• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    광장

    발표 및 스마트폰 접근권한 통제규정의 시행

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [ 2017.02 ]


    1. 온라인 맞춤형 광고 개인정보보호 가이드라인(안) 

    방송통신위원회는 2017. 2. 7. [온라인 맞춤형 광고 개인정보보호 가이드라인(안)](이하 “본 가이드라인”)을 발표하였습니다. 본 가이드라인은 ‘온라인 맞춤형 광고로 인한 국민들의 개인정보 침해 우려를 최소화하고 건전한 온라인 맞춤형 광고 생태계를 조성한다’는 취지 하에, 관련된 보호 원칙과 함께 광고사업자 및 매체사업자가 취하여야 할 조치를 제시하고 있습니다. 본 가이드라인은 2017.7.부터 시행될 예정입니다. 


    가. 본 가이드라인의 적용 범위 

    ■ 온라인 행태정보와 온라인 맞춤형 광고에 대하여 적용: 온라인 행태정보란 웹 사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상(웹사이트, 모바일 웹, 모바일 앱 포함)의 이용자 활동정보를 말합니다. 온라인 맞춤형 광고란 온라인 행태정보를 통하여 이용자의 관심 등을 분석·추정한 결과를 바탕으로 맞춤형으로 제공되는 온라인 광고입니다. 온라인 행태정보가 개인정보인지 여부와 상관 없이 적용 가능합니다. 

    ■ 당사자 광고 및 제3자 광고 모두에 대하여 적용: 당사자 광고란 자사 사이트에서 직접 수집한 행태정보를 이용하여 자사 사이트에서 광고하는 경우를, 제3자 광고란 타사 사이트 등에서 수집된 행태정보를 이용하여 제3의 온라인 매체에서 맞춤형 광고를 제공하는 경우를 말합니다. 

    ■ 광고사업자와 매체사업자 모두에 대하여 적용: 광고사업자란 행태정보 수집을 통하여 광고를 전송하는 사업자를, 매체사업자란 행태정보의 수집을 허용하거나 온라인 맞춤형 광고가 전송되도록 매체를 제공하는 사업자를 의미합니다. 양 사업자에 대하여 적용되는 구체적인 의무 내용에는 차이가 있습니다. 


    나. 본 가이드라인의 주요 내용 

    본 가이드라인은 첫째, 행태정보 수집·이용의 투명성 원칙, 둘째, 이용자의 통제권 보장 원칙, 셋째, 행태정보의 안전성 확보 원칙, 넷째, 인식확산 및 피해구제 강화 원칙의 네 가지 원칙을 규정하고 있습니다. 이하에서는 이러한 원칙들을 중심으로 관련 사업자들이 취하여야 할 주요 조치 내용에 관하여 살펴보겠습니다. 


    (1) 행태정보 수집·이용에 관한 투명성 제고 

    ■ 행태정보 수집 및 이용자의 통제 방법 등 온라인 맞춤형 광고 관련 사항을 이용자가 쉽게 알 수 있는 방법으로 표시하여야 합니다. 본 가이드라인은 맞춤형 광고의 종류, 사업자의 종류에 따라 표시사항 및 표시 방법을 달리하여 규정하고 있습니다. 

    - 당사자 광고를 전송하는 광고사업자: 자사 매체(웹사이트·앱)에 온라인 맞춤형 광고 관련 사항을 표시하여야 함 

    - 제3자 광고를 전송하는 광고사업자: 온라인 맞춤형 광고 내부나 주변부에 이용자가 쉽게 식별할 수 있는 표지를 설치하고, 표지로부터 온라인 맞춤형 광고 관련 사항이 안내된 페이지로 링크해야 함 

    - 매체사업자: 광고사업자로 하여금 행태정보 수집을 허용한 경우, 행태정보를 수집하는 광고사업자명, 수집방법 등 관련사항을 홈페이지 첫화면 또는 광고 제공 화면에 표시해야 함 


    ■ 광고사업자는 필요한 최소한의 행태정보만 수집하여야 하며, 민감한 행태정보나 만 14세 미만 아동의 행태정보를 수집하지 않아야 합니다. 

    ■ 광고사업자 또는 매체사업자는 직접 수집한 행태정보를 제3의 광고사업자에게 제공하는 경우 관련 사항을 이용자가 쉽게 알 수 있는 방법으로 알려야 합니다. 

