김경환 법무법인 민후 대표변호사는 '온라인 이용자 트래킹과 정보통신망법 개정안'을 주제로 발표했다. 사용자를 온라인에서 트래킹하는 이유는 맞춤형 광고나 프로파일링과 같은 서비스를 제공하기 위함이며, 이를 위한 수단으로 쿠키, 디지털 핑거프린팅 등이 사용되고 있다. 문제는 이러한 트래킹이 진행되는 것을 사용자는 모르는 것이다. 즉, 프라이버시나 개인정보자기결정권을 침해할 수 있다는 것. 김 변호사는 국내 정보통신망법 개정안에 '프로파일링'을 금지시키는 조항이 들어가야 한다고 제언했다.

1. 온라인 이용자 트래킹 과(Online Consumer Tracking)
정보통신망법 개정안
법무법인 민후 김경환 변호사

2. 목 차
온라인 트래킹의 이해
현행 우리나라의 규제
규정GDPR
정보통신망법 개정안

3. 온라인 트래킹의 이해
온라인 트래킹 의 개념1. (online consumer tracking)
온라인에서의 이용자의 행적을 추적하는 것으로 행태정보를 저장하고 분석하며 이- ,
를 기초로 미래 행동을 예측하는 것도 포함
행태정보 방송통신위원회 온라인 맞춤형 광고 개인정보보호 가이드라인 웹 사이트* ( 2017. 2. ) :
방문 이력 앱 사용 이력 구매 및 검색 이력 등 이용자의 관심 흥미 기호 및 성향 등을 파악, , , ,
하고 분석할 수 있는 온라인상의 이용자 활동정보
온라인 이용자 트래킹의 시초는 년 쿠키의 발명으로 시작- 1994

4. 온라인 트래킹의 수단2.
쿠키-
쿠키는 인터넷 사용자가 웹사이트를 방문할 때 사용자의 컴퓨터에 자동으로 설치,∙
되는 작은 임시 텍스트 파일로서 이용자가 특정 사이트를 최초로 방문하면 고유
한 식별번호를 부여하여 이용자의 행적을 기록하는 기능을 가짐
쿠키의 구조는 ‘Set-Cookie: name=value; expires=[Date]; domain=[Domain];∙
로 이루어져 있음path=[Path]; [secure]’
유형 세션 쿠키 와 영구 쿠키: (session cookie) (persistent cookie)∙
유형 기술적 쿠키 와 프로파일링 쿠키 전: (technical cookie) (Profiling cookie).∙
자는 데이터통신의 전달 목적이나 이용자가 요구하는 정보를 제공하기 위해 서비
스제공자에게 필요한 정보를 의미하며 후자는 이용자를 프로파일링해서 기호를,
파악한 다음 광고를 제공하는 데 기여하는 쿠키를 의미함

5. 웹비콘-
픽셀 정도 매우 작은 크기의 투명한 그래픽 파일로 웹 페이지나 이메일에1×1∙
삽입되어 웹 페이지 방문자나 이메일 이용자의 정보를 수집함
플래시 쿠키-
원래 플래시 비디오 세팅을 저장하는 기능으로 사용되다가 온라인 이용자 트래킹∙
수단으로 용도가 확대됨
디지털 핑거프린팅-
특정 이용자가 사용하고 있는 브라우저의 종류 브라우저의 버전 설치된 플, , OS,∙
러그인 등의 특성을 조합해 특정 이용자가 누구인지를 특정하는 방식임
크로스 디바이스 트래킹-
다양한 디바이스로부터 정보를 수집하여 이용자의 행태를 분석 추적하는 기법ㆍ∙

6. 온라인 트래킹의 용도3.
맞춤형 광고- (Online Behavioral Advertising, OBA)
프로파일링- (profiling)
신용위험 지급위험 등의 분석- (risk analysis)ㆍ
자동화된 개인 결정- (automated individual decision making)

7. 온라인 트래킹의 유형4.
당사자형과 제 자형- 3
통신처리형과 프로파일링형-
효율적인 통신처리 목적은 전자 이용자의 성향이나 기호 등의 분석 목적은 후자,∙

8. 형과 형- PI Pseudonym
이용자형 형과 형- , HW SW
예 주민번호는 이용자로부터 식별자를 추출하는 방법이고 단말기 식별을 위하여) ,
설정된 애플 기기의 자리 헥사 고유번호인40 UDID(Unique Device Identifier)
는 로부터 식별자를 추출하는 방법이고 어플리케이션에서 생성한HW , 16byte
의 유일값인 나 안드로이드 가 장착된UUID(Universally Unique Identifier) OS
디바이스가 최초 할때 생성되는 값인 안드로이드 는 로부터 식Boot 64-bit ID SW
별자를 추출하는 방법임

