아이엠피터의 글은 왜 사라졌나

글 | 오픈넷

인터넷 시대, 이용자들이 작성한 수많은 정보가 포털 등 인터넷업체나 망사업자들을 통해 매개된다. 이들 이용자가 작성한 정보가 타인의 명예나 저작권을 침해할 때는 소위 “정보매개자들”에게 어떤 책임을 지우는 것이 타당할까?

정보매개자란?

정보매개자란 쉽게 말하면 포털을 포함한 각종 인터넷 서비스를 말한다. 우리는 SK브로드밴드나 LG유플러스와 같은 인터넷망사업자를 통해 인터넷에 연결될 수 있다.

우리는 인터넷망에 연결된 후 네이버나 다음, 구글, 카카오톡, 각종 커뮤니티 등에서 정보를 주고받는다. 블로그 등에 글을 쓰기도 하고, 댓글을 달기도 하고, 채팅하기도 한다. 이렇게 정보를 주고받을 수 있는 서비스를 제공하는 자(기업)를 모두 정보매개자라고 한다.

다른 나라는 어떻게 하나?

표현의 자유가 허락된 개인들끼리 (인터넷에서) 소통을 하다 보면 서로 부딪히는 일들이 생길 수 있다. 저작권 침해와 같은 권리침해 행위들도 존재한다. 그렇다면 이런 일들이 발생할 때 정보매개자를 처벌하는 것이 옳을까? 대부분 나라는 정보매개자 면책조항을 둔다.

• 불법적인 정보가 정보매개자의 서비스를 통해 유통되더라도
• 정보매개자가 그 불법성을 인지하지 못했을 때는
• 정보매개자에게 책임을 묻지 말자

쉬운 예를 들어보자. 한국에서 벌어지는 수많은 범죄 중 칼을 이용한 범죄는 엄청나게 많다. 그렇다고 해도 칼을 이용한 범죄가 벌어질 때마다 해당 칼 제조사는 처벌받지 않는다. 만약 쇠파이프를 가지고 사람을 폭행하는 사람이 있더라도 쇠파이프 제조사는 처벌받지 않는다. 트럭이 추돌사고를 일으켜도 트럭에 문제가 없다면 트럭 제조사는 책임이 없다.

위의 여러 예처럼 정보매개자가 불법성을 인지하지 못한 경우에는 책임을 묻지 말아야 한다. 그래서, 각 나라는 이와 관련하여 면책조항들을 만들어 놓았다. 면책이라서 “세이프하버(피난처라는 의미)”라고 불린다. 이를 비교하면 다음과 같다.

위 표에서 한국의 저작권법 102조를 보면, 우리나라도 다른 나라의 정보매개자면책조항을 온전하게 도입한 것으로 보인다. 문제는 103조 1항과 2항의 존재다. 한국은 정보매개자의 면책조항뿐만 아니라 의무조항까지 존재한다.

즉, 다른 나라의 법은 신고 게시물에 대해 삭제·차단을 하면 정보매개자의 책임을 면해준다. 따라서 정보매개자는 신고에 대응할 “동기”를 부여한다. 하지만 한국은 103조가 별도로 존재함으로써 정보매개자에게 모든 신고 게시물을 삭제·차단할 “의무”를 부과하고 있다.

동기와 의무가 낳는 차이

“동기”와 “의무”의 차이는 크다.

“동기”만 부여된 상태라면 정보매개자가 스스로 판단하여 합법적인 게시물은 놔두고 불법적인 게시물만 차단할 자유가 존재한다. 정보매개자에게 불법과 합법을 판단할 의무가 주어지지 않았으므로 “정보매개자가 원한다면” 어떤 게시물은 유지할 수 있는 것이다.

반면 삭제·차단이 “의무”라면 정보매개자는 자신의 판단과는 관계없이, 자신이 보기에 아무리 합법적인 게시물이라 하더라도 어쩔 수 없이 삭제·차단을 해야 한다. 의무이기 때문이다.

실제로 저작권 침해가 아닌 경우에도 누군가 침해신고를 했다면, 정보매개자는 삭제차단을 해야만 한다. (인터넷 이용자들에게 욕을 먹거나 음모론의 대상이 되는 건 덤이다) “의무조항”이니 피할 방법이 없는 것이다. 이렇게 되면 각종 권리자들은 더욱 적극적인 침해신고를 하게 되고 정보매개자는 이를 그대로 따를 수밖에 없다.

더 큰 문제: “신고시 삭제 의무”가 다른 법에서도 도입 

더욱 심각한 문제는 “저작권법은 2011년 법 개정을 통해 미국의 선진적인 세이프하버 조항을 완전히 도입했다”는 오해다.

결국, 저작권법의 “요청하면 반드시 삭제·차단할 의무”가 명예훼손이나 사생활침해 등 다른 법제에도 복제됐다. 대표적인 것이 정보통신망법 제44조의 2인데 침해신고가 된 게시물은 아무리 합법이라 하더라도 정보매개자는 임시로 삭제 및 차단을 해야 할 의무가 있게 되었다.

헌법재판소는 그런 조항이 합헌이라고 판결까지 내려줬다(2010헌마88. 헌법재판소 2012.5.31. 결정). 말이 “임시”이지 복원을 요구하는 조항이 없으니 대부분 정보매개자들은 게시물에 당했다고 눈에 불을 켜고 있는 사람이 있는 상황에서 다시 복원할 용기가 없다. 결국 이렇게 되면 저작권뿐만 아니라 명예훼손이나 사생활침해를 빌미로 무분별하고도 부당한 삭제가 가능해진다.

실제로 돈을 내고 제공받은 서비스의 질이 나쁘다고 평가한 글들이 차단당하거나 정당한 의혹을 제기하는 글들이 임시조치에 취해지는 건 어제오늘의 일이 아니다. 특히 정보통신망법의 경우 저작권법 제도의 근간인 제102조, 즉 면책조항도 없다는 점은 더욱 심각하다. 즉, 정보통신망법이 저작권법에 불필요하게 포함된 “의무조항”만 도입하면서 정보통신망법은 “세이프하버”와는 거리가 먼, 가장 후진적인 정보매개자 책임 규제가 되어버렸다.

이렇게 되면 인터넷에서 사적 검열이 강화되는 효과가 생긴다. 내가 무슨 말을 하려고 해도 상대방이 “포털은 저 글을 삭제해야 한다.”고 신고를 하면 포털을 비롯한 정보매개자는 꼼짝없이 삭제할 수밖에 없다.

혹자는 삭제·차단을 하지 않아도 벌칙조항이 존재하지 않으니 위 조항들이 정보매개자들에게 큰 영향을 미치지 않을 것이라 주장하기도 한다. 하지만 정보매개자 입장에서 살펴보자. 요청시 반드시 삭제해야 하는 의무가 있는 정보매개자가 삭제 요청에 맞서서 해당 정보를 지키기 위해 노력할 필요가 있을까? 그냥 법을 따르는 게 모든 면에서 속 편한 일이니 그냥 삭제해 버리면 그만이다. 기업 입장에서 긁어부스럼을 만들 이유가 전혀 없다.

