Day 17: 위치정보의 보호 및 이용 등에 관한 법률

1. 위치정보법의 개요

1.1 위치정보법이란?

정식 명칭: 위치정보의 보호 및 이용 등에 관한 법률 (약칭: 위치정보법)

위치정보의 유출·오용·남용으로부터 개인의 위치정보를 보호하고, 위치정보의 안전한 이용 환경을 조성하여 위치기반서비스 산업의 발전을 도모하기 위한 법률

1.2 제정 배경

  • 2005년 1월 27일 제정
  • GPS, 스마트폰 보급으로 위치기반서비스 급증
  • 위치정보 무단 수집·이용 문제 발생
  • 개인의 위치정보 보호 필요성 증대

1.3 위치정보의 특성

위치정보의 민감성

위치정보는 매우 민감한 개인정보:

  • 행동 패턴 파악 가능 (집, 회사, 자주 가는 곳)
  • 사생활 추적 가능
  • 결합 시 더 큰 정보 도출 (위치 + 시간 → 누구와 만났는지)

예시:

  • 특정인이 매일 오전 9시 ○○병원에 간다 → 질병 추정 가능
  • 특정인이 주말마다 △△교회에 간다 → 종교 추정 가능

1.4 적용 범위

적용 대상

  • 위치정보사업자: 위치정보를 수집하여 위치기반서비스를 제공하는 자
  • 위치기반서비스사업자: 위치정보를 이용하여 서비스를 제공하는 자
  • 개인위치정보주체: 위치정보의 주체가 되는 개인

1.5 개인정보보호법과의 관계

  • 위치정보법은 특별법
  • 위치정보 처리에 대해서는 위치정보법 우선 적용
  • 위치정보법에 규정이 없는 사항은 개인정보보호법 적용

2. 위치정보의 정의 (법 제2조)

2.1 위치정보

위치정보: 이동성이 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보로서 전기통신설비 및 전기통신회선설비를 이용하여 수집된 것

핵심 요소:

  1. 특정 시간: 언제
  2. 특정 장소: 어디
  3. 전기통신설비 이용: GPS, 기지국, Wi-Fi 등

2.2 위치정보 수집 방법

(1) GPS (Global Positioning System)

  • 위성 신호를 이용한 위치 측정
  • 정확도 매우 높음 (수 미터)
  • 스마트폰, 차량 내비게이션

(2) 기지국 정보

  • 이동통신 기지국 위치로 추정
  • 정확도 중간 (수십~수백 미터)
  • 통신사에서 수집

(3) Wi-Fi

  • Wi-Fi AP(공유기) 위치로 추정
  • 정확도 높음 (수십 미터)
  • 실내에서 유용

(4) IP 주소

  • IP 주소 기반 대략적 위치
  • 정확도 낮음 (도시 단위)

(5) Bluetooth Beacon

  • 블루투스 비콘 신호로 위치 파악
  • 실내 위치 서비스

2.3 개인위치정보 vs 물건위치정보

구분개인위치정보물건위치정보
주체개인물건
예시스마트폰 위치, 개인 차량 위치배송 물품, 공유 자전거
보호 수준매우 높음상대적으로 낮음
동의 필요성필수물건 소유자 동의

주의:

  • 물건위치정보라도 특정 개인과 결합되면 개인위치정보가 됨
  • 예: 공유 자전거 + 사용자 정보 = 개인위치정보

3. 위치정보의 수집 및 이용 (법 제15조, 제16조)

3.1 개인위치정보의 수집·이용·제공

수집·이용 요건 (법 제15조)

개인위치정보는 다음 중 하나에 해당하는 경우에만 수집·이용 가능:

  1. 개인위치정보주체의 동의를 받은 경우
  2. 법률에 특별한 규정이 있는 경우

동의 받을 때 고지사항 (법 제15조 제2항)

다음 사항을 명확하게 고지하고 동의 필요:

  1. 위치정보 수집·이용·제공 사실
  2. 위치정보 수집·이용·제공 목적
  3. 위치정보의 보유 기간
  4. 위치정보를 제3자에게 제공하는 경우:
    • 제공받는 자
    • 제공 목적
    • 제공하는 위치정보의 내용

중요:

  • 목적 달성 시 지체 없이 파기
  • 동의는 서면, 전자문서, 음성, 정보통신망 등의 방법

3.2 개인위치정보의 제3자 제공 (법 제16조)

