Frequency Radio IDentificationcfs2.tistory.com/upload_control/download.blog?fhandle... · 2015-01-21 · rfid 프라이버시보호가이드라인해설서 rfid 프 라 이 버 시

Radio Frequency IDentification

+ RFID

+ Privacy

+ GuideLine

RFID프라이버시보호

가이드라인해설서

2007. 9

RFID 프라이버시보호가이드라인해설서

RFID Privacy GuideLine

2007. 9

RFID 프라이버시 보호 가이드라인 해설서

� 이 해설서는「정보통신망 이용촉진 및 정보보호 등에 관한

법률」등 관계 법령의 개인정보보호 원칙을 토 로 마련된

『RFID 프라이버시 보호 가이드라인』과 관련하여

� 동 가이드라인의 각 조항별 주안점 및 구체적인 예시를

제시함으로써 해석상 오해의 소지를 없애고

� 가이드라인에 한 올바른 이해를 통하여 RFID 취급사업자

의 개인정보보호 조치 이행을 지원하기 위하여 발간하

습니다.

� 이 해설서에서 설명하고 있는 예시는 각 RFID 취급사업자의

고유한 환경을 모두 고려한 것은 아니므로 각 RFID 취급

사업자는 자신의 실제 환경을 고려하여 가이드라인의 준수

를 위한 적합한 방안을 마련할 수 있습니다.

※ 이 해설서는 KISA 홈페이지 [http://www.1336.or.kr �

자료실]에 게시될 예정입니다.

� 내용 중 오류가 있거나 의견이 있을 때에는 홈페이지

[http://www.1336.or.kr � 사업자지원창구]로 문의하여

주시기 바랍니다.

RFID(Radio Frequency IDentification) PrivacyGuideLine

RFID 프라이버시 보호 가이드라인 개요

가. 가이드라인의 필요성�6나. 가이드라인의 성격�7

RFID 프라이버시 보호 가이드라인�10

RFID 프라이버시 보호 가이드라인 해설

제1장 총칙�18제2장 개인정보의 기록∙수집 및 연계�28제3장 RFID 태그 부착 사실의 표시�42제4장 보칙�54

Ⅰ

Ⅱ

Ⅲ

부록

1. 가이드라인 준수를 위한 각종 고지/통지/표시사항 (예시)�802. 정보통신망법 및 위치정보법 관련 조문 �833. RFID 운 주파수 비교�904. RFID 적용 프로세스 (예시)�915. RFID 프라이버시 보호 자율점검을 위한 체크리스트�92


가이드라인 개요RFID 프라이버시 보호 가이드라인 해설서 Ⅰ.

R F I D ( R a d i o F r e q u e n c y I D e n t i f i c a t i o n ) P r i v a c y G u i d e L i n e

Ⅰ RFID 프라이버시 보호 가이드라인 개요

6

가. 가이드라인의 필요성

●RFID는 사물에 한 정보를 효율적으로 처리할 수 있도록 하여, 물류∙

운송∙유통∙내부 재고관리 등에 획기적인 개선을 가져올 것이 예상

되는 반면,

- 개인이 RFID 태그가 부착된 사물을 착용∙휴 할 경우, RFID 태그

내 고유 정보가 판독되어 개인에 한 성향 파악 및 위치추적 등에

오∙남용되거나, 개인 프라이버시를 침해할 수 있다는 우려가 있다.

●이에 따라 본 가이드라인은 RFID 태그, 리더기를 비롯한 전체 시스템

을 취급함에 있어 준수하여야할 기준을 제시함으로써

- 취급사업자는 제시된 기준 하에서 사업을 안정적으로 추진할 수 있고

이용자는 프라이버시에 한 우려를 최소화할 수 있다.

●RFID를 활용한 신규 서비스 증가로 프라이버시 침해 우려가 높아짐에

따라, 법적 규제 이전에 개인의 프라이버시를 보호하기 위한 자율적

지침으로 본 가이드라인을 제시하고자 한다.


RFID

프라이버시

보호

가이드라인

개요

7

나. 가이드라인의 성격

● RFID 프라이버시보호 가이드라인은「정보통신망 이용촉진 및 정보보

호 등에 관한 법률」등 관계 법령의 개인정보보호 원칙을 토 로 하고

있다.

● 본 가이드라인은 법률적 강제력이 부여된 강제규범은 아니나 RFID

시스템 이용기관에게 개인정보 처리 시 자율적으로 보호할 수 있는 기

준을 제공한다.


가이드라인 개요RFID 프라이버시 보호 가이드라인 해설서 Ⅱ.


Ⅱ RFID 프라이버시 보호 가이드라인

10

제제11장장 총총 칙칙

제1조(목적) 이 가이드라인은 RFID 시스템의 이용에 따른 이용자의 프라이버시를

보호하고 안전한 RFID 이용환경을 조성하는 것을 목적으로 한다.

제2조(정의) 이 가이드라인에서 사용되는 용어의 정의는 다음과 같다.

1. “개인정보”라 함은 생존하는 개인에 관한 정보로서 당해 개인을 알아볼 수

있는 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른

정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2. “RFID 시스템”이라 함은 상이 되는 사물 등에 RFID 태그를 부착하고 전파

를 사용하여 해당 사물 등의 식별 정보 및 주변 환경 정보를 인식하여 각

사물 등의 정보를 수집∙저장∙가공 및 활용하는 시스템을 말한다.

3. “RFID 태그(Radio Frequency Identification Tag)"라 함은 사물 등에 내장

또는 부착되어 당해 사물 등에 관한 정보 또는 기타 정보를 기록하고 저장이

가능한 것을 말한다.

4. “RFID 리더기”라 함은 전파를 이용하여 태그에 기록된 정보를 판독하고

태그에서 수집된 정보를 서버 시스템으로 전달하는 송∙수신 장치를 말한다.

5. “RFID 취급사업자”라 함은 RFID 태그가 부착 또는 내장된 물품을 판매

하는 자, RFID 태그에 기록된 물품정보 등을 개인정보와 연계하는 자,

RFID 태그에 개인정보를 기록하거나 RFID에 기록된 개인정보를 수집하는

자를 말한다.

6. “이용자”라 함은 RFID 태그가 내장 또는 부착된 물품을 구매하거나 RFID

태그가 내장 또는 부착된 물품을 이용하여 제공되는 용역을 이용하는 자를

말한다.

제3조(적용범위) 이 가이드라인은 RFID 태그에 개인정보를 기록하여 당해 개인

정보를 수집하거나 RFID를 통하여 수집한 물품정보와 개인정보를 연계하는 등

RFID 시스템을 이용하여 개인프라이버시를 침해할 수 있는 경우에 적용한다.

다만, 개인정보와 프라이버시 침해 위험 없이 물품정보를 수집하여 이용하는

경우에는 적용하지 아니한다.

제제22장장 개개인인정정보보의의 기기록록∙∙수수집집 및및 연연계계

제4조(개인정보 기록의 금지 등) ①RFID 취급사업자는 RFID 태그에 개인정보를

기록하여서는 아니된다. 다만, 법률에 정한 경우 또는 서면 등을 통한 이용자의

명시적인 동의가 있는 경우는 그러하지 아니하다.

②RFID 취급사업자는 제1항 규정에 의한 동의를 얻고자 하는 경우에는 당해

이용자에게 미리 개인정보의 기록목적 및 이용목적 등을 고지하여야 한다.

제5조(RFID 태그를 통한 개인정보의 수집) RFID 취급사업자는 제4조제1항 규정

의 RFID 태그에 기록된 개인정보를 수집하는 경우에는 당해 이용자에게 이를

통지하거나 또는 쉽게 알아볼 수 있는 방법으로 표시하여야 한다.

제6조(RFID태그의 물품정보 등과 개인정보의 연계) ①RFID 취급사업자는 RFID

태그의 물품정보 등과 개인정보를 연계하는 경우에는 미리 그 사실을 당해

이용자에게 통지하거나 쉽게 알아볼 수 있는 방법으로 표시하여야 한다.

②RFID 태그의 물품정보 등과 개인정보를 연계하여 생성된 정보를 당초의 수집

목적 외로 이용하거나 제3자에게 제공하는 경우에는 이용자의 동의를 얻어야

한다.

RFID

프라이버시

보호

가이드라인

11



12

제제33장장 RRFFIIDD 태태그그 부부착착 사사실실의의 표표시시

제7조(RFID 태그 부착 사실 등의 표시) ①RFID 취급사업자는 이용자가 물품을

구입하거나 제공받은 이후에도 당해 물품에 RFID 태그가 내장 또는 부착되어

있는 경우에는 다음 각호의 사항을 미리 이용자에게 설명하거나 당해 물품

또는 그 포장에 표시하여야 한다.

1. RFID 태그가 부착되어 있다는 사실 및 그 부착 위치

2. RFID 태그의 성질 및 기능

3. RFID 태그에 기록되어 있는 정보

4. 제13조의 규정에 의한 개인정보관리책임자의 연락처 등

②RFID 취급사업자는 제1항의 규정에 의한 설명 또는 표시가 곤란한 경우에는

당해 물품을 판매하거나 용역을 제공하는 장소에서 이용자가 쉽게 알아볼 수

있는 방법으로 제1항 각호의 사항을 게시하여야 한다.

제8조(RFID 태그의 기능제거 방법 등에 한 표시) ①RFID 취급사업자는 이용자

가 물품을 구입하거나 제공받은 이후에도 당해 물품에 RFID 태그가 내장 또는

부착되어 있는 경우에는 이용자가 스스로 RFID 태그의 기능을 제거할 수 있는

방법 등을 설명하거나 해당 물품 또는 그 포장에 표시하여야 한다.

②RFID 취급사업자는 제1항의 규정에 의한 설명 또는 표시가 곤란한 경우에는

당해 물품을 판매하거나 용역을 제공하는 장소에서 이용자가 쉽게 알아볼 수

있는 방법으로 제1항 규정의 RFID 태그의 기능정지 방법 등을 게시하여야 한다.

③RFID 취급사업자는 RFID 태그가 내장 또는 부착된 물품 등을 구입한 이용자

가 용이하게 RFID 태그의 기능을 제거할 수 있는 수단을 제공하여야 한다.

④RFID 취급사업자는 이용자가 RFID 태그를 제거하 다는 이유로 부당하게

이용자에게 불이익을 주거나 이용자를 차별하여서는 아니된다.

⑤RFID 취급사업자는 제1항 규정의 RFID 태그의 기능을 제거하는 것이 이용자

의 이익이나 공공의 이익을 해칠 우려가 있는 경우에는 그 이유를 이용자에게

설명하거나 해당 물품 또는 그 포장에 표시하여야 한다.

제제44장장 보보 칙칙

제9조(RFID 태그의 인체이식 등 금지) ①누구든지 RFID 태그를 인체에 이식하거나

제거할 수 있는 권한을 부여하지 아니하고 이용자의 신체에 RFID 태그를 지속적

으로 착용하도록 하여서는 아니된다. 다만, 법률에 특별한 규정이 있는 경우는

그러하지 아니하다.

②누구든지 법률에 특별한 규정이 있는 경우를 제외하고는 RFID 태그를 이용자

가 인식할 수 없는 방법으로 물품 등에 부착하여서는 아니된다.

제10조(RFID 리더기 설치의 표시) 누구든지 RFID 태그가 부착 또는 내장되어

이용자에게 교부된 물품에 한 정보 또는 RFID 태그에 기록된 개인정보를

판독할 수 있는 리더기를 설치한 경우에는 리더기가 설치되어 있다는 사실을

이용자가 용이하게 인식할 수 있도록 표시하여야 한다. 다만, 물류유통∙내부

보안유지∙재고 관리를 목적으로 리더기를 설치하거나 고정된 장소에 설치되지

않아 설치장소를 용이하게 표시하기 힘든 경우에는 그러하지 아니하다.

제11조(RFID 시스템의 개인정보보호를 위한 관리적∙기술적 조치) RFID 취급

사업자는 RFID 시스템을 이용하여 개인정보를 기록∙수집하거나 RFID 태그의

물품정보 등과 개인정보를 연계하는 경우, 당해 개인정보가 분실∙도난∙누

출∙변조 또는 훼손되지 아니하도록 <별표>와 같은 조치를 취하여야 한다.

제12조(RFID 시스템에 한 프라이버시 향평가) RFID 취급사업자는 RFID

RFID

프라이버시

보호

가이드라인

13



14

시스템을 이용하여 개인정보를 기록∙수집하거나 RFID 태그의 물품정보 등과

개인정보를 연계하는 경우, RFID 시스템 이용에 따른 프라이버시 침해 요인 등을

당해 RFID 시스템 도입 시에 분석∙평가하여 이용자의 프라이버시가 침해되지

않도록 노력하여야 한다.

제13조(개인정보관리책임자의 지정) RFID 취급사업자는 RFID 시스템을 이용하여

개인정보를 기록∙수집하거나 RFID 태그의 물품정보 등과 개인정보를 연계

하는 경우, RFID 태그와 관련한 이용자의 프라이버시를 보호하고 이용자의 불만

등을 신속하게 처리하기 위하여 개인정보관리책임자를 지정하여야 한다.

제14조(RFID 태그에 한 이용자의 인식 제고) RFID 취급사업자 또는 RFID와

관련이 있는 사업자단체∙기관은 이용자에게 RFID 태그의 유용성 및 장∙단점

등에관한정보를제공하는등이용자의인식을제고하기 위하여노력하여야 한다.

제15조(개인정보 이용∙제공∙파기 등) 이 가이드라인에 정한 사항 외의 개인정보

의 이용∙제공∙파기 및 이용자의 권리보호 등 개인정보 보호와 관련한 사항은

정보통신망 이용촉진 및 정보보호 등에 관한 법령 및 지침의 개인정보보호

원칙에 따른다.

제16조(RFID 시스템을 통한 개인위치정보 수집 등) 이 가이드라인에서 정한 사항

외에 RFID 취급사업자가 RFID 시스템을 통해 개인의 위치정보를 수집∙이용∙

제공하는 경우에는 개인위치정보 보호와 관련한 사항에 해서「위치정보의

보호 및 이용 등에 관한 법률」에 따른다.

제17조(가이드라인의 개정에 관한 사항) 이 가이드라인은 RFID 관련 기술의 발전

및 이와 관련한 개인정보 침해의 변화에 따라 이용자, RFID 취급사업자 및 관련

기관 등의 의견수렴을 통해 개정할 수 있다.

