공간정보산업 활성화를 위한 개인위치정보 규제 개선

05

서기환 | 국토연구원 책임연구원([email protected])

공간정보산업 활성화를 위한 개인위치정보 규제 개선

: EU GDPR의 변화를 중심으로

머리말

정부는 4차산업혁명위원회를 중심으로 ‘데이터 산업’을 활성화하기 위한 전략과 범정부 차원의 대응책을 모색하는 데 고심하고 있다. 규제 완화를 통한 ‘데이터 고속도로 구축’ 등 산업 육성을 위한 노력을 다각적으로 하고 있다. 저성장시대에 새로운 성장 동력을 데이 터로부터 찾으려는 것이다. 그간 공간정보산업도 위치기반서비스를 중심으로 블루오션 을 찾기 위해 노력해왔으나 위치정보와 관련한 강력한 규제가 걸림돌이 되어 왔다. 이 글 에서는 공간정보산업 활성화에 걸림돌이 되어 온 개인위치정보 활용의 물꼬를 틀 수 있 는 방법을 고민하였다. EU는 개인의 위치정보를 포함한 일반 개인정보 보호법(General Data Protection Regulation, 이하 GDPR)에서 관련 규제 내용을 대폭 수정하였으며, 이 를 통한 개인정보 보호 강화와 역내 산업 활성화를 위한 기반을 마련하였다.

우리나라는 IT강국으로 특히 공간정보산업 분야가 크게 성장할 것으로 기대했으나, 공 간정보가 포함하고 있는 위치라는 특성 때문에 여러 가지 제약을 넘어서지 못하고 있다.

다음에서는 EU의 GDPR이 어떻게 규제를 개선하여 산업발전에 기여할 것인지 시사점을 찾아보고, 국내 공간정보 및 위치기반서비스산업이 활성화되기 위한 개인위치정보의 규 제 개선 방향과 향후 과제들을 논의해 보았다.

EU 일반 개인정보 보호법(GDPR)의 원칙과 변화내용

EU의 GDPR이 2018년 5월 25일부로 발효되었다. GDPR은 1995년에 제정된 개인정보 보호지침(Directive 95/46/EC)을 개정해 2016년 4월 EU 의회가 승인한 법률이다. 2년간 특집 데이터 경제 활성화를 위한 공간정보의 규제환경 개선 방향

회원국 간 정보 이동과 활용에도 제약이 되었다. GDPR은 이와는 달리 28개 EU 회원국들 이 단일 법률하에서 동일한 규제를 받게 되었다는 점에서 개인정보 보호지침과 큰 차이가 있다. 이는 EU가 목표로 하는 단일시장의 발전에 있어서 중요한 변화가 될 것이다.

GDPR의 목표는 오늘날과 같이 데이터가 주도하는 시대에 개인정보의 침해로부터 EU 시민들을 보호하는 것이다. 물론, 개인정보의 보호만을 위한 것이라기보다 개인정보 보호 를 강화함으로써 개인정보 활용을 더욱 촉진시키기 위함이라는 표현이 더 적절하다고 하 겠다. 아울러 GDPR의 도입은 의도적이든 의도적이지 않든 미국을 기반으로 하는 거대 IT 기업들(예: 구글, 아마존, 마이크로소프트, 페이스북 등)에게는 상당한 부담이 아닐 수 없 으며, 역내 기업들에 대한 상대적인 보호조치로 보일 수 있다(오태현, 강민지 2018, 14).

개인정보 보호지침이 7장 34조로 구성된 데 비해 GDPR은 서문 173항, 11장 99조로 구성 되어 있어 법조문이 대폭 증가했다. GDPR 제2장 제5조는 개인정보 처리와 관련된 원칙 을 정하고 있으며, ‘컨트롤러(controller)’ ¹⁾는 <표 1>에 제시된 바와 같이 여섯 가지 원칙 을 준수하고 있음을 증명할 수 있어야 하며 이에 대한 책임이 있다.

