웨비나

Part 1.

위치정보법의 이해

목차

1. 개요

2. 위치정보사업자 등의 의무사항

3. 허가ㆍ신고 후 사업 관리

4. 법개정 주요내용

1. 개요

5

1-1. 위치정보의 보호 및 이용 등에 관한 법률 제정 목적

제1조(목적) 이법은위치정보의유출ㆍ오용및남용으로부터사생활의비밀등을

보호하고위치정보의안전한이용환경을조성하여위치정보의이용을

활성화함으로써국민생활의향상과공공복리의증진에이바지함을목적으로한다.

동법률은위치정보주체의권익보호와위치정보의산업적이용보장의조화가기본이념

위치정보의 오ㆍ남용 방지에 대한 이용자의 신뢰감이 형성될 때 비로서 관련

산업의 활성화를 도모할 수 있음

위치정보법 제정 목적

위치정보법 제정 사유

?

6

1-2. 위치정보와 개인정보의 비교

(제작된정보) 성명, 전화번호,주소등일반적인개인정보는이용자가직접입력한정보인

반면에위치정보는위치정보업자가설치한측위설비등을통해획득되는제작된정보

(동적정보) 개인정보는비교적장시간에걸쳐유지되는정적정보로서과거의정보가

현재의정보에비해중요성이저하되는반면에위치정보는시간의흐름에따라계속적으로

변화하는동적정보

(누출시높은위험성) 위치정보의오ㆍ남용및누출은생명ㆍ신체에대한침해가능성,

침해의즉시성등개인정보에비해심각한결과를초래

(공공성) 긴급구조에서의활용이가능하며, 교통정보등활용을통해공익적목적달성등

활용가치가매우높음

(산업적활용가능성) 위치정보를기반으로물류, 보험, 경호, 차량관제, 관광정보등산업

전반에걸쳐활용가능성이매우높음

위치정보의 특성(개인정보와 비교)

7

1-3. 위치정보법과 개인정보보호법 비교

구분 위치정보(위치정보법) 개인정보(개인정보보호법)

수범 주체 위치정보사업자등, 모든 사람(제15조) 개인정보처리자

수집 위치정보사업 약관을 고지하고 동의

법 제15조제2항 각 호를 알리고 동의

이용 위치기반서비스사업 약관을 고지하고 동의

3자 제공 제공받는 자, 제공목적을 알리고 동의 법 제17조제2항 각 호를 알리고 동의

사후 통지개인위치정보주체가 지정하는 제3자에게 제공

하는 경우 매회 또는 모아통보(30일이내)-

정보주체의 권리동의 철회, 열람ㆍ고지 및 정정요구권,

일시중지요구권동의철회권, 열람ㆍ고지 및 정정요구권

시장 진입개인위치정보사업 : 허가

위치기반서비스사업, 사물위치정보사업 : 신고-

8

1-4. 위치정보법 주요 용어 및 법률적용 대상

＂위치정보＂란 ①이동성이있는 물건 또는 개인이 ②특정한 시간에 존재하거나

존재하였던 장소에 관한 정보로서 전기통신사업법 제2호 및 제3호에 따른

③ 전기통신설비 및 전기통신회선설비를 이용하여 수집된 것을 말한다.

이동성이있는물건또는개인 : 휴대전화, 차량등이동성이있는물건이나개인에관한정보

전기통신설비 및 전기통신회선설비를 이용하여 수집된 것 : 통상적으로 GPS,

Wi-Fi, 기지국, 비콘 등 측위설비를 통해 생성ㆍ수집된 정보를 의미

※ 전기통신설비 또는 전기통신회선설비를 이용하여 수집된 정보가 아닌 눈으로 본 장소의 정보,

쇼핑몰 가입 시 입력한 주소정보 등은 위치정보에 해당하지 않음

“위치정보”의 정의

해설

9

1-4. 위치정보법 주요 용어 및 법률적용 대상

＂개인위치정보＂란 함은 특정 개인의 위치정보(위치정보만으로는 특정 개인의

위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를

알 수 있는 것을 포함한다)를 말한다.

※ 통상적으로 스마트폰을 이용하여 서비스를 제공하는 경우 개인위치정보를 수집ㆍ이용하는서비스에 해당하지만, 스마트폰을 분실하여 구글ㆍ애플의 “휴대전화 찾기“ 서비스를이용하는 경우 분실된 스마트폰은 사물위치정보에 해당

(법원) 다른 정보를 쉽게 구할 수 있는 지 여부와 관계없이, 해당 정보와 다른

정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아 볼 수 있으면

개인정보에 해당 (서울중앙지법 2011.2.23. 판결)

(방통위) ‘결합 가능성‘ 및 ‘입수 가능성＇을 고려

※ 회사 내의 여러 DB로 분산되어 있거나 제휴회사에서 별도로 보유하고 있더라도

위치정보 관련 서비스를 제공하기 위해 상호 결합될 가능성이 많은 경우를 포함(위치정보법 해설서)

“개인위치정보”의 정의

참고

10

1-4. 위치정보법 주요 용어 및 법률적용 대상

＂위치정보 수집사실 확인자료＂라 함은 위치정보의 수집요청인, 수집일시 및

수집방법에 관한 자료(위치정보 제외)를 말한다.(법 제2조제4호)

“위치정보 수집사실 확인자료”의 정의

＂위치정보 이용ㆍ제공사실 확인자료＂라 함은 위치정보를 제공받는 자,

취득경로, 이용ㆍ제공일시 및 이용ㆍ제공방법에 관한 자료(위치정보를

제외한다)를 말한다.(법제2조5호)

“위치정보 이용·제공사실 확인자료”의 정의

위반행위 벌칙 조항

o 위치정보 수집ㆍ이용ㆍ제공사실 확인자료가 위치정보시스템에

자동으로 기록ㆍ보존되도록 하지 아니한 자

1년이하의 징역 또는

2천만원 이하의 벌금

제41조

제4의2호

벌칙 규정

11

1-5. 위치정보법상 사업자 유형

위치정보를수집하여위치기반서비스사업을하는자에게제공하는것을사업으로

영위하는것을말한다.