RFID

프라이버시

보호

가이드라인

15


조치사항구 분

관리체계

수립 및 시행

● RFID 시스템 운 시 태그 내 개인정보를 기록하거나 개인정보와 연계

하는 경우 안전한 취급을 위한 내부규정 마련

- RFID 시스템 운 상 개인정보 취급자의 의무와 책임 규정

- 가이드라인 이행을 위한 세부관리 절차 및 지침 마련

● RFID 시스템 운 시 처리되는 개인정보의 도난∙분실∙누출 등 사고

발생 시 조치 및 보고 등에 한 체계적인 응 지침 마련

접근통제

● RFID 시스템을 운 할 경우 접근권한자 지정 및 접근권한 구분

- 최소 인원에게만 RFID 시스템에 한 접근권한 부여

- 전보 또는 퇴직 등 인사상 변동사항 발생 시 개인정보 DB 등 시스템

접근권한 변경 또는 말소

암호화 및

인증 등 기술적

보호조치

● 개인정보를 포함하는 RFID 시스템 운 시 권한없는 접근을 차단하기

위한 암호화, 인증 등 보호조치 시행

- 태그 내 개인정보가 기록된 경우 해당정보 암호화 등 보호조치 시행

- 개인정보가 기록된 태그와 리더기, DB와 같은 백엔드 시스템에 접근

시 인증과 같은 접근 권한 확인 등 보호조치 시행

- RFID 시스템에서 개인정보 관련 내용을 정보통신망을 통해 외부로

송수신하는 경우, 해당정보 암호화 등 보호조치

● 개인정보에 한 불법적인 접근을 차단하기 위한 침입차단시스템 등

접근 통제장치의 설치∙운

● 개인정보를 포함하는 RFID 시스템 운 시 정보 접근 기록(로그)에 한

안전한 관리 장치 운

● 바이러스 침투를 방지할 수 있도록 백신소프트웨어의 설치∙운

- 바이러스, 웜 등 악성프로그램의 침투 여부를 점검∙치료할 수 있도록

백신 소프트웨어 설치 및 주기적 갱신∙점검

태그 기능제거

또는 중지

● 이용자가 용이하게 RFID 태그의 기능을 제거∙중지할 수 있는 물리적∙

전자적 수단 제공

- 태그 자체 제거, 스크래칭 등 전자적 태그정보 판독 불가 조치, 리더기가

판독할 수 없도록 하는 차단 장치 등

< 별표 >

RFID 시스템의 개인정보보호를 위한 관리적∙기술적 보호조치


가이드라인 해설RFID 프라이버시 보호 가이드라인 해설서 Ⅲ.


Ⅲ RFID 프라이버시 보호 가이드라인 해설

18

제제11장장 총총 칙칙

1. 목 적

취 지

●이 가이드라인은 RFID 태그가 부착 또는 내장된 물품을 판매하는 자,

RFID 시스템 이용에 따라 RFID 태그에 개인정보를 기록하거나 기록된

정보를수집하는자, 태그정보와개인정보를연계하는자등(이하‘사업자’

라 한다)이 준수하여야 할 기본적 사항을 정하여

- RFID 활용서비스로인한개인의개인정보및프라이버시를보호하고

안전한 RFID 이용환경을 구축하는 것을 목적으로 한다.

2. 정의

취 지

●용어의 정의를 통해 적용범위 및 상을 분명히 하여 상 사업자에게

제1조(목적) 이 가이드라인은 RFID 시스템의 이용에 따른 이용자의 프라이

버시를 보호하고 안전한 RFID 이용환경을 조성하는 것을 목적으로 한다.


RFID

프라이버시

보호

가이드라인

해설

19

정확한 기준을 제시하고, 이용자에게도 가이드라인을 쉽게 이해하는 데

도움이 되도록 하 다.

(1) 개인정보

해 설

● 제1호의“개인정보”의 개념은「정보통신망 이용촉진 및 정보보호 등에

관한 법률(이하‘정보통신망법’이라 한다)」의 용어 정의와 동일하며,

용어 정의를 통하여 보호하려는 정보의 범위에 한 기준을 제시하고

있다.

●정보통신망법의 개인정보와 동일하게 정의한 것은 이 가이드라인에서

보호하는 개인정보와 법령상의 개인정보의 보호 수준이 다르지 않음을

명확히 하기 위함이다.

●“개인을 알아볼 수 있는 정보”라 함은 특정 개인의 신원을 확인할 수

있는 일체의 정보를 말한다.

제2조(정의) 이 가이드라인에서 사용되는 용어의 정의는 다음과 같다.

1. “개인정보”라 함은 생존하는 개인에 관한 정보로서 당해 개인을 알아

볼 수 있는 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우

에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)

를 말한다.


20

●신원을 확인할 수 없는 형태로 수집∙처리되는 어떤 개인에 관한 정보

는 보호의 상이 되는 개인정보에 해당하지 않는다.

※ 이미 통계적으로 변환되어 개인을 식별할 수 없는 상태의 정보는 개인정보가 아니다.

●RFID 태그에 부여된 고유 식별번호 등의 정보가 직접적인 개인정보에

해당되지 않아도, 해당 정보로부터 특정 개인과 관련한 정보를 판독할

수 있다면 태그의 식별번호 등의 정보는 개인정보에 해당된다.

- 또한, 어떤 정보 하나만으로는 신원확인이 불가능하지만 이것을 용이

하게 다른 정보와 조∙연결 또는 결합하여 특정 개인을 식별할 수

있는 것이라면 보호 상이 되는 개인정보에 해당한다.

※ 인터넷상에서 비실명의 ID에 관한 로그기록 등의 기록파일은 그 ID가 당해 서비스

제공자가 가지고 있는 다른 신상정보(이름, 주소 등)와 쉽게 연결될 수 있는 경우에

개인정보에 해당된다.

� 개인의 이름, 주민번호, 지문, 사진 등과 같은 당해 개인에게 고유한

식별자가 포함되어 있는 정보를 식별확인이 가능한 개인정보라고 한다.

� 특정 개인의 신체, 정신적, 문화적, 사회적 동일성을 고유하게 나타내는

요소를 참조하여 신원확인이 가능한 정보도 개인정보에 포함된다.


RFID

프라이버시

보호

가이드라인

해설

21

(2) RFID 시스템, RFID 태그 및 RFID 리더기

해 설

●“RFID 시스템”은 판독 기능을 하는“RFID 리더기(Reader)”와 정보를

제공하는“RFID 태그(또는 Transponder)”, 리더기가 수집하는 태그

정보를처리하기위한DB서버등의백엔드시스템으로구성된무선통신

시스템으로서

- 상이 되는 사물 등에 RFID 태그를 부착하고 전파를 사용하여 해당

사물등의식별정보및위치, 날씨등주변환경정보를자동으로인식

및 판독, 각 사물 등의 정보를 수집∙저장∙가공 및 활용하는 시스템

을 말한다.

2. “RFID 시스템”이라 함은 상이 되는 사물 등에 RFID 태그를 부착하

고 전파를 사용하여 해당 사물 등의 식별 정보 및 주변 환경 정보를

인식하여 각 사물 등의 정보를 수집∙저장∙가공 및 활용하는 시스템

을 말한다.

3. “RFID 태그(Radio Frequency Identification Tag)”라 함은 사물 등에

내장 또는 부착되어 당해 사물 등에 관한 정보 또는 기타 정보를 기록

하고 저장이 가능한 것을 말한다.

4. “RFID 리더기”라 함은 전파를 이용하여 태그에 기록된 정보를 판독하

고 태그에서 수집된 정보를 서버 시스템으로 전달하는 송∙수신 장치

를 말한다.


22

●“RFID 태그”는 RFID 시스템의 일부로 제품이나 사물 등을 식별할 수

있는 고유의 일련번호를 저장한 매체이며,

- 이는 칩과 안테나로 구성되어 있고 칩에는 사물 등의 유일한 식별

코드와 정보가 저장되며 리더기의 요청에 의해 또는 상황에 따라

외부에 자신의 정보를 송신한다.

●“RFID 리더기”는 태그의 정보를 활용하기 위해 태그와 송∙수신하거나

태그에서수집된정보를백엔드시스템으로전송하는장치를말한다.

� 수동형 태그

- 태그에 배터리가 없으며, 10m 이내 근거리 통신용

- 가격 저렴, 수명 반 구적(약 10년 이상)

� 능동형 태그

- 태그에 배터리 부착, 수십m 원거리 통신용

- 가격 고가, 수명 제한, UHF 역 이상에서 사용

� 고정형은 일반적으로 백엔드 시스템과는 유선 네트워크로 연결

� 이동형은 백엔드 시스템과 무선 네트워크로 연결


RFID

프라이버시

보호

가이드라인

해설

23

(3) RFID 취급 사업자

해 설

●RFID 취급사업자라 함은 RFID 태그가 부착 또는 내장된 물품을 판매

하는 자에서부터 RFID 시스템을 운 하는 모든 자 중 태그정보와 개인

정보를 연계하거나, 개인정보를 기록∙수집하는 자를 의미한다.

- 이 때, 제3조 적용범위에 규정된 바와 같이 개인정보와 프라이버시

침해 위험 없이 단순한 물품정보를 수집, 이용하는 경우는 상에서

제외된다.

< RFID 리더기 유형 >

※ Intermec(왼쪽), Alien Technology(중앙) 및 Innovision(오른쪽), OECD WPISP 보고서(’07. 3) 인용

5. “RFID 취급사업자”라 함은 RFID 태그가 부착 또는 내장된 물품을

판매하는 자, RFID 태그에 기록된 물품정보 등을 개인정보와 연계하는

자, RFID 태그에 개인정보를 기록하거나 RFID에 기록된 개인정보를

수집하는 자를 말한다.


24

※ 예를 들어, 매장에서 판매하는 물품과 고객 정보를 연계하는 자의 경우 RFID 취급

사업자의 범위에 해당하나 단순히 재고관리를 위해 개인과 연계되지 않는 물품정보

만을 취급하는 경우는 RFID 취급사업자 범위에 포함되지 않음

(4) 이용자

해 설

●RFID 태그가 부착 또는 내장된 물품을 구매 후 RFID 리더기에 해당

물품에 한 정보가 판독됨으로써 개인 프라이버시의 침해를 받을 우려

가 있는 물품 구매자

●RFID 태그가 부착된 물품정보 등과 개인정보가 연계되어 개인정보의

침해를 받을 우려가 있는 자(연계된 당해 개인정보의 주체)

●RFID 태그에 개인정보가기록∙수집되어 개인정보를 침해 받을우려가

있는 자(기록∙수집되는 개인정보의 주체)

6. “이용자”라 함은 RFID 태그가 내장 또는 부착된 물품을 구매하거나

RFID 태그가 내장 또는 부착된 물품을 이용하여 제공되는 용역을

이용하는 자를 말한다.


RFID

프라이버시

보호

가이드라인

해설

25

3. 적용 범위

취 지

● RFID 시스템을 활용한 개인정보 침해 우려를 최소화하고, 다른 한편

으로 RFID 태그를 이용한 서비스의 발전에 있어서 개인정보와 관련이

없는 분야에까지 미칠 수 있는 불필요한 규제를 방지하기 위함이다.

해 설

●RFID 시스템을 이용한 프라이버시 침해 가능성을 고려하여 이 가이드

라인이 적용되는 경우는 다음과 같이 구분할 수 있다.

- RFID 태그에 개인정보를기록하는 경우(제4조)

- RFID 태그에 기록된 개인정보를 수집하는 경우(제5조)

제3조(적용범위) 이 가이드라인은 RFID 태그에 개인정보를 기록하여 당해

개인정보를 수집하거나 RFID를 통하여 수집한 물품정보와 개인정보를

연계하는 등 RFID 시스템을 이용하여 개인프라이버시를 침해할 수 있는

경우에 적용한다. 다만, 개인정보와 프라이버시 침해 위험 없이 물품정보

를 수집하여 이용하는 경우에는 적용하지 아니한다.


26

- RFID 태그의 물품정보와 특정 개인의 개인정보를 연계하는 경우

(제6조)

- 기타 태그가 부착 또는 내장된 물품을 판매하거나 이용하는 경우

(제6조)

☞ 각 경우의 구체적인 내용에 해서는 해당 조항의 해설 참조

●다만, 단순히 RFID 태그의 물품정보를 활용하여 재고관리, 운송관리

등만을 수행하는 경우에는 개인정보가 기록∙수집되지 않고, 물품정보

와 개인정보가 연계되지도 않아 프라이버시 침해 문제가 발생할 우려가

없으므로 이 가이드라인의 적용 상에서 제외된다.

� 적용 제외의 구체적인 예

- 상품 입∙출고, 운송관리, 공장자동화 등 순수한 물품 관리

- 재고관리, 진열 제품에 한 검색 기능에 이용

- 동물, 농산물의 생산지, 유통기간 등의 이력관리

- 군사목적의 군수물품 관리 등


RFID

프라이버시

보호

가이드라인

해설

27

국외 사례

� 일본“전자태그에 관한 프라이버시 보호 가이드라인”(’04. 6.)

- RFID 태그의 개인정보 또는 이와 연계된 컴퓨터 등의 정보와 용이하

게 식별할 수 있는 개인정보를 보호하는 규정과 더불어 소비자에게

물품이 교부된 후에도 해당 물품에 RFID 태그를 부착해 두는 경우

이를 취급사업자에게 적용하여 매매 이전에 RFID 태그를 제거하는

사업자에 해서는 적용하지 않음을 명시

� 캐나다 온타리오 주‘RFID 프라이버시 가이드라인’(’06. 9.)

- 개인 식별정보가 포함된 소비자 제품 또는 개인 식별정보를 연결할

가능성이 있는 소비자 제품에서 RFID 기술을 사용하는 정보 시스템

을 운 하는 조직체에 적용

※ 조직체는 협회, 기업, 자선단체, 클럽, 정부기관, 연구소 및 전문직 사업체

등을 포괄적으로 지칭하나 본 가이드라인은 체로 소매업체와 특별한

관련이 있음


28

제제22장장 개개인인정정보보의의 기기록록∙∙수수집집 및및 연연계계

4. 개인정보 기록의 금지 등

취 지

● RFID 태그에 개인정보가 기록될 경우 리더기를 통해 이용자가 인지

하지 못하는 상태에서 쉽게 개인정보가 수집될 위험이 있으므로

- 개인정보 기록 시부터 엄격한 규율이 필요하여 법률 규정 또는 본인

의 명시적 동의 없이 RFID 태그에 개인정보를 기록하는 것을 금지

하고자 한다.

