2018년 에마뉴엘 마크롱 프랑스 대통령이 인터넷에서의 인종차별적, 반유대주의적 혐오 발언에 대하여 강력한 조치를 마련할 것을 약속한 이후, 2019년 3월 집권당 레퓌블리크 앙마르슈(LREM)의 대변인 래티시아 아비아(Laetitia Avia) 의원은 독일의 네트워크집행법을 모델로 한 ‘인터넷에서의 혐오 콘텐츠 규제 법안’(이하 “인터넷 혐오표현 금지법”) 일명 ‘아비아법’을 발의했다. 동 법안은 2019년 7월 프랑스 하원을 통과하고 상원으로 올라갔으나, 법안에 반대하는 일부 상원의원들이 헌법재판소에 위헌심사를 청구했다. 그리고 2020년 6월 18일, 프랑스 헌법재판소(Conseil constitutionnel)는 인터넷 혐오표현 금지법에 대해 위헌 결정을 내렸다. 사단법인 오픈넷은 프랑스 헌법재판소의 위헌 결정을 환영하며, 이 결정이 임시조치 제도와 ‘n번방 방지법’이라고 불리는 전기통신사업법 제22조의5 부가통신사업자의 불법촬영물 유통방지 의무 등 한국판 아비아법에 갖는 시사점을 살펴보고자 한다.

‘아비아법’은 SNS, 검색 엔진 등 플랫폼 사업자에게 신고가 들어온 지 24시간 이내에 ‘명백한(manifestly)’ 불법 콘텐츠를 삭제할 의무를 부과하고, 이를 위반한 사업자를 처벌하는 법이다. 명백한 불법 콘텐츠에는 인종, 종교, 민족, 성별, 성적 지향 또는 장애를 이유로 차별, 적대감, 폭력을 선동하는 혐오표현, 이러한 집단이나 개인에 대한 차별적 모욕, 홀로코스트 부인, 성폭력 등이 포함된다. 아울러 테러 미화·선동 콘텐츠나 아동음란물은 행정당국의 요청이 있으면 1시간 이내에 삭제해야 한다. 사업자가 이를 어길 경우, 개인은 1년 이하의 징역 및 25만 유로 이하의 벌금, 법인은 125만 유로 이하의 벌금에 처해진다.

아비아법에 대해 프랑스 내부에서도 혐오 콘텐츠의 범위가 모호하고, 사업자에게 과도한 검열 권한을 준다는 비판이 끊이지 않았다. 찬성파 의원들은 인터넷 혐오표현을 규제하기 위해서는 디지털 플랫폼에 책임을 지워야 한다는 입장이었으나, 사업자가 합법적인 콘텐츠마저 삭제해 표현의 자유를 침해할 수 있다는 이유로 반대하는 의원들도 상당수였다. 아울러 국가디지털위원회(CNNum: Conseil national du numerique), 국가인권자문위원회(la Commission nationale consultative des droits de l’homme), 프랑스의 디지털 권리 단체인 라 캬드라튀르 뒤 넷(La Quadrature du Net)과 같은 기관들도 이 법안의 채택을 반대해왔다. 민간 사업자에 검열 권한을 부여함으로써 표현의 자유를 후퇴시켜서는 안 된다는 것이 이들의 입장이었다. 또한 국제적 인권단체인 아티클19은 아비아법이 표현의 자유에 관한 국제 인권 기준에 반한다고 하면서, 플랫폼과 불법 콘텐츠의 범위가 광범위하며 법원의 판단이 배제된 사적 검열을 강화하고, 24시간 이내라는 삭제 기한이 너무 짧고, 처벌이 과도하여 콘텐츠의 과잉 삭제를 유발할 수 있다는 점을 비판해왔다.

프랑스 헌재는 아비아법의 해당 조항들이 프랑스 헌법상 표현과 의사소통의 자유를 침해한다고 판시했다. 헌재는 먼저 테러 콘텐츠 또는 아동음란물 1시간 이내 삭제 조항에 대해서는 1. 테러 콘텐츠인지 아동음란물인지가 콘텐츠의 본질적인 특성에 따라 결정되지 않고 행정당국의 판단에 전적으로 달려있다는 점, 2. 사업자가 1시간이 경과한 후에 삭제 요청에 대해 이의를 신청하거나 1시간 기간을 정지시킬 수 없다는 점, 3. 사업자가 콘텐츠 삭제 전 법원의 결정을 받을 시간이 없는 점, 4. 형량이 과도한 점을 들어 목적을 달성하기에 필요하고 비례적인 수단이 아니기 때문에 위헌이라고 판시했다.

다음으로 명백한 불법 콘텐츠 24시간 이내 삭제 조항에 대해서는 1. 신고가 접수되었을 때 명백한 불법 콘텐츠로서 삭제할지 여부에 대한 결정을 법원이 아니라 전적으로 사업자가 내리는 점, 2. 명백한 불법 콘텐츠인지를 판단하고 결정하는 것은 매우 어려울 수 있다는 점, 3. 사업자는 24시간 이내에 결정해야 하는데 불법성 판단의 어려움과 사업자가 검토해야 할 신고의 건수가 많을 수 있다는 것을 감안하면 24시간은 매우 짧은 기간이라는 점, 4. 사업자 책임 면책 조항의 범위가 명확하지 않다는 점, 5. 형량이 과도하다는 점에 비추어 볼 때 동 조항은 사업자가 신고가 들어오면 콘텐츠의 불법성과 상관없이 삭제하도록 강제하기 때문에 위헌이라고 보았다.  

정보매개자에게 자신이 인지하지 못한 불법적인 이용자 게시물에 대해서 책임을 지워서는 안 된다는 정보매개자 책임제한 원리(intermediary liability safe harbor)는 국제 인권 기준의 일부이다. 왜냐하면 정보매개자가 사전검열이나 일반적 감시를 할 수밖에 없게 만들어 이용자의 표현의 자유를 침해하기 때문이다. 아비아법은 행정기관이나 사인의 신고가 있는 게시물에 대해 책임을 지운다는 면에서 본연의 정보매개자 책임제한 원리를 위배하지 않는 것으로 보이나, 게시물의 존재만 인지했을 뿐 그 불법성을 인지하지 못한 상황에서 정보매개자에게 게시물에 대한 책임을 지운다는 면에서 정보매개자의 사적 검열을 강요하기는 마찬가지이다. 프랑스 헌재가 아비아법 결정에서 불법성 판단을 행정당국 또는 사업자에게 전담시킨 것에 표시한 불만도 이런 맥락에서 이해할 수 있다.    

이에 비추어 우리나라 법을 살펴보자면 우선 “임시조치”라고도 불리는 정보통신망법 제44조의2가 바로 이런 문제를 아직도 가지고 있다.^[1] 권리자가 정보의 삭제를 요청하면 사업자가 게시물이 권리를 침해했는지 판단해야 하기 때문이다. 결국 실무적으로는 요청이 들어오면 판단을 거치지 않고 무조건 차단(임시조치)을 하는 방식으로 운영되고 있어 표현의 자유와 알 권리를 심각하게 제한하고 있다. 또 방송통신위원회 설치법 제21조 3호 및 4호에 의한 방송통신심의위원회^[2]의 통신심의 역시 행정기관이 표현물의 삭제를 강제한다는 면에서 아비아법 전반부와 비슷하다. 여기에 더하여 ‘n번방 방지법’이라는 미명 하에 개정된 전기통신사업법 제22조의5는 제1항에서 불법촬영물등에 대한 신고가 들어왔을 때 사업자가 지체 없이 삭제할 사후적 의무를 지우고 있고, 제2항에서 사업자가 불법촬영물등의 유통을 방지하기 위한 사전적 조치를 취할 의무를 지우고 있다.^[3]

사업자의 불법정보 사후적 유통방지 의무를 규정한 아비아법은 콘텐츠 게시자가 이의제기를 할 수 있는 절차와 악의적인 신고에 대한 처벌 규정을 두고 있다는 점에서 표현의 자유 침해를 완화했음에도 불구하고 위헌 판단을 받았다. 그렇다면 프랑스 헌재의 입장에 비추어볼 때 제22조의5 제1항의 사후적 유통방지 의무는 이의제기 절차도 없고, 신고 남용에 대한 제재도 없으며, 불법성에 대한 법원의 판단이 전혀 개입하지 않으므로 위헌의 소지가 높다. 게다가 제2항에 따른 사전적 유통방지 의무는 사업자가 게시물의 불법성 및 존재 자체도 인지하지 못하는 상황에서 형사책임을 지운다는 면에서 정보매개자 책임제한 원리를 정면으로 위배하고 있으며 아비아법보다 위헌성이 훨씬 크다. 

오픈넷은 불법촬영물의 유통을 방지하고자 하는 ‘n번방 방지법’의 입법 취지와 그 필요성에는 공감한다. 그러나 유통방지에 전혀 실효적이지 않으면서 플랫폼 사업자에게 사전적인 사적 검열 의무를 지워 인터넷 이용자의 표현의 자유와 프라이버시를 침해하는 전기통신사업법 제22조의5 제2항에는 반대한다. 제22조의5 제1항 역시 정보통신망법의 ‘임시조치’ 제도 및 방송통신심의위원회 행정심의와 함께 이번 프랑스 헌재 위헌 결정에 비추어 계속 재검토가 되어야 한다. 오픈넷은 이번 프랑스 아비아법 위헌 결정의 취지와 같이 한국판 아비아법들에 대한 입법적 개선이 이루어지도록  지속적으로 노력할 것이다.

