2019. 10. 30. 스탠포드 대학교의 CISAC(Center for International Security and Cooperation)이 주최한 “Data Governance in Asia” 워크샵에 오픈넷 박경신 이사와 김가연 변호사가 참석했다. 박경신 이사는 아시아 데이터 거버넌스의 전반적인 경향과 특징에 대해, 김가연 변호사는 한국의 데이터 거버넌스의 문제점을 주민등록번호 제도, 실명제 및 본인확인제, 통신감시 제도 등의 사례를 들어 설명했다.
사단법인 오픈넷은 지난 8월3일 17개 국제인권단체들과 함께 태국정부가 코로나 관련 긴급사태에 대응하겠다며 공포한 규정29호(Regulation No. 29)가 “(대중에게) 공포를 주입하는” 정보를 규제하고 형사처벌하는 것에 대해 반대성명을 발표했다. 올해 들어 대한민국을 포함하여 인도네시아, 말레이지아, 미얀마, 태국 등 아시아 지역에서 연이어 “가짜뉴스”를 규제하겠다는 명목으로 인권에 반하는 법안들이 통과되고 제출되고 있는 것에 대해 우려를 표한다.
태국은 코로나 사태와 관련하여 비상사태를 선포한 바 있고 2020년3월25일 공포된 비상사태행정에 대한 긴급시행령 제9조3항(section 9(3) of the Emergency Decree on Public Administration in Emergency Situation B.E. 2548)의 하위법령인 규정29호는 “공포를 주입하거나” 또는 “정보를 왜곡하여 비상상황을 오도하려는 의도를 가지고 국가안보, 공공질서 또는 국민도덕에 영향을 주는 문건”의 배포를 최고 2년의 징역형 및 벌금에 처하며 이와 관련된 정부부처의 규제권한을 강화하였다. 우리나라의 언론중재법이 “허위 조작 보도”라는 새로운 범주를 만들어 내어 소위 언론의 “가짜뉴스”에 대한 징벌적 배상책임을 창설하려고 했던 움직임에 견줄 수 있다.
형사처벌 외에도 망사업자들은 법원의 영장이 없더라도 통신규제당국의 요청이 있을 경우 관련 IP주소를 즉시 차단함은 물론 IP주소를 제출하여 경찰수사가 이루어지도록 해야 할 의무를 갖게 되었으며 이 의무를 방기하는 망사업자들은 징계된다. 이 역시 우리나라에서도 전기통신사업법 제83조3항에 따라 전기통신사업자들이 영장 제시 없이도 가입자정보를 수사기관에 제출할 수 있도록 한 것에 견줄 수 있다.
규정29호는 코로나 상황과 관련하여 태국정부가 표현의 자유를 규제하려는 여러 시도들의 정점에 와 있다 – 긴급조치, 규정 1호 및 27호, 컴퓨터관련형법 2017년 개정법, 국왕모독죄, 모욕죄, 명예훼손죄 등. 우리나라처럼 명예훼손죄, 모욕죄가 고위공직자들의 평판 보호에 이용되고 있는 점도 비슷하다. 이들 법률들은 소위 “가짜뉴스” 규제를 위해 동원되어 정부의 방역조치에 비판적인 인사들에 대한 수사 및 처벌로 이어졌다. 이번 규정29호 역시 표현의 자유 차원에서 우려할 수 밖에 없다.
영문 원문은 여기 http://opennetkorea.org/en/wp/3367.
사단법인 오픈넷이 오는 10. 4. (금)
10:30 ~ 17:30, 스타트업얼라이언스에서 UN 표현의 자유 특별보고관 데이비드 케이(David Kaye)를 초청하여 ‘한국 표현의 자유의 현주소’를 주제로 한 컨퍼런스를 개최한다. 오픈넷이 주최하고 일본 NPO 휘파람새 리본이 후원하는 이 행사는 국내외 전문가들과 함께 한국의 표현의 자유 관련 현안들을 국제적 흐름과
비교하고 토론하는 자리로 마련되었다.
