3개월에 걸쳐 에피소드에 연재되었던 RFID에 대응하는 공동전선을 위하여라는 글이 마무리되었습니다. 마지막호에서는 개인의 프라이버시를 보호하기 위해서는 어떤 법적 규범이 필요한지에 대한 글이 올려졌습니다. 이 글은 나무의 에피소드 [01세상]에 연재된 글입니다.
size=2><연재순서> RFID에 대응하는 공동전선을 위하여 1. |
RFID에 대응하는 공동전선은 10가지 규범으로 부터
1) 기본적인 문제의식
RFID에 관한 법적 규범은
RFID의 유통과 재고관리의 효용성에 대한 부정이 아니라 개인정보와 프라이버시를 보호하기 위해 필요한 것입니다. RFID 시스템이 이용 목적에
부합되게 활용된다면 프라이버시 침해의 위협은 감소될 것입니다. RFID는 기술적 특성상 국제적 규범인 OECD 프라이버시보호 가이드라인의
"사전동의 원칙"을 지키기 어려운 점이 있기에 더욱 완고한 법적 규범이 필요합니다. RFID에 의해서 수집되는 정보가 개인의 동의 없이
직접적으로 혹은 제 3자를 통하여 분석·제공·가공되는 것에 대한 엄격한 제도적 보완이 필요합니다.
2) RFID의
정의
RFID(전자꼬리표 시스템·무선전파인증)는 ①A transponder (RF tag) electronically programmed
with unique information ②An antenna or coil, ③A transceiver (with decoder), 세가지
요소로 이루워집니다. ①사물에 부착된 'RF tag(이하 전자꼬리표)'의 정보를 ②안테나를 통하여 전파로 ③컴퓨터로 해석되어 정보가
분석·집적되는 것입니다. 부연하면 ③특정 전파를 쏘면 ①태그는 ② 자신의 정보를 담고 있는 신호를 방출하고 ③그 신호를 재수신하여 분석·집적하는
것입니다.
RFID란 위와 같은 시스템임을 의미합니다. RFID에 대한 법적 규범을 이야기 할 때는 각 요소 뿐 아니라 통합적 시스템에
관한 규범을 의미합니다. 즉, ①RF tag, ②RF tag의 정보를 읽어들이는 리더기, ③RF tag 정보를 기록하는 컴퓨터 등등의 요소
④전파를 포함하는 것입니다.
3) RFID에 의해서 수집되는 개인정보의 정의
RFID에 의해서 수집되는 개인정보라
함은 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명ㆍ주민등록번호, 계좌번호, 물품번호, 시간기록, 위치기록, 차량정보, 생체정보
등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수
있는 것)를 포함합니다.
4) RFID에 시스템에서 프라이버시 보호를 위한 10가지 규범
1. 기업·공공기관의 RFID
시스템 도입 시 정부에 사전 보고가 의무화 되어야 합니다.
기업·공공기관에 RFID 시스템이 도입된다면 관계 법에 의하여 정부측에 사전
보고가 의무화 되어야 합니다. 사전보고 없이 시행되는 RFID시스템은 불법입니다. 향후 설립되어야할 (가칭)개인정보보호위원회는 이러한 각종
자료를 바탕으로 프라이버시 영향평가를 수행할 수 있어야 합니다.
2. RFID 시스템은 이용 목적이 명확해야
합니다.
'RFID로 수집된 정보로 마케팅으로 활용하기 위해서'와 같은 추상적 이용목적을 갖는 RFID시스템은 사회적으로 용인될 수 없어야
합니다.
예를 들어 '티머니 카드'라면 요금정산이 이용 목적이라는 것을 명확하게 규정해야 합니다.
3. 개인정보수집·개인의
감시를 목적으로 하는 RFID 시스템의 도입은 2가지의 전제조건이 성립된 후 시행될 수 있어야 합니다.
첫째, (가칭)개인정보보호위원회는
이러한 각종 자료를 바탕으로 프라이버시 영향평가를 필수적으로 받아야 하며, 둘째, 개인의 사전 동의를 받은 후 시행이 가능하도록 해야 합니다.
