할 때뿐만 아니라 이동통신3사의 이동통신서비스를 받기 위하여 휴대폰 매장에서 대면으로 개통할 경우까지, 휴대폰 개통을 위한 모든 경우 이용자는 반드시 안면인식을 통하여 자신의 생체인식정보를 제공하고 안면인증을 받도록 강제하고 있습니다.
개인정보 보호법 시행령에서는 ‘동의를 받는 방법’으로 ①정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것, ②동의를 받으려는 내용이 구체적이고 명확할 것, ③그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것, ④동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것이라고 규정하고 있습니다(동시행령 제17조 제1항).
해당 규정에서 동의는 정보주체의 ‘자유로운 의사’에 의하여 결정되어야 하는 것을 명시적으로 규정하고 있으며, 정보주체의 ‘자유로운 의사’가 아닌 동의가 강제되는 경우에는 적법한 ‘동의’가 없었다고 판단되어야 할 것입니다.
안면인증 정책상 휴대전화 개통을 위해 안면정보 제공이 필수적이게 되고 이를 거부할 경우 휴대폰 개통을 위한 계약 체결이 불가능한 상황에서 이루어지는 소비자들의 동의는 자유로운 의사에 기초한 동의라고 보기 어렵습니다. 「개인정보 보호법 시행령」 제17조는 동의가 정보주체의 자유로운 선택에 의하여 이루어질 것을 명시하고 있으나, 본 사안에서 이용자는 다른 대체수단 없이 안면정보 제공을 강요받고 있으므로 이는 실질적인 의미의 적법한 동의에 해당하지 않습니다.
따라서, 안면인증 정책은 민감정보인 얼굴 정보를 적법하게 처리하기 위하여 예외적으로 허용되는 정보주체로부터 ‘동의’요건을 갖추지 못한 위법한 개인정보 처리라고 할 것입니다.
다. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우인지 여부
휴대폰 개통 시 부정이용 방지를 위한 본인확인절차에 관하여는 전기통신사업법 및 동 시행령에서 아래와 같이 규정하고 있습니다.
| 전기통신사업법 제32조의4(이동통신단말장치 부정이용 방지 등)
①누구든지 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다. 각호 생략 ②전기통신역무의 종류, 사업규모, 이용자 보호 등을 고려하여 대통령령으로 정하는 전기통신사업자는 전기통신역부 제공에 관한 계약을 체결하는 경우(전기통신사업자를 대리하거나 위탁받아 전기통신역무의 제공을 계약하는 대리점과 판매점을 통한 계약 체결을 포함한다) 계약 상대방의 동의를 받아 제32조의5제1항에 따른 부정가입방지시스템 등을 이용하여 본인 여부를 확인하여야 하고, 본인이 아니거나 본인 여부 확인을 거부하는 경우 계약의 체결을 거부할 수 있다. 전기통신역무 제공의 양도, 그 밖에 이용자의 지위승계 등으로 인하여 이용자 본인의 변경이 있는 경우 해당 변경에 따라 전기통신역무를 제공받으려는 자에 대하여도 또한 같다. ③제2항에 따라 본인 확인을 하는 경우 전기통신사업자는 계약 상대방에게 주민등록증(모바일 주민등록증을 포함한다), 운전면허증 등 본인임을 확인할 수 있는 증서 및 서류의 제시를 요구할 수 있다. ④제2항에 따른 본인 확인방법, 제3항에 따른 본인임을 확인할 수 있는 증서 및 서류의 종류 등에 필요한 사항은 대통령령으로 정한다. 전기통신사업법 시행령 제37조의7(계약 체결 시 본인확인) ① 법 제32조의4제2항에서 “대통령령으로 정하는 전기통신사업자”란 「이동통신단말장치 유통구조 개선에 관한 법률」 제2조제1호에 따른 이동통신서비스를 제공하는 전기통신사업자를 말한다. ② 제1항에 따른 전기통신사업자는 법 제32조의4제3항 및 제4항에 따라 계약 상대방(법정대리인을 포함한다. 