____________________________

[1] 정보통신망이용촉진및정보보호에관한법 제44조의2(정보의 삭제요청 등) ① 정보통신망을 통하여 일반에게 공개를 목적으로 제공된 정보로 사생활 침해나 명예훼손 등 타인의 권리가 침해된 경우 그 침해를 받은 자는 해당 정보를 처리한 정보통신서비스 제공자에게 침해사실을 소명하여 그 정보의 삭제 또는 반박내용의 게재(이하 “삭제등”이라 한다)를 요청할 수 있다.
② 정보통신서비스 제공자는 제1항에 따른 해당 정보의 삭제등을 요청받으면 지체 없이 삭제ㆍ임시조치 등의 필요한 조치를 하고 즉시 신청인 및 정보게재자에게 알려야 한다. 이 경우 정보통신서비스 제공자는 필요한 조치를 한 사실을 해당 게시판에 공시하는 등의 방법으로 이용자가 알 수 있도록 하여야 한다.
③ 정보통신서비스 제공자는 자신이 운영ㆍ관리하는 정보통신망에 제42조에 따른 표시방법을 지키지 아니하는 청소년유해매체물이 게재되어 있거나 제42조의2에 따른 청소년 접근을 제한하는 조치 없이 청소년유해매체물을 광고하는 내용이 전시되어 있는 경우에는 지체 없이 그 내용을 삭제하여야 한다.
④ 정보통신서비스 제공자는 제1항에 따른 정보의 삭제요청에도 불구하고 권리의 침해 여부를 판단하기 어렵거나 이해당사자 간에 다툼이 예상되는 경우에는 해당 정보에 대한 접근을 임시적으로 차단하는 조치(이하 “임시조치”라 한다)를 할 수 있다. 이 경우 임시조치의 기간은 30일 이내로 한다.
⑤ 정보통신서비스 제공자는 필요한 조치에 관한 내용ㆍ절차 등을 미리 약관에 구체적으로 밝혀야 한다.
⑥ 정보통신서비스 제공자는 자신이 운영ㆍ관리하는 정보통신망에 유통되는 정보에 대하여 제2항에 따른 필요한 조치를 하면 이로 인한 배상책임을 줄이거나 면제받을 수 있다.

[2] 방송통신위원회의 설치및 운영에 관한 법 제21조 제3호와 제4호 (심의위원회의 직무) 심의위원회의 직무는 다음 각 호와 같다. [중략]
3. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제44조의7에 규정된 사항의 심의
4. 전기통신회선을 통하여 일반에게 공개되어 유통되는 정보 중 건전한 통신윤리의 함양을 위하여 필요한 사항으로서 대통령령으로 정하는 정보의 심의 및 시정요구
정보통신망이용촉진및정보보호에관한법 제44조의7 (불법정보의 유통금지 등) [생략]
② 방송통신위원회는 제1항제1호부터 제6호까지, 제6호의2 및 제6호의3의 정보에 대하여는 심의위원회의 심의를 거쳐 정보통신서비스 제공자 또는 게시판 관리ㆍ운영자로 하여금 그 처리를 거부ㆍ정지 또는 제한하도록 명할 수 있다. 다만, 제1항제2호 및 제3호에 따른 정보의 경우에는 해당 정보로 인하여 피해를 받은 자가 구체적으로 밝힌 의사에 반하여 그 처리의 거부ㆍ정지 또는 제한을 명할 수 없다. <개정 2016.3.22, 2018.6.12>. . . [전문개정 2008.6.13]

[3] 전기통신사업법 제22조의5(부가통신사업자의 불법촬영물 등 유통방지) ① 제22조제1항에 따라 부가통신사업을 신고한 자(제22조제4항 각 호의 어느 하나에 해당하는 자를 포함한다) 및 특수유형부가통신사업자 중 제2조제14호가목에 해당하는 자(이하 “조치의무사업자”라 한다)는 자신이 운영ㆍ관리하는 정보통신망을 통하여 일반에게 공개되어 유통되는 정보 중 다음 각 호의 정보(이하 “불법촬영물등”이라 한다)가 유통되는 사정을 신고, 삭제요청 또는 대통령령으로 정하는 기관ㆍ단체의 요청 등을 통하여 인식한 경우에는 지체 없이 해당 정보의 삭제ㆍ접속차단 등 유통방지에 필요한 조치를 취하여야 한다.
1. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조에 따른 촬영물 또는 복제물(복제물의 복제물을 포함한다)
2. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조의2에 따른 편집물ㆍ합성물ㆍ가공물 또는 복제물(복제물의 복제물을 포함한다)
3. 「아동ㆍ청소년의 성보호에 관한 법률」 제2조제5호에 따른 아동ㆍ청소년성착취물
② 전기통신역무의 종류, 사업규모 등을 고려하여 대통령령으로 정하는 조치의무사업자는 불법촬영물등의 유통을 방지하기 위하여 대통령령으로 정하는 기술적ㆍ관리적 조치를 하여야 한다.

2020년 7월 30일

사단법인 오픈넷

문의: 사단법인 오픈넷 02-581-1643, [email protected]

[관련 글]
[논평] 제21대 국회는 위헌적인 N번방 방지법의 신속한 개정을 추진하라 (2020.06.11.)
[기자회견] 오픈넷, 전기통신사업법 각종 쟁점 해설 기자설명회 개최 (2020.05.18.)
[공동논평] 스타트업·소비자시민단체, 국회·정부에 방송통신3법 관련 공동의견서 제출 (2020.05.17.)
[논평] 국민의 기본권 침해 우려 있는 전기통신사업법 개정안 입법을 중단하라 (2020.05.13.)
[논평] n번방 재발방지, 처벌과 함께 인식변화 병행되어야 (2020.04.16.)
[논평] 디지털 성범죄의 강력한 처벌을 위해서는 음란물과 디지털 성범죄물의 명확한 구분과 함께 디지털 성범죄물 양형기준 신설 필요 (2020.04.06.) 

세계 최대 아동성학대와 성착취물 사이트를 운영한 웰컴투비디오(W2V) 운영자인 손정우에 대한 미국 법원의 범인인도요청에 대한민국 법원이 결국 불허 결정을 내렸다. 아동과 여성을 성적으로 학대하고 이를 이용해 금전적인 수익을 노린 이들의 성적 착취 행각에 강도 높은 처벌이 이루어질 수 있도록 아동성학대물과 성표현물을 구분하는 양형기준을 세울 것을 요구해왔던 사단법인 오픈넷은 대한민국 법원의 이와 같은 결정에 깊은 유감을 표명한다. 나아가 한국 사회의 관대한 성범죄 처벌 문화가 하루빨리 해결될 것을 강력히 바라는 바이다. 

30여 개에 달하는 국가가 공조하여 손정우를 잡아들였다는 사실은 이 사이트에서 유통된 성범죄물의 규모를 어림짐작하게 한다. 그럼에도 불구하고 손정우에 대한 18개월의 실형이라는 기존의 국내법상 처벌은 지나치게 관대했다. “미국이나 영국 국적의 피의자들이 받은 형량을 비교해보면, 음란물 유포, 성폭행 혐의 등으로 기소된 영국인 카일 폭스(26)는 징역 22년형을 선고받았고, 아동 음란물 수령 및 돈세탁 혐의를 받는 미국인 니콜라스 스텐겔(45)에게는 징역 15년, 종신보호관찰형이 선고됐다. 특히 미국인인 전 국토안보수사국 요원 리처드 니콜라이 그래코프스키(40)는 영상을 1회 다운로드하고 해당 웹사이트에 1차례 접속한 혐의로 징역 70개월, 보호관찰 10년, 그리고 7명의 피해자에 대한 3만 5000달러 배상을 선고”받았는데, 정작 W2V의 운영자보다 훨씬 무겁게 처벌을 받은 것이다. 미국 측의 범죄인 인도요청에 한국 사회가 큰 기대를 걸었던 이유는 범죄에 비해 납득할 수 없이 가벼웠던 처벌을 보완할 수 있는 처벌이 이루어질 수 있을 것이라는 희망 때문이었다. 

그러나 범죄인 인도조약이 그와 같이 이중처벌의 도구가 되어서는 안 된다. 이에 따라 미국 정부는 한국 정부가 손정우에게 적용하지 않은 범죄수익은닉죄로 인도신청을 하였다. 미국 정부가 새로운 죄목으로라도 손정우를 미국으로 불러 처벌하려 한 것은 국제적인 범죄로 미국 국민에게도 영향을 끼친 범죄임을 고려할 때 충분한 공익적인 이유가 있다. 이런 맥락을 염두에 둔다면 재판부의 이번 결정은 더욱 실망스러운 것일 수밖에 없다. 한국이라는 지역성에 매몰되지 않아야 하는 국제적 규모의 사건임에도 불구하고 사이버 범죄의 특수성에 대한 깊은 고려없이 범인의 소재지가 한국이었다는 근거를 들며 미국 송환을 불허하였다. 국내 W2V 회원들에 대한 수사를 근거로 들어 재판부가 내린 이 결정은 그렇기 때문에 명백히 사건의 규모를 축소시켰다. 

재판부는 손정우를 정당하게 처벌할 수 있도록 미국 송환 불허 결정을 내렸다고 했다. 그러나 이와 같은 재판부의 ‘결단’을 우리 사회가 그리 신뢰하는 것 같지는 않다. 판결 이후 쏟아져 나오는 전문가들의 의견은 재판부에 대한 사회의 불신이 허황된 것만은 아님을 뒷받침한다. 법적 전문가들은 미국의 ‘자금세탁방지법’은 암호화폐에 대해서도 엄격하게 혐의를 적용해 처벌이 가능하지만, 국내법에서는 암호화폐의 가장·은닉(자금세탁)에 대한 공소유지가 어려우며, 관련 법규정이 미비한 상태라 검찰이 기소를 못한 것이라 하였고, 범죄수익을 추징하거나 몰수하는 경우는 많지만 자금세탁은 자금의 은닉을 입증하기 굉장히 까다로울 뿐만 아니라 관련 법조항도 상당히 복잡하다고 한다. 또한 범죄수익 은닉의 규제 및 처벌 등에 관한 법률 개정안이 시행된 지난해 4월부터 이달 4일까지 1년 간 성폭력처벌등에관한특례법 제14조를 위반한 범죄에 대한 범죄수익 몰수와 추징보전 사례는 1건이 유일하다. 무엇보다 국내 사법체계에서 범죄수익은닉 혐의에 대한 법정 최고형이 징역 5년, 벌금 3000만원이라 해외 처벌수위보다 상당히 낮다. 결국 세계의 수많은 아동들에게 피해를 입힌 “세계에서 가장 위험한 아동성범죄자”인 손정우는 한국 사법당국의 섣부른 처리로 가벼운 처벌만 받고 끝나버려 그렇게 많은 나라들의 공조로 이룬 성과를 우리나라가 거의 무산시켜버리는 부끄러운 이력으로 남을 가능성이 높아졌다. 

디지털 성범죄를 관대하게 다룬 결과가 얼마나 끔찍할 수 있을 것인지를 보여주는 사건이 ‘웰컴투비디오’와 ‘n번방’ 사건일 것이다. 우리 사회는 사회적 약자인 여성과 아동을 대상으로 한 성학대물의 배포는 물론이고 이를 통해 금전적인 수익을 갈취하는 것이 심각한 범죄 행위라고 인식해야 한다. 오픈넷은 성학대물의 소지에 대해서도 논의가 시작되어야 한다는 의견을 낸 바도 있다. 오픈넷은 손정우가 정당한 처벌을 받기 바란다는 서울고법 형사20부 강영수 부장판사의 바람과 여성과 아동에게 영구히 피해를 입히는 성학대와 착취물의 근절을 위해 사법 당국이 손정우의 남은 죄를 샅샅이 밝혀 강력하게 처벌할 것을 촉구한다. 

