코로나19의 영향으로 화상회의 수요가 급증하고 있으며, 그 중 가장 널리 이용되고 있는 화상회의 솔루션으로는 줌(Zoom)이 있습니다. 그런데 최근 “줌 폭격(Zoom bombing)” 등 여러 가지 보안 문제가 불거지면서 줌을 사용해도 되는지 우려하는 이용자들이 늘어나고 있으며, 캐나다 토론토대학교 산하 시티즌랩 연구소는 줌의 보안성에 대한 보고서를 공개하기도 했습니다. 이에 사단법인 오픈넷은 보다 안전한 줌 이용을 위해 미국의 정보인권 시민단체인 전자개척자재단(EFF)이 발표한 “프라이버시 보호와 트롤 방지를 위한 줌 설정 강화(Harden Your Zoom Settings to Protect Your Privacy and Avoid Trolls)“의 내용을 번역·수정해 배포합니다.

프라이버시 보호와 트롤 방지를 위한 줌 설정 강화

다음 단계를 수행하여 줌 프라이버시 설정을 강화하고 “줌 폭격” 트롤로부터 회의를 보호하세요. 아래의 각 설정은 개별적이므로 전부 적용하거나 순서대로 적용할 필요는 없습니다. 어떤 설정이 자신과 대화 그룹에 적합한지를 고려하고, 회의 호스트와 다른 참가자에게도 설정과 보안 수준에 대한 기대치를 공유해주시기 바랍니다.

<프라이버시 설정>

채팅 자동 저장 설정 해제

줌 프로필 설정의 회의 중(기본) 탭으로 들어가 채팅 자동 저장 버튼이 왼쪽으로 꺼져 있는지 확인하세요.

“Attention Tracking” 설정 해제 – 4/2부로 기능 삭제

가상 배경 사용

화상회의 중 참가자가 있는 공간은 거주지, 습관, 취미 등 많은 정보를 노출시킬 수 있습니다. 화상회의 배경에 사적 공간이 노출되는 것이 불편하다면 가상 배경을 설정하세요. PC에서는 왼쪽 하단 비디오 시작, 스마트폰 앱에서는 오른쪽 하단 더 보기로 들어가면 가상 배경을 설정할 수 있습니다. 

<트롤을 피하는 모범 사례>

줌이 그 어느 때보다도 널리 사용되면서, 줌의 공개 회의 ID 메커니즘은 침입자가 욕설, 비방, 음란물이나 혐오스러운 이미지를 퍼뜨려 회의를 방해할 수 있게 했습니다. 회의를 호스팅할 때는 다음의 단계를 수행하여 이러한 “줌 폭격”으로부터 자신과 회의 참가자를 보호하세요.

침입자는 두 가지 방법 중 하나로 회의를 찾을 수 있습니다: 활성화된 회의 ID를 찾을 때까지 랜덤하게 생성된 회의 ID를 돌려보거나, 페이스북 그룹, 트위터 또는 개인 웹사이트와 같은 공개된 장소에 게시된 회의 링크와 초대장을 이용할 수 있습니다. 따라서 회의 보안은 회의 참가자를 관리하고 회의 ID를 비공개하는 것으로 요약될 수 있습니다.

회의 ID를 비공개로 유지

가능하면 회의 링크 또는 회의 ID를 공개적으로 게시하지 마세요. 대신 신뢰할 수 있는 사람과 그룹에게 직접 보내세요.

회의 비밀번호 설정 및 회의 링크 확인

줌의 최신 업데이트 이후 교육용 계정뿐만 아니라 모든 계정에 대해 회의 비밀번호가 기본적으로 설정되어 있습니다.

그러나 줌 비밀번호는 예기치 않은 방식으로 작동할 수 있으니 주의하세요. “초대 URL 복사”기능을 사용하여 회의 링크를 복사하여 참가자에게 보낼 때 링크에 회의 비밀번호가 포함될 수 있습니다. 물음표 “?”가 포함되어 있는 비정상적으로 긴 URL을 주의하세요. 물음표는 회의 비밀번호가 포함되어 있음을 나타냅니다.

신뢰할 수 있는 참가자에게 회의 링크를 직접 보낼 때는 링크에 비밀번호가 포함돼도 아무런 문제가 없습니다. 그러나 페이스북 그룹, 트위터와 같은 공공 장소에 회의 링크를 게시하면 비밀번호 자체도 공개된다는 의미입니다. 이벤트를 온라인에 게시하는 경우 회의 ID만 게시한 다음 회의가 시작되기 직전 확인된 참가자에게 비밀번호를 별도로 보내세요.

비밀번호 설정을 찾으려면 내 계정 설정으로 들어가세요. “새 회의를 예약할 때 비밀번호가 필요합니다” 버튼이 오른쪽으로 켜져 있는지 확인하세요. 이 항목에서 다른 비밀번호 옵션도 확인할 수 있습니다.

화면 공유 잠금

내 계정 설정의 회의 중(기본) 항목에서 화면 공유를 호스트만으로 설정하세요. 이 경우 회의를 호스팅할 때 호스트만 화면 공유를 할 수 있고 다른 회의 참가자는 화면 공유를 할 수 없습니다.

호스팅하려는 회의에 따라 화면 공유 버튼을 왼쪽으로 이동하여 화면 공유를 완전히 끌 수도 있습니다.

참가자 확인을 위한 대기실 사용

줌의 최신 업데이트 이후 지금은 모든 계정에서 기본적으로 대기실이 활성화되었습니다. 대기실은 호스트가 새로운 참가자의 입장을 수락하기 전에 선별할 수 있도록 하여 방해꾼 또는 예상치 못한 참가자의 회의 참가를 막을 수 있습니다.

대기실은 내 계정 설정의 회의 중(고급) 항목에서 찾을 수 있습니다. 대기실 버튼이 오른쪽으로 켜져 있는지 확인하세요.

회의 잠금

모든 참가자가 들어오면 다른 사람이 참가하지 못하도록 회의를 “잠글” 수 있습니다. 줌 화면에서 보안 아이콘을 클릭한 뒤 옵션 맨 위 회의 잠금을 체크합니다.

보안 아이콘 옵션

위에서 설명한 다양한 설정에 액세스하는 또 다른 방법은 줌 회의를 호스팅할 때 화면 하단에 보이는 보안 아이콘을 사용하는 것입니다. 보안 아이콘을 사용하면 회의 잠금, 대기실 사용 및 회의 참가자의 화면 공유 제한과 같은 설정으로 빠르게 이동할 수 있습니다. 줌의 보도자료는 이 기능에 대해 더욱 자세히 설명하고 있습니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

n번방 사건에 대한 전 국민적인 분노가 그동안 방치되어온 디지털 성범죄에 대한 대책 마련을 조금이나마 견인하고 있다. 4월 23일 정부는 디지털 성범죄 근절 대책을 발표하였으며, 4월 29일 국회 역시 ‘n번방 사건 재발 방지법’이라 불리는 성폭력 처벌법 개정안 및 형법 개정안 등을 통과시켰다. 디지털 성범죄를 실질적으로 근절하기 위해서는 여전히 끊임없는 관심과 노력이 필요할 것이다. 

지난 7일 국회 과학기술정보방송통신위원회 전체회의를 통과한 전기통신사업법 개정안 역시 이러한 노력의 일환이며 입법 취지와 필요성에는 공감한다. 또한 디지털 성범죄 영상의 유통을 차단하기 위한 인터넷 사업자들의 책임성이 강화될 필요가 있다. 그러나 이번 개정안에서 부가통신사업자에게 불법촬영물 유통 방지를 위한 기술적·관리적 조치 의무를 지우는 내용은 이러한 유통 방지 의무가 텔레그램이나 카카오톡처럼 비공개 대화방 서비스에도 적용된다면 이용자의 통신비밀, 프라이버시, 표현의 자유 등 기본권을 침해할 우려가 있다. 사단법인 오픈넷은 21대 국회에서 심도 깊은 논의를 거쳐 기본권 침해 우려가 없는 법안을 낼 수 있도록 현 개정안의 입법을 중단할 것을 촉구한다.

개정안 제22조의5 제2항^[1]은 대통령령(시행령)으로 정하는 부가통신사업자가 성폭력처벌법 제14조에 따른 불법촬영물, 제14조의2에 따른 딥페이크 영상, 아동·청소년이용음란물(이하 “불법촬영물”)의 유통을 방지하기 위한 기술적·관리적 조치를 취하도록 하고, 이러한 조치를 하지 않을 경우 3년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 하고 있다. 시행령의 내용은 아직 정해져 있지 않지만 같은 조항에 대한 현 전기통신사업법 시행령^[2]을 참고하자면 이러한 기술적 조치에는 크게 1. 정보의 제목, 특징 등을 비교하여 해당 정보가 불법정보임을 인식할 수 있는 조치 2. 불법정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치가 있다. 이 중 정보의 제목, 특징 등을 비교하는 기술적 조치는 키워드 필터링과 해시값/DNA 필터링 두 가지가 있다. 키워드 필터링은 정보의 제목이나 파일명 등이 특정 키워드를 포함하는지를 비교하여 필터링하는 기술이고, 해시값/DNA 필터링은 동영상의 해시값이나 DNA 등 특징을 분석하여 만들어진 데이터베이스에 기반한 필터링 기술이다. 

어떤 방식의 필터링을 적용하든지 간에 사업자가 불법촬영물을 발견하기 위해서는 이용자가 공유하는 정보를 다 들여다봐야 한다. 그런데 만약 대통령령이 정하는 부가통신사업자에 텔레그램이나 카카오톡 등 비공개 대화방 서비스를 제공하는 사업자가 포함되어 이러한 사업자가 대화 내용을 들여다봐야 한다면 이는 헌법 제18조가 보호하는 통신비밀의 침해이자 공개되지 않은 타인간의 대화의 녹음 또는 청취를 금지하는 통신비밀보호법 위반이다. 그리고 이미 아동·청소년의 성보호에 관한 법률 제17조의 ‘기술적 조치’ 의무 조항이 비공개 카카오그룹에 적용되어 이석우 전 카카오 대표가 기소된 사례가 있음에 비추어본다면, 개정안의 기술적 조치 의무가 사적 대화에 대한 감시를 독려할 위험성을 아예 배제할 수 없다. 게다가 종단간 암호화 등 암호화 기술이 적용된 서비스를 제공하는 사업자에게 위와 같은 기술적 조치를 취하라고 한다면, 사업자는 이용자의 통신 내용 감시를 위해 암호화 기술을 무력화시켜야 할 수도 있다. 그리고 불법정보를 검색하거나 송수신하는 것을 제한하는 기술적 조치도 사업자가 이용자들이 어떤 정보를 검색 또는 송수신하는지 알아야만 할 수 있고, 합법정보의 검색 또는 합법정보나 대화의 송수신까지 제한될 수 있으며 이 경우 알 권리, 표현의 자유, 통신의 자유 침해가 발생한다. 개정안이 이와 같이 비공개 대화방을 통한 소통까지 사적 감시하게 하려는 목적이 아니라면, 유통 방지 의무를 부담하는 부가통신사업자의 범위를 대통령령이 아니라 법률에서 명확히 밝혀줄 필요가 있다.

불법촬영물의 유통을 방지하고자 하는 개정안의 입법 취지와 그 필요성에는 공감한다. 그러나 현재 개정안의 문언만으로는 유통 방지 의무를 지는 부가통신사업자의 범위를 예측하기 어려워 자칫 이용자의 통신 비밀과 표현의 자유 침해를 야기하는 것으로 이해될 수 있다. 방송통신위원회나 여당 과방위 수석전문위원의 구두해명으로는 그런 오해를 막을 수 없다. 정부는 유통 방지 의무의 적용 범위를 명확히 밝힐 것과 20대 국회는 현 개정안의 입법을 중단할 것을  촉구한다. 

