첨단 ICT를 기반으로 도시의 교통‧환경‧주거 문제 등을 해결해 시민이 편리하고 쾌적한 삶을 누릴 수 있도록 지원하는 거주 구역인 '스마트도시'에 대한 개인정보 처리 가이드라인이 나왔다.
개인정보보호위원회는 '스마트도시 개인정보 보호 가이드라인'을 마련하고 8일 전체회의에서 논의했다고 밝혔다.
대량의 데이터 활용 기반으로 운영되는 스마트도시 서비스 특성상, 시민의 생활 속에서 생산되는 개인정보의 오남용 등 우려가 꾸준히 제기돼 왔다.
개인정보위는 지난해 추진한 연구 용역과, 학계‧법조계‧산업계‧실무자로 구성된 연구반 논의 결과를 반영해 초안을 마련하고 국토부 등 관계부처 의견을 수렴해 이번 가이드라인을 마련했다.
스마트도시는 행정, 교통, 복지 등 기능별로 다양하게 수집, 축적되는 대규모 개인정보를 연계‧분석해 주민 서비스를 제공한다. 이런 특성을 감안해 스마트도시 기획‧설계 시부터 개인정보 보호 중심 설계(PbD)를 적용하도록 하는 등, 주민의 프라이버시와 인권 보장을 위해 필요한 6대 개인정보 보호 원칙을 마련했다.
개인정보보호법과 6대 원칙에 따라 개인정보 처리 과정에서 점검해야 할 16개 항목을 여섯 단계별로 제시해 개인정보 보호가 명확하게 이행될 수 있도록 했다.
스마트도시 실무자 인터뷰 등으로 현장에서 어려움을 겪는 개인정보 보호 이슈를 발굴해 이슈별로 관련 규정을 구체화하고, 사례를 제시하는 등 실무적인 활용도도 높였다.
가이드는 소관법인 '스마트도시 조성 및 산업진흥 등에 관한 법률'에 다양한 주체가 등장하지만, 개인정보 처리 주체에 대한 규정이 없는 점에 대해 스마트도시계획수립권자인 국토부‧지자체장과 사업시행자 등이 PbD 적용 주체임을 명시했다. 법상 개인정보처리자로 스마트도시기반시설관리청, 스마트도시서비스제공자, 특수목적법인 등이 해당됨을 명확히 했다.
스마트도시 통합플랫폼사업자와 서비스제공자가 협력을 통해 서비스를 제공하는 경우 제3자 제공인지 위‧수탁 관계인지에 대한 구별에 어려움을 겪어 왔다. 이에 제3자 제공과 위‧수탁 관계 간 근거 규정과 목적, 이전 방법 등 구별 기준과 차이점을 안내하고 관련 사례를 제시했다.
스마트도시 현장에서는 사물인터넷(IoT) 기반으로 개인정보가 수집되고, 자동화된 처리가 일상적으로 나타나는 특성상, 사전 동의에 기반한 수집‧이용에 어려움을 호소했다. 이에 정보 주체 동의 없이 처리 가능한 법상 요건을 구체화하고, 관련 사례를 수록했다.
이날 논의된 가이드라인은 전체회의 논의 결과를 반영한 후 이달 중 공개될 예정이다. 개인정보보호법 제‧개정과 기술 환경의 변화를 반영해 지속적인 현행화도 이뤄진다.
박상희 개인정보위 사무처장은 “스마트도시에서는 시민 생활 전반에서 다양하게 수집된 개인정보가 대규모로 집적돼 처리되는 만큼 개인정보 오‧남용 시 입주민 감시‧통제 등 프라이버시 침해로 이어질 수 있다”면서 “개인정보위는 이번 가이드라인 내용을 관련 기관과 업계에 널리 공유하고, 스마트도시에서 처리되는 개인정보가 보다 두텁게 보호되고, 안전하게 활용될 수 있도록 감시자로서의 역할을 해나가는 한편, 구축 초기에 있는 스마트도시가 성공적으로 정착될 수 있도록 지원하겠다”고 말했다.