Privacy and Data Protection Issues relating to the Utilisation of Drones
2015년 6월 16일, 유럽 개인정보보호 작업반
이 자료는 개인정보 보호위원회의 번역입니다. 전체 번역본은 개인정보 보호위원회 다음 자료를 참고하시기 바랍니다. ☞ EU 드론활용에 관한 프라이버시 및 개인정보보호에 대한 제29조 작업반의 의견서
요약
유럽 민간 항공 시장에서 점진적으로 드론을 통합한다는 점과 (레저, 서비스, 사진, 물류지원 및 사회제반에 대한 감시 등) 다양한 목적으로 드론이 활용된다는 점을 고려하여, 대규모 드론 및 센서기술의 활용으로 인한 개인의 프라이버시 침해문제와 시민의 자유 및 정치적 자유의 침해문제에 초점을 맞추고 기본권 및 개인정보보호를 보장하기 위해 필요한 조치를 평가할 필요가 있다.
실제로 드론에 탑재된 기기를 통한 개인정보처리(식별된 또는 식별될 수 있는 개인과 관련한 이미지, 음성, 지리위치 정보 등)와 관련하여 여러 가지 프라이버시 문제(risk)가 발생할 수 있다. 이러한 문제(risks)로는 지상에서 드론을 보기 어려워 처리 유형을 알 수 없다는 투명성의 부족 문제, 탑재된 개인정보처리 기기를 확인하기 어렵다는 문제, 수집된 개인정보의 처리목적 및 정보수집자를 알 수 없다는 문제 등이 있다. 게다가 드론은 드론의 민첩성과 여러 대의 드론을 상호 연결할 수 있다는 가능성 때문에 독보적으로 유리한 이점을 가질 수 있다. 예를 들어 드론은 장애물을 피하거나 장벽, 담장, 울타리 등에 제한을 받지 않아 육안으로 직접 보지 않고도 오랜 휴식시간이 없이 대규모 지역에서 다양한 정보를 쉽게 수집할 수 있다(그러나 대량의 개인정보 수집의 높은 위험성과 부당하게 다용도로 사용될 가능성이 있음).
드론을 이용한 개인정보처리가 법률 집행의 목적으로 수행되는 경우에도 개인의 권리 및 자유를 침해할 위험이 있다.
본 의견서는 이러한 문제를 해결하기 위해 지침95/46/EC에 규정된 예외조문(eg:가정에서 사용 시 법률 면제, 언론목적 또는 법집행목적을 위한 처리)을 고려하여 본 의견서의 범위를 명확히 규정하였으며, 본 의견서는 드론과 관련하여 개인정보보호 규정을 올바르게 지시하기 위한 지침을 제공한다.
회원국의 국내법이 드론을 허용하는 경우 민간항공관리국(Civil Aviation Authorities, CAAs)의 특별허가에 대한 필요성을 증명하고, 적법한 처리에 대한 가장 적절한 기준을 모색하고, (불필요한 개인정보 수집을 피하기 위해 가장 적절한 기술 및 조치를 선택하여) 목적제한원칙, 데이터최소화원칙 및 비례성 원칙을 준수하며, 진행되는 케이스에 가장 적절한 방식으로 (정보주체에게 진행 중인 처리에 대해 고지함으로써) 투명성 원칙을 지키는 것은 드론 활용 전에 반드시 준수되어야 하는 의무사항이다. 마찬가지로 모든 적절한 안전조치를 채택해야 하며, 꼭 필요하지 않은 개인정보는 삭제하거나 익명처리 해야 한다.
이 밖에, 유럽 제29조 개인정보보호 작업반(WP29)은 프라이버시중심디자인 및 프라이버시중심설계 조치의 채택을 권고하며, 드론 기술적용이 프라이버시권 및 개인정보보호권에 어떠한 영향을 미치는 지 평가하는 적절한 도구로 개인정보보호 영향평가를 제안한다. 또한 이용자의 인식을 제고하기 위해 드론 제조업자들이 (사용설명서 내부 등) 드론 포장 안에 해당 기술사용으로 인한 프라이버시 침해 가능성과 필요한 경우 드론이 사용될 명확한 위치와 관련된 충분한 정보를 제공하도록 권고한다.
또한 본 의견서는 드론을 책임 있게 사용하도록 보장하기 위한 구체적인 규정을 도입함으로써(여기에는 사유지에 대한 보호가 반드시 포함되어야 한다) 개인정보보호 뿐 아니라 모든 관련 기본권을 보장하기 위한 프레임워크를 강화하기 위해 유럽 및 회원국 정책입안자에게 권고안을 제시한다. 뿐만 아니라 WP29는 정책입안자들에게 드론의 상업적 이용에 대한 규제 조문(운항면허의 발급/취소와 감항 인증 기준, 비행자격 및 훈련과의 연계)에 개인정보보호에 관한 내용을 도입할 것을 요구하며 개인정보보호기관과 CAA간의 긴밀한 협력을 요구한다.