2020년 7월 10일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[논평] 관대한 양형 개선과 아청법 개정을 통한 아동음란물 관련 범죄자 엄벌을 촉구한다 (2019.10.28.)  

사단법인 오픈넷은 지난 6월 3일 행정예고된 「가명정보의 결합 및 반출 등에 관한 고시(안)」에 대한 의견서를 제출했다. 오픈넷은 지난 4월 논평을 통해 「개인정보 보호법 시행령」에 대하여 다음과 같이 지적한 바 있다. 1. 가명화를 전제로 하여 이루어지는 “과학적 연구”의 연구결과물이 사회 전반에 공유되도록 의무화되어야 하며, 2. 각종 기업들이 연구 등의 목표와 무관하게 가명정보를 이용할 위험에 대비하기 위해서는 현재 법률상 가명화만으로도 정보주체들의 견제 권리(열람권, 정정권, 삭제권, 처리거부권 등)가 제한되도록 한 부분을 보완해야 하며, 3. 프라이버시 침해 위험성을 낮추기 위해 가명정보 결합 절차에 있어서 재식별키와 연구대상 데이터를 하나의 기관이 보유하지 못하도록 해야 한다. 

그러나 이번 고시(안)을 검토한 결과, 재식별키와 연구대상 데이터를 별도의 기관이 보유하도록 한 부분은 반가운 일이나 이와 같은 하위법령의 변경만으로 GDPR의 ‘가명화를 통한 추가이용’ 기준을 실현하려 한 입법취지가 제대로 실현되기 위해서는 갈 길이 멀어 보인다. 고시(안)은 결합전문기관의 ‘과학적 연구’ 여부 판단능력 제고와 관련된 규정 미비, 재식별키 보관기관의 합법성 문제, 가명정보의 결합 및 반출 실적 보고서 공적 통제를 위한 공시 의무화 필요, 가명정보의 결합신청 사후 사전 통제 절차 미비, 반출승인 기준 미비 등 프라이버시를 보호하기 위한 절차가 명확하게 마련되어 있지 못하다. 오픈넷은 한 번 더 아래와 같이 고시(안)의 개선방안에 대하여 의견을 제시한다. 

문의: 오픈넷 박경신 이사 [email protected], 오픈넷 사무국 02-581-1643

「가명정보의 결합 및 반출 등에 관한 고시(안) 」에 대한 의견 

○ 취지 

• 이 고시는 「개인정보 보호법」(이하 “법”이라 한다) 제28조의3과 「개인정보 보호법 시행령」 ( 이하 “영”이라 한다) 제29조의2부터 제29조의4에 따라 결합전문기관 지정 및 가명정보의 결합·반출 등에 관한 기준‧절차 등을 정하는 것을 목적으로 하고 있음. 
• 이에 고시(안) 각 조문을 살펴보고 다음과 같이 검토 의견을 밝힘.

○ 검토 의견 

1. 결합전문기관의 ‘과학적 연구’ 판단능력 제고 규정 미비 

고시(안) 제5조(결합전문기관의 지정 절차) ③ 보호위원회등은 결합전문기관 지정 신청을 받은 경우 지정 기준의 적합 여부를 결합전문기관 지정심사위원회(이하 “지정심사위원회”라 한다)를 구성하여 심사하여야 한다. 이 경우 지정심사위원회는 개인정보 보호 또는 데이터 활용에 관한 학식과 경험이 풍부한 5명의 위원으로 구성한다. 

1) 결합전문기관 지정 기준에 결합 목적, 용도, 결과 및 발표시점 등 공적통제를 위한 기준, 절차 미비 

• 개정법은 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합에 대해 공적 통제의 방식을 선택하였음. 그렇다면 공적 통제의 주체가 될 결합전문기관은 결합이 합법적인지 심사할 필요가 있으며 특히 ‘과학적 연구’가 과학이라는 학술적 관행과 내용을 갖추고 있는지, ‘공익적 기록보존’이 충분히 공익적인지를 심사해야 하며 이를 위해서는 (1) 연구결과 및 기록결과물의 향후 활용 계획 및 (2) 연구결과 및 결과기록의 발표시점 등을 <결합신청서>에 적도록 하여 심사에 반영해야 할 것임. 

• <결합전문기관 지정 기준>에 결합전문기관이 학술적 관행에 따라 연구가 진행되고 연구결과가 공개될지에 대해 심사한다는 내용과 그런 심사를 할 수 있는 인력을 갖춘다는 기준이 명확하게 제시될 필요가 있음.

2. 가명정보의 결합 및 반출 실적 보고서 공적 통제를 위한 공시 의무화 필요 

고시(안) 제6조(결합전문기관의 관리･감독) ① 결합전문기관은 매년 1월 31일까지 다음 각 호의 서류를 작성하여 보호위원회등에게 제출하여야 한다. 
1. 가명정보의 결합 및 반출 실적 보고서 

• 역시 개정법은 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합에 대해 공적 통제의 방식을 선택한 이상 언제 가명화가 이루어져있는지 공시할 필요가 있음. 이렇게 하지 않으면 정보주체는 가명화된 자신의 가명정보가 어떤 목적으로 어떻게 결합되어 활용되는지 알 수 있는 방법이 전무함. 적어도 결합전문기관의 홈페이지 등에 결합과 관련한 최소한의 정보를 공개하여 해당 목적에 맞게 가명정보 결합이 이루어지고 있는지 등에 대해 정보주체들에 의한 감시가 이루어질 수 있게 해야 함. 예를 들어, ‘삼성생명의 고객정보를 SK텔레콤의 고객정보와 결합했다’라는 공지를 하여 각 고객이 원하면 자신의 정보가 결합되었는지 어떤 목적으로 이용되었는지 알 수 있도록 할 필요가 있음.

3. 충분한 가명화에 대한 심사절차 부재 

고시(안) 제8조(가명정보의 결합 신청 등) ① 결합신청자는 [별지 제3호서식]의 결합 신청서와 첨부 서류를 결합전문기관에 제출하여야 한다. 
② 결합전문기관은 제1항에 따른 신청서 및 첨부서류를 확인하고 보완이 필요한 경우 결합신청자에게 보완을 요구하여야 한다. 
③ 결합전문기관은 가명정보의 결합 일정 및 절차 등 결합에 필요한 사항을 결합신청자와 협의하여야 한다. 
④ 결합키관리기관은 결합키 생성에 필요한 사항을 결합신청자와 협의할 수 있다. 

1) 결합 전 가명화가 제대로 이루어졌는지 심사 절차 필요 

• 결합전문기관이 자신이 제공받은 속성정보를 결합하기 전에 가명화가 제대로 되었는지 확인하는 절차가 없음. 물론 개인정보처리자가 스스로 가명정보를 과학적 연구 목적으로 이용하기 전에 가명화를 명확하게 철저하게 해야 하고 그렇지 않은 경우 위반이 발생하므로 스스로 조심할 동기는 있음. 

• 그러나 가명화하여 과학적 연구 목적으로 이용하는 것 전반에 대해서는 공적 통제가 없지만 결합행위에 대해서만큼은 공적 통제가 있는 이상 결합전문기관이 스스로 결합행위를 통해 개인정보를 침해하지 않도록 사전에 가명화가 제대로 이루어졌는지 심사를 할 필요가 있음. 가명화가 제대로 되어 있지 않은 정보를 결합하는 것은 개인정보를 동의 없이 처리하는 것이고 결합전문기관 스스로도 개인정보 보호법을 위반할 수 있음.

• 특히 결합을 통해 재식별위험은 더 높아질 수 있음. 예를 들어 k익명성이 각 3인 정보를 받아서 결합할 경우 k익명성이 2로 줄어들 수 있으므로 그 위험은 더욱 높기 때문에 결합전문기관은 스스로 익명화 정도를 확인할 필요가 있음. 

2) 개인정보처리자, 결합키관리기관, 결합전문기관이 상호 동일하거나 상호소유관계에 있어서는 안 된다는 별도 규정이 필요함 

• ‘개인정보처리’는 여러 가지 행위가 포함되며 서로 다른 개인정보를 결합하여 해당 개인에 대해 더 많은 속성을 알게 하는 행위도 포함됨. 

• 이 ‘결합’ 행위를 2020년 2월 4일 공표된 개정 「개인정보 보호법」은 국가가 정한 전문기관만이 할 수 있도록 하여 공적 통제 하에 두기로 한 것임. 그렇다면 민간에게 공적 통제를 위탁할 때 요구되는 각종 규제가 모두 적용되어야 할 필요가 있음. 예를 들어, 개인정보처리자, 결합키관리기관, 결합전문기관이 상호동일하거나 상호소유관계에 있어서는 안 된다는 별도 규정이 필요함. 

• 개인정보처리자들이 공동출자하여 만든 회사가 결합전문기관지정을 받을 수는 없음. 특히 본인확인기관 지정을 받은 회사들은 엄청나게 많은 정보들을 연계할 수 있기 때문에 결합전문기관 지정에서 배제되어야 할 필요가 있음. 

• 결합키관리기관에게 연계키 생성을 위한 개인식별정보제공이 개인정보 보호법 위반 논란이 제기될 수 있으므로 개인정보 보호법에서 결합키관리기관에 대해 명확한 법적 근거를 마련할 필요가 있음. 이는 결합전문기관은 법률에 정해져 있고 또 원칙적으로 가명화된 속성정보만을 다루므로 개인정보 보호법 위반 상황이 발생하지 않는 것과 비교됨.

4. 반출승인 기준 미비 

고시(안) 제11조(반출승인) ③ 반출심사위원회는 다음 각 호의 사항을 고려하여 반출 심사를 하여야 한다. 
1. 결합 목적과 반출 정보와의 관련성이 있을 것 
2. 반출 정보만으로는 특정 개인을 알아볼 수 없을 것 
3. 반출 정보를 제공받는 자가 특정 개인을 알아보기 위하여 사용할 수 있는 정보가 포함되어 있지 않을 것 
4. 반출 정보에 대해 적절한 안전조치 계획을 수립하였을 것

• 결합정보의 반출은 지극히 예외적 상황에서만 엄격한 기준에 따라 허용되어야 할 것임. 이번 고시(안)은 ‘관련성’이라는 포괄적 기준, ‘특정개인을 알아볼 수 없을 것’이라고만 함으로써 반출을 원하는 기업이 이미 가지고 있는 개인정보와 결합해서 식별가능한 정보로 환원될 가능성이 있는 정보인지 그 자체만으로는 불분명하고 또한 이 같은 기준마저도 고려할 사항으로 제시할 뿐 의무 규정도 아님.