※ 단순히 위치정보를 수집하여 회사 안에서 근태관리, 보안구역

감시 등을 위해 내부적으로만 활용한다면 위치정보사업에

해당하지 않음(위치정보법 해설서 P19)

위치정보를이용한서비스를제공하는것을사업으로영위하는것

※ 내부의 근로감독 또는 관리 등의 목적으로 위치정보를

확인하는 경우 사업에 해당하지 않음(위치정보법 해설서 P21)

위치정보사업의 정의

위치기반서비스사업의 정의

12

1-5. 위치정보법상 사업자 유형

위치정보관련사업은위치정보사업과위치기반서비스사업으로구분

위치정보법상 사업자 유형

위치정보주체 위치기반서비스사업자(개인,사물)

이용자

위치기반서비스영역

위치정보수집 위치정보제공

위치정보사업영역

위치정보활용

위치정보사업자(개인, 사물)

구분 행정절차

개인위치정보사업

허가

사물 신고

개인위치기반서비스사업

신고

사물 x

App다운로드

13

1-6. 위치기반서비스사업 비 신고 대상(예시)

위치정보사업 신고 VS 비 신고 대상

이용자 신고대상사업자

APP다운로드

APP개발/등록

위치정보사업자(이통사, 모바일OS 사 등)

①위치정보

수집

②위치정보전송(제공)

③위치기반서비스제공(위치정보이용·제공동의)

위치정보 트래픽 위치기반서비스 제공 절차

<예시>

위치정보 트래픽 위치기반서비스 제공 절차

<예시>

예) 이용자 위치정보를 신고사업자 DB(지도 등)와 가공·처리하여예) 제공하는 경우

이용자 비신고대상사업자

APP다운로드

APP개발/등록

위치정보사업자

①위치정보 수집(수집동의)

②위치기반 API 등 정보요청

③위치기반 API 등 정보제공위치정보사업자

(이통사, 모바일OS 사 등)

예) 단말기로 수집된 위치정보를 사업자 서버에 전송하지 않고단말기 자체에서 위치정보를 처리하는 경우

< 신고 대상 > < 비신고 대상 >

14

1-7. 개인위치정보사업 관련 행정절차

개인위치정보사업 관련 행정절차

사업의 양수 및법인의

합병∙분할

사업의 영위상호,

사무소 소재지변경

위치정보사업이용약관

, 요금 및 조건등 변경

휴지·폐지

15

1-8. 개인위치정보사업 관련 벌칙규정

구분 위반행위 벌칙 조항

사업의 영위o 허가를 받지 않고 위치정보사업을 하는 자

o 속임수 기타 부정한 방법으로 허가를 받은 자

5년 이하의 징역 또는

5천만원 이하의 벌금

제39조

제1호

양수 및 합병o 인가를 받지 아니하고 사업을 양수하거나 합병·분할

한 자2천만원 이하의 과태료

제43조

제1항 제2호

이용약관o 이용약관을 공개하지 않거나 이용약관의 변경내용을

공개하지 아니한 자1천만원 이하의 과태료

제43조

제2항 제3호

휴지ㆍ폐지

o 휴지·폐지 시 위치정보를 파기하지 아니한 자1년 이하의 징역 또는

2천만원 이하의 벌금

제41조

제2호

o 승인받지 않고 사업의 전부 또는 일부를 휴업 또는

폐업한 자2천만원이하 과태료 제43조제3호

상호, 소재지

변 경

o 변경신고를 하지 아니하고 상호나 주된 사무소의

소재지를 변경한자500만원 이하 과태료

제43조제3항

제1호

16

1-9. 사물위치정보사업 관련 행정절차

사물위치정보사업 관련 행정절차

사업의 양수 및법인의

합병∙분할

사업의 영위상호,

사무소 소재지변경

이용약관,요금 및 조건

등 변경휴지·폐지

17

1-10. 위치기반서비스사업 관련 행정절차

위치기반서비스사업 관련 행정절차

사업의 양수 및법인의

합병∙분할

사업의 영위상호,

사무소 소재지변경

이용약관, 요금 및 조건

등 변경휴지·폐지

※ 소상공인, 1인 창조기업은

사업 개시일부터 1개월 이내 신고

18

1-11. 사물위치정보사업/위치기반서비스사업관련벌칙규정

구분 위반행위 벌칙 조항

사업의

영위

o (사물위치정보) 신고를하지않고개인위치정보를대상으로

하지아니하는위치정보사업을하는자 3년 이하의 징역 또는

3천만원 이하의 벌금

제40조

제1의2호

o (위치기반) 신고를하지않고위치기반서비스사업을하는자 제40조 제2호

양수 및

합병

o (사물위치정보/위치기반) 사업의양수, 상속또는합병·분할

신고를아니한자

2천만원 이하의

과태료

제43조

제2항제1호

이용약관o 이용약관을공개하지않거나이용약관의변경내용을

공개하지아니한자

1천만원 이하의

과태료

제43조

제2항 제3호

휴지·폐지

o 휴지·폐지시위치정보를파기하지아니한자1년 이하의 징역 또는

2천만원 이하의 벌금제41조 제2호

o 사업의전부또는일부의휴업ㆍ폐업신고를아니한자1천만원이하

과태료

제43조

제2항제2호

상호,

소재지 변경

o 변경신고를하지아니하고상호나주된사무소의소재지를

변경한자

500만원 이하

과태료

제43조

제3항제1호

19

1-12. 과징금의 부과

방송통신위원회는제13조제1항의규정에의한사업의정지가개인위치정보주체의이익을현저히저해할

우려가있는경우에는사업의정지명령대신매출액의100분의3 이하의과징금을부과할수있다.