[1] 제22조의5(부가통신사업자의 불법촬영물 등 유통방지) ② 대통령령으로 정하는 부가통신사업자는 불법촬영물등의 유통을 방지하기 위해 대통령령으로 정하는 기술적·관리적 조치를 하여야 한다.
제95조의2(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
1의3. 제22조의5제2항에 따른 기술적·관리적 조치를 하지 아니한 자. 다만, 제22조의5제2항에 따른 기술적·관리적 조치를 하기 위하여 상당한 주의를 게을리하지 아니하였거나 제22조의5제2항에 따른 기술적·관리적 조치가 기술적으로 현저히 곤란한 경우에는 그러하지 아니하다. 

[2] 전기통신사업법 시행령 제30조의3(불법음란정보의 유통 방지를 위한 기술적 조치 등) ① 법 제22조의3제1항제2호에서 "대통령령으로 정하는 기술적 조치"란 다음 각 호의 모두에 해당하는 조치를 말한다. 
1. 법 제22조제2항에 따라 특수한 유형의 부가통신사업을 등록한 자 중 법 제2조제13호가목에 해당하는 역무를 제공하는 자(이하 이 조에서 "사업자"라 한다)가 정보의 제목, 특징 등을 비교하여 해당 정보가 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제44조의7제1항제1호에 따른 불법정보(이하 "불법음란정보"라 한다)임을 인식할 수 있는 조치
2. 사업자가 제1호에 따라 인식한 불법음란정보의 유통을 방지하기 위하여 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
3. 사업자가 제1호의 조치에도 불구하고 불법음란정보를 인식하지 못하여 해당 정보가 유통되는 것을 발견하는 경우 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
4. 사업자가 불법음란정보 전송자에게 불법음란정보의 유통 금지 등에 관한 경고문구를 발송하는 조치

2020년 5월 13일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

글 | 황성기 (한양대 법학전문대학원 교수, 오픈넷 이사장)

신종 코로나바이러스감염증(코로나19)에 대한 우리나라의 방역 및 대응은 현재 전세계적으로 모범적인 모델로 각광받고 있다. 우리나라의 코로나 대응전략은 투명성, 개방성, 민주성 등으로 요약될 수 있는데, 이러한 전략의 수행과정에서 개인정보의 활용은 필수적이다. 코로나19가 완전히 종식된 후에 우리나라의 감염병 예방에 관한 전반적인 시스템을 반성적으로 회고하고 성찰하는 시기가 올 것이다. 비록 현재까지는 세계적인 모범으로 각광받고 있지만, 100점 만점짜리 전략이나 시스템은 존재하기 어렵기 때문이다. 향후 시스템의 점검 및 개선에 있어서는 감염병 예방을 포함한 공중보건시스템과 개인정보를 포함한 프라이버시 보호의 문제를 균형있게 조화시킬 수 있는 방안을 모색할 필요가 있다. 이러한 차원에서 감염자의 과거 위치정보를 국가기관이 제공하는 확진자 동선(이동경로) 공개 정책과 자가격리자의 격리장소로부터의 이탈 방지 및 감시를 위한 손목밴드 착용 강제 정책의 문제를 한 번 고민해 볼 필요가 있다.

먼저 확진자 동선 공개 정책은 ‘감염병의 예방 및 관리에 관한 법률’에 근거해서 이루어지고 있다. 보건복지부장관은 감염병 확산으로 인해 주의 이상의 위기경보가 발령되면 감염병 환자의 이동경로, 이동수단, 진료의료기관 및 접촉자 현황 등 국민들이 감염병 예방을 위하여 알아야 하는 정보를 신속히 공개해야 한다. 여기서 공개되는 정보에는 개인정보가 포함되기 마련이다. 왜냐하면 개인정보는 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 의미하고, 성별, 연령, 이동경로, 이동수단, 진료의료기관 등은 서로 결합되어 개인을 식별할 수 있게 하기 때문이다. 문제는 공개되는 개인정보의 범위이다. 예컨대, 확진자가 다녀간 장소와 날짜 및 시간대만 공개하면 되지 성별, 연령 등 개인을 구체적으로 식별할 수 있게 하는 개인정보는 공개할 필요가 없지 않은가의 의문이 제기된다. 독일에서 우리나라의 확진자 동선 공개 정책과 비슷한 제도의 입법을 논의하다가 프라이버시 침해를 이유로 중단하고, 감염자의 휴대폰에 근접한 휴대폰에 자동으로 경고신호를 보내주는 방식을 논의하고 있는 것으로 알려졌는데 프라이버시 침해 문제에 대한 나름대로의 고민이 엿보인다.

다음으로 자가격리자의 격리장소로부터의 이탈 방지 및 감시를 위한 손목밴드 착용 강제 정책이다. 손목밴드 착용 강제 정책도 피부착자의 위치와 이동경로 등 위치정보를 실시간으로 파악하여 피부착자를 24시간 감시할 수 있도록 해 개인정보 침해 문제를 갖고 있다. 문제는 현재 법적인 근거도 존재하지 않는다는 점이다. 따라서 현재로서는 손목밴드 착용 강제는 불가능하다. 문제는 법률을 개정해서 도입하는 경우에도, 그 정당성에 대한 문제제기는 여전히 남는다는 점이다. 왜냐하면 자가격리 처분에 따르지 아니한 자에 대해서는 이미 ‘감염병의 예방 및 관리에 관한 법률’에 의해 300만원 이하의 벌금에 처해질 수 있기 때문에(처벌 수준이 너무 낮은 것이 아니냐의 문제는 별론으로 하더라도), 이에 더해서 손목밴드 착용 강제까지 추가하는 것은 프라이버시에 대한 과도한 침해라는 문제제기가 가능하기 때문이다. 실제로 손목밴드 착용 강제 정책이 제안됐을 때부터, 빅 브라더의 출현을 가능케 할 수 있는 강력한 시민통제장치들의 도입 유혹에 대해 경계하는 목소리도 분명히 존재했다.

결국 확진자 동선 공개 정책과 손목밴드 착용 강제 정책의 문제는 전체주의적 감시체제의 강화, 시민의 자유와 권리 수호 사이의 극단적인 대립 내지 양자택일의 문제는 아니라 하더라도 감염병 예방을 위한 개인정보의 활용 방식 및 범위와 관련해 고민하게 하는 화두를 던지고 있는 셈이다. 보다 심도있는 논의와 사회적 합의가 필요하다고 생각한다.

이 글은 아시아경제에 기고한 글입니다. (2020.05.08.)

사단법인 오픈넷과 디지털아시아허브는 6월 11일(목) 저녁 7시(한국시간)에 공동으로 국제웨비나를 개최합니다.

오픈넷은 한국의 감염병법 제76조의2는 확진자의 동선을 추적하는 법제로서 한국의 선제적 대량 검사 전략의 핵심이었지만 세계적으로 유례 없이 확진자의 동의나 법원의 영장없이 이루어지고 있다는 점에서 검토가 필요하며, 이에 대한 국제적인 인권기준도 확정적이지 않아 본원적인 차원에서의 검토가 필요하다는 입장을 밝힌 바 있습니다. 우리나라가 긴급대응에서 장기대응으로 전환하는 이 시점이 이와 같은 토론의 적기라고 판단하여 우리나라 법에 대해 다른 나라의 학자들로부터 의견을 들어보고, 우리도 다른 나라의 법에 대해 평가해보는 시간을 마련하였습니다. 

연사: 

• 릴리안 에드워즈 교수, 뉴캐슬 대학교, 법/혁신/사회학 교수(Prof. Lilian Edwards, Professor of Law, Innovation and Society, Newcastle University). 정보수집, 정보추가처리 및 차별에 대한 모범법으로 삼고 있는 영국의 코로나바이러스안전조치법 2020(The Coronavirus (Safeguards) Bill 2020)의 주저자. 호주를 비롯한 여러 나라들이 모범으로 삼고 있는 법. 
• 그래험 그린리프 교수, 뉴사우스웨일즈 대학교, 법/정보시스템학 교수(Prof. Graham Greenleaf, Professor of Law & Information Systems), 호주의 COVID안전법(COVIDSafe Act)에 신뢰를 강화하기 위한 개정안을 제안하였음. 
• 박경신 교수, 고려대학교 법학전문대학원, 사단법인 오픈넷 (Prof. Kyung-Sin (“KS”) Park, Professor, Korea University School of Law, and Executive Director, OpenNet Korea). 한국의 감염병예방법 제76조의2의 특이성에 대한 논의 제안.  

참석을 원하는 분들은 여기에 등록하시면 링크를 보내드릴 것입니다. 1. 우리말 동시통역을 듣기도 하고 우리말로 질문도 하고자 하시면 등록 후에 위 시간에 오픈넷 사무실(서울시 서초구 서초대로50길 62-9, 402호)로 오시면 됩니다. 2. 우리말 동시통역을 듣기만 하시려면 별도로 보내드리는 링크로 참여하시면 됩니다. 3. 원어 원격으로만 참가하고자 하시는 분은 아래 해외 홍보자료에 있는 링크에 직접 등록하셔도 됩니다. 어떤 경우에도 사전등록을 하셔야 합니다. 

* 오픈넷 사무실 수용인원이 한정되어 있어 선착순으로 15명을 모집하며, 인원이 초과되는 경우 참석이 어려울 수 있음을 알려드립니다. 사전등록을 하지 않은 분은 입장이 불가능할 수 있습니다.

이번 세미나는 디지털아시아허브가 코로나 바이러스 상황을 맞이하여 연속주최해왔던 When The Music is Over(음악이 끝날 때) 세미나의 6번째 순서로서 아래는 해외 홍보자료입니다. 

문의: 오픈넷 사무국 02-581-1643, [email protected]

When the Music is Over

We’ve had balcony concerts. Livestreams. Living room jam sessions. Pots and pans banging. And clapping. (So much clapping). We’ve been inspired by the talent, generosity and spirit on display. But continue to ask: what next?

What happens when the music stops, but the surveillance doesn’t? When bands return to stadiums, but emergency powers don’t return to the statute books? When the ‘new normal’ becomes the same old scope creep? When beaches reopen, but migrant worker dorms don’t?

Session 6: Test, Trace, Isolate. And Legislate?

Tracing apps. Border closures. Quarantines. Immunity Passports. QR Codes. And good old fashioned legislation. 

Join us on a trip from Seoul to Sydney via the UK, as we hear about the role of law in codifying safeguards, and (re)opening borders and businesses. Our all-star line-up have been closely following (and in one case, leading!) their respective legislative approaches, and will weigh in about trust, containment, and function creep.

Prof. Lilian Edwards, Professor of Law, Innovation and Society, Newcastle University, who is the Lead Author of The Coronavirus (Safeguards) Bill 2020, a model statute about data collection, repurposing, and discrimination, which several countries including Australia are emulating;

Prof. Graham Greenleaf, Professor of Law & Information Systems, UNSW, who recently proposed improvements to Australia’s COVIDSafe Act, to further boost trust through legislation; and

Prof. Kyung-Sin (“KS”) Park, Professor, Korea University School of Law, and Executive Director, OpenNet Korea, who has critically analyzed Korea’s ‘open borders, open business’ approach, built on lessons from the 2015 MERS outbreak.

Please RSVP here.

Date: Thursday, 11 June

Time: 6am Boston / 11am London / 6pm  Hong Kong / 7pm Seoul / 8pm Sydney

아시아 태평양 지역 40여 국의 법조인과 법조 관련 단체로 구성된 로아시아(LAWASIA)는 2020년 6월 2일부터 3주간 매주 화요일에 ‘로아시아 인권 웨비나 시리즈’를 개최했습니다. 김가연 변호사는 제2부 “코로나19 기간 중 정부 책임 : 시민의 알권리(Government Accountability during COVID-19: The Citizens’ Right to Know)”에 발제자로 참여해 한국의 상황에 대해 이야기했습니다.

