「개인정보 보호법」이 2020년 2월에 개정되면서 정보주체의 동의 없이도 과학적 연구 목적으로 개인정보를 가명화하여 이용할 수 있게 되었으나, 「생명윤리법」에는 기존 수집된 정보를 가명화 또는 익명화할 경우 연구목적으로 이용할 수 있는 특례조항들이 존재하고 있다. 2020. 9. 25. 대한기관윤리심의기구협의회(KAIRB) 연례총회에서 박경신 오픈넷 이사(고려대 법학전문대학원 교수)는 위 2가지 법체계가 어떻게 조화하는지에 대해 발표하며 개인정보보호법 개정이 가진 문제점에 대해서도 지적했다.
사단법인 오픈넷은 지난 6월 3일 행정예고된 「가명정보의 결합 및 반출 등에 관한 고시(안)」에 대한 의견서를 제출했다. 오픈넷은 지난 4월 논평을 통해 「개인정보 보호법 시행령」에 대하여 다음과 같이 지적한 바 있다. 1. 가명화를 전제로 하여 이루어지는 “과학적 연구”의 연구결과물이 사회 전반에 공유되도록 의무화되어야 하며, 2. 각종 기업들이 연구 등의 목표와 무관하게 가명정보를 이용할 위험에 대비하기 위해서는 현재 법률상 가명화만으로도 정보주체들의 견제 권리(열람권, 정정권, 삭제권, 처리거부권 등)가 제한되도록 한 부분을 보완해야 하며, 3. 프라이버시 침해 위험성을 낮추기 위해 가명정보 결합 절차에 있어서 재식별키와 연구대상 데이터를 하나의 기관이 보유하지 못하도록 해야 한다.
그러나 이번 고시(안)을 검토한 결과, 재식별키와 연구대상 데이터를 별도의 기관이 보유하도록 한 부분은 반가운 일이나 이와 같은 하위법령의 변경만으로 GDPR의 ‘가명화를 통한 추가이용’ 기준을 실현하려 한 입법취지가 제대로 실현되기 위해서는 갈 길이 멀어 보인다. 고시(안)은 결합전문기관의 ‘과학적 연구’ 여부 판단능력 제고와 관련된 규정 미비, 재식별키 보관기관의 합법성 문제, 가명정보의 결합 및 반출 실적 보고서 공적 통제를 위한 공시 의무화 필요, 가명정보의 결합신청 사후 사전 통제 절차 미비, 반출승인 기준 미비 등 프라이버시를 보호하기 위한 절차가 명확하게 마련되어 있지 못하다. 오픈넷은 한 번 더 아래와 같이 고시(안)의 개선방안에 대하여 의견을 제시한다.
문의: 오픈넷 박경신 이사 [email protected], 오픈넷 사무국 02-581-1643
고시(안) 제5조(결합전문기관의 지정 절차) ③ 보호위원회등은 결합전문기관 지정 신청을 받은 경우 지정 기준의 적합 여부를 결합전문기관 지정심사위원회(이하 “지정심사위원회”라 한다)를 구성하여 심사하여야 한다. 이 경우 지정심사위원회는 개인정보 보호 또는 데이터 활용에 관한 학식과 경험이 풍부한 5명의 위원으로 구성한다.
1) 결합전문기관 지정 기준에 결합 목적, 용도, 결과 및 발표시점 등 공적통제를 위한 기준, 절차 미비
고시(안) 제6조(결합전문기관의 관리・감독) ① 결합전문기관은 매년 1월 31일까지 다음 각 호의 서류를 작성하여 보호위원회등에게 제출하여야 한다.
1. 가명정보의 결합 및 반출 실적 보고서
고시(안) 제8조(가명정보의 결합 신청 등) ① 결합신청자는 [별지 제3호서식]의 결합 신청서와 첨부 서류를 결합전문기관에 제출하여야 한다.
② 결합전문기관은 제1항에 따른 신청서 및 첨부서류를 확인하고 보완이 필요한 경우 결합신청자에게 보완을 요구하여야 한다.
③ 결합전문기관은 가명정보의 결합 일정 및 절차 등 결합에 필요한 사항을 결합신청자와 협의하여야 한다.
④ 결합키관리기관은 결합키 생성에 필요한 사항을 결합신청자와 협의할 수 있다.
1) 결합 전 가명화가 제대로 이루어졌는지 심사 절차 필요
2) 개인정보처리자, 결합키관리기관, 결합전문기관이 상호 동일하거나 상호소유관계에 있어서는 안 된다는 별도 규정이 필요함
고시(안) 제11조(반출승인) ③ 반출심사위원회는 다음 각 호의 사항을 고려하여 반출 심사를 하여야 한다.