그 결과물들이 이런 거다.

쥬얼리 성형외과 사례 

인터넷상 사적 검열 효과를 가장 극명하게 보여준 사례는 쥬얼리 성형외과 사례라고 할 수 있다. 2014년 12월 쥬얼리 성형외과는 직원들이 올린 ‘수술실 생일파티 인증 사진’으로 큰 논란을 일으켰다.

해당 사진은 인터넷의 다양한 공간으로 퍼졌다. 많은 언론과 블로거는 ‘수술실 생일파티 사진’이라는 사실 자료를 바탕으로 글을 쓰기 시작했다. 쥬얼리 성형외과 측은 홈페이지에 사과문을 올리면서도 한편으로는 쥬얼리 성형외과를 비판하는 블로그 게시물에 대해 임시조치 요청을 했고, 그렇게 쥬얼리 성형외과에 관한 비판글은 하나둘씩 블라인드되었다.

• 한국일보 – ‘수술실 생일파티’ 고발기사 퍼 와도 삭제 대상?
• 한국일보- ‘수술실 파티’ 성형외과 반성은커녕 명예훼손 당했다며 네티즌 입막음
• 한겨레 – ‘수술실 생일파티 사진’ 누가 인터넷에서 가렸나

아이엠피터의 글은 왜 사라졌나 

‘아이엠피터’(사진)는 널리 알려진 1인 정치 미디어다. 본인이 직접 이야기하는 것처럼 ‘다음’이라는 포털서비스를 통해 많은 독자를 만나왔고, 대중적 인지도를 확보하는데 포털도 큰 역할을 했음을 부정할 수 없다. 그런 그가 왜 포털을 떠나 독립 사이트를 마련했을까? (아이엠피터는 2016년 1월 1일부터 ‘티스토리’ 플랫폼을 떠나 워드프레스에 기반한 독립형 서비스로 주된 근거지를 옮겼다.)

직접 아이엠피터의 말을 들어보자.

개정이 필요하다

국제 수준에 맞추기 위해서는 우선 저작권법의 개정이 필요하다. 가장 쉬운 방법은 의무조항을 면책조항으로 변경하는 것이다.

그리고 정보통신망법도 개정이 필요하다. 정보통신망법에는 아예 세이프하버와 같은 면책조항이 없는데, 저작권법 102조와 유사한 책임제한 조항을 만들면 된다. 즉, 콘텐츠에 대해 권리침해 신고가 들어왔을 때 그 게시물을 내리기만 하면 몰랐던 게시물에 대해서는 면책된다는 조항을 두는 것이다. 이 또한 어렵지 않은 일이다.

외국의 정보매개자 규제를 도입하려면 정확하게 벤치마킹을 해야 할 것이다. 이외에도 다른 수정사항들이 존재할 수 있으나 최소한 이 정도의 면책조항 정도는 만들어야 한다고 본다. 칼을 판다고 칼로 인한 모든 범죄에 대해 책임을 지라는 이상한 논리는 이제 그만 사라지는 것이 옳지 않을까.

*  위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.02.04.)

“공인” 인증 강박의 추억 떠올리는 정보보호관리체계(ISMS) 인증

- ‘NH농협’, ‘아시아나 항공’ 등 개인정보유출기업 다수가 ISMS 인증 받아 실효성도 의문

2015년 12월 개정되어 올해 6월 2일부터 시행중인 “개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)”은 ISMS 인증 의무 대상을 의료기관, 학교 등 비영리기관으로 확대하고 과태료 규정을 강화했다. 하지만 ISMS 인증은 전자금융거래법 개정으로 폐지된 공인인증서 강제 사례처럼 정부가 인증한다는 “공인”이라는 꼬리표를 달고 있어 이른바 관치 보안의 폐해를 반복할 우려가 크다. 공인인증서 사용 강제의 폐해를 반면교사로 삼아 정부가 주도하여 인증 자체에 직접 관여하는 정책을 전면 수정해야 한다.

2001년 도입되어 2013년 의무화된 정보보호 관리체계(ISMS, Information Security Management System) 인증 제도는 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 체계의 적합성에 대해 인증을 부여하는 제도로서 한국인터넷진흥원(KISA)이 관리하고 있다. 그동안은 정보통신망서비스 제공사업자(ISP), 집적정보통신시설 사업자(IDC), 그리고 정보통신서비스 제공자 등 주로ICT 기업 중에서 일정 규모(전년도 매출액 100억원 이상 또는 3개월간 일일평균 이용자 수 100만명 이상) 이상의 기업이 의무 대상이었는데, 작년 12월 정보통신망법 개정으로 세입이 1,500억 이상인 의료법상 상급종합병원 및 고등교육법상 재학생수 1만명 이상인 학교로 ISMS 인증 의무 대상이 확대된 것이다. 또한 의무 대상자 중 미인증 사업자에 대한 과태료도 현행 1000만원에서 3000만원으로 상향되었다.

관치 보안의 문제는 이미 오픈넷이 오랫동안 비판해 온 공인인증서 사례에서 여실히 드러났다. 즉, 정부가 “공인”한다는 정부 주도 인증 문제의 핵심은 민간 전문가들이 주도하는 기술이나 인증 제도의 발전을 저해한다는 점이고, 이는 실제 인증되는 내용이나 실질과 무관하게 국가가 인증한다는 취지의 “공인”이라는 어휘 자체에서 그대로 드러난다.

우선 정부가 고도의 전문성이 요구되는 ISMS 인증 제도를 제대로 운영할 수 있는지부터 의문이다. 실제로 2014년 국정감사에서 ISMS 인증을 받은 254개의 기업 중 정보유출 사고가 무려 30개 기업에서 발생하였다는 점이 드러난 바 있고, 여기에는 사회적 파장이 큰 NH농협이나 KT 등 개인정보나 개인신용정보가 다수 집적된 기업이 포함되어 있다. 불과 며칠 전에는 ISMS 인증을 받은 아시아나 항공의 웹사이트에서 이용자들의 개인정보가 무방비로 노출될 수 있는 시스템 오류가 발견되기도 했다. 날로 발전하는 정보통신 환경에서 정보보호체계 내지 보안시스템의 구축은 그 어느 때보다도 중요하지만, ISMS 인증처럼 정부가 최종 인증 권한 자체를 보유하고 운용하는 제도는 부작용이 훨씬 크다. 급변하는 보안 시장과 하루가 다르게 발전하는 기술을 정부와 보수적인 규제가 따라가거나 앞서가기를 바랄 수 없기 때문이다.