9. 온라인 트래킹의 문제점5.
프라이버시나 개인정보자기결정권 침해-
이용자의 익명성 침해-
차별의 수단-
부정확한 분석으로 인한 피해-

10. 현행 우리나라의 규제
정보통신망법1.
직접적인 규정은 부존재-
제 조의 제 항 제 호의 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는- 27 2 2 6 ‘
장치의 설치 운영 및 그 거부에 관한 사항 의 개인정보처리방침에의 게재· ’
제 조 제 항 제 호의 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필- 22 1 1 ‘
요한 개인정보로서 경제적 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤·
란한 경우 에 동의 불요’
제 조의 이용자의 이동통신단말장치 내에 저장되어 있는 정보 접근시 동의 요- 23 ‘ ’

11. 스마트폰 앱 개인정보보호 가이드라인2. (2015. 8. 6.)
앱이 이용자의 스마트폰 정보에 접근할 수 있는 권한의 범위 앱 권한 를 서비스에- ( )
필요한 범위 내로 최소화하면서 앱 마켓 등록 시 앱 권한 정보와 개인정보 취급방,
침을 알기 쉽게 공개하도록 하여 이용자가 내려 받을지 여부를 판단하기 위한 정보
를 제공하도록 함

12. 온라인 맞춤형 광고 개인정보보호 가이드라인3. (2017. 2.)
첫째 행태정보 수집 이용의 투명성인바 광고 사업자 또는 매체 사업자는 이용자가- , · ,
온라인상에서 자신의 행태정보가 수집 이용되는 사실 등을 쉽게 알 수 있도록 함·
둘째 이용자의 통제권 보장인바 광고 사업자는 이용자에게 통제 수단과 이용방법을- , ,
제공하여야 함
셋째 행태정보의 안전성 확보인바 광고 사업자는 행태정보에 대한 기술적 관리적- , , ·
보호조치를 취해야 하며 최소한의 기간만큼만 행태정보를 보관하여야 함,
넷째 인식확산 및 피해구제 강화인바 광고 사업자는 맞춤형 광고와 행태정보 보호- , ,
등에 관한 사항을 적극적으로 안내하여야 하며 피해구제 기능을 운영하여야 함,

13. 규정GDPR
온라인 트래킹에 대한 규제가 대폭 추가됨*
온라인 식별자 제 조 제 호1. (online identifier, 4 1 )
기기 어플리케이션 툴 프로토콜 쿠키 초고주파 식별 태그 등에서 제공하는 식별- , , , , ,
자를 총칭하는 개념
주소 주소 등- IP , MAC , IMEI, UUID, UDID
은 개인정보로 파악함- GDPR
다면 제 조 제 호의 가명처리 가능함- 4 5

14. 프로파일링 제 조 제 호2. ( 4 4 )
프로파일링 이란 자연인과 관련된 일정한 개인적 측면을 평가하기 위하여 특히 그- ‘ ’ ,
자연인의 업무능력 경제 상황 건강 개인적 선호 관심사 신뢰도 행동 위치 또는, , , , , , ,
이동과 관련된 측면을 분석하거나 예측하기 위하여 개인정보를 사용하는 모든 형태
의 자동화된 개인정보 처리를 의미함 프로파일을 적용하는 자동화된 처리 기법( )
자연인의 개인적 측면의 평가-
분석 또는 예측-
자동화된 처리-

15. 가명처리 제 조 제 호3. ( 4 5 )
가명처리 란 추가정보의 이용 없이는 개인정보가 더 이상 특정 정보주체에게 귀속될- ‘ ’
수 없는 방식으로 개인정보를 처리하는 것을 의미하며 이 경우 추가정보가 별도로,
보관되어야 하고 해당 개인정보가 식별된 또는 식별가능한 자연인에게 귀속될 수 없
게 하는 기술적 관리적 조치가 적용되어야 함ㆍ
은 개인정보로 파악하나 다만 개인정보 활용을 위한 보호 조치로 이해함- GDPR ,
예컨대 수집 목적외 처리시 보호수단 조 가명처리 적용시- a) (6 ), b) data protection
의무 충족함 조 적절한 보안 수준의 유형 조 공익을 위한by design (25 ), c) (32 ), d)
목적 과학 역사 연구의 목적 또는 통계 목적에서 개인정보 처리를 할 때 정보주체, ㆍ
의 자유와 권리를 보호하기 위한 적절한 보안 조치 조 로 이해하고 있음(89 )

16. 프로파일링과 자동화된 개인 결정 제 조4. ( 22 )
제 조 제 항 정보주체는 프로파일링을 포함하여 자신에게 법적 효력을 초래하거- 22 1 :
나 그와 유사하게 중대한 영향을 미치는 자동화된 처리에만 의존하는 결정에 따르지
않을 권리를 가진다 원칙적 금지 의 최소한의 명시사항. ( , BCR )
제 조 제 항 결정이 다음 각 호의 어느 하나에 해당하는 경우에는 제 항은 적용- 22 2 : 1
되지 않는다.
정보주체와 컨트롤러 간에 계약을 체결하거나 이행하기 위하여 필요한 경우(a)
유럽연합 또는 회원국의 법률에 의해서 허용된 경우(b)
정보주체의 명시적인 동의에 근거한 경우(c)
민감정보 등 특수한 범주의 정보는 제 항의 가 적용되지 않음- 2 (a)
아동의 개인정보는 제 항의 모두 적용되지 않음- 2 (a), (b), (c)
* 프로파일링 등 자동화된 개인 결정은 정보주체에 대한 고지 사항임 제 조 제 항( 14 2 (g))
프로파일링 처리하는 경우 개인정보영향평가가 의무사항임 제 조 제 항* ( 35 3 )