제4조(개인정보 기록의 금지 등) ①RFID 취급사업자는 RFID 태그에 개인

정보를 기록하여서는 아니된다. 다만, 법률에 정한 경우 또는 서면 등을

통한 이용자의 명시적인 동의가 있는 경우는 그러하지 아니하다.

②RFID 취급사업자는 제1항 규정에 의한 동의를 얻고자 하는 경우에는

당해 이용자에게 미리 개인정보의 기록목적 및 이용목적 등을 고지하여야

한다.


RFID

프라이버시

보호

가이드라인

해설

29

해 설

� RFID 태그에의 개인정보 기록 금지 (제1항)

● 현재 RFID 태그의 이용은 주로 96bit의 RFID 태그를 이용하여 단순

하게 물품코드를 기록하는 수준이나, 2K의 RFID 태그까지는 상용화

되어 있어 필요한 경우 개인정보를 입력할 수 있는 수준이므로 개인정

보의 침해의 우려가 있다.

- 따라서 RFID 태그에 개인정보의 기록을 원칙적으로 금지하고 법률

에서 RFID 태그에의 개인정보 기록을 허용한 경우와 이용자의 서면

동의가 있는 경우에만 그 예외를 인정하 다.

●제4조 제1항에서의“법률에 정한 경우”라 함은 개별법에 특정한 규정이

있는 경우에만 RFID 취급사업자가 RFID 태그에 개인정보를 기록할

수 있음을 의미한다.

●이용자의“명시적인 동의가 있는 경우”라 함은 해당 이용자로부터 서면

등을 통하여 당사자가“동의한다는 의사표시”를 명시적으로 얻어야

� RFID 태그에“개인정보 기록”의 의미

- 현재 RFID에 개인정보를 직접 기록하는 경우는 거의 없으나, 개인정보를

일정한 방법에 따라 코드화하여 RFID 태그에 기록하는 경우가 부분

이므로 이러한 행위도 개인정보의 기록이라고 보는 것이 타당함


30

함을 의미하며,

- 따라서 적극적 의사표시가 아닌“묵시적 동의”의 수준으로는 RFID

태그에 개인정보를 기록할 수 없다.

●여기에서“동의”라 함은“포괄적”동의가 아닌“개별적∙제한적”동의

를 의미한다.

- “개인정보를 기록”하는 것에 한 포괄적 동의가 아니고, 기록되는

개인정보의 항목, 기록 목적 및 이용 목적 등 각각의 사항에 해서

개별적∙제한적으로동의를 얻어야 한다.

� RFID 태그에의 개인정보 기록 시 고지 사항 (제2항)

●제2항의 기록 목적 및 이용 목적 등을 고지하여야 한다는 것은 RFID

취급사업자가 수집한 개인정보를 어떤 목적으로 기록하고 이용하는

지에관한사항을동의전에구체적으로명시하여야한다는것을말한다.

�“명시적 동의”의 예시

- “서명날인”등을 통해 정보주체가 가입신청서 등의 서면에 자신의

성명을 기재하고 인장을 찍는 방법

- 자신의 성명을 자필로 직접 기재하는 방법

- 기타 이와 유사한 방법으로 정보주체의 주관적 의사표시로서의 동의를

명백히 나타내는 수단

※ 자세한 사항은 정보통신망법 시행령 제11조의2 제1항의‘동의 획득방법’참조

- “서비스의 제공 상 필요하다”등의 추상적인 목적으로는 충분하지

않고어떠한목적으로어떻게이용될것인지를구체적으로제시하여야

한다.

● 한편, RFID 취급사업자가 개인정보를 RFID 태그에 기록하는 것은

향후 기록된 정보의 수집∙이용을 전제하고 있으므로

- 개인정보 기록에 한 동의 획득 시 고지하여야 할‘기록 목적 및

이용 목적 등’의 내용에는 다음 사항이 반 되어야 한다.

�RFID 태그에 개인정보를 기록하는 목적 및 항목, RFID 태그에

기록된 개인정보의 수집∙이용 목적 및 수집 방법

�그 외 개인정보보호를위해 개인정보관리책임자연락처 등 고지

●제2항에서 이용자에게“고지”한다는 것은 본인이 고지의 내용을 확인

하고 수용할 수 있는 절차를 거치도록 하여야 한다는 것을 의미한다.

- 고지는 정보주체로부터 개인정보 기록에 한 동의를 얻기 이전 시점

에서 이루어지도록하고,

- 가입신청서 등에는“이용 목적”등 주요 사항에 해 이용자가 쉽게

알아보고 이해할 수 있도록 표현하여 해당 정보주체가 무엇에 하여

동의를 하는 것인지 명확한 정보를 제공하여야 한다.

RFID

프라이버시

보호

가이드라인

해설

31



32

� 고지의 내용

- 개인정보의 기록 목적 및 항목

- 기록된 개인정보의 수집∙이용 목적 및 수집 방법

- 개인정보관리책임자의 성명∙연락처 등

�이용자의 권리 또는 개인정보의 수집 및 이용에 관한 문의 등을 통해

“고지”의 목적을 현실적으로 달성할 수 있도록 조치 필요

� 고지의 방법

- 별도의 서면, 전자우편 및 전화 등을 통해 개별적으로 고지

�따라서 단순히 홈페이지 게시, 공개 등 정보주체의 의지로서 접근

하여야만 하는 상태로 두는 것만으로는 고지가 이루어졌다고 보기가

곤란하다.

�온라인상에서 이용자의 동의를 얻어야 하는 경우에는 회원가입절차

또는 개인정보를 수집하는 해당 화면 등에서 고지 내용을 알려주어

야 하며

�이용자가 그 고지내용을 인지하 음을 확인하는 절차(“확인”버튼 클릭

등)를 거쳐야만 동의를 할 수 있도록 하여야 한다. 그리고 사업자가

정보주체가 동의하 다는 기록(로그기록 등)을 보존하여 그 동의에

한 입증을 할 수 있어야 한다.

�전화나 SMS 등 매체의 특성상 고지사항 전체를 구체적으로 전달

하기 곤란한 경우에는 고지사항이 게시되어 있는 웹사이트의 특정

부분을 정확하게 알려주는 등 고지사항을 확인할 수 있는 방법을

알려주고, 다시 전화 등을 통하여 고지사항을 인지하 는지 확인하고

동의를 얻어야 한다.


RFID

프라이버시

보호

가이드라인

해설

33

5. RFID 태그를 통한 개인정보의 수집

취 지

●RFID 기술의특성상이용자가인지하지못하는상태에서태그내기록된

개인정보가 수집될 가능성이 있으므로 수집사실에 해 사전에 통지나

표시토록 하여 이용자의 개인정보를 보호하기 위함이다.

해 설

●개인정보보호의 일반 원칙에 따르면 RFID 태그에 기록된 개인정보를

수집하고자하는경우에도RFID 취급사업자는수집목적및이용목적을

고지하고 동의를 획득하여야 한다.

●그러나 RFID 기술의 특성(기록된 정보의 자동 수집 등)상 매번 수집 시

마다수집목적및이용목적을고지하고동의를획득한다는것은현실적

으로 불가능하므로

제5조(RFID 태그를 통한 개인정보의 수집) RFID 취급사업자는 제4조제1항

규정의 RFID 태그에 기록된 개인정보를 수집하는 경우에는 당해 이용자

에게 이를 통지하거나 또는 쉽게 알아볼 수 있는 방법으로 표시하여야

한다.


34

- 제4조에서와 같이 RFID 취급 사업자는 이용자 보호를 위하여 RFID

태그에 개인정보 기록 시 당해 개인정보의 수집 및 이용이 예정되어

있는 경우 사전에 기록된 개인정보의 수집 목적 및 이용 목적, 수집

방법 등에 해 고지하고 동의를 획득하도록 하고

- 실제 개인정보를 수집하는 경우에는 동 조에 따라 수집 사실 및 방법

등을 이용자에게 통지하거나 표시하여야 한다.

●RFID 태그에의개인정보기록시동의획득을위하여고지한기록목적∙

수집 및 이용 목적 등의 범위를 넘어 이용하거나 제3자에게 제공하는

경우에는 정보통신망법 제24조의2 등 관련 법령 및 지침에 정한 원칙

(추가 고지 및 동의 획득 등)을 준수하여야 한다.

☞ 이에 한 자세한 사항은 제15조의 해설 부분 참조

●RFID 태그에 기록된 개인정보 수집시 통지 또는 표시할 내용은 아래와

같다.

� 통지 또는 표시 내용

- RFID 태그에 기록된 개인정보의 수집 사실 및 방법



통지 또는 표시의 목적을 현실적으로 달성할 수 있도록 조치 필요


RFID

프라이버시

보호

가이드라인

해설

35

●통지는 서면∙전자우편 등을 통하여 이용자에게 개별적으로 하는 것이

가장 바람직하고,

●표시는 해당 정보를 판독하는 리더기가 설치된 장소에 하는 것이 적당

할 것이다.

- 그 이외의 장소 또는 특별한 방법으로 태그의 정보를 수집하는 경우

에는 해당 이용자에 한 개별적 통지의 방법을 이용하여야 한다.


36

국외 사례


- 전자태그 내에 개인정보를 기록해 취급하는 사업자는 해당 사업자가

취급하는 개인정보의 건수에 관계없이, 개인정보를 수집 또는 이용하는

경우 해당 전자 태그 내에 기록된 개인정보에 관하여 이용 목적을

본인에게 통지하거나 또는 공표하도록 노력할 필요가 있다. 또, 해당

정보를 이용 목적 이외로 이용하는 경우에는 소비자 본인의 동의를

얻도록 노력할 필요가 있다.

☞제7조(전자태그 내에 개인정보를 기록하는 경우에 있어서의 정보 수집 및

이용의 제한)


- RFID 태그에 연결된 개인정보를 수집, 이용, 공개하기 전에 개인의

동의를 받아야 하며, 동의는 조직체가 사용하는 RFID 기술 및 정보의

존재, 종류, 위치, 목적및작용에 해충분히알고이해한것에근거한

것이어야 유효하도록 하고 있다.


RFID

프라이버시

보호

가이드라인

해설

37

6. RFID 태그의 물품정보 등과 개인정보의 연계

취 지

● RFID 태그의 물품정보 등과 개인정보가 연계되는 경우 RFID 취급

사업자가 이용자에게 통지 또는 표시하도록 하고,

- 연계를 통해 생성된 정보를 당초 개인정보 수집목적이 아닌 목적으로

이용하거나 제3자에게 제공하는 경우 동의를 획득하도록 하여 해당

이용자의 자기정보결정권을보장하기 위함이다.

해 설

● RFID 활용 산업이 활성화될 경우 RFID 태그에 기록된 물품정보와

이용자의 개인정보가 연계되어 이용자의 상품 구매 이력정보가 축적될

수 있으며,

제6조(RFID 태그의 물품정보 등과 개인정보의 연계) ①RFID 취급사업자는

RFID 태그의 물품정보 등과 개인정보를 연계하는 경우에는 미리 그 사실

을 당해 이용자에게 통지하거나 쉽게 알아볼 수 있는 방법으로 표시하여

야 한다.

②RFID 태그의 물품정보 등과 개인정보를 연계하여 생성된 정보를 당초

의 수집목적 외로 이용하거나 제3자에게 제공하는 경우에는 이용자의

동의를 얻어야 한다.


38

- 나아가이를통해개인의구매성향, 취향등의정보를생성하여마케팅

등에 이용할 수 있을 것이다.

●따라서 이용자의 프라이버시 보호를 위하여 RFID 취급사업자는 RFID

에 기록되어 있는 물품정보와 개인정보가 연계될 경우, 미리 그 사실을

이용자에게 통지하거나 알기 쉬운 방법으로 표시하여야 한다.

※ 통지 예시 : 회원가입신청서나 도서 출신청서 등을 작성할 때 서면으로 다른 고지

사항과 함께 통지

※ 표시 예시 : 이용약관 등에 해당 내용을 굵은 씨나 색으로 강조하여 알아보기 쉽게

표시

�“개인정보 연계”의 의미

- “RFID 태그정보와 개인정보를 연계“한다 함은 RFID 리더기를 통해서

당해 태그 내에 기록되어 있는 정보(고유번호 또는 ID 등)를 판독하여

그에 해당하는 개인정보가 담겨있는 서버에 접근하여 필요로 하는

정보를 받아오는 일련의 행위 일체를 의미한다.

� RFID 태그 정보와 개인정보와의 연계 예시

- 백화점, 마트 등 매장의 물품판매 목록과 고객정보 연계

- 공공도서관에서 특정 도서와 여한 사람의 개인정보 연계

- 병원에서 수술, 응급 환자의 병력정보와 환자정보 연계

- 와인 등 특정 상품 정보조회 시 조회 이력과 고객정보 연계

●RFID의 물품정보 등과 개인정보가 연계되어 생성된 정보(구매 패턴,

관심 품목, 소비지출 규모 등)를 이용하고자 하는 경우에는 개인정보

보호 원칙에 따라 이용목적을 고지하고 동의를 획득하여야 하므로

- RFID 태그의 물품정보 등과 개인정보가 연계되어 특정 정보를 생성

하는 것이 예정되어 있는 경우 RFID 취급사업자는,

�최초 당해 개인정보 수집 시에 개인정보와 RFID 태그의 물품정보

등이 연계되어 특정 정보를 생성한다는 사실, 생성되는 정보 항목

(구매패턴, 관심품목, 소비지출규모등) 및생성목적(타겟마케팅

등) 등을 미리 고지하고 동의를 획득하여야 한다.

- 개인정보 수집 시에는 RFID 태그의 물품정보 등과 개인정보의 연계

가 예정되지 않았으나 사후에 수집한 개인정보와 연계, 활용하고자

하는 경우

�위 사항을 추가적으로 고지하고 동의를 획득하여야 한다.

