신한은행 '헤이영 캠퍼스', 대학생 서비스 확대...개인정보 보호 과제는?

핵심 요약

- 신한은행 '헤이영 캠퍼스', 용돈받기·AI 시사퀴즈 등 대학생 맞춤 혜택 및 모바일 학생증·전자출결 학사 서비스 제공 - 학번, 이름, 학과, 수업 정보 등 교육정보 수집·처리 과정에서 개인정보 보호와 보안 쟁점 부각 - 금융회사의 비금융 서비스 확대 시 개인정보 처리방침 및 제3자 제공 동의 체계 점검 필요

주요 내용

신한은행이 대학생을 타겟으로 한 '헤이영 캠퍼스' 플랫폼을 통해 용돈받기 앱테크, AI 시사퀴즈, 헤이-복권 이벤트, 무료 커피트럭 행사 등 다양한 혜택을 제공하고 있다. 특히 모바일 학생증과 전자출결 기능을 통해 캠퍼스 생활 전반을 지원하는 학사 서비스로 영역을 확장하고 있어 주목된다.

이러한 서비스는 단순 금융거래를 넘어 학번, 이름, 학과, 수업 정보 등 교육기관 고유의 개인정보를 수집·처리하는 과정을 수반한다. 모바일 학생증의 경우 학생 신원 확인을 위한 식별정보가 필수적이며, 전자출결 시스템은 수업 참여 내역이라는 행동정보까지 포함하게 된다. 금융회사가 비금융 영역으로 서비스를 확대할 때 개인정보 보호와 보안은 필연적으로 중요한 쟁점으로 부상한다.

특히 금융기관은 「신용정보의 이용 및 보호에 관한 법률」과 「개인정보 보호법」의 이중 규제를 받는 동시에, 교육정보를 다루면서 「교육기본법」상 학생 정보 보호 원칙도 고려해야 하는 복합적 컴플라이언스 환경에 놓이게 된다. AI 시사퀴즈와 같은 서비스는 이용자 응답 패턴 분석을 통한 프로파일링 가능성도 내포하고 있어, AI 거버넌스 관점에서의 투명성 확보도 요구된다.

금융권의 디지털 플랫폼 경쟁이 치열해지면서 대학생층을 조기에 확보하려는 전략은 더욱 가속화될 전망이다. 그러나 편의성 제고와 함께 개인정보 자기결정권 보장, 목적 외 이용 제한, 안전한 정보 파기 등 개인정보 생애주기 전반에 걸친 보호조치가 동반되어야 지속가능한 서비스 모델로 자리잡을 수 있다.

전문가 시각

ISMS-P 심사 실무 관점에서 볼 때, 금융회사가 비금융 서비스를 제공할 경우 '목적 명확화 원칙'과 '최소수집 원칙' 준수가 핵심이다. 모바일 학생증·전자출결 서비스는 금융거래 목적과 명확히 구분되는 별도 처리 목적이므로, 개인정보 처리방침에 이를 구체적으로 명시하고 별도 동의를 받아야 한다. 특히 대학교와의 정보 연계 시 제3자 제공 또는 위탁 관계를 명확히 정의하고, 학생 이용자에게 정보 흐름을 투명하게 고지해야 법적 리스크를 최소화할 수 있다.

또한 AI 시사퀴즈와 같은 AI 기반 서비스는 「AI 기본법」(제정 추진 중) 및 「개인정보 보호법」상 자동화된 의사결정 규제 대상이 될 수 있다. 퀴즈 응답 패턴 분석을 통해 금융상품 추천이나 신용평가 등에 활용될 경우, 프로파일링에 해당하므로 사전 고지 및 동의, 설명 요구권 보장 등 AI 거버넌스 체계를 선제적으로 구축해야 한다. 청소년·대학생 대상 서비스인 만큼 디지털 리터러시 교육(디지털새싹, 사이버가디언즈 등)과 연계하여 개인정보 자기보호 역량을 함께 강화하는 것이 바람직하다.

CPPG·ISMS-P 연계 포인트

1. 개인정보 목적 외 이용·제공 제한 (개인정보 보호법 제15조, 제17조) 금융거래 목적으로 수집한 정보를 학사 서비스(모바일 학생증, 전자출결)에 활용할 경우 별도 동의가 필수이며, 정보 주체에게 이용 목적·항목·보유기간을 명확히 고지해야 한다. ISMS-P 인증심사 시 '개인정보 수집·이용 내역 관리' 통제항목(2.7.1)에서 중점 점검된다.

2. 프로파일링 및 자동화된 의사결정 (개인정보 보호법 제37조의2) AI 시사퀴즈 등 자동화된 분석을 통해 개인 성향을 평가하고 금융상품을 추천하는 경우, 프로파일링에 해당하여 사전 고지 및 거부권 보장이 요구된다. CPPG·ISMS-P 시험에서는 AI 기반 서비스의 투명성 확보 및 설명 요구권 보장 문항으로 출제될 가능성이 높다.