1세션은 데이비드 케이 특보와 박경신 교수가 ‘한국의 특수한 디지털 표현의 자유
규제론’에 대해서 대담을 진행한다. SNI 필터링 등을 통한
웹사이트 차단 제도(통신심의 제도)와 대리게임 처벌법 등
한국의 특수한 표현의 자유 규제들의 배경과 문제점은 무엇이며, 이를 기초로 새롭게 떠오르고 있는 OTT 방송 규제, 가짜뉴스 규제법,
드루킹법(온라인여론조작죄) 등 규제 현안들을
어떻게 풀어내야 하는지 청중과 함께 논의한다.
2세션 ‘진실, 진심의 발설과 형사처벌 – 사실적시 명예훼손죄, 모욕죄는 국제인권기준에 부합하는가’에서는 데이비드 케이 특보가 발제를 맡아, 진실을 발설하거나 주관적
감정을 표현하는 행위를 형사처벌 대상으로 삼고 있는 국내 현행 사실적시 명예훼손죄와 모욕죄를 헌법 및 국제인권법 기준에서 검토하고 개선 방향을
논의한다.
3세션에서는 ‘욕망의 상상과 실행 사이에 국가의 역할’을 주제로 최근 가장 논쟁적인 사안인 가상아동포르노와 리얼돌 이슈’를
다룬다. UN 아동인권위원회가 지난 9월 10일 아동포르노의 정의에 ‘실존하지 않는 아동의 모습을 담은 표현물(특히 아동에 대한 성착취에 동원되는 표현물)’을 포함할 것을 권고하는
아동인권협약 해석지침을 발표했다. 한국은
이미 이와 유사하게 2012-13년 아동청소년성보호법이 개정됨에 따라 급작스럽게 아동성범죄 사범이 20배가 늘어난 사태를 겪은 바 있다. 우리나라의 아청법
개정 사례 및 위 아동인권협약 해석지침에 대해 앞으로 우리나라가 나아갈 정책 방향 및 그 함의에 대해 토론해본다.
특히 앞으로도 욕망의 상상과 실행 사이에서의 국가의 역할이 무엇이어야 하는지 과제를 남기고 있는 리얼돌 이슈도 같이 토론할 예정이다.
위 행사는 무료로 진행되며, 표현의
자유에 관심있는 많은 분들의 참석을 바란다. 자세한 사항은 오픈넷 홈페이지에서 확인할 수 있으며, 참가신청은 아래 링크에서 할 수 있다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
사단법인 오픈넷은 소위 “데이터3법” 중 개인정보처리자가 가명처리만으로 정보주체의 권리를 제한할 수 있는 개인정보보호법 제28조의7의 재개정을 요구하는 논평을 발표했습니다(하단 첨부). 이와 관련하여 해당 법률의 문제점과 개선방안을 이야기하는 기자간담회를 개최하고자 하오니 많은 참석 부탁드립니다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
2019.10.25. 국회의원회관 제8간담회실에서 “판결문 공개 확대를 위한 국회토론회가 열렸다. 이 토론회는 금태섭 더불어민주당 의원이 주최하고 법원행정처가 후원했다. 오픈넷에서는 박경신 이사를 대리하여 손지원 변호사가 토론자로 참여해 ‘진정한 판결문 공개를 위하여 – 비례성 있는 개인정보보호조치의 필요성’이란 주제로 법원의 국가 후견주의적 제도 운용의 문제점을 지적하고, 최근 제도 개선 사항에 대한 평가 및 대안을 제안했다.
박경신 고려대학교 법학전문대학원 교수
국민이 법원에 바라는 것은 판결문의 “공개”이지 “가공 및 배달”이 아니다. 발제문 각주에서는 “위 논문에서는, 전국을 통일하여, 확정된 전체 민사판결을 데이터베이스화하여 키워드 검색을 허용하는 곳은 현재 전 세계에서 한국밖에 없다(전원열,「판결 공개에 따른 프라이버시 침해와 민사소송법 제163조의2」한국법학원, 2018)”는 내용이 인용되어 있다. 하지만 당장 Westlaw나 Lexis-Nexis에 들어가면 연방+50개주 대법원+하급심 전체 판결을 하나의 검색창으로 모두 검색할 수 있다. 그렇다면 어떻게 위와 같은 분석이 나올 수 있었을까?
