행복추구권 및 프라이버시 침해하는 무단수집 중단되어야
영장주의 도입 및 통지의무 부과토록 전기통신사업법 개정해야

어제(1/30), 국가인권위원회는 통신자료수집에 법원의 허가를 받도록 하고 수집대상이 된 이용자에 대한 통지의무를 마련하도록 현행 전기통신사업법 제83조 3항을 개정하라고 정부에 권고했다. 이번 국가인권위 권고는 영장없는 통신자료수집이 헌법이 보장한 행복추구권과 사생활 비밀 및 통신의 비밀, 적법절차의 원칙 위반임을 재차 확인한 것으로 지극히 당연한 것이다. 참여연대는 오랫동안 통신자료 무단수집의 위헌성을 지적해왔으며, 이에 대한 대안으로 통신자료 수집 시 법원의 허가를 받고 이용자에게 통지의무를 부과할 것을 요구해왔다. 과기부의 소극적 태도와 국회 과방위의 방조로 법 개정이 지연되어왔지만, 정부는 인권위의 권고를 수용하고, 국회는 법개정을 서둘러 국민 기본권이 침해되는 상황을 즉각 중단시켜야 한다.

통신자료는 통신 ‘내용’은 아니지만 다른 개인정보들을 연결하는 중요한 매개가 되는 점에서 개인정보에 해당한다. 이에 해외 주요국가는 통신자료를 민감한 정보로 인정하고 보호를 강화하고 있다. 현행 통신자료제공 제도의 문제는 수사기관이 개인정보를 수집할 수 있는 근거가 지나치게 포괄적이고, 법원의 허가 등 중립적이고 독립적인 기관의 통제를 전혀 받지 않고 있으며, 정보주체에게 수집 사실을 통지하는 절차도 없어 국민 사생활의 비밀과 개인정보 자기결정권이 침해된다는 것이다. 이를 개선하기 위해 사후 통지절차를 마련하는 것은 당연히 필요하지만, 이에서 멈춘다면 통신자료제공의 적법성, 적정성은 사후적으로 제공사실을 통지받은 개개인이 개별적으로 다툴 수밖에 없다. 이는 국가기관, 특히 형사사법기관이나 정보기관의 공권력 행사의 적법성을 국가 스스로 통제할 절차를 마련하지 않은 채 국민들에게 그 통제책임을 떠넘기는 것으로 사실상 국가의 책무를 방치하는 것과 다르지 않다. 따라서 통신제한조치나 통신사실확인자료제공에 준하여 사전적 절차로서 법원의 허가를 받도록 하는 것이 필요하다.

통신자료 수집 제도의 문제점을 개선하려는 입법적 시도는 19대 국회부터 21대 국회에 이르기까지 여러차례 있었다. 참여연대를 비롯한 시민단체들도 오랫동안 통신자료 수집의 적법성과 타당성을 검증할 절차가 사전은 물론 사후에도 없어 사생활의 비밀과 통신의 비밀 등은 물론이고 개인정보자기결정권을 침해한다고 주장해 왔다. 수년에 걸친 민형사소송, 헌법소원을 거쳐 지난 2022년 7월 22일에는 통신자료 수집의 대상이 된 이용자에게 사후 통지하지 않는 것은 헌법에 불합치한다는 결정을 이끌어 내기도 하였다. 통신자료수집제도에서 핵심쟁점은, 1) 법원의 허가를 받도록 하는 것, 2)수집한 통신자료의 주체에게 통신자료 제공사실을 통지하는 절차를 마련하는 것이다. 그러나 국회 과방위는 지난 법안심사소위에서 사후 통지 절차 마련에 대한 개정안 15건만을 논의 안건으로 상정하고, 사전에 법원의 허가를 받는 절차를 규정한 박주민 의원 발의안은 제외하였다. 과기부는 논란이 되자 뒤늦게 의견수렴 절차를 거치기 시작했고, 참여연대는 과기부에 법원의 통제를 받도록 해야 수사기관의 무분별한 통신자료 수집의 관행을 개선할 수 있다는 의견서를 제출한 바 있다.

과기부 발표 자료에 따르면, 2021년에 수사기관이 가져간 통신자료는 전화번호 수 기준으로 5,040,456건에 이르고, 2022년 상반기에 검찰 · 경찰 · 국정원 등이 수집한 통신자료 건수는 전화번호 기준으로 2,120,006건으로 이대로라면 전년도와 거의 비슷한 수준이 될 것으로 보인다. 단순계산하면 적어도 온 국민의 10명 중 한 명 꼴로 통신자료가 수사기관 등에 제공되고 있는 셈이다. 그럼에도 당사자인 국민은 자신의 통신자료가 언제 어떻게 무슨 이유로 제공되었는지, 그 이유는 타당한지 전혀 알 수가 없다. 인권위는 지난 2014년에도 입법적 개선방안으로 통신비밀보호법에서 통신자료와 통신사실확인 자료를 통합적으로 규율하는 방향으로 개선할 것을 권고한 바 있다. 이번 인권위 권고는 그동안 시민사회의 다양한 소송을 통한 문제제기 및 최근의 헌재결정의 연장선에서 현행 제도에 의한 인권침해가 더이상 방치되어서는 안된다는 위기의식에서 나온 권고인 셈이다. 정부와 국회는 이제라도 제대로 된 법개정을 서둘러야 한다. 한편 인권위가 수사기관 대상으로도 법개정과 무관하게 통신자료 제공요청 최소화 및 통제절차를 마련해 인권침해를 최소화하라고 강조한 만큼, 검찰 · 경찰 · 공수처 ·국정원 등도 이를 무겁게 받아들여 조속한 시일 내 내부 매뉴얼,지침 등을 마련해 국민에게 공개하여야 할 것이다. 끝.

논평 [원문보기 / 다운로드]

The post 통신자료 무단수집 제동 건 인권위 권고 당연하다 appeared first on 참여연대.

통신3사는 그간 가명처리된 정보라는 이유로 가입자의 개인정보가 어떻게 활용되었는지를 공개하지 않고, 이를 중단해달라는 요구도 수용하지 않아왔습니다. 자신의 정보가 어떻게 처리되었는지 알수 없었던 이용자들이 정보공개청구 및 향후 가명처리와 무단활용을 하지 말아달라고 요청했지만, SKT는 거절했습니다. 이에 이용자들은 법원에 소송을 제기했고, 법원은 이용자들의 손을 들어주었습니다. 정보주체의 가명처리정지권 보장의 중요성을 인정한 이번 판결에 대해 김보라미 변호사가 비평했습니다.

광장에 나온 판결 : 229번째 이야기

SKT를 상대로 한 개인정보 가명처리정지권 이행 소송 1심 판결

서울중앙지방법원 제29민사부 한정석(재판장), 강석규, 김소연 판사 2023. 01. 19 선고. 2021가합509722 [판결문 보기]

김보라미 변호사 / 법률사무소 디케

「개인정보보호법」이 2020년 2월 4일 통과된 이후 “가명정보”라는 개념이 도입되었다. 「개인정보보호법」 법 제2조 정의에서 가명처리에 대하여는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아 볼 수 없도록 처리하는 것”이라고 정의(법 제2조 제1의2호)하고, 가명정보에 대하여는 “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(제2조 제1호 다목)라고 정의하고 있다. 위 정의에서 “가명정보”는 ”추가정보“를 보유하고 있는 개인정보처리자 입장에서는 언제든지 특정 개인을 알아볼 수 있는 정보이기 때문에 개인 정보라는 점이 강조되어 있다.

