우리는 일상적으로 안면인식을 한다. 사람의 얼굴을 보고 그 사람을 식별하는 행위는 지극히 자연스러운 행위일 뿐이 아니라 인류 진화의 한 단계였다. 우리가 자외선이 나 초미세먼지를 두려워하면서도 옷으로 몸은 가려도 얼굴은 내놓고 다니는 것은 다 이유가 있다. 신분증에 사진을 붙이고 신분증을 통해 신원확인하는 것도 다 안면인식을 용이하게 하기 위한 것이다. 공공장소의 CCTV를 통해 범죄나 비리를 예방하거나 조사하는 것 역시 기초적인 수준의 안면인식을 필요로 한다.
2.
그러나 아이폰X를 통해 만든 안면인식정보 즉 한 사람이 몇 분 정도 시간을 들여 특수한 기계를 통해서 자신의 신체로부터 자발적으로 추출한 정보는 다르다. 이 정보는 내가 공공장소에 나갔을 때 CCTV에 찍혀서 생성되는 정보 즉 암묵적으로 타인이 취득할 것에 동의한 정보와는 완전히 다른데 정확도와 같은 양적 차이뿐 아니라 자신이 동의한 절차를 통해서만 생성될 수 있다는 차원에서 법적으로 다르다. 패스워드, DNA, 지문처럼 프라이버시로 완벽히 보호되어야 한다.
3.
단 지문인식기능과 특별히 다른 것처럼 호들갑을 떨 이유도 없다. 두 가지 다 신체의 일부를 본인확인 용도로 이용한다는 면에서 다를 바가 없다. 다르다면, 안면인식기능은 데이터포인트가 3차원적이고 훨씬 많기 때문에 지문인식기능보다 수십배 안전하다. (긴 패스워드가 짧은 패스워드보다 안전한 것도 한 자 더할 때마다 경우의 수가 수십 개씩 늘어나는 원리와 마찬가지이다.) 지문은 2차원적이라서 이용자가 책상이나 유리에 남긴 지문을 제3자가 채취해서 이용자의 아이폰을 몰래 열어볼 수 있지만 얼굴은 이것이 불가능하다. ‘Mission Impossible’ 영화에 나오는 것처럼 마스크를 만드는 경우도 생각해볼 수 있지만 아이폰은 반사광을 분석하여 인체피부와 같은 재질이 아닌 경우도 밝혀낸다고 한다.
4.
하지만 이렇게 안전하기 때문에 유출되었을 때의 위험은 더 크다. 해당 정보만 가지고 있으면 신원위조를 완벽하게 해낼 수 있기 때문이다. 그래서 더 주의할 필요가 있는데 첫째 현재는 디바이스에만 저장이 되는데 절대로 서버에 저장되지 않도록 해야 한다. 아이폰 1대를 해킹하면 1명의 안면인식정보만 취하겠지만, 서버에 저장하다 보면 여러 사람의 정보가 한꺼번에 유출될 수 있다. 해커가 하나의 서버만 공격해도 수많은 사람의 안면인식정보를 취할 수 있게 된다. 물론 우리는 패스워드도 서버에 저장하는 문화에 익숙해져 있지만 (그리고 패스워드는 서버에 저장될 수밖에 없지만) 패스워드는 유출되면 바꿀 수 있는 반면 안면인식정보는 성형을 하지 않는 한 바꿀 수 없는 영구적으로 고유한 식별자이기 때문에 유출되었을 때의 위험이 다르다.
5.
둘째 “신뢰성의 패러독스”에 빠지지 않도록 조심해야 한다. 즉 주민등록번호도 1960년대에 처음 나오자마자 국가에서 통제하는 것이니 안전하다는 이유로 각종 기업이나 기관에서 본인확인용으로 이용을 했고 결과적으로 매우 위험한 본인확인수단이 되어 버렸다. 예를 들어, 아이폰X의 안면인식정보를 금융기관이나 다른 기업도 직접 이용하는 일 등은 절대로 벌어져서는 안된다. (물론 위의 “디바이스 저장 원칙”만 지켜진다면 이 위험은 없다) 이용하고 싶다면 지금처럼 디바이스를 자신의 서비스에 등록시켜 그 디바이스에서 결제를 하려면 반드시 애플의 안면인식절차를 거치도록 하면 된다. 즉 애플 안면인식정보는 안면 소유자의 디바이스에만 저장되어야 할 뿐 아니라 디바이스를 언락하는 하나의 기능만을 수행해야지 “기능확대(function creep)”가 이루어져서는 안 된다. 주민등록번호와 마찬가지다.
6.