한편 금융사가 이용자에게 공인인증서 등의 사용을 강제한 경우 금융사고 발생시 금융사 면책을 용이하게 하는 문제가 있었다. 이와 같이 ISMS 인증을 받았음에도 보안 사고가 발생한 경우, 반대로 정부의 “공인”된 인증을 받았다는 사실만으로 쉽게 면책을 받게 된다면 그 피해가 고스란히 이용자에게 전가될 우려가 있다. 또한 공인인증서 커넥션 처럼 ISMS인증이 ”공인” 인증 체제를 유지하는 이상 담당 부처와 심사기관을 중심으로 하는 카르텔이 형성되어 제도를 더욱 공고히 할 우려도 지우기 어렵다.

이처럼 정부가 최종 인증 권한을 보유하고 내용 심사를 주도하는 이른바 “공인” 인증의 강제는 우리나라에만 존재하는 갈라파고스 규제로, 스타트업이나 중소기업에게는 진입장벽이 될 뿐만 아니라 국내 기업에게만 이중, 삼중의 부담을 안겨 역차별을 초래한다. 미국, 캐나다 등 IT 선진국 중에 국가가 주도하여 보안 인증을 강제하는 나라는 찾기 어려우며, 이들 국가에서는 민간 전문가들이 참여하여 국제적으로 공신력을 획득한 ISO 27001, PCI-DSS 등의 인증을 이용한다. 물론 현 정보통신망법에서 ‘국제표준 정보보호 인증’, 즉 ISO 27001을 받은 경우에는 인증 심사의 “일부”를 생략할 수 있다고 하여 부담을 덜어준 것 같아 보이나, ISMS 인증의 대체를 인정한 게 아니기 때문에 결과적으론 달라진 게 없다. 정부가 주도하는 ISMS 인증이 ISO 27001 보다 특별히 더 우수하다는 점도 밝혀진 바 없으며, 오히려 인증의 품질에 대해 지적하는 목소리도 있다.

더욱이 ISMS 인증은 통상 준비부터 인증까지 약 6개월 이상이 소요되고, 인증 신청을 위해서도 최소 2개월 이상의 운영 기간이 필요하다. 게다가 ISMS 인증 비용만으로도 최소 수천만원에서 수억원이 들어간다. 그런데 해외진출을 꿈꾸는 ICT 기업들은 국내에서만 인정되는 ISMS 인증 보다는 국제적인 보안 인증을 선호할 수밖에 없고, 결국 중복적으로 인증을 받아야 하는 것이 현실이다.

정부 주도의 “공인” 인증 강박의 추억은 공인인증서 사례에서 이미 충분히 경험하지 않았는가? 정부는 인증 권한을 민간 전문가에게 양보하고 사후적 관리자의 역할만 수행하는 민간 주도의 보안 인증 제도로의 개선을 촉구한다.

2016년 7월 19일

사단법인 오픈넷

 * 관련 논평: 개정 전자금융거래법 국회 본회의 통과를 환영하며 금융당국의 기술중립, 사후규제 원칙 구현을 촉구한다.

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

참여연대와 오픈넷,

정보통신망법상 임시조치 제도에 대한 헌법소원 청구 및 고발 캠페인 진행

참여연대 공익법센터는 지난 주 금요일 2016년 7월 22일, 유명 정치 시사 블로거 ‘아이엠피터’를 대리하여 정보통신망법상 임시조치 제도에 대한 헌법소원을 청구하였다.

아이엠피터는 카카오가 제공하는 티스토리 블로그에 “ ‘어이, 전화 연결해봐’ MB 전화정치 하루 수십통”이라는 제목으로 이명박 전 대통령의 전화 정치를 비판하는 글을 올렸는데, 소망교회의 김지철 목사에게도 전화를 하였다는 부분을 언급하였다는 이유로 해당 게시글은 소망교회 측으로부터 신고되어 30일간 임시조치(접근차단)되었다. 한편, 아이엠피터는 “삼성 X파일 ‘떡값 검사’ 어떻게 살고 있을까?”란 제목으로 당시 스폰서 검사 사건과 관련한 의혹들을 분석하며 당시 수사대상이었던 박기준 전 부산지검장을 언급한 게시글이 임시조치 당하자, 국내 서비스의 잦은 임시조치가 지겨워 티스토리를 떠난다고 선언한 바 있다.

현행 정보통신이용촉진과정보보호에관한법률(이하 정보통신망법) 제44조의2에 따르면 누군가가 특정 게시물에 대하여 자신의 명예를 훼손하는 등 권리를 침해하고 있다고 주장하고 당사자 여부에 관한 간단한 소명만 첨부하여 삭제 요청을 하면 포털 등의 사업자는 지체없이 삭제, 임시조치 등의 조치를 취해야 한다. 권리 침해가 확실한 정보뿐만 아니라, 권리 침해 여부를 판단하기 어렵거나 이해당사자 간 다툼이 예상되는 ‘권리 침해가 여부가 불분명한 정보’의 경우까지 사업자는 최장 30일간의 임시조치(블라인드 조치)를 취해야 한다.

즉, 임시조치 제도는 누군가의 주장만으로, 특히 권리 침해 여부가 확인되지 않아 합법으로 추정되는 정보들마저도 우선 차단하도록 함으로써 표현의 자유를 무조건적으로 후퇴시키고 있다는 점에 위헌성이 있다. 이번 헌법소원청구에서는 이러한 임시조치 제도의 맹점으로 인하여 청구인 블로거의 글과 같이 공익적 목적의 글들마저 무차별적으로 임시조치 당함으로써 인터넷 이용자들의 표현의 자유와 알 권리가 심각하게 침해받고 있음을 주장하였다.

사단법인 오픈넷 역시 지난 4월, 남양유업의 대리점 밀어내기 파문 등 갑질 논란 및 자사에 대한 인터넷상 비판글들을 무차별적으로 임시조치 요청하고 있는 행태를 비판한 네이버 블로그내 51개의 게시물을 남양유업의 신고로 차단당한 블로거를 대리하여 임시조치 제도에 대한 헌법소원을 청구하였다.

다음, 네이버, SK컴스 3개사의 임시조치 건수는 2014년 한 해에만 45만여 건에 이른다. 더구나 이들 임시조치는 정치인, 연예인, 종교 지도자 등 공인 및 기업·사업자의 요청에 의해 이들을 비판하는 공익적 목적의 글들에 대해 다수 이루어지고 있는 것으로 보인다. 과거에는 오세훈 당시 서울시장의 서울광장 집회 불허 방침에 대한 비판글이 서울시의 삭제요청에 의해 임시조치 되었고, 경찰 간부가 서울시청 앞에서 시민들에게 진압봉을 휘두르는 장면을 담은 게시물 다수와 경찰 간부에게 보내는 공개질의서 등도 경찰의 요청에 의하여 임시조치 되었으며, 이종걸 의원이 장자연 리스트를 언급한 글, 환경운동가인 최병성 목사의 쓰레기시멘트 관련 고발 게시물도 관계자들의 신고로 임시조치 되었었다. 최근에는 수술실 생일파티를 벌여 논란이 되었던 쥬얼리 성형외과가 해당 사건을 언급한 글들을 다수 임시조치한 사례가 발견되어 논란이 되었다.

