사단법인 오픈넷은 더불어민주당 윤영찬 의원실과 공동으로 1월 27일 수요일 오전 10시, “망중립성과 새로운 인터넷 10년”을 주제로 토론회를 개최합니다.

새로운 한 해의 시작과 함께 2021년이라는 숫자에서 볼 수 있듯이 새로운 10년이 시작되었습니다. 작년 미국 대통령 선거에서 민주당 조 바이든 후보가 당선되었고, 영국은 EU를 탈퇴하는 등 글로벌 정치·경제환경에 많은 변화가 있었습니다. 무엇보다 코로나19는 비대면 생활을 일상화시켜 포스트 코로나19 시대는 ‘언택트’가 뉴노멀로 자리잡을 것으로 예상되고 있습니다. 

이에 따라 우리나라에서는 5G 상용화를 시작으로 인터넷과 망 중립성의 중요도가 그 어느 때보다도 부각되고 있는 상황입니다. 망 중립성은 통신사업자(ISP)가 인터넷 트래픽을 그 내용·유형·제공사업자 등에 관계없이 차별없이 동등하게 처리해야 한다는 원칙입니다. 과학기술정보통신부는 지난해 12월 28일 5G 시대의 망 중립성 정책방향을 마련하고 「망 중립성 및 인터넷 트래픽 관리에 관한 가이드라인(이하 “가이드라인”)」 개정안을 공개했습니다.

새로운 인터넷 10년을 맞아 가이드라인 개정 등 망 중립성에 관한 우리나라의 정책 변화가 인터넷 사용자와 기업에게 어떤 영향이 있는지, 글로벌 인터넷 환경에서는 어떤 의미를 갖는지 등을 살펴보고, 학계, 시민사회, 업계 등 다양한 이해관계자의 입장을 청취하여 향후 개선 방안을 모색해보고자 합니다. 과기정통부 김남철 과장이 ‘망 중립성 가이드라인 개정안의 의의’, 오픈넷 이사인 고려대 박경신 교수가 ‘망이용료, 특수서비스, 제로레이팅의 국제규범 및 관행에 대한 팩트체크’를 주제로 발표하고, 고려대 이희정 교수를 좌장으로 하여 호서대 곽정호 교수, 성균관대 김민호 교수, 진보네트워크센터 오병일 대표, 벤처기업협회 유정희 부소장, 유미법무법인의 전응준 변호사가 토론을 할 예정입니다.

본 토론회는 온라인으로만 진행되며, 네이버TV 생중계(tv.naver.com/kinternetorg)를 통해 시청하실 수 있습니다. 많은 관심 부탁드립니다.

• 행사명: ‘망 중립성과 새로운 인터넷 10년’ 국회 토론회
• 일시: 2021년 1월 27일(수) 오전 10시
• 주최: 국회의원 윤영찬, (사)오픈넷
• 후원: (사)한국인터넷기업협회

문의: 오픈넷 사무국 02-581-1643, [email protected]

2019.10.25. 국회의원회관 제8간담회실에서 “판결문 공개 확대를 위한 국회토론회가 열렸다. 이 토론회는 금태섭 더불어민주당 의원이 주최하고 법원행정처가 후원했다. 오픈넷에서는 박경신 이사를 대리하여 손지원 변호사가 토론자로 참여해 ‘진정한 판결문 공개를 위하여 – 비례성 있는 개인정보보호조치의 필요성’이란 주제로 법원의 국가 후견주의적 제도 운용의 문제점을 지적하고, 최근 제도 개선 사항에 대한 평가 및 대안을 제안했다.

진정한 판결문 공개를 위하여

비례성 있는 개인정보보호조치의 필요성

박경신 고려대학교 법학전문대학원 교수

1. 법원의 국가 후견주의적 제도 운용의 문제

국민이 법원에 바라는 것은 판결문의 “공개”이지 “가공 및 배달”이 아니다. 발제문 각주에서는 “위 논문에서는, 전국을 통일하여, 확정된 전체 민사판결을 데이터베이스화하여 키워드 검색을 허용하는 곳은 현재 전 세계에서 한국밖에 없다(전원열,「판결 공개에 따른 프라이버시 침해와 민사소송법 제163조의2」한국법학원, 2018)”는 내용이 인용되어 있다. 하지만 당장 Westlaw나 Lexis-Nexis에 들어가면 연방+50개주 대법원+하급심 전체 판결을 하나의 검색창으로 모두 검색할 수 있다. 그렇다면 어떻게 위와 같은 분석이 나올 수 있었을까?