RFID

프라이버시

보호

가이드라인

해설

39


� 통지 또는 표시 내용

- RFID 태그정보와 ○○개인정보가 연계된다는 사실



통지 또는 표시의 목적을 현실적으로 달성할 수 있도록 조치 필요


40

●RFID 태그의 물품정보 등과 개인정보가 연계되어 특정 정보를 생성∙

이용한다는 사실을 고지하고 동의를 받은 이후,

- 당초동의한목적외이용이나제3자제공을할경우에는반드시해당

사실에 해 추가 고지하고 동의를 획득하여야 한다.

� 고지 내용

- RFID 태그의 물품정보 등과 개인정보가 연계되어 특정 정보가 생성된

다는 사실

- 생성되는 정보 항목 및 생성 목적



고지의 목적을 현실적으로 달성할 수 있도록 조치 필요

RFID

프라이버시

보호

가이드라인

해설

41


� RFID 태그의 물품정보 등과 개인정보가 연계되어 생성된 정보를 이용

하는 RFID 취급사업자의 조치 예시

- 예를 들어 형 할인 매장 등에서 회원정보와 회원의 물품 구매이력을

분석하여 타겟 마케팅에 활용코자 할 경우, 개인정보를 수집하여 회원

카드 발급시 아래 사항을 준수하여야 한다.

�회원의 개인정보와 매장 내 상품에 부착된 RFID의 물품 정보가 연계

되어 성향정보가 생성된다는 사실

�생성되는 정보는 회원이 주로 구입하는 상품의 종류, 구매 패턴, 관심

품목 등 성향정보이고, 이를 회원 상 타겟 마케팅 등의 서비스 제공

에 활용한다는 사실을 미리 고지하고 동의를 획득하여야 함

�동의받은 내용에 따라 동 정보를 기초로 관심 품목 중 신상품 등에

해 DM 발송 등 타겟 마케팅을 실시할 수 있음

�당초 동의를 획득한 목적인 자사 타겟 마케팅이 아닌 용도로 이용

코자 할 경우(예컨 , 제휴사에 개인정보 제공 등) 추가 동의를 획득

하여야 함

※ 당초 회원카드 발급을 위한 개인정보 수집시 RFID의 물품 정보와 개인

정보가 연계되어 생성된 성향정보를 회원 상 타겟 마케팅에 활용한다

는 사실을 고지하지 않았다면, 타겟 마케팅에 활용하는 것 자체가‘목적

외 이용’이 됨


42

제제33장장 RRFFIIDD 태태그그 부부착착 사사실실의의 표표시시

7. RFID 태그 부착 사실 등의 표시

취 지

●RFID는 이용자의 인식없이 섬유, 플라스틱 등 모든 사물에 탑재될 수

있고, 보이지 않는 곳에 설치된 리더기에 의해 정보가 읽혀질 수 있다.

- RFID 태그 마다 고유의 일련번호가 부여되어 있어 소비자의 물건에

한 식별이 가능하고, 컴퓨터 메모리의 확장 등으로 이용자의 개인

정보 DB와 연결되는 경우에는 이용자 개인정보의 추적 및 프로파일링

이 가능하다.

제7조(RFID 태그 부착 사실 등의 표시) ①RFID 취급사업자는 이용자가

물품을 구입하거나 제공받은 이후에도 당해 물품에 RFID 태그가 내장

또는 부착되어 있는 경우에는 다음 각호의 사항을 미리 이용자에게 설명

하거나 당해 물품 또는 그 포장에 표시하여야 한다.

1. RFID 태그가 부착되어 있다는 사실 및 그 부착 위치

2. RFID 태그의 성질 및 기능

3. RFID 태그에 기록되어 있는 정보

4. 제13조의 규정에 의한 개인정보관리책임자의 연락처 등

②RFID 취급사업자는 제1항의 규정에 의한 설명 또는 표시가 곤란한

경우에는 당해 물품을 판매하거나 용역을 제공하는 장소에서 이용자가

쉽게 알아볼 수 있는 방법으로 제1항 각호의 사항을 게시하여야 한다.


RFID

프라이버시

보호

가이드라인

해설

43

- 즉, 해당 이용자가 알아차리지 못하게 이용자의 관련 정보가 판독

되어질 우려가 있으므로 RFID 태그 부착사실의 표시를 통해 이용자의

권익을 보호할 필요가 있다.

해 설

� RFID 태그의 부착사실의 설명 또는 표시(제1항)

● 이용자가 물품을 구입하거나 제공받은 이후에도 당해 물품에 태그가

내장또는부착되어있는경우에취급사업자는이용자에게RFID 활용과

관련한 일정한 사항을 설명하거나 표시하여 쉽게 알 수 있도록 하여야

한다.

- RFID 태그가이용자에게이르기전단계까지만활용되고RFID 태그를

제거할 수 있다면 개인정보 침해의 우려가 발생하지 않겠지만,

- 이용자가 물품 구입후 RFID 태그를 제거하지 않아 그 기능이 활성화

되어있는경우에는개인정보와의연계및위치추적등개인정보침해

우려가 있으므로 취급사업자에게 부착 사실 등에 한 표시 의무를

부여한 것이다.

●또한 이 조항은 구입제품에 부착된 RFID의 기능을 제거시킬 것인지

여부(제8조)에 해 이용자가 선택할 수 있도록 하는 사전 단계라는

중요한 의미를 포함하고 있다.


44

- 즉, 이용자로 하여금 RFID 태그가 부착되어 있다는 사실을 명확히

인식시켜 줌으로써 물품 구입 등의 사후에 이용자 스스로 자신의

행위에 하여 결정내릴 수 있도록 하자는데 그 취지가 있다.

� 설명 방법

- 물품 구입시 백화점 매장 등에서 판매 직원이 직접 구두로 설명하거나,

판매 ∙출입구 등에 동 내용을 알기 쉽게 설명한 문구를 게시

� 표시 방법

- 물품 또는 그 포장에 직접 인쇄

- 물품 또는 포장에 고지사항이 포함된 라벨의 부착 등

�라벨부착 시 일반 이용자가 용이하게 구분할 수 있도록 크기, 형태,

배경, 색깔 등을 고려하여야 한다.

RFID

프라이버시

보호

가이드라인

해설

45


� 설명 및 표시 내용

- RFID 태그가 부착되어 있다는 사실 및 그 부착위치

�RFID 태그는 그 자체로 은 하다는 속성을 지니고 있기 때문에

이용자의 인식없이 물품 등에 RFID 태그를 얼마든지 탑재 또는

내장할수있다.

�따라서 이용자가 물품에 RFID 태그 부착 사실 및 그의 개인정보

침해 가능성을 인식하도록 하여 사전에 자신의 구매 의사를 결정할

수 있도록 하여야 한다.

- RFID 태그의 성질 및 기능

�이용자로 하여금 물품 등에 부착된 RFID 태그의 성질과 기능을

알 수 있도록 하여 해당 물품에 한 구매 여부 결정 등 적절한

선택의 기회를 제공하여야 한다.

- RFID 태그에 기록되어 있는 정보

�RFID 태그에 어떠한 정보가 기록되어 있는지에 한 정보를 이용자

에게 알려줌으로써 보다 해당 물품의 특성을 잘 이해하여 프라이버시

침해의 우려에 한 판단할 수 있는 기준을 제시할 수 있다.

- 제13조의 규정에 의한 개인정보관리책임자의 연락처 등

�RFID 태그가 부착된 물품을 구입한 이후에 해당 태그로 인해 개인

정보침해 등 문제가 발생할 경우에 이용자가 용이하게 고충해결을

요구하고 해결할 수 있는 창구를 제공하여 이용자의 권리를 보호

하여야 한다.


46

� 부착사실의 설명 또는 표시가 곤란한 경우(제2항)

●RFID 태그의 부착사실에 하여 물품 또는 그 포장에 설명 또는 표시

가 곤란한 경우에는, 당해 물품을 판매하거나 용역을 제공하는 장소에

제1항 각호의 내용을 게시하여야 한다.

☞ 게시문구는 위 제1항의 표시문구와 동일함

�“쉽게 알아볼 수 있는”게시 방법의 예시

- 물품이 비치된 장소 또는 요금정산 장소에 안내문 게시 등

RFID

프라이버시

보호

가이드라인

해설

47


국외 사례


- 사업자는 소비자에게 물품이 교부된 후에도 해당 물품에 전자태그를

장착해 두는 경우에는 소비자에 해서 해당 물품에 전자태그가 장착

되어 있다는 사실과 장착된 곳, 그 성질 및 해당 전자태그에 기록되어

있는 정보(이하「전자태그 정보」라고 한다.)에 해 미리 설명하거나

혹은 게시하거나, 또는 전자태그 정보의 내용을 소비자가 인식할 수

있도록, 해당 물품 또는 그 포장에 표시하는 것이 필요하다. 해당 설명

또는 게시는, 점포에 있어 실시하는 등 소비자가 인식할 수 있도록

노력할필요가있다. <제3조(전자태그가 장착되고있는경우의표시등)>


- 개인정보를 수집하거나 개인정보연계 또는 계인정보와의 연계를 허용

하는 목적을 적시에 효과적인 방식으로 개인에게 명확히 밝히고 전달

하도록 권고하고 있다.

� EPC global 가이드라인(’05. 1.)

- 소비자가 알 수 있도록 제품이나 제품 포장에 EPC를 사용했음을

명확히 표시하며, EPC 기술 사용방식에 해서도 알려줄 것을 권고

하고 있다.


48

8. RFID 태그의 기능제거 방법 등에 한 표시

취 지

●이용자에게RFID 관련물품의구입시점에서RFID 태그의기능을계속

유지할 것인지의 여부에 한 선택권을 부여하는 것은,

제8조(RFID 태그의 기능제거 방법 등에 한 표시) ①RFID 취급사업자는

이용자가 물품을 구입하거나 제공받은 이후에도 당해 물품에 RFID 태그가

내장 또는 부착되어 있는 경우에는 이용자가 스스로 RFID 태그의 기능을

제거할 수 있는 방법 등을 설명하거나 해당 물품 또는 그 포장에 표시

하여야 한다.

②RFID 취급사업자는 제1항의 규정에 의한 설명 또는 표시가 곤란한 경우

에는 당해 물품을 판매하거나 용역을 제공하는 장소에서 이용자가 쉽게

알아볼 수 있는 방법으로 제1항 규정의 RFID태그의 기능정비 방법 등을

게시하여야 한다.

③RFID 취급사업자는 RFID 태그가 내장 또는 부착된 물품 등을 구입한

이용자가 용이하게 RFID 태그의 기능을 제거할수 있는수단을 제공하여야

한다.

④RFID 취급사업자는 이용자가 RFID 태그를 제거하 다는 이유로 부당

하게 이용자에게 불이익을 주거나 이용자를 차별하여서는 아니된다.

⑤RFID 취급사업자는 제1항 규정의 RFID 태그의 기능을 제거하는 것이

이용자의 이익이나 공공의 이익을 해칠 우려가 있는 경우에는 그 이유를

이용자에게 설명하거나 해당 물품 또는 그 포장에 표시하여야 한다.


RFID

프라이버시

보호

가이드라인

해설

49

- 물품 구매 이후에도 구입 물품에 부착되어 있는 태그의 기능이 지속

적으로작동하여발생할수있는프라이버시침해우려에 하여해당

이용자에게 인식시켜 줌으로써 이용자 자신의 개인정보보호의 기회를

부여하기 위함이다.

해 설

� RFID 태그 기능제거 방법의 설명 또는 표시 (제1항 및 제2항)

●RFID 취급사업자는 이용자가 물품을 구입한 이후에도 당해 물품에

RFID 태그가 부착 또는 내장되어 그 기능이 계속 활성화 상태로 유지

되도록 한 경우에는

- 그 사실을 이용자에게 알려주어 이용자가 원하는 경우에는 RFID

태그의 기능을 제거할 수 있도록 그 방법에 하여 설명하거나 표시

하여야 한다.

※“RFID 태그의 기능이 활성화 상태로 유지”된다는 것은 이용자가 물품을 구입한 이후

에도 그 물품에 부착된 태그의 기능이 살아 있어 향후 언제든지 RFID 리더기에 의해

해당 태그의 내용이 판독될 수 있는 상태로 두는 것을 말한다.

�“기능 제거“의 의미

- RFID 태그의“기능을 제거한다”는 것은 RFID 태그를 물품 등에서

완전히 분리, 탈착하거나 또는 RFID 태그를 부착하 지만 그 기능을

차단(비활성화)하여 구입 물품과 태그와의 상관관계 및 연결고리를 단절

되도록 하여 리더기로 판독이 불가능한 상태로 한다는 것을 말한다.


50

● 설명이나 표시가 곤란한 경우에는 해당 물품을 판매하거나 서비스가

제공∙이용되는 장소에 동일한 내용을 게시하여야 한다.

� RFID 태그 기능 제거 수단의 제공(제3항)

●RFID 태그 기능을 제거할 수 있는 방법을 이용자에게 알려주었더라도

그방법이어려워이용자가스스로태그를제거할수없다면제거방법의

설명은 아무런 의미가 없게 된다.

- 따라서 RFID 태그의 제거는 이용자가 물품을 구입한 때에 해당 장소

에서 RFID 취급사업자가 직접 RFID 태그를 제거하는 것을 원칙으로

하는 것이 바람직하다.

● 사정상 기능을 제거하기 위한 도구를 용이하게 구하기 어려운 경우에는

� RFID 태그의 기능 제거 방법 예시

- RFID 태그 자체를 떼어냄

- 동전, 송곳 등 간단한 도구를 이용한 스크래칭 등 간단한 조작으로

전자적으로 태그 정보의 판독을 불가능하게 함

- 알루미늄 포장 등을 이용하여 RFID 태그의 내용을 리더기가 판독할

수 없도록 차단

- RFID 취급사업자는이용자가용이하게해당태그를제거할수있도록

수단 또는 도구를 제공하여야 한다.

� RFID 태그 제거로 인한 이용자에 한 차별 금지(제4항)

●이용자가물품구입후에부착된RFID 태그를제거하 다는이유만으로

부당하게 이용자에게 불이익을 주거나 차별할 수 없다.

