[뉴스비전e 김호성 기자] IoT(사물인터넷) 환경에서 개인정보의 수집과 활용이 활발해지면서 이에 따른 개인정보보호에 관한 법률 및 정책적 논의가 진행되고 있다. 미국과 EU 주요국의 IoT 환경에 대비한 개인정보보호 관련 최근 정책 동향을 살펴본다.

▲ 미국의 IoT 정책 논의...가이드라인 발표

미국은 개인정보보호에 관한 포괄적인 법체계를 갖고 있지 않고, 연방 차원의 「개인정보 보호법(The Privacy Act of 1974)」과 각 영역별로 개인정보보호 관련 법률을 마련하고 있으며, 각 주(州)마다 각각의 개인정보보호 관련 법률들이 있다.

하지만 미국은 IoT 분야에 특화된 개인정보보호법은 없어, 현재 연방거래위원회(Federal Trade Commission: FTC)를 중심으로 IoT 환경에서의 보안 및 개인정보보호 관련 정책적 논의를 진행 중이다.

FTC 가 발표한 IoT 환경에서 소비자 데이터 보호와 관련하여 제시한 의견서와 보고서의 경우 법적 구속력은 없지만, IoT 기기 제조업체 등에게 참고가 될만한 내용을 담고 있다. 뿐만 아니라 국토안보부(DHS)와 교통부(DOT) 등에서도 IoT 환경에서 보안과 정보보호 문제에 대한 검토 의견과 가이드라인 등을 발표했다.

▲ EU의 '개인정보보호지침', 새로운 지침으로 좀더 개인정보보호 엄격하게 요구

EU의 경우에도 미국에서와 마찬가지로 IoT 환경의 개인정보보호 문제에만 특화된 법률 규정은 없다. 1995년 「개인정보보호지침(Data Protection Directive of 1995)」 제정 당시 IoT 등 신규 기술이 보편화되어 있지 않았기 때문에 동 지침 내용에 IoT 관련한 내용이 포함되어 있지는 않다.

하지만 동 지침에는 ▲관련된 목적 이외에는 데이터를 수집하지 말 것, ▲사용자의 정보를 보호하기 위한 조치들을 취할 것, ▲사용자가 충분한 정보를 안내 받은 후 이에 입각하여 동의를 한 이후에만 데이터를 수집할 것 등의 내용이 포함되어 있다.

현재 EU 회원국에서 IoT 기기를 제조하거나 판매하는 회사는 동 지침에 제시된 내용을 준수해야 한다. 단, 동 지침에 의해 설정 된 내용은 회원국의 국내 법에 따라 실행될 수 있다.

한편, 2018년 5월부터 발효되어 기존의 지침을 대체할 「General Data Protection Regulation: GDPR, 개인정보보호 일반규정」에서는 개인 데이터에 대한 사용자의 통제력을 강화하고 있으며, IoT 기기 제조업체가 설계 초기부터 개인정보보호 방안을 구축할 수 있도록 좀 더 엄격한 요구사항을 적용하게 될 것으로 보인다.