위치정보 수집 앱 운영 가이드 — 위치정보법과 PIPA 이중 규제 완전 정리
배달 앱, 운동 트래킹 앱, 날씨 앱 — 위치 정보를 수집하는 서비스는 두 가지 법률을 동시에 지켜야 합니다. 개인정보보호법(PIPA)과 위치정보의 보호 및 이용 등에 관한 법률(위치정보법). 두 법이 요구하는 바가 다르기 때문에 어느 하나만 지켜서는 안 됩니다.
위치정보법 vs PIPA: 어떻게 다른가?
| 구분 | 위치정보법 | 개인정보보호법(PIPA) | |------|----------|------------------| | 규율 대상 | 위치정보 수집·이용·제공 사업자 | 모든 개인정보 처리자 | | 주요 의무 | 사업자 신고, 이용약관 신고, 동의 | 처리방침 공개, 안전조치, 동의 | | 관할 기관 | 방송통신위원회 | 개인정보보호위원회 | | 위반 시 | 과태료 + 사업정지 | 과태료 + 과징금 |
위치정보사업자 신고 의무
위치정보를 수집하여 위치기반서비스에 제공하는 사업자는 방송통신위원회에 신고해야 합니다.
신고 대상 구분
| 사업자 유형 | 의무 | |-----------|-----| | 위치정보사업자 | 위치정보를 수집하는 자 → 허가 필요 | | 위치기반서비스사업자 | 위치정보를 이용해 서비스 제공 → 신고 필요 |
실무 팁: 대부분의 앱은 위치기반서비스사업자에 해당합니다. 직접 GPS 수집 인프라를 운영하는 것이 아니라면 신고 대상입니다.
신고 방법: 방통위 온라인 민원 시스템(minwon.kcc.go.kr)에서 서면 제출
위치정보 수집 동의 기준
1. 동의의 종류
위치정보법은 PIPA보다 더 엄격한 동의 기준을 적용합니다.
필수 동의 항목:
① 위치정보 수집 목적
② 위치정보 수집 방법 (GPS, IP, WiFi 등)
③ 위치정보 이용·제공 목적
④ 위치정보를 제공받는 제3자 (있는 경우)
⑤ 동의 거부 권리
2. 일회성 vs 지속적 수집
일회성 수집 (앱 사용 중에만):
→ OS 레벨 "앱 사용 중에만 허용" 선택으로 처리 가능
백그라운드 수집 (앱을 닫아도 수집):
→ 별도 명시적 동의 + "항상 허용" 권한 요청
→ 수집 목적을 매우 구체적으로 설명해야 함
→ 불필요한 백그라운드 수집 = 법적 리스크 높음
3. 실시간 위치 제공 (타인 위치 공유)
본인의 위치를 타인에게 제공하는 기능(가족 위치 공유 등):
- 위치정보 제공 동의는 본인이 직접 해야 함
- 수신자가 위치를 조회할 때마다 별도 동의 가능 여부도 설정해야 함
- 아동(만 14세 미만)의 위치 제공은 법정대리인 동의 필수
iOS / Android 구현 시 주의사항
iOS
// 위치 권한 요청 전 목적 설명 필수
// Info.plist에 반드시 포함:
// NSLocationWhenInUseUsageDescription: "현재 위치를 기반으로 주변 매장을 안내합니다"
// NSLocationAlwaysUsageDescription: "운동 경로를 백그라운드에서 기록합니다"
import CoreLocation
class LocationManager: NSObject, CLLocationManagerDelegate {
let manager = CLLocationManager()
func requestPermission() {
// 목적에 맞는 권한만 요청
manager.requestWhenInUseAuthorization() // 백그라운드 불필요 시
// manager.requestAlwaysAuthorization() // 백그라운드 필요 시만
}
}
Android
// AndroidManifest.xml
// 백그라운드 위치: ACCESS_BACKGROUND_LOCATION 별도 요청
<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" />
<uses-permission android:name="android.permission.ACCESS_BACKGROUND_LOCATION" />
// 권한 요청 시 목적 설명 다이얼로그 반드시 표시
// Android 11+: 백그라운드 권한은 설정 화면에서만 변경 가능
위치정보 보관 및 파기
위치정보법은 위치정보 보관에 대해 별도 규정을 둡니다.
✅ 위치정보 보관 원칙
- 수집 목적 달성 후 즉시 파기
- 실시간 위치: 서비스 제공 즉시 파기 (저장 금지 원칙)
- 이용 기록은 6개월 보관 (법적 의무)
- 제3자 제공 기록: 1년 보관
# 위치 데이터 처리 예시
class LocationDataHandler:
def process_realtime_location(self, user_id: str, lat: float, lng: float):
# 실시간 서비스 처리 후 즉시 삭제 (저장 금지)
result = self.find_nearby_stores(lat, lng)
# 로그만 기록 (좌표는 저장 안 함)
self.log_usage(
user_id=user_id,
action="location_search",
timestamp=datetime.now(),
# lat, lng는 저장하지 않음
)
return result
def track_route(self, user_id: str, waypoints: list):
# 경로 저장이 필요한 경우 → 수집 동의 받은 경우만
# 목적 달성(운동 완료) 후 보관 기간 명시
route = Route.create(
user_id=user_id,
waypoints=waypoints,
expires_at=datetime.now() + timedelta(days=365) # 1년 후 자동 파기
)
return route
위치정보 이용 약관 신고
위치기반서비스사업자는 이용약관을 방통위에 신고해야 합니다. 약관 변경 시에도 재신고 의무가 있습니다.
이용약관 필수 기재 항목:
- 위치기반서비스의 내용
- 위치정보 수집 방법 및 이용 목적
- 위치정보 보유 기간 및 파기 방법
- 제3자 제공 현황
- 이용자 권리 및 행사 방법
위반 시 제재
| 위반 유형 | 제재 | |----------|------| | 위치정보사업자 미허가 운영 | 2년 이하 징역 또는 2,000만 원 이하 벌금 | | 위치기반서비스 미신고 운영 | 과태료 최대 1,000만 원 | | 동의 없는 위치 수집 | 과태료 최대 3,000만 원 | | 위치정보 이용 기록 미보관 | 과태료 최대 1,000만 원 |
흔한 실수
"IP 주소로 도시 정도만 파악하는 건데 위치정보법 해당 안 되죠?"
IP 기반 위치 추정은 위치정보법의 "위치정보" 범주에서는 제외될 수 있지만, PIPA의 개인정보로는 볼 수 있습니다. 정확한 GPS 좌표가 아니더라도 개인과 결합하면 처리방침에 기재해야 합니다.
"OS 권한 허용만 받으면 되는 거 아닌가요?"
OS 권한(iOS/Android 위치 허용)은 기술적 수집 허가이고, 위치정보법·PIPA 동의는 법적 수집 허가입니다. 둘 다 필요합니다.
pipaguard로 위치정보 처리 현황 점검
처리방침에 위치정보 관련 항목이 올바르게 기재되어 있는지 자동으로 진단해드립니다.