제공 제한 원칙

개인위치정보는 개인위치정보주체의 동의 없이 제3자에게 제공 금지

예외:

  1. 개인위치정보주체의 동의를 받은 경우
  2. 법률에 특별한 규정이 있는 경우

제공 사실 통보 (법 제16조 제3항)

제3자에게 제공한 경우, 개인위치정보주체에게 즉시 통보

통보 내용:

  • 제공받은 자
  • 제공 일시
  • 제공 목적

3.3 8세 이하 아동 등의 보호 (법 제25조)

법정대리인 동의

8세 이하의 아동 등의 개인위치정보를 수집하려는 경우, 법정대리인의 동의 필요

대상:

  • 8세 이하의 아동
  • 피성년후견인
  • 장애인복지법상 대통령령으로 정한 장애인

생명·신체 보호 목적

아동 등의 생명 또는 신체 보호를 위한 경우:

  • 법정대리인이 개인위치정보의 수집·이용·제공에 동의한 것으로 간주
  • 다만, 8세 이하 아동 등 본인이 거부하는 경우 제외

예시:

  • 미아 방지용 위치추적 기기
  • 치매 노인 위치추적 서비스

4. 개인위치정보주체의 권리 (법 제24조, 제26조)

4.1 동의 범위 제한 청구권 (법 제24조 제1항)

개인위치정보주체는 언제든지 다음을 요구할 수 있음:

  1. 위치정보의 수집·이용·제공의 일시적 중지
  2. 위치정보의 수집·이용·제공의 전부 또는 일부 중지

예시:

  • 배달앱에서 평소에는 위치 제공, 배달 완료 후 위치 제공 중지
  • 위치 제공 동의했지만 야간에만 위치 제공 중지

4.2 열람·고지 요구권 (법 제24조 제2항)

개인위치정보주체는 다음을 요구할 수 있음:

  1. 보유하고 있는 본인의 위치정보 열람·고지
  2. 위치정보가 잘못된 경우 정정 요구

처리 기한: 요구받은 날로부터 10일 이내 열람·고지 또는 정정

4.3 자료 제공 요구권 (법 제24조 제3항)

개인위치정보주체는 다음 자료의 제공을 요구할 수 있음:

  1. 위치정보 수집·이용·제공 사실 확인 자료
  2. 위치정보를 제3자에게 제공한 이유 및 내용

제공 자료:

  • 제3자에게 제공한 일시
  • 제3자의 이름 (법인인 경우 법인명)
  • 제공한 위치정보의 내용

처리:

  • 요구받은 날로부터 10일 이내 제공
  • 보존 기간 내의 자료만 제공

5. 위치정보사업자 및 위치기반서비스사업자의 의무

5.1 위치정보의 보호조치 (법 제16조의2)

위치정보사업자 등은 위치정보의 누출·변조·훼손 등을 방지하기 위해 다음 조치를 해야 함:

(1) 기술적 조치

  • 암호화: 위치정보 암호화 저장·전송
  • 접근 통제: 위치정보 접근 권한 제한
  • 보안 프로그램: 백신, 방화벽 등

(2) 관리적 조치

  • 위치정보 관리책임자 지정
  • 취급자 교육
  • 접근 기록 보관 (6개월 이상)

(3) 물리적 조치

  • 전산실 등 출입 통제

5.2 위치정보 이용·제공 사실 확인 자료 보존 (법 제16조의3)

위치정보사업자 등은 다음 자료를 6개월 이상 보존:

  1. 개인위치정보주체에 대한 위치정보 수집·이용·제공 사실 확인 자료
  2. 개인위치정보주체의 동의 내용
  3. 위치정보를 제3자에게 제공한 경우, 제공 일시 및 제공받은 자

5.3 위치정보 관리책임자 지정 (법 제18조의2)

위치정보사업자 등은 위치정보 관리책임자를 지정해야 함

업무:

  1. 위치정보의 관리·보호·처리 방법 수립
  2. 위치정보의 보호 및 관리 감독
  3. 위치정보 관련 불만 처리 및 피해 구제
  4. 위치정보 유출 및 오용·남용 방지

5.4 위치정보의 파기 (법 제23조)

위치정보사업자 등은 위치기반서비스 제공을 위해 수집한 개인위치정보가 이용 목적을 달성한 경우 지체 없이 파기해야 함

파기 예외:

  • 다른 법률에 따라 보존해야 하는 경우
  • 개인위치정보주체의 동의를 받은 경우

6. 긴급구조 (법 제29조)