판결문 제공의 주체를 법원으로 한정했기 때문이다. 법원이 모든 일을 직접 하려고 하니 모든 일이 어려워지는 것이다. 미국 법원이 저렇게 방대한 판결문을 손쉽게 제공할 수 있는 이유는 법원은 “공개”만 하고 나머지는 민간에게 맡기기 때문이다. 주석 하이퍼링크등이 포함된 고급검색을 원하는 사람들이나 연구용으로 쓸 사람들은 Westlaw나 Lexis-Nexis를 이용하면 되고 무료검색을 원하는 사람들은 https://law.justia.com/cases/ 같은 사이트를 이용하면 된다.
한국에서도 법원이 우선 “공개”만 한다면 개인정보보호조치도 민간이 AI에 투자해서 자동으로 이름을 순간인식해서 블라인드 처리를 한다거나 다양한 방식으로 개인정보보호도 하고 판결문 공개도 손쉽게 할 수 있는 길이 열릴 수 있다.[1]
[1] “Computer Aided Anonymization and Redaction of Judicial Documents”, Computer Science and Information Systems · January 2015 DOI: 10.2298/CSIS140808038S
2018. 2. 22. 금태섭 의원실 판결문 공개 토론회의 박경신 발제에서 지적했던 판결문 공개 제도의 문제점과 이번 법원의 제도 개선 사항을 비교하면 다음과 같다.
(1) “첫째, 형사는 2013.1.1.이후 민사는 2015.1.1. 이후에 확정된 판결서만 공개되고 있어 아직도 판결에 영향을 주고 있는 판례들을 일반인들이 접하기 어렵고,” → 미개선
(2) “둘째 미확정된 판결서는 공개대상이 아니어서 미확정된 사건에 대해 국민들이 의견을 제시할 수 있는 통로가 차단되어 있고,” → 미개선
(3) “셋째 형사는 임의어 검색이 불가능하여 판결의 공정성을 검토하기 위해 다른 사건들을 비교하기 위한 시도가 원천적으로 차단되어 있으며,” → 개선
(4) “넷째 임의어 검색이 가능한 민사의 경우에도 85개[2]의 개별법원 별로 검색을 해야 할 뿐만 아니라,” → 개선
(5) “검색결과로 제시된 판결서를 읽어보기 위해서는 판결서당 1,000원을 지불해야 하기 때문에 검색을 통한 지식습득의 자동화라는 목표가 실질적으로 사장된다고 볼 수 있다. 검색을 해본 사람이라면 진정으로 원하는 자료 1건을 찾기 위해 최소한 100건 정도의 해당 검색어를 포함하는 문서를 열람해보는 것은 상식인데 그렇다면 판결서당 1,000원이 아니라 10만원을 지불해야 하는 것과 마찬가지이기 때문이다.” → 미개선
(6) “다섯째, 모든 판결서에 등장하는 당사자들 외에도 모든 등장인물 및 법인들이 비실명처리되면서 판결서의 가독성이 매우 떨어진다.” → “비실명 처리 범위에 법인 등(단, 국가기관, 지방자치단체, 공공기관 제외)의 명칭을 추가”함으로써 개악으로 평가됨. (법인명은 고유한 개인에 대한 정보로 볼 수 없음에도 비실명처리 대상으로 삼은 것은 의문이다.)
(7) “법원도서관을 통해 사전에 예약을 하고 모든 판결문들을 (실명으로) 검색할 수 있는 방법이 있지만 전국민을 상대로 단 2개의 터미널이 열려있다는 것은 의미있는 해법이라고 할 수 없다.” → 미개선
결국 2018년 2월 이후 1년 반 동안 두 가지 부분만이 개선된 것으로 볼 수 있다. 아래 차례대로 대안을 제시하고자 한다.
[2] 지방법원 본원은 25개지만, 지원별로 별도 검색이 필요하였으므로 85개로 보아야 함.