판결문 제공의 주체를 법원으로 한정했기 때문이다. 법원이 모든 일을 직접 하려고 하니 모든 일이 어려워지는 것이다. 미국 법원이 저렇게 방대한 판결문을 손쉽게 제공할 수 있는 이유는 법원은 “공개”만 하고 나머지는 민간에게 맡기기 때문이다. 주석 하이퍼링크등이 포함된 고급검색을 원하는 사람들이나 연구용으로 쓸 사람들은 Westlaw나 Lexis-Nexis를 이용하면 되고 무료검색을 원하는 사람들은 https://law.justia.com/cases/ 같은 사이트를 이용하면 된다.

한국에서도 법원이 우선 “공개”만 한다면 개인정보보호조치도 민간이 AI에 투자해서 자동으로 이름을 순간인식해서 블라인드 처리를 한다거나 다양한 방식으로 개인정보보호도 하고 판결문 공개도 손쉽게 할 수 있는 길이 열릴 수 있다.^[1]

[1] “Computer Aided Anonymization and Redaction of Judicial Documents”, Computer Science and Information Systems · January 2015 DOI: 10.2298/CSIS140808038S

2. 최근의 제도 개선 사항에 대한 평가

2018. 2. 22. 금태섭 의원실 판결문 공개 토론회의 박경신 발제에서 지적했던 판결문 공개 제도의 문제점과 이번 법원의 제도 개선 사항을 비교하면 다음과 같다.

(1) “첫째, 형사는 2013.1.1.이후 민사는 2015.1.1. 이후에 확정된 판결서만 공개되고 있어 아직도 판결에 영향을 주고 있는 판례들을 일반인들이 접하기 어렵고,” → 미개선

(2) “둘째 미확정된 판결서는 공개대상이 아니어서 미확정된 사건에 대해 국민들이 의견을 제시할 수 있는 통로가 차단되어 있고,” → 미개선

(3) “셋째 형사는 임의어 검색이 불가능하여 판결의 공정성을 검토하기 위해 다른 사건들을 비교하기 위한 시도가 원천적으로 차단되어 있으며,” → 개선

(4) “넷째 임의어 검색이 가능한 민사의 경우에도 85개^[2]의 개별법원 별로 검색을 해야 할 뿐만 아니라,” → 개선

(5) “검색결과로 제시된 판결서를 읽어보기 위해서는 판결서당 1,000원을 지불해야 하기 때문에 검색을 통한 지식습득의 자동화라는 목표가 실질적으로 사장된다고 볼 수 있다. 검색을 해본 사람이라면 진정으로 원하는 자료 1건을 찾기 위해 최소한 100건 정도의 해당 검색어를 포함하는 문서를 열람해보는 것은 상식인데 그렇다면 판결서당 1,000원이 아니라 10만원을 지불해야 하는 것과 마찬가지이기 때문이다.” → 미개선

(6) “다섯째, 모든 판결서에 등장하는 당사자들 외에도 모든 등장인물 및 법인들이 비실명처리되면서 판결서의 가독성이 매우 떨어진다.” → “비실명 처리 범위에 법인 등(단, 국가기관, 지방자치단체, 공공기관 제외)의 명칭을 추가”함으로써 개악으로 평가됨. (법인명은 고유한 개인에 대한 정보로 볼 수 없음에도 비실명처리 대상으로 삼은 것은 의문이다.)

(7) “법원도서관을 통해 사전에 예약을 하고 모든 판결문들을 (실명으로) 검색할 수 있는 방법이 있지만 전국민을 상대로 단 2개의 터미널이 열려있다는 것은 의미있는 해법이라고 할 수 없다.” → 미개선

결국 2018년 2월 이후 1년 반 동안 두 가지 부분만이 개선된 것으로 볼 수 있다. 아래 차례대로 대안을 제시하고자 한다.

[2] 지방법원 본원은 25개지만, 지원별로 별도 검색이 필요하였으므로 85개로 보아야 함.

3. 열람용에 대한 비식별화 자동화 및 완화

우선 미개선사안 (5), (6), (7)에 대해서는 다음과 같이 제안을 하고자 한다. 열람용 비식별화와 등사용 비식별화의 정도를 달리 하는 것이다.

즉, 우선 열람만 하는 판결서에 대해서는 지능형 비식별화시스템(이하 AI)을 통해 순간 블라인드처리를 하도록 하여 정확률이 100%가 아니더라도 열람을 가능하게 하고 – 이렇게 하면 도서관 열람이나 인터넷 열람이나 동등해진다 – 실제로 복사(프린트)하는 경우에만 수동 익명화 작업을 하도록 하고 이 등사용 판결서당 수수료를 받으면 된다. 그리고 그렇게 등사용 익명화 작업이 이미 이루어진 판결서는 도서관에서 열람/등사요청이 되든 인터넷에서 열람/등사요청이 되든 모든 국민들에게 무료로 그리고 즉시 공개하여야 한다.