6.1 긴급구조를 위한 위치정보 이용

긴급구조기관의 장은 생명·신체의 위험으로부터 구조하기 위해 필요한 경우, 개인위치정보주체의 동의 없이 개인위치정보 이용 가능

긴급구조기관:

  • 소방청, 소방서
  • 해양경찰청
  • 경찰청, 경찰서

요건:

  1. 생명 또는 신체의 위험이 있을 것
  2. 긴급구조를 위해 필요할 것

예시:

  • 산에서 조난당한 사람 구조
  • 실종 아동 수색
  • 범죄 피해자 구조

6.2 절차

긴급구조 절차:

[1단계] 긴급구조기관이 위치정보사업자에게 위치정보 요청

[2단계] 위치정보사업자가 위치정보 제공

[3단계] 긴급구조기관이 구조 활동

[4단계] 사후 통보 (개인위치정보주체에게)

사후 통보 의무:

  • 긴급구조기관은 구조 활동 종료 후 7일 이내 개인위치정보주체에게 통보

7. 위반 시 제재

7.1 형사처벌 (법 제40조)

3년 이하 징역 또는 3천만원 이하 벌금

다음 행위:

  1. 허위·기타 부정한 방법으로 개인위치정보를 수집한 경우
  2. 동의 없이 개인위치정보를 제3자에게 제공한 경우
  3. 다른 목적으로 수집된 개인위치정보를 동의 없이 위치기반서비스에 이용한 경우

7.2 과태료 (법 제45조)

위반 행위과태료
개인위치정보 수집 시 동의 받지 않음3천만원 이하
위치정보 관리책임자 미지정1천만원 이하
위치정보 이용·제공 사실 확인 자료 미보존1천만원 이하

8. 보안 컨설팅 관점의 시사점

8.1 위치기반서비스 구축 컨설팅

Phase 1: 법적 요구사항 분석

  1. 수집하는 위치정보 식별
  2. 법적 근거 확인 (동의, 법령)
  3. 제3자 제공 여부 확인

Phase 2: 동의 관리 시스템

  1. 동의 화면 설계
    • 고지사항 명확히 표시
    • 선택 동의·필수 동의 구분
  2. 동의 이력 기록·관리
  3. 동의 철회 기능

Phase 3: 위치정보 보호 조치

  1. 암호화
    • 저장 시 암호화 (DB)
    • 전송 시 암호화 (HTTPS)
  2. 접근 통제
    • 최소 권한 부여
    • 역할 기반 접근 통제
  3. 로그 관리
    • 접근 기록 6개월 이상 보관
    • 이상 접근 탐지

Phase 4: 위치정보 관리 체계

  1. 위치정보 관리책임자 지정
  2. 이용·제공 사실 확인 자료 보존 (6개월)
  3. 목적 달성 시 자동 파기

8.2 위치정보 유출 사고 대응

사전 준비

  1. 유출 대응 절차 수립
  2. 비상 연락망 구축

유출 발생 시

  1. 유출 범위 파악
  2. 개인위치정보주체에게 즉시 통지
  3. 과학기술정보통신부에 신고
  4. 원인 분석 및 재발 방지

8.3 위치정보 vs 개인정보 비교

구분위치정보법개인정보보호법
적용 법률위치정보법 (특별법)개인정보보호법 (일반법)
보호 대상위치정보모든 개인정보
관리책임자위치정보 관리책임자개인정보 보호책임자
동의 고지 사항위치정보법 제15조개인정보보호법 제15조
자료 보존 기간6개월법령에 따라 다름
8세 이하 아동법정대리인 동의14세 미만 법정대리인 동의

통합 관리:

  • 위치정보도 개인정보이므로 두 법 모두 준수 필요
  • 보안 컨설팅 시 통합 접근

9. 실무 사례

사례 1: 배달 앱

상황: A배달앱이 고객 위치정보를 수집하여 배달 서비스 제공

위치정보 수집:

  1. GPS: 고객의 정확한 위치
  2. 목적: 배달 주소 확인, 배달원 매칭

법적 준수:

  1. 동의 획득
    • 앱 설치 시 위치정보 수집 동의
    • 고지사항: 수집 목적(배달), 제공(배달원), 보유 기간(배달 완료 후 6개월)
  2. 제3자 제공
    • 배달원에게 고객 위치 제공
    • 고객에게 제공 사실 통보
  3. 보호 조치
    • 위치정보 암호화
    • 배달원은 배달 중에만 위치 확인 가능
  4. 파기
    • 배달 완료 후 6개월 뒤 자동 파기