참여연대와 오픈넷은 부당 임시조치 고발 캠페인 (http://opennet.or.kr/nomoreblocking)을 함께 진행하여 이러한 부당 사례를 더 수집하여 헌법소원 및 제도 개선 활동에 참고자료로 활용할 예정이다. 억울하게 임시조치 당한 사례를 고발하고 싶다면 [email protected]로 제보하면 된다. 또한 ‘임시조치 벙커’ 사이트(http://censored.kr/)를 통해, 억울하게 임시조치되고 있는 자신의 게시글을 알릴 수 있으며, 독자들은 어떠한 내용의 게시글들이 누구의 요청으로 차단당하고 있는지 한 눈에 모아볼 수 있다.

더 이상 임시조치로 인하여 공인이나 기업에 대한 비판, 소비자의 합리적 선택을 유도하는 소비자불만글, 공적 사안에 대한 고발글과 같은 공익적 목적의 글들이 무차별적으로 차단되지 않도록 헌법재판소가 본 제도의 위헌성을 확인하여 주길 기대한다.

합법적인 게시물의 복원권을 보호하는 임시조치 개정이 필요하다

- 방통위-유승희 의원 정보통신망법 개정안 비교

사단법인 오픈넷은 19대 국회에서 방송통신위원회(이하 “방통위”)의 정보통신망법 개정안의 국회 통과를 성공적으로 막아낸 바 있다. 그런데 지난 5월, 20대 국회가 출범하자마자 방통위는 동일한 개정안을 다시 냈고, 겨우 5일이라는 입법예고 기간을 거쳐 6월 29일 국회에 제출하였다. 19대 국회에서도 여러 차례 밝혔지만 방통위안은 (1) 합법적인 게시물도 차단하도록 정보매개자(포털 등)를 강제하는 한편 (2) 게시자가 합법적인 게시물의 복원을 요청하더라도 정보매개자가 상당기간 복원을 하지 못하게 금지하며 (3) “온라인명예훼손분쟁조정위원회”라는 새로운 행정심의기구가 게시물 복원 여부를 심사하도록 하는 내용이다. 남양유업 갑질 관련 게시물, 비리검사 관련 게시물 등에서 보듯 현행법 상으로도 합법적인 게시물을 30일 이상 차단하는 상황을 방통위안은 더욱 개악시키려 하고 있다.

이와 관련하여 8월 9일 더불어민주당 유승희 의원도 19대 국회에서 제출했던 임시조치 복원권 보장안을 다시 발의하였다. 이 두 개정안을 비교 평가함으로써 앞으로의 나아갈 바를 밝혀보도록 한다.

<방통위안과 유승희의원안 비교> 

방통위안과 유승희의원안의 가장 큰 차이점은, 게시자가 이의를 제기할 때 정보를 즉시 복원해주는지 아닌지에 있다. 즉, 유의원안은 바로 복원을 할 수 있게 하는 반면, 방통위안은 1번 이상의 추가적인 불복 절차를 거쳐야 한다. 개정안이 게시자의 표현의 자유를 위한, 즉 복원권 보장을 위한 것이라면 게시자가 이의제기시 바로 정보가 복원되어야 한다. 임시조치 제도의 원조격인 미국 DMCA도 그렇게 규정하고 있고 우리의 저작권법도 2011년에 저작물 게시자의 복원 요청이 있으면 바로 복원해주도록 개정되었다.

유의원안에 따르면 게시자가 이의를 제기하면 임시조치를 30일 이내에 해제하고 이후 양 당사자가 알아서 분쟁해결절차를 진행하게 되어 있다. 반면, 방통위안에 따르면 게시자의 이의제기가 있더라도 임시조치가 유지된 상태에서 “온라인명예훼손분쟁조정위원회”의 직권조정절차로 넘어가게 되고, 복원 여부는 그 직권조정의 결과에 달려 있다. 또한 직권조정절차에서 복원이 되지 않을 경우 소송을 제기해야 비로소 임시조치가 해제된다. 즉, 게시물의 확실한 복원을 위해서는 2번의 불복 절차를 거쳐야 하는 것이다. 권리가 침해당했다고 주장만 하면 정보를 삭제할 수 있는 권리주장자와 비교해 게시자에게 매우 불리한 절차이여, 신청자의 권리와 게시자의 표현의 자유 사이에 심각한 불균형을 초래한다. 이는 인터넷상 표현의 자유를 증진하겠다는 방통위안의 제안 이유와 상반되는 것이다.

임시조치 이의제기율이 5%도 안되는 현 상황에서, 방통위안은 임시조치 해제를 위해 이의제기 및 소제기라는 이중의 불복절차를 거치도록 하므로 이의제기율은 필연적으로 더 낮아질 것이고, 임시조치를 당한 정보의 거의 대부분이 삭제될 것이다. 이는 결과적으로 권리주장자에게 임시조치를 남용할 유인을 부여한다.

이상과 같이 비교해보면 유승희의원안이 완벽하지는 않으나 방통위안 보다는 게시자의 표현의 자유를 훨씬 잘 보장하고 있다. 특히 사업자와 방통위의 투명성 보고 의무는 정부3.0 시대에 진일보한 입법이라고 하겠다. 또 “명백히 권리침해가 아닌 경우”에는 임시조치 의무를 면제한 것 역시 국제수준의 정보매개자책임원리에 근접한 것이며, 제2의 남양유업 게시물 차단 사태, 제2의 아이엠피터 사태를 막을 수 있는 장치라고 하겠다. 여기에 좀 더 보완을 한다면 아래와 같은 사항이 반영되어야 한다.

1. 임시조치 해제시점을 30일에서 10일 정도로 최대한 단축할 것
2. 저작권법과 동일하게 사업자의 면책 수준은 필요적 면제로 강화하여 유명무실해진 면책 조항의 의의를 살릴 것
3. 저작권법과 동일하게 부당한 삭제 요청과 이의제기에 대해 손해배상 의무를 부과하여 요청자의 임시조치 제도 남용을 막는 안전장치를 둘 것
4. 임의의 임시조치 조항은 중복적일 뿐만 아니라 사문화된 조항이므로 삭제할 것

인터넷상 모든 표현에 대한 사적 검열을 의무화하는 임시조치 제도는 세계적으로도 유래가 없는 악법이어서 개선이 시급하다. 오픈넷은 20대 국회에서 임시조치 제도가 게시자의 복원권을 완전하게 보장하고 민간의 자율규제를 촉진하는 방향으로 반드시 개선될 수 있도록 노력할 것이다.