이하 이 조에서 같다)이 제출하는 다음 각 호의 어느 하나에 해당하는 증서 및 서류를 통하여 계약 상대방이 본인임을 확인하여야 한다. 이 경우 정보통신망을 이용하여 계약을 체결하는 때에는 「전자서명법」 제2조제2호에 따른 전자서명(서명자의 실지명의를 확인할 수 있는 것으로 한정한다)을 통한 확인으로 대체할 수 있다. <개정 2020. 12. 8., 2023. 5. 23., 2024. 12. 3.> 1. 개인: 주민등록증(모바일 주민등록증을 포함한다), 운전면허증, 장애인등록증, 국가보훈등록증 또는 대한민국 여권 2. 법인: 사업자등록증 또는 고유번호증 3. 법인이 아닌 단체: 고유번호증 4. 외국인 및 재외국민: 외국인등록증, 주민등록증(모바일 주민등록증을 포함한다), 국내거소신고증 또는 여권 ③ 제1항에 따른 전기통신사업자는 법 제32조의5제1항에 따른 부정가입방지시스템(이하 “부정가입방지시스템”이라 한다)을 이용하여 제2항 각 호의 증서 및 서류의 진위 여부를 확인하여야 한다. ④ 제1항에 따른 전기통신사업자는 제2항 및 제3항에도 불구하고 계약 상대방이 제2항 각 호의 증서 및 서류를 제출할 수 없거나 부정가입방지시스템으로 제2항 각 호의 증서 및 서류의 진위 여부를 확인할 수 없는 경우에는 제2항 각 호의 증서 및 서류에 준하는 것으로서 해당 전기통신사업자가 이용약관으로 정하는 증서 등을 통하여 계약 상대방이 본인임을 확인하여야 한다. |
위에서 확인할 수 있는 바와 같이 전기통신사업자의 본인임을 확인하는 구체적 절차에 대하여는 대통령령으로 위임하고 있는데, 전기통신사업법 시행령에서는 부정가입방지시스템을 이용하여 주민등록증을 포함한 증서 및 서류의 진위 여부를 확인하도록 규정하고 있을 뿐 본인확인 절차에 이용자가 얼굴정보를 제공하여 안면인증을 하도록 하는 별도규정을 두고 있지 않습니다.
따라서, 휴대폰 개통 시 본인확인을 위한 안면인증 의무화는 민감정보인 생체인식정보를 처리함에 있어서 법령에 근거 없이 강제하는 것으로 개인정보 보호법을 위반하는바 안면인증 정책의 재고가 필요합니다.
- 안면인증 정책의 개인정보자기결정권 침해
가. 헌법상 기본권인 ‘개인정보자기결정권’
개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리로서, 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장됩니다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있습니다(헌재 2005. 7. 21. 2003헌마282, 헌재 2015. 6. 25. 2014헌마463 참조).
즉, 얼굴정보는 개인의 인격주체성을 특정 짓는 사항으로서 헌법 상 기본권인 개인정보자기결정권의 보호대상이 된다고 할 것입니다.
나. 개인정보자기결정권 침해 여부
휴대폰 개통 시 안면인증은 헌법 상 기본권인 개인정보자기결정권을 제한하고 있음에도 앞에서 살핀 바와 같이 안면인증 정책은 법률에 특별한 근거 규정이 존재하지 않습니다. 따라서 안면인증 정책은 국민의 기본권을 제한하기 위하여는 법률로써 제한할 수 있다는 법률유보의 원칙을 위반하여 그 자체로도 위헌적 정책입니다.
더 나아가 이하에서는 만약 안면인증 정책이 법률 상 근거를 가지고 국민의 개인정보자기결정권을 제한하게 된다고 하더라도, 아래와 같은 이유로 과잉금지원칙에 반하여 위헌적인 정책에 해당하므로 철회되어야 합니다.
1) 기본권 제한원리로서 과잉금지원칙
과잉금지원칙은 헌법 제37조 제2에 근거하며, 법률에 의하여 기본권을 제한할 때는 반드시 ①목적의 정당성, ②수단의 적합성, ③침해의 최소성, ④법익의 균형성이라는 네 가지 요건을 모두 충족해야 한다는 원칙을 의미합니다.