우선 미개선사안 (5), (6), (7)에 대해서는 다음과 같이 제안을 하고자 한다. 열람용 비식별화와 등사용 비식별화의 정도를 달리 하는 것이다.
즉, 우선 열람만 하는 판결서에 대해서는 지능형 비식별화시스템(이하 AI)을 통해 순간 블라인드처리를 하도록 하여 정확률이 100%가 아니더라도 열람을 가능하게 하고 – 이렇게 하면 도서관 열람이나 인터넷 열람이나 동등해진다 – 실제로 복사(프린트)하는 경우에만 수동 익명화 작업을 하도록 하고 이 등사용 판결서당 수수료를 받으면 된다. 그리고 그렇게 등사용 익명화 작업이 이미 이루어진 판결서는 도서관에서 열람/등사요청이 되든 인터넷에서 열람/등사요청이 되든 모든 국민들에게 무료로 그리고 즉시 공개하여야 한다.
지금 AI 비식별화 정확률은 15%라고 하는데, 일단 어느 수준의 정보를 비식별화 대상으로 보는 것인지 알기는 어렵다. 우선 지금까지 기 비식별화된 판결서들과 원판결서 모두를 AI에 제공하여 비식별화 기술을 스스로 고도화하고 정확률을 높일 수 있는 연구에 착수할 필요가 있다. 그리고 비식별화가 필요한 부분이 어디까지인지를 논의함에 있어서도 “비례성 있는” 개인정보보호조치의 정도에 대한 고찰이 필요하다(이는 아래에서 더 논의하기로 한다).
또한 지금처럼 열람 단계에서 판결서당 1,000원의 수수료를 받음으로써 예산을 확충하려 하지 말고, 다수의 국민들이 제대로 된 판결문 공개를 원하는 만큼, 국회를 통해 판결문 공개 예산을 확충하는 방향을 강구하여야 할 것이다.
미개선사안 (1)과 (2)에 대해서는 다음과 같이 제안한다.
발제문에서는 미확정 판결문 공개에 대해 과거에는 제시되지 않았던 비공개 사유로써 “오히려 판결의 세세한 이유를 가지고 판결에 대한 꼬투리 잡기나 판결을 한 법관에 대한 흠집 내기, 인신공격의 수단으로 악용될 가능성”을 언급하고 있다. 그러나 법관 역시 공무원이며, 법관이 행한 재판에 의해 국민들 개인의 인생이 결정적으로 좌지우지되는 경우도 많다. 이러한 막강한 힘을 가진 지위와 행위에 대한 국민의 감시와 비판은 법원이 수인하고 감당해야 할 몫이며, 이것이 비공개의 적절한 이유가 될 수는 없다고 할 것이다.
과거 판결 공개 부분은 전향적인 자세를 취하고 있는 것은 고무적이나, 이 역시 AI의 정확률에 의한 한계를 논하고 있다. 이에 대하여는 위에서 말한 바와 같이 민간에서 빅데이터를 이용해 정확률을 높일 수 있도록 데이터를 선공개하고, 재판공개원칙에 따라 프라이버시 법익이 상대적으로 낮아진 개인정보임을 고려하여 엄밀도를 낮추는 방향을 모색하여야 한다.
미국 제도를 거론할 때 비교대상으로 PACER를 논하며 PACER에서의 실명공개가 제한된 점에 포커스를 맞춘다. 그러나 PACER는 ‘소송기록’ 전체를 열람하기 위한 시스템이라서 공개가 제한되고 있을 뿐 판결문은 법원이 직접 대중에게 제공하지 않더라도 WestLAW, Lexis, Findlaw 등 다양한 온라인 서비스가 무료 또는 유료로 실명 및 검색가능 상태로 제공할 수 있도록 법원이 원자료를 제공한다. 따라서 ‘판결문’ 공개에 있어서 PACER를 비교대상으로 삼아서는 아니 된다. 또한 발제문상의 표는 다소 복잡하게 설명되어 있지만, 간단히 말하면, 연방대법원, 연방항소법원, 나머지 연방법원 모두 법원의 명령에 의해 비밀로 유지되는 판결들 외의 모든 판결을 Westlaw, Lexis, Findlaw 등의 다양한 웹사이트에 무료 공급하고 있고 이 웹사이트들을 통해 국민들은 기간제한, 횟수제한, 장소제한 없이 판결문에 접할 수 있다.
