사물인터넷 활성화를 위한 법적 과제
사물인터넷(Internet of Things, IoT)은 사람과 사물, 공간 등의 모든 것들이 인터넷으로 서로 연결되어 모든 것들에 대한 정보가 수집·생성되고 활용되는 것을 의미한다. 이 개념은 2005년 ITU의 ‘네트워크의 도전(Challenges to the network)’이라는 시리즈물에서 중요하게 다루어졌다. 사물인터넷은 제3차 생산혁명 또는 4차 산업혁명이라고 일컬어질 정도로 새로운 정보통신 환경의 변화를 말한다. 사물인터넷이 적용되는 영역은 도시, 환경, 수자원, 측정, 안전, 의료, 산업통제, 농업, 헬스 등 미치지 않는 분야가 없고, 사물인터넷의 발달은 빅데이터, 클라우드컴퓨팅 등 미래인터넷의 발달과도 밀접한 관련을 가진다. 현재 100억 개 정도의 인터넷 연결 사물 수가 2020년에는 500억 개 정도로 늘어나고, 1인당 연결 사물 개수가2020년에 10개에서 2030-2040년경에는 200개로 늘어날 것으로 예측하고 있다.1 각국과 기업은 미래의 먹거리인 사물인터넷서비스를 위한 연구와 정책개발에 힘쓰고 있으며, 우리나라에서도 방송통신위원회가 2009년 ‘사물통신 기반 구축 기본계획’을 발표하였고, 미래창조과학부가 2014년 ‘사물인터넷 기본계획’을 수립하여 체계적인 사물인터넷의 진흥과 활성화를 도모하고 있다.
사물인터넷을 둘러싼 법적 과제는 첫째 사물인터넷의 구성요소인 센서, 네트워크의 보안 내지 보호문제, 사물 또는 개인 정보의 보호문제와 같이 사물인터넷이 가지고 오는 공통적인 법적 이슈에 대응하는 것, 둘째 사물인터넷을 이용한 특정서비스를 활성화함에 있어서 기존의 개별법을 어떻게 개선할 것인가 하는 개별법적인 이슈에 대한 과제로 나누어 볼 수 있다.
2. 사물인터넷과 개인정보, 위치정보의 관계2
가. 사물인터넷에서 개인정보의 충돌 상황
사물인터넷은 사물과 사물, 공간, 사람의 연결을 전제로 하므로, 사물정보와 개인정보로 나눌 수 있는데, 여기서 법적인 보호 내지 규율 대상으로 되는 정보가 개인정보이다. 그러나 사물정보의 경우에도 그 자체로는 개인을 식별하는 개인정보가 되지 못하지만 개인과 연계를 맺게 되는 경우에는 개인정보가 될 수 있다. 사물정보나 개인정보가 특정시간이나 위치와 결합할 때 즉 이동성을 가질 때에는 위치정보로서 규율된다. 특히 부지불식간에 수집되고 생성되는 사물 또는 개인정보의 보호문제는 기존의 개인정보 보호문제와는 상당한 차별성을 가지는 것이므로, 사물인터넷에 있어서 그 개별서비스를 불문하고 공통적으로 제기되는 이슈는 개인정보의 이용과 보호를 어떻게 조화롭게 해석, 적용할 것인가 하는문제가 된다.
나. 사물인터넷과 개인정보보호법제의 문제점과 개선 방향
1) 위치정보의 개념 혼란과 보호범위의 문제점
현행법상 위치정보는 이동성 있는 물건에 대한 특정 시간과 장소에 관한 정보를 의미하고, 한편 사물인터넷은 물건의 정보를 인터넷을 통하여 연결하여 수집하고 이용하는 것을 기본구조로 하기 때문에, 대부분의 사물정보는 「위치정보의 이용 및 보호에 관한 법률」(이하 위치정보법이라 함)의 규율대상이 된다. 그런데 위치정보법은 익명화된 개인정보나 단순 위치정보, 사물정보 등 일체의 위치정보를 규율대상으로 하는 만큼, 개인을 특정할 수 없는 불특정다수에 대한 익명성 정보도 규율대상이 되는데, 대부분의 사물정보를 이용하는 사물인터넷 발달에 큰 장애가 될 수가 있다. 아울러, 사물인터넷에서 생성 또는 수집되는 정보가 개인정보인지 여부에 대한 엄격한 해석이 필요하다. 개인위치정보의 개념상 ‘다른 정보와 용이하게 결합’하는 경우에는 개인정보성이 부여되는데, 이와 같은 결합가능성으로 개인정보에 대한 범위가 무한정 확대될 수 있기 때문이다. 따라서 개인을 식별할 수 있는 위치정보가 아닌 사물의 단순 위치정보는 개인정보로서 보호가치가 없으므로 사물인터넷에서는 적용하지 않는 것이 바람직하다.