즉, 기본권을 제한하는 법률의 입법목적이 헌법과 법률의 체계상 정당한 것이어야 하고, 입법자가 선택한 수단이 입법목적을 달성하기에 적합하고 효과적이어야 하며, 입법목적을 달성할 수 있는 여러 수단 중에서 국민의 기본권을 가장 적게 침해하는 수단을 선택해야 하고, 법률에 의해 보호하려는 공익과 그로 인해 침해되는 기본권을 비교형량하여 보호되는 공익이 침해되는 기본권보다 더 커야 할 것입니다.
2) 안면인증 제도의 과잉금지원칙 위반 검토
① 우선, 목적의 정당성을 살펴보겠습니다. 과기정통부는 안면인증 의무화의 목적은 보이스피싱 등 금융사기 범죄에 악용되는 대포폰을 근절하여 민생범죄를 근절하기 위한 것임을 밝히고 있습니다. 해당 목적 자체는 다수의 국민으로부터 범죄피해를 막기 위한 것으로 정책목적의 정당성은 인정할 수 있다고 할 것입니다.
② 그러나, 안면인증 정책이 위와 같은 목적 달성을 위한 적합한 수단인지 여부에서부터 의문을 제기할 수밖에 없습니다. 과기정통부에서 2025년 12월 19일자로 안면인증 제도 보도자료를 보면 대포폰 적발 현황에서 2024년도 현재 전체 대포폰 중 알뜰폰이 92.3%를 차지하고 있습니다(첨부1. 보도자료 제2면). 대포폰 대부분이 알뜰폰으로 이루어지고 있음을 알 수 있는데, 대부분 비대면 방식으로 휴대폰을 개통하는 알뜰폰 통신사의 경우 안면인증 시스템 도입에 많은 준비가 필요한 상황이고 순차적으로 안면인증 제도를 도입할 수밖에 없다고 과기정통부 스스로 인정하고 있습니다.
또한, 외국인에 의한 대포폰 개통 시 외국인 신분 확인에 대한 안면인증 시스템 역시 아직 마련 중인 상황이라고 합니다. 외국인 명의로 대포폰이 개통되어 범죄에 사용되고 있는 현실에 있어 안면인증 제도의 실효성에 의문을 가질 수 밖에 없으며, 목적 달성에 적합한 수단이라고 단정할 수 없다고 보여집니다.
③ 다음은 침해의 최소성을 살펴보겠습니다. 앞에서 언급한 바와 같이 범죄수단으로 사용되고 있는 대포폰의 경우 그 대부분이 비대면 개통 방식인 알뜰폰(92.3%)입니다. 그런데 과기정통부가 도입하고자 하는 안면인증은 비대면 방식뿐만 아니라 10% 이내 불과한 이통3사의 휴대폰 개통 과정(특히 대면 방식에 의한 개통)에서도 일괄하여 의무적 적용을 하고자 합니다.
보이스피싱 등 금융범죄를 근절하기 위하여 모든 휴대폰 개통에 안면인증이라는 본인확인제도를 의무적으로 도입하고자 하는 것은 여러 수단 중에서 국민의 기본권을 가장 적게 침해하는 수단을 선택해야 한다는 침해의 최소성에 반하는 위헌적 조치입니다.
범죄에 활용되는 대포폰을 근절하기 위하여 국민의 기본권을 제한하기 위하여 주된 수단으로 활용되고 있는 비대면 방식 개통이 이용되는 알뜰폰 사업자에 대하여만 도입하여 나름의 목적을 달성할 수 있습니다. 그럼에도 불구하고 10%이내의 대면방식 휴대폰 개통에까지 안면인증을 의무화하여 5,000여 만명 가량의 국민 대다수 휴대폰 가입자에게 민감정보인 생체인식정보를 제공하게 하는 것은 기본권 제한의 최소 침해에 반하는 정책이라고 판단됩니다.
또한, 범죄 예방이라는 목적달성을 위하여 민감정보인 대규모 얼굴정보를 처리하지 않더라도 본인확인을 위한 덜 침해적인 대안도 충분히 마련될 수 있고, 그 방안을 찾을 수 있는 것이 불가능한 상황이 아님에도 목적달성을 위하여 가장 침해가 큰 안면인증 정책을 시행하는 것은 침해의 최소성 원칙에 반하여 위헌적인 정책이라고 할 것입니다.