17. 이의제기권과 직접 마케팅5. (direct marketing)
제 조 제 항 프로파일링 등 정보처리에 대한 정보주체의 이의권- 21 1 :
제 조 제 항 정보주체의 직접 마케팅에 대한 처리 이의권 이 경우 직접 마케팅- 21 2 : .
과 관련되는 범위 내에서 프로파일링은 직접 마케팅에 포함됨
제 조 제 항 정보주체가 이의하는 경우 개인정보는 더 이상 그 같은 목적으로- 21 3 : ,
처리되어서는 아니 됨
제 조 제 항 제 항 및 제 항에 규정된 권리는 명시적으로 고지되어야 하며 다- 21 4 : 1 2 ,
른 정보와 분리하여 제공되어야 함

18. 정보통신망법 개정안
방향성1.
온라인 트래킹의 근거 조문을 신설하되 프로파일링을 금지한다- , .
프로파일링 원칙적 금지 보호- [ ]
온라인 식별자의 가명처리 등에 의한 활용 활용- [ ]

19. 프로파일링의 금지2.
현행 제 조 개인정보의 이용 제한 정보통신서비스 제공자는 제 조 및 제 조제< > 24 ( ) 22 23
항 단서에 따라 수집한 개인정보를 이용자로부터 동의받은 목적이나 제 조제 항 각1 22 2
호에서 정한 목적과 다른 목적으로 이용하여서는 아니 된다.
개정안 제 조 개인정보의 이용 제한< > 24 ( ) ①정보통신서비스 제공자는 제 조 및 제22 23
조제 항 단서에 따라 수집한 개인정보를 이용자로부터 동의받은 목적이나 제 조제1 22 2
항 각 호에서 정한 목적과 다른 목적으로 이용하여서는 아니 된다.
정보통신서비스 제공자는 자동화된 개인정보 처리 방법으로 이용자의 선호 관심사, ,②
행동 건강 경제상황 신뢰도 업무능력 등 개인적 측면을 분석 예측하거나 결정해서, , , , ㆍ
는 아니 된다 다만 만 세 이상의 이용자로부터 제 항의 동의와 별도의 동의를 얻. 14 1
거나 다른 법률에서 특별히 허용하는 경우에는 그러하지 아니하다. 처리정지권은[ 3. 8.
자 개정안 제 조의 에 있음30 2 ]

20. 온라인 식별자의 가명처리 등에 의한 활용3.
현행< >
제 조 개인정보의 수집 이용 동의 등 정보통신서비스 제공자는 다음 각 호의 어22 ( · ) ②
느 하나에 해당하는 경우에는 제 항에 따른 동의 없이 이용자의 개인정보를 수집 이용1 ·
할 수 있다.
정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제1.
적 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우· 쿠키조항으로[
이해]
정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우2.
이 법 또는 다른 법률에 특별한 규정이 있는 경우3.

21. 정부 개정안< (3. 8.)>
제 조 개인정보의 수집 이용 동의 등 정보통신서비스 제공자는 다음 각 호의 어22 ( · ) ②
느 하나에 해당하는 경우에는 제 항에 따른 동의 없이 이용자의 개인정보를 수집 이용1 ·
할 수 있다.
이용자와의 정보통신서비스의 제공에 관한 계약의 체결 및 이행을 위하여 불가피하1.
게 필요한 경우
정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우2.
이용자 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으3.
로 사전 동의를 받을 수 없는 경우로서 명백히 이용자 또는 제 자의 급박한 생명 신3 ,
체 또는 재산상의 이익을 위하여 필요하다고 인정되는 경우
이 법 또는 다른 법률에 특별한 규정이 있는 경우4.

22. 개정안< >
제 조 개인정보의 수집 이용 동의 등 생략22 ( · ) ②
이용자와의 정보통신서비스의 제공에 관한 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우1.
정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우2.
이용자 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으3.
로 사전 동의를 받을 수 없는 경우로서 명백히 이용자 또는 제 자의 급박한 생명 신3 ,
체 또는 재산상의 이익을 위하여 필요하다고 인정되는 경우
기기 애플리케이션 툴 프로토콜 쿠키 식별 태그 등에서 제공하는 식별자를 대4. , , , , ,
통령령으로 정하는 방법으로 보호조치하는 경우 다만 원활한 통신 또는 이용자가 요.
청하는 서비스의 제공 목적에 한한다.
온라인 식별자가 개인정보임을 밝힘 더불어 동의가 면제되기 위해서는 보호조치를 해야 하고[ .
단서의 목적 제한을 준수하여야 있음 다만 동의 받은 경우는 단서의 목적 제한 없으나 동의를 받.
더라도 프로파일링은 금지되며 프로파일링이 가능하려면 별도의 동의를 받아야 함, ]
이 법 또는 다른 법률에 특별한 규정이 있는 경우5.