노파심에 한마디. 우리가 기억해야 할 것은 타인의 안면이나 지문을 강제로 들이밀어 아이폰을 언락하는 것은 신체의 자유 침해이자 프라이버시 침해라는 것이다. 그러므로 수사기관이 국민의 아이폰을 언락하고 싶다면 이용자에 대해서 압수수색영장을 반드시 받아야 한다.(체포영장으로는 불충분하다. 압수수색영장은 특정 정보를 채취하기 위해 다양한 수단을 이용할 수 있게 하므로 이것이 필요하다. 이게 왜 중요하냐면 긴급체포 즉 영장 없는 체포는 간혹 허용되지만 ‘긴급압수수색’이라는 것은 없기 때문이다.)
성차별금지는 국제인권이며 우리나라가 가입한 UN여성차별철폐협약에 명시되어 있다. 이 협약의 준수를 감시하는 UN성차별철폐위원회는, 성노동자 거의 전부가 여성인 상황에서, 성노동자에 대해 범죄자의 낙인을 찍는 것은 성차별이라면서, 수십년동안 우리나라를 비롯한 여러 나라에 성노동을 합법화할 것을 요구하였다. 세계적인 대세는 성노동자 처벌은 하지 않는 것을 기본으로 하고 성매수자처벌을 할 것인가에 대한 논쟁을 벌이고 있는 상태이다. OECD국가 중에 우리나라만 성노동자도 지역적 상황적 예외없이 모두 처벌하고 있다..
헌법재판소는 2014년에 “성인이 서로 자발적으로 만나 성행위를 하는 것은 개인의 자유 영역에 속하고, 다만 그것이 외부에 표출되어 사회의 건전한 성풍속을 해칠 때 비로소 법률의 규제를 필요로 한다. . . 국가가 개입하여 형벌의 대상으로 삼는 것은, 성적 자기결정권과 사생활의 비밀과 자유를 침해하는 것이다.”이라고 한 바 있다(간통죄 위헌). 이를 성매매에 적용해보자면 금전을 원인으로 성행위를 하게 되면 사랑, 결혼, 출산과 깊은 연관이 있을 수 있는 성행위를 더욱 쉽게 할 수 있게 되고 과도한 난교 상황은 성스러운 사랑, 결혼, 출산을 저해하여 도덕적 다수가 생각하는 ‘건전한 성풍속’에 어긋난다고 볼수도 있겠다. 하지만 ‘건전한 풍속’을 형사처벌로 강요하는 것이 정당할까?
성매매를 금지하자는 또다른 시각에서 헌재는 2012년에 성알선자 처벌에 대해 합헌결정을 내리면서 성매매가 “성을 상품화”하는 것이라면서 금지할 충분한 이유가 있다고 한 적이 있다. 하지만 무언가를 상품화된다고 해서 곧바로 형사처벌로 금지할 수 있는 정당성이 갖추어지는 것은 아니다. 육체는 성스러운 것인지만 이를 상품화하면 형사처벌해야 할까? 그럼 마사지사도 처벌해야 할 것이다. 교육도 성스러운 것이고 사교육열풍을 막으려고 노력하고 있지만 사교육을 받는 학생이나 학원을 형사처벌하려는 법은 위헌판정까지 받았다.
또다른 시각에서 헌재는 2006년에 성매매알선조항에 대해 합헌결정을 내리면서 “우리나라 성매매의 양태는 ‘강요된 성매매’를 포함하는 경우가 많고 최소한 ‘중간고리’를 끊기 위해서라도 알선자를 처벌해야 한다고 하였다. 하지만 그런 목적이라면 성노동자까지 처벌해야 할까요? 강요와 폭력의 주체들만 처벌하면 되지 않을까?
더욱이 UN성차별철폐위원회는 성매매금지법이 도리어 성매매여성들의 강제성매매 탈출을 어렵게 만든다며 합법화를 요구하였다. 우리나라의 “성제공자”들은 범죄자의 낙인이 찍혀, 폭력적인 포주나 고객을 신고도 하지 못하고, 의료서비스 복지서비스에 배제된 상태에서 경찰의 단속을 피해다니면서 살아가고 있다. 통영에서는 집안 형편상 가출했다가 17살에 출산하여 지금은 7살이 된 아이와 병든 아버지를 부양하기 위해 성매매를 하고 있던 25세 여성이 경찰의 함정단속을 피해 투신자살했다. 우리나라 2007년 여성가족부 통계에 따르면 성매매여성들은 30만명에 달한다. 인신매매 예방은 이렇게 많은 사람들을 음지로 때로는 사지로 내몰 이유가 되는 것일까. 사회적 낙인을 감수하면서까지 생계를 잇고자 하는 사람들에게 반드시 법적 낙인을, 범죄자의 낙인을 찍어 동굴로 몰아 넣어야만 인신매매예방에 대한 우리의 도덕감정을 충족시킬 수 있을까? 의료서비스 접근권 및 여성들의 권익신장을 위해 노력하는 UN여성기구 역시 2013년 성노동을 합법화할 것을 요구했고 UN보건기구들도 꾸준히 같은 주장을 해왔다. 국제인권기구의 양대산맥이라고 할 수 있는 휴먼라이츠와치와 국제사면위원회는 2013년 2014년 각각 성노동의 합법화를 정책기조로 발표하였다.
