반응형
위치기반서비스 사업을 제공하려고 할 때 사업자가 준비해야 할 요건을 식별하기 위해 작성한 글이다. 그간 위치기반서비스 사업자 소속으로 일한적은 있었지만, 사업 신고부터 신경을 챙겨왔던 적은 없어서 요건 식별이 필요했고 동일한 문제로 고민하는 분이 계실 수도 있겠다는 생각에 정리해 본다.
요건을 알아보기 전에 우선은 중요한 배경지식 몇 가지를 먼저 설명해 본다.
배경지식
위치정보법을 처음 보면 햇갈릴 수 있는 부분이 위치정보사업과 위치기반서비스사업의 구분이다, 모바일 앱을 기준으로 설명해 보면, 이용자 단말의 위치 권한을 이용해 이용자의 위·경도 좌표를 얻어 해당 위치정보로 서비스를 제공하는 구조일 경우 일반적으로 우리 회사가 위치정보를 수집하니 위치정보사업자라는 생각을 갖게 되는데, 위치정보를 수집한다기보다는 위치정보사업자가 수집한 위치정보를 제공받아 이용하는 위치기반서비스사업자 지위에 해당함을 유념해야 한다.(위치정보법은 위치기반서비스사업자가 위치정보사업자로부터 위치정보를 제공받는 것을 '수집'이라 표현하지 않으며, 단지 위치정보를 이용한다고 표현)
| 위치정보법 제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다. 6. “위치정보사업”이라 함은 위치정보를 수집하여 위치기반서비스사업을 하는 자에게 제공하는 것을 사업으로 영위하는 것을 말한다. 7. “위치기반서비스사업”이라 함은 위치정보를 이용한 서비스(이하 “위치기반서비스”라 한다)를 제공하는 것을 사업으로 영위하는 것을 말한다. |
신고 대상 여부 판단
위치기반서비스사업을 한다고 무조건 방송미디어통신위원회에 신고해야 하는 것은 아니기 때문에 내가 소속된 회사가 신고 대상인지를 파악하는 게 첫 번째로 할 일이며, 아래 세 개 모두에 해당할 경우에 한 해 신고가 필요하다.
- 개인위치정보를 처리하는지?(위치정보주체가 누구인지 알아볼 수 있는지?)
위치정보사업과 달리 위치기반서비스사업은 개인위치정보를 처리할 경우에만 신고 대상에 해당하며, 이 부분은 개인정보의 정의에 빗대어 생각해 봐야 한다.
① 회사가 준비하는 사업이 위치정보를 통해 알아볼 수 있는 자연인의 위치정보를 처리하는지?(법인이나 단체의 위치정보는 해당하지 않음),
② 위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는지? - 개인위치정보를 내부 시스템으로 전송하는지?
위치정보를 이용자 단말 내에서만 처리한다면 신고 대상에 해당하지 않는다. 주의할 점은 저장이 아닌 전송이 기준이란 사실이다. - 위치정보를 이용한 서비스를 제공하고 이를 사업으로 영위하는지?
위치기반 서비스를 제공받는 이용자가 존재해야 하고, 개인적인 용도가 아닌 사업을 목적으로 서비스를 제공해야 한다.
단, 영세한 자가 시범서비스 형태로 위치기반서비스 사업을 할 수 있도록 소상공인이나 1인 창조기업은 신고 없이 위치기반서비스 사업을 할 수 있는 예외 조항이 있으나 사업을 개시한 지 1개월이 지난 후에도 계속해서 위치기반서비스 사업을 하려면 사업 개시일로부터 1개월 이내에 신고가 필수적임을 명심하자.