구분 원칙 내용

1

적법성(Lawfulness) 공정성(Fairness) 투명성(Transparency)

개인정보는 적법·공정·투명하게 처리되어야 함

2 목적 제한

(Purpose Limitation) 개인정보는 특정하고 명확하며, 정당한 목적을 위해 수집되어야 함

3 최소 수집

(Data Minimisation) 개인정보는 처리 목적에 필요한 것으로 제한되어 수집되어야 함 4 정확성(Accuracy) 개인정보는 정확해야 하고, 필요한 경우 최신성을 유지해야 함

5 보관 제한

(Storage Limitation) 개인정보는 처리목적에 필요한 기간에 한해 보관되어야 함 6 무결성(Integrity)

비밀성(Confidentiality) 개인정보는 기술적·관리적 조치 등 적절한 보안하에 처리되어야 함

<표 1> GDPR 개인정보처리와 관련된 6대 원칙(법 제2장 제5조)

자료: 홍선기 2017, 7-8.

1) 컨트롤러는 단독 또는 제3자와 개인정보 처리의 목적 및 방법을 결정하는 자연인 또는 합법적인 공공기관, 기관, 기타 기구를 의미함.

GDPR에서 기존 개인정보 보호지침의 정보 보호에 관한 주요 원칙은 유효하나 규제정책 측면에서 다음과 같은 많은 변화를 포함하고 있다(EU GDPR ORG 2019년 5월 8일 검색).²⁾

첫째, 법 적용 범위의 확대이다. GDPR의 도입에 따른 변화 중에서 가장 큰 변화라고 할 수 있으며, EU 내의 개인정보를 다루는 모든 기업들은 그 기업이 설립된 국가나 위치 에 관계없이 GDPR의 적용을 받는다. 이는 기존 개인정보 보호지침의 법 적용 영역이 모 호함에 따라 발생했던 주요 법적 분쟁을 계기로 GDPR에서 법 적용 영역의 확대와 함께 법 적용 대상을 명확하게 정의한 것이다.

둘째, 처벌에 관한 규정 강화이다. GDPR을 위반하는 기관 또는 기업은 전 세계 연간 매출액의 4% 또는 2천만 유로 중 더 큰 금액을 최대 벌금으로 납부해야 한다. 이 규정은 소비자의 동의를 구하지 않고 개인 데이터를 처리· 활용하거나 ‘Privacy by Design’³⁾ 개 념의 핵심 원칙을 위배했을 때 부과될 수 있는 최대 규모의 벌금이다. 이 밖에 일반적인 법 위반에 대해서는 직전 전 세계 연간 매출액의 2% 또는 1천만 유로 중 더 큰 금액을 벌 금으로 부과 받을 수 있도록 제재를 강화했다.

셋째, 사전동의(consent)에 관한 규정 강화이다. 기업은 더 이상 어려운 법률 용어로 가 득하고 깨알 같은 글씨로 쓰여진 장문의 약관을 사용할 수 없게 되었다. 사전동의 요구는 개인정보 처리의 목적을 이해하기 쉽게 명확하고 쉬운 언어로 작성되어야 하고, 정보주체 에게 잘 전달될 수 있는 형태여야 한다. 또한 개인정보 이용에 관한 동의를 쉽게 철회할 수 있도록 해야 한다.

넷째, 정보주체의 권리 강화에 대한 다음의 여섯 가지 변화이다. ① GDPR은 개인의 권 리와 자유에 위해를 가할 수 있는 법률 위반사항에 대해 위반사실을 인지하고 72시간 이 내에 의무적으로 위반사실을 고지하도록 하였다. ② GDPR은 정보주체가 컨트롤러로부터 개인정보가 어디에서 어떠한 목적으로 처리되고 있는지 여부에 관계없이 컨트롤러로부터 확인을 받을 수 있도록 하였다. 이에 더해 컨트롤러는 개인정보 복사본에 대해 전산자료 를 정보주체에게 무상으로 제공하여야 한다. 이러한 권리는 개인정보 활용에 대한 투명성 과 정보주체의 권한 측면에서 큰 변화를 가져온 것이다. ③ 개인정보 삭제(data erasure) 또는 잊혀질 권리(right to be forgotten)는 정보주체가 원할 경우 컨트롤러가 개인정보 를 지우도록 하고, 향후 제3자에 의한 잠재적인 개인정보 처리나 정보의 유통까지 중단하 게 할 수 있게 하였다. ④ GDPR에서 새로 소개된 개인정보의 이동권(portability)은 정보

2) https://eugdpr.org/the-regulation/

3) Privacy by Design은 상품 및 서비스의 기획이나 시스템을 구축할 때 프라이버시 보호를 위한 조치를 제품 또는 서비 스가 개발된 이후에 고려하는 것이 아니라 기획 및 설계 단계에서 함께 고려해야 한다는 개념임. 즉, 이용자의 프라이 버시에 대한 통제권이 적절히 보호되는 가운데 서비스와 시스템의 기능이 잘 작동하도록 구현하는 것임.