휴대폰 개통이 대면으로 이루어지는 경우 부정가입방지시스템을 통하여 주민등록증 등 신분확인 증서의 진위가 확인된다면 신분확인 증서 상 인물과 이용자의 실물 얼굴을 육안으로 반드시 확인을 한다거나, 비대면의 경우에도 반드시 안면인증이 아니더라도, 금융인증 등 여러 가지 인증방식을 활용할 수 있는 방안을 모색하는 것이 우선되어야 합니다.
정부차원에서 이러한 대안을 모색하지 않고 범죄 예방에 대한 실효성조차도 검증되지 않은 안면인증을 의무적으로 도입하고자 하는 것은 국가의 목적을 위하여 국민의 개인정보자기결정권을 최대한 제한하고 침해하고자 하는 위헌적인 정책이라고 할 것입니다.
④ 마지막으로 법익의 균형성 위반여부를 살펴보겠습니다. 앞에서 언급한 바와 같이 안면인증을 도입하고자 하는 범죄예방이라는 목적의 정당성, 즉 공익은 인정할 수 있을 것입니다. 그러나 보호하려는 공익과 그로 인해 침해되는 기본권을 비교형량하여 보호되는 공익이 침해되는 기본권보다 더 커야 할 것입니다.
안면인식 정보는 특정 개인을 직접적으로 식별할 수 있는 개인정보에 해당하며, 개인의 생존 기간 동안 그 신체와 불가분적으로 결합되어 존재하는 생체정보입니다. 이는 이름, 주소, 식별번호, 비밀번호 등과 달리 변경이나 대체가 사실상 불가능한 정보로서, 신체 그 자체로부터 획득되는 고도의 일신전속성을 가지는 유일한 식별수단이라 할 것입니다. 특히 얼굴정보는 일반적인 개인정보와 달리 변경이 불가능한 불변성을 가진 개인정보로서 한 번 유출이 이루어지면 그 피해를 회복할 수 없습니다.
또한 안면인식 정보는 기술적 수단을 통하여 지속적으로 수집·축적·연계될 수 있고, 데이터베이스 간 결합을 통해 광범위한 추적이나 프로파일링이 가능하므로, 일단 부당하게 이용되거나 유출될 경우 정보주체에게 회복하기 어려운 중대한 피해를 초래할 위험성이 매우 큽니다.
과기정통부에서는 안면인증 과정에서 수집된 얼굴정보는 시스템 서버에 전달되어 본인확인 절차를 거치고 나면 즉시 삭제되어 저장되지 않고 다른 목적으로 활용할 수 없다고 발표하였습니다.
하지만, 안면인증 보안에 있어 100%로 안전하다고 장담할 수 있는 전문가는 없습니다. 최근에 발생한 대규모 개인정보유출 사건에서 확인할 수 있었던 것은 개인정보 처리 과정에서 개인정보처리자의 사소한 안전조치의무 위반으로 유출사건이 발생하였다는 점입니다. 또한 시스템 상 기술적 보안조치가 있다고 하더라도 개인정보처리자 내부구성원의 일탈을 조직적으로 관리하지 못하여 유출이 발생한 사안도 확인되었습니다.
휴대폰 서비스 이용을 위하여 국민 대다수가 의무적으로 안면인증을 위하여 제공하고 처리되도록 해서 달성해야 하는 공익이 보안의 한계로 인하여 발생할 수 있는 국민 대다수 개인정보 침해의 위험성을 고려할 때 국민의 개인정보자기결정권이라는 사익보다 월등히 크다고 할 수 없습니다.