| 위치정보법 제9조의2(소상공인 등의 위치기반서비스사업의 신고) ① 제9조제1항에도 불구하고 「소상공인기본법」 제2조에 따른 소상공인이나 「1인 창조기업 육성에 관한 법률」 제2조에 따른 1인 창조기업(이하 “소상공인등”이라 한다)으로서 위치기반서비스사업을 하려는 자는 제9조제1항에 따른 신고를 하지 아니하고 위치기반서비스사업을 할 수 있다. 다만, 사업을 개시한 지 1개월이 지난 후에도 계속해서 위치기반서비스사업을 하려는 자는 사업을 개시한 날부터 1개월 이내에 다음 각 호의 사항을 대통령령으로 정하는 바에 따라 방송미디어통신위원회에 신고하여야 한다. 1. 상호 2. 주된 사무소의 소재지 3. 사업의 종류 및 내용 |
요건 설명
| No. | 유형 | 업무 | 비고 |
| 1 | 위치기반서비스사업 신고 | 위치기반서비스사업 신고서 작성 | 신고서 양식 |
| 2 | 사업계획서 작성 o 포함해야 할 내용 - 사업자 현황 - 서비스 내용 - 서비스 시나리오 - 위치정보 데이터 흐름도 - 위치정보의 보호조치 내역 - 위치정보의 관리적 보호조치 내역 - 위치정보의 기술적 보호조치 내역 - 주요설비내역 및 설치 장소 - 주요설비내역 - 설치장소 및 확인서류 [첨부 1] 위치정보의 관리지침 [첨부 2] 위치정보의 기술적 보호조치를 증빙하는 서류 [첨부 3] 법인 설립 또는 사업자 등록 여부를 확인할 수 있는 서류 |
계획서 양식 LBS@kcup.or.kr에 메일을 보내 사전 검토 요청 가능 |
|
| 3 | 주요 설비의 내용 및 설치장소를 확인할 수 있는 서류 준비 | 신고서상에 제출이 필요한 서류지만, 사업계획서와 중복되는 내용이라 위치정보지원센터에 문의한 결과 별도로 제출할 필요 없다는 답변을 받음 | |
| 4 | 보호조치를 증명하는 서류 준비 | ||
| 5 | 위치기반서비스 제공 기반 마련 | 위치기반서비스 이용약관 작성 | |
| 6 | 위치기반서비스 이용약관 동의·철회 절차 구현 ※ 위치정보주체가 14세 미만인 경우 법정대리인 동의를 받아야 함 |
만 14세 미만이 아닌 14세임을 주의 | |
| 7 | 위치기반서비스 이용약관 공개 o 포함해야 할 내용 - 상호, 주소, 전화번호 그 밖의 연락처 - 개인위치정보주체 및 법정대리인의 권리와 그 행사방법 - 제공하고자 하는 위치기반서비스의 내용 - 위치정보 이용·제공사실 확인자료의 보유근거 및 보유기간 - 개인위치정보의 보유목적 및 보유기간 - 개인위치정보 제3자 제공시 통보에 관한 사항 |
글자크기, 색상 등을 활용해 쉽게 확인할 수 있게 표기 필요(위치정보법 시행령 제13조) | |
| 8 | 개인정보처리방침에 개인위치정보 처리에 관한 내용 반영 o 포함해야 할 내용 - 개인위치정보의 처리목적 및 보유기간 개인위치정보 이용·제공사실 확인자료의 보유근거 및 보유기간 - 개인위치정보의 파기 절차 및 방법 - 개인위치정보의 제3자 제공에 관한 사항 - 개인위치정보의 제3자 제공 시 통보에 관한 사항 - 8세이하 아동, 피성년 후견인 보호의무자의 권리·의무와 그 행사방법 - 위치정보관리책임자의 성명, 전화번호 등 연락처나 고충사항을 처리하는 부서의 명칭, 전화번호 등 연락처 |
||
| 9 | 개인위치정보 제3자 제공 동의 절차 구현 o 동의 획득 시 고지사항 - 제공받는자 - 제공목적 ※ 이용약관 명시와 제3자 제공에 대한 고지를 함께하고 단일 동의를 받아도 되고, 별도로 동의를 받아도 됨 |
||
| 10 | 개인위치정보 제3자 제공 통보 o 통보 내용 - 제공받는 자 - 제공일시 - 제공목적 ※ 매회 즉시 통보 또는 동의 후 최대 30일 범위에서 모아서 통보 가능 - 횟수 : 10회, 20회, 30회 등 10배수의 횟수 - 기간 : 10일, 20일 또는 30일 모아서 통보 시 아래 내용을 고지하고 동의를 받아야 함 - 모아서 통보하는 횟수 또는 기간 - 정보주체 요청이 있는 경우 모아서 통보하는 방법에서 즉시 통보 방법으로 변경할 수 있다는 사실 및 요청 방법 |
||
| 11 | 8세이하 아동, 피성년후견인, 중증장애인의 보호의무자의 동의절차 마련 | ||
| 12 | 위치정보주체 권리보장 | 위치정보의 수집, 이용, 제공의 일시적인 중지 요구에 대응할 수 있는 수단 마련 | 동의 철회와 별개로 처리 중지가 가능해야 하기 때문에 동의, 동의 철회 외 중지 상태에 대해서도 시스템 적으로 구현이 필수적임(위치정보법 제24조 제1,2항) |