지금 AI 비식별화 정확률은 15%라고 하는데, 일단 어느 수준의 정보를 비식별화 대상으로 보는 것인지 알기는 어렵다. 우선 지금까지 기 비식별화된 판결서들과 원판결서 모두를 AI에 제공하여 비식별화 기술을 스스로 고도화하고 정확률을 높일 수 있는 연구에 착수할 필요가 있다. 그리고 비식별화가 필요한 부분이 어디까지인지를 논의함에 있어서도 “비례성 있는” 개인정보보호조치의 정도에 대한 고찰이 필요하다(이는 아래에서 더 논의하기로 한다).

또한 지금처럼 열람 단계에서 판결서당 1,000원의 수수료를 받음으로써 예산을 확충하려 하지 말고, 다수의 국민들이 제대로 된 판결문 공개를 원하는 만큼, 국회를 통해 판결문 공개 예산을 확충하는 방향을 강구하여야 할 것이다.

4. 과거판결문 및 미확정판결문 비공개 사유 – 법원에 대한 공격 우려?

미개선사안 (1)과 (2)에 대해서는 다음과 같이 제안한다.

발제문에서는 미확정 판결문 공개에 대해 과거에는 제시되지 않았던 비공개 사유로써 “오히려 판결의 세세한 이유를 가지고 판결에 대한 꼬투리 잡기나 판결을 한 법관에 대한 흠집 내기, 인신공격의 수단으로 악용될 가능성”을 언급하고 있다. 그러나 법관 역시 공무원이며, 법관이 행한 재판에 의해 국민들 개인의 인생이 결정적으로 좌지우지되는 경우도 많다. 이러한 막강한 힘을 가진 지위와 행위에 대한 국민의 감시와 비판은 법원이 수인하고 감당해야 할 몫이며, 이것이 비공개의 적절한 이유가 될 수는 없다고 할 것이다.

과거 판결 공개 부분은 전향적인 자세를 취하고 있는 것은 고무적이나, 이 역시 AI의 정확률에 의한 한계를 논하고 있다. 이에 대하여는 위에서 말한 바와 같이 민간에서 빅데이터를 이용해 정확률을 높일 수 있도록 데이터를 선공개하고, 재판공개원칙에 따라 프라이버시 법익이 상대적으로 낮아진 개인정보임을 고려하여 엄밀도를 낮추는 방향을 모색하여야 한다.

5. 비교법적 문제들

미국 제도를 거론할 때 비교대상으로 PACER를 논하며 PACER에서의 실명공개가 제한된 점에 포커스를 맞춘다. 그러나 PACER는 ‘소송기록’ 전체를 열람하기 위한 시스템이라서 공개가 제한되고 있을 뿐 판결문은 법원이 직접 대중에게 제공하지 않더라도 WestLAW, Lexis, Findlaw 등 다양한 온라인 서비스가 무료 또는 유료로 실명 및 검색가능 상태로 제공할 수 있도록 법원이 원자료를 제공한다. 따라서 ‘판결문’ 공개에 있어서 PACER를 비교대상으로 삼아서는 아니 된다. 또한 발제문상의 표는 다소 복잡하게 설명되어 있지만, 간단히 말하면, 연방대법원, 연방항소법원, 나머지 연방법원 모두 법원의 명령에 의해 비밀로 유지되는 판결들 외의 모든 판결을 Westlaw, Lexis, Findlaw 등의 다양한 웹사이트에 무료 공급하고 있고 이 웹사이트들을 통해 국민들은 기간제한, 횟수제한, 장소제한 없이 판결문에 접할 수 있다.

독일의 판결문 공개 시스템에 대해서도, 발제문에서는 “독일 등 대륙법계 국가가 판결서의 제3자 인터넷 검색․열람을 제한적으로 허용한다고 하여 재판공개원칙이나 투명하고 공정한 재판을 미국보다 충실하게 구현하지 못하다고 비판하는 견해는 찾아보기 어려움”이라고 되어 있지만, 간단한 영문 인터넷 검색만으로도 이에 대한 비판적인 견해^[3]들이 상당수 있음을 확인할 수 있다. 영문 외의 독문으로 된 독일 내의 비판적 견해들도 상당히 많이 있을 것으로 보인다.

[3] Tom Braegelmann, “Lack of Data, Lack of Law”

6. 비례성 있는 개인정보 보호조치

호주, 캐나다는 한국, 유럽과 같은 강력한 개인정보보호법을 가지고 있음에도 전면적인 실명 판결문 공개를 하고 있다. 왜 그럴까?