    ■ 광고사업자가 행태정보와 개인 식별정보를 결합할 경우에는 해당 이용자의 사전 동의를 얻어야 합니다. 


    (2) 이용자의 온라인 맞춤형 광고에 대한 통제권 보장 

    광고 사업자는 이용자가 자신의 행태정보 제공 및 온라인 맞춤형 광고 수신 여부를 직접 결정할 수 있도록 다음 통제수단 중 적어도 하나를 이용자에게 제공하여야 합니다. 제3자 광고를 하는 광고 사업자의 경우 이 중 첫번째 방법은 반드시 사용하여야 합니다. 


    ■ 광고 화면 등을 통해 통제권을 직접 제공하는 방법 

    ■ 이용자 단말기(웹 브라우저, 스마트폰)를 통하여 통제권을 제공하는 방법 

    ■ 관련 협회 등 단체의 홈페이지를 통하여 통제권을 제공하는 방법 


    (3) 온라인 행태정보의 안전성 확보 

    ■ 광고사업자는 행태정보에 대하여, 정보통신망법 제28조, 제47조의3 및 방통위 고시 「개인정보의 기술적·관리적 보호조치 기준」을 참고하여 필요한 안전성 확보조치를 취함으로써 행태정보의 유출·노출, 부정사용 방지를 도모하여야 합니다. 

    ■ 온라인 맞춤형 광고 사업자 등은 원칙적으로 목적 달성에 필요한 최소한의 기간만큼만 행태정보를 보관하고, 목적 달성 후 즉시 파기나 안전한 분리저장 등의 조치를 취하여야 합니다. 


    (4) 인식확산 및 피해구제 강화 

    광고 사업자는 이용자나 광고주 등에게 온라인 맞춤형 광고 및 온라인 행태정보 보호 등에 관한 사항을 적극 안내하고, 이용자가 쉽게 문의, 거부권 행사, 피해 신고 접수 등을 할 수 있도록 피해구제 기능을 마련해야 합니다. 


    다. 시사점 

    온라인상의 다양한 행태정보를 활용한 맞춤형 광고가 갈수록 확산되어 가고 있는 현실을 감안하면 본 가이드라인은 온라인 맞춤형 광고를 활용하는 기업의 업무기준으로서 중요한 역할을 할 것으로 기대됩니다. 다만, 본 가이드라인은 자율규제의 성격을 가질 뿐이므로, 본 가이드라인을 위반한 사실만으로 직접적인 제재가 이루어 질 것으로는 생각되지 않습니다. 


    그러나 본 가이드라인은 행태정보를 개인 식별정보와 결합하는 경우 이용자의 동의를 요구하는 등 행태정보의 수집 및 이용에 대하여 개인정보보호법이나 정보통신망법의 개인정보 관련 규정이 적용될 가능성을 배제하지 않고 있습니다. 따라서 행태정보의 수집과정에서 흔히 사용되는 쿠키, UUID, AD ID, IDFA 등 이용자를 특정하기 위한 정보의 성격과 실제 수집되는 행태정보의 전체적 내용에 대한 정확한 법률적 판단이 실제 법적용에 있어 중요할 것으로 예상됩니다. 


    2. 스마트폰 접근권한 통제규정의 시행 

    2017. 3. 23.부터 스마트폰 앱 접근권한에 관한 최초 법규정인 정보통신망법 제22조의2가 시행될 예정입니다. 정보통신망법 제22조의2는 ‘서비스 제공자들의 무분별한 스마트폰 앱 접근권한 설정으로 인한 개인정보 유출 위험을 방지하고 이용자 선택권을 강화한다’는 취지 하에 이용자의 접근권한 통제권을 규정하는 조항이고, 2017. 3. 23. 이후 공급 또는 갱신되는이동통신단말장치 또는 그 소프트웨어에 적용될 예정입니다. 이를 계기로 위 규정들의 내용을 간단히 정리해 보고자 합니다. 