2) 수집·이용·제공에서의 정보주체의 사전 동의의 문제
개인정보보호는 개인정보의 수집·이용·제공에서의 정보주체의 사전 동의를 원칙으로 하고 있다(개인정보 보호법 제15조, 제17조 ; 위치정보법 제15조제1항, 제18조, 제19조 ; 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 제22조). 위 사전 동의방식을 사물인터넷에 관철할 경우의 문제점은, 첫째 부지불식간에 일어나는 사물의 이용에 있어서 매번 사전 동의를 받는 것이 사실상 불가능하여 위 법제의 실효성이 떨어질 뿐만 아니라 이를 관철할 경우 사물인터넷의 활성화에 큰 지장이 초래된다는 것이고, 둘째 위치정보법상 개인식별성이 없는 위치정보에 대하여도 사전 동의를 요구하고 있는데,3 이와 같은 규율가능성은 사물인터넷의 활성화와 본질적인 충돌을 일으킬 것으로 예상된다는 것이다.
따라서 사전 동의방식은 정보주체의 정보권행사를 위한 것이므로, 사물인터넷에 있어서 정보권 행사를 실질적으로 보장받을 수 있는 방식으로 개선하는 것이 필요하다. 인터넷에 연결된 모든 사물에 해당 사물이 개인정보를 수집할 수 있음을 쉽게 알아볼 수 있도록 표시하거나 센서의 작동사실을 알려주는 방식으로 대체하거나 Opt-Out방식으로 변경하는 등의 개선이 필요하다.
3) 개인위치정보의 제3자제공시의 즉시통보의무의 문제점
위치정보법상 위치기반서비스사업자는 개인위치정보를 개인위치정보주체가 지정하는 제3자에게 제공하는 경우에는 매회 정보주체에게 그 사실을 즉시 통보하는 것으로 규정되어 있는데(제19조제3항), 이는 위치정보가 수시로 변하는 사물인터넷에 있어서 실현가능성이 없고, 관철할 경우에는 사물인터넷 활성화에 장애가 될 것이다. 즉시통보 규정은 그동안 사업자에게 많은 비용 등의 부담을 발생케 하고 정보주체에게도 매번 통보를 받느라 불편을 초래한 것인 만큼 이를 개선하는 것이 필요하다. 제19대 국회에 제출된 위치정보법 개정안에서는 이와 같은 불편을 해소하기 위하여 위치기반서비스사업자가 개인위치정보를 제3자에게 제공하는 경우에는 매회 개인위치정보주체에게 통보하도록 되어 있으나 위치기반서비스사업자는 물론 개인위치정보주체에게도 불필요한 통보가 많아, 정보주체가 자신의 개인위치정보를 제공하는 경우에는 통보를 하지 않아도 되고 개인위치정보주체의 동의를 받은 경우에는 대통령령으로 정하는 바에 따라 모아서 통보할 수 있도록 개선을 하고 있다.
4) 위치정보법과 사물인터넷 사업의 규율 문제
사물인터넷 사업은 현행 위치정보법상 위치정보사업자 또는 위치기반서비스사업에 해당되고, 전자는 방송통신위원회의 허가(제5조)를, 후자는 신고(제9조)를 받도록 하고 있다. 그러나 위치정보법 제정 당시인 2005년과 비교하여 사업의 범위가 대폭 확대된 사정을 감안하면 이와 같은 영업규제 방식을 고수하는 것은 산업의 활성화에 지장을 초래할 수도 있겠다. 개정안에 의하면 위치정보산업의 진입규제를 완화하는 내용으로서 개인위치정보를 대상으로 하지 아니하는 위치정보사업 또는 위치기반서비스사업에 대하여 허가 또는 신고대상에서 제외하고 있으며, 위치정보사업 허가, 양수 등에 대한 인가 및 휴지・폐지 승인에 대하여 원칙적 허용의 네거티브 규제방식을 채택하고 있는데 바람직하다.