2016년 8월 25일

사단법인 오픈넷

-      관련 논평:
오픈넷, 정부의 임시조치제도 국회제출안에 대해 반대의견서 제출
정부의 임시조치제도 법률 개정안에 대한 논평

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

오픈넷, 한국NFC 사태로 본 온라인 본인확인기관 제도 개선을 위한 포럼 개최

최근 이른바 한국NFC 사태로 본인확인기관 제도에 대한 논란이 뜨겁습니다. 이 문제의 핵심은 정보통신망법의 본인확인기관 제도에 있습니다. 자세히 들여다보면 본인확인기관이 주민등록번호 대체수단을 개발하라는 도입취지와 달리 국가후견주의적 사업으로 기능하는 것이 아닌지에 대한 근본적인 질문을 마주하게 됩니다.

정보통신망법상 본인확인기관은 예외적으로 주민등록번호 수집 권한이 있고 또한 본인확인을 요구하는 수많은 법령들이 본인확인기관이 제공하는 본인확인 서비스를 이용하도록 하고 있어 시장에서 이동통신사들이 제공하는 SMS 방식의 본인확인 서비스는 이미 독점적인 지위를 유지하고 있습니다. 최명길 의원실이 방송통신위원회로부터 제공받은 자료에 따르면 이동통신 3사는 작년 한 해에만 본인인증 서비스에서 258억 원 정도의 수익을 올린 것으로 보도되기도 했습니다.

본인확인기관의 개인정보보호 미비 논란, SMS 방식의 보안 취약성 논란 등은 차치하더라도, 2016년 현재 과연 국가가 계속 본인확인기관을 지정할 필요가 있을까요? 사업자들이 영위하는 사업 특성에 맞게 적당한 기술과 방법을 통해 본인확인을 하고, 그 미비점은 사후에 규율하는 것이 타당한 규제 방법이 아닐까요?

이번 오픈넷 포럼에서는 이와 같은 문제의식에서 본인확인기관 제도에 대한 바람직한 규제 개선 방향을 모색하기 위해 다양한 의견을 청취하려고 합니다. 관심 있는 많은 분들의 참여를 바랍니다. 참가신청은 오픈넷 홈페이지(http://opennet.or.kr/12988)에서 하실 수 있습니다. 감사합니다.

[오픈넷 포럼] 온라인 본인확인, 국가후견주의가 답인가?

- 정보통신망법상 본인확인기관 제도 개선의 필요성

주최: 사단법인 오픈넷

일시: 2016. 11. 2.(수) 저녁 7:30 – 9:30

장소: 메디아티 회의실 (서울시 중구 장충단로8길 11, 1층 (대아빌딩))

- 오시는 길: 지도보기 (지하철 2, 5호선 동대문역사문화공원역/ 3호선 동대입구역에서 걸어서 5분)

패널:

심우민 국회입법조사처 입법조사관

박경신 오픈넷 이사

황승익 한국NFC 대표이사

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

‘나경원 의원 딸 성신여대 부정입학 의혹’ 보도 뉴스타파 기자 무죄 선고

나경원 자유한국당 의원 딸의 성신여대 부정입학 의혹을 보도했다 허위사실 적시에 의한 명예훼손 혐의로 기소된 뉴스타파 황일송 기자에 대해 법원이 무죄를 선고했다.

서울중앙지법 형사17단독 서정현 판사는 8일 정보통신망 이용촉진 및 정보보호에 관한 법률(이하 정보통신망법) 상 명예훼손 혐의가 성립하지 않는다며 무죄를 선고했다.

재판부는 “정보통신망법 상 명예훼손이 성립하려면 보도 내용이 허위여야하고 기자는 그 내용을 보도하면서 허위임을 알고 있어야 한다”면서 뉴스타파 보도의 경우 “일부 단정적으로 보도한 부분 외의 나머지 주요 내용이 허위라고 볼 수 없다”고 밝혔다.

재판부는 “장애인 전형이 있는 다른 대학에서 응시생이 신원을 노출할 경우 부정행위로 간주해 실격처리한다고 단정적으로 보도한 부분과 반주가 필요한 경우 수험생이 준비해와야 한다고 단정적으로 보도한 부분은 허위사실에 해당한다”면서도 “이를 제외한 나머지 보도부분은 그 주요 내용이 객관적 사실에 합치된다고 보이고, 부정행위 내지 부정입학이라고 표현한 부분은 다소 과장되거나 아니면 사실이 아닌 평가로 볼 여지가 상당하므로 이를 허위의 사실을 적시한 것이라고 볼 수 없다”고 설명했다.

또 “기자가 취재를 통해 사실을 확인하고자 노력”했고 “나 의원과 성신여대 측에 반론을 할 수 있는 기회를 충분히 부여”했으며 “면접위원이었던 이재원 교수와 한국예술종합학교 입시관련 직원들로부터 들은 내용을 기사로 작성한 점을 비춰볼 때 피고인이 허위사실 부분에 대한 허위의 인식이 있었다고 단정할 수 없다”고 밝혔다.

재판부는 “정보통신망법상 명예훼손이 성립되기 위해서는 비방의 목적이 인정돼야 하는데, 보도에 관련된 나경원과 성신여대 총장 등 입학관련 교수들은 공인이라고 볼 수 있고 대학교 입시와 관련된 내용은 우리 사회에서 민감성을 가진 공공성, 사회성을 가진 공적 관심사항에 관한 것”이라면서 “이런 사안의 보도에는 언론의 자유에 대한 제한이 완화돼야하고 공적인 존재나 공적인 관심사안에 대한 감시나 비판은 현저히 상당성을 잃은 경우가 아닌한 쉽게 제한돼서는 안된다”고 덧붙였다.

뉴스타파는 2016년 3월부터 나경원 의원 딸의 성신여대 부정입학 의혹을 집중 보도했고 나 의원의 고소에 따라 검찰이 같은해 5월 황일송 기자를 명예훼손 혐의로 불구속 기소했다.

검사도 “이상하다”고 했던 98점 몰표…재판에서 확인된 사실과 남은 의혹

이번 판결을 통해 재판부는 뉴스타파 보도대로 “성신여대 장애인 특별전형과정이 급박하게 도입됐다는 점, 나 의원의 딸 김모씨가 입학한 2012학년도 이후에는 장애인특별전형으로 실용음악학과 학생을 선발하지는 않았던 점”을 인정했다.

또 장애인전형과정에서 실기가 없었다는 성신여대 측의 설명과는 달리 실기시험이 있었다는 점도 법원이 인정했다. 다만 실기시험에서 학생이 사전에 반주음악을 준비해야한다는 조항이 장애인전형 모집 요강에 없었기 때문에 부정행위라고 단정할 수 없다고 해석했다.

이에 대해 이 사건을 보도한 뉴스타파 황일송 기자는 “법원이 당연한 결론을 내리긴 했지만 이번 판결로 절반의 진실만 밝혀졌을 뿐”이라며 “법원이 실제 부정행위가 있었는지의 실체적 진실에 대한 판단을 보류함으로써 나경원 의원측에 일정 부분 면죄부를 준 측면이 있다”고 밝혔다.