독일의 판결문 공개 시스템에 대해서도, 발제문에서는 “독일 등 대륙법계 국가가 판결서의 제3자 인터넷 검색․열람을 제한적으로 허용한다고 하여 재판공개원칙이나 투명하고 공정한 재판을 미국보다 충실하게 구현하지 못하다고 비판하는 견해는 찾아보기 어려움”이라고 되어 있지만, 간단한 영문 인터넷 검색만으로도 이에 대한 비판적인 견해[3]들이 상당수 있음을 확인할 수 있다. 영문 외의 독문으로 된 독일 내의 비판적 견해들도 상당히 많이 있을 것으로 보인다.
[3] Tom Braegelmann, “Lack of Data, Lack of Law”
호주, 캐나다는 한국, 유럽과 같은 강력한 개인정보보호법을 가지고 있음에도 전면적인 실명 판결문 공개를 하고 있다. 왜 그럴까?
개인정보보호법은 행위규제가 아니라 위험규제이다. 즉, 나에 대한 정보를 내가 “소유”한 정보로 인정하고 그 정보를 동의 없이 이용하는 것을 죄악시하는 것이 아니라, 개인정보보호법의 원래 목적인 프라이빗(private)한 정보를 동의 없는 취득이나 제3자 공개의 위험을 최대한 막기 위해 대량으로 정보를 통제하는 정보통제자(data controller)들에게만 몇 가지 의무를 부과한 것이다. 이런 이유로 호주, 캐나다의 개인정보보호법은 ‘타법우선주의’로 구성되어 있다. 입법자가 적법하게 동의 없는 개인정보의 이용범위를 정할 수 있고 개인정보보호법은 이를 따르도록 되어 있는 것이다. 따라서 법률에서 재판공개원칙에 따른 공개범위를 정하면 개인정보보호법이 적용되지 않는다. 우리나라도 마찬가지이다. 즉, ‘개인정보보호조치’가 무엇인지는 대법원이 국회 입법을 통해 정할 수 있는 것이다. 판결서에 나타나는 개인정보는 헌법상 공개재판의 원리에 따라, 이를 집요하게 취득하고자 하는 자의 수집을 피할 수가 없는, 상대적으로 보호법익이 낮은 정보라고 할 수 있으며, 비례성의 원칙에 따라 비식별화 수준의 완화를 생각해볼 수 있다. 특히 위에서 제안한 열람용 비식별화와 등사용 비식별화의 구분에 있어서 이와 같은 비례성 있는 범위 내로 개인정보보호조치를 완화하는 것은 국민들의 불편을 획기적으로 줄일 수 있는 방법이다.