[관련 글]
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.06.)

2020년 5월 30일 제21대 국회가 출범했다. 제21대 국회가 최우선적으로 추진해야 할 과제 중 하나는 제20대 국회 막바지에 인권 침해 우려가 제기되었음에도 성급하게 이루어진 소위 “n번방 방지법”의 일부 내용에 대한 개정일 것이다. 사단법인 오픈넷은 제21대 국회에 죄형법정주의와 포괄위임금지원칙에 위반되는 전기통신사업법 제22조의5 제2항의 신속한 개정을 촉구한다. 

개정 전기통신사업법 제22조의5 제2항은 “전기통신역무의 종류, 사업 규모 등을 고려하여 대통령령으로 정하는 부가통신사업자”가 불법촬영물, 딥페이크 영상, 아동·청소년이용성착취물(이하 “불법촬영물”)의 유통을 방지하기 위해 “대통령령으로 정하는 기술적·관리적 조치”를 할 의무를 지우고, 이러한 조치를 하지 않는 사업자는 3년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 하고 있다.^[1] 그런데 n번방과 같은 범죄의 재발을 방지하고 피해자를 보호하기 위해 부가통신사업자에게 불법촬영물의 유통을 방지할 의무를 지우고자 하는 입법취지는 타당하나, 현재의 문언은 헌법상 원칙인 죄형법정주의와 포괄위임금지원칙에 명백히 위배된다. 

“법률이 없으면 범죄도 없고 형벌도 없다”라는 말로 표현되는 죄형법정주의는 이미 제정된 정의로운 법률에 의하지 아니하고는 처벌되지 아니한다는 원칙으로서 이는 무엇이 처벌될 행위인가를 국민이 예측가능한 형식으로 정해야 한다는 법치국가 형법의 기본원칙이다. 한편 헌법 제75조는 대통령령에 의한 위임 입법을 허용하고 있지만, 위임을 하는 경우에도 법률에 이미 대통령령으로 규정될 내용 및 범위의 기본사항이 구체적으로 규정되어 있어서 누구라도 당해 법률로부터 대통령령에 규정될 내용의 대강을 예측할 수 있어야 하며, 특히 처벌법규를 위임할 때는 처벌대상인 행위가 어떠한 것일 것이라고 이를 예측할 수 있을 정도로 구체적으로 정하고 형벌의 종류 및 그 상한과 폭을 명백히 규정하여야 한다 

그런데 전기통신사업법 제22조의5 제2항은 “종류, 사업 규모 등을 고려하여 대통령령으로 정하는 부가통신사업자”가 “대통령령으로 정하는 기술적·관리적 조치”를 취하지 않을 경우 그 사업자를 처벌해야 한다고 하는데, 어떤 부가통신사업자가 어떤 조치를 취해야 하는지 문언만 봐서는 전혀 예측을 할 수 없다. 즉 처벌 규정의 수범자와 처벌 대상인 행위의 내용을 전혀 알 수 없는 것이다. 대통령령을 만들게 될 방송통신위원회가 아무리 비공개 대화방은 포함되지 않으며, 신고 기능 수준의 기술적 조치만을 요구할 것이라고 단언한다 해서 문언의 위헌성이 치유되는 것이 아니다. 

또한 오픈넷이 지적해온 바와 같이 현재의 기술로 가능한 기술적 조치는 키워드 필터링과 해시값/DNA 필터링 두 가지가 있다. 키워드 필터링은 정보의 제목이나 파일명 등이 특정 키워드를 포함하는지를 비교하여 필터링하는 기술이고, 해시값/DNA 필터링은 동영상의 해시값이나 DNA 등 특징을 분석하여 만들어진 데이터베이스에 기반한 필터링 기술이다. 어떤 방식의 필터링을 적용하든지 간에 사업자가 불법촬영물을 발견하기 위해서는 이용자가 공유하는 정보를 다 들여다봐야 한다. 그런데 만약 대통령령이 정하는 부가통신사업자에 텔레그램이나 카카오톡 등 비공개 대화방 서비스를 제공하는 사업자가 포함되어 이러한 사업자가 대화 내용을 들여다봐야 한다면 이는 헌법 제18조가 보호하는 통신비밀의 침해이자 공개되지 않은 타인간의 대화의 녹음 또는 청취를 금지하는 통신비밀보호법 위반이다. 그리고 비공개 대화방이 아닌 일반에 공개된 게시판이라도 정보매개자인 플랫폼에 이용자가 올리는 모든 콘텐츠를 일일히 확인하도록 하는 소위 “일반적인 모니터링(general monitoring)” 의무를 부과하는 것은 사적 검열을 강화해 이용자의 표현의 자유를 침해할 수 있기 때문에 정보매개자 책임에 대한 국제적 인권 기준^[2]에 어긋난다.

더욱이 유통방지 의무가 부과되는 “불법촬영물”이란 성폭력처벌법에 의하면 “성적 욕망 또는 수치심을 유발할 수 있는 사람의 신체를 촬영대상자의 의사에 반하여 촬영”한 촬영물과 촬영 당시에는 촬영대상자(피해자)의 의사에 반하지 않더라도 이후 피해자의 의사에 반하여 배포된 촬영물을 말한다. 문제는 촬영한 부위가 “성적 욕망 또는 수치심을 유발할 수 있는 사람의 신체”인지에 대한 판단이 쉽지 않으며, 성폭력처벌법상 성범죄는 친고죄나 반의사불벌죄가 아니므로 피해자가 없어도 처벌이 가능한데, 만약 피해자가 특정이 되지 않거나 찾을 수 없는 경우에는 촬영 당시 또는 배포 당시에 피해자의 의사에 반했는지를 확인할 길이 없다. 결국 사업자의 입장에서는 형사처벌을 면하기 위해서 조금이라도 성적인 이미지나 영상은 다 차단·삭제해야 할 것이고 결국 과도한 검열이 이루어질 수밖에 없을 것이다.

불법촬영물의 유통을 방지하고자 하는 “n번방 방지법”의 입법 취지와 그 필요성에는 공감한다. 그러나 전기통신사업법 제22조의5 제2항의 문언으로는 유통방지 의무를 지는 부가통신사업자의 범위와 범죄의 구성요건을 전혀 예측할 수 없어 명백한 죄형법정주의 위반이다. 행정부인 방송통신위원장의 구두 해명은 법률의 위헌성에 아무런 영향을 미칠 수 없다. 이는 입법부가 해결해야 할 문제이다. 제21대 국회가 하루라도 빨리 개정 논의를 시작할 것을 촉구한다.

[1] 제22조의5(부가통신사업자의 불법촬영물 등 유통방지) ① 제22조제1항에 따라 부가통신사업을 신고한 자(제22조제4항 각 호의 어느 하나에 해당하는 자를 포함한다) 및 특수유형부가통신사업자 중 제2조제14호가목에 해당하는 자(이하 “조치의무사업자”라 한다)는 자신이 운영ㆍ관리하는 정보통신망을 통하여 일반에게 공개되어 유통되는 정보 중 다음 각 호의 정보(이하 “불법촬영물등”이라 한다)가 유통되는 사정을 신고, 삭제요청 또는 대통령령으로 정하는 기관ㆍ단체의 요청 등을 통하여 인식한 경우에는 지체 없이 해당 정보의 삭제ㆍ접속차단 등 유통방지에 필요한 조치를 취하여야 한다.
1. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조에 따른 촬영물 또는 복제물(복제물의 복제물을 포함한다)
2. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조의2에 따른 편집물ㆍ합성물ㆍ가공물 또는 복제물(복제물의 복제물을 포함한다)
3. 「아동ㆍ청소년의 성보호에 관한 법률」 제2조제5호에 따른 아동ㆍ청소년성착취물
② 전기통신역무의 종류, 사업규모 등을 고려하여 대통령령으로 정하는 조치의무사업자는 불법촬영물등의 유통을 방지하기 위하여 대통령령으로 정하는 기술적ㆍ관리적 조치를 하여야 한다.

[2] JOINT DECLARATION ON FREEDOM OF EXPRESSION AND THE INTERNET by The United Nations (UN) Special Rapporteur on Freedom of Opinion and Expression, the Organization for Security and Co-operation in Europe (OSCE) Representative on Freedom of the Media, the Organization of American States (OAS) Special Rapporteur on Freedom of Expression and the African Commission on Human and Peoples’ Rights (ACHPR) Special Rapporteur on Freedom of Expression and Access to Information, June 1, 2011; EU Electronic Commerce Directive 2000/31/EC, Article 15(1)

2020년 6월 11일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[기자회견] 오픈넷, 전기통신사업법 각종 쟁점 해설 기자설명회 개최 (2020.05.18.)
[공동논평] 스타트업·소비자시민단체, 국회·정부에 방송통신3법 관련 공동의견서 제출 (2020.05.17.)
[논평] 국민의 기본권 침해 우려 있는 전기통신사업법 개정안 입법을 중단하라 (2020.05.13.)
[논평] n번방 재발방지, 처벌과 함께 인식변화 병행되어야 (2020.04.16.)
[논평] 디지털 성범죄의 강력한 처벌을 위해서는 음란물과 디지털 성범죄물의 명확한 구분과 함께 디지털 성범죄물 양형기준 신설 필요 (2020.04.06.) 

참가신청: https://goo.gl/forms/OI91MCcX44bCLMlc2

사단법인 오픈넷이 2월 13일(수) 오후 2시, 스타트업얼라이언스에서 EU 전문가를 초청하여 “5G 시대에 대비한 유럽의 망중립성 규제”를 주제로 세미나를 개최한다.

망중립성 원칙의 발상지인 미국의 연방통신위원회(FCC)는 2017년 12월 망중립성 원칙을 폐기했다. 반면 EU는 2015년 망중립성법(Open Internet Access Regulation, EU 2015/2120)을 통과시켰으며, EU의 통신규제기관인 유럽전자통신규제기구(Body of European Regulators for Electronic Communications, 이하 BEREC)는 2016년 망중립성 가이드라인을 발표하고 망중립성 감시시스템 개발에 착수하는 등 강력한 망중립성 규제를 유지하고 있다.