특집 데이터 경제 활성화를 위한 공간정보의 규제환경 개선 방향

추가하는 것이 아니라 시스템 설계에서부터 정보 보호 내용을 포함하도록 한 것이다. ⑥ GDPR은 ‘컨트롤러’나 ‘프로세서(processor)’⁴⁾가 의무적으로 ‘개인정보 보호 책임자(Data Protection Officer: DPO)’를 두어, 데이터 처리에 따른 범죄행위나 특수한 데이터, 또는 대규모 정보주체에 대해 규칙적이고 체계적인 모니터링이 가능하도록 규정하고 있다.

GDPR 제4조 제5항은 개인정보에 대한 비식별 조치로 가명 처리(pseudonymisation) 에 대해 새로운 개념을 추가하여 정의하고 있다. 가명 처리는 추가적인 정보를 이용하지 않을 경우 정보주체를 특정할 수 없도록 개인정보를 처리하는 것을 의미한다. 다만, 가 명정보는 어떠한 경우에도 정보주체를 식별할 수 없는 비가역적인 처리방식인 익명 처리

4) 프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 자연인 또는 합법적인 공공기관, 기관, 기타 기구를 의미함.

구분 변화 내용

법 적용 범위 확대 • EU 내의 개인정보를 다루는 모든 기업들은 그 기업이 설립된 위치에 관계없이 GDPR의 적용을 받게 됨으로써 법 적용 범위가 크게 확대됨

처벌 규정 강화

• GDPR의 핵심 내용을 위반하는 기관 또는 기업에는 직전 전 세계 연간 매출액의 4% 또 는 2천만 유로 중 더 큰 금액이 최대 벌금으로 부과될 수 있음

• 일반적인 법 위반에 대해서는 직전 전 세계 연간 매출액의 2% 또는 1천만 유로 중 더 큰 금액이 벌금으로 부과될 수 있음

동의규정 강화

• 사전동의에 대한 조건이 더 강화되었고, 기업은 더 이상 어려운 법률 용어로 가득하고 작은 글씨에 장문으로 쓰여진 약관을 사용할 수 없게 되었음

• 또한, 개인정보 이용에 관한 동의 철회를 쉽게 할 수 있어야 함

정보주체의 권리 강화

• 개인의 권리와 자유에 위해를 가할 수 있는 법률 위반사항에 대해 위반사실을 인지하고 72시간 이내에 의무적으로 위반사실을 고지해야 함

• 컨트롤러로부터 개인정보가 어디에서 어떠한 목적으로 처리되고 있는지 여부에 관계없 이 컨트롤러로부터 확인을 받을 수 있으며, 정보주체가 원할 경우 개인정보 복사본(전산 자료 형태)을 무상으로 제공하여야 함

• 정보주체가 원할 경우 컨트롤러는 개인정보를 지우고, 향후 제3자에 의한 잠재적인 개 인정보 처리나 정보의 유통까지 중단하게 할 수 있음

• 정보주체가 원하는 개인정보를 받거나 다른 개인정보 처리자에게 이동을 시킬 수 있는 개인정보 이동권을 가짐

• 시스템 설계에서부터 정보 보호 내용을 포함하도록 Privacy by Design 개념을 법적 요 구사항의 일부로 포함시킴

• 컨트롤러나 프로세서가 의무적으로 ‘Data Protection Officer(DPA)’를 두어, 데이터 처리 에 따른 범죄행위나 특수한 데이터(special categories), 또는 대규모 정보주체에 대해 규 칙적이고 체계적인 모니터링이 가능하도록 규정

<표 2> GDPR 발효에 따른 주요 변화

자료: https://eugdpr.org/the-regulation/ 내용 정리

(anonymisation)와는 달리 추가적인 정보가 더해질 경우 정보주체의 재식별이 가능하다.