자 성매매금지법의 정당성이 이러한 상황에서 성노동자들의 표현을 차단해야 할까? 성노동에 대한 정보는 성매매라는 불법행위를 목적으로 하거나 교사 방조하는 정보라는 이유로 차단되고 있다. 하지만 위에서 보았듯이 성매매는 보편타당한 해악이 아니며 자유롭게 허용하는 국가들도 많이 있다. 해외 여러 국가들에서는 형사처벌되지 않는 성제공자들이 발화하는 표현까지 차단하는 것은 부당하다. 아무리 국내에서는 성매매가 불법이고 성제공자들의 온라인 상 표현이 그 불법행위를 촉발할 가능성이 있다고 하지만 그렇다고 해서 원천적으로 차단해서는 안된다는 것이다. 특히 “외부에 표출되어 성풍속을 해칠 때 법률의 규제를 필요로 한다”라는 헌재의 설시에서 볼 수 있듯이 성매매 자체에 내재된 해악 보다는 성매매가 끼치는 문화적 영향 때문에 성매매금지법이 만들어진 것이다. Dhyta Caturani도 성매매금지법이 없는 인도네시아에서도 성매매여성들의 표현을 포르노그래피법으로 규제하는 행태가 나타나고 있다고 하는데 세계적으로 성매매금지법이 성매매 자체를 죄악시하기 보다는 성매매에 성풍속에 끼치는 문화적 영향에 터잡았다는 것을 보여준다.
일반적으로 인터넷 상의 표현의 자유도 제한될 수 있다. 하지만, 표현물에 대한 법적 판단이 이루어지기 전에 행정기관의 결정에 의해 표현물을 차단 및 삭제하는 것은 주의해야 한다. 우선 물리적 행위와 달리 표현은 위축효과에 취약하다. 행정기관의 잠정적인 판단을 반박하여 표현물의 합법성을 입증하려는 수고를 포기하기 쉽다. 또 행정기관은 집권여당의 입김 때문에 중립적인 판단을 하기 어렵다. 특히 표현물이 불법이라서 이에 대한 책임을 지는 것이 아니라 행정기관의 명령을 어긴 것에 대해 별도의 책임이 부과되는 경우 합법적인 표현물의 위축효과는 더욱 증폭된다. 행정기관은 산업진흥 등의 다른 정책도 수행하기 때문에 쉽게 보복을 할 수 있다는 점도 위축효과를 증폭시킨다. 그렇기 때문에 행정기관에 의한 온라인표현의 자유 제한 즉 행정심의는 전세계적으로 거의 없었다. Turkey와 한국이 유일햇고 최근 몇 년 사이에 테러단체나 테러리스트들이 인터넷을 통해 인력을 확보하는 등의 현상이 나타나자 독일, 프랑스 등에서도 행정심의를 시작하였다. (NetzDG법, Avia법)
하지만 이들 몇안되는 나라들의 행정심의는 보통 보편타당한 해악성을 지닌 표현물에 한정하여 이루어진다. 테러나 기타 폭력을 선동하는 경우에 한정된다. 성매매금지법은 위에서 말했듯이 성매매 자체에 내재된 해악 보다는 성매매가 끼치는 문화적 영향에 터잡고 있다. 과연 이런 경우에도 성노동자들이 배포하는 정보를 차단해야 할까?