로아시아 인권 웨비나 페이지 바로 가기

Korea discovered its first COVID-19 case on January 20th. The Korean Centres for Disease Control and Prevention immediately organized a meeting with bio-medicine companies to ask them to develop test kits. The test kits became available in three weeks. Then from February 20th, the number of cases began to explode in and around the City of Daegu to nearly 9,000 cases in less than a month, making Korea one of the most dangerous countries in the world. The size and speed of the outbreak seemed to be uncontrollable. The government, however, continued to 1) rigorously trace the prospective cases, 2) test for free, and 3) treat for free, everyone regardless of nationality. The government has also implemented robust measures to coordinate closely with all cities in the curbing of the spread of the virus, including the installation of the famous drive-through and walk-through testing centers.

One of the principles for the Korean government to respond to COVID19 is full transparency. So, the Korean government disclosed not only travel routes of infected persons but also information on spreading patterns of the disease and response to it from the beginning of the disease. Our Foreign Minister Kang, Kyung-wha mentioned that the basic principles are openness, transparency and fully keeping the public informed. Korea has a very good health care system to begin with and the system is highly wired. Fully utilizing that, our government has dealt with the outbreak from the very beginning with full transparency and that’s how the government gained public trust and support. 

However, such full transparency principle had side effects, especially regarding the disclosure of the travel routes of infected persons. As each local government has already disclosed when and whereabouts of infected persons with other personal information such as gender and age, individuals are being harmed. It caused groundless accusations, speculations, ridicule, and hate speech against the patients. People even say that they are more scared of being stigmatized by the disclosure than getting infected. 

For example, a typical emergency alert says, “A 43-year-old man, resident of Nowon district, tested positive for coronavirus,” “He was at his work in Mapo district attending a sexual harassment class. He contracted the virus from the instructor of the class.” A series of alerts then follow such as where the men had been, including a bar in the area until 11:03 at night. These alerts arrive all day, every day, telling you where an infected person has been and when. You can also look up the information on the Ministry of Health and Welfare website or local governments’ websites. This disclosure measure is carried out according to the Infectious Disease Control and Prevention Act and the Personal Information Protection Act (PIPA).

On March 9, the National Human Rights Commission of Korea (NHRCK) said that “it is hard to deny the need to disclose a certain amount of information including location and time of the visit by the infected person to prevent the spread of infectious disease, but disclosing more personal data than necessary are resulting in human rights violations.”

Accordingly, the Korea Centers for Disease Control and Prevention released the disclosure guidelines on March 14. According to the guidelines, the location and means of travel should be disclosed only when there is a contact of non-patient with a patient, and personal data such as the address or company name, shouldn’t be disclosed. However, the guidelines still allow the disclosure of travel routes of patients. And other personal data of patients, such as gender, last name, age, occupation, nationality, and religion, are still being disclosed. 

Although It’s necessary to disclose some information for the citizens’ right to know’s sake, we need to be careful not to violate the human rights of patients. For example, information about whether the patient entered Korea after visiting a specific country would be more important than the patient’s nationality. Likewise, more relevant is whether a person had a meal together with a patient is more important than whether the person is the patient’s spouse, daughter, son-in-law, or sister-in-law. Therefore, Korean civil society is requesting the government and the press to minimize the disclosure of unnecessary personal information that could be used to identify and stigmatize individuals.

사단법인 오픈넷은 지난 6월 3일 행정예고된 「가명정보의 결합 및 반출 등에 관한 고시(안)」에 대한 의견서를 제출했다. 오픈넷은 지난 4월 논평을 통해 「개인정보 보호법 시행령」에 대하여 다음과 같이 지적한 바 있다. 1. 가명화를 전제로 하여 이루어지는 “과학적 연구”의 연구결과물이 사회 전반에 공유되도록 의무화되어야 하며, 2. 각종 기업들이 연구 등의 목표와 무관하게 가명정보를 이용할 위험에 대비하기 위해서는 현재 법률상 가명화만으로도 정보주체들의 견제 권리(열람권, 정정권, 삭제권, 처리거부권 등)가 제한되도록 한 부분을 보완해야 하며, 3. 프라이버시 침해 위험성을 낮추기 위해 가명정보 결합 절차에 있어서 재식별키와 연구대상 데이터를 하나의 기관이 보유하지 못하도록 해야 한다. 

그러나 이번 고시(안)을 검토한 결과, 재식별키와 연구대상 데이터를 별도의 기관이 보유하도록 한 부분은 반가운 일이나 이와 같은 하위법령의 변경만으로 GDPR의 ‘가명화를 통한 추가이용’ 기준을 실현하려 한 입법취지가 제대로 실현되기 위해서는 갈 길이 멀어 보인다. 고시(안)은 결합전문기관의 ‘과학적 연구’ 여부 판단능력 제고와 관련된 규정 미비, 재식별키 보관기관의 합법성 문제, 가명정보의 결합 및 반출 실적 보고서 공적 통제를 위한 공시 의무화 필요, 가명정보의 결합신청 사후 사전 통제 절차 미비, 반출승인 기준 미비 등 프라이버시를 보호하기 위한 절차가 명확하게 마련되어 있지 못하다. 오픈넷은 한 번 더 아래와 같이 고시(안)의 개선방안에 대하여 의견을 제시한다. 

문의: 오픈넷 박경신 이사 [email protected], 오픈넷 사무국 02-581-1643

「가명정보의 결합 및 반출 등에 관한 고시(안) 」에 대한 의견 

○ 취지 

• 이 고시는 「개인정보 보호법」(이하 “법”이라 한다) 제28조의3과 「개인정보 보호법 시행령」 ( 이하 “영”이라 한다) 제29조의2부터 제29조의4에 따라 결합전문기관 지정 및 가명정보의 결합·반출 등에 관한 기준‧절차 등을 정하는 것을 목적으로 하고 있음. 
• 이에 고시(안) 각 조문을 살펴보고 다음과 같이 검토 의견을 밝힘.

○ 검토 의견 

1. 결합전문기관의 ‘과학적 연구’ 판단능력 제고 규정 미비 

고시(안) 제5조(결합전문기관의 지정 절차) ③ 보호위원회등은 결합전문기관 지정 신청을 받은 경우 지정 기준의 적합 여부를 결합전문기관 지정심사위원회(이하 “지정심사위원회”라 한다)를 구성하여 심사하여야 한다. 이 경우 지정심사위원회는 개인정보 보호 또는 데이터 활용에 관한 학식과 경험이 풍부한 5명의 위원으로 구성한다. 

1) 결합전문기관 지정 기준에 결합 목적, 용도, 결과 및 발표시점 등 공적통제를 위한 기준, 절차 미비 

• 개정법은 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합에 대해 공적 통제의 방식을 선택하였음. 그렇다면 공적 통제의 주체가 될 결합전문기관은 결합이 합법적인지 심사할 필요가 있으며 특히 ‘과학적 연구’가 과학이라는 학술적 관행과 내용을 갖추고 있는지, ‘공익적 기록보존’이 충분히 공익적인지를 심사해야 하며 이를 위해서는 (1) 연구결과 및 기록결과물의 향후 활용 계획 및 (2) 연구결과 및 결과기록의 발표시점 등을 <결합신청서>에 적도록 하여 심사에 반영해야 할 것임. 

• <결합전문기관 지정 기준>에 결합전문기관이 학술적 관행에 따라 연구가 진행되고 연구결과가 공개될지에 대해 심사한다는 내용과 그런 심사를 할 수 있는 인력을 갖춘다는 기준이 명확하게 제시될 필요가 있음.

2. 가명정보의 결합 및 반출 실적 보고서 공적 통제를 위한 공시 의무화 필요 

고시(안) 제6조(결합전문기관의 관리･감독) ① 결합전문기관은 매년 1월 31일까지 다음 각 호의 서류를 작성하여 보호위원회등에게 제출하여야 한다. 
1. 가명정보의 결합 및 반출 실적 보고서 

• 역시 개정법은 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합에 대해 공적 통제의 방식을 선택한 이상 언제 가명화가 이루어져있는지 공시할 필요가 있음. 이렇게 하지 않으면 정보주체는 가명화된 자신의 가명정보가 어떤 목적으로 어떻게 결합되어 활용되는지 알 수 있는 방법이 전무함. 적어도 결합전문기관의 홈페이지 등에 결합과 관련한 최소한의 정보를 공개하여 해당 목적에 맞게 가명정보 결합이 이루어지고 있는지 등에 대해 정보주체들에 의한 감시가 이루어질 수 있게 해야 함. 예를 들어, ‘삼성생명의 고객정보를 SK텔레콤의 고객정보와 결합했다’라는 공지를 하여 각 고객이 원하면 자신의 정보가 결합되었는지 어떤 목적으로 이용되었는지 알 수 있도록 할 필요가 있음.

3. 충분한 가명화에 대한 심사절차 부재 

고시(안) 제8조(가명정보의 결합 신청 등) ① 결합신청자는 [별지 제3호서식]의 결합 신청서와 첨부 서류를 결합전문기관에 제출하여야 한다. 
② 결합전문기관은 제1항에 따른 신청서 및 첨부서류를 확인하고 보완이 필요한 경우 결합신청자에게 보완을 요구하여야 한다. 
③ 결합전문기관은 가명정보의 결합 일정 및 절차 등 결합에 필요한 사항을 결합신청자와 협의하여야 한다. 
④ 결합키관리기관은 결합키 생성에 필요한 사항을 결합신청자와 협의할 수 있다. 

1) 결합 전 가명화가 제대로 이루어졌는지 심사 절차 필요 

• 결합전문기관이 자신이 제공받은 속성정보를 결합하기 전에 가명화가 제대로 되었는지 확인하는 절차가 없음. 물론 개인정보처리자가 스스로 가명정보를 과학적 연구 목적으로 이용하기 전에 가명화를 명확하게 철저하게 해야 하고 그렇지 않은 경우 위반이 발생하므로 스스로 조심할 동기는 있음. 

• 그러나 가명화하여 과학적 연구 목적으로 이용하는 것 전반에 대해서는 공적 통제가 없지만 결합행위에 대해서만큼은 공적 통제가 있는 이상 결합전문기관이 스스로 결합행위를 통해 개인정보를 침해하지 않도록 사전에 가명화가 제대로 이루어졌는지 심사를 할 필요가 있음. 가명화가 제대로 되어 있지 않은 정보를 결합하는 것은 개인정보를 동의 없이 처리하는 것이고 결합전문기관 스스로도 개인정보 보호법을 위반할 수 있음.

• 특히 결합을 통해 재식별위험은 더 높아질 수 있음. 예를 들어 k익명성이 각 3인 정보를 받아서 결합할 경우 k익명성이 2로 줄어들 수 있으므로 그 위험은 더욱 높기 때문에 결합전문기관은 스스로 익명화 정도를 확인할 필요가 있음. 

2) 개인정보처리자, 결합키관리기관, 결합전문기관이 상호 동일하거나 상호소유관계에 있어서는 안 된다는 별도 규정이 필요함 

• ‘개인정보처리’는 여러 가지 행위가 포함되며 서로 다른 개인정보를 결합하여 해당 개인에 대해 더 많은 속성을 알게 하는 행위도 포함됨. 

• 이 ‘결합’ 행위를 2020년 2월 4일 공표된 개정 「개인정보 보호법」은 국가가 정한 전문기관만이 할 수 있도록 하여 공적 통제 하에 두기로 한 것임. 그렇다면 민간에게 공적 통제를 위탁할 때 요구되는 각종 규제가 모두 적용되어야 할 필요가 있음. 예를 들어, 개인정보처리자, 결합키관리기관, 결합전문기관이 상호동일하거나 상호소유관계에 있어서는 안 된다는 별도 규정이 필요함. 