RFID

프라이버시

보호

가이드라인

해설

51


� RFID 태그 기능 제거 수단 제공의 예시

- 이용자에게 물품판매 시 태그를 간단히 분리하거나 기능을 비활성화

할 수 있는 장치 또는 도구와 함께 사용설명서를 첨부하여 제공

※ 조립제품 판매시 조립을 용이하게 할 수 있도록 간단한 도구를 첨부하여

판매하는 방법을 RFID 태그가 부착된 물품을 판매하는 경우에도 활용할

수 있을 것임

� 이용자에게“불이익 제공”또는“차별 우”의 예시

- 정당한 이유없이 해당 물품에 한 A/S를 거부하는 행위

- 해당 물품의 반품을 거부하는 행위

- 태그 제거를 이유로 통상적으로 누구에게나 제공하는 당해 상품의

할인 혜택 등을 거부하는 경우 (태그 제거가 할인혜택을 부여하는데

향을 미치지 않는 경우)


52

� 이용자또는공공의이익을위한RFID 태그부착이유의설명등(제5항)

●이용자 또는 공공의 이익을 위해 물품 등에 RFID 태그를부착할 필요가

있는 경우에는 RFID 취급사업자는 부착해야 할 이유를 이용자에게

설명하거나 해당 물품 또는 그 포장에 표시하여야 한다.

� 이용자의 이익을 위한 경우

- “이용자의 이익”이라 함은 이용자의 재산적∙경제적 이익 등을 말하며,

이용자의 이익을 해치는 경우는 다음과 같다.

�RFID 태그를 탈착함으로써 해당 물품과 관련한 이력정보가 분실

되어 서비스 제공이 불가능하게 되는 경우

�RFID 태그 부착 자체가 물품 본래의 기능과 관련되어 태그 탈착 시

더 이상 해당 물품이 제 기능을 발휘하지 못하는 경우 등

� 공공의 이익을 위한 경우

- “공공의 이익”이라 함은 사회질서 유지, 환경 보전 등 공공의 목적을

달성함으로써 얻는 이익을 말하며, 공공의 이익을 해치는 경우는 다음

과 같다.

�환경오염방지를 위한 물품의 RFID 태그를 탈착함으로써 환경보전에

필요한 관련 정책집행이 곤란해지는 경우

�물품 거래 현황분석 등 국가적 통계 자료작성 및 책마련을 위해

RFID 태그를 부착하는 경우 등


RFID

프라이버시

보호

가이드라인

해설

53

국외 사례


- 사업자는 소비자에게 물품이 교부된 후에도 해당 물품에 전자태그가

장착되어 있는 경우에 있어 소비자가 해당 전자태그의 성질을 이해한

후에, 해당 전자태그를 판독 할 수 없도록 하기를 원하는 경우에는,

소비자의 선택에 따라 해당 전자태그의 판독이 불가능하도록 하기

위한 방법에 해 미리 설명 또는 게시하거나, 또는 해당 물품 혹은

그 포장에 표시할 필요가 있음을 명시 <제4조(전자태그의 판독에 관한

소비자의 최종적인 선택권의 유보)>


- 개인의 프라이버시 선택권은 적시에 쉽고 효과적인 방식으로 행사할

수 있어야 하며 강요받아서는 안되며 고객은 물품에 부착된 RFID

태그를 제거하거나 작동정지, 비활성화 시에도 불이익을 받아서는 안

됨을 명시


54

제제44장장 보보 칙칙

9. RFID 태그의 인체 이식 등 금지

취 지

●누구든지 RFID 태그를 인체에 이식하는 행위는 반드시 법률의 근거에

의해서만 가능하도록 하여 태그의 인체이식으로 인한 부당한 인권침해

를 방지하도록 하 다.

●또한 RFID 태그를 물품에 부착하는 경우에는 반드시 이용자가 인식할

수 있도록 규정함으로써 RFID 태그 부착으로 인한 부당한 위치추적 등

심각한 개인정보 침해 행위를 방지하 다.

제9조(RFID 태그의 인체 이식 등 금지) ①누구든지 RFID 태그를 인체에

이식하거나 제거할 수 있는 권한을 부여하지 아니하고 이용자의 신체에

RFID 태그를 지속적으로 착용하도록 하여서는 아니된다. 다만, 법률에

특별한 규정이 있는 경우는 그러하지 아니하다.

②누구든지 법률에 특별한 규정이 있는 경우를 제외하고는 RFID 태그를

이용자가 인식할 수 없는 방법으로 물품 등에 부착하여서는 아니된다.


RFID

프라이버시

보호

가이드라인

해설

55

해 설

● RFID 태그가 인체에 이식되는 경우 개인의 위치가 파악될 수 있는

위험성이 있어, 단순히 사물에 부착하는 경우보다 개인정보 및 개인

프라이버시 침해 가능성이 매우 높다.

- 따라서 누구든지 법률에 특별한 규정이 있는 경우를 제외하고는

RFID 태그의 인체 이식을 금지하 다.

※ 현재로서는 인체이식에 한 아무런 법률 규정이 없으므로, 관련 법률이 제정되기

이전에는 RFID 태그의 인체이식은 금지된다.

- 한편, 순수한“연구 목적”으로 RFID 태그를 인체에 이식하는 경우에도

법률에 근거가 없으면 허용되지 않는다고 보아야 한다.

●동의가악의적으로활용되는것을막기위하여RFID 태그의인체이식의

경우에는 반드시 법률에 근거하도록 하 다.

- 따라서 이용자 당사자의 인체이식에 한 명시적 동의가 있을지라도

RFID 태그의 인체이식은금지된다.

� RFID 태그“인체 이식”의 의미

- 인체의 일부분 어느 곳이든지 RFID 태그를 삽입하거나 붙이는 행위

또는 이와 유사한 일체의 행위를 말한다.


56

※ 본인의 경제적 이유 등으로 불가피하게 태그의 인체이식을 동의하는 등 오남용의

위험성이 매우 높기 때문에 본인의 동의만으로는 부족하고, 반드시 법률의 규정과

절차에 따라서만 태그의 인체 인식을 인정할 수 있다.

●제1항의 RFID 태그를“지속적”으로 착용하도록 할 수 없다는 의미는

“한시적∙단발적”인체이식이 허용된다는의미는 아니다.

- 태그의 인체이식의 경우 법률에 의한 경우라도 가능한 한 장기간의

이식 상태는 제한되어야 하며 그 상태는 한시적∙단발적으로 이루어

져야 하는 것이 바람직하다.

●또한 관련 법률에 따라 RFID 태그를 이식하는 경우에도 이식 상자에

게도 언제든지 당해 RFID 태그를 제거할 수 있도록 권한을 부여하여야

한다.

� 적법절차에 의한 인체 부착의 경우

- 범죄방지의 목적, 사회질서 유지 등 공공의 이익을 위해 매우 제한된

경우에 한해서만, 그리고 법령이 정한 적법한 절차에 의해서만 이용자

에게 RFID 태그를 부착할 수 있을 것이다.

- 예를 들어 RFID를 이용한 추적시스템을 이용하여 교도소에서 발생할

수 있는 수감자의 탈출 및 폭력 발생률을 감소시키기 위한 교도소

관리 시스템 도입 관련 법률이 제정될 수 있을 것이다.

※ 다만, 교도소 수감자 및 성범죄자 감시 또는 보호감찰 등의 목적을 위한

RFID 태그 부착에 하여는 프라이버시 침해 등 인권침해라는 반론이

제기되고 있어 이 부분에 해서는 신중한 논의가 필요할 것임

- 그 이유는 이식 상자가 임의로 원하는 때에 자신의 인체에 이식된

RFID 태그를 제거할 수 없다면 심각한 인권침해의 소지가 있기 때문

이다.

●제2항에서 이용자가 인식할 수 없는 방법으로 물품 등에 RFID 태그를

부착하는 행위를 금지하고 있다.

- 이용자가 착용∙소지하고 있는 물품에 RFID 태그를 몰래 부착하여

개인의 위치파악에 사용하는 등 악용하는 경우를 방지하기 위하여

누구든지 RFID 태그를 이용자가 인식할 수 없는 방법으로 부착하지

못하도록 하 다.

10. RFID 리더기 설치의 표시

RFID

프라이버시

보호

가이드라인

해설

57


제10조(RFID 리더기 설치의 표시) 누구든지 RFID 태그가 부착 또는 내장

되어 이용자에게 교부된 물품에 한 정보 또는 RFID 태그에 기록된 개

인정보를 판독할 수 있는 리더기를 설치한 경우에는 리더기가 설치되어

있다는 사실을 이용자가 용이하게 인식할 수 있도록 표시하여야 한다. 다

만, 물류유통∙내부 보안유지∙재고 관리를 목적으로 리더기를 설치하거

나 고정된 장소에 설치되지 않아 설치장소를 용이하게 표시하기 힘든 경

우에는 그러하지 아니하다.


58

취 지

● 특정한 장소에 설치되어 이용자의 통행 또는 출입 시 해당 이용자가

소지하고 있는 물품 등의 정보를 판독하는 RFID 리더기를 통해 개인

정보 침해가 일어날 우려가 있기 때문에,

- 리더기의 설치 위치를 표시, 이용자가 리더기를 인식하도록 함으로써

개인정보 침해 소지를 최소화하 다.

해 설

●RFID 태그가 부착 또는 내장되어 이용자에게 교부된 물품에 한 정보

또는 RFID 태그에 기록된 개인정보를 판독할 수 있는 리더기를 설치한

경우에는

- 이를 통해 개인이 착용∙부착하고 있는 물품에 한 정보를 판독하는

것이 가능하여 개인의 취미, 소비성향, 위치정보 등민감한 개인정보에

한 파악이 가능해지므로 개인 프라이버시의 침해 소지가 있다.

●RFID 리더기 설치 시 리더기가 설치되어 있다는 사실을 이용자가 용이

하게 인식할 수 있게 표시하도록 하여 이용자가 자신의 중요한 개인

정보가 누출되는 것을 사전에 방지할 수 있는 기회를 부여하여야 한다.


RFID

프라이버시

보호

가이드라인

해설

59

- 리더기 설치의 표시는 원칙적으로 리더기가 설치된 장소에 표시하는

것이 가장 바람직하며, 그 장소에 표시하는 것이 곤란한 경우에만

안내문 등을 통해 리더기의 설치장소를 이용자가 쉽게 알 수 있도록

하여야 한다.

●RFID 리더기 설치 표시의 예외(단서 조항)

- 물류∙유통∙재고 관리∙내부 보안유지 등 내부 업무관리의 목적에

활용되어 일반 개인의 프라이버시 침해소지가 없는 경우에는 공공의

이익또는사업자의편의등을고려하여표시의무 상에서제외하 다.

11. RFID 시스템의 개인정보보호를 위한 관리적∙기술적 조치

� RFID 리더기 설치 표시의 장소

- 리더기 설치 장소에 인식하기 용이하도록 안내문 등 부착

- 설치장소에 표시가 곤란한 경우 구입물품 또는 그 포장에 그 장소를

표시 등

제11조(RFID 시스템의 개인정보보호를 위한 관리적∙기술적 조치) RFID

취급사업자는 RFID 시스템을 이용하여 개인정보를 기록∙수집하거나

RFID 태그의 물품정보 등과 개인정보를 연계하는 경우, 당해 개인정보가

분실∙도난∙누출∙변조 또는 훼손되지 아니하도록 <별표>와 같은 조치를

취하여야 한다.


60

조치사항구 분

관리체계

수립 및 시행

● RFID 시스템 운 시 태그 내 개인정보를 기록하거나 개인정보와 연계

하는 경우 안전한 취급을 위한 내부규정 마련

- RFID 시스템 운 상 개인정보 취급자의 의무와 책임 규정

- 가이드라인 이행을 위한 세부관리 절차 및 지침 마련

● RFID 시스템 운 시 처리되는 개인정보의 도난∙분실∙누출 등 사고

발생 시 조치 및 보고 등에 한 체계적인 응 지침 마련

접근통제

● RFID 시스템을 운 할 경우 접근권한자 지정 및 접근권한 구분

- 최소 인원에게만 RFID시스템에 한 접근권한 부여

- 전보 또는 퇴직 등 인사상 변동사항 발생 시 개인정보 DB 등 시스템

접근권한 변경 또는 말소

암호화 및

인증 등 기술적

보호조치

● 개인정보를 포함하는 RFID 시스템 운 시 권한없는 접근을 차단하기

위한 암호화, 인증 등 보호조치 시행

- 태그 내 개인정보가 기록된 경우 해당정보 암호화 등 보호조치 시행

- 개인정보가 기록된 태그와 리더기, DB와 같은 백엔드 시스템에 접근

시 인증과 같은 접근 권한 확인 등 보호조치 시행

- RFID 시스템에서 개인정보 관련 내용을 정보통신망을 통해 외부로

송수신하는 경우, 해당정보 암호화 등 보호조치

● 개인정보에 한 불법적인 접근을 차단하기 위한 침입차단시스템 등

접근 통제장치의 설치∙운

● 개인정보를 포함하는 RFID 시스템 운 시 정보 접근 기록(로그)에

한 안전한 관리 장치 운

● 바이러스 침투를 방지할 수 있도록 백신소프트웨어의 설치∙운

- 바이러스, 웜 등 악성프로그램의 침투 여부를 점검∙치료할 수 있도록

백신 소프트웨어 설치 및 주기적 갱신∙점검

태그 기능제거

또는 중지

● 이용자가 용이하게 RFID 태그의 기능을 제거∙중지할 수 있는 물리적∙

전자적 수단 제공

- 태그 자체 제거, 스크래칭 등 전자적 태그정보 판독 불가 조치, 리더기가

판독할 수 없도록 하는 차단 장치 등

< 별표 >

RFID 시스템의 개인정보보호를 위한 관리적∙기술적 보호조치

RFID

프라이버시

보호

가이드라인

해설

61


취 지

●RFID를 통해 정보가 실시간으로 누적되고 활용될 경우 RFID 정보와

결합된 고객 DB에 해서는 그 안전성 확보를 위해 정보의 저장, 공유

등 그 관리에 한 관리적∙기술적 조치를 취하도록 한다.

해 설

● RFID 기술을 이용한 고객서비스를 확 할 경우 중앙 서버의 데이터

접근자 뿐만 아니라 휴 폰, PDA 등을 통해 실시간으로 고객정보의

접근 및 활용이 가능하여

- 관련 시스템에 한 내부관리체계 수립, 접근통제장치의 운 , 보안

장치 등 RFID 내의 개인정보 안전성 확보에 필요한 관리적∙기술적

조치기준 마련이 필요하다.