우리나라는 정보통신망법 44조의7 1항 9호의 ‘범죄를 목적으로 하는. . . 정보’도 불법정보로 정의하면서 범죄의 경중에 관계없이 똑같이 취급한다. 폭력 등의 명백한 해악에 이르지 않는 행정규제 위반 등을 초래할 수 있다는 이유만으로 표현물 자체를 삭제 차단하는 것은 표현의 자유에 대한 과잉한 제한이 된다. 예를 들어, 휴대폰실명제를 집행하는 국가라고 해서 비실명휴대폰을 소개하는 게시물까지 삭제차단하는 경우는 없다. 비실명휴대폰을 소개하는 웹사이트를 통해 비실명휴대폰의 이용이 확산될 가능성이 있더라도 이 웹사이트를 통해 국민들이 유용한 정보에 접할 권리가 침해되어서는 안되기 때문이다. 또 다른 예를 들어, 몇 년전까지만 해도 여타 이유로 탐정서비스의 제공은 국내에서 불법이었고 이에 따라 탐정서비스를 광고하는 웹사이트들의 국내유입이 차단되었다. 하지만 해외에 나가서 탐정을 채용한다고 해서 불법이 되는 것이 아닌데 국내인들이 탐정서비스에 대한 정보를 온라인으로 습득하지 못하게 하는 것은 국내인들의 알권리에 대한 제한이 된다. 물론, 해외도박사이트를 차단하는 것은 해외사이트운영자가 도박장개설이라는 위법행위를 정보통신기술을 통해 원격으로 국내에서 저지르지 못하도록 하기 위함이다. 그러나 도박과 같이 보편타당한 해악을 규제하는 행위를 매개하는 정보가 아니라 문화적인 그리고 연혁적인 이유로 국내에서만 특이하게 금지되는 행위(예를 들어 탐정서비스)를 매개하는 정보를 차단하는 것은 국내인의 알권리를 제한하는 성격이 강하다. 그렇다면 위에서 말했듯이 그 자체로 해악이라기 보다는 문화적 영향력 때문에 규제되고 있는 성매매에 대한 온라인정보를 차단하는 것도 문제가 있다.
행정기관의 심의는 폭력 등 심대하고 보편타당한 해악이 없는 한 자제되어야 하며 우리나라만의 문화적인 또는 법체제적인 이유로 불법화된 행위를 막기 위해 관련 정보를 차단하는 것은 신중해야 한다. 오픈넷은 여성들이 임신중지에 대한 정보를 얻고 있던 위민온웹이 낙태죄가 있다고 해서 차단 된 것에 대해서도 문제시하고 있고 성매매금지법이 존재한다고 해서 여성들이 생계유지를 위해 자신에 대한 정보를 제공하는 것을 삭제 차단하는 것도 문제라고 생각한다. 임신중지와 성매매 모두 여성의 인권과 다수결주의적 법익 (예: 태아의 생명, 인신매매 방지) 사이에 미세한 저울질이 필요한 사안이며 이와 관련되어 여성들이 필요한 정보를 주고 받는 것을 금지하기 때문이다.
통신3사는 그간 가명처리된 정보라는 이유로 가입자의 개인정보가 어떻게 활용되었는지를 공개하지 않고, 이를 중단해달라는 요구도 수용하지 않아왔습니다. 자신의 정보가 어떻게 처리되었는지 알수 없었던 이용자들이 정보공개청구 및 향후 가명처리와 무단활용을 하지 말아달라고 요청했지만, SKT는 거절했습니다. 이에 이용자들은 법원에 소송을 제기했고, 법원은 이용자들의 손을 들어주었습니다. 정보주체의 가명처리정지권 보장의 중요성을 인정한 이번 판결에 대해 김보라미 변호사가 비평했습니다.
「개인정보보호법」이 2020년 2월 4일 통과된 이후 “가명정보”라는 개념이 도입되었다. 「개인정보보호법」 법 제2조 정의에서 가명처리에 대하여는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아 볼 수 없도록 처리하는 것”이라고 정의(법 제2조 제1의2호)하고, 가명정보에 대하여는 “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(제2조 제1호 다목)라고 정의하고 있다. 위 정의에서 “가명정보”는 ”추가정보“를 보유하고 있는 개인정보처리자 입장에서는 언제든지 특정 개인을 알아볼 수 있는 정보이기 때문에 개인 정보라는 점이 강조되어 있다.
우리 법에서 ”가명처리“의 정의는, EU GDPR1)의 가명처리(pseudonymisation)(제4조 제5호)2)와 동일한 정의규정을 가져와 유사하게 제정한 것이나, 정작 GDPR에서 가명처리는 안전조치의 하나로 도입되었을 뿐이라는 점에서 큰 차이가 있다. EU GDPR에서는 가명처리는 개인들의 권리행사를 배제하거나 기타 개인정보보호조치를 배제시키려는 의도로 도입된 것이 아니다(전문 제28조)3).
그러나 우리 법문 제3절에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리 근거로서 EU GDPR 제87조를 차용하였으면서도, 완전히 다른 법체계로 조문구성이 되었다. 이렇게 된 이유는 우리 법에서는 가명처리가 안전조치로 고려되지 않았기 때문이었다. 정의에서 언급된 가명처리는 더 이상 (안전조치로도) 언급되지 않고, ”가명정보“만 과거 사회적 논란속에서 사라져간 「개인정보 비식별조치 가이드라인」(2016. 6. 30. 공표)에서의 ”비식별조치“와 유사한 맥락으로 활용되고 있다.