• 개인정보처리자들이 공동출자하여 만든 회사가 결합전문기관지정을 받을 수는 없음. 특히 본인확인기관 지정을 받은 회사들은 엄청나게 많은 정보들을 연계할 수 있기 때문에 결합전문기관 지정에서 배제되어야 할 필요가 있음. 

• 결합키관리기관에게 연계키 생성을 위한 개인식별정보제공이 개인정보 보호법 위반 논란이 제기될 수 있으므로 개인정보 보호법에서 결합키관리기관에 대해 명확한 법적 근거를 마련할 필요가 있음. 이는 결합전문기관은 법률에 정해져 있고 또 원칙적으로 가명화된 속성정보만을 다루므로 개인정보 보호법 위반 상황이 발생하지 않는 것과 비교됨.

4. 반출승인 기준 미비 

고시(안) 제11조(반출승인) ③ 반출심사위원회는 다음 각 호의 사항을 고려하여 반출 심사를 하여야 한다. 
1. 결합 목적과 반출 정보와의 관련성이 있을 것 
2. 반출 정보만으로는 특정 개인을 알아볼 수 없을 것 
3. 반출 정보를 제공받는 자가 특정 개인을 알아보기 위하여 사용할 수 있는 정보가 포함되어 있지 않을 것 
4. 반출 정보에 대해 적절한 안전조치 계획을 수립하였을 것

• 결합정보의 반출은 지극히 예외적 상황에서만 엄격한 기준에 따라 허용되어야 할 것임. 이번 고시(안)은 ‘관련성’이라는 포괄적 기준, ‘특정개인을 알아볼 수 없을 것’이라고만 함으로써 반출을 원하는 기업이 이미 가지고 있는 개인정보와 결합해서 식별가능한 정보로 환원될 가능성이 있는 정보인지 그 자체만으로는 불분명하고 또한 이 같은 기준마저도 고려할 사항으로 제시할 뿐 의무 규정도 아님.

[관련 글]
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.06.)

세계 최대 아동성학대와 성착취물 사이트를 운영한 웰컴투비디오(W2V) 운영자인 손정우에 대한 미국 법원의 범인인도요청에 대한민국 법원이 결국 불허 결정을 내렸다. 아동과 여성을 성적으로 학대하고 이를 이용해 금전적인 수익을 노린 이들의 성적 착취 행각에 강도 높은 처벌이 이루어질 수 있도록 아동성학대물과 성표현물을 구분하는 양형기준을 세울 것을 요구해왔던 사단법인 오픈넷은 대한민국 법원의 이와 같은 결정에 깊은 유감을 표명한다. 나아가 한국 사회의 관대한 성범죄 처벌 문화가 하루빨리 해결될 것을 강력히 바라는 바이다. 

30여 개에 달하는 국가가 공조하여 손정우를 잡아들였다는 사실은 이 사이트에서 유통된 성범죄물의 규모를 어림짐작하게 한다. 그럼에도 불구하고 손정우에 대한 18개월의 실형이라는 기존의 국내법상 처벌은 지나치게 관대했다. “미국이나 영국 국적의 피의자들이 받은 형량을 비교해보면, 음란물 유포, 성폭행 혐의 등으로 기소된 영국인 카일 폭스(26)는 징역 22년형을 선고받았고, 아동 음란물 수령 및 돈세탁 혐의를 받는 미국인 니콜라스 스텐겔(45)에게는 징역 15년, 종신보호관찰형이 선고됐다. 특히 미국인인 전 국토안보수사국 요원 리처드 니콜라이 그래코프스키(40)는 영상을 1회 다운로드하고 해당 웹사이트에 1차례 접속한 혐의로 징역 70개월, 보호관찰 10년, 그리고 7명의 피해자에 대한 3만 5000달러 배상을 선고”받았는데, 정작 W2V의 운영자보다 훨씬 무겁게 처벌을 받은 것이다. 미국 측의 범죄인 인도요청에 한국 사회가 큰 기대를 걸었던 이유는 범죄에 비해 납득할 수 없이 가벼웠던 처벌을 보완할 수 있는 처벌이 이루어질 수 있을 것이라는 희망 때문이었다. 

그러나 범죄인 인도조약이 그와 같이 이중처벌의 도구가 되어서는 안 된다. 이에 따라 미국 정부는 한국 정부가 손정우에게 적용하지 않은 범죄수익은닉죄로 인도신청을 하였다. 미국 정부가 새로운 죄목으로라도 손정우를 미국으로 불러 처벌하려 한 것은 국제적인 범죄로 미국 국민에게도 영향을 끼친 범죄임을 고려할 때 충분한 공익적인 이유가 있다. 이런 맥락을 염두에 둔다면 재판부의 이번 결정은 더욱 실망스러운 것일 수밖에 없다. 한국이라는 지역성에 매몰되지 않아야 하는 국제적 규모의 사건임에도 불구하고 사이버 범죄의 특수성에 대한 깊은 고려없이 범인의 소재지가 한국이었다는 근거를 들며 미국 송환을 불허하였다. 국내 W2V 회원들에 대한 수사를 근거로 들어 재판부가 내린 이 결정은 그렇기 때문에 명백히 사건의 규모를 축소시켰다. 

재판부는 손정우를 정당하게 처벌할 수 있도록 미국 송환 불허 결정을 내렸다고 했다. 그러나 이와 같은 재판부의 ‘결단’을 우리 사회가 그리 신뢰하는 것 같지는 않다. 판결 이후 쏟아져 나오는 전문가들의 의견은 재판부에 대한 사회의 불신이 허황된 것만은 아님을 뒷받침한다. 법적 전문가들은 미국의 ‘자금세탁방지법’은 암호화폐에 대해서도 엄격하게 혐의를 적용해 처벌이 가능하지만, 국내법에서는 암호화폐의 가장·은닉(자금세탁)에 대한 공소유지가 어려우며, 관련 법규정이 미비한 상태라 검찰이 기소를 못한 것이라 하였고, 범죄수익을 추징하거나 몰수하는 경우는 많지만 자금세탁은 자금의 은닉을 입증하기 굉장히 까다로울 뿐만 아니라 관련 법조항도 상당히 복잡하다고 한다. 또한 범죄수익 은닉의 규제 및 처벌 등에 관한 법률 개정안이 시행된 지난해 4월부터 이달 4일까지 1년 간 성폭력처벌등에관한특례법 제14조를 위반한 범죄에 대한 범죄수익 몰수와 추징보전 사례는 1건이 유일하다. 무엇보다 국내 사법체계에서 범죄수익은닉 혐의에 대한 법정 최고형이 징역 5년, 벌금 3000만원이라 해외 처벌수위보다 상당히 낮다. 결국 세계의 수많은 아동들에게 피해를 입힌 “세계에서 가장 위험한 아동성범죄자”인 손정우는 한국 사법당국의 섣부른 처리로 가벼운 처벌만 받고 끝나버려 그렇게 많은 나라들의 공조로 이룬 성과를 우리나라가 거의 무산시켜버리는 부끄러운 이력으로 남을 가능성이 높아졌다. 

디지털 성범죄를 관대하게 다룬 결과가 얼마나 끔찍할 수 있을 것인지를 보여주는 사건이 ‘웰컴투비디오’와 ‘n번방’ 사건일 것이다. 우리 사회는 사회적 약자인 여성과 아동을 대상으로 한 성학대물의 배포는 물론이고 이를 통해 금전적인 수익을 갈취하는 것이 심각한 범죄 행위라고 인식해야 한다. 오픈넷은 성학대물의 소지에 대해서도 논의가 시작되어야 한다는 의견을 낸 바도 있다. 오픈넷은 손정우가 정당한 처벌을 받기 바란다는 서울고법 형사20부 강영수 부장판사의 바람과 여성과 아동에게 영구히 피해를 입히는 성학대와 착취물의 근절을 위해 사법 당국이 손정우의 남은 죄를 샅샅이 밝혀 강력하게 처벌할 것을 촉구한다. 

2020년 7월 10일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[논평] 관대한 양형 개선과 아청법 개정을 통한 아동음란물 관련 범죄자 엄벌을 촉구한다 (2019.10.28.)  

사단법인 오픈넷은 한국공법학회와 공동으로 8월 7일 오후 3시, 서울대학교 법학전문대학원 서암홀에서 “감염병예방법상 정보제공요청과 정보인권” 세미나를 개최합니다.

오픈넷은 한국의 감염병법 제76조의2가 확진자의 동선을 추적하는 법제로서 한국의 선제적 대량 검사 전략의 핵심이었지만 세계적으로 유례 없이 확진자의 동의나 법원의 영장없이 이루어지고 있다는 점에서 검토가 필요하며, 이에 대한 국제적인 인권  기준도 확정적이지 않아 본원적인 차원에서의 검토가 필요하다는 입장을 밝힌 바 있습니다. 그리고 공법학회에서는 코로나 사태로 인해 제기되고 있는 공법적 문제상황에 대응하고 관련 쟁점을 연구하기 위해 “코로나 19 공법학의 과제” 포럼을 조직하여 지혜를 모으고 있습니다. 지난 5월 28일 제1차 포럼에서는 “코로나 19와 감염병 대응의 법제 점검”을, 7월 9일 제2차 포럼에서는 “코로나 대응 동선관리의 법적 쟁점과 지방자치단체의 역할”을 주제로 활발한 논의를 진행하였습니다. 

오는 8월 7일 세미나에서는 코로나 19에 대한 적극적인 대처 과정에서 지적되어 온 감염병예방법상 정보 수집·제공·공개의 정보인권 침해 우려에 대한 법적 문제를 함께 검토하는 기회를 갖고자 합니다. 관심있는 여러분의 적극적 참여를 부탁드립니다. 

사전등록: https://forms.gle/RH8AhTem7zVrmMuG7

* 충분한 거리 확보를 위해 현장참여 인원에 선착순 제한(20명)이 있으니 꼭 사전 신청하여 주시기 바랍니다. 본 행사는 오픈넷 유튜브 채널에서 온라인으로 동시중계될 예정입니다.

▣ 주제: 감염병예방법상 정보제공요청과 정보인권

▣ 일시: 2020년 8월 7일(금) 15:00-17:30

▣ 장소: 서울대학교 법학전문대학원 17동 6층 서암홀

▣ 주최: 사단법인 오픈넷, 한국공법학회 코로나19대응포럼 

○ 개회사: 이원우 한국공법학회 회장

좌장: 황성기 교수(한양대, 오픈넷 이사장)

○ 제1주제: 감염병예방법 제34조의2에 대한 공법이론적 검토 – 정필운 교수(한국교원대)

○ 제2주제: 감염병예방법 제76조의2 정보제공요청의 법적 문제 – 김가연 변호사(오픈넷)

○ 제3주제: 감염병예방법에 따른 확진자 동선공개와 인권 – 김민섭 사무관(국가인권위원회)

○ 종합토론
사회: 김태호 한국공법학회 기획이사
토론: 이희정 교수(고려대), 남정아 박사(서울시립대), 장여경 이사(정보인권연구소), 조상연 연구관(질병관리본부) 

문의: 오픈넷 사무국 02-581-1643, [email protected]

코로나 19 관련 이태원 기지국 접속정보 처리 및
동의 없는 위치추적 법률에 대한 헌법소원 청구

“감염병 대응을 명목으로 1만 명 휴대전화에 대한
기지국 접속정보 요청, 수집, 처리는 위헌입니다.”

