위치정보 수집 기준, 유럽과 한국의 법적 차이는?

위치정보는 단순한 GPS 좌표 그 이상의 가치를 가진 개인정보다. 사용자의 현재 위치, 이동 경로, 자주 가는 장소는 개인의 생활 패턴, 신앙, 정치적 성향, 건강 상태까지 유추할 수 있는 민감한 정보다. 특히 스마트폰 중심의 디지털 환경에서는 위치정보가 수집되는 빈도가 높고, 그 활용 범위도 지도 서비스, 배송 추적, 광고, 행동 분석 등 매우 넓다. 유럽과 한국 모두 위치정보를 ‘민감정보’에 준하는 보호 대상으로 분류하지만, 실제 규제 체계와 적용 방식에는 큰 차이가 있다. 유럽은 GDPR 및 ePrivacy Directive를 통해 포괄적이고 기술 중심의 통제를 강화하는 반면, 한국은 별도의 위치정보법을 중심으로 허가제와 명시적 동의 중심의 구조를 운영한다. 본 글에서는 양국의 법령, 감독기관의 역할, 실무적 적용 방식, 사용자 권리 보장 정도를 비교 분석한다.

유럽: GDPR과 ePrivacy Directive를 통한 엄격한 통제

유럽연합(EU)은 위치정보를 단순한 개인정보가 아닌, 개인을 식별하거나 식별할 수 있게 하는 고위험 정보로 간주한다. 이에 따라 GDPR 제4조에서는 위치정보를 ‘개인정보’로 정의하고, 제9조에서는 이 정보가 개인의 행동, 건강, 정치 성향 등을 추론할 수 있다는 이유로 민감정보에 준하는 수준의 보호를 요구한다. 특히 ePrivacy Directive(전자 프라이버시 지침)에서는 모바일 기기에서 수집되는 위치정보에 대해 별도의 사용자 동의를 받도록 명시하고 있다.

 

유럽에서 위치정보를 처리하려면, ▲명확한 목적 고지 ▲사전 동의 획득 ▲정보 최소화 원칙 준수 ▲투명한 데이터 처리구조 ▲거부권 및 삭제권 보장 등이 필수다. 예를 들어 독일에서는 비케이션 앱이 위치정보를 서버에 저장할 경우, 이를 광고 타기팅에 활용하지 않더라도 사용자의 사전 동의가 없다면 위법이다. 실제로 프랑스의 CNIL은 한 쇼핑 앱이 위치기반 할인 정보를 제공하면서 사용자 동의를 형식적으로만 받은 사실을 적발하고, 수십만 유로의 과징금을 부과했다.

 

또한 유럽은 ‘배경 위치 추적’ 기능에 대해 엄격한 기준을 적용한다. 앱이 실행되지 않은 상태에서도 위치를 수집하려면 별도 명시 동의가 필요하며, 이에 대한 설정은 OS 차원에서도 분리되어 있어야 한다. 사용자는 언제든지 위치 추적을 비활성화하거나, 과거 데이터 삭제를 요청할 수 있으며, 기업은 이에 대응할 수 있는 시스템을 마련해야 한다. 이러한 규제는 단지 법적 문구가 아니라, 사용자의 프라이버시 통제권을 중심에 둔 기술적 설계 기준으로 작동하고 있다.

 

한국: 위치정보법 기반의 ‘허가제’ 구조

한국은 위치정보에 대해 별도의 법률인 「위치정보의 보호 및 이용 등에 관한 법률」 (약칭: 위치정보법)을 운영하고 있다. 이 법은 ① 개인위치정보 사업자와 ② 위치기반 서비스사업자로 구분된 사업자 허가제를 중심으로, 정보통신 서비스제공자에게 일정한 의무를 부과하는 방식이다. 즉, 위치정보를 수집하거나 활용하려면 방송통신위원회의 허가를 받아야 하며, 이용자 동의, 고지, 로그 보관, 이력 관리 등을 법적 요건으로 충족해야 한다.

 

위치정보법은 ‘개인위치정보’를 개인을 식별할 수 있는 위치자료로 정의하며, 이 정보의 수집·이용·제공에는 명시적 동의가 반드시 선행되어야 한다. 또한 서비스 제공자가 위치정보를 제자에게 제공하려면 ‘매회 동의’를 받아야 하며, 그 이력을 이용자에게 통보해야 한다. 위치 정보사업자는 최소 6개월간 로그를 보관해야 하며, 개인은 언제든지 자신의 정보에 대한 열람·정정·삭제를 요구할 수 있다.

 

다만 한국의 규제는 기술적 통제보다는 행정 허가와 절차적 동의 중심으로 설계되어 있다. 예를 들어 앱이 사용자 위치를 지속해서 수집할 경우, 사용자는 단말기 설정을 통해 이를 제어할 수 있으나, 앱 내부에서 제공하는 동의 여부만으로는 실질적인 통제가 어려운 구조가 많다. 또한 비즈니스 목적이 아닌 학술·연구·내부 분석 등의 경우, 법 적용이 모호해지는 경향도 있다. 이에 따라 일부 서비스는 기술적으로 위치정보를 수집하고 있으면서도, 이를 사용자의 동의 없이 활용하거나, 위치정보가 아닌 행태정보로 포장해 법적 의무를 회피하는 경우도 발생한다.