판결서에 나타나는 개인정보보호조치에 대해서 비례성 있는 수준으로 완화를 할 수 있다는 것은 개인정보보호법의 원래 구성원리와도 화합한다. 개인정보를 “소유”한다는 것은 단순히 비유일 뿐이다. 처음 개인정보보호규범을 만들던 사람들이 타인에게 정보제공을 하면서 정보이용 및 공개의 범위를 미리 협상하지 않았을 가능성에 대비하여 통제를 디폴트(default)로 정하여 힘없는 정보주체를 보호하기 위해 정보를 “소유”한 것처럼 권리관계를 정한 것이다. 그러나 실제로 정보는 그렇게 배타적으로 소유될 수 있는 것이 아니다. 개인정보보호법을 엄격히 적용하면, 예를 들어 ‘김철수는 OOO이다’라는 구조를 가진 모든 문장들은 문장 하나하나가 각각 김철수가 그 문장의 수집, 이용 및 제3자 제공에 대해 동의권을 가지는 개인정보를 구성하게 된다. 주어가 살아있는 개인인 한, <주어+서술어>의 구조를 가진 모든 문장은 주어가 지칭하는 사람에 대한 개인정보가 되며 그 개인이 통제권을 갖게 된다. 그렇다면 누군가가 ‘김철수는 과학자이다’는 정보를 입수하려면 김철수로부터 동의를 얻어야 하고, 또 이렇게 얻은 정보를 타인에게 공개하거나 전달하려 하여도 김철수로부터 동의를 얻어야 하게 된다. 결국 사람들이 타인에 대해 말하고 들음에 있어서 그 타인에게 동의를 얻어야 한다는 것인데 이것이 개인정보보호법이 상정하고 있는 시나리오였다고는 볼 수 없을 것이다. 누구나 자신에 대한 정보라는 이유만으로 이를 통제할 수 있다면 그 정보를 공유하고자 하는 자의 표현의 자유는 포기되어야 한다. 모든 표현은 정보의 처리이고 그 표현이 타인에 대한 것일 경우 필연적으로 개인정보의 처리가 된다. 이렇게 되면 개인정보보호 법리는 민주주의에 심대한 영향을 주게 될 것이다.
지난 10월 16일 캐나다 토론토 대학교 산하 시티즌랩(Citizen Lab)은 한국, 홍콩, 호주, 인도네시아, 말레이시아 아시아 5개국 Access My Info(AMI) 프로젝트 연구 결과를 발표했다. AMI는 정보통신기업이 이용자에 대한 어떤 정보를, 얼마나, 어떤 목적에 의해 보유하고 있으며, 이러한 내용을 얼마나 공개하는지를 연구하는 프로젝트이다. 사단법인 오픈넷이 참여한 본 연구 결과에서 한국은 연구 대상 국가들 중 가장 강력한 개인정보보호법제를 가지고 있지만, 통신사들은 이용자의 개인정보 열람청구권을 피상적으로만 보장하고 있는 것으로 나타나 제도와 실무 사이의 간극이 큰 것으로 밝혀졌다.
2014년, 시티즌랩과 오픈이펙트(Open Effect)는 민간 기업이 이용자의 개인정보를 어떻게 수집, 보유, 처리, 공개하는지 알아보기 위해 AMI 프로젝트를 시작했다. 연구방법론의 일환으로 일반 대중이 맞춤형 개인정보 열람요청서를 생성할 수 있도록 도와주는 웹 기반 툴을 제공했는데, 이를 이용해 수만 명의 캐나다인들이 통신사에 개인정보 열람요청서를 보냈다. 당시 연구 결과는 기업들 간 대응이 일관되지 않으며, 소비자들이 자신의 개인정보에 접근하는 데 상당한 장벽이 있음을 보여주었다.
캐나다에서의 첫 AMI 프로젝트에 이어, 시티즌랩은 아시아에서 AMI 프로젝트를 진행하기 위한 작업반을 구성했다. 작업반에 한국, 홍콩, 호주, 말레이시아, 인도네시아 5개국의 학자, 변호사, 활동가 및 디자이너가 참여했으며, 한국 연구는 오픈넷이 맡았다. 2016년 1·2차에 걸쳐 진행한 연구에서 밝혀진 것은 이통3사가 모두 온라인 개인정보 열람신청 절차를 제공하고 있기는 하지만, 막상 회신을 받아보면 신청자에 대한 개인정보 자체는 제공하지 않고 KT는 일부 개인정보의 보유 여부만 O, X로 표시해서 제공하고, SKT와 LGU+ 개인정보 처리방침의 사본만 제공하고 있어 이용자의 개인정보 열람청구권을 제대로 보장하고 있지 않다는 것이다.