속임수그밖의부정한방법으로개인위치정보사업허가ㆍ변경허가ㆍ인가를받거나

위치기반서비스사업신고를할때

휴업기간이지난후정당한사유없이사업을개시하지아니한때

위치정보사업자등이휴업ㆍ폐업승인을받지아니하거나신고를하지아니하고6개월이상계속

사업을하지아니한때

위치정보의수집관련설비또는위치정보보호관련기술적ㆍ관리적조치에중대한변경이발생

위치정보수집사실확인자료및위치정보이용ㆍ제공사실확인자료의보존조치를취하지않을때

제18조제1항또는제19조제1항의규정을위반하여이용약관에명시하지아니하거나동의를받지

아니하고위치정보를수집ㆍ이용ㆍ제공한때

동의의범위를넘어개인위치정보를수집ㆍ이용또는제공한때

관련 조항

사업의 정지 또는 일부 정지 사유

20

2. 위치정보사업자 등의 의무사항

21

2-1. 의무사항에 대한 요약 장표

ㄱ

위치정보 라이프 사이클에 따른 주요 의무사항

제공

파기

수집(위치정보사업자)파기

(위치정보/기반사업자) 수집

이용

제공(위치기반사업자)

이용(위치기반사업자)

위치정보의보호조치

• 허가(제5조)• 약관 공개(제12조제1항)• 약관 동의(제18조제1항)• 개인위치정보주체의

권리보장(제24조)

• 신고(제5조)• 약관 공개(제12조제1항)• 약관 동의(제19조제1항)• 개인위치정보주체의

권리보장(제24조)

• 파기(제23조)

• 제3자 제공 동의(제19조제2항)• 사후통지(제19조제3항)

22

2-2. 이용약관의 공개

(대상) 위치정보사업자및위치기반서비스사업자(소상공인등의위치기반서비스사업포함)

(공개방법 ) 사업자의 홈페이지 또는 위치정보를 수집하는 통신단말장치의 첫

화면이나 첫 화면과의 연결화면을 통해 공개

(이용약관 변경 ) 이용약관 변경이유 및 변경내용을 글자 크기, 색상 등을

이용하여 이용자가 쉽게 확인할 수 있도록 표시

구분 위반행위 벌칙 조항

이용약관의공개

o 이용약관을 공개하지 아니하거나 이용약관의

변경이유 및 변경내용을 공개하지 아니한 자

1천만원 이하의

과태료

제43조

제2항제3호

이용약관의 공개(제12조)

벌칙 규정

2-3. 이용약관 필수 규정

(법 제12조제1항) 서비스의 내용, 수집ㆍ이용 및 제공에 관한 요금 및 조건

(법 제18조제1항 각호)

1. 위치정보사업자의 상호, 주소, 전화번호 그 밖의 연락처

2. 개인위치정보주체 및 법정대리인(제25조제1항의 규정에 의하여 법정대리인의 동의를 얻어야 하는

경우에 한한다)의 권리와 그 행사방법

3. 위치정보사업자가 위치기반서비스사업자에게 제공하고자 하는 서비스의 내용

4. 위치정보 수집사실 확인자료의 보유근거 및 보유기간

(시행령 제22조) 개인위치정보의 수집방법

위치정보사업자

(법 제12조제1항) 서비스의 내용, 수집ㆍ이용 및 제공에 관한 요금 및 조건

(법 제19조제1항 각호)

1. 위치기반서비스사업자의 상호, 주소, 전화번호 그 밖의 연락처

2.. 개인위치정보주체 및 법정대리인(제25조제1항의 규정에 의하여 법정대리인의 동의를 얻어야 하는

경우에 한한다)의 권리와 그 행사방법

3. 위치기반서비스사업자가 제공하고자 하는 위치기반서비스의 내용

4. 위치정보 이용ㆍ제공사실 확인자료의 보유근거 및 보유기간

(시행령 제23조) 법 제19조제3항에 따른 통보에 관한 사항

위치기반서비스사업자

23

24

2-4. 이용약관의 공개 및 동의 방법(예시)

※ 위치기반서비스사업표준이용약관다운로드 : 위치정보지원센터(www.lbsc.kr) 접속

→ 자료및서식(허가/신고서식자료실) → 위치기반서비스사업표준이용약관

▼ 이용약관의 공개 예시 ▼ 이용약관의 동의 예시(연결 화면)

25

2-5. 개인위치정보 수집 및 이용ㆍ제공에 대한 동의

(개인위치정보사업자) 개인위치정보주체의위치정보수집에대한동의획득

(위치기반서비스사업자) 개인위치정보주체의위치정보이용ㆍ제공에대한동의획득

※ 개인위치정보주체가지정하는제3자에게제공하는서비스(ex : 친구찾기, 안심알림서비스)의경우

이용약관에명시하거나팝업창등을통해 ‘제공받는자’및‘제공목적’을개인위치정보주체에게

고지하고동의를얻어야함

개인위치정보 수집 및 이용ㆍ제공 시 동의(제18조제1항, 제19조제1항,2항)

구분 위반행위 벌칙 조항

개인위치정의

수집ㆍ이용 시

동의

o 개인위치정보주체의 동의를 얻지 아니하거나

동의의 범위를 넘어 개인위치정보를 수집ㆍ이용

또는 제공한 자 및 부정한 목적으로 제공받은 자

5년이하의 징역

또는 5천만원

이하의 벌금

제39조

제3호

벌칙 규정

26

2-6. 이용약관 및 동의 FAQ

(Q) (겸업사업자의 이용약관 운영) 개인위치정보사업 이용약관과 위치기반서비스사업이용약관을 통합하여 운영할 수 있는지?

(A) 해당 서비스 제공을 위하여 이용자의 개인위치정보를 수집ㆍ이용할 경우위치정보사업 및 위치기반서비스사업 이용약관의 통합 운영이 가능함

(Q) 위치기반서비스사업자만 위치정보주체와 접점이 있을 경우 개인위치정보수집 및 이용에 대한 동의를 얻는 방법?

