위치기반사업자 신고 의무
위치 기반 사업을 운영하려면 위치기반사업자 신고는 의무입니다. 이전부터 위치 기반 서비스를 운영해온 업체는 2023년 개정된 관련법을 준수하여 시스템을 바꿔야 합니다. 위치기반 정보 관리 기준 준수, S/W 보안 기준, 관련 교육, 관리 체계를 운영해야만 위치 기반 서비스를 운영할 수 있습니다.
2023년 위치정보사업자 실태 점검
위치 기반 사업을 운영중인 기업은 2023년도 개인정보보호협회로 부터 실태 점검 이메일을 받게 되며 2023년 이후부터 위치기반사업을 준비중인 기업은 위치정보사업 사업자 준수 사항을 기준으로 관련 서비스를 개발해야 합니다.
위치 정보 사업자 점검 기준
- 변경신고 : 시스템, 상호, 소재지 정보 표기
- 양수, 합병신고 : 양수, 양도, 합병 분할 시 정보 처리 기준 표기
- 휴폐업 신고 : 휴폐업 시 정보 처리 기준 표기
- 약관 및 처리 방침 공개 : 이용약관 공개
- 관리적 보호 조치 준수 여부 1 : 관리 책임자, 담계별 접근 권한자 지정, 취급/관리 절차 및 지침 마련, 확인자료, 이행점검
- 관리적 보호 조치 준수 여부 2 : 접근권한, 방화벽, 접근사실 자동기록, 보안프로그램 운영, 암호화
- 개인위치정보의 파기 : 휴/폐업, 목적 달성/동의/철회 시 파기
위치 기반 사업자 실태 점검 위탁 기관
2023년 기준, 위치 기반 사업의 실태 점검은 개인정보보호 협회에 위탁하여 운영되고 있습니다. 개인정보보호 협의는 사실 기관이라기 보다는 공공기관으로부터 비용을 받아 실태 점검 사업을 운영하는 협회입니다. 공공 기관에서 관리만 담당하고 협회에 위탁하여 관련 업무를 진행하고 있다고 보면 됩니다.
협회에서는 관련 서류 검토 및 기술 상담을 지원하고 있으나 가이드 범위 내에서만 상담이 가능합니다. 직접 보안 준수를 위한 기술적 조치와 방안 관련하여 가이드에서 제시하는 기술 外 범위에서 상담을 요청해 보았으나 책임 소지 때문인지 바로 답변을 듣기는 어려웠습니다.
결과적으로 위치 기반 사업을 운영하려면 실태 점검 시 제시하는 기준의 기술을 따라야 합니다. 대체 가능한 시스템이 마련되어 있거나 가이드에서 제시하는 기능이 불필요한 내부 시스템일지라도 협회에서 제시하는 기술을 개발하여 운영할 수 밖에 없습니다.
국내 IT 산업 환경 및 한계
지속적으로 바뀌는 법령과 관련 기능을 의무적으로 지켜야 한다면 API를 만들어 제공하는 것이 맞는 것 같아 문의를 해 보았으나 기술적인 가이드만을 제시할 뿐 가이드 준수를 위한 개발 비용은 중소기업이 부담해야 하는 몫입니다.
국내 IT 환경의 한계를 적나라하게 보여주는 시스템으로 허점도 많지만 국내에서 IT 사업을 하려면 의무적으로 준수할 수 밖에 없습니다. 벤처기업 장관이 바뀔 때 마다 IT 산업 성장을 위해 불필요한 정책 기준을 낮추고 IT 사업하기 좋은 환경을 만들어 갈 것 처럼 발표하지만 쉽게 바뀔 것 같지는 않습니다.
까다로워진 위치 기반 사업 기준
위치 기반 정보를 취급하기 위해서는 개인정보보호 차원에서 엄격한 기준과 시스템을 갖추는 것은 당연합니다. 단, 2023년도 위치 정보 실태 점검에는 다소 과도하거나 특정 기술에 국한된 가이드라인 때문에 중소기업 입장에서는 계획에 없던 지출을 감수하여 시스템을 개선해야 하며 위치 기반 사업을 준비하는 스타트업 입장에서는 진입 장벽이 높아진 것은 분명합니다.