1. 결합 목적과 반출 정보와의 관련성이 있을 것
2. 반출 정보만으로는 특정 개인을 알아볼 수 없을 것
3. 반출 정보를 제공받는 자가 특정 개인을 알아보기 위하여 사용할 수 있는 정보가 포함되어 있지 않을 것
4. 반출 정보에 대해 적절한 안전조치 계획을 수립하였을 것
[관련 글]
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.06.)
세계 최대 아동성학대와 성착취물 사이트를 운영한 웰컴투비디오(W2V) 운영자인 손정우에 대한 미국 법원의 범인인도요청에 대한민국 법원이 결국 불허 결정을 내렸다. 아동과 여성을 성적으로 학대하고 이를 이용해 금전적인 수익을 노린 이들의 성적 착취 행각에 강도 높은 처벌이 이루어질 수 있도록 아동성학대물과 성표현물을 구분하는 양형기준을 세울 것을 요구해왔던 사단법인 오픈넷은 대한민국 법원의 이와 같은 결정에 깊은 유감을 표명한다. 나아가 한국 사회의 관대한 성범죄 처벌 문화가 하루빨리 해결될 것을 강력히 바라는 바이다.
30여 개에 달하는 국가가 공조하여 손정우를 잡아들였다는 사실은 이 사이트에서 유통된 성범죄물의 규모를 어림짐작하게 한다. 그럼에도 불구하고 손정우에 대한 18개월의 실형이라는 기존의 국내법상 처벌은 지나치게 관대했다. “미국이나 영국 국적의 피의자들이 받은 형량을 비교해보면, 음란물 유포, 성폭행 혐의 등으로 기소된 영국인 카일 폭스(26)는 징역 22년형을 선고받았고, 아동 음란물 수령 및 돈세탁 혐의를 받는 미국인 니콜라스 스텐겔(45)에게는 징역 15년, 종신보호관찰형이 선고됐다. 특히 미국인인 전 국토안보수사국 요원 리처드 니콜라이 그래코프스키(40)는 영상을 1회 다운로드하고 해당 웹사이트에 1차례 접속한 혐의로 징역 70개월, 보호관찰 10년, 그리고 7명의 피해자에 대한 3만 5000달러 배상을 선고”받았는데, 정작 W2V의 운영자보다 훨씬 무겁게 처벌을 받은 것이다. 미국 측의 범죄인 인도요청에 한국 사회가 큰 기대를 걸었던 이유는 범죄에 비해 납득할 수 없이 가벼웠던 처벌을 보완할 수 있는 처벌이 이루어질 수 있을 것이라는 희망 때문이었다.
그러나 범죄인 인도조약이 그와 같이 이중처벌의 도구가 되어서는 안 된다. 이에 따라 미국 정부는 한국 정부가 손정우에게 적용하지 않은 범죄수익은닉죄로 인도신청을 하였다. 미국 정부가 새로운 죄목으로라도 손정우를 미국으로 불러 처벌하려 한 것은 국제적인 범죄로 미국 국민에게도 영향을 끼친 범죄임을 고려할 때 충분한 공익적인 이유가 있다. 이런 맥락을 염두에 둔다면 재판부의 이번 결정은 더욱 실망스러운 것일 수밖에 없다. 한국이라는 지역성에 매몰되지 않아야 하는 국제적 규모의 사건임에도 불구하고 사이버 범죄의 특수성에 대한 깊은 고려없이 범인의 소재지가 한국이었다는 근거를 들며 미국 송환을 불허하였다. 국내 W2V 회원들에 대한 수사를 근거로 들어 재판부가 내린 이 결정은 그렇기 때문에 명백히 사건의 규모를 축소시켰다.
재판부는 손정우를 정당하게 처벌할 수 있도록 미국 송환 불허 결정을 내렸다고 했다. 그러나 이와 같은 재판부의 ‘결단’을 우리 사회가 그리 신뢰하는 것 같지는 않다. 판결 이후 쏟아져 나오는 전문가들의 의견은 재판부에 대한 사회의 불신이 허황된 것만은 아님을 뒷받침한다. 법적 전문가들은 미국의 ‘자금세탁방지법’은 암호화폐에 대해서도 엄격하게 혐의를 적용해 처벌이 가능하지만, 국내법에서는 암호화폐의 가장·은닉(자금세탁)에 대한 공소유지가 어려우며, 관련 법규정이 미비한 상태라 검찰이 기소를 못한 것이라 하였고, 범죄수익을 추징하거나 몰수하는 경우는 많지만 자금세탁은 자금의 은닉을 입증하기 굉장히 까다로울 뿐만 아니라 관련 법조항도 상당히 복잡하다고 한다. 또한 범죄수익 은닉의 규제 및 처벌 등에 관한 법률 개정안이 시행된 지난해 4월부터 이달 4일까지 1년 간 성폭력처벌등에관한특례법 제14조를 위반한 범죄에 대한 범죄수익 몰수와 추징보전 사례는 1건이 유일하다. 무엇보다 국내 사법체계에서 범죄수익은닉 혐의에 대한 법정 최고형이 징역 5년, 벌금 3000만원이라 해외 처벌수위보다 상당히 낮다. 결국 세계의 수많은 아동들에게 피해를 입힌 “세계에서 가장 위험한 아동성범죄자”인 손정우는 한국 사법당국의 섣부른 처리로 가벼운 처벌만 받고 끝나버려 그렇게 많은 나라들의 공조로 이룬 성과를 우리나라가 거의 무산시켜버리는 부끄러운 이력으로 남을 가능성이 높아졌다.