이 때문에 GDPR에서는 정보주체의 식별을 가능하게 하는 추가적인 정보를 기술적 · 관리 적 조치(예: 암호화)를 통해 별도로 보관하도록 규정하고 있다. GDPR의 규정을 지켜 가 명 처리된 개인정보는 정보의 활용성은 유지하면서 개인정보에 대한 보호가 가능하기 때 문에 컨트롤러와 프로세서가 가명 처리된 개인정보를 활용할 것을 권장하고 있다. 또한 가명 처리는 ‘설계에 의한 개인정보 보호(data protection by design)’를 준수하는 핵심적 인 수단이 될 수 있다(Gabe Maldoff 2019년 5월 8일 검색).⁵⁾

GDPR 발효에 따른 변화 전망과 영향

앞에서 소개한 EU GDPR의 내용 어디에도 개인위치정보에 대해 별도로 다루는 내용이 없다. 그럼에도 불구하고 GDPR에서 우리나라 개인위치정보의 규제 개선을 위한 시사 점을 찾으려한 이유는 GDPR의 개인정보 보호에 관한 규정이 우리나라의 「위치정보의 보호 및 이용 등에 관한 법률」(이하 위치정보법)에서 ‘개인위치정보’라고 정의 및 규제하 고 있는 내용을 포괄하기 때문이다. EU뿐만 아니라 미국, 일본, 영국 등 우리나라를 제 외하면 위치정보에 관한 별도의 법률을 보유한 국가는 아직까지 없다.⁶⁾ 별도 규정이 없 는 나라들의 경우 개인위치정보는 GDPR과 같은 개인정보 보호 관련법에 포함되어 규 제를 받고 있다.⁷⁾

EU의 데이터 시장 규모(2017년 650억 유로)와 데이터 경제 가치(2016년 기준 약 3천 억 유로 → 2020년 7,390억 유로로 증가 전망)를 고려할 때 GDPR은 향후 개인정보 보호와 관련해서도 각국의 관련법 개정에 중요한 지표가 될 전망이다(오태현, 강민지 2018, 11).

GDPR의 법 규정 변화는 다음과 같은 몇 가지 측면에서 시사하는 바가 크며, 개인위 치정보 관련법 규정 변화에 참고할 수 있을 것이다. GDPR은 개인정보 보호(개인위치정 보 포함)를 위한 기본 원칙(principles)을 두고 있다. 그리고 세부 규정을 대폭 증가시키 면서 법 적용 범위를 명확히 하는 한편 법 규정의 모호성을 최소화하기 위해 노력하였 다. 이는 법 규정의 불확실성으로 인한 기업 활동의 제약을 해소하게 되어 위반에 따른 벌금의 규모가 대폭 상향되었다 하더라도, 구글 같은 거대 IT기업들에게는 긍정적인 효

5) https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-8-pseudonymization/

6) 미국에서 위치정보 관련법이 발의가 된 적은 있으나 법안이 통과되지는 않았음.

7) 미국은 개인정보보호에 관한 별도의 법률은 없으나, 개별 법에 개인정보 보호와 관련한 조항들이 포함되어 있음.

특집 데이터 경제 활성화를 위한 공간정보의 규제환경 개선 방향

과를 낳고 있다.⁸⁾

또한 개인정보 활용주체(컨트롤러, 프로세서)의 책임과 법 위반에 따른 처벌 규정을 강 화함으로써 정보주체에 대한 보호 조치가 대폭 강화됨과 동시에 데이터 경제 시대에 대비 해 목적 외 처리 허용에 있어서는 유연한 접근을 하고 있다. 아울러 정보 활용성은 유지한

출처: https://ec.europa.eu/digital-single-market/en/news/final-results-european-data-market-study-measuring- size-and-trends-eu-data-economy (2019년 5월 8일 검색).

출처: https://whotracks.me (2019년 5월 8일 검색).