두가지 전제가 충족되지 않은 상태에서 RFID 시스템을 가동하는 것은 불법입니다.
4. 사업주체는 RFID시스템에 의해서
수집된 개인정보는 개인의 동의 없이 어떠한 경우라도 직접적으로 혹은 제3자에 의해서 가공, 유통, 분석되지 않음을 보증해야 합니다.
보증에 대한 부인은 RFID 시스템의 폐기와 관련 DB 추적·몰수를 의미해야 합니다. 의도된 혹은 의도되지 않은 개인정보침해사고에 대해서
삼진 아웃제를 적용하여 관련 RFID 시스템의 폐기 DB의 몰수·폐기해야 합니다.
5. RFID시스템에 의한 개인정보 활용 동의는
제한적 동의임을 명백히 해야 합니다.
개인정보 활용 동의는 무제한적 활용·유통을 의미하지 않습니다. 동의 받은 개인정보가 활용될 경우
가공되고 있다는 사실, 가공되었다는 사실에 대한 구체적인 정보를 각 사안별로 개인에게 통보해야 합니다. 구체적인 사실이란, 가공목적, 가공시점,
이용기간, 정보의 폐기 시점, 정보를 가공하여 얻은 수익 등을 의미합니다.
6. RFID시스템에 관하여 이루어진 개인의 개인정보
활용 동의는 언제나 철회가능하며 수집된 개인정보에 대하여 개인은 삭제 요구를 할 수 있어야 합니다.
7. RFID시스템을 도입하는
주체(기업, 공공기관 등)는 프라이버시 침해와 관한 배상 기준을 마련해야 합니다.
RFID 시스템 가동 중 발생하는 고의·실수에 의한
프라이버시 침해 문제의 발생을 대비하여 사업주체는 배상 기준을 마련해야 합니다. 이는 사후 피해 구제 절차를 신속하게 진행하기 위해 필요합니다.
8. RFID시스템에 대한 회피는 소비자의 권리로 보장받아야 합니다.
RFID 시스템을 이용하는 기업·공공기관은 RFID
시스템을 회피하는 개인을 부당하게 차별하거나 회유·강요·협박할 수 없습니다. 이 권리에 대한 침해는 법적으로 처벌받아야 합니다. 또한, RFID
시스템에 대한 회피의 권리는 RFID시스템으로 결제시스템 작동할 경우 이외의 결제수단이 보장되어야 함을 의미합니다. 회피의 권리는 공공영역에서
엄격히 보장되어야하며 보안관련 시스템은 프라이버시 영향평가에 따라 예외가 될 수 있습니다.
9. RF tag가 장착된 물품에는 그
존재를 기록해야 합니다.
모든 소비자가 그 물품에 존재하고 있는 RF tag를 인지할 수 있도록 사업주체는 물품에 표기를 해야 합니다.
예를 들어 '티머니 카드'라면 " 1) RF tag를 이용하고 있는 카드입니다. 2) RF tag의 이용목적은 요금 정산을 위한
것입니다. 3) RF tag는 13.56MHz의 단파에 작동하며 인식거리는 10cm입니다. 4) RF tag의 인식은 교통시스템에 한해서
작동합니다. 5) RF tag는 요금정산을 위하여 승차시간, 요금내역 등의 개인정보를 수집합니다." 등과 같은 명확하게 이용자가 알 수 있도록
카드에 기술되어야 합니다.
9. 이용자들이 RFID tag를 쉽게 떼어낼 수 있도록 위치를 표기해야 합니다.
물품 구입을
했다는 이유로 추적·감시·침해에 관한 잔존하는 위험을 제거하기 위하여 소비자는 RFID tag를 떼어낼 권리가 있습니다. 이 권리 보장을 위해서
특정 시간이후 tag 기능이 상실되는 적절한 기술적 장치를 갖추어야 합니다.
10. RF tag를 읽은 리더기 위치는 알려져야 하며
어떤 RF tag를 수집하고 있는지 공개되어야 합니다.
