RFID, 즉 무선전파인증에 대한 나무님의 글쓰기가 계속되고 있습니다. RFID에 대응할 공동전선을 구축하기 위해 벌써 6번째 글쓰기를 하고 계신데요. 이제 마지막 글 하나가 남아있습니다. 그 글이 끝나고 나면 어떤 대응전략이 나올지 궁금해집니다. 보다 자세한 내용은 나무님의 에피소드 01세상 - RFID에 대응하는 공동전선을 위하여를 참고하시기 바랍니다. 아래 글은 그곳에서 퍼온 것이랍니다.
------------------------------------------------------------------------------------------
일본의 전자태그에 관한 프라이버시 보호 가이드라인(안)소개
CASPIAN RFID Right to Know Act of 2003
소비자 제품 또는 꾸러미에 위치, 포함하고 있는 RFID 태그가 구매전후에 독립적인 리더기에 고유한 정보를 전송할 수 있음을 언급해야 한다. 그리고 이는 (소비자가 인식할 수 있도록) 확실히 보이는 크기 형태와 위치로, 보여지는 배경과 대조되게 인쇄되어야 한다.
사업자는 재고관리의 요구를 넘어 RFID 식별 정보, 개개인의 비공개 개인정보를 링크, 결합해서는 안된다.
사업자는 직접적으로 또는 회원 가입을 통한 RFID 식별 정보, 개개인의 비공개 개인정보를 제3자에게 노출해서는 안된다.
사업자는 직접적으로 또는 회원이나 제3자를 통해 개인을 식별하기 위해 RFID 태그의 개인식별정보를 사용해서는 안된다.
전자태그에 관한 프라이버시 보호 가이드라인(안)
(경제산업성) 상품 추적가능(traceability) 향상에 관한 연구회
1. 전자 태그에 관한 소비자의 프라이버시 보호의 필요성
개인정보의 보호 문제에 대해서는, 전자태그를 운용하는 경우에 있어서도, 당연히 개인정보의 보호에 관한 법률(2003년 법률 제57호. 이하 개인정보보호법이라 함)의 규제를 받게 된다. 그렇지만 개인정보라 함은 생존하는 개인에 관한 정보로서, 해당 정보에 포함된 성명, 생년월일 그 외의 기술등에 따른 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조회할 수 있으며, 그에 따라 특정의 개인을 식별할 수 있게 되는 것을 포함)(동 법 제2조 제1항)이며, 특정 개인의 식별에 연결되지 않는 정보는, 개인정보에는 해당되지 아니한다. 따라서 이러한 개인정보를 다루지 않는 경우에는 동법의 규제대상이 되지 아니한다.
그러나 이러한 개인정보를 다루지 않는 경우에도, 일반적으로 프라이버시 보호의 문제는 생길 수 있다. 물론 프라이버시 보호에 대해서는, 그 자체로서 일반적으로 논의해야 할 문제이며, 이 연구회에서 그 전체론에 대해서 논의를 행하는 것은 적절하지 아니하다.
단 전자태그는 그 고유의 특성으로부터 생기는 논점이 상정되어 질 수 있다. 즉 전자태그는 그 성질 등이 아직 소비자에게 충분히 인식된 상황에는 도달하지 아니하였기에, 소비자에 물품이 전달되어진 후에도 자신이 보유하고 있는 물품에 전자태그가 붙어 있다는 인식이 없고, 또는 그 성질에 대해서 인식하지 못하며 해당 물품을 소지한체로 이동하는 등의 케이스가 있을 수 있다. 더욱이 전자태그를 통해서 소지하고 있는 물품의 속성이나 고유번호 등의 정보가 해당 소비자가 깨닫지 못하는 사이에 소비자가 원하지 않는 형태로 읽혀질 위험성이 생각되어진다.