개인정보보호법은 행위규제가 아니라 위험규제이다. 즉, 나에 대한 정보를 내가 “소유”한 정보로 인정하고 그 정보를 동의 없이 이용하는 것을 죄악시하는 것이 아니라, 개인정보보호법의 원래 목적인 프라이빗(private)한 정보를 동의 없는 취득이나 제3자 공개의 위험을 최대한 막기 위해 대량으로 정보를 통제하는 정보통제자(data controller)들에게만 몇 가지 의무를 부과한 것이다. 이런 이유로 호주, 캐나다의 개인정보보호법은 ‘타법우선주의’로 구성되어 있다. 입법자가 적법하게 동의 없는 개인정보의 이용범위를 정할 수 있고 개인정보보호법은 이를 따르도록 되어 있는 것이다. 따라서 법률에서 재판공개원칙에 따른 공개범위를 정하면 개인정보보호법이 적용되지 않는다. 우리나라도 마찬가지이다. 즉, ‘개인정보보호조치’가 무엇인지는 대법원이 국회 입법을 통해 정할 수 있는 것이다. 판결서에 나타나는 개인정보는 헌법상 공개재판의 원리에 따라, 이를 집요하게 취득하고자 하는 자의 수집을 피할 수가 없는, 상대적으로 보호법익이 낮은 정보라고 할 수 있으며, 비례성의 원칙에 따라 비식별화 수준의 완화를 생각해볼 수 있다. 특히 위에서 제안한 열람용 비식별화와 등사용 비식별화의 구분에 있어서 이와 같은 비례성 있는 범위 내로 개인정보보호조치를 완화하는 것은 국민들의 불편을 획기적으로 줄일 수 있는 방법이다.

판결서에 나타나는 개인정보보호조치에 대해서 비례성 있는 수준으로 완화를 할 수 있다는 것은 개인정보보호법의 원래 구성원리와도 화합한다. 개인정보를 “소유”한다는 것은 단순히 비유일 뿐이다. 처음 개인정보보호규범을 만들던 사람들이 타인에게 정보제공을 하면서 정보이용 및 공개의 범위를 미리 협상하지 않았을 가능성에 대비하여 통제를 디폴트(default)로 정하여 힘없는 정보주체를 보호하기 위해 정보를 “소유”한 것처럼 권리관계를 정한 것이다. 그러나 실제로 정보는 그렇게 배타적으로 소유될 수 있는 것이 아니다. 개인정보보호법을 엄격히 적용하면, 예를 들어 ‘김철수는 OOO이다’라는 구조를 가진 모든 문장들은 문장 하나하나가 각각 김철수가 그 문장의 수집, 이용 및 제3자 제공에 대해 동의권을 가지는 개인정보를 구성하게 된다. 주어가 살아있는 개인인 한, <주어+서술어>의 구조를 가진 모든 문장은 주어가 지칭하는 사람에 대한 개인정보가 되며 그 개인이 통제권을 갖게 된다. 그렇다면 누군가가 ‘김철수는 과학자이다’는 정보를 입수하려면 김철수로부터 동의를 얻어야 하고, 또 이렇게 얻은 정보를 타인에게 공개하거나 전달하려 하여도 김철수로부터 동의를 얻어야 하게 된다. 결국 사람들이 타인에 대해 말하고 들음에 있어서 그 타인에게 동의를 얻어야 한다는 것인데 이것이 개인정보보호법이 상정하고 있는 시나리오였다고는 볼 수 없을 것이다. 누구나 자신에 대한 정보라는 이유만으로 이를 통제할 수 있다면 그 정보를 공유하고자 하는 자의 표현의 자유는 포기되어야 한다. 모든 표현은 정보의 처리이고 그 표현이 타인에 대한 것일 경우 필연적으로 개인정보의 처리가 된다. 이렇게 되면 개인정보보호 법리는 민주주의에 심대한 영향을 주게 될 것이다.

한국 이통3사 이용자 개인정보 열람청구권 보장 부족한 것으로 나타나

오픈넷 김가연 변호사, 연구의 일환으로 2017년 KT 상대 개인정보 공개청구 소송 제기해 1심 승소, 현재 항소심 진행중

지난 10월 16일 캐나다 토론토 대학교 산하 시티즌랩(Citizen Lab)은 한국, 홍콩, 호주, 인도네시아, 말레이시아 아시아 5개국 Access My Info(AMI) 프로젝트 연구 결과를 발표했다. AMI는 정보통신기업이 이용자에 대한 어떤 정보를, 얼마나, 어떤 목적에 의해 보유하고 있으며, 이러한 내용을 얼마나 공개하는지를 연구하는 프로젝트이다. 사단법인 오픈넷이 참여한 본 연구 결과에서 한국은 연구 대상 국가들 중 가장 강력한 개인정보보호법제를 가지고 있지만, 통신사들은 이용자의 개인정보 열람청구권을 피상적으로만 보장하고 있는 것으로 나타나 제도와 실무 사이의 간극이 큰 것으로 밝혀졌다.