우리 법에서 ”가명처리“의 정의는, EU GDPR¹⁾의 가명처리(pseudonymisation)(제4조 제5호)²⁾와 동일한 정의규정을 가져와 유사하게 제정한 것이나, 정작 GDPR에서 가명처리는 안전조치의 하나로 도입되었을 뿐이라는 점에서 큰 차이가 있다. EU GDPR에서는 가명처리는 개인들의 권리행사를 배제하거나 기타 개인정보보호조치를 배제시키려는 의도로 도입된 것이 아니다(전문 제28조)³⁾.

그러나 우리 법문 제3절에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리 근거로서 EU GDPR 제87조를 차용하였으면서도, 완전히 다른 법체계로 조문구성이 되었다. 이렇게 된 이유는 우리 법에서는 가명처리가 안전조치로 고려되지 않았기 때문이었다. 정의에서 언급된 가명처리는 더 이상 (안전조치로도) 언급되지 않고, ”가명정보“만 과거 사회적 논란속에서 사라져간 「개인정보 비식별조치 가이드라인」(2016. 6. 30. 공표)에서의 ”비식별조치“와 유사한 맥락으로 활용되고 있다.

특히 현행 「개인정보보호법」는 ”가명정보“일 경우 개인정보주체의 동의없이 활용할 수 있는 특례를 허용해 주면서도 별도의 조건이나 제한 없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도 등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등의 개인의 기본적 권리 행사도 모두 불가능하게 규정(법제28조의7)했다는 점에서 그 문제가 심각하다.

위 규정대로라면 ”가명정보“는 개인정보라고 강조하며 정의하고 있는데, 제3절의 가명정보의 처리 특례를 통해 ”개인정보“가 아닌 것처럼 역할하고 있는 것이다.

헌법재판소는 개인정보자기결정권에 대해서 헌법 제10조 제1문에서 도출되는 일반적 인격권, 헌법 제17조의 사생활의 비밀과 자유에 근거하여 독자적인 기본권으로 인정하여 왔다.(헌재 2005. 5. 26. 자 99헌마513 등) 이러한 개인정보자기결정권에는 개인이 개인정보 처리에 관하여 동의할 수 있는 권리, 동의 범위 등을 선택하고 결정할 수 있는 권리, 열람을 요구할 수 있는 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리가 실질적으로 구현되어야 한다. 이러한 권리가 구현되지 않는 개인정보자기결정권은 존재하지 않는 것과 같다.

개인정보자기결정권은 개인정보를 식별가능한 상태로 처리함으로써 개인의 사생활이 침해된다는 것에 대해 방어할 수 있는 권리에 그치는 것이 아니라, 개인이 자신의 정보흐름에 대해 주도권을 가지지 못하고 배제됨으로써 겪는 인격권 침해를 막고 적극적으로 참여할 수 있도록 하는 권리이기도 하다. 그러므로 ”개인이 행사하여야만 하는 헌법상 기본권“을 처리의 목적 달성 여부나 필요성, 최소 침해성 여부 등을 전혀 고려하지 않고 전면 배제하여 통제권을 유명무실한다면 이는 헌법상 과잉금지원칙 위반이라고 해석될 수 있다.

이번 SKT 사건 판결은, 「개인정보보호법」에서 가명정보 특례 조항들이 가지고 있는 문제를 본격적으로 짚었을 뿐만 아니라, 개인정보자기결정권이라는 기본권을 침해여부에 대한 헌법적 평가까지 함께 했다는 점에서 의미가 크다. 판결문에서는 명시적으로 언급되지 않았으나, 우리 법에서 명확하게 규정하지 않은 식별가능한 개인정보가 가명정보화되는 처리과정 및 처리근거에 대한 문제제기 역시 같은 맥락에서 검토될 수 있다.

해당 판결에서는 가명정보의 특례를 통해 개인들의 권리행사가 부당하게 제한되고 있다는 점에 대하여 ① 개인들의 권리행사가 왜 필요한가라는 측면 (필요성), ② 개인들의 권리행사를 전면 배제하는 것의 과잉침해성 (최소 침해성) 등을 언급하며 ”부당하다“고 평가하고 있다.

판결문 제9쪽 내지 제10쪽

또한 해당 판결에서는 가명정보로 처리되기 전에 자신의 식별정보에 대한 가명처리정지를 요구할 수 있다는 점에 대하여 ‘개인정보 보호 법령 및 지침・고시 해설’ 등의 유권해석을 근거로 판단하고 있는데 더하여, 헌법적 평가를 시도하고 있다. 즉, ”식별가능정보의 가명처리에 대한 정보주체의 처리정지 요구권의 행사를 원천적으로 제한함으로써 침해되는 정보주체의 사익이 그로 인하여 얻을 수 있는 공익에 비하여 결코 작다고 단정할 수 없다“고 판단한 것이다. 이러한 판단은 향후 유사한 ”개인“들의 권리행사에 있어서도 다른 공익과의 비교형량의 중요 기준으로 활용될 수 있는 근거로서 검토될 수 있을 것이다.

오늘날 저장장치 및 빅데이터와 강력한 기계학습알고리즘 등의 발전으로, 인간의 눈에는 식별할 수 없는 것처럼 보이더라도 개인으로부터 파생되거나 추론되는 데이터들이 쉽게 민감한 데이터로까지 추론되는 시대를 살고 있다. 비루해 보이는 토끼굴이 사실은 석·박사들이 포진한 데이터처리회사라는 이상한 나라까지 쭉 연결되는 것처럼 말이다.

EU GDPR을 중심으로 세계적으로 개인정보보호법제가 디지털 시대에 개인정보주체에게 보다 적극적인 통제권을 부여하고, 개인의 인권을 침해하는 개인정보처리를 제한하는 방향으로 변화되고 있다. 관련된 캘리포니아 주 법은 이에 영향을 받아 두 차례에 걸쳐 개정되었으며, 미 연방 개인정보보호법안도 발의된 바 있다.

이번 판결에서 문제가 된 「개인정보보호법」 제3절 가명정보의 특례는 개인정보보호법 전체 맥락과 견주어 보아도 어떤 개인정보처리규정과도 연결점이 없이 갑자기 툭 튀어나온 모습이다. ”활용”과 ”데이터 결합”을 위해 보호법에 특별한 특혜규정을 열어준 것이다. 지금이라도 법체계내에서 ”가명정보“라는 개념은 폐기하고, 가명처리를 안전조치의 일종으로 검토하여 개인정보보호법의 본래적 목적에 맞는 법개정이 이루어져야 한다. 또한 근본적으로 헌법상 개인정보자기결정권을 실질화하는 개인의 권리를 복원해야 한다.