연구 결과에 기반하여 2016년 10월 오픈넷은 방송통신위원회(이하 “방통위”)에 KT의 부실한 개인정보 열람방식에 대해 진정서를 제출했고, 방통위는 이에 대한 답변으로 2018년 「온라인 개인정보 처리 가이드라인」을 발표하면서 “4. 개인정보 열람·제공 등 요구 운영 기준”에서 “열람·제공 등 요구에 대해 사업자는 개인화 조치된 정보의 형태(성명, 연락처, 로그기록, 쿠키 등)로 이용자가 제공받도록 조치해야 함”을 규정했다. 그렇지만 현재까지 이통3사의 관행은 여전하며, 이는 정보통신망법 제30조 위반으로 과태료 부과의 대상이다. 또한 오픈넷 김가연 변호사는 KT 이용자로서 모든 개인정보를 제공받기 위해 2017년 KT 상대로 개인정보 공개청구 소송을 제기했으며, 2018. 12. 4. 1심 승소 판결을 받고 현재 항소심의 판결을 기다리고 있다.
개인정보 열람청구권은 정보주체의 개인정보자기결정권 행사에 있어 가장 중요한 권리이다. 개인정보를 누가, 어떤 목적으로, 얼마나 오랫동안, 어떤 근거로 제3자와 공유하는지에 대해 알지 못한다면, 정보주체는 동의 철회나 정정·삭제 요구 등 다른 권리를 행사할 수 없고 기업이 그들의 정보를 적절하게 처리하고 있는지 평가할 수 없기 때문이다. 2019년 기준 전 세계 134개국이 개인정보보호법을 가지고 있고, 이론상으로는 대부분의 개인정보보호법이 개인정보 열람청구권을 보장하고 있지만, 실무상 기업들이 이러한 요청에 어떻게 대응하는지에 대한 실증적 연구는 찾아보기 어려웠다. 이번 AMI 연구 결과는 아시아·태평양 지역 최초 개인정보 열람청구권에 대한 실증적 연구라는 점에서 매우 큰 의미가 있다고 할 것이다.
“Access My Info – Measuring Data Access Rights Around the World” 연구 보고서(영문)
개인정보를 누가, 어떤 목적으로, 얼마나 오랫동안, 어떤 근거로 제3자와 공유하는지에 대해 알지 못한다면, 소비자는 그들의 권리를 행사할 수 없고 기업이 그들의 정보를 적절하게 처리하고 있는지 평가할 수 없다.
2019년 기준 전 세계 134개국이 개인정보보호법을 가지고 있다. 많은 개인정보보호법제상 주요한 권리는 개인이 자신이 사용하는 제품이나 서비스를 제공하는 기업에게 보내는 서면 요청인 개인정보 열람요청(Data Access Requests, DAR)을 할 수 있다는 것이다. DAR은 기업이 한 사람에 대해 보유하고 있는 모든 정보를 공개할 것을 요구하며, 이는 언제, 어떻게, 누구에게, 그리고 어떤 이유로 그 사람의 개인정보를 공유하거나 공개하는지 그리고 기업의 개인정보보호 관행과 기업에 적용되는 개인정보보호법 준수에 관한 기타 세부사항을 포함한다. 개인정보 열람요청권은 이론상으로는 다수의 개인정보보호법에 포함되어 있지만, 실무상 기업들이 이러한 요청에 어떻게 대응하는지에 대한 실증적 연구는 찾아보기 어렵다.
2014년 시티즌랩(Citizen Lab)과 오픈이펙트(Open Effect)는 민간 기업이 개인의 개인정보를 어떻게 수집, 보유, 처리, 공개하는지 알아보기 위해 개인정보 열람요청과 관련 법, 정책, 기술을 활용하는 연구 프로젝트인 Access My Info(AMI)를 시작했다. 연구방법론에는 일반 대중이 서로 다른 산업에 맞춘 양식을 기반으로 한 개인정보 열람요청서를 생성할 수 있도록 도와주는 웹 기반 툴이 포함되어 있다.
AMI는 캐나다에 처음 적용되었고, 그 결과 수만 명의 캐나다인들이 통신사에 개인정보 열람요청서를 보냈다. 연구 결과는 기업들 간 대응이 일관되지 않으며, 소비자들이 자신의 개인정보에 접근하는 데 상당한 장벽이 있음을 보여주었다.