사례 2: 택시 호출 앱

상황: B택시앱이 승객과 기사의 위치정보를 수집

위치정보 수집:

  • 승객: 출발지, 도착지
  • 기사: 실시간 위치 (차량 GPS)

법적 준수:

  1. 승객·기사 모두 동의 획득
  2. 서로의 위치 공유 (매칭 후)
  3. 위치 기록 6개월 보존 (분쟁 대비)
  4. 보존 기간 경과 후 파기

사례 3: 아동 위치추적 기기

상황: C기업이 8세 미만 아동용 위치추적 팔찌 서비스 제공

법적 준수:

  1. 법정대리인(부모) 동의 (법 제25조)
  2. 생명·신체 보호 목적 명시
  3. 아동이 거부하면 위치 추적 중단
  4. 부모 앱에서 실시간 위치 확인 가능

사례 4: 위치정보 유출 사고

상황: D기업의 위치기반 앱에서 해킹으로 고객 100만명의 위치 이력 유출

대응:

  1. 즉시 통지: 고객에게 SMS, 이메일로 유출 사실 통지
  2. 신고: 과학기술정보통신부에 신고
  3. 원인 분석: 보안 취약점 발견 및 패치
  4. 재발 방지: 암호화 강화, 접근 통제 강화

처벌:

  • 과징금 부과
  • 관리자 형사 처벌 (업무상 과실)

사례 5: 포털의 위치기반 검색

상황: E포털이 “내 주변 맛집” 검색 서비스 제공

위치정보 수집:

  • 사용자가 검색 버튼 클릭 시 위치정보 수집

법적 준수:

  1. 동의 획득: “위치 정보 제공에 동의하시겠습니까?” 팝업
  2. 즉시 사용 후 파기: 검색 결과 제공 후 위치정보 즉시 삭제
  3. 제3자 미제공: 포털 자체 서비스에만 사용

10. 위치기반서비스 유형

10.1 주요 위치기반서비스

(1) 내비게이션

  • 현재 위치에서 목적지까지 경로 안내

(2) 위치 공유

  • 카카오톡 위치 공유, 친구 찾기

(3) 긴급 구조

  • 119 신고 시 위치 자동 전송

(4) 배달·택시 호출

  • 고객 위치 기반 배달원·택시 매칭

(5) 마케팅

  • 특정 장소 방문자에게 광고 (지오펜싱)

(6) 자산 추적

  • 차량, 물류 추적

(7) 아동·노인 위치 추적

  • 미아 방지, 치매 노인 보호

11. 체크리스트

  • 우리 서비스가 위치정보를 수집·이용하는가?
  • 위치정보 수집 시 동의를 받는가?
  • 동의 시 법정 고지사항을 모두 안내하는가?
  • 8세 이하 아동의 위치정보 수집 시 법정대리인 동의를 받는가?
  • 위치정보를 제3자에게 제공하는가?
  • 제3자 제공 시 개인위치정보주체에게 통보하는가?
  • 위치정보를 암호화하는가?
  • 위치정보 접근 권한을 제한하는가?
  • 위치정보 관리책임자를 지정했는가?
  • 위치정보 이용·제공 사실 확인 자료를 6개월 이상 보존하는가?
  • 목적 달성 시 위치정보를 파기하는가?
  • 위치정보 유출 시 통지·신고 절차가 마련되어 있는가?

학습 정리

오늘 학습한 핵심 내용:

  • 위치정보법은 위치정보를 보호하고 위치기반서비스 발전을 도모하는 법률
  • 위치정보는 매우 민감한 개인정보 (행동 패턴, 사생활 추적 가능)
  • 개인위치정보 수집 시 반드시 동의 필요, 고지사항 명시
  • 8세 이하 아동은 법정대리인 동의 필요
  • 제3자 제공 시 즉시 통보 의무
  • 위치정보 관리책임자 지정, 이용·제공 사실 확인 자료 6개월 보존
  • 암호화, 접근 통제, 로그 관리 등 보호 조치 필수
  • 목적 달성 시 지체 없이 파기
  • 긴급구조를 위해서는 동의 없이 이용 가능 (사후 통보)

다음 학습 주제

Day 18: 의료법 및 생명윤리법 (의료정보 보호)