판매점 등에서 소비자에 물품이 전해지는 단계에서 해당 전자태그를 떼어 낸다고 한다면 이러한 위험이 발생하지 않을 것이지만, 앞으로 소비자에게 물품이 전달된 후에도 어떠한 형태로든 소비자이익의 확보, 혹은 사회적 필요성을 위해서 전자태그를 장착해 둘 경우를 생각하지 아니할 수 없다. 예를 들면, 리사이클 등의 환경보전목적을 위해 장착해 둘 필요가 있을 경우나, 자동차의 수리이력을 전자태그에 기억시켜서 장착하는 등의 중고차의 안전 증진등에 경우가 그러하다. 이러한 것들은 해당 소비자 개인에게 있어서는 편리성 확보를 위해서가 아닌 경우가 있다.
전자 태그에 관한 개인정보의 보호를 다루는데 대해서는, 상품 트레시빌리티의 향상에 관한 연구회 중간 보고(2003년 4월)에서 이미 일정정도의 정리를 했었다. 구체적으론 개인정보보호법에 비춰보면, 개인정보취급사업자는 개인정보를 안전하게 관리하기 위한 안전관리조치를 구성하도록 의무를 지우고 있기 때문에, 경제성을 중시한 값싼 전자태그에 개인정보를 첨부하는 것을 단순한 기술진보를 기다린 이후에 행하는 것이 바람직하다고 결론지었다.
그러나 위와 같이 전자태그 고유의 특성에서 발생하는 문제가 상정되어지는 이상, 개인정보보호법의 대상외라고 해도, 전자태그 고유의 특성에서 생기는 프라이버시 문제에 맞서서, 이에의한 전자태그가 원활히 사회에 받아들여질 수 있도록 할 필요가 있다.
우리나라(주:일본)에 있어서 규칙을 정하는 경우, 대략 전체의 상세한 사항에 대해서까지 합의(consensus)를 얻지 못하면 규칙을 정하지 않는 경우가 많은데, 이러한 대응은 시기적으로 문제가 발생하고 나서 대응하는 모양새가 되어, 늦장대응이 되기 쉬운 문제점이 있다. 그렇기 때문에 본 연구회에서는 전자태그가 본격적으로 보급되기 전의 현 단계에서도 개인의 프라이버시를 보호하기 위하여, 기업간에서 유통되는 물품의 관리에 전자태그를 사용하는 경우여야지, 소비자에 물품이 전달된 후에도 해당 물품에 전자태그를 장착해 두는 경우에 대해서는, 관계자의 컨센서스를 얻을 수 있는 범위에 있어서 기본적인 생각을 모아서 규칙화를 해 나가는 것이 의의가 있다는 생각에 입각하여 본 가이드라인을 책정하는 것으로 한다. 경제산업성 그리고 관계부처는 본 가이드라인의 책정을 받아 관련 사업자단체 등에 주지시킬 것을 바란다.
2. 전자태그에 관한 프라이버시 보호 가이드라인
제1 (가이드라인의 목적)
본 가이드라인은 전자태그가 갖고 있는 유용성에 유의하면서, 전자태그가 원활히 사회에 받아들여질 수 있도록 하기 위해, 전자태그에 관한 소비자의 프라이버시 보호에 관해 공통의 기본적 생각을 밝히는 것을 목적으로 한다.
제2(가이드라인의 대상 범위)
본 가이드라인은 소비자에 물품이 전달된 후에도 해당 물품에 전자태그를 장착해 두는 경우에, 해당 전자태그 그리고 해당 물품을 다루는 사업자가 대응하는 것이 바람직한 규칙에 대해서 정하는 것이다.
제3(전자태그가 장착해 있는 것에 대한 표시 등)
사업자는 소비자에게 물품이 전해진 후에도 해당 물품에 전자태그를 장착해 둘 경우에는 소비자에 대해서 해당물품에 전자태그가 장착되어 있다는 사실, 그 성질 그리고 해당 전자태그에 기록되어 있는 정보의 내용을 사전에 설명 혹은 게시하며, 또는 해당 물품에 전자태그가 장착되어 있는 사실/ 그 성질 그리고 해당 전자태그에 기록되어져 있는 정보의 내용을 소비자가 인식할 수 있도록, 해당물품이나 아니면 그 포장의 위에 표시를 할 필요가 있다.