특히 현행 「개인정보보호법」는 ”가명정보“일 경우 개인정보주체의 동의없이 활용할 수 있는 특례를 허용해 주면서도 별도의 조건이나 제한 없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도 등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등의 개인의 기본적 권리 행사도 모두 불가능하게 규정(법제28조의7)했다는 점에서 그 문제가 심각하다.
위 규정대로라면 ”가명정보“는 개인정보라고 강조하며 정의하고 있는데, 제3절의 가명정보의 처리 특례를 통해 ”개인정보“가 아닌 것처럼 역할하고 있는 것이다.
헌법재판소는 개인정보자기결정권에 대해서 헌법 제10조 제1문에서 도출되는 일반적 인격권, 헌법 제17조의 사생활의 비밀과 자유에 근거하여 독자적인 기본권으로 인정하여 왔다.(헌재 2005. 5. 26. 자 99헌마513 등) 이러한 개인정보자기결정권에는 개인이 개인정보 처리에 관하여 동의할 수 있는 권리, 동의 범위 등을 선택하고 결정할 수 있는 권리, 열람을 요구할 수 있는 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리가 실질적으로 구현되어야 한다. 이러한 권리가 구현되지 않는 개인정보자기결정권은 존재하지 않는 것과 같다.
개인정보자기결정권은 개인정보를 식별가능한 상태로 처리함으로써 개인의 사생활이 침해된다는 것에 대해 방어할 수 있는 권리에 그치는 것이 아니라, 개인이 자신의 정보흐름에 대해 주도권을 가지지 못하고 배제됨으로써 겪는 인격권 침해를 막고 적극적으로 참여할 수 있도록 하는 권리이기도 하다. 그러므로 ”개인이 행사하여야만 하는 헌법상 기본권“을 처리의 목적 달성 여부나 필요성, 최소 침해성 여부 등을 전혀 고려하지 않고 전면 배제하여 통제권을 유명무실한다면 이는 헌법상 과잉금지원칙 위반이라고 해석될 수 있다.
이번 SKT 사건 판결은, 「개인정보보호법」에서 가명정보 특례 조항들이 가지고 있는 문제를 본격적으로 짚었을 뿐만 아니라, 개인정보자기결정권이라는 기본권을 침해여부에 대한 헌법적 평가까지 함께 했다는 점에서 의미가 크다. 판결문에서는 명시적으로 언급되지 않았으나, 우리 법에서 명확하게 규정하지 않은 식별가능한 개인정보가 가명정보화되는 처리과정 및 처리근거에 대한 문제제기 역시 같은 맥락에서 검토될 수 있다.
해당 판결에서는 가명정보의 특례를 통해 개인들의 권리행사가 부당하게 제한되고 있다는 점에 대하여 ① 개인들의 권리행사가 왜 필요한가라는 측면 (필요성), ② 개인들의 권리행사를 전면 배제하는 것의 과잉침해성 (최소 침해성) 등을 언급하며 ”부당하다“고 평가하고 있다.
판결문 제9쪽 내지 제10쪽
가명정보가 … (중략)… 동일한 정보주체에 관한 여러 가명정보가 사용・결합되거나 그 밖에 이와 유사한 상황이 발생할 경우에는 정보주체에 대한 식별이 가능하게 될 위험이 존재하고 … (중략)… 개인정보가 정보주체의 의사와 무관하게 유출되는 경우에는 정보주체에게 심각한 피해가 초래될 가능성이 높고 그로 인하여 정보주체에 발생한 피해는 사후적으로 금전적 보상 또는 배상이 이루어지는 것만으로 회복될 수 있는 성질의 것이 아닌 이상 정보주체가 개인정보처리자에 대하여 식별가능정보에 대한 가명처리 내지 가명정보에 대한 처리에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 할 필요성이 존재한다고 할 것이다.
그런데 개정된 개인정보 보호법은, … (중략)… 식별가능정보를 가명처리하여 생성된 가명정보에 대하여는 ①개인정보처리자의 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조)와 ②정보통시서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6) 및 ③정보주체의 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 동의 철회에 관한 권리(제39조의7) 등의 적용을 모두 배제함으로써(제28조의7) 정보주체의 가명정보의 처리에 대한 결정권을 상당하게 제한하고 있다.
그렇다면 개정된 개인정보보호법 제28조의7에서 처리정지 요구권의 적용을 배제하고 있는 ‘가명정보’에 식별가능정보를 가명처리하는 것까지 포함된다고 해석할 경우 정보주체가 개인정보처리자에 대하여 가명정보에 대한 개인정보자기결정권을 행사할 수 있는 방법이 원척적으로 봉쇄되는 부당한 결론에 이르게 된다.