1) EU GDPR(General Data Protection Regulation, EU 일반 개인정보보호법). 2016년 공포된 유럽의회 통합 규정으로써 유럽 시민들의 개인정보 보호를 강화하기 위해 시행된 규정으로 유럽 연합 시민의 데이터를 활용하는 경우 준수해야 한다. 개인정보 유출에 대한 심각성이 강조되면서 유럽뿐 아니라 전세계적으로 채택되거나 이와 유사한 법제가 도입되고 있다.

2) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

3) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection

참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그 와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다. 주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.

The post [판결비평] 가명처리는 안전조치로 도입되어야 했다 appeared first on 참여연대.

정보인권 보장을 위한

일반적 감시의무 및 강제 저작권 삼진아웃제 금지법 발의

저작권 삼진아웃제 부분 폐지된다 - 인권침해 소지를 줄이도록 문화체육관광부 장관의 명령에 의한 ‘삼진아웃제’ 폐지

사업자에 의한 사적 검열로 발생하는 폐해를 미연에 방지하기 위해 일반적 감시의무 부과 금지

지난 4월 30일 국회 교육문화체육관광위원회 소속 배재정 의원은 저작권법상 정보인권 침해 논란이 있는 조항을 개선하기 위한 ’저작권법 일부개정법률안’을 발의했다. 이번에 발의한 개정안은 배재정 의원과 사단법인 오픈넷이 작년 6월 개최된 국회 저작권 대토론회를 기점으로 1년 동안 준비한 결과물이다.

1. 온라인서비스제공자의 일반적 감시의무 부과 금지

먼저 온라인서비스제공자에 대한 일반적 감시의무나 적극적 조사의무를 금지하는 조항을 신설했다(안 제104조의9). 저작권 보호도 중요하지만 온라인서비스제공자에게 포괄적이고 일반적인 감시의무를 부과할 경우 온라인상 모든 정보에 대한 사적 검열로 기능해, 이용자의 사생활 침해나 표현의 자유와의 충돌 우려가 크기 때문이다.

또한 정보매개자인 온라인서비스제공자에게 일반적 성격의 감시의무를 부과해서는 안 된다는 것이 국제적인 원칙이다. 우리 정부와 법원도 이를 인정하고 있으며, 한-EU FTA에서도 규정하고 있다(제10.66조 제1항). 동 조항의 신설은 이러한 원칙을 다시 한 번 확인하고 명확하게 규정하는 데 의의가 있다.

한편 현행 저작권법 제102조 제3항이 있으므로 불필요한 개정이라는 반론이 있으나, 저작권법 제102조 제3항은 제102조 제1항의 책임 제한 적용을 받기 위해 감시의무가 요구되지 않는다는 의미일 뿐, 일반적인 감시의무의 금지라고 보는 것은 잘못된 해석이다.

2. 문화체육관광부 장관의 명령에 의한 삼진아웃제 폐지

개정안은 그 동안 인권침해 논란이 많았던 소위 ‘삼진아웃제’도 정비하여, 한국저작권위원회의 권고에 의한 삼진아웃제는 수정하여 존치하되, 문화체육관광부 장관의 명령에 의한 삼진아웃제는 폐지했다.

삼진아웃제는 저작권을 침해하였다고 3회 이상 경고를 받은 이용자의 계정 등을 정지하는 제도인데, 디지털 환경에서 중요한 정보인권인 접속권을 제한한다는 점에서 심각한 인권침해 소지가 있어 극소수의 국가에서만 운영되고 있으며, 프랑스에서는 입법 당시부터 위헌 논란이 있었고 최근에는 불필요한 비용만 발생하고 입법취지는 달성하지 못한다는 이유로 거의 사문화되었다. 특히 행정부 명령만으로 이용자의 계정을 정지하거나 게시판 운영을 정지하는 제도는 우리나라가 유일한데, 국가인권위원회도 폐지를 권고한 바 있고, 유엔(UN)표현의 자유 특별보고관도 2011년 보고서에서 심각한 우려를 표명했으며, 국제인권단체들도 우리나라 삼진아웃제의 폐지를 촉구하는 서한을 국회에 보내기도 하였다.

지난 2013년 문화체육관광부는 국회 답변자료에서 “행정부의 판단으로 이용자의 계정을 정지하는 사례는 우리나라가 유일한 것”이며, “향후 계정정지 명령 시 사법부의 판단을 거치도록 하는 방안을 검토”하겠다고 밝힌 바 있다. 또한 2015년 답변자료에 의하면 2012년 이후 장관 명령에 의해 이용자 계정이 정지된 사례는 단 한 건도 없으며(2010년 11건, 2011년17건), 심지어 게시판 정지는 제도가 생긴 이래 단 한 건도 없었다.

배재정 의원은 “인권침해의 소지는 크면서 사실상 사문화된 행정기관의 명령에 의한 삼진아웃제는 폐지하되, 한국저작권위원회의 권고를 통한 삼진아웃제는 유지하도록 제도를 정비함에 따라, 저작권 보호라는 원래의 목적은 살리면서도 이용자의 정보인권 보호를 강화하는 계기가 될 것으로 기대한다”고 밝혔다.

첨부. 저작권법 일부개정법률안(배재정의원 대표발의)

문의. 오픈넷 사무국 02-581-1643, master@opennet.or.kr

국제앰네스티 영국지부는 러시아에 체류중인 에드워드 스노든과 화상으로 연결해 대량감시에 대한 질문과 답변을 주고받았다 ⓒRudi Netto

에드워드 스노든(Edward Snowden)이 미국과 영국 정보부의 국제적 감시 프로그램을 폭로한 지 2년째를 맞이한 가운데, 국제앰네스티와 프라이버시 인터내셔널(Privacy International)은 5일 공동 브리핑을 발표하고, 각국 정부는 무차별 감시 프로그램의 정당성에 관한 논쟁에서 패배했음을 인정하고 정보 수집 방식에 있어 자신들의 과오를 바로잡아야 할 것이라고 밝혔다.

에드워드 스노든은 5일 전세계 신문에 실린 기사를 통해, “힘의 균형이 옮겨가고 있다”며 “법정에서의 승소와 법률 개정을 통해, 우리는 공포보다 사실이 더욱 확실하다는 것을 입증하고 있다”고 말했다.

브리핑 <’스노든 폭로’ 후 2년: 무차별 감시 시대에서의 인권 보호>는 법원과 의회, 많은 인권단체가 집단 감시 프로그램을 인권침해라고 비판하고 있음에도 이를 강행하고 확대하려는 국가정부에 대해 경고하고 있다. 이는 이번 주 미 의회가 미국 자유법(USA Freedom Act)을 채택한 데 뒤이어 발표된 것으로, 스노든의 폭로 이후 감시 권력의 법적 후퇴를 보여주는 유일무이한 사례였다.

칼리 니스트(Carly Nyst) 프라이버시 인터내셔널 법무국장은 “스노든의 폭로 덕분에 수백만 명의 일반 시민들은 자신의 가장 은밀한 비밀조차도 정부의 감시로부터 안전하지 못하다는 것을 알게 되었다. 다양한 국립 및 국제 전문가 집단이 이미 분명히 밝혔듯이, 무차별적인 집단 통신기록 감시는 인권 침해다. 이미 승부는 났고, 국가정부가 무차별적 집단 감시 프로그램을 개혁해야 할 때가 왔다”고 말했다.