2014년, 시티즌랩과 오픈이펙트(Open Effect)는 민간 기업이 이용자의 개인정보를 어떻게 수집, 보유, 처리, 공개하는지 알아보기 위해 AMI 프로젝트를 시작했다. 연구방법론의 일환으로 일반 대중이 맞춤형 개인정보 열람요청서를 생성할 수 있도록 도와주는 웹 기반 툴을 제공했는데, 이를 이용해 수만 명의 캐나다인들이 통신사에 개인정보 열람요청서를 보냈다. 당시 연구 결과는 기업들 간 대응이 일관되지 않으며, 소비자들이 자신의 개인정보에 접근하는 데 상당한 장벽이 있음을 보여주었다.

캐나다에서의 첫 AMI 프로젝트에 이어, 시티즌랩은 아시아에서 AMI 프로젝트를 진행하기 위한 작업반을 구성했다. 작업반에 한국, 홍콩, 호주, 말레이시아, 인도네시아 5개국의 학자, 변호사, 활동가 및 디자이너가 참여했으며, 한국 연구는 오픈넷이 맡았다. 2016년 1·2차에 걸쳐 진행한 연구에서 밝혀진 것은 이통3사가 모두 온라인 개인정보 열람신청 절차를 제공하고 있기는 하지만, 막상 회신을 받아보면 신청자에 대한 개인정보 자체는 제공하지 않고 KT는 일부 개인정보의 보유 여부만 O, X로 표시해서 제공하고, SKT와 LGU+ 개인정보 처리방침의 사본만 제공하고 있어 이용자의 개인정보 열람청구권을 제대로 보장하고 있지 않다는 것이다.

연구 결과에 기반하여 2016년 10월 오픈넷은 방송통신위원회(이하 “방통위”)에 KT의 부실한 개인정보 열람방식에 대해 진정서를 제출했고, 방통위는 이에 대한 답변으로 2018년 「온라인 개인정보 처리 가이드라인」을 발표하면서 “4. 개인정보 열람·제공 등 요구 운영 기준”에서 “열람·제공 등 요구에 대해 사업자는 개인화 조치된 정보의 형태(성명, 연락처, 로그기록, 쿠키 등)로 이용자가 제공받도록 조치해야 함”을 규정했다. 그렇지만 현재까지 이통3사의 관행은 여전하며, 이는 정보통신망법 제30조 위반으로 과태료 부과의 대상이다. 또한 오픈넷 김가연 변호사는 KT 이용자로서 모든 개인정보를 제공받기 위해 2017년 KT 상대로 개인정보 공개청구 소송을 제기했으며, 2018. 12. 4. 1심 승소 판결을 받고 현재 항소심의 판결을 기다리고 있다.

개인정보 열람청구권은 정보주체의 개인정보자기결정권 행사에 있어 가장 중요한 권리이다. 개인정보를 누가, 어떤 목적으로, 얼마나 오랫동안, 어떤 근거로 제3자와 공유하는지에 대해 알지 못한다면, 정보주체는 동의 철회나 정정·삭제 요구 등 다른 권리를 행사할 수 없고 기업이 그들의 정보를 적절하게 처리하고 있는지 평가할 수 없기 때문이다. 2019년 기준 전 세계 134개국이 개인정보보호법을 가지고 있고, 이론상으로는 대부분의 개인정보보호법이 개인정보 열람청구권을 보장하고 있지만, 실무상 기업들이 이러한 요청에 어떻게 대응하는지에 대한 실증적 연구는 찾아보기 어려웠다. 이번 AMI 연구 결과는 아시아·태평양 지역 최초 개인정보 열람청구권에 대한 실증적 연구라는 점에서 매우 큰 의미가 있다고 할 것이다.

“Access My Info – Measuring Data Access Rights Around the World” 연구 보고서(영문)

Access My Info 연구 보고서 요약

• 우리가 인터넷 연결·통신에 사용하는 서비스를 제공하는 기업은 우리의 개인정보를 어떻게 처리하고 있는가?
• 어떤 유형의 정보를 수집하는가?
• 얼마나 오래 정보를 보관하고 있는가?
• 정보를 제3자와 공유하는가?

개인정보를 누가, 어떤 목적으로, 얼마나 오랫동안, 어떤 근거로 제3자와 공유하는지에 대해 알지 못한다면, 소비자는 그들의 권리를 행사할 수 없고 기업이 그들의 정보를 적절하게 처리하고 있는지 평가할 수 없다.