    가. 이용자에게 접근권한을 안내하고 동의받을 의무 

    포털, 온라인게임, 전자상거래, 온라인 미디어, 온라인 소셜미디어, App 운영자 등 정보통신서비스 제공자로서, 스마트폰·태블릿 등 이동통신단말장치를 통해 서비스를 제공하는 사업자는 이용자의 이동통신단말장치 내의 정보 및 기능에 대한 접근권한(‘접근권한’)이 필요한 경우 서비스 제공에 반드시 필요한 경우와 그렇지 않은 경우를 구분하여 각각 세부 항목과 이유를 이용자가 명확히 인지하도록 알리고 동의를 받아야 합니다(법 제22조의2 제1항). 


    ■ 접근권한 범위: 이용자의 동의를 받아야 하는 구체적 접근권한의 범위는 아래와 같습니다(시행령 제9조의2 제1항). 

    2017.02(8)_1.JPG


    ■ 동의의 방법: 동의는 이동통신단말장치에 소프트웨어를 설치 또는 실행하는 과정에서 소프트웨어 정보, 별도 화면 등에 표시함으로써 이용자가 그 내용을 명확하게 인지할 수 있도록 알리고, 이용자로 하여금 동의 여부를 선택하게 하여야 합니다(시행령 제9조의2 제2항). 


    나. 선택적 접근권한에 대한 동의거부를 이유로 서비스 제공을 거부하는 행위를 금지

    정보통신서비스 제공자는 서비스 제공에 반드시 필요하지 않은 선택적 접근권한에 이용자가 동의하지 않는다는 이유로 이용자에게 해당 서비스의 제공을 거부할 수 없습니다(법 제22조의2 제2항). 


    다. 운영체제 제작·공급자, 단말장치 제조업자, 소프트웨어 제작·공급자의 이용자 보호의무 

    이동통신단말장치의 운영체제 제작·공급자, 단말장치 제조업자, 소프트웨어 제작·공급자는 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 합니다. 시행령 제9조의2 제4항 내지 제7항은 동의 및 그 철회권과 관련하여 위 사업자들이 부담하는 의무를 구체적으로 규정하고 있습니다(법 제22조의2 제3항). 


    라. 향후 전망 및 시사점 

    ■ 정보통신망법 제22조의2 제2항을 위반하여 서비스 제공을 거부한 정보통신서비스 제공자와, 제3항을 위반하여 동의 및 철회방법을 마련하는 등 이용자 정보 보호를 위하여 필요한 조치를 하지 아니한 이동통신단말장치의 운영체제 제작·공급자, 단말장치 제조업자, 소프트웨어 제작·공급자 등에 대하여는 3,000만원 이하의 과태료가 부과될 수 있습니다(법 제76조 제1항 제1호 및 제1의2호). 그러므로 앱 운영자 뿐 아니라 OS 제작자, OS 공급자, 단말기 제조사, 소프트웨어 제작자, 소프트웨어 공급자들도 이 조항을 준수하도록 필요한 조치를 취하여야 할 것입니다.


    3. 결론 

    온라인상의 개인화된 서비스가 중요해지고, 개인의 행태정보를 바탕으로 한 맞춤형 광고, 모바일 서비스의 활성화 등 온라인상의 정보통신서비스 이용환경이 복잡다양해 짐에 따라, 본 가이드라인과 스마트폰 접근권한 제한규정(정보통신망법 개정령)의 시행은 온라인 광고를 수익모델로 하거나 모바일 기기를 통한 서비스를 제공하는 사업자가 취해야 할 프라이버시, 개인정보보호 조치의 수준과 내용을 정하는 중요한 기준이 될 것으로 예상됩니다. 하지만, 특정한 식별자, 특정한 정보, 특정한 행위 만을 기준으로 이들 기준의 적용 여부를 기계적으로 판단할 수 없는 바, 이는 복잡다단한 온라인 맞춤형광고의 현실과 스마트폰의 운영, 활용 실태를 감안하면 불가피한 것으로 보여집니다. 


    따라서, 각 사업자는 구체적으로 처리하는 정보의 내용과 방식에 따라 본 가이드라인 및 개정 정보통신망법의 규정이 어떤 영향을 미칠 것인지 구체적, 개별적인 검토를 하여 필요한 조치를 정하여야 한다는 점을 유의하시기 바랍니다. 


    박광배 변호사 (kwangbae. park@leeko.com) 

    채성희 변호사 (sunghee.chae@leeko.com)