<그림 2> GDPR 발효에 따른 인터넷 광고 관련 기업들의 시장 점유율 변화

EU market share of adtech vendors: change in website reach April to July 2018

0%

Google +0.933%

Facebook -6.66%

Smaller AdTech Vendors (rank: 100~150)

-31.86%

Smaller AdTech Vendors (rank: 50~100)

-27.63%

Top 50 (excl.Google,

Facebook) -20.0%

Smaller AdTech Vendors (rank: 〈150)

-18.3%

8) EU가 의도하였든 의도하지 않았든 스타트업 기업이나 소규모 기업에게는 큰 부담이 아닐 수 없으며, 이런 부담으로 인해 이미 유럽시장을 포기한 기업들이 생겨나고 있음.

체 개인정보의 비식별 처리를 할 수 있는 가명 처리에 관한 내용을 새로 추가하고, 재식별 이 안 되도록 조치함으로써 개인정보의 보호 강화와 활용성 확대의 두 마리 토끼를 동시 에 잡고자 한 것이다.

우리나라 관련 규제문제와 시사점

우리나라도 2016년에 관계부처 합동으로 개인정보가 식별되지 않도록 조치한 후 활용이 가능하도록 ‘개인정보 비식별 조치 가이드라인’을 마련하여 제시한 바 있다. 가이드라인 에 제시한 일반적인 개인정보 비식별 방법에는 가명 처리(pseudonymization), 총계 처리 (aggregation), 데이터 삭제(data reduction), 데이터 범주화(data suppression), 데이터 마스킹(data masking)이 있다. 그러나 여기에 제시된 방법은 텍스트 기반의 개인정보 비 식별 조치만 포함하고 있고, 기하학적 도형정보(point, line, polygon)와 결합한 개인위치 정보에 대한 비식별 처리와 같이 위치정보의 특성을 고려한 방법은 다루지 않고 있다. 또 한 「위치정보법」에서도 개인위치정보의 비식별화에 관한 내용은 별도로 규정하고 있지 않 다. 아이러니하게도 2005년 「위치정보법」이 제정된 이유가 위치정보는 개인정보와 다른 독특한 특성을 가지기 때문이었는데, 위치정보의 특성을 고려한 비식별 조치에 관한 내용 은 어디에서도 찾아볼 수가 없다. 따라서 GDPR이 그랬듯이 개인위치정보 측면에서도 활 용성은 유지하면서 개인 식별자를 제거하는 기술적 방안과 가이드라인 마련이 필요하다.

공간정보산업 활성화를 위한 개인위치정보 규제 개선 방향

지금까지 개인위치정보 보호에 관한 EU GDPR과 최근 우리나라의 규제 개혁을 위한 정 부의 노력 등을 고려할 때 공간정보산업 활성화 측면에서 개인위치정보에 관한 규제 개선 을 크게 두 가지 방향으로 제안하고자 한다.

첫째, 다소 급진적일 수 있으나 GDPR에 대응하기 위해 「개인정보 보호법」의 개정안이 국회에 계류 중인 상황을 고려할 때 외국의 사례처럼 개인위치정보 보호에 관한 규정을

「개인정보 보호법」의 범주에 포함시켜 개정하는 안이 있다. 즉, 기존의 「위치정보법」은 폐 기하고, 개인위치정보를 포괄하는 「개인정보 보호법」을 EU GDPR 수준으로 수정 및 보완 하는 것이다. 아울러 개인위치정보에 대한 비식별 조치 등 기술적· 관리적 조치도 함께 고 려되어야 할 것이다. 공간정보 및 위치기반서비스산업 활성화와 기업들의 입장만 고려한 다면 「개인정보 보호법」으로 통합과 함께 규제의 형식을 네거티브 방식으로 전환하는 방 안도 고려할 수 있다. 그러나 이러한 접근은 앞서 EU GDPR의 파급효과와 영향 등을 고 특집 데이터 경제 활성화를 위한 공간정보의 규제환경 개선 방향

관련한 익명화 또는 가명화 기술은 지리정보과학(Geographic information Sciences) 에서 다루고 있기 때문에 이를 참조하거나 새로운 기술적 조치에 대해 연구개발을 고 려해 볼 필요가 있다. 이는 GDPR의 핵심 개념인 ‘Privacy by Design’과 가명 처리 (pseudonymization)의 장점을 개인위치정보 보호를 위해 적용하는 것이다. 「위치정보법」

의 규제적 성격이 불필요한 진입장벽(위치정보사업 및 위치정보서비스사업에 대한 허가 및 신고 규정)에서부터 사물위치정보에 대한 규제에 이르기까지 과도한 규제임은 정부와 산업계 모두가 인정하고 있다. 따라서 여기 제시된 두 가지 방향을 통해 개안정보 보호와 활용 활성화가 어느 정도나마 개선될 수 있기를 바란다.