셰리프 엘세이드 알리(Sherif Elsayed-Ali) 국제앰네스티 글로벌이슈 부국장은 “정부가 아직 집단 감시 프로그램이 인권침해라는 사실을 받아들이지 못하고 있는 점은 실망스럽다. 미국 자유법의 통과로 감시활동의 제한 가능성이 제시되긴 했지만, 프랑스와 영국의 감시활동이 더욱 치밀해졌다는 점은 국민의 사생활에 대해 더 많은 정보를 얻고자 하는 국가정부의 욕구가 충족되지 않았음을 보여주는 것”이라고 말했다.

여론 반대 무릅쓰고 감시 확대하는 정부

지난 2년 간, 법원과 의회 청문회 및 정부가 선임한 법적, 기술적 전문가 집단, 유럽위원회 및 유엔 등의 국제기구 등으로부터 집단 감시 프로그램은 불필요한 인권침해라는 비판이 계속됐다.

이번 브리핑은 이러한 국제적 비판에도 불구하고 미국과 영국의 감시 프로그램은 여전히 비밀에 싸여 있으며, 다른 국가들은 독자적으로 새로운 감시활동을 모색하고 있다고 경고했다.

덴마크, 핀란드, 프랑스, 네덜란드, 파키스탄, 스위스 등은 자국 및 그 외 국가까지 아울러 통신 감시 역량을 높인다는 내용의 신규 정보법안을 논의 중이거나 상정할 예정에 있다. 이번 주만 해도 프랑스 상원에서는 정부의 감시 역량을 대폭 강화하는 내용의 신규 법안이 가결되었다.

이번 브리핑은 또한 기술 발전으로 감시 기술이 더욱 저렴하고, 강력하고, 광범위해질 것이라고 경고했다. 현재 대부분 미국과 영국 정보부만이 보유하고 있는 감시 기술은 향후 더 많은 국가에 보급될 가능성이 높다.

디지털 시대의 인권 보호를 위한 7대 계획

국제앰네스티와 프라이버시 인터내셔널은 국가정부에 감시 프로그램의 사용에 있어 적절한 법적 통제 및 의회의 관리감독 등 견제와 균형 원칙을 적용할 것을 촉구하는 내용의 7대 계획을 발표했다. 국제앰네스티와 프라이버시 인터내셔널은 국가정부의 통신 감시 활동이 국제인권법이 허용하는 한도 안에서 이루어지기를 바라며, 즉 다음과 같은 상황에만 허용할 것을 촉구한다.

• 범법행위가 있었다는 충분한 증거에 기반하여, 대상이 명확하고, 판사와 같이 독립적이고 엄격한 감독자에게 허가를 받았을 경우
• 투명하고 독립적인 의회 및 사법 절차를 통해 관리 감독되는 경우
• 공개적으로 열람이 가능하고 충분히 구체적으로 서술된 규칙과 정책에 따라 관리될 경우

국제앰네스티와 프라이버시 인터내셔널은 또한 공격적인 감시활동과 범죄 공격으로부터 수억 명의 인터넷과 통화 내용을 보호하기 위해 유력 인터넷 및 통신 업체가 더욱 큰 역할을 해야 한다고 촉구했다. 이러한 업체들은 정보의 보호와 익명화를 위해 암호화 및 그 외 사생활 보호 기술의 신규 개발과 강화에 더욱 투자하고, 법에 따라 보유한 정보를 정부에 제공해야 할 경우에는 사용자에게 고지해야 한다.

셰리프 엘세이드 알리 부국장은 “기술업체들은 온라인상에서의 사용자의 사생활과 표현의 자유를 보호하기 위해 더욱 적극적으로 나서야 한다. 애플(Apple)과 구글(Google) 등의 대형 업체들은 더욱 강력한 암호화 기준을 채택하기 시작하는 등의 움직임을 보이고 있는 반면 여타 업체들은 뒤처지고 있다. 기술업체들은 언제든 가능할 때 자사의 서비스에 종단간 암호화 기술을 기본적으로 도입해야 한다”고 말했다.

칼리 니스트 국장은 “대규모로 통신 기록을 수집하는 활동의 정당성 여부는 더 이상 논의의 대상이 아니다. 이는 명백한 인권침해이자 국제법 위반이다. 집단 감시 프로그램을 폐기하고, 명확한 대상을 설정해, 인권을 존중하는 책임 있는 방법으로 대체해야 한다”고 말했다.

영어전문 보기

Two years after Snowden, governments resist calls to end mass surveillance

Governments must accept they have lost the debate over the legitimacy of mass surveillance and reform their oversight of intelligence gathering, Amnesty International and Privacy International said today in a briefing published two years after Edward Snowden blew the lid on US and UK intelligence agencies’ international spying network.

“The balance of power is beginning to shift,” said Edward Snowden in an article published today in newspapers around the world. “With each court victory, with every change in law, we demonstrate facts are more convincing than fear.”

The briefing, Two years after Snowden: Protecting human rights in an age of mass surveillance, warns that governments are looking to maintain and expand mass surveillance, despite the practice being condemned as a human rights violation by courts, parliaments and human rights bodies. It comes on the heels of the adoption of the USA Freedom Act by the US Congress this week, a solitary and limited example of legislative rollback of surveillance powers since Snowden’s revelations began.

“Thanks to Edward Snowden, millions of ordinary people are now aware that not even their most intimate secrets are safe from government snooping. National and international expert bodies could not have spoken more clearly: the indiscriminate mass surveillance of communications is a violation of human rights. The game is up and the time has come for governments to reform their indiscriminate mass surveillance programmes,” said Carly Nyst, Legal Director at Privacy International.

“It is disappointing that governments have not accepted that mass surveillance violates human rights. While the passage of the USA Freedom Act shows that it is possible to roll back surveillance, the prospect of more intrusive spying powers in France and the UK shows that governments’ appetite for ever more information on our private lives is unsated,” said Sherif Elsayed-Ali, Deputy Director of Global Issues at Amnesty International.

Governments defy public opinion by expanding surveillance

During the past two years, mass surveillance has been condemned as excessive and a violation of human rights by courts, parliamentary enquiries and legal and technology experts appointed by governments and international institutions such as the Council of Europe and the United Nations.

The briefing warns that, in defiance of global condemnation, UK and US spying programmes remain shrouded in secrecy, while several other governments are seeking new surveillance powers of their own.

Denmark, Finland, France, the Netherlands, Pakistan and Switzerland are discussing or set to present new intelligence bills that will increase their ability to spy on communications in these countries and beyond. Just this week, the French Senate voted on a new bill that would grant the authorities vastly increased surveillance powers.

The briefing also warns that technological advances will make surveillance technology cheaper, more powerful and more widespread. Much of the capability currently available only to US and UK intelligence agencies will likely be available to many more countries in future.

Seven-point plan for protecting human rights in the digital age

Amnesty International and Privacy International today presented a seven-point plan calling on governments to introduce checks and balances on the use of surveillance, including proper judicial control and parliamentary oversight.

The rights groups want communications surveillance to be reeled in within the bounds of international human rights law, which means it only happens when it is:

• Targeted, based on sufficient evidence of wrongdoing, and is authorized by a strictly independent authority, such as a judge,
• Overseen by transparent and independent parliamentary and judicial processes,
• Governed by publicly available and sufficiently detailed rules and policies.