WP29는 제조자 및 조작자에게 프라이버시중심 디자인 방침의 일환으로 프라이버시 친화적인 디자인과 프라이버시 친화적인 설계를 권고하며, (가능한 경우) 디자인 및 드론사용정책 도입 시, 개인정보보호담당관이 참여할 수 있도록 권고하며 다양한 산업 이해관계자들과 조종자가 [프라이버시] 침해를 예방하고 드론 사용에 대한 사회인식을 제고하도록 행동강령을 채택할 것을 권고한다. 뿐만 아니라 드론을 통해 수집된 개인정보를 법집행 목적으로 활용하는 것과 관련하여 구체적인 권고안을 제시했다. 특히 드론을 이용한 법 집행관련 개인정보처리는 규정 상 지속적인 추적을 허용해서는 아니되며 사용된 기술기기와 센서기기는 반드시 처리의 목적에 부합해야 한다.
5. 최종 지표(indications) 및 권고
항공시장을 드론에 개방하게 되면 개인의 프라이버시와 시민의 자유와 정치적 자유에 대한 잠재적 위험성 및 [부정적인] 결과가 수반될 수 있다는 점에서, WP29는 유럽 및 각 회원국의 입법자들과 드론 및 관련 기기의 제조자와 드론 조작자/사용자가 다음 지표(indications)와 권고안에 주목하도록 하고 있다. 해당 지표와 권고안은 WP29 의견서와 현재 의견서에 참조된 문서에 이미 포함되어 있는 지침 이외의 지침을 제공하는 것을 목적으로 한다.
5.1 드론 운항 전 조치
1. 국내법이 드론 운항을 허용하고 있는 지, CAA의 특별 허가가 필요한 지 확인하라.
2. 가능한 다른 행위자의 역할을 명확히 하라. 정보처리자가 개인정보 처리를 직접하지 않는 이상, 그 처리는 수탁처리자가 정보처리자에게 구속되는 계약 또는 법률에 따라야 하며, 해당 수탁처리자는 오직 정보처리자의 지시에 따라 행동해야 한다.
3. 드론의 운항 목적, 유형(차원, 가시성 등) 및 드론에 탑재된 센서 기술의 특정 결합을 고려하여 개인정보에 미치는 영향을 평가하라. (정보주체의 동의, 계약의 이행, 법적 의무사항, 정당한 이익 등) 가장 적절한 법적 근거를 확인하고 국내의 개인정보보호법에 따라 소관 DPA에 고지/협의해야할 필요성을 확인하라.
4. 가장 비례적인(proportionate) 탑재 기술을 선택하고 프라이버시 중심 설정(prviacy by default)의 모든 적합한 조치를 채택한다. 불필요한 개인정보를 수집하거나 추가처리하는 것을 피하기 위한 방법으로 서비스 및 제품을 설정하라.
5. 개인정보 처리로 인해 영향을 받을 수 있는 사람들에게 사전에 통지하기 위한 가장 적합한 방법을 찾아라. 특정 구역에서 가시거리에서 운행하는 경우, 표지판이나 정보문서를 통해 이를 고지하라. 행사의 경우, 소셜매체, 신문, 리플렛이나 포스터의 수단으로 일반인에게 통지하라. 관련 웹사이트에 명확한 정보를 항시 제공하라. 해당 통지 내용에는 정보처리자에 대한 확실한 표식과 처리 목적이 포함되어야 하며, 이 통지내역은 정보주체가 본인과 관련된 시각·비(非)시각 기록물에 대한 열람권을 행사할 수 있도록 명확하고 구체적인 지표를 제공해야 한다.
6. 개인정보 처리로 나타나는 위험과 정보의 성격에 적합한 보호 수준을 보장하기 위해 특히 “전송(transmission)” 단계에서 무단 처리를 특히 방지하기 위해 가장 적합한 기술·관리적 조치를 취한다.
7. 불필요한 개인정보는 수집 후 즉시 또는 가능한 빨리 삭제하거나 익명처리한다.
5.2 입법 및 분야별 규제 담당자들에 대한 권고
민간 부문에서의 드론사용에 대한 항공시장의 개방은 다음과 궤를 같이 한다.
1. 유럽 전체 및 회원국 차원에서의 항공 안전뿐만 아니라 모든 기본권 존중을 보장하기 위한 프레임워크의 촉진. 이를 위해 WP29는 민간 항공에서의 드론사용과 관련한 논쟁이 관련 이해관계자들의 참여를 독려한다.
2. 국경 간 드론 운영 시 적용법률 문제 등, 드론과 관련한 회원국 정책의 조화 및 현대화
3. 상기 프레임워크의 일부로서 책임 있는 드론의 사용을 확보하기 위해 사유지(가든, 마당, 테라스 등)를 반드시 포함하여 구체적인 규정의 도입. 이를 위해 필요한 경우 가상의 범위, 또는 비행금지 구역의 도입을 상정할 수 있다.