캐나다에서의 첫 AMI 프로젝트에 이어, 시티즌랩은 AMI 연구를 아시아로 가져와서 해당 지역에서의 DAR에 대한 대응을 비교적으로 측정하기 위한 작업반을 구성했다. 작업반은 다음과 5개국의 학자, 변호사, 활동가 및 디자이너가 참여했다.
각 파트너는 각국의 통신사와 ISP에게 개인정보 열람요청서를 보내 고객에 대해 수집하는 정보의 유형, 보유 기간, 제3자와 공유 여부를 잘 알아보고자 했다. 또한 파트너들은 기업들이 요청에 답변하는 방법 즉, 요청의 이행에 얼마나 걸리는지, 요청자의 입장에서 노력이 얼마나 필요한지, 수수료를 청구하는지 또는 어떻게 청구하는지 등도 알아보고자 했다.
각 국가가 고유한 법과 맥락을 가지고 있는 반면, 우리는 이를 관통하는 일반적인 패턴을 발견했다.
아시아의 개인정보보호법제는 역동적: 아시아는 특히 이 연구를 실시하기에 흥미로운 지역이다. 왜냐하면 강력한 개인정보보호법을 가진 국가들과 개인정보보호법이 없거나 제정하는 단계에 있는 국가들을 포함하고 있기 때문이다. 모든 국가의 공통점은 개인정보보호의 요소가 유동적이거나 논쟁의 대상이라는 점이다.
한국은 이 지역에서 가장 강력한 개인정보보호법을 가지고 있지만, AMI 프로젝트를 통해 통신사들이 개인정보 열람요청을 피상적으로 준수하고 있음이 밝혀졌다. 이통3사는 온라인 개인정보 열람신청 절차를 가지고 있었지만, 개인정보 열람신청에 대한 답변으로 KT는 일부 개인정보의 보유 여부 목록만을 제공하고, SKT와 LGU+는 개인정보는 제공하지 않고 개인정보 처리방침의 사본만 제공했다. 이에 대해 AMI 파트너인 오픈넷은 불완전한 답변을 한 KT를 상대로 개인정보 공개청구 소송을 제기했다.
홍콩과 호주에서는 개인정보의 정의에 대한 논쟁을 불러일으켰다. 홍콩의 통신사와 ISP는 인터넷 프로토콜(IP) 주소와 지리적 위치(geolocation) 기록은 개인정보가 아니므로 사용자에게 제공할 필요가 없다고 주장한다. 현재 호주에서 IP 주소는 개인정보의 법적 정의에 포함되지 않는다.
개인정보보호법이 없거나 도입 중인 국가에서는 다른 문제에 직면했다. 말레이시아는 개인정보보호법을 제정했지만 강력하게 집행되지 않고 있다. 인도네시아는 개인정보보호법 초안을 만들었지만 아직 법률로 통과되지 않았다. 결과적으로 두 국가 모두에서 DAR은 기업들로부터 제한적인 회신을 받았다.
각국 통신사의 답변은 요청 사항과 일치하지 않았으며, 법적 요구 사항과 일치하지 않는 경우도 있었음: 전반적으로 통신사의 답변은 불완전했으며, 법적 요구 사항에 따르지 않는 경우도 있었다. 그리고 일반적으로 각국의 통신사들이 개인정보 열람요청을 제대로 처리하기에 충분한 절차를 아직 갖추지 못했다는 것이 확인되었다. 이러한 결과는 법률의 문언만을 검토하는 게 아니라 법률이 현실에서 어떻게 기능하는지 측정하는 것의 중요성을 보여준다.
본 보고서는 일련의 사례 연구로서 아시아 각국에 대한 연구 결과를 제공한다. 또한 비교를 위해 캐나다 연구 결과의 요약(최초의 AMI 시행 국가)을 포함시켰다.
2019년 11월 29일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
[관련 글]
[논평] 오픈넷, KT 상대 개인정보 공개 청구 소송 1심 승소 (2019.01.17.)
[2차 모집] 이통3사 개인정보 열람 실태 연구에 참여해주세요! (2016.08.11.)
이통3사 개인정보 열람 실태 연구 참가자를 찾습니다. (2016.01.18.)
시민들의 의견
댓글 달기