앱 접근권한 개인정보보호 가이드

현재 진행하고 있는 프로젝트에서 모바일 앱의 접근권한 안내 화면을 작업하며 공부한 개인정보보호 가이드를 정리해본다. 모바일 앱은 모바일 웹보다 UX가 최적화되어 있고, 쉽고 빠르게 구동될 뿐만 아니라 기기의 정보나 기능을 활용하여 맞춤형 서비스 제공도 가능하기 때문에 선호한다. 문제는 앱 접근권한이 필요 이상으로 설정될 경우 개인정보 침해가 우려된다는 점이다.

최근 메타버스 SNS 앱 '본디'는 10-20대 중심으로 큰 인기를 끌다 개인정보 수집의 다소 공격적인 어투와 책임 회피성 문구로 사용자의 불안감을 키워 대거 탈퇴한 사례를 들 수 있다. 이처럼 개인정보는 사용자에게 민감하고 수집하고자 하는 항목과 목적을 명확하게 알리는것이 중요하다는 것을 새삼 다시 한 번 느꼈다.

 

개요
- 스마트폰 내 정보 및 설치된 기능에 무분별하게 접근하여 발생할 수 있는 개인정보 침해 우려 해소
- 대다수의 이용자는 정보를 얼마나 수집하고 어디까지 활용하는지 인지하지 못함, 알고 있더라도 동의를 거부할 경우 앱을 이용할 수 없어 부득이하게 허용함

앱 서비스 제공자/개발자
- 스마트폰 내 저장된 정보와 설치된 기능에 접근권한을 서비스에 필요한 범위 내 최소화
- 필수 또는 선택적 접근권한을 구분하여 필요한 항목 및 그 이유를 이용자에게 알기 쉽게 고지한 후 각 동의를 받아야함
- 사용자가 사후적으로 철회가 가능하도록 정보보호를 위하여 필요한 조치를 해야 함

스마트폰의 범위
- 스마트폰 및 이동통신이 가능한 태블릿 PC에 적용 
 : 2G 단말장치의 경우, 사실상 앱이 동작할 수 있는 환경이 아니므로 적용 대상에서 제외
 : 블루투스, 와이파이, 테더링 등의 기능만 제공하는 기기 대상에서 제외
 : 스마트 워치는 화면 크기의 제약 등으로 고지/동의 기능을 구현하기 어려운 점 고려하여 우선 대상에서 제외

정보와 기능의 범위
Android와 iOS 등 다음과 같이 이용자 통제가 필요한 범위로 설정한다.

1. 이용자 저장 정보
연락처, 일정, 영상, 통신내용, 바이오정보 등 스마트폰을 이용하는 과정에서 직접 저장한 정보는 그 자체로 특정 개인을 알아볼 수 있거나, 다른 정보와 쉽게 결합하여 특정 개인을 식별할 수 있는 가능성이 높으므로 동의 대상에 포함

2. 자동 저장 정보
위치정보, 통신기록, 인증정보, 신체활동기록 등 스마트폰 이용 과정에서 이용자의 입력행위 없이도 자동으로 저장된 정보는 축적되거나 특정 개인을 알아볼 가능성이 높으므로 동의 대상에 포함

3. 단말장치 식별 고유정보
IMEI* 및 MAC 주소 등 스마트폰을 식별할 경우 이용자도 식별될 가능성이 높고, 이용자의 동의없이 1:1 맞춤형 광고 등에 활용될 우려가 있는 정보이므로 대상에 포함
* IMEI : International Mobile Equipment Identity 숫자로된 국제 모바일 기기 식별 코드

4. 입력 출력 기능
영상 촬영, 음성인식, 바이오정보 및 건강정보 감지센서 기능 등 스마트폰에 접근 동작하여 이용자가 인식하지 못하는 사이에 개인정보를 침해할 가능성이 있으므로 동의 대상에 포함

 

필수적 선택적 접근권한별 고지 내용
- 필수 접근권한 : 필요한 정보 및 기능의 항목과 접근이 필요한 이유를 알려야 함
- 선택 접근권한 : 필요한 정보 및 기능의 항목과 접근이 필요한 이유, 접근권한 허용에 동의하지 않을 수 있다는 사실 고지

1. 이용약관, 개인정보처리방침 또는 별도 안내 등을 통해 공개된 해당 서비스의 범위와 실제 제공 여부
2. 해당 서비스에 대한 이용자의 합리적 예상 가능성
3. 해당 서비스와 접근권한의 기술적 관련성

고지 방법 및 절차
가. 이용자가 앱 마켓을 통해 설치하는 앱의 경우
앱을 설치 또는 실행하는 과정에서 이용자가명확하게 인지할 수 있도록 다음과 같이 앱 안내정보 화면, 별도화면 등에 표시하여 접근권한에 대한 고지 내용을 알려야 함

 

나. 선탑재앱의 경우
선탑재 앱의 경우, 앱 마켓에서 앱을 다운받아 설치하는 절차가없으므로 다음 중 어느 하나의 방법으로 접근권한에 대한고지내용을 알려야 함

① 해당 앱의 최초 실행 화면에서 고지하는 방법
② 운영체제 최초 구동 화면에서 고지하고 운영체제별 설정화면또는 앱에 별도 메뉴를 개설하여 이용자가 언제든지 접근권한의고지 내용을 쉽게 다시 확인할 수 있도록 하는 방법

동의 방법 및 절차
앱 서비스 제공자는 운영체제별로 제공하는 앱 개발환경에 맞게 이용자가 접근권한에 대해 동의할 수 있는 방법을 구현하여야함

가. 개별 동의선택이 가능한 방식의 운영체제
앱의 실행 시점이 아니라 앱에서 접근권한이 설정된 정보와 기능에 최초로 접근할 때 이용자가 접근권한 동의 여부를 개별적으로선택하도록 구현

나. 개별 동의선택이 불가능한 방식의 운영체제
해당 운영체제에서는 선택적 접근권한에 대한 개별적 동의가불가능하므로 앱의 접근권한을 설정할 때 필수적 접근권한만 설정하고,앱을 설치할 때 해당 권한에 대하여 이용자가 동의하도록 구현

출처 : 스마트폰 앱 접근권한 안내서 (방송통신위원회, 행정자치부, KISA)

[최종]_스마트폰_앱_접근권한_개인정보보호_안내서_리플렛.pdf

0.80MB