3) 안면인식에 대한 국가인권위원회 결정 및 외국입법례 검토
이미 국가인권위원회는 2016. 12. 27. ‘사업장 전자감시로부터 근로자 인권 보호를 위한 제도 개선 권고’를 통해 생체정보의 수집과 관리는 엄격한 기준과 주의가 필요함을 강조하고, 개인정보보호법에 따른 동의의 과정을 거쳤다 할지라도 정보주체가 정보처리의 상황에 대해 충분히 이해하지 못한 상태에서 동의한 경우 진정한 의미의 동의가 있다고 보기 어려우므로 생체정보 처리기기에 의한 사업장 감시를 전자감시의 한 유형으로 보아 개인정보자기결정권, 인격권, 초상권 및 일반적 행동자유권, 사생활의 비밀과 자유 등을 침해하였다고 결정한 바 있습니다. 이러한 국가인권위원회의 결정 취지에 비추어 볼 때, 휴대전화 개통을 위하여 사실상 동의가 강요되는 본 안면인증 정책 역시 동일하게 인권침해로 평가될 가능성이 높습니다
아울러 2021. 12. 3. ‘지문인식기를 이용한 출·퇴근기록 관리로 인한 인권 침해(20진정0810900)’와 같이 출·퇴근 시 대체수단 제공 없이 지문인식기를 활용하였던 사건들에 대해서도, 「개인정보 보호법」 제15조에 따라 정보주체의 동의를 받아야 하며, 이러한 동의가 실질적인 동의가 되기 위해서는 동의하지 않을 경우의 대체수단(예컨대 전자태그 방식이나 개인 아이디(ID)와 비밀번호를 설정한 컴퓨터 시스템에 출·퇴근 시간을 입력하는 방법 등)이 마련되어야 한다고 일관되게 판단하였는바 어떠한 대체수단도 제시되지 않은 안면인식 정책 역시도 실질적인 동의가 없는 위헌위〮법적 정책입니다.
미국의 사례를 살펴보아도, 안면인식 기술에 대해 정보주체의 사전동의를 받고, 해킹 등 피해로부터 특별한 보안조치를 강구하도록 규정하고 있습니다. 실례로 미국 상무부 산하 통신정보관리청(NTIA)은 2016. 6. 안면인식 기술의 상업적 활용을 위한 자발적 지침인 모범사례(Privacy Best Practice Recommendations For Commercial Facial Recognition Use)를 권고하였는데, ①개인정보의 수집·저장·이용을 투명하게 진행할 것, ②안면 템플릿 데이터 관리 방안(Facial template data management practices)을 개발할 것, ③안면 템플릿 데이터의 공개나 공유에 대한 정보주체의 통제를 허용할 것 ④데이터 보호를 위한 적절한 보안조치를 실행할 것 ⑤안면 템플릿 데이터의 활용과 관련해 고객이 기업과 연락을 취해 시정할 수 있는 방안을 제공할 것 등을 권고하고 있습니다.
또한 미국 연방거래위원회(FTC)도 2012. 10. 개인의 프라이버시를 보호하기 위한 미국 FTC의 권고사항(FTC Recommends Best Practices for Companies That Use Facial Recognition Technologies)에서, ①개인정보보호를 염두에 두고 서비스를 설계할 것 ②수집한 정보의 합리적인 보안 방안을 개발할 것 ③안면인식 기술을 사용할 때, 고객이 이를 인지하도록 안내할 것 ④고객이 데이터 수집에 대해 허용/불허할 수 있음을 알리는 조치를 시행할 것 ⑤안면인식 기술을 적용하는 소셜 네트워크의 경우, 수집되는 데이터 종류·사용되는 기능·데이터 활용 방안·해당 기능의 종료 방법 등에 대해 명확한 공지를 제공할 것 ⑥안면 이미지에서 바이오인증 데이터를 수집·활용할 때 고객의 적극적 동의를 확보할 것 등을 권고하고 있는바 안면인식 정책 역시도 충분한 보안시스템과 개인정보보호를 염두에 둔 서비스 설계가 실제로 이루어졌는지 확인해 볼 필요가 있습니다.