2019년 기준 전 세계 134개국이 개인정보보호법을 가지고 있다. 많은 개인정보보호법제상 주요한 권리는 개인이 자신이 사용하는 제품이나 서비스를 제공하는 기업에게 보내는 서면 요청인 개인정보 열람요청(Data Access Requests, DAR)을 할 수 있다는 것이다. DAR은 기업이 한 사람에 대해 보유하고 있는 모든 정보를 공개할 것을 요구하며, 이는 언제, 어떻게, 누구에게, 그리고 어떤 이유로 그 사람의 개인정보를 공유하거나 공개하는지 그리고 기업의 개인정보보호 관행과 기업에 적용되는 개인정보보호법 준수에 관한 기타 세부사항을 포함한다. 개인정보 열람요청권은 이론상으로는 다수의 개인정보보호법에 포함되어 있지만, 실무상 기업들이 이러한 요청에 어떻게 대응하는지에 대한 실증적 연구는 찾아보기 어렵다.

2014년 시티즌랩(Citizen Lab)과 오픈이펙트(Open Effect)는 민간 기업이 개인의 개인정보를 어떻게 수집, 보유, 처리, 공개하는지 알아보기 위해 개인정보 열람요청과 관련 법, 정책, 기술을 활용하는 연구 프로젝트인 Access My Info(AMI)를 시작했다. 연구방법론에는 일반 대중이 서로 다른 산업에 맞춘 양식을 기반으로 한 개인정보 열람요청서를 생성할 수 있도록 도와주는 웹 기반 툴이 포함되어 있다.

AMI는 캐나다에 처음 적용되었고, 그 결과 수만 명의 캐나다인들이 통신사에 개인정보 열람요청서를 보냈다. 연구 결과는 기업들 간 대응이 일관되지 않으며, 소비자들이 자신의 개인정보에 접근하는 데 상당한 장벽이 있음을 보여주었다.

캐나다에서의 첫 AMI 프로젝트에 이어, 시티즌랩은 AMI 연구를 아시아로 가져와서 해당 지역에서의 DAR에 대한 대응을 비교적으로 측정하기 위한 작업반을 구성했다. 작업반은 다음과 5개국의 학자, 변호사, 활동가 및 디자이너가 참여했다.

• 홍콩: Lokman Tsui 교수(홍콩중문대), Stuart Hargraves 교수(홍콩중문대), 키보드전선(Keyboard Frontline, 시민사회단체), 인미디어(InMedia, 미디어 그룹), Jason Lee 디자이너
• 대한민국: 김가연 변호사(오픈넷), 박경신 교수(고려대)
• 호주: Adam Molnar 교수(워털루대/디킨대)
• 인도네시아: Sinta Dewi Rosadi 교수(파드자드자란대)
• 말레이시아: Sonny Zulhuda 교수(말레이시아 국제이슬람대)

각 파트너는 각국의 통신사와 ISP에게 개인정보 열람요청서를 보내 고객에 대해 수집하는 정보의 유형, 보유 기간, 제3자와 공유 여부를 잘 알아보고자 했다. 또한 파트너들은 기업들이 요청에 답변하는 방법 즉, 요청의 이행에 얼마나 걸리는지, 요청자의 입장에서 노력이 얼마나 필요한지, 수수료를 청구하는지 또는 어떻게 청구하는지 등도 알아보고자 했다.

각 국가가 고유한 법과 맥락을 가지고 있는 반면, 우리는 이를 관통하는 일반적인 패턴을 발견했다.

아시아의 개인정보보호법제는 역동적: 아시아는 특히 이 연구를 실시하기에 흥미로운 지역이다. 왜냐하면 강력한 개인정보보호법을 가진 국가들과 개인정보보호법이 없거나 제정하는 단계에 있는 국가들을 포함하고 있기 때문이다. 모든 국가의 공통점은 개인정보보호의 요소가 유동적이거나 논쟁의 대상이라는 점이다.

한국은 이 지역에서 가장 강력한 개인정보보호법을 가지고 있지만, AMI 프로젝트를 통해 통신사들이 개인정보 열람요청을 피상적으로 준수하고 있음이 밝혀졌다. 이통3사는 온라인 개인정보 열람신청 절차를 가지고 있었지만, 개인정보 열람신청에 대한 답변으로 KT는 일부 개인정보의 보유 여부 목록만을 제공하고, SKT와 LGU+는 개인정보는 제공하지 않고 개인정보 처리방침의 사본만 제공했다. 이에 대해 AMI 파트너인 오픈넷은 불완전한 답변을 한 KT를 상대로 개인정보 공개청구 소송을 제기했다.

홍콩과 호주에서는 개인정보의 정의에 대한 논쟁을 불러일으켰다. 홍콩의 통신사와 ISP는 인터넷 프로토콜(IP) 주소와 지리적 위치(geolocation) 기록은 개인정보가 아니므로 사용자에게 제공할 필요가 없다고 주장한다. 현재 호주에서 IP 주소는 개인정보의 법적 정의에 포함되지 않는다.