The rights groups are also calling on powerful internet and telecoms companies to do more to protect the internet and phone communications of billions of people from invasive surveillance and criminal attacks. Companies should invest in new and better encryption and other privacy technologies for securing and anonymizing data, and inform users when the law may oblige them to hand their data over to governments.

“Tech companies must do much more to protect their users’ privacy and freedom of expression online. While some big firms like Apple and Google have started adopting stronger encryption standards, others are lagging behind. Tech companies need to introduce end-to-end encryption in their services by default, whenever possible,” said Sherif Elsayed-Ali.

“The legitimacy of collecting communications in bulk is no longer up for debate – it is a violation of human rights and international law. Mass surveillance must be dismantled and replaced by targeted, accountable measures that respect human rights,” said Carly Nyst.

이탈리아 해킹전문업체 판매 내역이 해킹되어 공개됐다. 고객명단에 대한민국 정부 5163부대가 있었다. 오고 간 영수증 주소는 국정원 공개 민원 창구 접수처와 같았다. 국정원은 프로그램 사용을 시인했다. 그러나 ‘대북·해외 정보전’ 차원이라고 변명했다. 국내 민간인 사찰 목적이 아니라는 설명이다. 국정원 직원이 자살했다.

이번 일의 기술 담당 직원이었다. 유서에는 “내국인에 대한 선거 사찰은 전혀 없었다”고 쓰여 있었다. 새누리당은 야당과 일부 언론이 물고 늘어져 비극으로 이어졌다는 정치공세를 시작했다. 여권 관계자는 “우리나라에선 국정원이라고 하면 덮어놓고 의심의 눈초리로 보는 경향이 있다“며 분노했다.

19일 야당은 ‘이탈리아 해킹팀이 시도한 국내 아이피 주소 중 KBS와 KT·다음카카오 등 방송·통신사 등이 두루 포함된 것’으로 나타났다고 발표했다. 국정원 주장대로 ‘대북용’ 이나 ‘연구용’이든 아니든, 국내 아이피 주소들이 해킹당한 것은 부인할 수 없다.

암약하는 간첩 신원을 확인했기 때문에 전방위적 사찰을 했다 한다면, 그것도 두려운 일이다. 도대체 간첩은 얼마나 있는 것이며 국정원은 그동안 무엇을 했단 말인가. 지난 대선 국정원 직원 김아영이 여당 후보, 대통령을 도왔던 열정이면 나라가 이 꼴이 되었을까 말이다.

‘덮어 놓고 의심의 눈초리로 보는 경향’은 누가 만들었는가. 국민들이 국가 안보에 여념 없는 정보기관 존재를 일년 내내 사찰 시비로 왜 만나야 하는가.

국정원장이 선거법 위반과 국정원법 위반으로 감옥에 갇혀 있는 것은 말이 되는가. 당신들이 결백하다는 것을 믿을 사람은 눈을 씻고 봐도 없는데, 국민에게 뒤집어 씌운다. 이런 것을 적반하장이라고 하지 않겠나. 도둑이 되레 매를 들고, 잘못한 사람이 도리어 잘한 사람을 나무라는 경우 말이다.

하긴 여당 대표 김무성씨는 “국가 안위를 위해 해킹 할 필요가 있으면 하는 것 아니냐”했다 하니, 그게 국내용이든 불법이든, 사적이든, 이미 논할 가치조차 없을지 모른다. 솔직한 말이었을지 모른다. 국가정보기관이 언제는 정부여당 것 아닌 적이 있었는가, 닥치고 조용히 있으라는 말이다.

국정원 직원 공동성명이 발표되었다. “자국의 정보기관을 나쁜 기관으로 매도하기 위해 매일 근거 없는 의혹을 경쟁적으로 쏟아내는 나라는 우리 밖에 없습니다.” 정보기관 직원 일동이라는 본적 없고 들은 적도 없는 성명도 어이없다. 조만간 부서 직책 연명도 불사할 기세다. 조직을 지키기 위해서라면 정보기관 기본도 지키지 않는다.

무엇보다 근거 없는 의혹을 끊임없이 제공했던 성찰은 단 한 줄도 없다. 중앙정보부, 안기부, 국정원으로 이어졌던 국내용 사찰과 고문의 역사를 국민이 잊었다고 하는 소린지 실소가 나온다. 이번 죽음조차 석연치 않게 생각하는 사람이 많다.

박근혜 정부 들어 증언자들은 결정적 순간에 죽었기 때문이다. 정적 제거를 위해 어떠한 수단도 마다하지 않던 박정희와 중앙정보부가 무소불위 권력을 휘둘렀던 때를 우리는 독재시대라 부른다.

그 시대 망령을 불러온 것이 누군지, 다시 한번 묻고 싶다. 국민이 문제인가, 당신들이 문제인가. 5163부대 명칭이 ‘516 쿠데타 때 박정희 소장이 새벽 3시에 한강철교를 넘었다’는 데서 따온 숫자라고 하던데… 말해 무엇하리요. 국정원의 거처를. 입만 아프지.

2015. 7. 21. 경기일보
박진 (다산인권센터 상임활동가)

<원문보기>

[경기시론] 5163부대와 그들의 적반하장

* 아래 '공감' 버튼, 페이스북 좋아요 한번씩 눌러주시면 

더 많은 분들께 이 소식을 전할 수 있습니다. ^^

 안녕하세요. 진보네트워크센터입니다.

나머지 보기

디지털아시아허브(Digital Asia Hub) 개소 및 논문집 출판 기념식 후기

글 | 김가연(오픈넷 변호사)

지난 2015년 11월 26일 목요일 오후 홍콩에서 열린 디지털아시아허브 개소식에 오픈넷의 김가연 변호사가 초청 받아 참석했다. 디지털아시아허브란 아시아 지역의 인터넷과 사회에 관련된 연구를 하는 비영리 싱크탱크(Think Tank)로서 홍콩에 기반을 두고 있다. 개소를 위해 하버드 대학교 버크맨센터(Berkman Center for Internet and Society)의 주도 하에 학계, 시민사회, 그리고 민간 분야의 전문가들로 운영위원회(Steering Committee)가 구성되었으며, 오픈넷 박경신 이사도 고려대학교 인터넷과사회 콘소시움 대표 자격으로 운영위원회에 참여해왔다. 이날 행사에는 하버드 버크맨센터 어스 개서(Urs Gasser) 소장, 운영위원회 멤버들, 학자들, 활동가들, 기업가들이 개소를 축하하기 위해 참석했다.