유럽이사회 개인정보보호협약 자문위원회(Consultative Committee of Convention 108, T-PD)의 「얼굴인식 가이드라인(Guidelines on Facial Recognition)」19)에 따르면 공적 영역에 있어서는 엄격한 비례성과 필요성에 의해서, 덜 침해적인 방법이 있는 경우 이를 먼저 고려할 것을 권고하고 있습니다. 사적 영역에 있어서는 정보주체의 자유로운 동의에 의해서 생체정보의 활용이 가능한데, 자유로운 동의가 보장되기 위해서는 정보주체에게 얼굴인식 기술 외의 대체 방안이 제공되어야 하며, 대체 방안이 얼굴인식 기술에 비해 너무 오래 걸리거나 복잡하다면 이는 선택할 수 있는 대체 방안이라고 보기 어렵다고 설명하고 있습니다.
결론적으로 국가인권위원회의 기존 결정례와 해외 입법례 및 국제 가이드라인 또한 생체정보 처리에 있어 정보주체의 자유로운 선택권과 대체수단 제공을 핵심 원칙으로 제시하고 있음에도, 안면인식 정책은 이를 전면적으로 배제하고 있어 국내외 인권보호 기준에도 부합하지 않습니다.
4) 소결
위와 같이 안면인증 정책은 수단의 적합성, 침해의 최소성, 법익의 균형성이라는 각 요건들을 충족하지 못한 채, 국민 대다수의 민감정보인 얼굴정보를 의무적으로 제공하게 하는 것으로서 과잉금지원칙에 반하여 국민의 개인정보자기결정권을 침해하는 위헌적 정책에 해당합니다.
아울러 국가인권위원회 결정례와 미국과 유럽의 가이드라인에 비추어 보았을 때에도 대체수단 없이 무조건적인 안면인식을 강요하는 안면인증 정책은 시행이 되더라도 곧 위헌적이라고 판단될 것입니다.
- 결론
이상에서 살펴본 바와 같이, 과학기술정보통신부가 추진하는 휴대전화 개통 시 안면인증 의무화 정책은 민감정보인 생체인식정보의 처리를 원칙적으로 금지하고 있는 「개인정보 보호법」의 체계에 반하여 정보주체의 자유로운 동의나 명확한 법률상 근거 없이 이를 사실상 강제하는 것으로서 명백한 위법에 해당합니다.
또한 전기통신사업법 및 그 하위 법령 어디에도 안면인증과 같은 생체정보 제공을 본인확인의 필수 절차로 규정한 근거가 존재하지 아니함에도, 행정정책을 통하여 국민의 기본권을 제한하고 있는바, 이는 법률유보의 원칙에 위반되는 위헌적 조치라 할 것입니다.
나아가 설령 장래에 형식적인 법률상 근거가 마련된다 하더라도, 본 정책은 대포폰 문제의 주된 발생 경로와 무관하게 전 국민을 대상으로 광범위하게 생체정보 제공을 의무화하고, 덜 침해적인 대체수단이 충분히 존재함에도 가장 침해적인 방식을 일률적으로 채택하였으며, 그 실효성 또한 명확히 입증되지 않았습니다. 반면 얼굴정보와 같은 생체인식정보는 유출 시 회복이 사실상 불가능한 고도의 민감정보에 해당하므로, 침해의 최소성 및 법익의 균형성 요건을 충족하였다고 보기 어렵습니다. 따라서 본 정책은 과잉금지원칙에 반하여 개인정보자기결정권을 과도하게 제한하는 위헌적 조치에 해당합니다.
더욱이 국가인권위원회는 생체정보 처리에 있어 정보주체의 실질적 동의와 대체수단 보장을 핵심 요건으로 보아, 대체수단 없이 생체인식정보 제공을 강제하는 방식은 인권침해에 해당한다는 취지의 결정을 반복하여 내려온 바 있습니다. 또한 미국 및 유럽 등 주요 국가와 국제기구 역시 얼굴인식 기술의 활용에 대하여 엄격한 필요성·비례성 심사와 정보주체의 선택권 보장을 요구하고 있습니다. 이러한 국내외 인권 기준에 비추어 보더라도, 본 정책과 같이 일률적·강제적으로 안면인증을 의무화하는 제도는 그 정당성을 인정받기 어렵습니다.
결국 본 안면인증 의무화 정책은 법률상 근거와 비례성을 모두 결여한 위법·위헌적 정책으로서 시행되어서는 아니 되며, 귀 위원회에서는 이에 대한 철저한 조사와 함께 관계 부처에 대하여 정책의 중단 또는 재검토 및 시정조치를 권고하여 주실 것을 요청드립니다.