또한 해당 판결에서는 가명정보로 처리되기 전에 자신의 식별정보에 대한 가명처리정지를 요구할 수 있다는 점에 대하여 ‘개인정보 보호 법령 및 지침・고시 해설’ 등의 유권해석을 근거로 판단하고 있는데 더하여, 헌법적 평가를 시도하고 있다. 즉, ”식별가능정보의 가명처리에 대한 정보주체의 처리정지 요구권의 행사를 원천적으로 제한함으로써 침해되는 정보주체의 사익이 그로 인하여 얻을 수 있는 공익에 비하여 결코 작다고 단정할 수 없다“고 판단한 것이다. 이러한 판단은 향후 유사한 ”개인“들의 권리행사에 있어서도 다른 공익과의 비교형량의 중요 기준으로 활용될 수 있는 근거로서 검토될 수 있을 것이다.
오늘날 저장장치 및 빅데이터와 강력한 기계학습알고리즘 등의 발전으로, 인간의 눈에는 식별할 수 없는 것처럼 보이더라도 개인으로부터 파생되거나 추론되는 데이터들이 쉽게 민감한 데이터로까지 추론되는 시대를 살고 있다. 비루해 보이는 토끼굴이 사실은 석·박사들이 포진한 데이터처리회사라는 이상한 나라까지 쭉 연결되는 것처럼 말이다.
EU GDPR을 중심으로 세계적으로 개인정보보호법제가 디지털 시대에 개인정보주체에게 보다 적극적인 통제권을 부여하고, 개인의 인권을 침해하는 개인정보처리를 제한하는 방향으로 변화되고 있다. 관련된 캘리포니아 주 법은 이에 영향을 받아 두 차례에 걸쳐 개정되었으며, 미 연방 개인정보보호법안도 발의된 바 있다.
이번 판결에서 문제가 된 「개인정보보호법」 제3절 가명정보의 특례는 개인정보보호법 전체 맥락과 견주어 보아도 어떤 개인정보처리규정과도 연결점이 없이 갑자기 툭 튀어나온 모습이다. ”활용”과 ”데이터 결합”을 위해 보호법에 특별한 특혜규정을 열어준 것이다. 지금이라도 법체계내에서 ”가명정보“라는 개념은 폐기하고, 가명처리를 안전조치의 일종으로 검토하여 개인정보보호법의 본래적 목적에 맞는 법개정이 이루어져야 한다. 또한 근본적으로 헌법상 개인정보자기결정권을 실질화하는 개인의 권리를 복원해야 한다.
1) EU GDPR(General Data Protection Regulation, EU 일반 개인정보보호법). 2016년 공포된 유럽의회 통합 규정으로써 유럽 시민들의 개인정보 보호를 강화하기 위해 시행된 규정으로 유럽 연합 시민의 데이터를 활용하는 경우 준수해야 한다. 개인정보 유출에 대한 심각성이 강조되면서 유럽뿐 아니라 전세계적으로 채택되거나 이와 유사한 법제가 도입되고 있다.
2) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;
3) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection
참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그 와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다. 주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.
공정경쟁을 위한 데이터현지화(data localization)가 화두이다. 그런데 데이터현지화 담론의 가장 큰 허점은 목적이 무엇인지가 불분명하다는 것이다. 목적으로 제시되는 이유는 (1) 규제상의 역차별” 완화 (2) “망이용료” 상의 역차별 완화 (3) 세법 상의 역차별 완화이다. 참고로 GDPR도 데이터현지화를 한정적으로 요구하고 있지만 자국민의 프라이버시보호를 목적으로 하고 있어 프라이버시가 개인정보보호수준이 낮은 나라로의 이전만을 규제하고 있는 것과 달리 우리나라의 논의는 반드시 우리나라 안에 데이터를 둬야 한다는 면에서 차이가 있다.
우선 전반적으로 인터넷이 문명에게 준 선물은 힘없는 개인들도 정부나 기업과 같은 홍보력과 정보력을 가지도록 한다는 것인데 이 홍보력과 정보력에는 외국문물로부터의 정보를 수집할 자유 그리고 외국인들에게 홍보할 자유가 큰 부분을 차지하고 있다. 이와 함께 착신지의 다양성 뿐만 자신이 선택한 communication governance를 통해 통신할 자유도 포함하는 것인데 현재 데이터현지화의 대상이 되는 플랫폼업체들은 사실 자신의 데이터가 아니라 이용자들간의 소통을 mediate하고 있습니다.
과연 이를 역차별이라고 할 수 있는가. 알아보자.
(1) “역외적용” 담론 마저도 일관되게 갈라파고스적
“인터넷사업자는 국내법상 존재하는 각종 규제를 준수해야 하지만 해외사업자는 동일한 법 적용을 받지 않고 있어 국내 기업의 경쟁력이 현저히 저하되고 있다. 이 역차별을 해소하기 위해 외국업자에게 똑같은 규제를 적용해야 한다”는 주장이 정부여당 내에서 인기를 얻고 있다.