1. 민주사회를 위한 변호사모임 디지털정보위원회, 사단법인 오픈넷, 사단법인 정보인권연구소, 진보네트워크센터, 참여연대는 2020년 7월 29일 보건복지부장관, 질병관리본부장, 서울특별시장, 서울지방경찰청장(이하 “보건복지부장관 등”)이 지난 5월 18일 코로나 19 대응을 명목으로 이태원을 방문한 약 1만 명의 사람들의 휴대전화 기지국 접속정보를 요청하고 수집·처리한 행위(이하 “이 사건 기지국 정보처리 행위”)가 개인정보자기결정권, 사생활의 비밀과 자유, 통신의 비밀과 자유, 일반적 행동자유권을 침해하므로 위헌이라는 결정을 구하는 헌법소원을 청구했습니다. 보건복지부장관 등이 이태원 방문자들의 기지국 정보처리 행위의 법적근거라고 주장하고 있는 “감염병의 예방 및 관리에 관한 법률(이하 “감염병예방법”) “제2조 제15의2호, 제76조의2 제1항 및 제2항도 헌법 심판 대상입니다.

2. 이번 헌법소원의 청구인은 지난 2020년 4월 말 친구들과 함께 이태원 인근 소재 식당을 방문하였는데, 2020년 5월 18일 서울시로부터 코로나 19 검사를 받을 것을 권고하는 취지의 문자메시지를 수신하였습니다. 함께 문자를 수신한 청구인과 그 친구들은 5월 2일 새벽 코로나 19 확진자가 다녀간 것으로 알려진 클럽 또는 인근 클럽을 방문한 적이 없으며, 청구인이 방문한 식당은 클럽들과 지리적으로도 상당히 떨어진 장소였습니다.

청구인은 확진자와 접촉한 적도 없고 거리상으로도 위험이 있다고 보기 어려운데도 자신의 이태원 방문 정보가 무단으로 보건복지부장관 등에게 제공되어 서울시로부터 검사를 권고받은 이후 고통스러운 시간을 보냈습니다. 청구인은 코로나 19 음성판정을 통보받기까지 불안감에 시달려야 했고, 주변 사람들의 질문 등으로 불편한 상황에 놓였습니다. 청구인이 확진자와 접촉을 했던 것인지, 확진으로 판정되면 이태원을 다녀온 후 청구인과 접촉했던 사람들에게 피해를 주는 것은 아닌지, 가족들과 친구들에게는 어떻게 할 수 있을지, 끊이지 않는 질문에 밤잠을 이루지 못할 정도였습니다.

청구인은 서울시와 보건복지부에 어떤 근거로 자신의 이태원 방문사실 등 정보를 취득했는지 문의하였습니다. 그러나 해당 기관들은 청구인이 문제되는 시점에 이태원에 머물렀다는 사실만으로도 감염병예방법상의 감염병의심자에 해당한다며 자신들은 같은 법 제76조의2 제1항 또는 제2항에 규정되어 있는 법적절차에 따라 정보를 수집한 것이라 모호하게 답변하였습니다. 

이와 같은 방식으로 기지국 정보가 수집, 처리된 사람은 무려 10,905명에 달합니다. 언론보도에 의하면 서울특별시는 이동통신사 3사에 대하여 “2020. 4. 24.부터 같은 해 5. 6.까지 자정에서 05시 사이에 이태원 클럽 주변의 기지국에 접속한 사람들 가운데 30분 이상 체류한 자”의 통신정보 제공을 요청하였고 해당 정보에는 이태원을 방문한 사람들의 이름과 휴대전화 그리고 주소 정보 등이 포함된 것으로 알려졌습니다. 나아가 보건복지부장관 등은 휴대폰을 가지고 있기만 하면 기지국으로 전송되는 정보인 “접속기록”까지도 수집, 처리한 것으로 보입니다.

3. 우선 보건복지부장관 등이 2020. 4. 24.부터 같은 해 5. 6.까지, 자정에서 05시 사이 이태원 클럽 주변의 기지국에 접속한 사람들 중 30분 이상 체류한 자 전원을 감염병의심자로 보고, 기지국 정보를 요청, 수집, 처리한 것의 법적 근거가 모호합니다. 감염병예방법, 위치정보의 보호 및 이용 등에 관한 법률, 통신비밀보호법 등에 어디에서도 기지국 정보처리행위를 구체적으로 허용하지 않습니다. 즉 이 사건 기지국 정보처리행위는 법적근거가 없는 행위로서 모든 공권력 행사에 의한 기본권의 제한은 법률로써만 가능하다는 헌법상의 원리인 법률유보의 원칙에 위배됩니다.

또한 기지국 정보처리 행위는 과잉금지원칙에 반하여 청구인의 개인정보자기결정권 등을 침해합니다. 이 사건 기지국 정보처리 행위의 목적은 이태원에 방문한 불특정 다수를 사회적 위험으로 취급한다는 점에서 그 정당성을 인정하기 어렵습니다. 또한 휴대전화 발신 등의 통신기능을 사용하지 않고 전원만 켜놓고 있더라도 통신사가 자동으로 수집하는 “기지국 접속기록”까지 처리한 것은 그 자체로 과도한 정보를 수집하는 중대한 기본권 침해행위라는 점에서 감염병 전파 차단을 위한 적합한 수단이 될 수 없습니다. 

무엇보다 이태원 인근에 감염병 확진자가 발생했다는 사실만으로 해당 지역에 방문한 1만여 명을 모두 감염병의심자로 간주하고 광범위하게 정보를 수집 등 처리한 것은 불공정하고 불공평한 수단으로서 그 적합성을 인정하기 어렵습니다. 

또한 2주간 이태원 일대를 방문한 불특정다수의 개인정보를 처리하고 개인의 기지국 접속기록 등 필요 이상의 개인정보를 수집한 것은 침해의 최소성 원칙에도 정면으로 반합니다. 특히 서울시는 클럽 출입자 명단 및 신용카드 내역 등을 검토하여 확진자의 주요 동선에 포함된 이태원 클럽 및 주점에 방문한 5,517명의 명단을 5월 11일 이전에 확보한 상태였습니다. 즉 기지국 정보를 취득하는 대신 확보된 명단과 익명검사의 확대 등 기본권을 덜 제한하는 다른 조치의 도입을 충분히 고려할 수 있었던 것입니다.

그리고 청구인을 비롯한 정보주체들이 입는 불이익에 비해 기지국 정보처리 행위로 달성되는 공익이 더 크다고 단정할 수도 없습니다. 기지국 정보처리 행위가 감염병 전파방지에 기여했는지도 불분명하지만, 1만 905명의 사람들을 사회적 위험으로 취급함으로써 우리 사회가 추구하는 가치 또한 훼손하는 측면이 있기 때문입니다.

4. 한편, 이 사건의 근거로 주장되는 감염병예방법 제2조 제15의2호, 제76조의2 제1항 및 제2항(이하 “이 사건 법률조항”) 또한 명확성과 과잉금지 원칙을 위반하고 있습니다. 우선 감염병의심자에 관한 감염법예방법 제2조 제15의2호는 어느 정도의 접촉의 의심이 있는 경우에 법이 정한 “접촉이 의심되는 사람”에 속하는 것인지 최소한의 범위도 설정하지 않은 채 포괄적 규정의 형태를 띄고 있습니다. 이는 명확성의 원칙에 위배된다고 보아야 할 것입니다. 

또한 위치정보 수집이 감염병의 전파를 효율적으로 방지한 수단임이 입증되지 않는 이상, 이 사건 법률조항은 효율적이고 적절한 수단을 선택한 공권력 행사로 볼 수 없습니다.

또한 위치정보 수집에 대한 법원의 허가 또는 전문가 심의 등 절차를 도입하거나 다른 수단을 먼저 고려하라는 보충성 요건을 규정하는 등 통제장치 도입을 통해 기본권을 덜 제한하는 다른 방법도 고려할 수도 있었습니다. 그럼에도 불구하고 아무런 통제장치를 두고 있지 않은 이 사건 법률조항은 침해의 최소성 원칙에 반하여 기본권을 중대하게 침해합니다.

더불어, 감염병예방법에서 경찰이 위치정보 취득의 매개 역할을 하고 자신의 동선에 대해 사실대로 말하지 않는 것을 감염병예방법상 범죄로 규정하고 있으면서도 영장주의가 적용되고 있지 않습니다. 게다가 감염인과 접촉하지 않은 이태원 지역 방문자까지 광범위하게 개인정보를 수집한 것은 본질적으로 다른 집단에 대해 동일하게 취급하여 개인정보자기결정권 등을 중대하게 침해한 것으로서, 그 비례성을 상실하여 청구인의 평등권을 침해하였습니다.

5. 유엔 경제적, 사회적 및 문화적 권리에 관한 국제규약 등 국제인권기준은 감염병 위기 상황에도 기본적 권리의 보장을 최우선 가치로 두어야 하고, 공중보건의 위기를 이유로 한 기본적 권리의 제한이 법률에 따라 비례적으로 이루어질 것을 강조하고 있습니다. 이 사건 기지국 정보처리행위 및 관련 법률조항은 위 국제인권기준에도 어긋납니다. 청구인과 단체들은 헌법재판소가 국제인권기준의 원칙과 헌법에 명백히 위반되는 기지국 정보처리행위 및 감염병예방법 조항이 위헌임을 확인함으로써 코로나 19 라는 감염병의 공포 아래 희미해지는 우리 헌법의 가치를 바로 세울 수 있기를 기대합니다.

2020년 7월 30일

민주사회를위한변호사모임 디지털정보위원회, 사단법인 오픈넷,
사단법인 정보인권연구소, 진보네트워크센터, 참여연대

문의: 오픈넷 사무국 02-581-1643, [email protected]

시민사회단체, 위원장과의 간담회에서 현재까지 개인정보 보호위의 행보에 실망감 표출

보호위 위원장, 주요 쟁점에 대한 추가 논의 약속 

1. 지난 9월 17일(목) 개인정보보호위원회(이하, ‘개보위’) 회의실에서 윤종인 위원장과 9개 소비자, 노동, 보건, 시민사회단체 대표 등이 간담회를 진행했다. 시민사회단체는 간담회에 앞서 개보위에 개인정보보호 주요 쟁점 사안들에 대한 질의서를 미리 보냈다. 시민사회단체는 이미 여러 차례 의견을 제출했음에도 지금까지 시민사회의 의견과 제안이 반영되지 않는 것에 대한 책임있는 답변을 듣고 싶었기 때문이다.

지난 8월 5일 개정 개인정보보호법 시행에 맞춰 출범한 통합 개보위는 국민의 개인정보를 경제적 가치로만 환산해 정책을 추진하는 정부 부처에서 거의 유일하게 헌법의 기본권 측면에서 개인정보보호 수호자의 역할을 할 것으로 기대했지만, 지금까지 개보위의 행보는 여전히 정보주체보다 산업계의 이익을 우선했다는 비판을 받아왔다. 그러나 이번 간담회에서도 개보위는 시민사회를 설득할 만한 충분한 논거를 보여주지 못했을 뿐만 아니라, 개인정보 감독기구로서의 위상에 맞지 않게 정보주체의 권리에 대한 고려가 여전히 미흡했다. 그러나 시민사회와의 첫 대화인만큼 앞으로도 시민사회와 적극적으로 소통할 것을 기대한다.

2. 이날 간담회에서 개보위가 시민사회의 질의 내용에 대해 준비하여 답변(강유민 정책국장이 답변을 하고 윤종인 위원장이 보충하였다)한 내용과 이에 대한 시민사회의 반론은 다음과 같다.

1) 보호위원회의 <가명정보 처리 가이드라인> 상 “개인을 ‘알아볼 수 있는‘의 판단기준으로 “해당 정보를 처리하는 자”로 좁게 해석한 근거 : 우리의 개인정보 개념이 유럽 GDPR과 크게 다르지 않다고 본다. 누군가에게는 식별가능한 정보라도 또 다른 누군가에는 식별이 불가능할 경우 개인정보로 볼 수 없는 것이다.

➔ (시민사회 반론) GDPR과 다르지 않다고 하는데, GDPR에서는 처리자뿐만 아니라 제3자에 의해서도 식별가능한지 여부를 따지고 있으므로 굳이 ‘해당 정보를 처리하는 자를 기준으로 판단’한다는 표현을 포함할 이유가 없다.개인정보 처리자의 자의적 해석에 따라 달라질 수 있도록 한 것은 문제다.