제4(전자태그의 읽어오기에 관한 소비자의 최종적인 선택권의 유보)
사업자는 소비자에게 물품이 전해진 후에도 해당 물품에 전자태그를 장착해 두는 경우에 있어서, 소비자가 해당 전자태그의 성질을 이해한 뒤에, 해당 전자태그의 읽어오기를 못하게 하고 싶다고 바라는 경우에는, 소비자의 선택에 따라 해당 전자태그의 읽어오기가 되지 못하도록 하는 일이 가능하도록, 그 방법에 대해서 사전에 설명 혹은 게시하고, 또는 해당 물품 아니면 그 포장의 위에 표시를 할 필요가 있다.
[전자태그의 읽어오기를 못하도록 하기 위한 방법의 예]
알루미늄 상자로 덮어서 차폐할 수 있는 경우에는 알루미늄 상자로 덮는 등, 전자태그와 읽어오기 기계와의 통신을 차단하는 방법, 또는 전자태그 안의 고유번호를 포함한 모든 정보를 전자적으로 소거하는 방법 등.
제5(전자태그의 사회저거 이익 등에 관한 정보제공)
사업자는 소비자가 전자태그의 읽어오기를 할 수 없도록 하는 경우에는, 상품의 리사이클에 필요한 정보가 사라짐으로 인해서 환경보전상의 문제나, 자동차의 수리이력의 정보가 사라지는 것에 따른 안전에의 영향 등, 소비자이익이나 사회적이익이 손상되는 일이 있을 경우에는, 해당 정보에 대해서 표시 그외의 방법으로 소비자에 대해서 정보제공에 임해야 할 필요가 있다.
제6(전자계산기에 보존되어지는 개인정보 데이터베이스 등과 전자태그의 정보를 연계해서 사용할 경우)
전자태그를 다루를 사업자가 전자태그자체에는 개인정보를 기록하지 않는 경우에도, 별도 전자계산기에 보존되어진 개인정보 데이터베이스 등과 전자태그에 기록되어진 정보를 연계해서 사용할 경우에는, 해당 정보는 개인정보보호법상의 개인정보로서 다루어지게 된다.
※개인정보보호법상 개인정보취급사업자에 관한 의무(예시)
(1) 개인정보의 이용목적 관계
▲ 이용목적을 가능한 특정
▲ 이용목적 이외의 이용은 본인의 동의가 필요
(2) 개인정보의 취득관계
▲ 개인정보의 부정한 취득의 금지
▲ 개인정보를 취득할 경우에는 신속하게 이용목적을 본인에 통지 도는 공표
(3) 개인 데이터의 관리 관계
▲ 개인 데이터를 정확하고도 최신의 내용으로 보존하도록 노력
▲ 개인 데이터의 유출, 분실, 훼손 등의 방지를 위해 안전관리조치가 필요
▲ 개인 데이터를 제3자에게 제공하는 경우, 본인의 동의가 필요.
제7(설명/정보제공)
사업자, 사업자단체 그리고 정부기관등의 관계기관은, 전자태그의 이용목적/성질/ 메리트/디메리트 등에 관해서 소비자가 바른 지식을 갖고, 스스로 전자태그의 취급에 대해서 의사결정 할 수 있도록, 정보제공을 행하는 등 소비자의 전자태그에 대한 이해를 돕는 일에 임할 필요가 있다.
제8(소비자의 행동)
사업자는, 본 가이드라인의 기본적 생각에 덧붙여, 그 위에 스스로 사업실태에 응하는 소비자와의 관계를 고려하여, 전자태그의 취급에 대해 사업자단체의 사업장에 있어서의 검토등을 포함하여, 적절한 대응을 취하는 것이 바람직하다.
제9(가이드라인의 재고)
프라이버시 보호에 관한 생각은, 사회정세의 변화, 소비자의 인식의 변화, 기술의 진보 등에 따라 변할 수 있는 것으로, 본 가이드라인은 그러한 제반 환경의 변화를 고려하여 재고할 그리는데 있다. 그리고 전자태그에 관한 프라이버시 보호의 위상에 대해서, 관계자 사이에서 새로운 컨센서스가 얻어질 경우에는, 덧붙여 추가를 행하는 것으로 한다.