(A) 개인위치정보사업자와 위치정보주체의 접점이 없어 현실적으로 동의를 얻기 힘든경우 위치기반서비스사업자가 개인위치정보의 수집에 대한 동의를 대신 받아위치정보사업자에게 전달 가능

(Q) 개인위치정보를 수집ㆍ이용하고자 하는 경우 반드시 이용약관 형태로 동의를얻어야 하는지?

(A) 개인위치정보사업자ㆍ위치기반서비스사업자가 개인위치정보를 수집ㆍ이용하는경우 법 제18조제1항 각호, 제19조제1항 각호의 내용을 이용약관에 명시한 후동의를 얻어야 함. 다만, 사업으로 영위하지 않고 회사 안에 근태관리, 보안구역 감시등을 위해 내부적으로만 활용하는 경우 법 제15조제1항에 따른 동의를 얻어야 함

2-7. 사후 통보

(대상) 개인위치정보주체가지정하는제3자에게위치정보를제공하는서비스제공자

(ex : 친구찾기, 안심알림서비스등)

(통보내용) 제공받는자, 제공일시,제공목적

(통보방법) 해당통신단말기또는개인위치정보주체가특정한통신단말장치또는

전자우편주소로즉시통보

(벌칙규정) 제19조제2항부터제4항까지규정을위반하여고지또는통보하지아니한자 ,

1천만원이하의과태료

사후통보 대상 및 방법(강행규정)(제19조3항)

(절차) 개인위치정보주체에게즉시통보받는방법과모아서통보받는방법을선택할수

있도록절차를마련하고사전동의를얻어야함

(제한기간) 최대30일

(통보방법) 즉시통보와동일

모아통보(임의규정)(제19조4항)

27

2-8. 개인위치정보 등의 파기

(법제8조제4항, 제11조) 위치정보사업자등은사업의전부또는일부휴업또는폐업하는

경우개인위치정보및위치정보수집ㆍ이용ㆍ제공사실확인자료를파기하여야함

(법 제23조) 위치정보사업자등은 개인위치정보의 수집ㆍ이용 또는 제공목적을

달성한 때에는 위치정보 수집ㆍ이용ㆍ제공사실 확인자료 외의 개인위치정보는

즉시 파기 하여야 함

(법 제24조제4항) 위치정보사업자등은 개인위치정보주체가 동의의 전부 또는

일부를 철회한 경우에는 지체없이 수집된 개인위치정보 및 위치정보

수집ㆍ이용ㆍ제공사실 확인자료를 파기하여야 함

개인위치정보의 파기

(법제41조제2호) 제8조제4항또는제11조제1항ㆍ제2항을위반하여위치정보를파기하지

아니한자(1년이하의징역또는2천만원이하의벌금)

벌칙 규정

28

2-9. 개인위치정보주체 등의 권리 보장

개인위치정보주체의자기정보통제권의실현은사전적인장치(개인위치정보수집ㆍ

이용에대한동의권)만으로는부족하며, 이를뒷받침하는사후적인장치마련

(입법취지) 개인위치정보는 개인정보와 달리 시의를 전제로 동태적 성격을 지니므로

이용자는 시간ㆍ대상 등을 한정하여 일시적인 동의유보권을 자유롭게 행사할 수 있도록 함

(내용) 개인위치정보주체는 위치정보사업자등에 대하여 언제든지 개인위치정보의 수집ㆍ이용 또는

제공의 일시적인 중지를 요구할 수 있고, 사업자는 이를 위한 기술적 수단을 갖추어야 함

(벌칙규정) 개인위치정보주체의 일시적인 이용 중지요구를 거절하거나 기술적 수단을 갖추지

아니한 자 2천만원 이하의 과태료

구분 위치정보법 개인정보보호법

정보주체의권리

동의 철회, 열람·고지 및 정정요구권, 일시중지요구권

동의철회권, 열람ㆍ고지 및 정정요구권

< 위치정보법과 개인정보보호법 비교 >

제정 사유

일시정지요구권

29

2-10. 법정대리인의 권리

14세 미만 아동은 개인위치정보의 중요성에 대한 인식이 충분치 않고 자신에게 불리한

내용을 판단하는 능력이 부족하여 불이익을 당할 우려가 크기 때문에 14세 미만 아동의

개인위치정보가 오ㆍ남용되는 것을 막기 위해 법정대리인의 동의를 얻어야 하며,

위치정보사업자등은 법정대리인이 동의하였는지를 확인하여야 함(개정 2018. 12. 24)

입법취지

14세 미만의 아동의 위치정보를 수집ㆍ이용하는 경우 법정대리인의 동의를 얻지 아니하거나

법정대리인이 동의하였는지 확인하지 아니하고 개인위치정보를 수집ㆍ이용 또는 제공한자

(1천만원 이하의 과태료)

구분 수집ㆍ이용 동의 동의 철회

8세 이하 법정대리인 법정대리인

8세 초과 14세 미만 본인 + 법정대리인 본인 + 법정대리인

14세 이상 본인 본인

< 위치정보법상 연령별 개인위치정보 수집ㆍ이용 및 철회 동의 규정 >

입법 취지

벌칙규정

30

31

2-11. 법정대리인의 권리

동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고

정보통신서비스 제공자등(또는 위치정보사업자등)이 그 동의 표시를 확인했음을

법정대리인의 휴대전화 문자메시지로 알리는 방법

동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고

법정대리인의 신용카드ㆍ직불카드 등의 카드정보를 제공받는 방법

동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고

법정대리인의 휴대전화 본인인증 등을 통해 본인 여부를 확인하는 방법

동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나, 우편 또는 팩스를 통하여

전달하고 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법

동의 내용이 적힌 전자우편을 발송하여 법정대리인으로부터동의의 의사표시가

적힌 전자우편을 전송 받는 방법

전화를통하여동의내용을법정대리인에게알리고동의를얻거나 인터넷주소 등 동의

내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 얻는 방법

법정대리인 동의의 확인방법(시행령 제26조의2제1항)