첨부 2. 발언문
발언 1. 이지은 참여연대 권력감시국 선임간사
2025.12.19.과기부의 안면인증 의무화 정책 발표 : 과기정통부(통신이용제도과)가 2025.12.19. 보도자료를 내고 사기 전화(보이스피싱) 등 금융사기 범죄에 악용되는 대포폰 근절을 위해 이동통신 3사(SKT, KT, LGU+, 이하 이통 3사) 및 알뜰폰 사업자로 하여금 휴대전화 개통 절차에 추가로 안면인증을 도입하여 실제 본인여부를 한번 더 확인하도록 하겠다는 정책을 발표함. 2025년 12월 23일부터 일부 알뜰폰사(43개)의 비대면 경로 및 이통 3사 대면 경로에서 시범적으로 운영하고, 2026년 3월 23일부터 전면 실시하겠다고 보도자료를 내고 발표함.
2025.12.24. 민감정보를 처리하는 것에 대해 비판과 논란이 일자 과기부의 해명 브리핑
2026.1.13. 디지털정의네트워크·민주사회를위한변호사모임디지털정보위원회·오픈넷·정보인권연구소·참여연대 공동 성명 위헌 위법적 안명인증 의무화 정책 철회하라
2026.1.30. 참여연대 과기정통부 장관에게 안면인증 의무화 정책의 법적 근거를 구체적으로 밝혀달라는 공개질의 보냄. 2026.2.11.현재까지 답변 없음
이통사는 안면인증 과정에서 신분증의 얼굴사진, 신분증 소지자의 얼굴 영상정보를 수집하여 실시간으로
대조하고, 동일한 사람인지 여부를 확인한 후에 안면인증 결과값(Y, N)만 저장‧관리함.- 이 과정에서 생체정보는 일체 보관 또는 저장되지 않는다고 함.
-> 그러나 우리는 잘 앎. 통신3사 누구 하나 빠지지 않고 골고루 대규모 개인정보유출이 있었던 기업이라는 것. 이들이 개인정보보호법을 몰라서가 아님. 이들 기업 모두 개인정보처리방침에는 모두 물리적, 기술적, 관리적 안전조치를 취하고 있다고 명기하고 있음. 그럼에도 대규모 개인정보유출이 일어났음. 되도록이면 덜 수집하고 덜 집적하는 방법, 덜 침해적인 방법이 있다면 그 방법을 쓰야 할 것임에도 다른 수단이 있음에도 정부가 오히려 나서서 가장 침해적이라고 할 수 있는 생체인식정보를 처리하는 정책을 내고 있는 것이야말로 문제임. 정부는 이들 기업들이 안전하게 관리할 것이니 믿어달라고만 할 것이 아니라 실제로 국민들이 믿을 수 있는 실질적인 정책을 내놓아야 함.
굳이 안면인증을 강제할 추가적 이유가 없음 : 휴대폰 부정이용방지대책으로 이미 전기통신사업법에 명시되어 있음. 주민등록증 등 증서를 통해 본인여부를 판단하라고 하고 있고 그동안 그래 왔음. 대포폰은 사실 명의자와 사용자가 다른 폰을 말하는 것인데 이미 실명제를 통해 개통자와 사용자를 개통시 확인해왔음. 이후 대포폰으로 사용할지 아닐지는 추후 문제임에도 개통시에 안면인증을 하겠다는 것은 앞뒤가 맞지도 않음.보이스피싱범죄를 근절한다는 명분이라면서 사실상 대포폰 이용자의 70프로 이상을 차지하는 외국인 대상으로는 하지도 않고 현재 할 수도 없다는 것 또한 앞뒤가 안맞는 변명임.도대체 이 안면인증을 왜 추가했는지 납득할 수가 없음.
민감정보인 얼굴인식처리는 법규에 요구하거나 개별 동의를 받아야 함. 휴대폰 개통시 의무적으로 하게 하는 것은 개보법위반, 자유로운 동의하에서 동의받아야 한다는 요건도 위반함
고령층이나 안면인식에 취약한 계층에 대한 오류 가능성으로 인한 불이익 우려.모든 국민을 잠재적 범죄자로 취급하는것.