적반하장이라고 밖에 말할 수 없다. 국내인터넷기업을 ‘차별’하는 것은 정부와 국회가 우리나라에서만 유일무이하게 만들어 적용하고 있는 갈라파고스적 규제들이다. 게시물이 불법이 아니라도 요청만 있으면 30일 동안 게시물을 차단해야 하는 임시조치제도, 게시물이 불법이 아니라도 ‘건전한 통신윤리 함양을 위해 필요’하다면 삭제차단하겠다는 방송통신심의위원회의 시정요구제도, 우리 국민이 접속하는 웹사이트로서 자본금 1억 이상이라면 무조건 신고를 해야 하는 부가통신사업자신고제도, 불법물을 사전차단하지 않으면 형사처벌까지 당할 수 있는 ‘기술적 조치’ 의무조항들, 청소년의 합법적인 콘텐츠 접근을 막기 위해 실명제까지 하라는 청소년유해매체물실명제, 청소년유해물도 아닌 인터넷게임을 하려는 사람들도 실명확인을 하라는 인터넷게임실명제, 이들 실명제를 위한 온라인 상의 본인확인 방식도 이동통신사의 배만 불리는 고비용의 휴대폰본인확인을 선택할 수 밖에 없게 강요하는 본인확인기관제도, PC방을 포함한 모든 스타트업들의 전용회선료를 세계 최고 수준으로 높이고 있는 발신자부담 종량제 상호접속고시, 모든 온라인결제와 행정민원 서명에 공인인증서를 요구하는 공인인증서제도, 밤12시부터 새벽6시 사이에 청소년을 잠을 자야 한다는 폭력적인 전제에 만들어진 게임셧다운제, 진실이나 감정표현도 불법물로 분류하여 매년 1만건 넘는 기소가 이루어지는 명예훼손/모욕죄 법규 등 수많은 제도들이 국내기업들을 괴롭혀 왔다. 이 법들이 우리나라에 공익적으로 좋은지 안좋은지를 지금 다투지 않겠다. 중요한 것은 이 규제들은 OECD국가들 중에서 우리나라에서만 존재하고 있으면 우리나라 인터넷기업들의 발목을 잡고 있다는 것이다. 이는 마치 미국에서 50년대에 법률로 유색인종들인 기차 버스 앞에 못타게 하였는데 그 ‘차별’을 해소하기 위해 백인들도 기차 버스 앞에 못타게 하겠다는 것과 마찬가지이다.
보통 국가가 공익적인 목적으로 만든 규제에 대해 기업들이 과도하다고 불만을 표시하면 공익을 훼손하지 않는 범위에서 제도개선 가능성을 검토하는 것이 보통이다. 그런데 우리나라 정부는 해외인터넷기업들에까지 그 제도를 적용해서 ‘평등한 규제환경’을 만들겠다는 특이한 자세를 보이고 있다. 도대체 어느 나라가 자국규제 때문에 기업들이 힘들어하는 것을 두고 ‘역차별’이라고 부르면서 외국기업에 부담을 돌리려 하는가? 갈라파고스제도로 사고를 쳐놓고 갈라파고스적인 해법을 내놓는 형국이다.
(2) “망이용료” 상의 역차별
“망이용료”라는 말 자체가 국제적으로 존재하지 않는 말이다. 아래 그림을 보면 외국업체들은 국내이용자와의 접속(하늘색 루트)만 구매하는 것이고 – 반드시 외국업체가 필요해서 구매하는 것이 아니라 국내망사업자가 외국업체의 정보를 중앙의 핑크색루트를 통해서 받을 경우 너무 많은 양의 접속(transit)용량을 상위 ISP로부터 구매해야 하기 때문에 국내망사업자의 필요에 의해서 매매가 이루어지는 것(그러니 무료거래도 발생하는 것)이고 – 국내망사업자들은 전세계 단말들과의 접속루트(핑크색 루트 전체)를 구매하는 것이다. 한쪽은 캐시서버 접속료이고 한쪽은 전체 인터넷에 대한 접속료이다. 당연히 역차별을 논의할 수 없다. 외국단말과의 통행량이 적어도 (“2.6%”, 2019.11.10. 인터넷상생협 토론회 중 SK 윤세은 상무 발언) 마찬가지이다. 아무리 작은 통행량이라도 그것이 없다면 소비자들은 그 인터넷업체들을 회피할 것이다.
(3) 세법 상의 역차별 완화
지금 논의되고 있는 것이 해외CP들이 국내에서 콘텐츠를 팔 경우 이에 대해 세금을 부여하고 싶다는 것이다. 그런데 중국차가 미국에서 차가 팔린다고 해서 미국국세청이 중국제조업체에게 소득세를 부과하는가? 좀더 자세히 살펴보자면 다음과 같다.