32

3. 허가ㆍ신고 후 사업 관리

3-1. 허가ㆍ신고 후 사업 관리

허가ㆍ신고 후 체크리스트(신규 서비스 출시 및 사업 종료 등)

구분 점검사항 관련 내용

변경신고 상호, 주된 사무소의 소재지 변경 시 변경신고를 했는가? 법 제5조, 제9조

휴지ㆍ폐지 사업의 전부 또는 일부를 휴지ㆍ폐지 시 관련 절차에 따라 처리했는가? 법 제8조,제11조

약관위치정보/기반서비스사업 이용약관에는 필수 규정이 포함되어 있는가? 22페이지 참조

홈페이지 등에 이용약관을 공개하고 있는가? 21페이지 참조

수집 이용약관을 통해 개인위치정보주체(법정대리인 등)의 동의를 얻고 있는가?24페이지 참조

이용 이용약관을 통해 개인위치정보주체(법정대리인 등)의 동의를 얻고 있는가?

제3자 제공

제공받는자, 제공목적을 알리고 동의를 받고 있는가? 법 제19조제2항

개인위치정보 주체가 지정하는 제3자에게 위치정보를 제공하는 경우 사후통보를 하고 있는가?

26페이지 참조

파기 개인위치정보의 수집ㆍ이용ㆍ제공목적을 달성한 때에 즉시 파기하고 있는가? 27페이지 참조

이용자권리보장

적절한 수단ㆍ방법을 통해 개인위치정보 주체 등의 권리를 보장하고 있는가?28~30페이지

참조

33

34

4. 법개정 주요내용 및 현안

35

4-1. 위치정보법 일부 개정안(대안)

대안의 제안경위

의안명 의안번호 대표발의자 발의 일자

위치정보의 보호 및 이용에 관한 법률 일부개

정법률안

4822 허은아의원 2020.11.2.

4877 허은아의원 2020.11.3.

6032 변재일의원 2020.12.2.

6326 조정식의원 2020.12.10.

7537 정희용의원 2021.1.21.

5건의 법률안을 심사한 결과 각각의 법률안은 본회의에 부의하지 아니하고,

통합ㆍ조정한 대안을 제안(2021.5.)

36

4-2 주요 내용

(위치정보정의명확화) 위치정보를 전기통신설비및전기통신회선설비를이용하여

‘측위’된것으로하여위치정보수집목적없이서비스로부터부수적으로파악되는정보를

위치정보에서제외(ex : 카드결제정보, CCTV 영상등)

(허가제를등록제로완화) 개인위치정보를대상으로하는위치정보사업의허가제를

등록제로시장진입규제완화

(위반행위에대한과징금의부과) 개인위치정보주체의동의를받지아니하고해당

개인위치정보를수집ㆍ이용또는제공한자등에게위반행위와관련한매출액의100분의3

이하에해당하는금액을과징금으로부과

(개인위치정보의보유목적및보유기간) 개인위치정보사업자등이개인위치정보의수집및

이용또는제공할때개인위치정보주체에게‘개인위치정보의보유목적및보유기간’을동의

받도록함

주요내용

37

4-2 주요 내용

(개인위치정보처리방침의공개) 개인위치정보의처리목적및보유기간,

수집ㆍ이용ㆍ제공사실확인자료의보유근거및보유기간, 개인위치정보파기절차및방법

등을포함한개인위치정보에대한처리방침을공개하여개인위치정보주체가언제든지

쉽게알아볼수있도록조치

(개인위치정보의파기) 개인위치정보를다른법률에따라보존하여야하거나보유해야

하는정당한사유가있는경우대통령령으로정하는바에따라보유할수있도록하고, 파기

방법및절차를대통령령으로정하도록함

(긴급구조를위한개인위치정보의이용) 긴급상황에서긴급구조기관등이

위치정보사업자에게구조대상자의개인위치정보를요청할때, 해당위치정보사업자가

활용하는기지국ㆍWi-Fi, GPS등각측위방식별위치정보의전부또는일부의범위를정할

수있도록하고자함

주요내용

38

4-2 주요 내용

(시정조치등) 방송통신위원회는이법을위반한자에게해당위반행위의중지등

위반행위의시정에필요한조치를명할수있고, 시정조치의명령을받은자에게

시정조치의명령을받은사실의공표를명할수있도록함

주요내용

감사합니다

39

웨비나

웨비나

Part 2.

위치정보관리적·기술적보호조치

목차

1. 위치정보 보호조치 규정

2. 위치정보의 관리적 보호조치

3. 위치정보의 기술적 보호조치

4

1. 위치정보 보호조치 규정

5

1-1. 위치정보 보호조치 관련 규정

① 위치정보사업자등은위치정보의누출, 변조, 훼손등을방지하기위하여위치정보의

취급ㆍ관리지침을제정하거나접근권한자를지정하는등의관리적조치와방화벽의

설치나암호화소프트웨어의활용등의기술적조치를하여야한다. 이경우관리적

조치와기술적조치의구체적내용은대통령령으로정한다.

② 위치정보사업자등은위치정보수집ㆍ이용ㆍ제공사실확인자료를위치정보시스템에

자동으로기록되고보존되도록하여야한다.

③ 방송통신위원회는위치정보를보호하고오용ㆍ남용을방지하기위하여소속

공무원으로하여금제1항에따른기술적ㆍ관리적조치의내용과제2항에따른기록의

보존실태를대통령령으로정하는바에의하여점검하게할수있다

④ 제3항에따라기술적ㆍ관리적조치의내용과기록의보존실태를점검하는공무원은그

권한을표시하는증표를지니고이를관계인에게내보여야한다.