디지털아시아허브는 디지털 아시아를 주제로 하는 인터넷과 사회 문제에 대한 연구, 지식공유 및 역량강화를 위한 객관적이며 개방적인 협업 플랫폼을 제공할 예정이다. 또한 국가별, 지역별 활동을 통해 다양한 이해관계자 간의 효과적인 담론을 강화하고, 더 큰 학술기관의 네트워크인 NoC(Global Network of Internet and Society Research Centers)와의 연결고리로서 기여할 것을 목표로 한다. 디지털아시아허브 사무국장인 록맨 추이(Lockman Tsui)는 “아시아는 가장 많은 인터넷 이용자가 있고 가장 빠른 성장을 하고 있는 지역입니다. 인터넷의 미래를 형성하는 데 더 큰 역할을 할 수밖에 없습니다. 우리는 허브가 지역적으로 또한 세계적으로 오픈 인터넷의 미래가 직면하고 있는 어려운 시험이자 기회를 돌파하기 위한 독립적이고 우수한 연구와 지식 공유를 위한 결정적인 역량을 키우는데 이바지할 것이라고 기대하고 있습니다”라고 개소 소감을 밝혔다.

이번 행사는 논문집 “디지털 21세기 아시아에서의 풍요로운 삶(The Good Life in Asia’s Digital 21st Century)”의 출판도 기념하는 자리였다. 박경신 이사와 김가연 변호사의 글을 포함 총 26편의 소논문이 실렸는데, 그 중 6편이 한국에 관한 것이라는 점은 디지털 아시아에서 한국의 중요성을 여실히 보여준다. 박경신 이사의 글 “공적 얼굴 대 사적 얼굴: 인터넷 시대에도 유지 가능한가?(Public Face vs. Private Face: Can It Hold in the Internet Age?)”에서는 한국과 일본 특유의 공적-사적 얼굴 구분(또는 혼네-다테마에 이분법)로부터 비롯된 양국의 진실명예훼손죄와 모욕죄, 그리고 인터넷 표현에의 적용을 최희승 판결(2012도11914)을 통해 조명했고, 김가연 변호사는 “부모 양육하기: 온라인상 극단적 국가후견주의(Parenting the Parents: State Paternalism Goes Extreme Online)”라는 제목으로 한국의 인터넷 청소년보호제도들을 소개하면서 이러한 국가후견주의적인 제도들이 어떻게 청소년 보호라는 소기의 목적을 달성하기 보다는 오히려 청소년들과 성인들의 인권을 제약하고 혁신을 저해하는지를 풀어냈다.

앞으로도 오픈넷은 디지털아시아허브에서 추진하는 연구와 활동에 적극적으로 참여할 계획이다.

오픈넷, 인권과 기술에 대한 국제 컨퍼런스 라이츠콘(RightsCon) 2016 참가

- 통신자료제공 제도에 대한 UN 인권위원회 특별보고관과의 패널토론 주최 등 한국의 정보인권 상황에 대해 알릴 예정

오픈넷은 3월 30일부터 4월 1일까지 미국 샌프란시스코에서 열리는 기술과 인권 국제컨퍼런스 라이츠콘(RightsCon Silicon Valley 2016, 주최 Access Now)에 참가하여 통신자료제공, 잊힐 권리, 정보매개자책임, 투명성보고, 디지털 기업의 사회적 책임, 망중립성 등 정보인권 분야의 현안에 대해 발표한다. RightsCon은 매년 5-600명의 인권운동가들, 인터넷 기업들, 과학기술전문가들, 정부관료들 등이 참여하여 인터넷의 미래에 대해 대해 토론하는 디지털 인권 분야 최대 규모의 국제회의이다.

오픈넷은 2015년 필리핀 마닐라에서 개최된 라이츠콘 2015에도 참여하였으며, 온라인 표현의 자유, 통신감시, 투명성보고 등 정보인권 주요 분야 논의에 참여하였으며, 특히 “정보매개자 책임에 대한 마닐라원칙(The Manila Principles on Intermediary Liability)” 선언에 큰 기여를 한 바 있다.

라이츠콘 2016 에서 오픈넷이 주최하거나 참여하는 세션은 아래와 같다.

[참가 세션 소개]

인권 기준에 비춘 서비스 약관 컴플라이언스 평가(Assessing Terms of Service compliance with Human Rights Standards): 정보매개자인 인터넷 기업들의 약관 내지 개인정보보호지침 상 “통지 및 동의” 모델과 개인정보 보호 정도의 상관관계에 대해 정보인권의 관점에서 논의한다.

기업 참여를 위한 증거 기반 연구와 활동 전략: 사례와 교훈(Evidence Based Research and Advocacy Strategies for Engaging Companies: Cases and Lessons): 작년 오픈넷과 시티즌랩이 공동으로 진행한 청소년 유해정보 차단 앱 스마트보안관 기술 감사 보고서 발표 배경과 그 성과, 그리고 앞으로의 대응 방향에 대해 발표한다.

망중립성(Net Neutrality Principles and Exceptions): 각 국의 망중립성 현황에 대해 논의하는 세션으로 제로레이팅(Zero rating)과 관련한 한국의 망중립성 정책 현황 및 P2P 패킷의 송수신을 차단하는 한국 이동통신사의 사례를 소개한다.

프라이버시, 익명성, 그리고 영장없는 통신자료 제공(Privacy, Anonymity and Warrantless Acess to Subscriber Identification Data): UN 특별보고관, 캘리포니아 통신비밀보호법 연구자, EFF 등과 함께 영장없는 통신자료 제공의 문제점과 세계 각국의 제도를 바꾸기 위한 캠페인 전략 등을 논의한다.

이 밖에도 오픈넷은 잊힐 권리(The Right to be Forgotten: Remembering Freedom of Expression), 기업의 사회적 책임과 인권(Beyond CSR: Promoting Strong Human Rights Performance in the Private Sector), 혐오표현(Online Hate Speech: Identification and Strategies), 검열(Censorship by Proxy – Making Intermediaries Liable for Internet Cleanse), 정보매개자 책임과 마닐라 원칙(Who is an Intermediary? Harmonizing multiple definitions, Manila Principles: One Year Later), 국가간 개인정보 요청(Cross Border Data Requests) 등에 관한 다수의 세션에서 발표한다.

한편 오픈넷과 협력하고 있는 고려대 한국인터넷투명성보고팀은 한국의 방송통신심의위원회의 통신심의 제도와 운용 현황에 비추어 본 온라인 콘텐츠의 행정검열 문제에 대하여 발표하고(Administrative Censorship Online: Necessary Evil?), 투명성보고 관련 세션(Reporting and beyond: why company and government transparency is essential for human rights online)에 참여하여 각국의 연구자들과 함께 투명성보고의 중요성과 역할에 대하여 토론할 예정이다.

이에 앞서 3월 28일, 29일에는 오픈넷 박경신 이사가 Article 19이 주최하는 ‘표현의 자유와 프라이버시의 균형 원칙’이라는 전문가회의에서 축조심의에 참가하며, 3월 29일에는 전 세계 인터넷 기업의 인권보호 정도를 평가해 기업책임지수(Corporate Accountablity Index)를 발표하는 RDR(Ranking Digital Rights)이 주최하는 비공개회의에 2015년 RDR 연구에 객원연구원으로 참여했던 김가연 변호사가 참가한다. 4월 1일에는 MLDI(Media Legal Defense Initiative가 주최하는 ‘세계의 공익임팩트소송 전략’에 참가하며 한국의 공익소송 사례들을 소개한다. 4월 4일-5일에는 뉴욕으로 자리를 옮겨 콜럼비아 대학교 세계표현의자유연구소가 주최하는 연례컨퍼런스에 참가하여 한국의 주요 표현의 자유 판례들을 소개한다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

형사사법공조조약(MLAT) 우회 법개정을 반대하는 이유 | 한국 수사기관이 지메일까지 압수수색 할 수 있게 되나?