개인정보보호법이 없거나 도입 중인 국가에서는 다른 문제에 직면했다. 말레이시아는 개인정보보호법을 제정했지만 강력하게 집행되지 않고 있다. 인도네시아는 개인정보보호법 초안을 만들었지만 아직 법률로 통과되지 않았다. 결과적으로 두 국가 모두에서 DAR은 기업들로부터 제한적인 회신을 받았다.

각국 통신사의 답변은 요청 사항과 일치하지 않았으며, 법적 요구 사항과 일치하지 않는 경우도 있었음: 전반적으로 통신사의 답변은 불완전했으며, 법적 요구 사항에 따르지 않는 경우도 있었다. 그리고 일반적으로 각국의 통신사들이 개인정보 열람요청을 제대로 처리하기에 충분한 절차를 아직 갖추지 못했다는 것이 확인되었다. 이러한 결과는 법률의 문언만을 검토하는 게 아니라 법률이 현실에서 어떻게 기능하는지 측정하는 것의 중요성을 보여준다.

본 보고서는 일련의 사례 연구로서 아시아 각국에 대한 연구 결과를 제공한다. 또한 비교를 위해 캐나다 연구 결과의 요약(최초의 AMI 시행 국가)을 포함시켰다.

2019년 11월 29일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[논평] 오픈넷, KT 상대 개인정보 공개 청구 소송 1심 승소 (2019.01.17.)
[2차 모집] 이통3사 개인정보 열람 실태 연구에 참여해주세요! (2016.08.11.)
이통3사 개인정보 열람 실태 연구 참가자를 찾습니다. (2016.01.18.) 

최근 코로나 바이러스 대응을 위해 감염자의 과거 위치정보를 국가기관이 강제적으로 수집함은 물론 장래의 위치를 감시하기 위해 손목밴드 등의 기기착용을 강제하는 방안이 논의되고 있다. 이미 시민단체들은 이렇게 수집된 정보가 과도하게 일반에게 공개되는 것에 대한 우려를 표명한 바 있다. 사단법인 오픈넷은 이와 별도로 국가기관이 이 정보를 수집하는 단계에 대해서도 프라이버시 보호의 대원칙을 위배할 우려에 주목한다.  

감염자 및 감염의심자의 위치 확인

코로나 바이러스에 대한 대응으로 강제수사와 비슷한 수준의 프라이버시권 제한이 이루어지고 있다. 감염병예방및관리법 제76의2조 제1항과 관련 시행령에 따르면 보건당국은 스스로의 판단에 따라 감염자나 감염의심자의 인적사항, 진료기록, 출입국 기록, 신용카드 및 교통카드의 사용명세 및 CCTV 내역을 제3자에게 요청하여 수집할 수 있고, 동조 제2항에서는 이중 위치정보에 대해서는 보건당국뿐만 아니라 기초 및 광역지자체장도 경찰을 통해 전기통신사업자 및 위치정보사업자로부터 수집할 수 있다. 본인이 감시대상이 될 줄 모르는 상태에서 자유롭게 돌아다닌 행적이 고스란히 국가에 의해 취득된다. 

국가에 의한 프라이버시 침해를 막기 위한 원칙을 따르자면, 사생활의 비밀이라는 기본권도 법률에 의해 강력한 공익적 목표를 위해 제한될 수는 있다.  압수수색도 국민의 생명과 재산을 지키기 위해 필수불가결한 범죄수사라는 공익적 목표 때문 정당화된다. 하지만 ‘죄를 범하였다고 의심할 만한 정황’과 같은 요건이 충족될 때만 가능하며 그 판단 역시 수사의 진전에 이해관계가 없는 공직자, 즉 판사에 의해 영장이라는 사전서면승인절차를 거쳐야만 이루어진다. 

그런데 감염병예방및관리법 하에서 강제적인 정보수집은 정보수집에 이해관계를 가진 보건당국 스스로의 판단 하에 이루어지며, 심지어 위치정보에 대해서는 선출직인 기초지자체장의 판단에 의해서 이루어진다. 이와 같은 판단이 자의적으로 내려지지 않도록 통제할 안전장치가 없다. 국가기관이 정보주체의 의사에 반하게 영장없이 강제적으로 과거의 위치정보를 수집할 수 있는 상시적 법제를 갖춘 나라는 거의 없어 싱가폴 외에는 확인되지 않고 있다. 이스라엘은 전시대응에 준하는 한시적 입법으로 비슷한 정보수집을 하고 있을 뿐이다. 독일의회에서는 비슷한 조항을 논의하다가 프라이버시 침해를 이유로 폐기된 바 있고, 정보의 중앙수집 없이 감염자의 폰에 근접한 폰들에 자동으로 경고신호를 보내주는 방식을 선호하고 있다. 유럽의 국가들은 궁극적으로 피해자라고 볼 수 있는 감염자를 상대로 세밀히 감시하는 것을 인권침해로 간주하여 기피하고 있는 것이다. 특히 우리나라의 경우 첫째, 신용카드 사용명세, 진료기록부, 상세 위치정보(기지국위치정보뿐 아니라 GPS정보까지)에 이를 정도로 세세한 사적인 정보를 수집하고 있고, 둘째, 심지어 감염자가 아닌 감염의심자까지 감시대상에 포함하고 있는데 감염의심자에는 접촉자가 아닌 “접촉의심자”까지 포함하고 있으며, 셋째, 정보수집을 온갖 범죄에 대한 수사 즉 별건수사를 할 수 있는 경찰을 통해 하고 있어 문제이다. 다만 우리나라법의 해당 조항에서 정보수집·제공 사실을 정보주체에게 통지할 의무, 감염병 예방 및 전파 차단의 목표로만 정보가 이용되어야 한다는 목적 제한, 업무 종료시 지체 없이 파기할 의무를 규정한 것은 그나마 다행이다.  