이에 반해 최근 한국에서는 5G 시대를 맞아 망중립성을 완화해야 한다는 주장이 대두되고 있으며, 통신사가 계열사 콘텐츠에 제로레이팅을 제공하는 사례도 증가하고 있다. 또한 2015년에는 상호접속고시 개정으로 전 세계에서 유일하게 한국만 발신자 부담 상호정산 방식을 도입한 결과, 대형 콘텐츠기업(CP)은 통신사의 망 투자에 기여해야 한다는 논리에 근거한 ‘망사용료’라는 한국에서만 통용되는 개념이 생겨났고, 이로 인해 최근 페이스북과 SK브로드밴드 간 분쟁이 발생하기도 했다.

망중립성은 필요에 근거한 ‘합리적’ 차별, 즉 일반 인터넷 속도에 악영향을 주지 않는 ‘관리형 서비스’는 허용한다고 하는데, 이 때 판단 기준이 (1) 5G에서 10배 넘게 늘어난 대역폭인지 현재의 대역폭인지, (2) 망중립성이 네트워크 설계 이론에서 유래한다면 제로레이팅과 같은 ISP의 수익 창출 방식을 망중립성 문제라고 할 수 있는지, (3) 망중립성이 데이터 상한제나 유정산직접접속(paid-peering)을 허용하는데 ‘망사용료’는 허용하지 않을 이유는 무엇인지, 결국 ‘망중립성이란 무엇인가’에 대해 국내에서는 정부나 통신사, 인터넷기업, 그리고 전문가들까지 각자 다 다른 견해를 갖고 있는 것으로 보인다.

이에 오픈넷은 BEREC의 2016년 망중립성 가이드라인 및 보고서 작성을 주도한 2010-2018 BEREC 망중립성 전문가 워킹그룹(BEREC Net Neutrality Expert Working Group)의 의장이었으며 현재 노르웨이 통신위원회(Nkom)의 수석자문인 프로드 소렌슨(Frode Sørensen)씨를 초빙하여, EU에서는 5G 시대에 대비하여 망중립성 규제를 어떻게 하고 있는지 알아보고 국내 망중립성 논의에 대한 시사점을 찾아보고자 한다.

본 세미나에서는 소렌슨씨의 발제 후 박경신 고려대 법학전문대학원 교수가 좌장을 맡아 종합토론을 진행한다. 토론자로는 오병일 진보네트워크센터 활동가, 조대근 잉카리서치앤컨설팅 대표컨설턴트, 차재필 인터넷기업협회 정책실장, 홍대식 서강대 법학전문대학원 교수가 참여한다.

참가신청은 아래 링크를 통해 할 수 있으며, 망중립성 이슈에 관심 있는 많은 분들의 참석을 바란다.

참가신청: https://goo.gl/forms/OI91MCcX44bCLMlc2

문의: 오픈넷 사무국 02-581-1643, [email protected]

사단법인 오픈넷이 서울지방변호사회가 주최하는 2020년 예비법률가 공익인권 프로그램에서 정보인권분야 협력단체로 선정되었습니다. 프로그램에 선정되신 분은 오픈넷과 함께 표현의 자유 관련 헌법소원 청구서 작성 연습, 코로나 시대의 프라이버시 보호에 대한 사례 연구, 가상의 저작권 상담 사례 답변 작성 연습, KrIGF 등 인터넷 거버넌스 행사 참석 등의 업무를 수행하게 됩니다. 많은 참여 바랍니다.

2020 공익익권 프로그램 신청:
https://docs.google.com/forms/d/e/1FAIpQLSdxmt-hWtPWEy5Z827Q13vypR-F-IURaDsUhp08hmlM0o99uw/viewform

서울지방변호사회에서 2020년 예비법조인 공익인권프로그램을 진행합니다. 공익인권 분야에 관심있고 공익변호사로서 진로를 모색하고 있는 로스쿨생 여러분들의 관심과 참여를 바랍니다.

이번 공익인권프로그램은 서울지방변호사회와 11개분야 16개 시민/사회단체가 공동으로 진행합니다. 공통프로그램을 통해 공익변호사에게 꼭 필요한 역량을 키우고, 관심있는 인권분야에서 활동하는 시민사회단체에서의 활동으로 살아 숨쉬는 인권현장의 실무를 경험할 수 있는 소중한 기회가 될 것입니다.

1. 지원자격 및 모집인원
– 지원자격 : 공익인권 분야에 관심있는 법학전문대학원 재학생 (1~2학년 대상)
– 모집인원 : 30명 내외

2. 주요일정
– 접수기간 : ~ 6월 14일 (일) 24:00
– 결과발표 : 2020년 6월 19일 (금) 12:00
– 활동기간 : 2020년 8월 10일 (월) ~ 8월 21일 (금) / 2주(10일)

3. 주요활동 (프로그램)
* 아래 프로그램은 상황에 따라 변경될 수 있습니다.

가. 공통프로그램
– 오리엔테이션 : 실무수습 일정 안내 및 상호 소개 / [특강] 공익변호사의 하루
– 역량강화 프로그램 : 각 분야별 주요 공익소송 수행 변호사로부터 듣는 실무강의
– 현장방문 : 출입국/외국인보호소, 구치소, 소년보호소, 보호감호소 등 실무현장 기관방문
– 평가와 네트워킹 : 개별 활동 소개 및 평가, 전업 공익변호사들과의 네트워킹과 진로상담

나. 협력기관 프로그램
– 다양한 분야에서 활동하고 있는 대표적인 시민사회단체(16개)에 직접 방문하여 진행
– 각 기관별 상근변호사 또는 기관과 1:1 매칭을 통한 멘토변호사 배정
– 협력기관
> 로펌 공익재단 ( 공익사단법인 온율, 공익사단법인 정)
> 민생경제 (경제정의실천시민연합)
> 사회복지 (서울사회복지공익법센터)
> 여성 (탁틴내일)
> 과거사 (민족문제연구소)
> 노동 (반도체 노동자의 건강과 인권지킴이 반올림, 사단법인 직장갑질119)
> 이주민 (한국이주여성인권센터, 사단법인 이주민센터 친구)
> 장애 (장애와인권 발바닥행동, 전국장애인차별철폐연대)
> 정보인권 (오픈넷)
> 환경 (기후솔루션)
> 국제연대 (Asian Dignity Initiative : 아디)
> 대안적 분쟁해결 (한국소비자단체협의회 자율분쟁조정위원회)

4. 문의: [email protected] (담당 : 조영관 변호사)

사단법인 오픈넷이 아카데미 7기 수강생을 선착순으로 모집합니다. 

2019년 12월 발생한 코로나 바이러스는 강력한 전파력으로 전 세계를 멈춰세웠습니다. 빠른 전파 속도, 대규모의 확진자와 사망자 수는 전 세계를 공포에 몰아넣었습니다. 한국 사회는 2002년 사스, 2009년 신종플루, 2013년 메르스를 경험하며 집단 감염의 공포와 폐해를 이미 경험했습니다. 

그러나 세 차례의 경험이 충분한 준비로 이어지지 못했음을 이번 사태를 겪으면서 우리 사회는 절실히 깨닫고 있습니다. 프라이버시와 공익 사이에서 불거진 갈등, 확산되는 가짜뉴스에 대한 정부의 강경론, 예상치않게 맞이하게 된 원격교육의 시대, 하루아침에 거리로 내몰리거나 감염병 노출의 위험에도 보호장치 없이 노동할 수밖에 없었던 플랫폼 노동자 문제는 코로나 바이러스 사태가 단순한 생체 질환이 아닌 사회적 차원의 문제임을 보여줍니다. 

전문가들은 집단 감염병의 시대가 일상화될 것이라 예견하기도 합니다. 주기적으로 반복되는 집단 감염병의 도래는 이 예견에 힘을 실어줍니다. 그렇다면 우리들이 지금부터 할 일은 코로나 사태를 계기로 드러난 사회적 문제를 해결할 방법을 찾는 일일 것입니다. 

수강신청은 온오프믹스(https://www.onoffmix.com/event/214799)에서 하실 수 있습니다. 관심있는 분들의 많은 참석을 바랍니다.

[오픈넷 아카데미 7기] “인터넷 법과 사회: 포스트 코로나 시대를 위해 우리가 해결해야 할 과제”

일시: 2020. 6. 1. ~ 7. 13. 매주 월요일 저녁 7:00 – 9:00 

장소: 뉴스타파함께센터 리영희홀(서울 중구 퇴계로 212-13)

[커리큘럼]

• 6/1(월) 1강: 사회적 격리가 촉발한 망중립성 갈등 – 박경신 교수(고려대학교 법학전문대학원)
• 6/8(월) 2강: 백신과 지적재산권 – 브루주 킬릭 Burcu Kilic, Research Director (Public Citizen) *원격연결
• 6/15(월) 3강: 자가격리와 세계보건기구의 게임질병코드 분류 – 황성기 교수(한양대학교 법학전문대학원)
• 6/22(월) 4강: 감염병 시대의 프라이버시 – 이상욱 교수(한양대학교 철학과)
• 6/29(월) 5강: 코로나 사태와 가짜뉴스 그리고 표현의 자유 – 류영재 판사(대구지방법원)
• 7/6(월) 6강: 코로나와 플랫폼 경제 – 복면강사
• 7/13(월) 7강: 코로나 시대의 인터넷을 가능케하는 기술 – 고양우 

수강료: 7만원 *부분 수강 가능

• 수강료 할인혜택: 학생(대학원생 포함) 50%, 오픈넷 후원회원 무료 
• 수강 신청 및 납부: 온오프믹스에서 “오픈넷” 검색(https://www.onoffmix.com/event/214799)
• 수강료는 후원금으로 처리되며, 기부금 영수증 발행이 가능합니다.
• 마스크와 손소독제를 오픈넷 측에서 현장에 추가로 비치합니다. 입장 전 모든 수강생 발열체크 합니다. 책상 간격은 2미터 이상 유지해 배치합니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

1월 28일, 유럽평의회(Council of Europe)가 108호 협약(Convention 108) 체결 40주년을 기념하여 개최하는 “2021 데이터 프라이버시의 날(Data Privacy Day 2021)” 아시아·태평양 지역 행사에 사단법인 오픈넷의 박경신 이사가 토론자로 참여한다. 웨비나에서 아시아태평양 지역의 정부대표, 개인정보보호기구, 시민사회단체 등은 지역의 최근 동향, 아태 지역 국가를 위한 108 협약의 이점, 아태국가들의 참여 방안, 가입 필요성 등에 대해 논의할 예정이다. 