※ 예를 들어 미아방지를 위해 놀이동산 관리원이나 물품배송을 하는 택배원이 PDA

를 활용하여 중앙 서버의 데이터에 접근하는 것이 가능한데, 이러한 정보 송∙

수신시 유출사고가 발생할 수 있음

� 관리적∙기술적 조치는 RFID 시스템을 이용한 개인정보 수집∙이용 시

정보통신기술의 발달에 응한 적절한 방안 마련을 포함하며,

� 부주의하게 취급됨으로써 분실∙도난∙누출∙변조 또는 훼손되지 아니

하도록 관리체계를 명확화 하는 등의 응조치를 말한다.


62

< 관리체계 수립 및 시행 >

●RFID 시스템 구축 운 과 관련하여 개인정보보호 활동을 체계적으로

이행하기위해서는조직에서운 하는RFID 시스템에적합한개인정보

보호 관리 내부 규정을 마련해야 하며, 개인정보 취급자의 책임과 권한

을 명확하게 규정하여야 한다.

- 이를 위해 RFID 시스템 운 상 개인정보 취급자의 의무 및 책임

규정과 가이드라인 이행을 위한 세부관리 절차 및 지침 마련이 필요

하며 이를 숙지할 수 있도록 관련자에 한 교육 등이 실시되어야

할 것이다.

●RFID 시스템을 운 하면서 처리되는 개인정보의 도난∙분실∙누출 등

사고발생시조치및보고등에 한체계적인 응지침을마련, 신속한

보호조치가 이루어질 수 있도록 해야 할 것이다.

� 응지침 예시

- 개인정보관리책임자 및 개인정보취급자 보안서약서 징구

- 기존 시스템의 개인정보 관련 파일 삭제

- DB 포멧

- DB 복구방지 S/W 이용 등

< 접근통제 >

● 접근통제는 RFID 시스템 내에서 개인정보처리시스템에 하여 인가

되지 않는 접근을 차단하는 것으로 인가되지 않은 접근이라 함은 개인

정보의 불법 사용, 누출, 변조∙훼손 등을 의미한다.

●기본적인 접근통제 수단으로는 RFID 시스템 내에서 개인정보를 처리

하는 시스템 또는 DB에 한 식별, 인증이 있다.

●RFID 시스템에서 개인정보관리자∙취급자의 전보 또는 퇴직 등 인사

이동이 발생하여 담당자가 변경되었을 경우 지체없이 개인정보처리

시스템, DB의 접근권한을 변경 또는 말소하여야 한다.

※ 시스템 접근권한은 고객을 상으로 업무를 수행하는 자, 개인정보관리업무를 수행

하는 자, 그 밖에 업무상 개인정보의 취급이 불가피한 자로 최소화하여 부여하여야

한다. 즉 정보가 유출되거나 무결성이 훼손되는 것을 방지하기 위하여 필요한 사용자

에게만 접근을 허용하는 것이다.

< 암호화 및 인증 등 >

●RFID 서비스제공자 등은 사용자 본인임을 인증하는 정보 등 사용자의

개인정보에 해 복호되지 않도록 일방향 암호화하여 저장하여야 한다.

RFID

프라이버시

보호

가이드라인

해설

63



64

●태그 내 개인정보가 기록된 경우 해당 정보 암호화, 개인정보가 기록된

태그와 리더기 및 DB와 같은 백엔드 시스템 접근 시 인가된 관리자임을

확인할수있는인증등의보호조치가필요하다.

●RFID 시스템에서 개인정보 관련 내용을 정보통신망을 통해 외부로 송

수신하는 경우에는 정보통신망 상에서의 도청 등으로 인해 개인정보가

노출되지 않도록 암호화 조치를 한다.

●개인정보처리시스템에 한 불법적인 접근을 차단하기 위하여 침입차단

시스템등접근통제장치설치운 및정보접근기록(로그)에 한안전한

관리 장치 운 , 바이러스 침투를 방지할 수 있는 백신 소프트웨어 설치

및 주기적 갱신∙점검 등 보안 조치를 하여야 한다.

< 태그 기능 제거 또는 중지 >

●RFID 서비스를 이용하는 사용자가 더 이상의 서비스 제공 또는 이용을

원하지 않을 경우, 정당한 방법에 의해 태그의 기능을 정지시키거나

태그를 제거할 수 있는 방법을 제공하여야 한다.

� RFID 시스템과 관련한 보안기술의 예시

- RFID 태그로부터 전송되는 정보를 보호하는 기술

- 인증되지 않은 공격자로부터 RFID 시스템을 보호하는 기술

- 인가되지 않은 리더기로부터 RFID 태그정보를 보호하는 기술

- 정보를 제공하고 싶지 않을 때 RFID 태그의 기능을 정지시키는 기술 등

- 태그 정보 사용 종료 또는 폐기할 경우에는‘kill’명령어를 사용하여

태그 기능의 재사용을 방지토록 하거나, 불법적 리더기로부터 태그

정보의탐지를방지하기위해Faraday Cage 기술을사용할수있다.

※ 태그 기능제거 또는 중지를 원하는 이용자들에게 방법 안내 뿐 아니라 조치를 용이

하게 할 수 있는 수단 제공을 권고하고자 하 다.

RFID

프라이버시

보호

가이드라인

해설

65


� 국외 RFID시스템과 관련한 보안기술의 예시

- Blocker Tag : RFID에 저장된 정보의 접근을 선택적으로 차단하는

기술

- Kill Tag : 필요에 따라 RFID 태그의 기능을 제한하는 기술

- Faraday Cage : RFID 태그를 봉하여 전파를 차단시킴으로써 허가

되지않은RFID 리더기가RFID 태그의내용을읽는것을방지하는기술

- 전파방해 : 휴 용 소형기기가 전파 방해 신호를 보내 주변에 있는

RFID 리더기의 동작을 차단/방해하는 기술

- Smart RFID : 해쉬알고리즘 등 암호기술을 활용하여 RFID 리더기와

RFID 태그간의 정보를 인증/암호화하는 기술 등

“kill”command

:�RFID�태그 :�Killed�RFID�태그

< Kill Tag >

:�RFID�Tags

Faraday�cage

Shield�RFID�Tags

< Faraday Cage >


66

12. RFID 시스템에 한 프라이버시 향평가

취 지

● 사업자가 RFID 관련 물품 및 서비스 제공시에 RFID 사용으로 인한

프라이버시 보호에 미치는 향을 사전에 평가하고 검토하여 개인정보

침해를 예방하기 위함이다.

Jammingdevice

:�RFID�태그불법�RFID�리더기

< 전파방해 >

제12조(RFID 시스템에 한 프라이버시 향평가) RFID 취급사업자는

RFID 시스템을 이용하여 개인정보를 기록∙수집하거나 RFID 태그의

물품정보 등과 개인정보를 연계하는 경우, RFID 시스템 이용에 따른

프라이버시 침해 요인 등을 당해 RFID 시스템 도입 시에 분석∙평가하여

이용자의 프라이버시가 침해되지 않도록 노력하여야 한다.


RFID

프라이버시

보호

가이드라인

해설

67

해 설

● RFID가 적용되는 각 분야별로 RFID 도입단계에서부터 개인정보의

흐름을 중심으로 예상되는 위험을 분석하여

- RFID 취급사업자에 하여 이에 한 처방안을 마련할 수 있도록

함으로써 보다 개인정보 보호를 강화할 수 있도록 하 다.

●RFID 취급사업자는 RFID 시스템을 이용하여 개인정보를 수집∙이용

하는 경우

- 그 사용 이전에 RFID 사용에 수반하는 프라이버시 침해 위협요소

등을자율적으로평가하여개인정보침해요소를최소화하여야한다.

- 이로서 RFID 이용기관의 신뢰성 확보 및 RFID 역기능으로 인한

재투자 등 불필요한 비용절감 효과 또한 기 할 수 있을 것이다.

●RFID 프라이버시 향평가 수행 방법

- 향평가는 RFID 취급사업자가 필요하다고 판단한 경우 자율적으로

실시하는 것을 원칙으로 한다.


68

13. 개인정보관리책임자의 지정

취 지

●이 가이드라인의 개인정보 기록∙수집∙연계 등과 관련하여 이용자의

개인정보를 보호하기 위하여 RFID 취급사업자로 하여금 이용자의

개인정보에 한 관리 책임에 관하여 규정하 다.

해 설

●“개인정보관리책임자”라 함은 RFID 취급사업자가 자사 이용자의 개인

정보 보호를 위해 지정한 자로서 개인정보를 수집∙이용하거나 제공의

목적 및 수단을 책정하는 권한을 가진 자를 말한다.

● 개인정보관리책임자의의무

- 개인정보관리책임자로 지정된 자는 RFID취급사업자가 수집하여

제13조(개인정보관리책임자의 지정) RFID 취급사업자는 RFID 시스템을 이용

하여 개인정보를 기록∙수집하거나 RFID 태그의 물품정보 등과 개인정보를

연계하는 경우, RFID 태그와 관련한 이용자의 프라이버시를 보호하고

이용자의 불만 등을 신속하게 처리하기 위하여 개인정보관리책임자를

지정하여야 한다.


RFID

프라이버시

보호

가이드라인

해설

69

취급하는 이용자의 개인정보를 가이드라인 제11조의 관리적∙기술적

조치 기준에 따라 안전하게 보호하여야 한다.

- 또한RFID 태그가부착된물품등을구입한이용자의개인정보침해와

관련한 고충을 신속하게 처리하여야 한다.

● 개인정보관리책임자지정의 방법

- RFID 취급사업자는 개인정보의 수집, 이용 및 처리 등에 관하여

실질적인 권한을 가진 자를 관리책임자로 지정하여야 한다.

※임원, 고충처리 담당부서의 장 또는 개인정보 취급부서의 장을 개인정보관리책임자로

지정하여야 한다.

- 개인정보관리책임자는 복수로 지정할 수 있으며, 이 경우 당사자 간의

역할 분담을 명확히 하여야 한다.

14. RFID 태그에 한 이용자의 인식 제고

제14조(RFID 태그에 한 이용자의 인식 제고) RFID 취급사업자 또는

RFID와 관련이 있는 사업자단체∙기관은 이용자에게 RFID 태그의 유용

성 및 장∙단점 등에 관한 정보를 제공하는 등 이용자의 인식을 제고하

기 위하여 노력하여야 한다.


70

취 지

●RFID 취급사업자가 이용자에 하여 RFID 시스템 및 이를 통한 서비스

의 안전성∙중요성 등에 한 정보를 제공하기 위한 인식제고 노력 의무를

부과함으로써RFID 서비스 활용의 건전한 환경을 조성하기 위함이다.

해 설

● RFID 취급사업자는 RFID 산업의 건전하고 원만한 발전을 도모할

책임이 있으며, 이를 위하여 이용자에게 RFID 태그의 유용성 및 장단점

등에 관한 정보를 제공하는 등 이용자의 인식을 제고하여야 한다.

● 이용자로 하여금 RFID 태그의 이용목적∙성질 및 장단점 등에 하여

올바른 지식을 가지고 스스로 RFID 태그의 취급에 해서 의사결정을

할 수 있도록 정보제공 등 이용자의 이해를 돕도록 노력을 기울여야

한다.

� RFID 관련 인식제고

- RFID 취급사업자는 이용자에게 RFID서비스에 한 올바른 정보를

제공하기 위하여 필요한 교육훈련 프로그램을 수립하여 사내에서 교육

하거나 해당 분야의 외부 전문기관을 통해서 교육을 실시할 수 있다.

�RFID 시스템의 활용에 관한 모범 사례

�유비쿼터스 환경에서의 RFID 서비스의 필요성

�RFID 서비스의 효용성과 안전성

�이용자가 신뢰할 수 있는 개인정보보호 방안 등


RFID

프라이버시

보호

가이드라인

해설

71

15. 개인정보 이용∙제공∙파기 등

취 지

●RFID 기술의특성을감안하여RFID 태그에의개인정보기록및기록된

개인정보의 자동 수집, 개인정보와 RFID 태그 내의 물품 정보와의 연계

등과 관련하여 이용자의 개인정보보호를 위한 사항을 규정한 것이며,

- 그 이외에 기록, 수집, 연계하여 생성된 정보 등의 이용 또는 제3자

제공 등에 관하여는 정보통신망법 등 관련 법률에서 정하는 개인정보

보호 원칙이 적용됨을 강조한 것이다.

해 설

� 개인정보의 이용 및 제공의 제한

●RFID 취급사업자의 개인정보의 기록 및 기록된 정보의 수집∙이용에

해서는 동 가이드라인 제4조 및 제5조에서, RFID 취급사업자의

제15조(개인정보 이용∙제공∙파기 등) 이 가이드라인에 정한 사항 외의

개인정보의 이용∙제공∙파기 및 이용자의 권리보호 등 개인정보 보호와

관련한 사항은 정보통신망 이용촉진 및 정보보호 등에 관한 법령 및

지침의 개인정보보호 원칙에 따른다.


72

개인정보 연계를 통한 특정 정보 생성에 해서는 제6조에서 규정하고

있으므로 이를 준수하면 된다.

●다만, RFID 취급사업자가기록된정보의수집∙이용시당초목적범위를

넘어 이용하거나 제3자에게 제공할 경우에는 정보통신망법 제24조의2

등 관련 법령 및 지침에 정한 원칙(추가 고지 및 동의 획득 등)을 준수

하여야 한다.

● 또한, 개인정보 수집∙이용∙제공 주체인 이용자가 만 14세 미만의

아동인 경우, 정보통신망법 제31조 제1항에 따라 법정 리인의 동의를

추가로 획득하여야 한다.

� 개인정보의 파기

●RFID 취급사업자는 저장하고 있는 개인정보를 이용요금 정산 완료 등

수집 및 이용 목적이 달성된 때에 다른 법령에 특별한 규정이 있는 경우

를 제외하고는 지체 없이 파기하여야 한다.

- 다른 법령의 규정에 의해 일정 기간 보존하는 경우에도 보존 목적

이외의 용도로 이용자의 개인정보를 이용하거나 제3자에게 제공할

수 없다.

