IT/지식재산기업법무해외법무

DATA+LAWㅣAI·헬스·웨어러블 기업 필독! 나이키도 못 피한 민감정보 규제

AI·헬스·웨어러블 기업이 수집하는 건강데이터와 생체정보는 모두 민감정보로 분류됩니다. 나이키 피트니스 앱 사례를 통해 민감정보 규제가 어떻게 과징금과 법적 리스크로 이어지는지 분석합니다.
법무법인 슈가스퀘어's avatar
법무법인 슈가스퀘어
Nov 09, 2025
DATA+LAWㅣAI·헬스·웨어러블 기업 필독! 나이키도 못 피한 민감정보 규제
Contents
1. 운동 데이터는 마케팅 정보가 아니라 ‘민감정보’2. 나이키 피트니스 앱이 규제 타깃이 된 이유3. 민감정보 규제 리스크는 한국 기업에게도 동일!4. 민감정보 리스크를 성장 전략으로 전환하는 법률 파트너, 슈가스퀘어

1. 운동 데이터는 마케팅 정보가 아니라 ‘민감정보’

운동 기록, 심박수, 체중 변화, 수면 패턴과 같은 데이터들은 단순한 서비스 이용 기록처럼 보이지만, 실제로는 개인의 건강 상태를 드러내거나 추정할 수 있는 정보입니다. 그래서 국내법과 GDPR 모두 이를 민감정보(Sensitive Data)로 보고 엄격하게 규제합니다.

민감정보란?
개인정보 보호법 제23조는 건강, 사상·신념, 성생활 등 개인의 사생활을 현저히 침해할 우려가 있는 정보를 '민감정보'로 규정하고, 그 처리를 원칙적으로 금지합니다. 생체인식정보(지문, 얼굴, 홍채, 심박 패턴 등)도 여기에 포함됩니다.

헬스케어 앱이나 웨어러블 기기가 수집하는 운동 데이터와 생체 신호는 모두 기업의 성장 자산이면서 동시에 법률상 가장 강하게 보호되는 데이터입니다. 민감정보는 일반 개인정보보다 훨씬 높은 수준의 보호와 별도의 동의가 필요하고, 단순 동의서로는 처리할 수 없으며, 데이터 수집 목적, 이용 방식, 제3자 제공, 국외 이전까지 모든 과정에 대해 별도의 법적 요건을 충족해야 합니다. 

결국 민감정보의 가치는 얼마나 많이 모으느냐가 아니라, 그 데이터를 안전하게 다룰 구조를 갖췄느냐에 달려 있습니다.

GDPR 등 해외 규제 자세히 보기 👉DATA+LAWㅣ데이터가 국경을 넘을 때 반드시 따라오는 것 – 구글·메타 사례로 본 해외 개인정보보호 과징금 규제

2. 나이키 피트니스 앱이 규제 타깃이 된 이유

나이키는 피트니스 앱을 통해 사용자의 운동량, 심박수, 수면 패턴, 체중 변화 등 개인의 건강 상태를 추정할 수 있는 데이터를 수집해 맞춤형 트레이닝과 AI 코칭 서비스를 제공해왔는데요. 나이키 입장에서는 고객 경험을 강화하는 혁신 전략이었지만, GDPR 감독 당국은 이를 ‘명시적 동의 없는 건강정보(민감정보) 처리’로 판단하며 주요 감독대상 기업 목록에 포함시켰습니다.

GDPR은 나이키와 함께 Fitbit, MyFitnessPal(언더아머), Strava, Meta 등 건강·생체 데이터 기반 서비스 기업들을 모두 ‘민감정보 고위험군’으로 분류하고 집중 모니터링을 시작했습니다. 이 기업들이 주목받은 이유는 다음과 같습니다.

  • 단일 이용약관 동의로 건강정보·생체정보까지 포괄 수집

  • 동의 방식이 포괄적인 수준에 머물러, ‘명시적이고 구체적인 동의’ 요건을 충족하지 못함

  • AI 분석, 맞춤형 추천 기능이 ‘데이터를 단순 저장이 아니라 건강 상태를 추론하기 위한 민감정보 처리’로 간주됨

  • 데이터가 해외 서버(특히 미국)로 이전되는 구조였지만, GDPR이 요구하는 국외이전 요건을 충족하지 못한 사례가 다수 존재

GDPR이 이런 기업들을 선제적 감독 대상에 포함한 건 단순한 경고가 아닙니다. 건강·생체 데이터가 앞으로 '가장 먼저, 가장 강하게 규제되는 영역'이 될 거라는 신호입니다. 나이키와 유사한 비즈니스 모델을 가진 국내 기업들도 예외가 아닙니다. ‘데이터가 많을수록 기업이 강해진다’는 기존 전략은 민감정보 영역에서는 오히려 기업의 리스크를 키웁니다.

3. 민감정보 규제 리스크는 한국 기업에게도 동일!

‘우리는 운동 앱이 아닌데?’ 싶을 수 있지만, 민감정보가 건강·운동 분야에만 존재하는 것은 아닙니다. 다음과 같은 산업들도 모두 민감정보 대상입니다.

  • 보험사가 고객의 건강 정보를 분석할 때

  • 유통기업이 웨어러블 기기로 고객의 생체 데이터를 연동할 때

  • 게임·메타버스 기업이 VR 헤드셋을 통해 시선 추적, 심박수를 자동 수집할 때

  • AI 기업이 음성 데이터에서 감정 상태를 추론할 때

특히 데이터 3법 개정 이후, 가명처리를 했다고 해서 민감정보가 아니게 되는 건 아닙니다. 건강 상태를 추정할 수 있는 정보라면 가명처리 후에도 여전히 민감정보로 취급될 수 있습니다. 

중요한 건 데이터를 어떻게 '부르느냐'가 아니라, 그 데이터로 '무엇을 할 수 있느냐'입니다. 건강 상태를 추정할 수 있다면, 그게 민감정보입니다.

4. 민감정보 리스크를 성장 전략으로 전환하는 법률 파트너, 슈가스퀘어

민감정보는 규제 리스크의 중심에 있지만, 동시에 AI·헬스·웨어러블 산업의 핵심 자산입니다. 중요한 것은 데이터를 많이 수집하는 것이 아니라, 민감정보를 법적 요건에 맞게 설계하고 활용할 수 있는 구조를 갖추는 것입니다. 법무법인 슈가스퀘어 크로스보더전담센터는 GDPR, CCPA, PIPL 등 글로벌 개인정보보호 규제에 대응하고, 기업의 국내외 데이터 활용 구조를 설계합니다.

  • 건강·생체정보 등 민감정보 수집·활용 동의 구조 설계

  • AI 학습데이터의 가명처리 및 국외 이전 적법성 검토

  • GDPR·CCPA 기반 데이터 거버넌스 및 글로벌 컴플라이언스 자문

민감정보는 위기가 아니라 기회가 될 수 있습니다. 데이터를 규제 위협이 아닌 성장의 자산으로 전환하고자 한다면 슈가스퀘어와 함께 하세요. 데이터 거버넌스 전략의 시작부터 탄탄하게 설계해드리겠습니다.

[상담문의]

Share article

법무법인 슈가스퀘어 공식 블로그

RSS·Powered by Inblog