4. 유럽 전체 또는 회원국 차원에서 드론 제조자에게 소형 드론 판매 시, 드론 기술의 잠재적 침해 가능성과 프라이버시, 개인정보 및 기타 기본권을 보호하기 위한 유럽 및 회원국의 법률과 규제에 대한 준수의 필요성을 상기시키는 충분한 정보(운항 지시서 내에)를 동봉하도록 의무를 부과.
5. 유럽 또는 회원국 차원에서 업계 대표자들과 긴밀하게 협의하여 소관 입법가들이 업계 및 조작자가 쉽게 사용할 수 있는 개인정보보호 영향 평가의 기준을 개발 및 도입.
6. 드론의 상업적 사용을 규제하는 국내 규정들의 주요 특징 중 하나로 개인정보보호 관점을 도입(예를 들어 비행자격 및 훈련과의 연계, 감항 인증 기준, 운항 면허의 발급 및 취소와 항공업무 허용서 등이 있다). 특히 개인정보보호 요건을 고려하겠다는 선언은 드론사용을 허용하는 조건의 일부가 될 수 있다.
7. 개인정보보호에 대한 민간 드론 조작자의 인식 및 이해를 증진하고 법률 준수 여부를 모니터링하기 위해 개인정보보호 인증을 촉진.
8. 나아가, WP29는 유럽집행위원회에 투명성의 증진을 위한 새로운 기술(일반 대중에 대한 드론 운항 사실 및 목적의 고지와 접근권 행사와 관련한 기술)의 연구 및 투자를 지원하기 위해 자금지원 프로그램을 운영할 것을 권고하는 바이다.
5.3 드론 제조자 및 조작자에 대한 권고
1. 프라이버시 중심 디자인의 방식의 일환으로 프라이버시 친화적 설계 및 초기 설정을 탑재하라.
2. (가능한 경우) 드론의 사용과 관련된 설계 및 정책의 실행단계에서 개인정보보호 담당자(Data Protection Officer)를 관여시켜라.
3. 관련 업계 및 다양한 유형의 조작자가 침행행위를 방지하고 드론의 사회적 수용성을 강화하는 데 도움을 줄 수 있는 행동 강령을 장려하고 채택하라. 행동강령의 불이행에 대한 제재조치가 포함되어야 한다.
4. 드론은 가능한 눈에 띄고 식별 가능한 형태로 제작되어야 한다(무선 신호, 빛, 버저의 방출, 밝은 색깔 등을 이용)
5. 드론이 가시 거리에 있는 경우, 드론사용을 책임지는 개인으로써 조작자는 명확하게 눈에 띄고 식별가능한 표시(signage)를 하도록 한다.
6. 비행 계획 및 운항 시에는 주거지역에서 드론 운항이 허용된 경우라도 사적 영역 및 건물 위나 근처를 비행하는 것은 가능한 피하도록 한다.
5.4 법 집행의 목적으로 드론을 사용하여 수집한 개인정보의 이용에 대한 권고
상업적인 목적으로 드론을 사용할 때와 마찬가지로, 경찰이나 기타 법률 집행 당국이 드론을 이용하여 수집한 개인정보를 사용하는 경우,
1. 필요성, 비례성, 목적제한, 데이터 최소화 및 프라이버시 중심 디자인의 원칙을 준수한다. 엄격하고 정당한 보관기관이 설정되어야 한다.
2. 투명성 원칙을 준수한다. 드론을 이용한 개인정보처리는 투명하고 정보주체가 예견할 수 있도록 법률에 근거하여야 하며, 개인정보 처리 및 이에 상응하는 권리는 정보주체에게 고지되어야 한다.
3. 법집행 기관은 드론을 통한 개인정보 처리 시 개인을 지속적으로 추적해서는 안되며, 지속적인 추적이 불가피하게 필요한 경우 이는 영장에 의한 수사의 경우로 제한되어야 한다. 사용되는 기술적 기기 및 센서 기기는 처리 목적과 부합해야 한다.
4. 결정의 자동 집행 금지는 드론의 사용에도 적용되어야 한다. 드론을 통해 처리된 개인정보는 개인에게 악영향을 미치는 결정이 내려지기 전에 조작자에 의해 보다 면밀하게 검토되어야 한다.
5. 법원은 국내 실무 관행에 따라 안보(intelligence)와 법률 집행 목적의 드론 사용을 일반적으로 심사한다.
6. 드론을 사용한 개인정보 처리의 필요성, 그리고 발전하는 법률 프레임워크를 준수하여 드론을 사용하는 지에 대한 정기적인 심사를 수행한다.
7. 게다가 추적감시(targeted surveillance) 등 영장에 의한 수사라도 법 집행의 목적으로 드론을 사용하는 경우, 조직 체계에서 충분히 상위 기관의 승인을 받는 것을 요건으로 한다. 회원국 법률에 따라 이런 유형의 조사를 목적으로 드론을 사용하여 수집된 개인정보는 법원에서 사용될 수 있도록 행정 파일에 편입되어야 한다.