☞ 개인정보의 파기에 한 내용은『인터넷상의 개인정보보호를 위한 가이드북』

참조

� 이용자의 권리보호

●RFID 취급사업자는 정보통신망법의 규정과 동일한 수준으로 이용자의

권리를 보호하여야 하는데,

- 이용자의 권익을 효과적으로 보호하기 위해서는 이용자 스스로가

자신의 정보에 한 적극적인 통제권 행사를 보장해 주어야 하기

때문이다.

- RFID 취급사업자는 정보통신망법 등 관련 규정에 따라 이용자가

자신의 개인정보 처리에 우려를 가진 경우 스스로 확인하고 정정할

수 있도록 이용자의 열람 및 정정요구에 하여 즉시 필요한 조치를


☞ 이용자의 권리 등에 한 내용은『인터넷상의 개인정보보호를 위한 가이드북』

참조

16. RFID 시스템을 통한 개인위치정보 수집 등

RFID

프라이버시

보호

가이드라인

해설

73


제16조(RFID 시스템을 통한 개인위치정보 수집 등) 이 가이드라인에 정한

사항 외에 RFID 취급사업자가 RFID 시스템을 통해 개인의 위치정보를

수집∙이용∙제공하는 경우에는 개인위치정보 보호와 관련한 사항에

해서「위치정보의 보호 및 이용 등에 관한 법률」에 따른다.


74

취 지

● RFID 취급사업자가 RFID 시스템을 이용하여 개인위치정보를 취급

하고자하는경우, 「위치정보의보호및이용등에관한법률(이하‘위치

정보법’이라한다)」에따르도록하는것은특정인의개인위치정보수집,

이용 등에 하여 보호하기 위함이다.

해 설

●RFID 시스템을 이용하여 태그가 부착되어 있는 사물을 소지한 개인을

식별, 특정인의 위치정보 수집∙이용∙제공하는 경우 개인위치정보에

한 침해 위협이 있다.

- 따라서, 이를 보호하기 위한 조치가 필요하며 현행 위치정보법에서는

개인위치정보를 수집∙이용∙제공에 한 보호사항을규율하고 있다.

※‘개인위치정보’라 함은 특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를

알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수

있는 것을 포함한다)를 말한다. (위치정보법 제2조 제2호)

� 개인위치정보의 특성

- 사업자에 의해 획득, 제작되는 생성정보임

- 시간의 흐름에 따라 계속적으로 변화하며, 변동 흐름이 중요한 의미를

가짐

- 침해 시 생명, 신체에 한 즉각적인 침해 위험이 높으며, 행동반경이나

이동 방향을 유추해 낼 수 있어 장래의 위험 발생 가능성이 있음


RFID

프라이버시

보호

가이드라인

해설

75

� 위치정보의 수집∙이용∙제공 등의 제한

●RFID 취급사업자가 RFID를 통해 개인위치정보를 수집∙이용∙제공

등을 함에 있어 위치정보법이 정하는 위치정보보호 원칙을 준수하여야

한다.

● 긴급구조기관의 긴급구조 또는 경보발송 요청 등을 제외하고는 위치

정보법 제15조에 따라 사업자뿐만 아니라 일반인의 위치정보 수집 등의

행위에 해서도 타인의 개인위치정보에 관한 프라이버시를 침해하지

못하도록 법적 의무가 부과되어 있으며,

- 이용자가 필요한 정보를 인지한 상태에서 자신의 위치정보 수집∙

이용∙제공 등을 허용할 수 있도록 사전고지 및 동의의무를 부과하고

있다.

- 긴급구조, 경보발송 등 개인의 생명, 신체보호를 위해 유용하게 활용

가능

- 텔레매틱스, 물류, 차량관제, 교통, 각종 정보제공 등 산업적 활용

가능성이 높은 특성을 가짐

� 개인 위치정보 수집∙이용∙제공 예시

- 학생의 출결사항을 통보하는 전자명찰 서비스 가입에 있어 학생의 개인

위치정보 수집, 이용에 한 고지 및 동의가 필요(14세 미만 아동의

경우 법정 리인의 동의를 거쳐 서비스 실시 가능)


76

※ [부록1]의 위치정보의 보호 및 이용 등에 관한 법률 제15조(위치정보의 수집 등의

금지) 참조

� 개인위치정보의 파기

● 개인위치정보를 수집하여 이용한 후 그 목적이 달성되었음에도 불구

하고 이를 보존하는 것은 개인위치정보의 유출과 오용 가능성을 높이는

결과를 가져오므로, 수집, 이용 목적 달성 후에는 즉시 파기토록 하여

개인위치정보를 안전하게 보호하고자 한다.

※ [부록1]의 위치정보의 보호 및 이용 등에 관한 법률 제23조(개인위치정보의 파기 등)

참조

17. 가이드라인의 개정에 관한 사항

제17조(가이드라인의 개정에 관한 사항) 이 가이드라인은 RFID 관련 기술의

발전 및 이와 관련한 개인정보 침해의 변화에 따라 이용자, RFID 취급

사업자 및 관련기관 등의 의견수렴을 통해 개정할 수 있다.


RFID

프라이버시

보호

가이드라인

해설

77

해 설

● 현재 RFID 서비스 산업은 급격하게 발전하고 있으며, 이에 따라 본

가이드라인이 예측하지 못한 개인정보 침해 유형도 발생할 수 있을

것으로 예상된다.

●이에 따라 이 가이드라인이 정당하고 실효성 있게 기능하기 위해서는

RFID 기술 발달에 따라 필요한 개정작업이 이루어질 수 있어야 한다.

- RFID 환경 변화에 따라 개정의 필요성이 발생한 때에는 공청회 등

관련 전문가 및 이해 관계자의 의견을 종합적으로 수렴하는 절차를

거쳐 본 가이드라인을개정할 수 있도록 하 다.

부 록RFID 프라이버시 보호 가이드라인 해설서


부 록

80

1. 가이드라인 준수를 위한 각종 고지/통지/표시사항 (예시)

� 개인정보 기록에 한 고지 및 동의서

[동의 전 고지사항]

본인은 (갑)이 제공하는 서비스를 이용하기 위해 위의 사실을 확인하고 개인정보를 기록

하는데 동의합니다.

2007년 월 일

제공자 : (서명)

(갑) ○ ○ ○ 주식회사 귀중

■ 개인정보의 기록 목적 : 미아방지

■ 기록되는 개인정보 항목 : 이름, 태그 고유번호

■ 개인정보 수집∙이용 목적 및 수집방법 : 미아의 위치확인을 위해 놀이공원

내 설치된 리더기를 통해 RFID 태그 내 기록된 정보 수집

■ 개인정보관리책임자 △ △ △ (○○-○○-○○○○)

� 개인정보 연계를 통한 특정 정보 생성에 한 고지 및 동의서

부

록

81


[동의 전 고지사항]

본인은 (갑)이 제공하는 회원서비스를 이용하기 위해 위의 사실에 따라 개인정보를 수집∙

이용하는데 동의합니다.

2007년 월 일

제공자 : (서명)

(갑) ○ ○ ○ 주식회사 귀중

■ 회원님이 구매하시는 제품에는 RFID 태그가 부착 또는 내장되어 있으며,

이는 회원정보와 연계되어 회원님의 물품에 한 선호도를 파악, 회원님이

선호하는 신제품 출시나 세일정보 등을 알려드리는데 사용됩니다.

■ 기타 사항은 개인정보관리책임자 △ △ △ (○○-○○-○○○○)에게 문의

하여 주시기 바랍니다.

부 록

82

� RFID 태그 부착 물품이 판매된 이후에도 태그가 활성화될 때의 설명

또는 포장지의 표시사항

� 이용자 또는 공공의 이익을 위한 RFID 태그 부착이유 설명 또는 표시

사항

� 리더기 설치에 한 표시사항

■ 본 제품의 포장지 겉면에는 RFID 태그가 부착되어 있습니다. 이 태그에는

제품의 생산정보(생산자, 생산일)가 입력되어 구매자 요청시 리더기를 통해

확인할 수 있습니다.

■ 본 제품에 부착된 RFID 태그는 동전 기타 단단한 물체로 태그의 겉면을

스크래칭하면 그 기능을 제거할 수 있습니다.

■ 기타 사항은 개인정보관리책임자 △ △ △ (○○-○○-○○○○)에게 문의

하여 주시기 바랍니다.

■ 이 제품의 안쪽 상단에는 환경오염 관련 통계작성을 위한 RFID 태그가

부착되어 있습니다. 이 태그는 개인정보와는 무관하며 순수한 공익을 위해

부착되어 있음을 알려드립니다. 기타 사항은 본사 개인정보관리책임자(○○-

○○○-○○○○)에게 문의하여 주시기 바랍니다.

■ 여기에는(○○건물입구)에는 RFID 리더기가 설치되어 있습니다. 관련 상품

정보에 한 판독을 원하지 않는 경우에는 해당 RFID 태그의 제거 또는 관련

담당자에게 연락 등 필요한 조치를 취할 수 있습니다. 관련 사항은 본사 개인

정보관리책임자(○○-○○○-○○○○)에게 문의하여 주시기 바랍니다.

2. 정보통신망법 및 위치정보법 관련 조문

가. 정보통신망 이용촉진 및 정보보호 등에 관한 법률

� 개인정보 수집∙이용∙제공

부

록

83


제22조(개인정보의 수집∙이용 동의 등) ①정보통신서비스제공자는 이용자의

개인정보를 이용하려고 수집하는 때에는 다음 각 호의 모든 사항에 하여

이용자에게 알리고 동의를 얻어야 한다. 다음 각 호의 어느 하나의 사항

을 변경하려는 때에도 또한 같다.

1. 개인정보의 수집∙이용 목적

2. 수집하는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

②정보통신서비스제공자는 다음 각 호의 어느 하나에 해당하는 경우에는

제1항의 규정에 따른 동의 없이 이용자의 개인정보를 수집∙이용할 수

있다.

1. 정보통신서비스의 제공에 관한 계약의 이행을 위하여 필요한 개인정보

로서 경제적∙기술적인 사유로 통상의 동의를 받는 것이 현저히 곤란

한 경우

2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우

제23조(개인정보의 수집의 제한 등) ①정보통신서비스제공자는 사상∙신념∙

과거의 병력 등 개인의 권리∙이익이나 사생활을 현저하게 침해할 우려가

있는 개인정보를 수집하여서는 아니된다. 다만, 제22조제1항의 규정에

따른 이용자의 동의를 얻거나 다른 법률에 따라 특별히 수집 상 개인

부 록

84

정보로 허용된 경우에는 그러하지 아니하다.

②정보통신서비스제공자는 이용자의 개인정보를 수집하는 경우 정보통신

서비스의 제공을 위하여 필요한 최소한의 정보를 수집하여야 하며, 필요

한 최소한의 정보외의 개인정보를 제공하지 아니한다는 이유로 그 서비

스의 제공을 거부하여서는 아니된다.

제24조(개인정보의 이용 제한) 정보통신서비스제공자는 제22조 및 제23조

제1항 단서의 규정에 따라 수집한 개인정보를 이용자로부터 동의받은 목적

또는 제22조제2항 각 호에서 정한 목적과 다른 목적으로 이용하여서는

아니된다.

제24조의2(개인정보의 제공 동의 등) ①정보통신서비스제공자는 이용자의

개인정보를 제3자에게 제공하려는 경우 제22조제2항제2호 및 제3호의

규정에 해당하는 경우를 제외하고는 다음 각 호의 모든 사항에 하여

이용자에게 알리고 동의를 얻어야 한다. 다음 각 호의 어느 하나의 사항이

변경되는 경우에도 또한 같다.

1. 개인정보를 제공받는 자

2. 개인정보를 제공받는 자의 개인정보 이용 목적

3. 제공하는 개인정보의 항목

4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

②제1항의 규정에 따라 정보통신서비스제공자로부터 이용자의 개인정보를

제공받은 자는 그 이용자의 동의가 있거나 다른 법률에 특별한 규정이

있는 경우를 제외하고는 개인정보를 제3자에게 제공하거나 제공받은 목적

외의 용도로 이용하여서는 아니된다.

� 개인정보의 파기

� 이용자의 권리

부

록

85


제29조(개인정보의 파기) 정보통신서비스제공자등은 다음 각 호의 어느

하나에 해당하는 경우에는 당해 개인정보를 지체 없이 파기하여야 한다.

다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지

아니하다.

1. 제22조제1항∙제23조제1항 단서 또는 제24조의2제1항 및 제2항의

규정에 따라 동의를 얻은 개인정보의 수집∙이용 목적 또는 제22조제

2항 각 호에서 정한 해당 목적을 달성한 경우

2. 제22조제1항∙제23조제1항 단서 또는 제24조의2제1항 및 제2항의

규정에따라동의를얻은개인정보의보유및이용기간이종료한경우

3. 제22조제2항의 규정에 따라 이용자의 동의를 얻지 않고 수집∙이용한

때에는 제27조의2제2항제3호의 규정에 따른 개인정보의 보유 및 이용

기간이 종료한 경우

4. 사업을 폐지하는 경우 [전문개정 2007. 1. 26]

제30조(이용자의 권리 등) ①이용자는 정보통신서비스제공자등에 하여

언제든지 개인정보수집∙이용∙제공 등의 동의를 철회할 수 있다. <개정

2007.1.26>

②이용자는 정보통신서비스제공자등에 하여 본인에 관한 다음 각 호의

어느 하나의 사항에 한 열람 또는 제공을 요구할 수 있고 오류가 있는

경우에는 그 정정을 요구할 수 있다. <개정 2007. 1. 26>

1. 정보통신서비스제공자등이 보유하고 있는 이용자의 개인정보

부 록

86

2. 정보통신서비스제공자등이 이용자의 개인정보를 이용하거나 제3자에

게 제공한 내역

3. 정보통신서비스제공자등에게 개인정보수집∙이용∙제공 등의 동의를

한 내역

③정보통신서비스제공자등은 이용자가 제1항의 규정에 의하여 동의를

철회한 경우에는 지체없이 수집된 개인정보를 파기하는 등 필요한 조치를


④정보통신서비스제공자등은 제2항의 규정에 따라 열람 또는 제공을

요구받은 경우에는 지체없이 필요한 조치를 취하여야 한다. <개정 2004.