| 13 | 위치정보주체의 열람요청 응대 o 열람 요청 가능 자료 - 위치정보 이용·제공사실 확인자료 - 위치정보가 제3자에게 제공된 이유 및 내용 |
||
| 14 | 위치정보주체의 동의철회 요청 응대 | 앱이나 엡 내 철회 기능을 사용하지 않고 동의 철회를 고객센터에 요청할 경우 응대 필요 | |
| 15 | 관리적 보호조치 | 위치정보관리책임자 임명 | 법령에는 규정이 없으나 해설서상에는 임원으로 임명하라는 내용이 있음 |
| 16 | 위치정보시스템 권한 관리 |
- 업무를 처리 단계(수집·이용·제공·파기) 별로 구분하고 최소한의 권한을 필요 최소한의 인원에게 부여 - 전보, 퇴직, 인사이동 발생 시 위치정보처리시스템 권한 변경 또는 말소 |
|
| 17 | 위치정보시스템 권한 부여·변경·말소 기록 생성 후 5년간 보관 | ||
| 18 | 위치정보 취급자 대상 연 1회 교육 | ||
| 19 | 위치정보 처리현황 연 1회 점검 | ||
| 20 | 위치정보 관리지침 수립 o 포함해야 할 내용 - 위치정보보호 조직의 구성ㆍ운영에 관한 사항 - 위치정보관리책임자 및 위치정보취급자의 의무와 책임에 관한 사항 - 위치정보의 취급ㆍ관리의 절차에 관한 사항 - 위치정보 이용·제공사실 확인자료 관리에 관한 사항 - 위치정보 파기에 관한 사항 - 개인위치정보 주체의 권리보장 - 위치정보주체의 요구 및 이의ㆍ불만 대응에 관한 사항 - 위치정보 이용·제공사실 확인자료 열람ㆍ고지한 사실에 관한 자료 - 위치정보 침해사고 등이 발생한 경우의 대응방법 및 절차에 관한 사항 ` - 위치정보취급자에 대한 정기적인 교육에 관한 사항 ` - 위치정보 관리현황 점검에 관한 사항 - 위치정보의 기술적 보호 지침 - 위치정보시스템 인증, 인가에 관한 사항 - 위치정보시스템 접근 통제에 관한 사항 - 위치정보시스템 접속기록 보존에 관한 사항 - 보안프로그램 설치에 관한 사항 - 위치정보 암호화에 관한 사항 - 침해사고 대응에 관한 사항 - 패치, 악성코드 관리에 관한 사항 |
||
| 21 | 기술적 보호조치 | 앱 접근권한 고지문 작성 및 반영 | 스마트폰 앱에서 위치 권한을 요청할 경우에 한해 필요 |
| 22 | 위치정보 이용ㆍ제공사실 확인자료 생성 후 6개월 보관 o 포함해야 할 내용 - 대상자정보 - 취득 경로 - 이용시간 - 서비스 - 제공받는 자 - 제공시간 - 제공방법 |
시스템에 자동 기록 필요하며 취득 경로는 이용자 단말의 OS사업자 명을 기재해야 함 예) 안드로이드 OS면 구글 |
|
| 23 | 위치정보 이용ㆍ제공사실 확인자료 별도 저장장치 백업 | ||
| 24 | 위치정보주체의 위치정보 이용ㆍ제공사실 확인자료 열람 요청에 응한 사실에 관한 자료를 생성 후 6개월 보관 o 포함해야 할 내용 - 대상자 정보 - 범위 - 요청자 - 요청일자 - 위치정보취급자 - 열람일시 - 열람 방법 |
||
| 25 | 위치정보시스템 계정 보호대책 적용 o 보호대책 - 비밀번호 유효기간 설정 - 비밀번호 재사용 제한 정책 적용 - 비밀번호 규칙 적용 - 로그인 실패 시 계정 잠금 정책 적용 - 최대 접속시간 제한 |
||
| 26 | 방화벽 보안그룹 등 으로 필요 최소한의 접근만 허용하는 정책 적용 | ||
| 27 | 위치정보시스템 접근기록(감사로그) 생성 후 1년 보관 | 시스템에 자동 기록 필요 | |
| 28 | 위치정보시스템 접근기록 별도 저장장치 백업 | ||
| 29 | 위치정보 전송 암호화 적용 | ||
| 30 | 위치정보 저장 암호화 적용 | 메모리에서 휘발성 처리 시 암호화 적용 불필요 | |
| 31 | 위치정보 및 위치정보 이용·제공사실 확인자료 파기로직 구현 위치정보주체가 위치기반서비스약관 동의를 철회하거나 회원탈퇴 하면 아래 정보를 지체없이 파기해야 함 - 위치정보 - 위치정보 이용·제공사실 확인자료 |
반응형
'(개인)정보보호 지식' 카테고리의 다른 글
| 생성형 AI 학습 방지 설정 (0) | 2025.08.24 |
|---|---|
| [지식] 개인정보 마스킹 근거, 필요성 (0) | 2025.04.19 |
| [지식] Clean Desk(클린데스크) (0) | 2025.04.12 |
| [지식] MS 제품군 EOS(서비스 지원 종료) (0) | 2025.04.05 |
| [지식] Meta 데이터 엑세스 갱신 (0) | 2025.03.23 |