글 | 박경신(오픈넷 이사, 고려대 법학전문대학원 교수)

최근 통신 감시와 관련해 미국 내에서 형사사법공조조약(MLAT, Mutual Legal Assistance Treaty) 절차를 우회하는 내용의 법개정 논의가 한창이다. 형사사법공조조약이란 형사 사건의 수사, 기소, 재판, 또는 형의 집행과 관련하여 증거 자료 수집 등에 있어 국가 간의 사법공조를 규정한 조약이다. MLAT 우회 개정 제안자들은 이러한 공조절차를 거칠 것 없이, 외국 정부가 일정 수준의 인권 기준을 준수하고 있다면 미국의 정보매개자들이 그 국가의 수사기관에게 통신 내용을 직접 제공할 수 있어야 한다고 주장한다.

현재 미국 기업이 외국 정부에 직접 넘길 수 있는 정보는 메타데이터나 이용자 신원정보뿐이며, 외국 수사기관이 미국 기업이 가지고 있는 통신 내용의 압수수색을 위해서는 MLAT에 따라 미국 법무부(Department of Justice, DOJ)에 정보제공 공조요청을 해야 한다. 그런데 절차 자체도 시간이 오래 걸릴 뿐만 아니라, 구글, 페이스북, 트위터와 같은 미국 기업들에 대한 요청이 전 세계에서 쏟아지고 있어 적체된 요청 건수가 어마어마한 상황이다. 이러다보니 외국 수사기관들의 불만이 극에 달했고, 이들 나라들 중 몇은 미국 기업들에게 서버를 자국 내에 둘 것을 강요하는 등 압력(소위 “데이터 국지화”)을 가하기 시작했다. 미국 기업들 서버에 직접 압수수색이나 검열을 할 수 있도록 하기 위해서이다. 이에 MLAT을 우회할 수 있도록 미국형사소송법 및 관련 국제협정을 개정해야 한다는 주장이 나오고 있는 것이다. 하지만 “MLAT 우회” 법개정의 득실을 따져볼 필요가 있다.

1. MLAT 공조요청의 처리가 얼마나 시급한가?

현재 적체된 공조요청 중 인권 기준을 준수한 요청이 얼마나 될지 의문이다. 절차상 하자가 없다고 하더라도, 예컨대 해당 국가의 형사법에 미국의 ‘범죄 발생의 개연성(probable cause)’과 비슷한 기준이 있고 이에 따라 공조요청을 했다고 하더라도, 그 요청 자체가 본질적으로 부당할 수 있다. 만약 공조요청이 국제 인권기준에 반하는 허위사실유포죄, 모욕죄, 신성모독죄, 집회시위법위반죄, 국가보안법위반죄와 같은 범죄와 관련된 것이라면 과연 정당한 것일까? 성급히 결론을 내리기 전에, 적체된 공조요청의 일부를 무작위로 조사해 적체량을 정말로 줄여야 할 필요가 있는지를 연구해 볼 필요가 있다.

물론 요청을 적체시키기보다는 아예 거부하더라도 판단을 내려주는 편이 바람직하지만, 어찌되었든 정보제공 요청의 유형 및 본질에 비추어 볼 때 적체량을 줄이는 게 얼마나 시급한지를 판단해봐야 한다는 것이다. 물론 그 중에는 중대한 범죄 수사를 위해 매우 시급히 처리되어야 할 적법한 요청들도 당연히 있을 것이다. 하지만 이런 경우라면 MLAT을 개정하기보다는 DOJ가 요청을 우선적으로 심사해서 처리하는 방안을 고려해볼 수 있다.

2. 어떤 감시 체제에서 통신을 할지에 대한 이용자 선택권을 없애는 것이 바람직한가?

극도로 분산된 국경초월적 통신네트워크인 인터넷은 독재정권 하의 시민들이 정부의 감시와 검열을 피해 자유롭게 통신을 할 수 있는 통로가 되어 왔다. 사실 독재정권뿐만 아니라 각 나라마다 고유한 감시 및 검열 체제를 두고 있기 때문에, 그 동안 사람들은 서버의 위치 등을 고려해 어떤 체제 하에서 통신을 할지 선택할 수 있었다. 한국에서도 이메일 압수수색을 덜 받고 싶은 사람은 지메일을 사용하는 식이다. 특히 미국은 통신 감시에 있어 매우 엄격한 ‘개연성’ 기준을 두고 있기 때문에 미국의 서버가 선호되어 왔다. 그런데 만약 MLAT 절차가 없어져 외국 수사기관이 미국에 있는 서버의 정보를 쉽게 압수할 수 있다면, 미국 서버를 통신 매개체로 적극 이용하고 있는 취약한 개개인의 가장 중요한 선택권을 빼앗는 것이나 마찬가지가 된다.

사람들은 다양한 윤리적 거버넌스 환경 안에서 소통할 수 있기를 원한다. 그 스펙트럼의 한 끝에는 트위터, 페이스북, 지메일 등이 유일하게 안전한 통신수단이기 때문에 이용하고 있는 독재국가나 분쟁지역의 시민들이 있는 것이다. 한국도 예외가 아니다.

참고로 MLAT 체제 개정이 현실화되면 상호적으로 진행될 것이다. 즉 미국정보매개자들이 외국 수사기관의 요청에 직접 응하게 될 뿐 아니라 네이버나 카카오도 미국 수사기관의 요청에 응하게 될 것이다.

3. 통신 감시에 관한 헌법적 대원칙에 비추어 적법한가?

경험칙상 국민의 프라이버시나 통신에 대한 국가적 침해는 해당 국민에 대해 책임을 지는 권한 당국에 의해 심사되어야 한다. 다시 말하면 법관들은 직간접적으로 감시 대상자와 일종의 상호책임성의 관계에 있을 때만 대상자의 프라이버시 침해 허용 여부를 결정할 권한이 있다. 한국에서 벌어지는 압수수색에 대해 유효한 영장을 발부하는 사람은 한국 사람들의 프라이버시 침해에 대해 관심과 배려를 가진 한국의 판사여야 하는 것이지 한국 사람들의 프라이버시 침해에 아무런 관계가 없는 외국 판사일 수는 없는 것이다. 따라서 한국인에 대한 감시·검열 요청은 한국 법원에서 심사해야 하며, 미국인에 대한 요청은 당연히 미국 법원에서 심사해야 한다. 예컨대 미국 서버에 저장된 한국인 이용자의 정보에 대한 감시·검열은 이용자와 서버운영자의 프라이버시를 모두 침해하므로 양쪽 다 영장을 받는 것이 옳고 MLAT은 이러한 정보의 제공요청이 한국과 미국의 사법체계를 모두 거치도록 한다는 점에서 이상적이다. 그런데 MLAT을 우회할 수 있게 되면, 한국 법원이 실리콘밸리에 있는 회사가 보관하고 있는 한국인 이용자의 정보를 한국 수사기관에게 제공할지 여부를 판단할 수 있게 된다(여기에는 다국적 정보매개자가 이용자를 국적에 의해 차별해도 되는지에 관련된 까다로운 의문점들이 산적해있다!). 이를 확대하면, 한국 법원이 애플에게 한국인 피의자가 미국 여행 중 분실한 아이폰의 잠금해제를 직접 명령하는 것이 가능해진다. 반대로는 미국 법원이 네이버가 보관하고 있는 미국인의 정보를 FBI에 넘기라고 직접 명령할 수 있는 것이다. 과연 자국 기업이 외국의 통신감시법을 직접 적용받도록 하는 게 적법하다고 볼 수 있을까?