2) 보호위원회가 판단하는 ‘과학적 연구’ 란 구체적으로 무엇이며, 이에 대한 별도의 해설서를 제공할 계획 여부 : 과학적 방법이란, 가설-검증-이론화 과정을 거치는 것을 말한다고 본다. 계속 같이 고민하고 있는데, 과학적 연구가 아닌 것이 뭐냐고 물으면 설명하기가 어렵다. 케이스를 봐가면서 검토하려고 하고 있다. 말은 과학적 연구라고 하지만 의도가 의심되는 경우가 있으면 같이 토론하고 의논해서 진행하겠다.

➔ (시민사회 반론) 유럽개인정보보호감독관(EDPS)이 올해 발표한 예비 보고서를 보더라도 과학적 방법을 사용한다고 모두 과학적 연구로 보는 것은 아니다. 경계가 모호하다면 범위를 좁게 설정했다가 향후 문제가 없으면 넓혀 가는게 권리침해의 위험을 줄일 수 있다. 위원장의 말대로라면 ‘과학적 연구 아닌 것’이 없게 된다.

3) 서로 다른 기업의 가명정보 결합한 후, 결합된 가명정보를 원 개인정보 보유기업에 반출하도록 허용하면서, 반출된 결합 가명정보의 안전한 활용을 어떻게 보장할 것인지 : 만약 원기업이 식별을 하면 엄격한 형사처벌조항, 매출 3% 과징금 등 사후처벌이 있으므로 감히 그렇게 못할 것이다. 데이터결합 제도를 어렵게 만들어낸 만큼 관리감독할 것이고 반출심사위를 외부인사도 참여하게 하여 엄격히 할 것이다.

➔ (시민사회 반론) 결합기관의 안전공간에서 연구하고 결과만 반출하는 방식 등 구조적으로 안전성을 보장할 수 있는 방법을 시민사회가 제안했지만, 산업계의 불편만을 우선적으로 고려한 것이 문제다. 유출 등 사고가 나면 이미 너무 늦어 사전 예방책이 더 중요한데 형사처벌, 과징금 등은 다 사후제재다. 믿어달라고만 하는 것은 너무 안일한 처사 아닌가.

4) 특정 과학적 연구 후에 가명정보의 파기 여부 : 가명정보 보관/파기는 양해해 달라. 파기 관련 법률 상위 규정이 없어서 시행령에 만들었다가 근거가 없어서 제외한 바 있다. 이 부분은 입법처리를 준비하는 것을 검토 중이다.

➔ (시민사회 반론) 목적명확화, 최소수집의 원칙 등 개보법 3조의 원칙을 고려한다면 당연히 개인정보인 가명정보도 특정 목적 달성 후 파기하도록 할 수 있다. 오히려 기본권 제한은 법률에 의해서만 가능하다는 헌법 37조2항에 따르더라도 파기하지 않는 것이 헌법상 기본권에 대한 침해라고 봐야 한다.

5) 복지부와 공동 공개한 ‘보건의료 데이터 활용 가이드라인(안)’은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하고 있는 것과 같이 <가명정보 처리 가이드라인>에도 명시할 계획이 있는지 : 당초 안에는 사전적인 처리정지 요구를 할 수 있게 하는 옵트아웃 방안을 제시했고 이를 포함시킬지 여부를 검토 중이다. 가명정보 특례 취지상 28조7에서 37조(개인정보의 처리정지)는 배제하고 있고, 가명처리 전 개인정보를 어떻게 할 것인가가 문제인데 좀 더 검토가 필요하다.

➔ (시민사회 반론) 가이드라인에 포함된 처리정지권을 뺀다면 이건 심각한 문제다. 처리정지권은 법에 규정된 권리이므로 당연히 보장해야 한다. 동의없이 처리하는 것이기 때문에 정보주체의 거부권은 최소한의 권리다.

6) <보건의료 데이터 활용 가이드라인(안)>은 민감정보인 개인 의료정보도 가명정보 처리 특례가 적용되는 것으로 보고 있는데 의료법 위반일 가능성이 있고, 명확한 법적 근거없이 활용할 수 있도록 열어주는 근거 : 국회 속기록에도 남아 있는데, 민감정보여도 가명처리 할 수 있다고 말했다. 가명처리 이후 얼마나 관리하느냐가 관건인 것 같다. 관심갖고 준비할 수 있도록 하겠다. 복지부와 협의하고 있다. 원래 입법은 의료정보 가명화를 염두에 둔 건 아니다.

➔ (시민사회 반론) GDPR에서는 민감정보도 과학적 연구 목적으로 처리할 수 있도록 하지만 회원국의 법률에 근거하도록 하고 있다. 우리나라도 필요하다면 법적 근거를 마련해야지 이렇게 해석상 가능한 것으로 허용하는 것은 문제다.

7) 금융위원회의 쇼핑몰 구매정보를 개인 신용정보에 포함시킨 것에 대한 입장 : 신용정보법과 정합성이 떨어지는 부분이다. 금융위가 신용정보 범위를 확장적으로 해석하고 있는 것은 맞다. 금융위와 의논 중이다. 구매내역정보라고 해도 내용을 들어보면 어떤 경우는 신용평가모델에 쓰이기도 하고 다양해서 계속 논의 중이다.

8) 빅데이터 시대에 대응할 수 있는 정보주체의 새로운 권리나 개인정보처리자의 책임성 강화 조치를 포함한 개인정보보호법 2차 개정 계획 : 법적 정합성, 정보주체 권리 보호에 문제가 있는 등 법개정 필요성 인정한다. 하나하나 심도깊은 논의가 필요한 주제들이다.

9) 행안부, 방통위에 흩어져 있던 개인정보 감독 권한이 보호위원회로 일정하게 통합되었으나 여전히 개인 신용정보에 대한 감독은 금융위 관할로 남아있어 혼란,이를 해소하기 위한 대책 : 신정법에서 잘 규정하고 있는 부분이 있어서 벤치마킹하는 부분도 있다. 관계법령에도 비식별 조치, 비식별 처리 등등 흩어져있는 개별법 문제를 조속히 조사해서 정리할 것. 신정법 이슈는 연구해서 차차 답변하겠다.

➔ (시민사회 의견) 개인정보보호법과 신용정보보호법 간 개념 충돌과 정합성 부족으로 소비자가 피해를 보게 된다. 보호위원회가 개인정보 감독기구로서 제 역할을 적극적으로 해달라. 

10) 기타 : 질의서에 포함된 내용 이외에 시민사회 참가자들은 최근 서울고등법원이 통화내역의 기지국 정보가 위치정보가 아니라고 판결한 것과 개인위치정보의 해석에 대해 보호위의 의견을 요청했고, 보호위 홈페이지에 정보주체의 권리와 관련된 내용이 부족하다는 것을 지적하며 정보주체의 인식 고양을 위한 적극적인 활동을 주문하였으며, 학교 등에서의 개인정보 교육을 위해서도 개인정보 보호법제의 정비가 필요하다는 의견을 제시하였으며 이에 대해 윤종인 위원장도 공감하였다.

3. 시민사회단체 참석자들은 “개인정보 시스템에 대한 신뢰가 클수록 활용도 잘 될 것”이라는 윤종인 위원장의 발언에 공감한다고 밝혔다. 그러나 안타깝게도 지금까지 개보위가 보여준 모습은 개인정보 시스템에 대한 신뢰를 약화시키는 것이었다고 지적했다. 개인정보의 정의, 과학적 연구의 범위, 개인의료정보에 대한 가명정보 특례 적용 등 법에서 명확하게 규정하고 있지 않은 쟁점들에 대해서는 기업들에게 유리하게 해석하고 있는 반면, 특정 연구가 끝난 후의 가명정보 파기, 정보주체의 처리정지권 보장과 같이 정보주체의 권리를 보호하려는 내용은 계속 후퇴하는 것에 대해 어떻게 이해해야 하는지 반문했다. 여러 쟁점에 대한 시민사회의 반론에 대해 윤종인 위원장은 별도의 자리를 만들어서 토론을 계속할 것을 약속하였다. 시민사회는 언제든지 합리적인 토론을 환영하며 여러 쟁점에 대해 정보주체의 권리가 반영되는 방향으로 개정할 것을 촉구한다고 밝혔다. 이날 간담회는 무상의료운동본부, 민주노총·사무금융노조법률원, 민주사회를위한 변호사 모임 디지털정보위원회, 서울YMCA시민중계실,소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, (사)오픈넷이 참여했다. 

시민사회단체가 개인정보보호위원회에 보낸 질의서 원문

1. 최근 귀 위원회가 공개한 <가명정보 처리 가이드라인>에서는 “개인을 ‘알아볼 수 있는‘의 판단기준은 “해당 정보를 처리하는 자”로 해석하여 개인정보를 좁게 해석하고 있습니다. 이는 2016년 <개인정보 비식별조치 가이드라인>의 해석과 동일합니다. 그러나 이렇게 될 경우 개인정보에 개인정보보호법 적용이 배제되어 개인정보 권리가 침해될 우려가 있습니다. 이는 유럽연합의 GDPR의 개인정보에 대한 해석과도 다릅니다. 귀 위원회에서 이렇게 개인정보를 좁게 정의하는 근거는 무엇입니까.

2. 최근 귀 위원회가 공개한 <가명정보 처리 가이드라인>은 ‘과학적 연구’에 대해 구체적인 해석의 기준을 제공하고 있지 않습니다. 귀 위원회의 판단에, 과학적 연구가 아닌 연구나 활동에는 어떠한 사례가 있을 수 있는지 궁금합니다. 또한 ‘연구’라고 표방하기만 하면 개인정보보호법 상 ‘과학적 연구’에 포함되는 것인지, 아니면 향후에 귀 위원회가 보다 구체적인 해설서를 제공할 계획이 있는지 궁금합니다.

3. 가명정보의 결합과 관련하여 시민사회는 해외 사례를 참고하여 안전하게 결합할 수 있는 방법에 대한 여러 제안을 했지만, 귀 위원회는 서로 다른 기업의 가명정보를 결합한 후, 결합된 가명정보를 원 개인정보 보유기업에 반출하도록 허용하고 있습니다. 이렇게 반출된 가명정보가 안전하게 활용될 것을 어떻게 보장할 수 있는지 설명해 주시기 바랍니다.

4. 가명정보를 과학적 연구 목적을 위하여 애초 보관 기간 이상으로 보유할 수 있도록 허용하는 것과 추후의 계속적인 연구에 활용할 수 있도록 무기한 보유를 허용하는 것은 다릅니다. 과학적 연구, 통계 목적 등을 위해 제3자에게 제공된 가명정보의 보관기간 및 파기에 대한 귀 위원회의 입장은 무엇입니까.

5. 복지부와 귀 위원회가 공동 공개한 ‘보건의료 데이터 활용 가이드라인(안)’은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하고 있습니다. 가명정보의 처리는 정보주체의 동의와 무관하게 이루어지므로 정보주체가 원할 경우 최소한 옵트아웃할 권리를 보장하는 것은 당연합니다. 그런데 <가명정보 처리 가이드라인>에는 이러한 권리가 명시되어 있지 않습니다. 옵트아웃 권리에 대한 귀 위원회의 정확한 입장은 무엇입니까.

6. 개인정보보호법 제23조는 민감정보의 경우 정보주체의 별도의 동의나 법령에 근거가 있는 경우에만 처리할 수 있도록 하고 있음에도, 보건의료 데이터 활용 가이드라인(안)은 민감정보인 개인 의료정보도 가명정보 처리 특례가 적용되는 것으로 보고 있습니다. 더구나 개인 의료정보의 목적 외 활용은 의료법 저촉 가능성도 있습니다.  의료정보를 포함한 민감정보를 명확한 법적 근거없이 활용할 수 있도록 열어주는 근거는 무엇입니까.