실제 이번 재판 과정에서 2012학년도 성신여대 특수교육대상자 전형 당시 학생부 성적과 면접 점수가 공개됐는데, 나 의원의 딸 김 모씨는 응시대상자 21명 가운데 학생부 성적이 21등으로 가장 낮았던 사실이 새로 밝혀졌다.

또 현대실용음학과에 지원한 나 의원의 딸에 대해 면접위원 4명이 모두 똑같이 100점 만점에 98점을 준 사실도 드러났다. 다른 실용음악학과 지원자들의 면접 점수가 평균 70점대이고, 점수도 제각각 달랐던 것과 비교되는 대목이다. 이에 검사가 “어떻게 면접위원 4명이 똑같이 98점을 줬는지 제가 생각하기에도 이상하다”며 공판에 증인으로 참석한 면접위원에게 오히려 의문을 표시하기도 했다.

황일송 기자는 “성신여대가 뉴스타파 보도에 대해 일절 법적 대응을 하지 않은 점과 면접위원이었던 이재원 교수가 부정행위가 있다고 인터뷰했음에도 아무런 징계를 취하지 않은 점 등 이번 사건에는 납득하기 힘든 점들이 많다”면서 “그동안 재판에 영향을 미칠 수 있어 보류했던 나경원 의원 관련 후속 취재를 재개해 권력을 가진 자들이 부당하게 특혜를 누리는 일이 사라지도록 노력하겠다”고 말했다.

취재:최기훈
촬영:신영철

‘인터넷개인방송 모니터링법’은 ‘국민 동영상 검열법’!

- 이은권 의원의 정보통신망법 개정안을 반대한다

최근 인터넷개인방송사업자의 콘텐츠 유통관리 책임을 강화하는 내용의 정보통신망 이용촉진 및 정보보호에 관한 법률(“정보통신망법”) 일부개정법률안이 발의되었다. 새누리당 이은권 의원이 대표발의한 이 정보통신망법 개정안은, ① 인터넷개인방송사업자(플랫폼 사업자)는 자사 플랫폼에 음란물이 유통되는 사정을 명백히 인식한 경우 지체 없이 해당 콘텐츠를 삭제, 차단하도록 하고, ② 또한 음란물을 포함한 모든 불법정보 콘텐츠에 대해서 실시간 모니터링 등 자체적인 가이드라인을 의무적으로 수립⋅시행해야 하며, ③ 위 ‘음란물’의 정의와 가이드라인에 포함되어야 할 내용은 ‘대통령령’으로 정하고, ④ 음란물이 유통되는 사정을 알고도 삭제, 차단을 하지 않거나, 대통령령으로 정한 가이드라인을 수립, 시행하지 않을 시 3천만원 이하의 과태료를 부과하는 내용을 주요 골자로 하고 있다.

그러나 본 법안은 규제 대상과 범위가 명확하지 않아 지나치게 넓어질 수 있고, 정보매개자에게 일반적 모니터링 의무를 지워 인터넷 이용자들의 표현의 자유를 침해하고 동영상 서비스 산업을 위축시키는 악법이다.

‘인터넷개인방송‘이란 무엇인가? 사람이 출연하는 모든 동영상 포함 가능

개정안에 따르면 ‘인터넷개인방송’이란 ’정보통신망을 통하여 1명 또는 복수의 진행자가 출연하여 제작한 영상 콘텐츠’를 말한다. 그러나 ‘진행자’라는 개념은 정의되지 않았고 법적으로도 유례가 없는 용어이다. 또한 ”개인”방송이라고 하나 복수의 진행자가 출연하는 것도 포함되며 실시간일 것도 요하지 않는다. 따라서 1명 이상의 사람이 출연하는 모든 형식의 동영상들이 ‘인터넷개인방송’에 포섭될 수 있다.그리고 ‘인터넷개인방송사업자’란 이를 매개하고 있는 정보통신서비스 제공자, 즉 정보매개자를 말한다. 단지 아프리카 TV, 유튜브 같은 서비스뿐만 아니라 페이스북 등 타인이 올린 동영상을 볼 수 있도록 매개하는 모든 형식의 온라인서비스 사업자들이 ‘인터넷개인방송사업자’에 해당할 수 있다. 모든 부가통신서비스사업자에게 음란물 유통방지 의무를 지우고자 하는 방송통신위원회의 전기통신사업법 개정안과 적용 범위가 크게 다르지 않다.

‘음란물’의 정의 및 콘텐츠 관리 가이드라인의 내용을 ‘대통령령’으로 정의하고 안 지킬 시 과태료?  결국 자율규제의 허울을 씌워 행정검열을 하겠다는 것

‘불법 음란물’의 정의는 판례를 통해 이미 확립되어 있는 고도의 법적 판단이 필요한 개념이다. 그럼에도 이를 다시 행정부가 구체적으로 정한다면 법적 혼란을 가져올 것이다. 또한 ‘선정적’인 인터넷 개인방송의 문제를 시정한다는 것이 입법 목적인 만큼 불법적인 음란물이 아닌 콘텐츠마저 음란물로 분류하여 금지시킬 확률이 높은데, 이는 성인의 알 권리 침해로 이어질 위험도 있다. 게다가 ‘가이드라인’의 내용을 대통령령으로 정하고 이대로 수립·시행하지 않을 시 과태료를 부과한다는 발상도 위험하다. 이는 곧 행정기관이 하고 싶은 표현물 검열을 사업자에게 대신 하도록 하고, 그 사업자를 관리·감독하는 막강한 권력을 행사하며 사업자들을 통제하에 두겠다는 것과 다르지 않다.

과도한 콘텐츠 ’모니터링’ 의무 부과로 인터넷 이용자들의 표현의 자유 침해하며 정보매개자 책임의 국제적 원칙에 위반

개정안은 인터넷개인방송사업자에게 음란물뿐만 아니라 명예훼손 정보, 공포심이나 불안감을 유발하는 정보, 범죄를 교사 또는 방조하는 정보 등 정보통신망법 제44조의7 상의 모든 불법정보*를 ’실시간’으로 모니터링할 의무를 지우고 있다. 하지만 이러한 일반적 감시의무는 인터넷의 생명에 독배와도 같아서 금지해야 한다는 게 정보매개자 책임의 국제적 원칙이다. 또한 불법 동영상을 자동으로 거르는 기술은 존재하지 않아 결국 사업자들은 모든 동영상을 일일이 모니터링해야 할 것인데, 실시간 모니터링 인력 등을 채울 수 없는 스타트업이나 중소사업자들에게는 과도한 부담이며 높은 시장진입장벽으로 작용해 결국 이 분야 산업은 동력을 잃고 쇠락할 것이다. 또 위축된 이용자들이 보다 자유로운 국외 서비스로 이전하면 국내 산업만을 몰락시키는 결과도 초래할 수 있다.