4. 데이터 국지화 압력을 막을 수 있는가?

MLAT 개정의 가장 중요한 필요성은 외국 정부들의 미국 기업에 대한 데이터 국지화(data localization) 압력을 막는 데 있다고 한다. 하지만 데이터 국지화를 요구하는 국가들은 MLAT 공조요청의 적체현상에 대한 고려를 초월한 목적이 있기 때문에, 공조요청이 신속하게 처리된다고 해서 데이터 국지화를 포기하진 않을 것이다. 지난 2월만 해도 중국은 모든 디지털 콘텐츠의 온라인 출판에 적용되는 네트워크출판서비스관리규정(网络出版服务管理规定)을 공포했다. 출판서비스의 서버 등을 반드시 중국 국내에 설치·운영할 것을 규정한 이 법안의 도입 취지는 명백하게 중국인들이 접하는 콘텐츠에 대한 검열과 감시를 강화하기 위함이다. 그런데 만약 미국이 공조요청을 빨리 처리해줬다면 중국이 이런 법을 제정하지 않았을 것인가?

이런 맥락에서, 데이터 국지화의 흐름을 막기 위한 방안으로서의 MLAT 개정이 얼마나 실현가능성이 있는지 따져보아야 한다. 인권을 유린하는 정부라면 말 그대로 인권 기준 준수 따위에는 전혀 관심이 없을 것이다. 그리고 당연히 적법절차에 따라 증거를 수집해야 한다는 의식도 없을 것이다. 재판 받을 권리조차 제대로 보장하지 않는 나라가 미국 기업이 가지고 있는 증거를 적법하고 신속하게 제공받기 위해 형사법체계를 개선할 리가 없는 것이다. 이러한 이유에서 MLAT 개정을 지지한다면 너무 순진하다고 할 수밖에 없다.

5. MLAT 우회 개정에는 프라이버시 옹호자들을 위한 당근이 하나 있긴 하지만…

이 당근은 정보매개자들이 메타데이터를 외국 정부에 자유롭게 넘기지 못하도록 미국법 SCA 2702조를 개정하는 안이다(현재는 메타데이터를 자유롭게 넘기도록 되어 있지만 ‘MLAT 우회’개정이 이루어지면 정보매개자들은 해당 정부가 일정 수준의 국제 인권 기준을 준수하거나 일정한 절차를 거친 요청의 경우에만 메타데이터를 제공할 수 있게 된다. 현재 미국의 메타데이터 관련 규제는 미국 정부에만 적용되고 외국 정부에는 적용되지 않는다).

이 문제는 외국 정부와의 합의로 해결할 것이 아니라 미국 정부가 국내에서 알아서 하면 될 일이다. 참고로 한국의 통신비밀보호법에 의하면 한국의 정보매개자는 통신의 내용이든 메타데이터(통신사실확인자료)든, 한국 법원에서 발부한 영장 제시가 없으면 외국 정부를 포함해 누구에게도 제공해서는 안 된다.

결론적으로, 우리는 현재의 MLAT 제도가 가지고 있는 인권적 가치를 고려해야 한다. 예컨대 독재정권 하에서 고통받는 사람들과 같은 이용자들에게 감시·검열 환경의 선택권을 제공한다는 점, 또 인권 기준에 맞지 않는 요청 또는 범죄가 아닌 사안에 대한 요청을 사실상 저지하는 효과가 있는 점 등이다. 그리고 현재 MLAT이 가진 가치를 MLAT 우회 개정의 덕을 보기 위해 외국 정부가 자국의 실체적 또는 절차적 형사법을 개선할 가능성과 비교해야 할 것이다. 이렇게 따져본다면 MLAT 우회 개정은 잃을 것이 더 많다고 하지 않을 수 없다.

* 위 글은 허핑턴포스트코리아에 기고한 글입니다. (2016.05.12.)

오픈넷, “디지털 권리를 위해 일어서다!: 책임 있는 기술을 위한 권고”

국문본 공개 및 APrIGF 워크샵 주최

오픈넷은 지난 6월 15일 캐나다 오타와에서 발표된 인터넷 기업의 사회적 책임에 대한 국제공동연구보고서 “디지털 권리를 위해 일어서다!: 책임 있는 기술을 위한 권고(Stand Up for Digital Rights: Recommendations for Responsible Tech)”의 요약문을 한국어로 번역, responsible-tech.org 웹사이트에 공개했다. 권고는 인터넷 접근권, 망중립성, 콘텐츠 관리, 프라이버시, 투명성, 국가검열의 여섯 분야에서 인터넷 기업들이 이용자의 권리를 위해 취해야 할 조치 및 대응방안을 구체적으로 제안하고 있다. 이 권고는 이번에 공개된 한국어 버전뿐만 아니라 영어, 불어, 스페인어, 아랍어 버전으로도 제공되고 있다. 특히 한국기업들에게 유의미한 잊혀질 권리, 임시조치제도, 정부의 검열삭제요청, 제로레이팅 등에 관한 구체적인 권고들이 담겨 있다.

또한 오픈넷은 7월 26일부터 29일까지 3일간 대만 타이페이에서 열리는 APrIGF 2016 본 행사에서 행사 둘째 날인 28일, 인터넷 기업의 책임을 대주제로 위 보고서 내용을 포괄하여 아시아지역 전문가들과 함께 국제 워크샵을 주최한다. 이 워크샵에서는 구글, 페이스북 등 인터넷 기업과 학계, 시민사회의 전문가들이 모여 아·태지역에서 정보매개자인 인터넷 기업들이 법적·정책적으로 당면한 과제들이 무엇인지를 논하고 “책임 있는 기술을 위한 권고” 등 다양한 규범들을 어떻게 적용할 수 있을지 함께 고민해본다. 또한 정보매개자책임에 관한 마닐라원칙 1주년을 맞아 정보매개자들이 콘텐츠 삭제차단 시 이용자들에게 통지할 때 활용할 수 있는 통지양식을 처음으로 공개한다. 마닐라 원칙은 정보매개자들이 이용자가 업로드한 콘텐츠를 차단 및 삭제할 때 따라야 하는 국제규범을 50여 개 NGO가 수차례 회의를 통해 확립한 것이며 오픈넷도 운영위원으로 참여하였다.

* 참고 자료: 책임 있는 기술을 위한 권고_한국어 버전(PDF)

* 관련 논평:

- 오픈넷, 인터넷기업의 사회적 책임에 대한 국제공동연구보고서 “디지털 권리를 위해 일어서다!: 책임 있는 기술을 위한 권고” 발표

- 세계 각국의 정보인권단체들, 정보매개자책임에 관한 마닐라원칙 선언