7. 금융위원회는 쇼핑몰 구매정보도 개인 신용정보로 보고 있습니다. 이에 대한 귀 위원회의 입장은 무엇입니까.

8. 유럽연합과의 GDPR 적정성 결정 협의는 어떻게 진행되고 있으며, 언제쯤 타결될 예정인지요. 또한 논의 과정에서 합의에 어려움이 있는 쟁점은 무엇인지요.

 금융위원회의 관계

개정 개인정보보호법에 따라 그동안 방송통신위원회와 행정안전부에 흩어져 있던 개인정보 감독 권한이 보호위원회로 일정하게 통합되었음에도 불구하고, 신용정보에 대한 감독은 여전히 금융위원회가 담당하고 있습니다. ‘개인정보보호법’과 ‘신용정보법’ 간의 중복과 혼란 역시 완전히 해소되지는 않았고 인터넷쇼핑몰 주문내역 등을 신용정보로 해석하려는 시도 등과 같이 앞으로도 신용정보와 비신용정보에 대한 정의 문제, 활용 및 관리 감독의 문제 등이 반복될 것입니다. 이는 개인정보처리자인 기업 등뿐 아니라 정보주체에게도 큰 혼란을 줄 것입니다. 이에 대해 귀 위원회는 어떠한 문제의식을 갖고 있고 이 문제를 풀기 위해서 어떤 조치를 취할 것인지 알려주시기 바랍니다.

 개인정보보호위원회 운영 및 사업에 대한 의견

1. 8월 5일부터 시행된 개정 개인정보보호법은 빅데이터 시대에 대응할 수 있는 정보주체의 새로운 권리나 개인정보처리자의 책임성 강화 조치는 거의 포함하지 않았기 때문에, 2차 개정이 시급합니다. 개인정보보호법의 추가 개정에 대한 귀 위원회의 계획은 어떠합니까?

2. 통상적으로 개인정보처리자는 조직화되어있어 자신의 입장을 전달하는데 용이합니다. 그러나 정보주체는 흩어져있고 시민, 소비자단체 외에는 정보주체의 입장이 체계적으로 대변될 수 있는 구조가 없습니다. 정보주체의 의견을 수렴하기 위한 귀 위원회의 고민은 무엇입니까? 귀 위원회가 이와 같은 정보 주체의 의견 수렴을 위해 어떤 방법을 마련할 것인지 알려주십시오. 

사단법인 오픈넷은 올해 2월 제정된 소위 “데이터3법” 중 아무런 이유 없이 정보주체의 권리를 제한하는 개인정보보호법 제28조의7^[1]을 재개정할 것을 요구한다. “데이터3법”의 핵심취지는 GDPR을 벤치마킹하여 ‘통계작성, 과학적 연구, 공익적 기록보존의 목적(이하, “공공목적”)’으로는 개인정보를 정보주체의 동의 없이 이용할 수 있도록 한 개정법 제28조의2^[2]에 담겨져 있다. GDPR은 정보주체들이 열람권, 정정권, 처리제한권, 처리거부권을 너무 많이 행사하는 경우 공공목적이 무산되는 것을 방지하기 위해 공공목적의 이용에 한하여 이들 권리를 제한했다. 그런데 우리나라는 데이터3법을 졸속으로 통과시키면서, 개인정보보호법 제28조의7에서 단순히 가명처리만 하면 정보주체의 권리가 제한되도록 하여 개인정보처리자들이 공공목적 없이도 정보주체들의 권리를 제한할 수 있게 하였다. 

즉, GDPR은 공공목적을 위해서는 정보최소화원칙에 부합하는 안전조치(예를 들어, 가명처리)를 적용하면 정보주체의 동의 없이 개인정보를 이용할 수 있으되(GDPR 제89조 1항), 공공목적으로 처리될 때는 제15조(열람권), 제16조(정정권), 제18조(처리제한권) 및 제21조(처리거부권)에 규정된 권리의 적용을 일부 제외할 수 있다(89조 2항)고 하였다. 이에 비해 우리나라 개인정보보호법 제28조의7은 “가명정보는 [고지권, 파기권, 통지권, 정정권, 삭제권 등]의 규정을 적용하지 아니한다고 되어 있을 뿐이다. 자신에 대한 정보에 대한 열람권, 정정권 등 중요한 권리들이 GDPR 하에서는 공공목적 이용에 한해서 가명처리까지 이루어져야 제한되지만 우리나라 법은 공공목적과 무관하게 가명처리만 되면 정보주체의 권리들이 모두 제한되는 것이다.  

이 차이는 형식적 차이 이상의 심각한 혼란을 초래하고 있고 정보인권을 심대하게 침해할 것이다. 정보처리자들은 과학적 연구, 통계작성 등의 목표도 없이 가명처리를 하는 것만으로 정보주체들의 권리를 제한할 수 있게 되었다. 예를 들어 통신사들은 이용자들에 대해 가지고 있는 개인정보를 가명처리하고 재식별키를 제3자에게 보관시키게 되면 이용자들이 자신들에 대해 통신사가 가지고 있는 정보를 열람하겠다고 해도 보여주지 않아도 된다. 

더 아이러니한 것은 정부는 가명처리가 정보주체에게 미치는 위험을 감지했음에도 입법불비를 인정하고 개선하려 하지 않고  정보처리자에게 가명처리를  절차적으로 매우 하기 어려운 일로 만들어버렸다. 이에 따라 최근 8월에 개인정보보호위원회가 발표한 가명정보가이드라인(가명처리편)은 전 세계에서 유일무이하게 가명처리에 엄격한 절차적 요건을 부과하고 있다. 하지만 가명처리는 전 세계적으로 개인정보보호를 위해 장려되는 조치로서 당연히 정보주체의 동의 없이 할 수 있어야 한다. GDPR도 제32조와 제40조에서 가명처리는 모든 개인정보처리자가 기본적으로 해야 하는 보호조치로 명시하고 있다. 심지어 우리나라의 경우에도 법으로 주민등록번호는 반드시 암호화하여 보관하도록 하여 유출되더라도 식별화 피해를 최소화하도록 하고 있는데(개인정보의 안전성 확보조치 기준 제7조) 여기서 암호화란 정보보호 상으로는 가명처리의 스펙트럼 속의 한 방식일 뿐이다. 그런데 이렇게 가명처리를 어렵게 만들어 놓으면 개인정보처리자들은 프라이버시 보호를 위한 자발적인 가명처리를 하지 않게 되어 유출시 위험이 더 높아질 수밖에 없다.

결국, 가명처리 이전에는 개인정보보호를 위해 장려되고 활발하게 이루어져야 할 가명처리를 어렵게 만들어서 개인정보보호가 약화되고, 가명처리 이후에는 열람권, 삭제권 등 정보주체의 권리가 제한되어 더욱더 개인정보보호가 약화되는 최악의 상황이 만들어져버렸다. 이 상황에서는 개인정보보호에 대한 양보의 대의명분으로 제시되는 공공목적 개인정보 활용이 이루어지기도 어렵지만, 이루어질 경우에도  너무나 위험하게 되었다. 지금이라도 GDPR을 벤치마킹하겠다는 취지를 살려서 제28조의7을 개정하여 ‘과학적 연구, 통계작성, 공익적 기록보전’의 목적을 위해 가명처리된 정보에 대해서만 권리제한이 이루어지도록 하고 가명처리 자체는 모든 개인정보처리자가 활발하게 하도록 장려하는 보완조치들이 이루어져야 할 것이다. 

이와 함께 사단법인 오픈넷은 지난 4월 위 문제를 포함하여 개인정보보호법의 개정 및 보완 요구를 하면서 ‘과학적 연구’의 정의에 연구결과가 논문 등의 형태로 공개되어야 한다는 요건을 포함할 것과 개인정보 결합시 결합키관리기관과 결합기관을 분리할 것도 요청하였다. 결합키관리기관과 결합기관의 분리는 <가명정보의 결합 및 반출 등에 관한 고시[시행 2020. 9. 1.] [개인정보보호위원회고시 제2020-9호, 2020. 9. 1., 제정]>를 통해서 어느 정도 해결이 된 반면, ‘과학적 연구’의 결과 공개 요건은 아직도 개선되어 있지 않다. 재개정을 통해 이 문제도 같이 해결할 것을 요구한다.  

________________________________
[1] 제28조의7(적용범위) 가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.

[2] 제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.

2020년 9월 25일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 기자간담회 개최]

• 일시: 2020년 9월 29일(화) 오전 10시 ~ 11시
• 장소: 오픈넷 회의실 (서울시 서초구 서초대로50길 62-9, 402호) 
• 위 내용에 대해 설명하는 기자간담회에 참석을 원하시는 기자님은 참가신청을 해주시기 바랍니다.

[관련 글]
[공동 논평] 개보위 역할 인식 아쉽다 – 개인정보 보호위원회는 정보주체 권리 보호에 더 적극적이어야 (2020.09.22.)
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.09.) 

‘개인정보보호법 제28조의7의 위헌성’

– 과학적 연구 아니라도 가명화만 하면 정보주체의 열람권, 삭제권, 정정권 등이 모두 박탈된다?

사단법인 오픈넷은 소위 “데이터3법” 중 개인정보처리자가 가명처리만으로 정보주체의 권리를 제한할 수 있는 개인정보보호법 제28조의7의 재개정을 요구하는 논평을 발표했습니다(하단 첨부). 이와 관련하여 해당 법률의 문제점과 개선방안을 이야기하는 기자간담회를 개최하고자 하오니 많은 참석 부탁드립니다.

[기자간담회] ‘개인정보보호법 제28조의7의 위헌성’

• 일시: 2020. 10. 13.(화) 오전 10시
• 장소: 사단법인 오픈넷 회의실 (서울시 서초구 서초대로50길 62-9, 402호)
• 사전등록: https://forms.gle/Bd1gzwh5Q45xAjBH6
• 참석을 희망하시는 기자님은 꼭 사전등록을 해주시기 바랍니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

글 | 손지원 (오픈넷 변호사)

최근 ‘디지털교도소’가 논란이 되면서, 개인이 다른 사람의 잘못을 폭로하는 이른바 ‘사적 제재’가 법치국가에서 용인되어선 안 된다는 목소리가 높아지고 있다. 디지털교도소만의 운영방식이나 표현 수위에 따른 특수한 문제에 대해서는 별개로 논의되어야 하며, 운영자는 그에 상응하는 법적 책임을 져야 할 것이다. 그러나 이를 계기로 국가 아닌 사인(私人)이 다른 사람의 신상을 공개하며 그들의 잘못된 행위를 알리는 활동 자체를 비판하고 금기시하는 목소리는 위험하다.

사실 ‘사적 제재’란 없다. ‘제재’란 본래 국가가 제도로써 잘못을 저지른 이들에게 일정한 의무를 강제적으로 부과하는 것이며, 개인이 이를 할 수는 없다. 아마도 여기서 ‘제재’란 사회적 비난을 당하게 되는 것을 상징하는 용어일 것이다. 그런데 개인이 다른 사람의 잘못을 알려―물론 그것이 진실이라는 전제하에―그들이 그에 상응하는 사회적 평가를 받도록 하는 것이 나쁜 일인가? 언론사가 기업이나 정치인의 비리를 추적하고 보도하는 것이나 미투 운동 등의 사회 고발 활동도 모두 이러한 사적 제재에 속한다. 타인의 잘못된 행위를 알리는 표현 활동은 행위자가 이로 인한 사회적 비난이 두려워 자신의 행위를 시정하도록 하여 피해를 구제하거나 제3의 피해도 예방할 수 있다. 또한 다른 사람들에게도 자신의 행위 역시 사회적 감시와 공개적인 비판의 대상이 될 수 있다는 경각심을 심어주어 사회구성원들이 공론장에서 좋은 사회적 평가를 유지하기 위해 각자의 행동을 반성하고 교정하도록 만든다. 민주주의 사회는 이렇듯 사회구성원들이 각자에 대한 평가를 교환하는 공론의 과정을 통해 발전한다. 언론사가 어느 총수 일가 등의 갑질 행태를 보도함으로써 부유층의 갑질에 고삐가 죄어질 수 있고, 미투 운동을 통해 사회에 만연한 크고 작은 성폭력, 성차별적 문화가 개선될 수 있는 것이다.