현재도 모든 온라인서비스사업자들에게는 음란물이나 불법정보의 유통을 방지할 의무가 있어… 누더기 법안 생산, 전시용 입법은 재고되어야

현행법 하에서도 인터넷개인방송사업자를 비롯한 온라인서비스사업자들은 음란정보를 비롯한 불법정보의 유통에 대하여 일정한 조건 하에서 민·형사상의 책임을 지고 있다. 또한 방송통신심의위원회의 시정요구, 방송통신위원회의 제재명령 제도에 따라 불법 콘텐츠를 삭제·차단할 의무도 있다. 인터넷의 특성상 온라인 서비스는 무한한 다양성을 가지고 새롭게 생겨날 수 있고, 이에 대한 문제와 해결은 불특정 다수의 인터넷 이용자들의 몫에 달린 것이다. 그럼에도 특정 매체나 서비스에 문제가 제기될 때마다 이를 타겟팅한 법안을 만들고 규제 강화론만으로 흐르는 것은 오히려 법적 혼란을 가중시키고 큰 부작용을 초래할 수 있음을 입법자들은 명심해야 할 것이다.

* 정보통신망법 제44조의7(불법정보의 유통금지 등) ① 누구든지 정보통신망을 통하여 다음 각 호의 어느 하나에 해당하는 정보를 유통하여서는 아니 된다.
1. 음란한 부호·문언·음향·화상 또는 영상을 배포·판매·임대하거나 공공연하게 전시하는 내용의 정보
2. 사람을 비방할 목적으로 공공연하게 사실이나 거짓의 사실을 드러내어 타인의 명예를 훼손하는 내용의 정보
3. 공포심이나 불안감을 유발하는 부호·문언·음향·화상 또는 영상을 반복적으로 상대방에게 도달하도록 하는 내용의 정보
4. 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해하는 내용의 정보
5. 「청소년 보호법」에 따른 청소년유해매체물로서 상대방의 연령 확인, 표시의무 등 법령에 따른 의무를 이행하지 아니하고 영리를 목적으로 제공하는 내용의 정보
6. 법령에 따라 금지되는 사행행위에 해당하는 내용의 정보
6의2. 이 법 또는 개인정보 보호에 관한 법령을 위반하여 개인정보를 거래하는 내용의 정보
7. 법령에 따라 분류된 비밀 등 국가기밀을 누설하는 내용의 정보
8. 「국가보안법」에서 금지하는 행위를 수행하는 내용의 정보
9. 그 밖에 범죄를 목적으로 하거나 교사(敎唆) 또는 방조하는 내용의 정보

2016년 11월 17일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

[관련 글]

• [논평] 인터넷 방송은 ‘방송이 아니다 - 개인 인터넷 방송에 대한 정보매개자 규제 강화, 인터넷의 사회적 기능 파괴 (2016.07.12.)
• [논평] 갈라파고스로 가버린 방송통신위원회 - 인터넷의 생명을 앗아가는 음란물 모니터링 의무 도입 예고 (2016.06.20.)
• [논평] 방심위의 인터넷 개인 방송 사이트 ‘썸TV’ 폐쇄, 이용자들의 권리와 인터넷 서비스 산업을 위협하는 위법한 결정 (2016.06.17.)
• ‘별풍선’ 때려잡자? 인터넷 규제론의 다섯 가지 문제점 (슬로우뉴스 2016.04.29.)
• 인터넷 검열 부추기는 정보매개자책임제도 (허핑턴포스트코리아 2015.07.09.)
• [논평] 세계 각국의 정보인권단체들, 정보매개자책임에 관한 마닐라원칙 선언 (2015.03.31.)
• 고개 숙인 철구형: 우리 시대의 ‘교무실’ 방심위 (슬로우뉴스 2016.03.14.)
• 방심위의 아프리카 TV 규제, 개인의 동영상도 국가가 심의한다? (허핑턴포스트코리아 2016.03.09.)
• [논평] 방심위의 아프리카 BJ에 대한 이용정지 결정은 위헌적 조치(2016.02.25.)

오픈넷, 정부의 개인정보 비식별조치 가이드라인을 입법화하려는

정보통신망법 개정안(강길부 의원안)에 대한 반대의견 제출

• 빅데이터 시대의 개인정보보호는 대규모 개인정보 처리환경에서 개인정보처리자의 “투명성”과 “책임성” 강화 논의부터 시작되어야
• 비식별화만 거치면 제한 없이 동의 의무를 면제하려는 시도나 비식별화가 모든 문제를 해결할 것이라는 비식별화 만능주의 프레임을 지양해야
• 정부의 개인정보 비식별조치 가이드라인(2016)은 폐기하고 비식별화 적정성 평가단이 아닌 개인정보보호위원회가 컨트롤타워 역할을 해야 함
• 논의과정의 투명성 부족과 조급증도 문제- 이해당사자가 모두 참여하는 협의체를 구성하여 논의를 본격화해야

강길부 의원이 대표발의한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안 (이하 강길부 의원안: 첨부1)은 비식별화라는 개념을 추가하면서 비식별화한 개인정보를 이용자의 동의 없이 이용하거나 제3자에게 제공할 수 있도록 하고 있다. 오픈넷은 지난 2017. 1. 14. 아래와 같은 이유로 강길부 의원안 입법예고에 반대의견을 제출하였으며, 더불어 지난 2016년에 정부가 제정한 개인정보 비식별조치 가이드라인(이하 “가이드라인”)에 대해서도 폐기 의견을 함께 제시한다.

빅데이터 시대의 개인정보보호는 대규모 개인정보 처리환경에서 개인정보처리자의 “투명성”과 “책임성” 강화 논의부터 시작되어야

EU 개인정보보호감독관의 빅데이터 의견서(첨부2)에서 타당하게 결론 내린 것처럼 빅데이터의 진정한 위험 요소와 도전 과제는 대규모 개인정보 처리에 대한 “투명성 부족”과 “정보의 불균형”으로 인해 “개인정보보호 핵심원칙”이 위협에 빠진다는 것이다. 즉 빅데이터 시대에서 “알 수 없는 알고리즘”을 통해 정보주체에 대한 충분한 고지나 동의 획득 없이 개인정보 처리가 대규모로 이루어진다면 개인정보 처리에 관한 정보는 더욱 불균형해질 것이며 이로 인해 개인정보자기결정권은 형해화할 것이다.

우리나라의 경우 식별성이 가장 높은 주민등록번호가 여전히 이동통신사 등 사적 주체에 의해 행정 목적 외에도 널리 활용되고 있으며, 법령상 상존하는 각종 본인확인 의무로 인하여 비식별화를 거치더라도 결합을 통해 개인이 재식별될 위험성은 매우 크다. 특히 주민등록번호를 수집할 수 있는 본인확인기관에 개인정보가 고도로 집중되어 있다는 점도 재식별화 위험성을 가중시키고 있다.

요컨대 빅데이터 시대의 개인정보보호는 개인정보처리자의 “투명성”과 “책임성” 강화가 가장 중요한 고려 요소가 되어야 한다.