법 제16조(위치정보의 보호조치 등)

6

1-1. 위치정보 보호조치 관련 규정

① 법제16조제1항에따른관리적조치에는다음각호의내용이포함되어야한다

1. 위치정보관리책임자의지정

2. 위치정보의수집ㆍ이용ㆍ제공ㆍ파기등각단계별접근권한자지정및권한의제한

3. 위치정보취급자의의무와책임을규정한취급ㆍ관리절차및지침마련

4. 위치정보제공사실등을기록한취급대장의운영ㆍ관리

5. 위치정보보호조치에대한정기적인자체검사의실시

② 법제16조제1항에따른기술적조치에는다음각호의내용이포함되어야한다.

1. 위치정보및위치정보시스템의접근권한을확인할수있는식별및인증실시

2. 위치정보시스템에의권한없는접근을차단하기위한암호화ㆍ방화벽설치등의조치

3. 위치정보시스템에대한접근사실의전자적자동기록ㆍ보존장치의운영

4. 위치정보시스템의침해사고방지를위한보안프로그램설치및운영

③ 방송통신위원회는제1항각호및제2항각호에따른조치의세부내용을정하여고시할

수있다. <신설2018.10.16>

동법 시행령 제20조(위치정보의 관리적ㆍ기술적 보호조치)

7

1-2. 위치정보의 관리적·기술적 보호조치 권고 해설서

위치정보의 보호 및 이용 등에 관한 법률 제16조

(위치정보의 보호조치 등)

동법 시행령 제20조

(위치정보의 관리적ㆍ기술적 보호조치)

위치정보의 관리적ㆍ기술적 보호조치에 대한 구체적인 기준 제시

※ 위치정보 보호조치에 대한 위임규정 신설(2018.10.16)

권고해설서(2015.11)의 목적

“위치정보의 관리적ㆍ기술적 보호조치권고 해설서”

8

1-2. 위치정보의 관리적·기술적 보호조치 권고 해설서

권고해설서 목차

9

1-2. 위치정보의 관리적·기술적 보호조치 권고 해설서

개인정보와 위치정보의 보호조치

개인위치정보와 개인정보는 각각 ｢위치정보법｣과 ｢개인정보 보호법*｣에 의해

규율됨

따라서 개인위치정보의 보호에 대해서는 ｢위치정보법｣에 근거한 이 권고의 규정이

우선 적용되며, 개인정보는 ｢개인정보의안전성 확보조치 기준｣등에 따라 적절한

보호조치를 하여야 함

위치정보사업자 등

개인정보처리자

위치정보의 보호 및 이용 등에 관한 법률

위치정보의 관리적·기술적 보호조치 권고

개인정보 보호법

개인정보의 안전성 확보조치 기준

개인정보의 기술적ㆍ관리적 보호조치 기준

개인위치정보

개인정보

(*) 데이터3법개정에따라기존정보통신망법상개인정보보호관련조항이개인정보보호법으로통합됨(‘20.8.5)

10

1-3. 위치정보 보호조치 및 개인정보 보호조치 비교

구분 위치정보 (위치정보법) 개인정보 (개인정보 보호법)

관리적

보호조치

•위치정보관리책임자 지정

•위치정보의 수집ㆍ이용ㆍ제공ㆍ파기 등 각 단계별 접근

권한자 지정 및 권한의 제한

•위치정보 취급자의 의무와 책임을 규정한 취급ㆍ관리

절차 및 지침 마련

•위치정보 제공사실 등을 기록한 취급대장의 운영ㆍ관리

•위치정보 보호조치에 대한 정기적인 자체검사의 실시

•내부관리계획의 수립ㆍ시행

(개인정보 보호책임자 지정,

개인정보취급자에 대한 교육,

보호조치 이행을 위한 세부 사항 등)

•물리적 접근 방지

기술적

보호조치

•위치정보 및 위치정보시스템의 접근권한을 확인할 수

있는 식별 및 인증 실시

•위치정보시스템에의 권한없는 접근을 차단하기 위한

암호화ㆍ방화벽 설치 등의 조치

•위치정보시스템에 대한 접근사실의 전자적 자동 기록

ㆍ보존장치의 운영

•위치정보시스템의 침해사고 방지를 위한 보안 프로그

램 설치 및 운영

•불법적인 접근 차단을 위한 접근 통

제장치의 설치·운영

•접속기록의 보관 및 점검

•개인정보의 암호화

•악성프로그램에 의한 침해 방지 등

11

2. 위치정보의 관리적 보호조치

12

2-1. 위치정보관리책임자 지정

사내 임직원 중 최소 1인의 위치정보관리책임자 지정

위치정보보호 관련 업무를 담당하는 임원 또는 대표자 등으로 임명

개인정보 보호책임자 겸임 가능

위치정보관리책임자 지정

책임자의 역할 위치정보 수집ㆍ이용ㆍ제공ㆍ파기 및 관리에 관한 업무의 총괄

직원 또는 제3자에 의한 위법ㆍ부당한 위치정보 침해행위에 대한 점검

개인위치정보주체로부터 제기되는 위치정보 관련 불만이나 의견의 처리ㆍ감독

위치정보관리책임자의 역할

13

2-2. 접근권한자 지정 및 권한 제한

접근권한자의 지정 및 권한 제한(1/4)

위치정보의 수집ㆍ이용ㆍ제공ㆍ파기 등 단계별

접근 권한자 지정 및 개인별 권한 제한

위치정보시스템에 대한 접근권한을 필요한

최소 인원에게만 부여

* 수집·이용·제공·파기 등 각 접근권한자의 업무별로

필요한 최소한의 권한만 부여

위치정보취급자 변경 시 지체 없이 위치

정보시스템의 접근권한을 변경 또는 말소

위치정보시스템 권한 부여, 변경, 말소

내역의 기록(최소 5년간 보관)

* 권한부여는 인사명령 등으로 공식화 및 보안서약서징구

14

2-2. 접근권한자 지정 및 권한 제한

접근권한 내역 기록ㆍ보관 항목 예시(출처 : 개발자 대상 개인정보 보호조치 적용 안내서)

접근권한자의 지정 및 권한 제한(2/4)