지금과 같은 전 지구적 위기는 모두에게 처음이며 특히 범죄수사 외의 목적으로 위치정보를 강제수집하는 것이 타당한지, 타당하다면 어떤 기준과 절차를 거쳐야 하는지 국제인권기준은 명백하지 않으며 위와 같은 정보수집을 반대하는 것은 아니다. 한국이 검사를 자신있게 많이 할 수 있었던 것도 위와 같은 제도를 통해 접촉자나 접촉의심자를 다수 찾아낼 수 있었기 때문이기도 한다. 다만 우리나라의 법이 국제적 지평 내에서 어디에 위치하는지를 의식하면서 위 법을 집행하고, 위기상황을 벗어나서 재검토할 것을 요구한다. 

자가격리대상자의 위치감시

정부는 격리대상자의 위치감시를 위해 손목밴드 착용의 강제를 고려하고 있다고 한다. 기존의 자가격리앱은 격리자의 동의에 의해서만 설치되어 설치율이 낮고 폰을 두고 다니거나 위치추적기능을 끌 수 있다는 이유에서다. 

질문에 답이 포함되어 있다고 본다. 자가격리 명령은 감염병예방및관리법 제42조에 따라 이루어지고 이를 어기면 처벌도 된다. 이와 같은 준법의무 외에 자가격리앱이든 위치추적 기기이든 특정 기기나 소프트웨어의 설치를 국민의 신체에 강제하기 위해서는 국민의 대표인 국회가 만든 법적 근거가 필요하다. 하물며 자동차 안전벨트도 이에 대한 구체적인 법률이 있기 때문에 강제될 수 있는 것이다. 과속을 금지하는 도로교통법조항 만을 근거로 속도감시앱을 국민의 자동차에 설치하도록 강제할 수는 없는 것과 마찬가지이다. 자유민주주의 국가에서 법률의 준수는 국민의 윤리적인 책임으로 맡겨져야지 물리적으로 강제한다는 것은 고도의 사회적 동의를 필요로 한다.  

결국 법적 근거가 없기 때문에 자가격리앱의 설치를 격리대상자에게 강제할 수 없었던 것인데 방법이 소프트웨어에서 하드웨어로 즉 손목밴드로 바뀐다고 해서 달라질 것은 없다. 또 설치율 제고가 아니라 탈착방지를 목적으로 하더라도 손목밴드든 뭐든 훼손을 막기 위해서는 어차피 그런 행위를 처벌하는 법률이 필요하기는 마찬가지이고 그런 처벌규정이 없다면 자가격리앱과 똑같은 실효성 문제가 발생한다. 특히 감염자가 아닌 사람에게 접촉이 의심된다는 이유만으로 자가격리 명령이 내려지는 경우 더욱 더 비례성에 어긋난다. 

선거운동기간인 현재 국회를 통해 이와 같은 법적 근거를 마련하는 것은 불가능하고 손목밴드 착용의 강제가 불가능한 이상 정부는 손목밴드 착용 강제 계획을 폐기해야 할 것이다. 이 문제 때문인지 강제가 아니라 동의를 얻어서 시행하겠다는 말도 들리는데 그러면 설치율 제고를 어차피 할 수 없고 탈착이 불가한다면 더욱 설치율은 낮아질 것이다. 

방역격리 명령의 준수를 물리적으로 강제하기 위해 특정기기의 착용을 강제하는 것이 타당한지 국제적인 인권기준 역시 아직 불분명하다. 대한민국은 입국금지와 같은 극단적인 국경통제를 하지 않은 거의 유일한 국가이며 입국자 격리에 대한 감시욕구가 더 강한 것도 사실이다. 그러나 기본권 제한의 대원칙은 지켜져야만 코로나 바이러스 방역을 통해 지키려는 우리 사회의 가치들이 온전히 보호될 것이다. 

2020년 4월 10일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]