비식별화만 거치면 제한 없이 동의 의무를 면제하려는 시도나 비식별화가 모든 문제를 해결할 것이라는 비식별화 만능주의 프레임을 지양해야

(1) 비식별화 만능주의 프레임 지양해야

강길부 의원안은 개인정보처리자의 투명성과 책임성 강화에 대한 진지한 고민 대신, 비식별화 그 자체에만 천착하고 있다는 것이 핵심적 문제이다. 강길부 의원안은 대통령령이 정하는 비식별화 적정성 평가단(안 제28조의2 제2항, 이하 “평가단”)의 적정성 평가나 기술적 관리적 보호조치(안 제28조의5)의 구체적인 내용은 전혀 정하지 않았다. 막연히 추후에 제정될 대통령령에 의해 개인정보 보호가 충분히 이루어질 것이고, 비식별화만 이루어지면 빅데이터 산업이 부흥할 것이라는 소박한 믿음에 기초하고 있는 것이다.

(2) 비식별화만 거치면 어떠한 제한도 없이 동의를 면제 – 재식별 위험이 매우 큰 정보라는 점을 간과

강길부 의원안은 어떠한 방법으로든 비식별화가 이루어지면 어떠한 제한도 없이 개인정보보호법의 기본 원칙인 “동의 요건”을 광범하게 면제해주고 있어 문제이다. 이는 김병기 의원이 대표 발의한 개인정보보호법 개정안이 현행법과 같이 비식별화를 거친 정보라도 “정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없을 경우”에만 동의 요건을 면제하고 있는 것과 비교된다. (첨부3: 김병기 의원안)

그러나 우리나라처럼 재식별 위험이 매우 큰 상황에서 비식별화한 정보에 어떠한 제한도 없이 이용 및 제3자 제공을 허용할 지 여부에는 매우 신중한 검토가 요구된다. 완벽한 비식별화 기술이란 존재하지 않으며, 평가단의 검증을 거쳤다고 비식별화의 적정성이 담보되는 것도 아니다.

한편 EU의 GDPR에서 강길부 의원안이 비식별화 방법으로 예시한 가명화(pseudonymisation)는 개인정보 보호를 위해 권장되는 수단이지 가명화한 정보에 대한 개인정보 보호를 배제하려는 것이 아님을 명확히 하고 있다. (recital 28 : The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.) 최근 개인정보보호법을 개정한 일본의 경우 GDPR과 달리 익명가공정보를 개인정보와 별개로 규정하여, 이를 이용하거나 제3자에게 제공하려는 개인정보처리자에게 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표 및 취지를 명시하도록 하는 등 개인정보와 준하는 취급을 하고 있다.

(3) 개인정보 정의조항의 변경 – 정보통신망법과 개인정보보호법과의 괴리 발생

강길부 의원안은 개인정보의 정의 중 다른 정보와의 결합가능성 부분에 “해당 정보를 처리하는 자”를 판단 기준으로 제한하고 있어 이 같은 제한이 없는 개인정보보호법과 간극이 발생하게 된다. 물론 개인정보보호법 정의 조항의 합헌적 해석상 결합가능성은 해당 정보를 처리하는 처리자의 입장에서 판단되어야 한다고 볼 여지가 있다. 그러나 개인정보 정의 규정은 개인정보보호법제의 핵심을 이루는 것으로 개인정보보호법의 정의조항은 그대로 둔 채 정보통신망법의 개정으로 손쉽게 접근할 문제가 아니다.

(4) 투명성, 책임성 요건 결여 – 정보주체의 통제권한 상실, 개인정보 유통에 대한 정보불균형 심화

강길부 의원안에는 빅데이터 시대의 개인정보 보호에 가장 핵심적인 투명성과 책임성 요건이 결여되어 있어 정보주체의 실질적 통제 권한이 상실되고 개인정보 유통에 대한 정보불균형이 더욱 심화할 우려가 크다. 강길부 의원안에 따르면 정보주체는 본인의 어떤 개인정보가 어떻게 비식별화 처리되는지 전혀 알지 못한 채 개인정보처리자의 선의 또는 평가단 적정성평가의 무결성을 기대할 수밖에 없는 셈이다. 이는 아래 일본의 개정 개인정보보호법이 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표하게 하는 등 최소한의 투명성과 책임성 요건을 갖춘 것과 비교해보아도 그러하다.

정부의 개인정보 비식별조치 가이드라인(2016)은 폐기하고 비식별화 적정성 평가단이 아닌 개인정보보호위원회가 컨트롤타워 역할을 해야 함

한편 지난 2016년 정부 각 부처는 개인정보 비식별조치 가이드라인을 제정하였는데, 가이드라인은 한 걸음 더 나아갔다. 비식별조치를 취하면 동의 요건을 아무런 제한 없이 면제하고 있을 뿐 아니라 반증이 없는 한 개인정보가 아닌 것으로 추정하는 등 법 개정 없이 고지와 동의(notice and consent)라는 개인정보보호의 기본 원칙의 변경을 꾀한 것으로 즉시 폐기되어야 한다.

더욱이 가이드라인은 법적 근거 없이 전문기관에 의해 비식별조치의 적정성을 판단하도록 하고 있어 문제인데, 강길부 의원안은 비식별화 적정성 평가단을 입법화하면서 가이드라인의 전문기관에 법적 근거만 부여하려는 시도와 다름아니다.

그러나 평가단 신설로 생겨날 “관치 보안”의 문제는 차치하더라도 이는 개인정보보호위원회가 수행해야 할 이른바 컨트롤타워 역할을 무력화하는 시도와 다름아니다. 일본의 경우 개인정보보호위원회가 컨트롤타워로서 익명가공에 요구되는 기술적, 관리적 조치를 종합적으로 규율하도록 하고 있는 것과 비교된다.

논의과정의 투명성 부족과 조급증도 문제 – 이해당사자가 모두 참여하는 협의체를 구성하여 논의를 본격화해야

일본의 경우 개인정보보호법을 개정하기 위하여 다양한 이해당사자가 참여하는 협의체를 구성하여 2년에 걸친 광범한 논의를 거쳤다. 그러나 2016년 가이드라인의 경우 세부논의 내용과 초안을 비공개하는 등 폐쇄적인 방법으로 제정되었다. 정보주체를 대변하는 시민사회는 가이드라인의 초안이 대부분 결정된 뒤 단 1회 시행된 내부 간담회 외에는 논의에 제대로 참여할 수 없었다.

따라서 가이드라인의 주요 내용을 그대로 입법화하는 강길부 의원안은 정보주체를 대변하는 이해당사자의 의견 수렴을 전혀 거치지 않은 것과 다름없어 원점에서 다시 검토되어야 한다. 늦었지만 지금부터라도 국회를 중심으로 모든 이해당사자가 참여하는 협의체를 구성하여 빅데이터 시대의 개인정보 보호를 위한 논의를 진지하게 시작해야 할 것이다.

2017년 1월 17일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]