 

위치정보 활용 방식의 유럽과 한국 실무 차이 

위치정보는 다양한 디지털 서비스에서 핵심 자원으로 활용된다. ▲ 지도 및 길 찾기 앱 ▲ 음식 배달 플랫폼 ▲ 온라인 광고 타겟팅 ▲ 리테일 마케팅 ▲ 스마트워치 기반 건강관리 등 위치기반 서비스는 날로 다양해지고 있다. 그러나 이 활용이 사용자의 인지 및 통제권 없이 이루어질 경우, 프라이버시 침해로 직결될 수 있다. 유럽에서는 사용자의 위치정보를 광고 타겟팅에 활용할 경우, 반드시 추가적 동의(secondary consent)를 받아야 하며, “당신의 위치를 기반으로 광고를 표시합니다”라는 문구와 함께 사용자에게 거부 옵션을 제공해야 한다. 사용자가 이를 거부하면, 앱은 개인화된 광고를 중단해야 하며, 대체 서비스는 여전히 제공되어야 한다. 위치정보는 GDPR상 정교한 프로파일링의 핵심 수단이기 때문에, 기본 동의만으로는 활용이 제한된다.

 

반면 한국에서는 위치기반 광고가 활발하게 운영되고 있음에도, 대부분의 앱이 이를 포괄적인 서비스 동의 항목 안에 포함하 있다. 사용자는 광고 설정을 별도로 찾지 않는 한, 위치기반 마케팅에 자신의 정보가 어떻게 활용되는지를 알기 어렵다. 특히 앱 설치 초기에 설정한 단일 동의 항목이 이후 모든 기능에 적용되는 구조가 일반적이며, ‘구체성과 명확성’이 부족한 상황이다. 일부 앱은 위치정보 수집을 위한 설명 없이, “서비스 개선 목적의 데이터 수집”이라고만 안내해 실제 활용과 고지 내용 사이에 괴리가 발생하기도 한다.

배송 앱이나 물류 플랫폼에서도 유럽은 실시간 위치 추적이 사용자에게 고지되고, 필요한 경우 일회성 접근으로 제한되는 반면, 한국은 배경 위치 권한을 부여하면 사실상 지속적인 수집이 가능하며, 사용자 통제 기능이 충분히 안내되지 않는 경우가 많다. 이는 실무 적용에서 동의의 실질성과 사용자 통제권의 수준이 결정적으로 다르다는 점을 보여준다.

 

사용자 권리 보장 수준과 법 집행력의 차이

유럽은 위치정보와 관련하여 사용자의 권리를 법령뿐만 아니라, 서비스 내 인터페이스와 기술 구조를 통해 실질적으로 보장하고 있다. 예를 들어 사용자는 내 위치정보가 어디에, 어떻게, 누구에게 제공되는지를 확인할 수 있고, 모든 기록을 열람 및 삭제할 수 있는 기능이 제공된다. 또한 유럽의 데이터보호 기관은 사용자의 민원을 근거로 실시간 조사 및 제재를 수행하며, 과징금 수준도 수천만 유로에 달한다. 2021년, 이탈리아 개인정보 감독기관(Garante)은 한 위치 기반 광고 기업이 사용자 동의 없이 위치를 기반으로 리타게팅 광고를 송출한 사례에 대해 약 200만 유로의 과징금을 부과했다. 이 기업은 “위치정보는 식별성이 없다”라고 주장했지만, 감독기관은 “동선, 방문 패턴만으로도 특정 개인을 식별할 수 있다”는 점에서 행태 기반 데이터 역시 위치정보로 취급했다.

 

한국에서는 법적 제도는 명확하지만, 실질적인 법 집행 사례는 많지 않다. 위치정보법 위반으로 인해 고액 과징금이 부과된 사례는 드물며, 과징금보다는 과태료나 행정지도에 그치는 경우가 대부분이다. 또한 사용자 고지 위반, 배경 위치 권한 과잉 수집 등에 대해 법적 조치가 내려지는 경우도 제한적이다. 이는 일부 기업이 “위치정보는 나중에 삭제하면 된다”라거나 “법적 기준이 모호하다”라고 해석하여 규제 준수보다는 유예나 회피를 선택하는 구조를 만든다. 결국 사용자 권리는 법에만 의존해서는 보호받을 수 없다. 실무 현장에서 투명한 고지, UI 내 명확한 설명, 데이터 사용 이력의 확인 기능, 설정 권한의 직관적 제공 등이 함께 구현되어야 한다. 유럽은 이러한 기준을 법이 아닌 기본적인 서비스 운영의 ‘윤리 표준’으로 인식하고 있다는 점에서 실질적인 차이가 있다.

 

 

위치정보는 가장 강력한 개인 정보이면서, 동시에 가장 빈번하게 수집되는 데이터다. 이 데이터를 어떻게 보호하고 활용하는가는 디지털 서비스의 신뢰와 사용자의 프라이버시를 결정하는 핵심 요소다. 유럽은 GDPR과 ePrivacy Directive를 통해, 위치정보 수집 전반에 명확하고 구체적인 통제 기준을 마련하고, 사용자에게 실질적인 통제권과 설명 가능성을 제공하는 시스템을 요구한다. 반면 한국은 위치정보법을 통해 제도적으로 보호 체계를 갖추고 있지만, 기술적 설계, 사용자 고지, 권리 실현 구조 측면에서 여전히 미흡한 점이 많다. 과태료 중심의 규제와 해석의 여지를 남긴 법조문, 그리고 실무 현장에서의 형식적 동의 절차는 사용자 권리를 실질적으로 보장하지 못한다. 이제는 법령 준수를 넘어, 위치정보에 대한 책임 있는 접근과 투명한 활용이 기업과 플랫폼의 필수 전략으로 자리 잡아야 한다. 데이터 중심 시대일수록 중요한 것은 기술보다 신뢰이며, 신뢰는 사용자 권리를 존중하는 설계로부터 시작된다.