3. 개별서비스와 사물인터넷
한편, 사물인터넷을 이용한 개별서비스는 모두 개별법의 근거를 가지고 있어서, 일반적으로 사물인터넷을 이용한 개별서비스에 공통적인 법적 이슈를 정리하기는 쉽지 않다. 기존의 개별서비스를 담고 있는 법률의 규율범위와 사물인터넷을 이용한 서비스 사이에 기술적인 차이 내지 법률적인 차이가 있다면, 영업규제를 포함한 다양한 규제방식을 그대로 적용할 수 있는지에 대한 검토가 필요하고, 그 검토 결과에 따라 기존법의 적용을 배제하거나 수정하는 내용의 법률의 개정이 가능할 것이다. 이를테면 사물인터넷을 이용한 원격의료의 경우에 기존의 의료법(제34조)을 적용하는 것이 원칙이겠지만, 사물인터넷을 이용한 원격의료가 의료법상 허용되지 않는다고 한다면 이를 어떻게 해결할 것인가의 문제이다. 원칙적으로는 사물인터넷은 개별서비스의 방법에 불과하므로, 개별서비스의 근거법률의 개정을 통하여 문제를 해결하는 것이 타당하다. 사물인터넷을 이용한 개별서비스의 본질은 결국 사물인터넷서비스 그 자체가 아니라 ‘개별 서비스’ 자체라고 보아야 하기 때문이다. 사물인터넷을 이용한 개별서비스에서 법적 이슈는 개별법에서 사물인터넷을 통한 서비스를 금지하거나 허용하지 않는 법적 장애가 핵심이 될 것이다.
그 밖의 쟁점으로, 최근 시행한 「정보통신 진흥 및 융합 활성화 등에 관한 특별법」(이하 ICT특별법)에 따라, 사물인터넷이 정보통신 융합서비스로서 신속처리 내지 임시허가의 절차를 통하여 활성화되는방법도 없지 않다. 동법에 의하면새로운 기술과 서비스가 기존의 법규에 의하여 허가 등을 받을 수 있는 근거가 없는 경우에는 정부에 신속처리를 요청하고, 신속처리를 하지 못하는 경우에는 임시허가를 통하여 조기에 사업화를 할 수 있는 규정을 마련하고 있으며(제36조, 제37조), 정보통신 기술·서비스 등의 진흥 및 융합 활성화와 관련하여서는 이 법이 다른 법률에 우선하여 적용하도록 규정하고 있다(제4조). 따라서 사물인터넷이 정보통신의 진흥과 융합 관련 사항으로 해석되는 한에 있어서는 다른 개별법에 우선적으로 적용될 수 있는 여지가 있다. 그러나 정보통신 융합 서비스라고 하여 모든 경우에 ICT특별법 제4조를 우선적으로 적용할 수 있는 것으로 해석하는 것은 무리가 없지 아니하고, 동법이 규정하는 신속처리와 임시허가제도의 취지는 개별법상의 진입규제방식을 완화하여 조기사업화를 목적으로 하는 것일 뿐 해당 개별법의 적용을 완전히 배제하는 것으로 보기는 어렵다고 할 것이므로, 가능한 한 개별서비스 소관의 개별법제의 개선에 집중하는 것이 사물인터넷 활성화에서 중요하다고 할 것이다.
4. 결어
사물인터넷이 가지고 올 미래가 다채로울수록 그와 관련된 법적 과제도 다양하게 나타날 것으로 보인다. 사물인터넷의 활성화와 관련하여, 개인정보보호법제, 개별법제, ICT특별법 등 3가지 관점에서 논의가 이루어져야 한다. 사물인터넷에 공통적인 법적 이슈로는 개인정보를 포함한 사물인터넷 각 정보에 대한 보호문제가 중요하고, 특히 현행 위치정보법 등 개인정보보호법제가 사물인터넷의 활성화에 장애가 될 수 있으므로 이 부분에 관하여 합리적인 개선이 필요하다. 또한 사물인터넷을 통한 개별서비스와 관련하여 기존의 법률이 보호하는 규제체계와 충돌할 경우에 이를 해결하기 위한 개별법제에 대한 개선이 요청된다고 하겠다. 사물인터넷서비스를 ICT특별법상의 신속처리 내지 임시허가제도에적용할 수 있는지에 대한 검토도 필요하다. 그러나 한 가지 분명한 점은 사물인터넷의 활성화를 위하여 기존의 법체계를 흔드는 정책은 지양하여야 한다는 점이다. 사물인터넷이 가져오는 미래의 청사진이 중요하듯이, 기존에 형성된 법률관계, 법생활의 안정성과 가치도 그만큼 중요하기 때문이다.