1. 29, 2007. 1. 26>

⑤정보통신서비스제공자등은 제2항의 규정에 따라 오류의 정정을 요구

받은 경우에는 지체없이 그 오류를 정정하거나 정정하지 못하는 사유를

이용자에게 통지하는 등 필요한 조치를 취하여야 하고, 필요한 조치를

취할 때까지는 당해 개인정보를 제공 또는 이용하여서는 아니 된다. 다만,

다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그러하지 아니

하다. <개정 2007. 1. 26>

⑥정보통신서비스제공자등은 제1항의 규정에 따른 동의의 철회 또는 제

2항의 규정에 따른 개인정보의 열람∙제공 또는 오류의 정정을 요구하는

방법을 개인정보의 수집 방법보다 쉽게 하여야 한다. <개정 2007. 1.

26>

⑦제1항 내지 제6항의 규정은 업양수자등에 이를 준용한다. 이 경우

“정보통신서비스제공자등”은“ 업양수자등”으로 본다.

나. 위치정보의 보호 및 이용 등에 관한 법률

� 위치정보 수집 등의 금지

부

록

87


제15조(위치정보의 수집 등의 금지) ①누구든지 개인 또는 소유자의 동의를

얻지 아니하고 당해 개인 또는 이동성이 있는 물건의 위치정보를 수집∙

이용 또는 제공하여서는 아니된다. 다만, 제29조의 규정에 의한 긴급구조

기관의 긴급구조 또는 경보발송 요청이 있거나 다른 법률에 특별한 규정

이 있는 경우에는 그러하지 아니하다.

②누구든지 타인의 정보통신기기를 복제하거나 정보를 도용하는 등의

방법으로 위치정보사업자등을 속여 타인의 개인위치정보를 제공받아서는

아니된다.

③위치정보를 수집할 수 있는 장치가 부착된 물건을 여하는 자는 위치

정보 수집장치가 부착된 사실을 여받는 자에게 고지하여야 한다.

제18조(개인위치정보의 수집) ①위치정보사업자가 개인위치정보를 수집

하고자 하는 경우에는 미리 다음 각호의 내용을 이용약관에 명시한 후

개인위치정보주체의 동의를 얻어야 한다.

1. 위치정보사업자의 상호, 주소, 전화번호 그 밖의 연락처

2. 개인위치정보주체 및 법정 리인(제25조제1항의 규정에 의하여 법정

리인의 동의를 얻어야 하는 경우에 한한다)의 권리와 그 행사방법

3. 위치정보사업자가 위치기반서비스사업자에게 제공하고자 하는 서비스

의 내용

4. 위치정보 수집사실 확인자료의 보유근거 및 보유기간

5. 그 밖에 개인위치정보의 보호를 위하여 필요한 사항으로서 통령령이

정하는 사항

②개인위치정보주체는 제1항의 규정에 의한 동의를 하는 경우 개인위치

부 록

88

� 개인위치정보의 이용 또는 제공

정보의 수집의 범위 및 이용약관의 내용 중 일부에 하여 동의를 유보

할 수 있다.

③위치정보사업자가 개인위치정보를 수집하는 경우에는 수집목적을 달성

하기 위하여 필요한 최소한의 정보를 수집하여야 한다.

제19조(개인위치정보의이용또는제공) ①위치기반서비스사업자가 개인위치

정보를 이용하여 서비스를 제공하고자 하는 경우에는 미리 다음 각호의

내용을 이용약관에 명시한 후 개인위치정보주체의 동의를 얻어야 한다.

1. 위치기반서비스사업자의 상호, 주소, 전화번호 그 밖의 연락처

2. 개인위치정보주체 및 법정 리인(제25조제1항의 규정에 의하여 법정

리인의 동의를 얻어야 하는 경우에 한한다)의 권리와 그 행사방법

3. 위치기반서비스사업자가 제공하고자 하는 위치기반서비스의 내용

4. 위치정보 이용∙제공사실 확인자료의 보유근거 및 보유기간

5. 그 밖에 개인위치정보의 보호를 위하여 필요한 사항으로서 통령령이

정하는 사항

②위치기반서비스사업자가 개인위치정보를 개인위치정보주체가 지정하는

제3자에게 제공하는 서비스를 하고자 하는 경우에는 제1항 각호의 내용을

이용약관에 명시한 후 제공받는 자 및 제공목적을 개인위치정보주체에게

고지하고 동의를 얻어야 한다.

③제2항의 규정에 의하여 위치기반서비스사업자가 개인위치정보를 개인

위치정보주체가 지정하는 제3자에게 제공하는 경우에는 매회 개인위치

정보주체에게 제공받는자, 제공일시및제공목적을즉시통보하여야한다.

④개인위치정보주체는 제1항 및 제2항의 규정에 의한 동의를 하는 경우

개인위치정보의 이용∙제공목적, 제공받는 자의 범위 및 위치기반서비스

� 개인위치정보의 파기 등

부

록

89


의 일부에 하여 동의를 유보할 수 있다.

제20조(위치정보사업자의 개인위치정보 제공 등) ①제19조제1항 또는 제

2항의 규정에 의하여 개인위치정보주체의 동의를 얻은 위치기반서비스

사업자는 제19조제1항 또는 제2항의 이용 또는 제공목적을 달성하기

위하여 해당 개인위치정보를 수집한 위치정보사업자에게 해당 개인위치

정보의 제공을 요청할 수 있다. 이 경우 위치정보사업자는 정당한 사유

없이 제공을 거절하여서는 아니된다.

②제1항의 규정에 의하여 위치정보사업자가 위치기반서비스사업자에게 개인

위치정보를제공하는절차및방법에 하여는정보통신부령으로정한다.

제21조(개인위치정보 등의 이용∙제공의 제한 등) 위치정보사업자등은 개인

위치정보주체의 동의가 있거나 다음 각호의 1에 해당하는 경우를 제외

하고는 개인위치정보 또는 위치정보 수집∙이용∙제공사실 확인자료를

제18조제1항 및 제19조제1항∙제2항에 의하여 이용약관에 명시 또는 고지

한 범위를 넘어 이용하거나 제3자에게 제공하여서는 아니된다.

1. 위치정보 및 위치기반서비스 등의 제공에 따른 요금정산을 위하여 위치

정보 수집∙이용∙제공사실 확인자료가 필요한 경우

2. 통계작성, 학술연구 또는 시장조사를 위하여 특정 개인을 알아볼 수

없는 형태로 가공하여 제공하는 경우

제23조(개인위치정보의 파기 등) 위치정보사업자등은 개인위치정보의 수집,

이용또는제공목적을달성한때에는제16조제2항의규정에의하여기록∙

보존하여야 하는 위치정보 수집∙이용∙제공사실 확인자료 외의 개인위치

정보는 즉시 파기하여야 한다.

부 록

90

3. RFID 운 주파수 비교

� 국가별 RFID 운 주파수 비교

� 주파수 역별 RFID 태그 특성 비교

주파수 지역/국가 주파수 지역/국가

125-134 kHz 미국, 캐나다, 유럽,

일본

908.5-914 MHz 한국

13.56 MHz 902-928 MHz 미국

433.05-434.79 MHz 미국, 유럽, 일본 952-954 MHz 일본

865-868 MHz 유럽2.4-2.5 GHz,

5.725-5.865 GHz

미국, 캐나다, 유럽,

일본

주파수저주파(LF)

125kHz,134kHz

극초단파(UHF)

433.92MHz

고주파(HF)

13.56MHz

마이크로파(MW)

2.45GHz860�960MHz

인식거리

~ 50cm ~ 50cm ~100m~ 3.5m이내

~ 10m이내~ 1m이내

일반특성

�비교적 고가

�환경에 의한

성능저하가

거의 없음

�저주파 보다 저가

�짧은 인식거리와

다중 태그 인식이

필요한 응용 분야

에 적합

�긴 인식거리

�실시간 추적 및

컨테이너내부

습도,충격 등

환경 센싱

�IC 기술 발달로

가장 저가로

생산 가능

�다중태그 인식

거리와 성능이

가장 뛰어남

�900MHz 역

태그와 유사한

특성

�환경의 향을

많이 받음

방식 �수동형 �수동형 �능동형 �능동/수동형 �능동/수동형

적용분야

�동물관리

�공정자동화

�수화물관리

� 여물품관리

�교통카드

�출입통제/보안

�컨테이너관리

�실시간 위치

추적

�공급망관리

�자동통행료

징수

�위조방지

�아파트경비실

(비공식)

※ 극초단파(UHF) 860-960MHz 역은 전세계적으로 유통∙물류 등의 용도에 가장 적합한 역으로 전망

4. RFID 적용 프로세스 (예시)

부

록

91


인터넷(네트워크)

공장

태그부착(단품,�케이스,

팔렛트)

출고

물류센터 소매점포

등록자동입고 자동입고

자동출고

출고정보전송

입고정보전송

출고정보전송

입고정보전송

재고정보전송

재고관리시스템

지능형매

실시간�판매관리�자동보충

시스템

부 록

92

5. RFID 프라이버시 보호 자율점검을 위한 체크리스트

구 분 점검 내용확인여부

예 아니오

1. 태그 부착사실 등에한 표시

1.1 RFID 태그가 내장 또는 부착된 물품을 판매한 이후에도 태그가 활성화되는 경우 이용자에게 미리 설명하거나 물품 또는 포장 등에 표시하고있는가?

1.2 RFID 태그 기능제거 방법 등에 한 설명 또는 표시가 되어 있는가?

1.3 RFID 태그가 내장 또는 부착된 물품 등을 구입한 이용자가 RFID 태그기능을 쉽게 제거할 수 있도록 수단을 제공하고 있는가?

1.4 리더기가 설치되어 있다는 사실을 이용자가 쉽게 인식할 수 있도록표시하고 있는가?

2. 개인정보기록∙수집및 연계

2.1 RFID 태그에 개인정보를 기록하는 경우, 이용자에게 미리 기록 목적과이용 목적 등을 알려주고 동의를 획득하 는가?

2.2. 태그에 기록된 개인정보를 수집하는 경우, 이용자에게 수집∙이용목적, 방법 등을 통지하거나 알아볼 수 있게 표시하고 있는가?

2.3 RFID 태그의 물품정보 등과 개인정보를 연계하는 경우, 이용자에게미리 그 사실을 통지하거나 알아볼 수 있게 표시하고 있는가?

2.4 RFID 태그의 물품정보 등과 개인정보를 연계하여 생성된 정보를 당초수집 목적 외 이용이나 제3자 제공할 때 사전에 이용자의 동의를 획득하고 있는가?

3. RFID 시스템의 개인정보 관리적∙기술적보호조치

3.1 RFID 태그 내 개인정보를 기록하거나 태그정보와 개인정보를 연계하는 경우, 안전한 취급을 위한 내부규정을 마련하 는가?

- 개인정보 취급자의 의무와 책임 규정

- 세부관리 절차 및 지침 마련

3.2 RFID 시스템 운 시 처리되는 개인정보의 도난∙분실∙누출 등 사고발생 시 조치 및 보고 등에 한 체계적인 응지침이 마련되어 있는가?

3.3 내부규정 등을 충분히 숙지할 수 있도록 담당자 등 개인정보 취급자에한 교육이 이루어지고 있는가?

부

록

93


구 분 점검 내용확인여부

예 아니오

3. RFID 시스템의 개인정보 관리적∙기술적보호조치

4.1 RFID 시스템을 운 할 경우 접근권한자 지정 및 접근권한을 구분하고있는가?

- RFID시스템에 한 접근권한을 최소 인원에게만 부여

- RFID 시스템 접근권한자의 인사 상 변동사항 발생 시 개인정보 DB등 시스템 접근권한 변경 또는 말소 등의 조치를 신속히 시행

5.1 개인정보를 포함하는 RFID 시스템 운 시 권한없는 접근을 차단하기위한 암호화, 인증 등 보호조치를 시행하고 있는가?

- 태그 내 개인정보가 기록된 경우, 해당 정보 암호화 등의 보호조치시행

- 개인정보가 기록된 태그와 리더기, DB와 같은 백엔드 시스템에 접근하는 경우, 인증과 같은 접근권한 확인 등 보호 조치 시행

- RFID 시스템에서 개인정보 관련 내용을 정보통신망을 통해 외부로송수신하는 경우, 해당 정보 암호화 등 보호조치 시행

5.2 개인정보에 한 불법적인 접근을 차단하기 위한 침입차단시스템 등접근 통제장치를 설치∙운 하고 있는가?

5.3 개인정보를 포함하는 RFID 시스템 운 시 정보접근기록(로그)에 한안전한 관리장치를 운 하고 있는가?

5.4 바이러스, 웜 등 악성 프로그램의 침투여부를 점검∙치료할 수 있도록백신 소프트웨어를 설치하고 주기적으로 갱신(업데이트)하고 있는가?

6.1 RFID 태그 내 개인정보를 기록∙수집하거나 RFID 태그의 물품정보 등과 개인정보 연계시 개인정보보호를 위해 개인정보관리책임자를 지정하고 있는가?

4. 개인정보이용∙제공∙파기 등

7.1 가이드라인이 정한 사항 외의 개인정보 이용∙제공∙파기, 이용자의권리보호 등 개인정보 보호와 관련한 사항은「정보통신망법 및 지침」의 개인정보보호 원칙에 따르고 있는가?

5. RFID 시스템을 통한개인위치 정보 수집 등

8.1 가이드라인이 정한 사항 외에 RFID 취급사업자가 RFID 시스템을 통해개인의 위치정보를 수집∙이용∙제공하는 경우에는 위치정보법에 따르고 있는가?

RFID프라이버시보호가이드라인해설서

2007년 9월 인쇄

2007년 9월 발행

발 행 인 황 중 연

발 행 처 한국정보보호진흥원

서울시 송파구 가락동 78번지 IT벤처타워 (서관)

TEL. (02) 405-5114

URL. http://www.kisa.or.kr

※본가이드북내용의무단전재를금하며, 가공∙인용할 때에는반드시

한국정보보호진흥원『RFID 프라이버시 보호 가이드라인 해설서』

라고 출처를 밝혀 주시기 바랍니다.

< 비 매 품 >


Documents

Frequency Radio IDentificationcfs2.tistory.com/upload_control/download.blog?fhandle... · 2015-01-21 · rfid 프라이버시보호가이드라인해설서 rfid 프 라 이 버 시