일각에서는 잘못된 ‘행위’에 대해서만 논하면 되지, 신상까지 공개할 필요는 없다고 주장한다. 그러나 신상공개는 곧 행위자를 특정하기 위함인데, 행위자를 특정하지 않으면 위와 같은 효용은 달성할 수 없다. 즉, 잘못을 저지른 사람은 다른 주변인들에 희석되어 자신에 대한 부정적인 평가를 면하고 자신의 행동을 교정할 동기도 없어지는 반면, 유사한 직종·특징을 가진 선량한 주변인들만 억울하게 피해를 입을 수 있고, 대중의 정당한 알 권리도 침해된다. 개인의 부조리는 사법 시스템을 통해서만 해결해야 한다는 주장도 있다. 그러나 사람이 자신이 저지른 행위에 대해 ‘법적’ 처단을 받는 것과 ‘사회적’ 평가를 받는 것은 별개의 책임 영역이다. 성희롱 등 모든 부조리한 행위가 법적 처단의 대상도 아닐뿐더러, 법이 있더라도 적정한 처단이나 보호를 하지 못하는 경우도 많고, 복잡한 사법 시스템을 활용할 여력이 없는 서민 피해자들도 많다. 양육비를 주지 않는 부모들의 명단을 공개하는 배드파더스는 법망을 피해 가던 양육비 미지급 건들을 다수 해결하고 양육비 미지급 문제를 크게 공론화했다. 또한 국가가 성범죄자의 신상공개를 하는 이유와 같이, 이미 과거의 잘못에 대해 법적 제재를 받았다고 해도 재발 위험은 있고, 사회구성원들이 이 위험으로부터 스스로를 보호하기 위해 알 권리가 우선되어야 하는 영역도 있다. 임금체불을 했던 업주, 식품위생법을 위반했던 식당 업주, 의료사고를 냈던 의사들의 명단을 알리는 사이트가 있다면, 이같이 노동자, 소비자의 합리적 선택에 필요한 정보를 알리는 공간들이 차단되어야 할까?

물론 개인이 하는 활동은 오류 가능성이 크므로 이 위험성을 지적하거나 정보의 신뢰도에 의문을 제기할 필요는 있으며, 행위자도 그에 상응하는 법적 책임을 지게 될 것이다. 그러나 마치 국가기관만이 개인의 비위 사실을 공식적으로 확인·공개해야 하고, 사인은 이를 공표해서는 안 된다는 식의 목소리는 민주주의 사회에서 헌법이 보장하고 있는 국민의 표현의 자유를 부정하는 것과 다름없다. 이러한 시각은 미투 운동을 비롯한 사회 고발, 언론사의 보도 등 사회를 움직이는 모든 ‘사적 제재’들을 위축시킬 것이다.

나쁜 짓을 해도 개인적 망신을 당할 염려는 없는 세상, ‘사적 제재’가 없는 세상이 과연 살기 좋은 세상일까. 나쁜 사람들만 더 살기 좋아진 세상은 아닐까.

이 글은 한겨레에 기고한 글입니다. (2020.10.26.)

사단법인 오픈넷은 2020. 11. 24. ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 신설하는 전기통신사업법 일부개정법률안(허은아의원 대표발의, 의안번호: 2104821)에 대하여 다음과 같이 찬성의견을 제출했다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

『전기통신사업법 일부개정법률안』에 대한 의견서

1. 통신자료제공 제도의 문제점

• 현 전기통신사업법 제83조 제3항이 규정하고 있는 통신자료제공 제도는 수사기관 등이 법원의 허가 등을 받지 않고 이용자의 개인정보를 무단으로 취득할 수 있게 하고 있어 영장주의 원칙을 위반하여 이용자의 개인정보자기결정권을 침해함
  • 수사기관은 헌법 제12조 제3항이 규정하고 있는 영장주의 원칙의 우회수단으로 통신자료제공 제도를 남용해 왔으며, 이는 통신자료제공 요청이 전화번호(ID) 수 기준으로 2012년 788만여 건에서 2015년 1,058만여 건으로 크게 증가하는 등 통계로도 확인된 바 있음
  • 국가인권위원회는 2014년 2월 10일 영장주의 원칙의 위반을 이유로 통신자료제공 제도를 폐지하는 법 개정을 추진할 것을 권고한 바 있으며, 2016년 5월 18일 시민 500명은 관련 전기통신사업법 조항들에 대해 헌법소원을 청구해 현재 헌법재판소에서 심리중임
• 통신자료제공 제도는 영장주의 원칙 위반 외에도 달리 정보주체에게 사전 또는 사후 통지하는 제도를 두고 있지 않아 적법절차 원칙에 위반됨. 통신자료제공에 대한 통지 제도가 없기 때문에 정보주체는 자신의 개인정보가 수사기관에 제공되었는지 알 수 없고, 부당하게 제공되었더라도 이에 대해 시정을 요구할 수 있는 방법이 없음

2. 찬성의견

가. 주요내용

• 본 개정안은 ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 두도록 함으로써 개인정보 보호를 강화하고 통신자료 남발 가능성을 제한하고자 함(안 제83조의2 신설 등)

나. 통신자료의 명칭 변경에 대한 의견

• 통신자료는 이용자의 성명, 주민등록번호, 주소, 전화번호 등으로 명백히 개인정보보호법상 개인정보에 해당함에도 불구하고 ‘통신자료’라고 지칭함으로써 그 의미를 전혀 알 수 없는 문제가 있었음. 따라서 ‘통신자료’를 그 의미가 좀 더 명확하게 드러나는 ‘통신이용자정보’로 변경하는 것에 찬성함

다. 통신이용자정보제공 통지 제도 신설에 대한 의견

• 헌법 제12조에 규정된 적법절차원칙은 비단 형사절차뿐만 아니라 모든 국가작용 전반에 적용되며, 적법절차원칙에서 도출되는 중요한 절차적 요청으로, 당사자에게 적절한 고지를 행할 것, 당사자에게 의견 및 자료 제출의 기회를 부여할 것 등을 들 수 있음(헌재 2003. 7. 24. 2001헌가25; 헌재 2015. 9. 24. 2012헌바302 등 참조). 통신자료제공에 관한 수사기관의 권한남용을 방지하고 정보주체의 기본권을 보호하기 위해서는, 적법절차원칙에 따라 정보주체에게 적절한 고지와 실질적인 의견진술의 기회가 부여되어야 함
• 본 개정안은 ‘통신이용자정보제공을 받은 날부터 30일 이내’에 제공을 받은 사실, 이유, 제공요청기관 등을 알려주도록 하고 있고, 특별한 사유가 있는 경우 60일 이내의 기간을 정하여 통지를 유예할 수 있도록 하고 있음. 이는 통신자료제공 제도를 적법절차원칙에 합치하도록 개선하는 안이므로 찬성함

지난 11월 12일 법무부는 추미애 법무부장관이 “채널A 사건 피의자인 한동훈 법무연수원 연구위원 사례와 같이 피의자가 휴대폰 비밀번호를 악의적으로 숨기고 수사를 방해하는 경우 영국 등 외국 입법례를 참조하여 법원의 명령 등 일정요건 하에 그 이행을 강제하고 불이행시 제재하는 법률 제정을 검토하도록 지시”했다고 밝혔다. 이후 각계 각층의 비판이 쏟아지자 다음날 디지털 증거 압수수색시 협력의무 부과 법안 연구와 관련하여 “자기부죄금지원칙 및 양심의 자유, 사생활 보호와 조화로운 합리적 방안 마련”을 위해 다양한 방안을 검토 중에 있다고 해명하였다. 그러나 피의자에게 비밀번호 공개를 강제하는 방안은 헌법상 보장된 자기부죄금지 원칙, 진술거부권, 방어권을 심각하게 침해한다. 또한 대안으로 검토하고 있다는 제3자에게 협력의무를 부과하는 방안 또한 이용자의 프라이버시를 침해하고 보안 취약화로 인한 보안위험을 증대시키기 때문에 반대한다. 

헌법 제12조 제2항은 누구나 형사상 자기에게 불리한 진술을 강요당하지 아니한다고 하여 자기부죄금지원칙을 밝히고 있다. 이러한 원칙하에 형사소송법은 피의자와 피고인의 진술거부권에 대하여 규정하고 있고, 형법 제155조 또한 “타인의” 형사사건 또는 징계사건에 대한 증거인멸 등만 처벌할 뿐 자신의 범죄는 아예 구성요건에 해당하지 않는 것으로 규정하고 있다. 이는 형사절차에서 피의자와 피고인의 방어권을 실질적으로 보장하기 위한 최소한의 장치이며 고문을 통한 자백강요 등 반인권적 수사로부터 이들의 인권을 보호하라는 헌법적 요청인 것이다. 그런데 국민의 인권과 법치를 수호해야 할 법무부가 본분을 망각하고 헌법적 요청에 정면으로 역행하는 휴대폰 비밀번호 공개강제법의 도입을 검토하고 있는 것에 경악하지 않을 수 없다. 

그렇다고 하여 디지털 증거의 압수수색에 있어 휴대폰 제조사나 통신사 등 제3자에게 복호화 등 협력의무를 부과하는 방안도 매우 신중히 검토되어야 한다. 법무부에서 연구 대상으로 밝힌 영국, 프랑스, 호주, 네덜란드의 입법례가 그러한 의무를 담고 있다. 우리나라에서도 지난 20대 국회에서 김도읍 의원은 정보에 대한 압수수색 영장 집행 과정에서 정보 또는 정보저장매체의 소유자·소지자·관리자에게 협력의무를 부과하고, 이에 응하지 않는 경우 과태료 및 이행강제금을 부과하는 내용의 형사소송법 개정안(의안번호: 2001352)을 대표발의한 바 있다(위 개정안에서는 과태료 및 이행강제금 부과 대상에 피고인은 제외하는 규정을 두었다). 더 거슬러 올라가면 19대 때는 전기통신사업자에게 감청설비 의무를 지우고 불이행시 이행강제금을 부과하는 법안들이 발의되었는데, 이 또한 디지털 증거 수집을 위한 협력의무 부과라는 점에서 결을 같이 한다. 그런데 이렇게 주로 사업자인 제3자에게 디지털 증거의 압수수색에 대한 협력의무를 부과하는 방안은 궁극적으로는 암호화 기술의 무력화가 필요한데, 이는 모든 디지털 기기와 인터넷 이용자의 프라이버시를 침해하며 보안을 취약하게 만들어 해킹 등 보안위험을 증대시키는 결과를 초래함을 상기해야 한다. 나아가 사인(私人)에게 단지 범죄의 개연성만을 근거로 다른 사인 특히 재판을 통해 유죄가 확정되지도 않은 사인의  프라이버시 침해를 대행해달라는 요구는 자유민주주의 원칙에 반한다.   

정보화 시대에 들어서 디지털 범죄뿐만 아니라 모든 범죄의 수사에 있어 디지털 증거의 수집이 더욱 중요해지고 있다. 그런 측면에서 디지털 증거 압수수색 제도의 개선은 필요하다고 보이지만, 비밀번호 공개강제나 사업자의 협력의무 같은 제도의 도입으로 헌법상 원칙에 반하여 국민의 기본권을 침해하는 일은 없어야 한다. 법무부는 휴대폰 비밀번호 공개강제법을 도입하려는 시도를 즉각 중단해야 할 것이다.

2020년 11월 25일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]