유럽평의회의 108호 협약은 EU가 GDPR을 제정하기 이전부터 개인정보보호 원칙을 전 세계에 확산시키기 위해 유럽평의회(1949년 설립) 소속 국가들이 유럽인권협약(1950년 체결)에 근거하여 1981년 체결한 개인정보보호협약이다. 또한 유럽평의회 소속이 아닌 국가들의 가입도 개방되어 있어 이미 여러 비유럽국가들이 가입하였고, 내용도 변화하는 시대에 맞게 “108호 플러스 협약”으로 강화되었다. 108 협약 가입 여부는 GDPR의 적정성 평가의 주요 고려대상이다. 

108호 협약은 회원국과 참관자(observer)로 구성된 협약의 해석과 집행을 관장하는 협의위원회(Consultative Committee)를 두고 있으며, 우리나라는  EU에 적정성 평가를 신청하면서 협의위원회에 참관국으로 가입하여 활동하고 있다. 오픈넷은 2020년 11월 26일 협의위원회의 참관자 지위를 획득했으며, Privacy International, European Digital Rights(EDRi), Australian Privacy Foundation, European Association for the Defence of Human Rights (AEDH), Internet Society에 이어 6번째로 협의위원회에 참가한 시민사회단체이다.

웨비나에서는 Schrems II 판결 이후의 EU와 아시아국가들 사이의 관계 등에 대해서도 토론할 예정이다. 2021 데이터 프라이버시의 날 행사는 1월 28일 목요일 한국시간 오전 10시에 온라인으로 개최될 예정이며, Bluejeans 링크를 통해 참여할 수 있다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[보도자료] 오픈넷, 유럽평의회의 108호 협약의 협의위원회 참관자 지위 획득 (2020.11.26.) 

전기통신사업법 각종 쟁점 해설 기자설명회

2020. 5. 18.(월) 오후 2:30 / 서초동 오픈넷 회의실

사단법인 오픈넷은 혼란이 부각되고 있는 전기통신사업법 등의 각종 이슈들에 대해 자세히 해설하는 기자설명회를 5월 18일 오후 2시 30분에 오픈넷 회의실에서 개최합니다. 

국회는 ‘n번방 재발 방지’를 위해 전기통신사업법 특정 조항을 입법하려고 한다고 하였지만 방송통신위원회는 최근 기자회견을 통해 해당 조항은 비공개대화방에 적용되는 것이 아니라고 밝혔습니다. n번방은 불법촬영물이 비공개대화방에서 공유되어 피해가 발생한 사건인데 비공개대화방에 적용되지 않는다면 국회의 ‘N번방 재발방지’ 의도가 무색해집니다. 또 방통위의 해명처럼 ‘일반적으로 공개된 정보’에 적용되는 것이라면 기술적으로 똑같이 접근가능한 모든 전기통신사업자에게 적용하지 않고 왜 ‘부가통신사업자’에만 적용하는지, 기술적 조치 적용시 예방효과가 더욱 뛰어난 망사업자들에게는 적용하지 않는 것인지 의문입니다. 

또 국회는 넷플릭스 등 해외 업체들에게 안정적인 망 운영의 책임을 지우기 위해 전기통신사업법 특정 조항을 입법하려고 합니다. 그러나 실제 조항은 국내 부가통신사업자에게만 적용되어 국내 업체들의 인터넷접속료만 높이는 결과를 초래할 것입니다. 또한 그 부담 때문에 서비스의 질이 떨어질 수밖에 없어 국내 이용자들이 4K등 고품질 동영상을 국내 플랫폼에서 보기가 더 어려워집니다. 

공공재를 이용하는 망사업자들에 대한 공적 통제의 마지막 보루였던 인가제를 급히 폐지하려는 것도 통신비 인하 공약과 어긋날 뿐만 아니라 세계 최고의 인터넷접속료 때문에 국내 업체들로부터 좋은 서비스를 받지 못하는 국내 소비자들의 삶을 더욱 궁핍하게 만듭니다. 

인터넷데이터센터는 엄밀히는 서버군을 의미하고 학교, 교회 등등 어느 조직에나 해당될 수 있는데 방송국이나 망사업자와 같은 의무를 부과하려는 조항의 진의도 예측해봅니다. 그외 각종 이슈들에 대해 설명합니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

방송통신3법 졸속추진 중단하고 21대 국회에서 논의하라

스타트업기업·소비자시민단체, 국회와 과기부·방통위에 방송통신3법 관련 공동의견서 및 여야 원내대표단 면담요청서 전달

면담 답변 없으면 19일 국회 앞 기자회견 진행 후 방문예정

민생경제연구소, 사단법인 오픈넷, 소비자시민모임, 참여연대, 한국소비자연맹 등 통신·소비자·시민사회단체들과 1,300여 개의 스타트업 기업들의 모임인 코리아스타트업포럼은 오늘(5/17) 국회와 과학기술정보통신부, 방송통신위원회에 방송통신 3법(전기통신사업법, 정보통신망법, 방송통신발전기본법)의 졸속추진을 중단하고 21대 국회에서 충분한 논의를 거쳐 처리할 것을 촉구하는 공동의견서를 전달했습니다.

위 단체들은 공동의견서를 통해 지난 7일 국회 과학기술정보방송통신위원회 전체회의에서 통과된 방송통신 3법(전기통신사업법, 정보통신망법, 방송통신발전기본법)은 대기업인 이동통신 3사의 이익에는 크게 부합하고 규제의 정도나 부작용에 대한 검토는 충분하지 않은 반면, 다수의 인터넷·스타트업 기업들과 이동통신 소비자들의 편익은 침해하는 법안들이라고 지적했습니다. 또한 많은 사회적 논쟁이 벌어지고 있는 사안들인 만큼 20대 국회 임기 내에 처리하기 위해 무리하게 추진할 것이 아니라 다가올 21대 국회에서 충분한 공론화와 의견수렴, 논의를 거쳐 추진할 것을 요구하였습니다.

위 단체들은 공동의견서와 더불어 여야 원내대표단에 긴급면담요청서를 전달하였으며, 만약 면담에 대한 답변이 없으면 본회의 하루 전인 19일 국회 앞에서 면담촉구 기자회견을 열고 원내대표실로 방문할 계획임을 밝혔습니다. 

<방송통신3법 졸속추진에 대한 스타트업·소비자시민단체 공동의견서>

지난 7일 국회 과학기술정보방송통신위원회 전체회의에서 통과된 「전기통신사업법 일부개정법률안(위원장 대안)」, 「정보통신망법 일부개정법률안(위원장대안」, 「방송통신발전 기본법 일부개정법률안(위원장 대안)」은 대기업인 이동통신 3사 (SK텔레콤, KT, LG유플러스)의 이익에는 크게 부합하고 규제의 정도나 부작용에 대한 검토는 충분히 이루어지지 않은 반면, 다수의 인터넷·스타트업 기업들과 이동통신 소비자들의 편익은 침해하는 법안들입니다. 또한 해당 법안들은 대기업 이동통신사를 제외한 다수의 인터넷기업과 스타트업 기업, 소비자단체, 시민사회단체들이 각각의 이유를 들어 큰 우려를 표하고 있는 법안들이며, 동시에 많은 사회적 논쟁이 이루어지고 있는 사안들이기도 합니다.

그러나 국회 과방위와 정부는 대다수 국민들에게 적지 않은 영향을 미칠 이 중요한 법안들을 처리함에 있어 충분한 공론화와 의견수렴, 논의절차 없이, 20대 국회 종료 시한에 맞춰 처리하기 위한 ‘졸속 추진’을 강행하고 있습니다. 게다가 해당 법안들에는 전국민적인 공분을 일으킨 ‘N번방 사건’의 재발을 방지하기 위한 내용과 이동통신사들에 대한 규제를 완화하는 내용, 소비자들의 가계통신비 부담을 가중시킬 우려가 높은 내용, 국내 인터넷·스타트업 기업에게 상당히 모호한 의무와 책임을 강제하는 내용이 뒤섞여있습니다. 국회와 정부가 N번방 법안을 앞세워 대형이통사들에 대한 규제는 완화하는 반면, 인터넷사업자들에게는 과도한 의무와 책임을, 소비자들에게는 가계통신비 인상 부담을 지우는 법안을 묶어서 처리하고자 하는 것은 아닌지 매우 의심스러운 상황입니다.

이에 우리 소비자·시민사회단체들과 인터넷·스타트업 기업들은 국회와 정부가 추진 중인 「전기통신사업법 일부개정법률안」, 「정보통신망법 일부개정법률안」, 「방송통신발전 기본법 일부개정법률안」의 졸속 추진을 즉각 중단할 것을 촉구합니다. 또한 곧 임기만료를 앞둔 20대 국회가 위 법안들을 이번 임기 내에 무리하게 처리할 것이 아니라 다가올 21대 국회에서 충분한 공론화와 의견수렴, 논의를 거쳐 추진할 것을 요구합니다.

2020. 5. 17.

사단법인 오픈넷, 참여연대, 코리아스타트업포럼, 
민생경제연구소, 소비자시민모임, 한국소비자연맹

문의: 오픈넷 사무국 02.581-1643, [email protected]

글 | 황성기 (한양대 법학전문대학원 교수, 오픈넷 이사장)

신종 코로나바이러스감염증(코로나19)에 대한 우리나라의 방역 및 대응은 현재 전세계적으로 모범적인 모델로 각광받고 있다. 우리나라의 코로나 대응전략은 투명성, 개방성, 민주성 등으로 요약될 수 있는데, 이러한 전략의 수행과정에서 개인정보의 활용은 필수적이다. 코로나19가 완전히 종식된 후에 우리나라의 감염병 예방에 관한 전반적인 시스템을 반성적으로 회고하고 성찰하는 시기가 올 것이다. 비록 현재까지는 세계적인 모범으로 각광받고 있지만, 100점 만점짜리 전략이나 시스템은 존재하기 어렵기 때문이다. 향후 시스템의 점검 및 개선에 있어서는 감염병 예방을 포함한 공중보건시스템과 개인정보를 포함한 프라이버시 보호의 문제를 균형있게 조화시킬 수 있는 방안을 모색할 필요가 있다. 이러한 차원에서 감염자의 과거 위치정보를 국가기관이 제공하는 확진자 동선(이동경로) 공개 정책과 자가격리자의 격리장소로부터의 이탈 방지 및 감시를 위한 손목밴드 착용 강제 정책의 문제를 한 번 고민해 볼 필요가 있다.