디지털무역은 디지털콘텐츠를 해외에 파는 방식으로 이루어진다. 디지털콘텐츠는 주로 인터넷을 통해 판매된다. 이에 따라 유튜브 동영상, 페이스북 콘텐츠 등의 사본을 이용자들이 자신의 PC를 통해 받아보는 방식으로 디지털무역으로 이루어진다. 이때 이용자들이 직접 콘텐츠 이용에 대한 대가를 내는 것은 아니며 이들이 콘텐츠를 주의(attention)을 제공하고 콘텐츠 업자는 이 주의를 이용자들을 잠재적 고객으로 생각하는 광고주들에게 팔아서 현금화함으로써 디지털무역이 완성된다.
이에 대해서 소득세과세를 하고 싶다면 소득세의 기본원리를 바꿔야 한다. 이를 위한 국제적 논의를 따라가야 할 필요가 있는데 그것과 분리되어서 세법 상의 역차별을 말하는 것은 온당치 않다.
2019.11.14. 서강대학교에서 남덕우기념사업회가 주최한 “한국언론, 길을 묻다” 토론회가 열렸다. 이날 토론회에는 각계 학자·언론인들이 모여 ‘가짜뉴스, 규제해야 할까?’, ‘언론의 소유에 관한 질문’, ‘한국 언론의 당파성(정파성)’을 주제로 한 발제 및 토론이 이루어졌다. 이 토론회에서 박경신 오픈넷 이사가 아래의 내용으로 가짜뉴스 규제에 대해 발표했다.
German social network act (2017년 3월 시행) – 게시자에 대한 형사처벌(x) – 플랫폼업자에 대한 벌금(O) – 허위사실 유포죄(X) – 기존 형법에 불법으로 정해진 정보(O)
호주 (2019년4월 시행)
Failure by a service provider to notify the Australian Federal Police, within a reasonable time, that abhorrent violent material relating to conduct which is occurring, or has occurred, in Australia is accessible on a service.
Failure by a service provider to expeditiously remove, or cease to host, abhorrent violent material that is accessible within Australia.
The changes to the Criminal Code empower the eSafety Commissioner to issue a notice giving rise to a presumption that a service provider has been reckless as to whether its service can be used to access/host material which is violent abhorrent material at the time the notice was issued, unless the service provider can prove otherwise. The receipt of a notice will in effect impose strict liability for the offence, unless a service provider acts “expeditiously” to remove the relevant material.”
JTBC 태블릿 조작설은 국민의 불신을 심화시킬까 아니면 불신하는 국민들이 믿는걸까?
나아갈 길: 진실의 재고를 키워라!
진실명예훼손 폐지
2015년 11월 UN 인권위원회 대한민국에 권고: "진실의 항변은 절대적이다. 공익으로 한정되어서는 안 된다.”
![통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리근거 비교표. 우리 개인정보보호법과 유럽 GDPR을 비교하고 있다. 체계. 우리 개인정보보호법. 개인정보 처리근거와 무관하게 맥락없는 가명정보의 특례로 “동의받지 않고 활용할 수 있다”라고 구성되어 있음(제3절 가명정보의 처리에 관한 특례). 유럽GDPR. 양립가능성(제6조 제4항 본문)을 근거로 하여 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계 목적을 위한 추가 처리를 양립가능성 범위내로 예시함(전문 제50조, 제5조 제1항 b호 후문). 요건. 우리 개인정보보호법. 가명정보. 유럽GDPR. 가명처리는 안전조치의 하나일 뿐이지, 가명처리되었다고 하여 안전조치가 전부 충족된 것은 아니다. 정보주체의 권리 배제. 우리 개인정보보호법. 별도의 조건이나 제한없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 사업자의 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등 정보주체의 권리행사배제 (법 제28조의7). 유럽GDPR. - 과학적 또는 역사적 연구 목적, 통계 목적으로 처리되는 경우 일부 정보주체의 권리[제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함. - 공익적 기록보존 목적일 경우에는 [제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제19조(고지의무), 제20조(개인정보이동권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함.](https://pspd-www.s3.ap-northeast-2.amazonaws.com/wp-content/uploads/2023/02/21103403/20230220_%ED%8C%90%EA%B2%B0%EB%B9%84%ED%8F%89_%EA%B9%80%EB%B3%B4%EB%9D%BC%EB%AF%B8%EB%B3%80%ED%98%B8%EC%82%AC_%ED%91%9C1.png)
위 기준에 비추어 허용되는 표현규제 (괄호 안은 해악) 
시민들의 의견
댓글 달기