15

2-2. 접근권한자 지정 및 권한 제한

접근 권한 내역·보관 기록 예시(출처 : 개발자 대상 개인정보 보호조치 적용 안내서)

접근권한자의 지정 및 권한 제한(3/4)

계정 관리내역 예시(출처 : 개발자 대상 개인정보 보호조치 적용 안내서)

16

2-2. 접근권한자 지정 및 권한 제한

접근 권한 규칙 설정 예시(출처 : 개발자 대상 개인정보 보호조치 적용 안내서)

접근권한자의 지정 및 권한 제한(4/4)

기타 보호조치 고려

• 인사시스템 등 연동(조직변경, 직무변경, 퇴사 시 자동 권한 회수ㆍ조정)

• 장기 미접속시 계정 잠금, 동시 접속 제한, 관리자 로그인 알림, 관리자 접속 IP 제한 등

17

2-3. 위치정보 취급관리 절차 및 지침 마련

17

책임자의 역할

위치정보의 수집·이용·제공사실 확인자료의 열람·정정 요구 등 위치정보와

관련한 개인위치정보주체의 요구 및 이의ㆍ불만에 관한 사항

위치정보관리책임자 지정 등의 위치정보 보호조직의 구성 및 운영에 관한 사항

위치정보취급자의 정기적인 교육에 관한 사항

그 밖에 위치정보의 안전한 취급과 관리를 위해 필요한 사항

위치정보 취급관리 절차 및 지침 마련

17

책임자의 역할

개인정보 ｢내부관리계획｣ 등에 위치정보 취급 관리 절차 및 지침에 대한

내용이 포함되었다면 ｢위치정보 관리 지침｣ 을 별도로 작성할 필요 없음

참고 사항

18

2-3. 위치정보 취급관리 절차 및 지침 마련(참고)

19

2-4. 위치정보 취급자의 정기적인 교육

정기교육 실시

연1회이상정기적으로실시

집체교육, 인터넷교육, 그룹웨어교육등자체적

교육및외부전문기관을통한위탁교육가능

위치정보취급자대상

교육실시후증적보관(참석자명단, 수료증등)

교육계획수립

• 교육목적및대상• 교육내용(프로그램등포함)• 교육일정및시간• 교육방법등

위치정보 보호에 대한 인식제고를 위해 사내 구현된

관리적‧기술적 보호조치 등에 대한 교육 훈련 프로그램을 수립 및 이행

20

2-5. 위치정보 취급대장의 운영·관리

위치정보사업자 : 위치정보수집사실확인자료(자동기록보존)+ 위치정보열람ㆍ고지확인자료

※ “위치정보 수집사실 확인자료”라 함은 위치정보의 수집요청인, 수집일시 및 수집방법에 관한

자료(위치정보를 제외한다)를 말한다.(법 제2조제4호)

※ 위치정보사업자등은 위치정보 수집ㆍ이용ㆍ제공사실 확인자료를 위치정보시스템에

자동으로 기록되고 보존되도록 하여야 한다.(법 제16조제2항)

위치정보 취급대장의 구성(위치정보사업자)

수집사실확인자료

열람·고지확인자료

수집자 요청서비스 요청자 수집방법 수집요청시간 수집종료시간

A사업자 친구찾기 B사업자 GPS,Wi-Fi2020.01.11.

14:202020.01.11.

14:20

취급자 요청자 목적 일시

<열람·고지 확인자료>

<위치정보 수집사실 확인자료(6개월간 자동기록보존)>

21

2-5. 위치정보 취급대장의 운영·관리

위치기반서비스사업자 : 위치정보 이용ㆍ제공사실 확인자료(자동기록보존) +

위치정보 열람ㆍ고지 확인자료

※ “위치정보 이용ㆍ제공사실 확인자료”라 함은 위치정보를 제공받는 자, 취득경로,

이용ㆍ제공일시 및 이용ㆍ제공방법에 관한 자료(위치정보를 제외한다)를 말한다.

(법 제2조제5호)

위치정보 취급대장의 구성(위치기반서비스사업자)

이용ㆍ제공사실확인자료

열람·고지확인자료

대상 취득경로 제공서비스 제공받는자 제공방법 이용일시

B이용자 A사업자 버스관제 C이용자위치정보시스템

2019.01.11.14:20

취급자 요청자 목적 일시

<열람·고지 확인자료>

이용ㆍ제공사실 확인자료(6개월간 자동기록보존)

22

2-5. 위치정보 취급대장의 운영·관리

위치정보 취급대장의 운영 관리

위치정보 수집ㆍ이용ㆍ제공 확인자료는

위치정보시스템에 6개월 이상 자동으로

기록ㆍ보존되어야 함 (법 제16조제2항)

위치정보사업자등은 위치정보 취급대장에

개인위치정보주체의 직접적인 식별이 가능한

정보를 최소한으로 관리하여야 함

위치정보사업자등은 자동 기록ㆍ보관된 자료가

누출ㆍ변조ㆍ훼손되지 않도록 적절한 기술적

조치를 취하여야 함

취급대장의 내용은 위치정보 수집ㆍ이용ㆍ제공을

확인할 수 있는 수준으로 작성해야 함

23

2-6. 정기적인 자체 검사 실시

정기적인 자체검사 실시

최소 연 1회

위치정보취급자의 위치정보 보호의무 이행여부

위치정보 취급 관리·지침 현행화

위치정보 관리·운영 상의 문제점,

위치정보취급자의 위반사실 발견 시 개선조치

24

2-7 관리적 보호조치 체크리스트

위치정보의 관리적 보호조치 체크리스트

구분 점검사항 관련 내용

책임자 지정 위치정보관리책임자를 지정하고 있는가? 2-1 참고

접근권한자

지정

위치정보의 수집에서 파기까지 단계별 접근권한자를 구분

하고, 권한 부여ㆍ말소기록을 5년 이상 보관하고 있는가?2-2 참고

절차 및

지침

위치정보시스템의 접근통제, 위치정보 취급대장 관리, 암

호화, 시스템 접근기록의 보존, 보안프로그램 설치, 비밀번

호 작성규칙, 교육 등의 절차 및 지침을 마련하고 있는가?