데이터의 암복호화 처리 기술도 다양하며 시스템 접근 권한과 보안 처리 방법 및 기술도 다양합니다. 하지만 위치기반 사업자 대상 가이드라인에서 제시하는 기술을 의무적으로 지켜야 하며 단계별 접근 권한자를 두고 데이터에 접근한 기록을 관리할 수 있는 기능을 개발하여야 하며 관련 담당자를 대상으로 취급/관리 절차 및 지침을 마련하고 정기적인 교육을 실시해야 합니다.
접근 권한에 있어서 투펙트 인증과 비밀번호 규칙 및 변경 주기는 가이드라인을 준수해야 합니다. 관리자가 한 명인 경우, 특정 IP 만 접근 가능한 내부 시스템인 경우에는 사실 투펙트 인증이 필요 없다고 판단되지만 그래도 가이드라인을 지켜야 한다고 합니다. 해당 부처 담당자를 통해 확인해 본 결과 보안 강화를 위해 다른 기술이나 고급 기술을 적용하더라고 해당되지 않는 가이드라인의 기능을 의무적으로 개발하는 것이 원칙이라고 말합니다.
결과적으로 관리 권한과 접속 권한이 다수에게 할당되어 있지 않은 중소 시스템이라도 여러 관리자가 관리하는 시스템을 기준으로 가이드라인의 기능을 준수해야 위치 기반 사업을 운영할 수 있습니다.
위치기반 사업을 위한 사업계획서 양식 및 관련 서식은 위치정보지원센터 사이트에서 다운로드할 수 있습니다.
2023년 개인정보처리방침의 위치 정보 관련 내용 준수
국가법령정보센터에서 위치정보의 보호 및 이용 등에 관한 법률 또는 위치정보의 보호 및 이용 등에 관한 법률 시행령을 확인 후 이용약관, 개인정보처리방침 내용을 변경해야 합니다.
특히, 위치정보법 제 26조 제 1항에 따른 8세 이하 아동’등’에는 장애인, 피성년, 후견인 등도 포함되며 해당 인원들에게도 개인위치정보를 수집하지 않는지 추가 설명을 기재하고 8세 이하아동등에 대한 처리방침이 추가되어야 합니다.
IT 사업의 다양성이 고려되지 않은 가이드 라인
위치기반 서비스를 운영하기 위해 필요한 기능이 다양하며 의무적으로 개발해야 하는 부가적인 기술 또한 다양합니다. 보안 기술은 서비스 운영 정책에 따라 다양하게 변경될 수 있습니다. 하지만 이러한 정책과 다양성을 고려하지 않은 가이드라인 덕분에 관련 기술이 가이드라인의 기준에 맞게 개발될 수 밖에 없습니다.
개인의 위치 정보를 취급하지 않더라도 시설의 위치 정보를 저장할 때 개인위 위치를 기반으로 측정한 시설 정보도 위치 기반 서비스 사업자 신고 대상에 해당됩니다.
위치 기반 서비스 사업자 신고 의무
위치 정보를 기준으로 정보를 저장하는 것 뿐만이 아니라 조회하는 서비스도 위치기반서비스 사업자 신고 대상입니다.
위치 정보는 서비스 이용자(고객)의 GPS 좌표값, Wifi Access Point, 기지국 Cell 정보를 활용하는 서비스를 의미합니다.
위치 정보를 DB에 저장하지 않더라도 서버에 전송받은 위치 값을 기반으로 서비스를 운영하더라도 신고 대상에 해당됩니다.
위치기반서비스를 운영하는 사업자는 의무적으로 위치기반서비스 사업자 신고를 해야하며 신고를 하지 않고 서비스를 운영하는 경우 3년 이하의 징역 또는 3천만원 이하의 벌금이 부과될 수 있으니 반드시 신고해야 합니다.
위치 기반 서비스 신고는 정기적인 실태 점검을 하게 되며 위치 기반 서비스 사업 신고 후 승인이 되었더라도 실태 점검 시 변경된 법령 및 기준에 따라 운영중인 서비스 및 기능을 개선해야 하는 상황이 발생할 수 있습니다.