보이스피싱 등에 대한 책임을 국민에게 전가하는 방식 : 보이스피싱 수사 인력의 확충이나 금융 거래에서의 이상거래 탐지 강화 등, 국가와 사업자의 책임을 강화하는 덜 침해적인 대안이 아니라 이 모든 정부와 사업자의 책임 강화는 외면한채, 모든 시민들에게 안면인식을 해야 하는 부담과 위험을 감수하도록 요구하고 있음
과기부의 이번 안면인증 의무화는 이 모든 측면, 실효성 측면, 법적 근거 측면에서도 국민들이 도저히 납득하기 어려운 나쁜 정책임. 이에 대해 개인정보보호위원회가 충분한 조사를 통해 개인정보보호 위반 사항에 대해 제대로 된 책임을 물을 수 있기를 바람.
발언 2. 희우 디지털정의네트워크 활동가
본인확인을 위해 안면인증 기술을 활용하는 문제는 단순히 새로운 인증 수단을 도입하는 차원의 문제가 아닙니다. 사회 구성원이 통신이나 금융, 공공서비스 등 일상에서 필수적인 서비스를 이용하기 위해 자신의 얼굴 정보를 제출해야 하는 것이 기본 조건처럼 자리잡는 점이 문제입니다.
안면인증은 생체정보를 활용하는 방식으로, 촬영 환경이나 신체 조건에 따라 인식 오류가 발생할 수밖에 없습니다. 이러한 오류는 인증 실패로 이어져 서비스 이용이 제한되는 결과를 낳을 수 있습니다. 이 때문에 본인확인 과정에서는 어떤 방식을 선택할 수 있는지가 중요합니다.
문제는 안면인증을 본인확인의 기본 수단으로 사용할 경우 개인에게 실질적인 선택권이 보장되지 않는다는 점입니다. 다른 방법이 충분히 제공되지 않으면 이용자는 서비스를 이용하기 위해 사실상 안면정보를 제출할 수밖에 없게 되고, 이는 특정 정보와 기술을 전제로 한 이용 조건이 됩니다.
안면인증은 모든 사람에게 동일하게 작동하지 않습니다. 장애인, 고령자, 특정 신체적 조건을 가진 사람들의 경우 인증이 반복적으로 실패할 가능성이 높습니다. 그러나 인증 실패로 인한 불이익은 기술을 제공한 주체가 아니라 개인에게 전가됩니다. 인증이 되지 않는 이유에 대한 충분한 설명이나 즉시 이용할 수 있는 대체 절차가 마련되어 있지 않은 경우도 많습니다. 이렇게 되면 이 기술을 이용하기 어려운 사람들은 자연스럽게 배제됩니다.
더 큰 문제는 안면인증이 변경할 수 없는 얼굴 정보를 본인확인의 기준으로 사용한다는 점입니다. 이 정보가 유출되거나 오인식·오남용될 경우 이를 교체하거나 회복하기는 매우 어렵고, 그 피해는 장기간 지속될 수 있습니다. 이러한 위험은 사후적인 구제만으로는 충분히 대응하기 어렵습니다.
이러한 점에서 본인확인을 위해 안면인증 기술을 사용하는 문제는 단순히 특정 절차가 적법한지 아닌지의 여부만으로 판단할 수 없습니다. 본인확인의 기준으로 왜 안면정보가 사용되어야 하는지, 그리고 그 과정에서 개인이 감수해야 하는 위험과 불이익이 정당한지에 대한 검토가 필요합니다.
안면인증은 선택 가능한 보조적인 수단으로 활용될 수는 있습니다. 그러나 이를 거부할 수 없거나, 대체 수단이 충분히 보장되지 않는 방식으로 사용하는 것은 바람직하지 않습니다.
본인확인 과정에서 개인의 권리와 접근성이 침해되지 않도록 하는 기준이 우선되어야 합니다. 본인확인 과정에서 어떤 기술을 사용할 것인지는 개인이 선택할 수 있어야 합니다.
