위치정보법의 규제 및 개선방안에 관한 연구

A Study on the Reformation of the Regulation under the Location Data Protection Act

위치정보법은 개인정보에 해당하는 개인위치정보 외에 익명화된 개인 및 사물에 대한 위치정보까지 보호대상으로 삼고 있다. 그에 따라 사람인지 사물인지 여부, 개인이 식별되는지 여부를 불문하고 사람과 사물에 대한 위치정보라면 모두 수집⋅이용 시 동의를 받게 하고 법령에 정한 기술적⋅관리적 조치를 취하게 하고 있다. 그리고 동의를 받지 않고 위치정보를 처리하는 경우(물건의 위치정보는 제외), 기술적⋅관리적 조치를 불이행하는 경우 모두 형사처벌을 가한다. 위치정보법 역시 사생활의 비밀을 보호하려는 법률이므로, 개인정보에 해당하지 않는 단순위치정보를 법적인 보호대상으로 함에는 신중함을 요한다. 특히 개인정보 보호법이 익명처리원칙을 선언하고 있음에 비추어, 익명화된 위치정보에 대하여 개인위치정보와 유사한 수준으로 규제를 가하는 것은 사업자들로 하여금 익명처리에 대한 유인을 상실케 하여 도리어 프라이버시보호에 역행하는 결과를 초래할 수 있다. 물건에 대한 위치정보 역시 구체적 상황에서 개인의 프라이버시보호가 문제되는 것이라면 개인위치정보로 처리하여야하고, 단순히 물건의 이동상황을 추적하는 것이라면 소유자와의 계약관계로 처리하거나 경우에 따라 불법행위로 처리하여야 한다고 본다. 위치정보법을 비롯한 우리나라의 개인정보보호법률에서 해결되어야 할 핵심 과제중에 하나는 개인정보의 범위, 정보주체의 동의에 관한 것이다. 개인정보의 정의에 결합용이성이라는 개념을 더한 결과 개인정보, 개인위치정보의 범위가 매우 포괄적이어서 형사처벌, 과태료 등의 제재적 조치를 취하는 경우 명확성의 원칙에 반할 위험이 매우 크다. 결합용이성에 관하여는 개인정보처리자가 결합할 수 있는 다른 정보를 획득할 개연성이 어느 정도인지 문제되는데, 계약관계, 정보시스템 연결관계 등을 고려하여 현실적으로 다른 자료를 보유할 가능성이 상당한지 구체적으로 검토되어야 할것이다. 정보주체의 동의에 관하여는 특히 동의의 시기 및 방식이 문제되고 있다. 우리나라의 개인정보보호법률체계는 사전 동의(opt-in)를 요구하고 있으나 사전 동의가 형식화되고 있는 현실에 비추어 다른 나라의 입법례와 같이 고지(notification) 및 선택적 거부(opt-out) 방식의 동의를 허용할 필요가 있다고 생각된다. 그리고 위치정보가 민감정보라는 특성을 고려하여 정보주체가 스스로 위치정보의 정확도 수준을 제어하여 위치정보처리가 가능하도록 법⋅제도 및 기술적 연구가 진행되어야 할 것으로 본다. 현행 위치정보법은 이른바 피처폰 시대의 기지국 기반 이동통신, 화물관제시스템 등을 배경으로 하였다. 그러나 최근 스마트폰, 태블릿 등에서 WIFI, GPS를 사용하는 스마트 모바일 환경이 조성함에 따라 입법 당시에는 예상하지 못하던 절차적 문제점이 발생하고 있다. 대표적으로는 매회 즉시 통보의무, 모바일 광고시 이용약관명시⋅동의획득의 방법, 사업자에 대한 허가/신고제를 들 수 있다. 최초 법 제정 당시에는 사업자에 대한 정부의 관리감독, 위치정보에 대한 엄격한 규제가 중요시되었으나, 이제는 개인정보보호라는 큰 틀의 관점에서 절차적 규제의 합리성을 따져 보아야 할 것이다.

Act on the Protection and Use of Location data intends to protect location data of an anonymized individual and a mobile object, as well as identifiable personal location data. In this regard, the Act provides that consent of data subjects should be obtained when collecting and using location information and technical and administrative measures should be taken, for all of the location informations of people and objects, regardless whether the information is about a person or an object and the person is identified or not. Further, the Act gives criminal punishment to anyone who collects, uses or provides personal location data (except for location data of objects) without obtaining the consent of the person, or fails to take technical and administrative measures. The purpose of this Act is to protect privacy against the leak, abuse and misuse of location data (refer to Article 1), thus, legal protections for simple location data not belonging to personal data should be carefully decided upon. Particularly, considering that Data Protection Act declares principle of anonymization of data processing (refer to Clause 8 of Article 3), regulating the anonymized location data at a similar level to the personal location data may make the service providers(data controllers) lose a cause for anonymization, thereby rather running counter to protection of privacy. With regard to location data of a object, in a specific case, if it is related to infringement against protection of privacy, it should be regarded as personal location data, meanwhile, if it is merely to trace its movement, it should be dealt with as a contract with owner or a tort, on a case-by-case basis. One of the major tasks of Korean Acts for data protection, including Act on the Protection and Use of Location data, is about determining of the scope of the personal data and the matter of consent of data subjects. The scope of the personal data and the personal location data is comprehensive, because the personal data under the acts is defined as including the information that can be easily combined with other information to identify a certain person. Therefore, when imposing legal sanction such as criminal punishment or a fine, there is a great risk that principle of definiteness may be violated. With regard to the concept of ‘easily combined’, it does matter what the probability is that a data controller obtains other information to be combined. For this, considering contractual relationship, information system connectional relationship, and so on, the realistic and substantial possibility that the data controller gets other information should be thoroughly examined. Meanwhile, with regard to the consent of data subjects, particularly the time and the manner of the consent has become an issue. However, considering that opt-in is obtained perfunctorily in practice, it seems to be needed to permit consents in the manner of notification and opt-out, similarly to legislation of other countries, although opt-in is required under Korean Acts for data protection. Further, the legislations, systems and technical studies should proceed toward allowing the data subject to control the accuracy level of the location data for oneself, considering that the location data is sensitive information. The Act on the Protection and Use of Location data stood on the basis of the station-based mobile communication in the age of the feature phone, the cargo control system, and so on. However, recently a smart mobile system using WIFI and GPS on smart phone and tablet is developed, thereby problems of the procedural regulation which was unforeseeable at the time when the Act was established are arising. Particular examples are given as follows: obligation to immediately notify the data subject each time, obligation to specify service agreement in mobile advertisements, the manner of obtaining consent, permission/report system for the location-based service providers. Govern