먼저 확진자 동선 공개 정책은 ‘감염병의 예방 및 관리에 관한 법률’에 근거해서 이루어지고 있다. 보건복지부장관은 감염병 확산으로 인해 주의 이상의 위기경보가 발령되면 감염병 환자의 이동경로, 이동수단, 진료의료기관 및 접촉자 현황 등 국민들이 감염병 예방을 위하여 알아야 하는 정보를 신속히 공개해야 한다. 여기서 공개되는 정보에는 개인정보가 포함되기 마련이다. 왜냐하면 개인정보는 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 의미하고, 성별, 연령, 이동경로, 이동수단, 진료의료기관 등은 서로 결합되어 개인을 식별할 수 있게 하기 때문이다. 문제는 공개되는 개인정보의 범위이다. 예컨대, 확진자가 다녀간 장소와 날짜 및 시간대만 공개하면 되지 성별, 연령 등 개인을 구체적으로 식별할 수 있게 하는 개인정보는 공개할 필요가 없지 않은가의 의문이 제기된다. 독일에서 우리나라의 확진자 동선 공개 정책과 비슷한 제도의 입법을 논의하다가 프라이버시 침해를 이유로 중단하고, 감염자의 휴대폰에 근접한 휴대폰에 자동으로 경고신호를 보내주는 방식을 논의하고 있는 것으로 알려졌는데 프라이버시 침해 문제에 대한 나름대로의 고민이 엿보인다.

다음으로 자가격리자의 격리장소로부터의 이탈 방지 및 감시를 위한 손목밴드 착용 강제 정책이다. 손목밴드 착용 강제 정책도 피부착자의 위치와 이동경로 등 위치정보를 실시간으로 파악하여 피부착자를 24시간 감시할 수 있도록 해 개인정보 침해 문제를 갖고 있다. 문제는 현재 법적인 근거도 존재하지 않는다는 점이다. 따라서 현재로서는 손목밴드 착용 강제는 불가능하다. 문제는 법률을 개정해서 도입하는 경우에도, 그 정당성에 대한 문제제기는 여전히 남는다는 점이다. 왜냐하면 자가격리 처분에 따르지 아니한 자에 대해서는 이미 ‘감염병의 예방 및 관리에 관한 법률’에 의해 300만원 이하의 벌금에 처해질 수 있기 때문에(처벌 수준이 너무 낮은 것이 아니냐의 문제는 별론으로 하더라도), 이에 더해서 손목밴드 착용 강제까지 추가하는 것은 프라이버시에 대한 과도한 침해라는 문제제기가 가능하기 때문이다. 실제로 손목밴드 착용 강제 정책이 제안됐을 때부터, 빅 브라더의 출현을 가능케 할 수 있는 강력한 시민통제장치들의 도입 유혹에 대해 경계하는 목소리도 분명히 존재했다.

결국 확진자 동선 공개 정책과 손목밴드 착용 강제 정책의 문제는 전체주의적 감시체제의 강화, 시민의 자유와 권리 수호 사이의 극단적인 대립 내지 양자택일의 문제는 아니라 하더라도 감염병 예방을 위한 개인정보의 활용 방식 및 범위와 관련해 고민하게 하는 화두를 던지고 있는 셈이다. 보다 심도있는 논의와 사회적 합의가 필요하다고 생각한다.

이 글은 아시아경제에 기고한 글입니다. (2020.05.08.)

n번방 사건에 대한 전 국민적인 분노가 그동안 방치되어온 디지털 성범죄에 대한 대책 마련을 조금이나마 견인하고 있다. 4월 23일 정부는 디지털 성범죄 근절 대책을 발표하였으며, 4월 29일 국회 역시 ‘n번방 사건 재발 방지법’이라 불리는 성폭력 처벌법 개정안 및 형법 개정안 등을 통과시켰다. 디지털 성범죄를 실질적으로 근절하기 위해서는 여전히 끊임없는 관심과 노력이 필요할 것이다. 

지난 7일 국회 과학기술정보방송통신위원회 전체회의를 통과한 전기통신사업법 개정안 역시 이러한 노력의 일환이며 입법 취지와 필요성에는 공감한다. 또한 디지털 성범죄 영상의 유통을 차단하기 위한 인터넷 사업자들의 책임성이 강화될 필요가 있다. 그러나 이번 개정안에서 부가통신사업자에게 불법촬영물 유통 방지를 위한 기술적·관리적 조치 의무를 지우는 내용은 이러한 유통 방지 의무가 텔레그램이나 카카오톡처럼 비공개 대화방 서비스에도 적용된다면 이용자의 통신비밀, 프라이버시, 표현의 자유 등 기본권을 침해할 우려가 있다. 사단법인 오픈넷은 21대 국회에서 심도 깊은 논의를 거쳐 기본권 침해 우려가 없는 법안을 낼 수 있도록 현 개정안의 입법을 중단할 것을 촉구한다.

개정안 제22조의5 제2항^[1]은 대통령령(시행령)으로 정하는 부가통신사업자가 성폭력처벌법 제14조에 따른 불법촬영물, 제14조의2에 따른 딥페이크 영상, 아동·청소년이용음란물(이하 “불법촬영물”)의 유통을 방지하기 위한 기술적·관리적 조치를 취하도록 하고, 이러한 조치를 하지 않을 경우 3년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 하고 있다. 시행령의 내용은 아직 정해져 있지 않지만 같은 조항에 대한 현 전기통신사업법 시행령^[2]을 참고하자면 이러한 기술적 조치에는 크게 1. 정보의 제목, 특징 등을 비교하여 해당 정보가 불법정보임을 인식할 수 있는 조치 2. 불법정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치가 있다. 이 중 정보의 제목, 특징 등을 비교하는 기술적 조치는 키워드 필터링과 해시값/DNA 필터링 두 가지가 있다. 키워드 필터링은 정보의 제목이나 파일명 등이 특정 키워드를 포함하는지를 비교하여 필터링하는 기술이고, 해시값/DNA 필터링은 동영상의 해시값이나 DNA 등 특징을 분석하여 만들어진 데이터베이스에 기반한 필터링 기술이다. 

어떤 방식의 필터링을 적용하든지 간에 사업자가 불법촬영물을 발견하기 위해서는 이용자가 공유하는 정보를 다 들여다봐야 한다. 그런데 만약 대통령령이 정하는 부가통신사업자에 텔레그램이나 카카오톡 등 비공개 대화방 서비스를 제공하는 사업자가 포함되어 이러한 사업자가 대화 내용을 들여다봐야 한다면 이는 헌법 제18조가 보호하는 통신비밀의 침해이자 공개되지 않은 타인간의 대화의 녹음 또는 청취를 금지하는 통신비밀보호법 위반이다. 그리고 이미 아동·청소년의 성보호에 관한 법률 제17조의 ‘기술적 조치’ 의무 조항이 비공개 카카오그룹에 적용되어 이석우 전 카카오 대표가 기소된 사례가 있음에 비추어본다면, 개정안의 기술적 조치 의무가 사적 대화에 대한 감시를 독려할 위험성을 아예 배제할 수 없다. 게다가 종단간 암호화 등 암호화 기술이 적용된 서비스를 제공하는 사업자에게 위와 같은 기술적 조치를 취하라고 한다면, 사업자는 이용자의 통신 내용 감시를 위해 암호화 기술을 무력화시켜야 할 수도 있다. 그리고 불법정보를 검색하거나 송수신하는 것을 제한하는 기술적 조치도 사업자가 이용자들이 어떤 정보를 검색 또는 송수신하는지 알아야만 할 수 있고, 합법정보의 검색 또는 합법정보나 대화의 송수신까지 제한될 수 있으며 이 경우 알 권리, 표현의 자유, 통신의 자유 침해가 발생한다. 개정안이 이와 같이 비공개 대화방을 통한 소통까지 사적 감시하게 하려는 목적이 아니라면, 유통 방지 의무를 부담하는 부가통신사업자의 범위를 대통령령이 아니라 법률에서 명확히 밝혀줄 필요가 있다.

불법촬영물의 유통을 방지하고자 하는 개정안의 입법 취지와 그 필요성에는 공감한다. 그러나 현재 개정안의 문언만으로는 유통 방지 의무를 지는 부가통신사업자의 범위를 예측하기 어려워 자칫 이용자의 통신 비밀과 표현의 자유 침해를 야기하는 것으로 이해될 수 있다. 방송통신위원회나 여당 과방위 수석전문위원의 구두해명으로는 그런 오해를 막을 수 없다. 정부는 유통 방지 의무의 적용 범위를 명확히 밝힐 것과 20대 국회는 현 개정안의 입법을 중단할 것을  촉구한다. 

[1] 제22조의5(부가통신사업자의 불법촬영물 등 유통방지) ② 대통령령으로 정하는 부가통신사업자는 불법촬영물등의 유통을 방지하기 위해 대통령령으로 정하는 기술적·관리적 조치를 하여야 한다.
제95조의2(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
1의3. 제22조의5제2항에 따른 기술적·관리적 조치를 하지 아니한 자. 다만, 제22조의5제2항에 따른 기술적·관리적 조치를 하기 위하여 상당한 주의를 게을리하지 아니하였거나 제22조의5제2항에 따른 기술적·관리적 조치가 기술적으로 현저히 곤란한 경우에는 그러하지 아니하다. 