2-3 참고

교육 위치정보 취급자 대상 정기적인 교육을 실시하고 있는가? 2-4 참고

취급대장위치정보 취급대장은 관련 기준에 따라 기록 및 운영ㆍ관

리되고 있는가?2-5 참고

정기검사위치정보 보호조치에 대한 정기적인 자체검사를 실시하고

있는가?2-6 참고

25

3. 위치정보의 기술적 보호조치

26

3-1. 접근권한을 확인할 수 있는 식별·인증 실시

위치정보시스템 접속 시 식별 및 인증(1/2)

식별·인증

내부에서 접속 : 아이디/패스워드

• 비밀번호 유효기간 설정, 동일 또는 유사

비밀번호 재이용 제한, 최저 비밀번호

문자수의 설정 및 제한, 일정횟수 로그인

실패시 아이디 정지 등

외부에서 접속 : 안전한 인증수단을 적용

(2 factor 이상)

• PKI 인증서, 보안토큰, OTP, 생체인식 등

ID/PW 이외에 추가적인 인증수단을 적용

27

3-1. 접근권한을 확인할 수 있는 식별·인증 실시

위치정보시스템 접속 시 식별 및 인증(2/2)

28

3-2. 방화벽 등 접근통제장치의 설치∙운영

방화벽 등 접근통제장치의 설치∙운영(1/2)

인가되지 않은 자의 불법적인 접근 및 침해사고

방지를 위해 자사 환경을 고려하여 접근 제한

기능 및 유출 탐지 기능 솔루션 설치ㆍ운영

침입차단시스템+침입탐지시스템, IPS, Secure OS,

웹방화벽, ACL(Access Control List) 등 적용

※ 국내에서 인증 받은 시스템에 대한 정보는 국가정보원IT보안인증사무국 웹사이트(service1.nis.go.kr)에서 확인 가능

※ 공개용 SW 참고사이트① 한국인터넷진흥원(KISA) 인터넷침해대응센터 → 웹

보안 서비스 → 공개용 웹 방화벽②침입탐지시스템Snort 다운로드웹사이트(http://www.snort.org)

기타 안전성 확보를 위하여 필요한 기술적 조치

29

3-2. 방화벽 등 접근통제장치의 설치∙운영

방화벽 등 접근통제장치의 설치∙운영(2/2)

30

3-3. 암호화 조치

전송구간 암호화 저장 암호화

SSL 인증서 설치 등을 통한

전송구간 암호화

서버에 SSL 설치 소스 수정 테스트

패킷 점검도구(와이어샤크)를

이용하여 암호화 확인

위치정보는 AES-128 이상, ARIA-128

이상, LEA, HIGHT, SEED 등 KISA에서

권고하는 안전한 알고리즘으로

암호화하여 저장

비밀번호는 SHA-2 이상의 안전한

알고리즘으로 일방향 암호화

31

3-4. 접근사실의 전자적 자동 기록·보존 장치의 운영

위치정보시스템 접근사실 기록장치 운영(1/2)

권고해설서에는 위치정보시스템의 접근사실을 6개월 이상 자동 기록 · 보존하도록

권고하고 있으나, 최근 개정된 개인정보의 안전성 확보조치의 기준 등에 따라 최소

1년 이상 보관하는 것이 바람직함 (※ 개인정보의 안전성 확보조치 기준 고시에서는

접속기록에 대해 최소 1년 이상 보관, 단 5만명 이상 정보주체의 개인정보 처리 또는 민감정보

또는 고유식별정보 처리시 최소 2년 이상 보관 요구)

불법적인 접속 및 비정상적인 행위 등의 확인을 위하여 식별자, 접속일시, 접속지

정보, 처리한 정보주체 정보, 수행업무 등 필요한 항목을 모두 포함하여 기록

접속기록이 위·변조되지 않도록 별도의 물리적인 저장장치에 보관, 백업할 때에는

위ㆍ변조 여부를 확인할 수 있는 장비에 보관 등의 보호조치를 하여야 함

(출처) 개인정보의 기술적ㆍ관리적

보호조치 기준 해설서

32

3-4. 접근사실의 전자적 자동 기록·보존 장치의 운영

위치정보시스템 접근사실 기록장치 운영(2/2)

접속 경로별 접근사실 기록 위치 예시

33

3-5. 침해사고 방지를 위한 보안프로그램 설치 및 운영

보안프로그램 설치 및 운영

악성프로그램 등을 방지·치료할 수 있는 백신

소프트웨어 등의 보안 프로그램을 설치 및 운영

하여야 함

보안 프로그램의 자동 업데이트 기능을

사용하거나, 또는 일 1회 이상 업데이트를

실시하여 최신의 상태로 유지하여야 함

운영체제(OS), 응용프로그램 등에 대한 최신의

보안패치 설치

34

3-6. 위치정보의 기술적 보호조치 체크리스트

구분 점검사항 관련 내용

식별ㆍ인증

외부에서 위치정보시스템에 접속할 경우 안전한 인증수단을

적용하고 있는가?3-1 참고

안전한 비밀번호 작성규칙을 적용하고 있는가? 3-1 참고

접근통제

방화벽 정책을 주기적으로 검토하여 재설정하고 있는가 ? 3-2 참고

위치정보 유출을 탐지 및 방지할 수 있는 조치를 적용하고

있는가?3-2 참고

암호화 위치정보의 안전한 전송 및 저장을 위해 암호화하고 있는가? 3-3 참고

로그기록위치정보시스템의 접근 및 행위이력을 일정기간 이상 안전

하게 보관하고 있는가?3-4 참고

보안프로그램

설치ㆍ운영

악성프로그램을 방지할 수 있는 보안프로그램을 설치하여

최신의 상태로 운영하고 있는가?3-5 참조

35

감사합니다 .