맺음말

2018년 4차산업혁명위원회가 관계부처 합동으로 규제개혁을 위한 헤커톤을 열고 그 결 과로 「위치정보법」 일부가 개정(사물위치정보 활용에 대한 진입장벽이 허가제에서 신고제 로 완화되고, 사물위치정보에 한해 소유자의 사전 동의 없이도 위치정보 처리가 가능하게 됨)되었다. 그럼에도 불구하고 2005년 당시 법제정 취지와 GPS 수신기가 내장된 이동통 신 단말기 활용이 일반화된 현재 상황과 빅데이터 및 IoT 기반의 미래 환경을 고려할 때 법 개정의 여지는 여전히 많이 남아 있다(윤주연, 박수현 2014). 예를 들어 사물위치정보 와 개인위치정보를 구분해 진입장벽을 완화했다고는 하나, 사물의 종류와 소유관계, 그리 고 추가적인 정보와 연계할 때 사물위치정보와 개인위치정보 간의 관계를 명확히 하기는 매우 어렵다. 결국 사안별로 검토 및 해석해야 하는 상황이 발생할 수 있기 때문에 명확한 해석기준도 마련되어야 할 것이다.

IoT, 빅데이터, 센서, 자율주행차, 스마트시티 서비스 등에서 위치정보는 다른 정보를 융합하는 인프라이다. 공간정보산업은 위치정보를 중심으로 부가가치 높은 정보를 창출 하는 대표적인 성장동력 산업이 될 수 있다. 따라서 공간정보산업은 개인정보 보호를 강 화하면서도 개인정보기반 스마트서비스가 활성화될 수 있도록 그간의 제약을 벗어나기 위한 새로운 규제환경과 기술기반을 만들어가야 한다.

개인의 위치정보를 보호하면서도 정보주체에 대한 권한이 강화되어 새로운 경제의 성 장 동력이 될 수 있도록 공간데이터의 가치를 드러낼 수 있어야 한다. 전문가는 기술적으 로 개인정보 보호와 정보 활용 방법에 대한 연구가 실용화될 수 있도록 지혜를 모아야 하

참고문헌

오태현, 강민지. 2018. EU 개인정보보호법(GDPR) 발효: 평가 및 대응방안. KIEP 오늘의 세계경제 18, no.19. 세종: 대외경제 정책연구원.

윤주연, 박수현. 2014. 위치기반서비스 활성화를 위한 위치정보법의 개선방향. Internet & Security Focus. 나주: 한국인터 넷진흥원.

홍선기. 2017. 유럽개인정보보호법령(GDPR)의 주요 내용과 국내에의 영향. 주간기술동향 1789호. 진천: 정보통신산업진흥원.

EU GDPR ORG. GDPR Key Changes. https://eugdpr.org/the-regulation (2019년 5월 8일 검색).

European Commission. 2017. Final results of the European Data Market study measuring the size and trends of the EU data economy. https://ec.europa.eu/digital-single-market/en/news/final-results-european-data-market- study-measuring-size-and-trends-eu-data-economy (2019년 5월 8일 검색).

Gabe Maldoff. 2016. Top 10 operational impacts of the GDPR: Part 8 – Pseudonymization. https://iapp.org/news/a/

top-10-operational-impacts-of-the-gdpr-part-8-pseudonymization (2019년 5월 8일 검색).

TRACKER MARKET SHARE. https://whotracks.me (2019년 5월 8일 검색).

고, 정책가는 국민과 민간의 목소리에 귀 기울여 실생활의 수요에 부응하도록 규제환경을 개선하는 데 힘써야 할 때이다.

특집 데이터 경제 활성화를 위한 공간정보의 규제환경 개선 방향