[2] 전기통신사업법 시행령 제30조의3(불법음란정보의 유통 방지를 위한 기술적 조치 등) ① 법 제22조의3제1항제2호에서 "대통령령으로 정하는 기술적 조치"란 다음 각 호의 모두에 해당하는 조치를 말한다. 
1. 법 제22조제2항에 따라 특수한 유형의 부가통신사업을 등록한 자 중 법 제2조제13호가목에 해당하는 역무를 제공하는 자(이하 이 조에서 "사업자"라 한다)가 정보의 제목, 특징 등을 비교하여 해당 정보가 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제44조의7제1항제1호에 따른 불법정보(이하 "불법음란정보"라 한다)임을 인식할 수 있는 조치
2. 사업자가 제1호에 따라 인식한 불법음란정보의 유통을 방지하기 위하여 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
3. 사업자가 제1호의 조치에도 불구하고 불법음란정보를 인식하지 못하여 해당 정보가 유통되는 것을 발견하는 경우 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
4. 사업자가 불법음란정보 전송자에게 불법음란정보의 유통 금지 등에 관한 경고문구를 발송하는 조치

2020년 5월 13일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

코로나19의 영향으로 화상회의 수요가 급증하고 있으며, 그 중 가장 널리 이용되고 있는 화상회의 솔루션으로는 줌(Zoom)이 있습니다. 그런데 최근 “줌 폭격(Zoom bombing)” 등 여러 가지 보안 문제가 불거지면서 줌을 사용해도 되는지 우려하는 이용자들이 늘어나고 있으며, 캐나다 토론토대학교 산하 시티즌랩 연구소는 줌의 보안성에 대한 보고서를 공개하기도 했습니다. 이에 사단법인 오픈넷은 보다 안전한 줌 이용을 위해 미국의 정보인권 시민단체인 전자개척자재단(EFF)이 발표한 “프라이버시 보호와 트롤 방지를 위한 줌 설정 강화(Harden Your Zoom Settings to Protect Your Privacy and Avoid Trolls)“의 내용을 번역·수정해 배포합니다.

프라이버시 보호와 트롤 방지를 위한 줌 설정 강화

다음 단계를 수행하여 줌 프라이버시 설정을 강화하고 “줌 폭격” 트롤로부터 회의를 보호하세요. 아래의 각 설정은 개별적이므로 전부 적용하거나 순서대로 적용할 필요는 없습니다. 어떤 설정이 자신과 대화 그룹에 적합한지를 고려하고, 회의 호스트와 다른 참가자에게도 설정과 보안 수준에 대한 기대치를 공유해주시기 바랍니다.

<프라이버시 설정>

채팅 자동 저장 설정 해제

줌 프로필 설정의 회의 중(기본) 탭으로 들어가 채팅 자동 저장 버튼이 왼쪽으로 꺼져 있는지 확인하세요.

“Attention Tracking” 설정 해제 – 4/2부로 기능 삭제

가상 배경 사용

화상회의 중 참가자가 있는 공간은 거주지, 습관, 취미 등 많은 정보를 노출시킬 수 있습니다. 화상회의 배경에 사적 공간이 노출되는 것이 불편하다면 가상 배경을 설정하세요. PC에서는 왼쪽 하단 비디오 시작, 스마트폰 앱에서는 오른쪽 하단 더 보기로 들어가면 가상 배경을 설정할 수 있습니다. 

<트롤을 피하는 모범 사례>

줌이 그 어느 때보다도 널리 사용되면서, 줌의 공개 회의 ID 메커니즘은 침입자가 욕설, 비방, 음란물이나 혐오스러운 이미지를 퍼뜨려 회의를 방해할 수 있게 했습니다. 회의를 호스팅할 때는 다음의 단계를 수행하여 이러한 “줌 폭격”으로부터 자신과 회의 참가자를 보호하세요.

침입자는 두 가지 방법 중 하나로 회의를 찾을 수 있습니다: 활성화된 회의 ID를 찾을 때까지 랜덤하게 생성된 회의 ID를 돌려보거나, 페이스북 그룹, 트위터 또는 개인 웹사이트와 같은 공개된 장소에 게시된 회의 링크와 초대장을 이용할 수 있습니다. 따라서 회의 보안은 회의 참가자를 관리하고 회의 ID를 비공개하는 것으로 요약될 수 있습니다.

회의 ID를 비공개로 유지

가능하면 회의 링크 또는 회의 ID를 공개적으로 게시하지 마세요. 대신 신뢰할 수 있는 사람과 그룹에게 직접 보내세요.

회의 비밀번호 설정 및 회의 링크 확인

줌의 최신 업데이트 이후 교육용 계정뿐만 아니라 모든 계정에 대해 회의 비밀번호가 기본적으로 설정되어 있습니다.

그러나 줌 비밀번호는 예기치 않은 방식으로 작동할 수 있으니 주의하세요. “초대 URL 복사”기능을 사용하여 회의 링크를 복사하여 참가자에게 보낼 때 링크에 회의 비밀번호가 포함될 수 있습니다. 물음표 “?”가 포함되어 있는 비정상적으로 긴 URL을 주의하세요. 물음표는 회의 비밀번호가 포함되어 있음을 나타냅니다.

신뢰할 수 있는 참가자에게 회의 링크를 직접 보낼 때는 링크에 비밀번호가 포함돼도 아무런 문제가 없습니다. 그러나 페이스북 그룹, 트위터와 같은 공공 장소에 회의 링크를 게시하면 비밀번호 자체도 공개된다는 의미입니다. 이벤트를 온라인에 게시하는 경우 회의 ID만 게시한 다음 회의가 시작되기 직전 확인된 참가자에게 비밀번호를 별도로 보내세요.

비밀번호 설정을 찾으려면 내 계정 설정으로 들어가세요. “새 회의를 예약할 때 비밀번호가 필요합니다” 버튼이 오른쪽으로 켜져 있는지 확인하세요. 이 항목에서 다른 비밀번호 옵션도 확인할 수 있습니다.

화면 공유 잠금

내 계정 설정의 회의 중(기본) 항목에서 화면 공유를 호스트만으로 설정하세요. 이 경우 회의를 호스팅할 때 호스트만 화면 공유를 할 수 있고 다른 회의 참가자는 화면 공유를 할 수 없습니다.

호스팅하려는 회의에 따라 화면 공유 버튼을 왼쪽으로 이동하여 화면 공유를 완전히 끌 수도 있습니다.

참가자 확인을 위한 대기실 사용

줌의 최신 업데이트 이후 지금은 모든 계정에서 기본적으로 대기실이 활성화되었습니다. 대기실은 호스트가 새로운 참가자의 입장을 수락하기 전에 선별할 수 있도록 하여 방해꾼 또는 예상치 못한 참가자의 회의 참가를 막을 수 있습니다.

대기실은 내 계정 설정의 회의 중(고급) 항목에서 찾을 수 있습니다. 대기실 버튼이 오른쪽으로 켜져 있는지 확인하세요.

회의 잠금

모든 참가자가 들어오면 다른 사람이 참가하지 못하도록 회의를 “잠글” 수 있습니다. 줌 화면에서 보안 아이콘을 클릭한 뒤 옵션 맨 위 회의 잠금을 체크합니다.

보안 아이콘 옵션

위에서 설명한 다양한 설정에 액세스하는 또 다른 방법은 줌 회의를 호스팅할 때 화면 하단에 보이는 보안 아이콘을 사용하는 것입니다. 보안 아이콘을 사용하면 회의 잠금, 대기실 사용 및 회의 참가자의 화면 공유 제한과 같은 설정으로 빠르게 이동할 수 있습니다. 줌의 보도자료는 이 기능에 대해 더욱 자세히 설명하고 있습니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

동의를 대체하는 것은 가명화가 아니라 공익적인 과학연구

공익적인 과학연구는 연구결과의 공유를 전제로

재식별키와 연구 데이터는 별도 보관되어야

2020년 2월 4일의 개인정보보호법 개정은 공익적 기록 과학연구 및 통계 목적의 “추가처리” 조항들을 도입하기 위해 이루어졌다. 이는 개인정보 이용의 활성화를 위해 GDPR이 정보주체의 동의 없이 새로운 목적으로 정보를 처리(소위 “추가처리”) 하도록 허용하는 조항들 중에서 가장 활용가능성이 명확한 부분이다. 그러나 GDPR 기준을 구현하기 위해서는 다음과 같은 면에서 추가 입법 또는 하위법령 제정작업이 필요해보인다. 3월 31일 예고된 시행령은 이와 같은 요구에 한참 못 미친다. 

첫째, 가명화를 전제로 하여 이루어지는 과학연구의 연구결과물이 사회 전반에 공유되도록 의무화하기 위한 추가입법이 필요하다. 특히 현재 해석상 동의 없는 추가처리가 ‘상업적 연구’도 포함하게 되는데 이 경우 공익성의 확보를 위해서 연구결과의 공유가 필요하다. 가명화된 정보는 다른 정보와 용이하게 결합하여 식별성을 갖추게 되므로 당연히 개인정보이고, 이와 같은 개인정보를 정보주체의 동의 없이 새로운 목적으로 이용하도록 허용하는 “특례”가 인정되기 위해서는 공익적인 성격이 명백해야 한다. 즉 GDPR 전문이 유럽연구공역(European Research Area)을 언급하며 암시하고 있듯이 연구의 혜택이 사회에 환원되는 경우에만 동의 없는 추가처리가 허용되도록 하여 공익성을 보장하는 방향으로 법개정 또는 시행령 제정을 할 필요가 있다. 

둘째, GDPR 및 유럽의 기타 개인정보보호법들이 과학연구 목적을 동의요건 면제의 근거로 삼는 반면, 우리나라 개인정보보호법 개정안은 가명화를 동의요건 면제의 근거로 삼으면서 입법불비가 발생했다. 즉 가명화만 되면 과학연구 목적이 없음에도 불구하고 열람권, 정정권, 삭제권, 처리거부권 등의 정보주체의 권리들이 제한될 가능성이 열린 것이다. 이 조항은 각종 기업들이 연구 등의 공익적 목표와 무관하게 정보를 가명화하여 정보주체들의 권리를 제한할 위험을 발생시킨다. 물론 이 때 추가처리 또는 제3자제공은 동의가 요구되겠지만 포괄적 동의 등의 방법으로 우회할 수 있다. 시민단체들이 법개정 때문에 기업들에 의한 개인정보 판매가 더욱 수월해졌다고 주장했는데 과학연구목적이 아닐 경우에도 시민들의 옵트아웃(처리거부) 권리가 제한된다는 면에서 타당한 주장이다. 

셋째, 우리나라 개정법은 2개 이상의 데이터베이스의 결합을 국가기관이 지정한 전문기관이 하도록 하고 있는 반면, 결합의 절차에 있어서 재식별키와 연구대상 데이터를 하나의 기관이 보유하지 못 하도록 하는 유럽의 실무를 조문에 반영하고 있지 못 하고 있다. 하나의 전문기관이 재식별키와 연구대상 데이터를 보관하게 될 경우 프라이버시 침해 위험은 훨씬 높아진다. 3월 31일 예고된 시행령도 이 위험에 대한 대비책을 제시하지 못 하고 있다. 

개인정보보호법 가명화 도입이 원래 목적대로 프라이버시 보호와 개인정보 활용 사이의 균형을 잡도록 하기 위해서 위와 같은 과제들이 선결될 것을 요구한다. 

2020년 4월 9일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]