디지털 성범죄를 관대하게 다룬 결과가 얼마나 끔찍할 수 있을 것인지를 보여주는 사건이 ‘웰컴투비디오’와 ‘n번방’ 사건일 것이다. 우리 사회는 사회적 약자인 여성과 아동을 대상으로 한 성학대물의 배포는 물론이고 이를 통해 금전적인 수익을 갈취하는 것이 심각한 범죄 행위라고 인식해야 한다. 오픈넷은 성학대물의 소지에 대해서도 논의가 시작되어야 한다는 의견을 낸 바도 있다. 오픈넷은 손정우가 정당한 처벌을 받기 바란다는 서울고법 형사20부 강영수 부장판사의 바람과 여성과 아동에게 영구히 피해를 입히는 성학대와 착취물의 근절을 위해 사법 당국이 손정우의 남은 죄를 샅샅이 밝혀 강력하게 처벌할 것을 촉구한다.
2020년 7월 10일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
[관련 글]
[논평] 관대한 양형 개선과 아청법 개정을 통한 아동음란물 관련 범죄자 엄벌을 촉구한다 (2019.10.28.)
2018년 에마뉴엘 마크롱 프랑스 대통령이 인터넷에서의 인종차별적, 반유대주의적 혐오 발언에 대하여 강력한 조치를 마련할 것을 약속한 이후, 2019년 3월 집권당 레퓌블리크 앙마르슈(LREM)의 대변인 래티시아 아비아(Laetitia Avia) 의원은 독일의 네트워크집행법을 모델로 한 ‘인터넷에서의 혐오 콘텐츠 규제 법안’(이하 “인터넷 혐오표현 금지법”) 일명 ‘아비아법’을 발의했다. 동 법안은 2019년 7월 프랑스 하원을 통과하고 상원으로 올라갔으나, 법안에 반대하는 일부 상원의원들이 헌법재판소에 위헌심사를 청구했다. 그리고 2020년 6월 18일, 프랑스 헌법재판소(Conseil constitutionnel)는 인터넷 혐오표현 금지법에 대해 위헌 결정을 내렸다. 사단법인 오픈넷은 프랑스 헌법재판소의 위헌 결정을 환영하며, 이 결정이 임시조치 제도와 ‘n번방 방지법’이라고 불리는 전기통신사업법 제22조의5 부가통신사업자의 불법촬영물 유통방지 의무 등 한국판 아비아법에 갖는 시사점을 살펴보고자 한다.
‘아비아법’은 SNS, 검색 엔진 등 플랫폼 사업자에게 신고가 들어온 지 24시간 이내에 ‘명백한(manifestly)’ 불법 콘텐츠를 삭제할 의무를 부과하고, 이를 위반한 사업자를 처벌하는 법이다. 명백한 불법 콘텐츠에는 인종, 종교, 민족, 성별, 성적 지향 또는 장애를 이유로 차별, 적대감, 폭력을 선동하는 혐오표현, 이러한 집단이나 개인에 대한 차별적 모욕, 홀로코스트 부인, 성폭력 등이 포함된다. 아울러 테러 미화·선동 콘텐츠나 아동음란물은 행정당국의 요청이 있으면 1시간 이내에 삭제해야 한다. 사업자가 이를 어길 경우, 개인은 1년 이하의 징역 및 25만 유로 이하의 벌금, 법인은 125만 유로 이하의 벌금에 처해진다.
아비아법에 대해 프랑스 내부에서도 혐오 콘텐츠의 범위가 모호하고, 사업자에게 과도한 검열 권한을 준다는 비판이 끊이지 않았다. 찬성파 의원들은 인터넷 혐오표현을 규제하기 위해서는 디지털 플랫폼에 책임을 지워야 한다는 입장이었으나, 사업자가 합법적인 콘텐츠마저 삭제해 표현의 자유를 침해할 수 있다는 이유로 반대하는 의원들도 상당수였다. 아울러 국가디지털위원회(CNNum: Conseil national du numerique), 국가인권자문위원회(la Commission nationale consultative des droits de l’homme), 프랑스의 디지털 권리 단체인 라 캬드라튀르 뒤 넷(La Quadrature du Net)과 같은 기관들도 이 법안의 채택을 반대해왔다. 민간 사업자에 검열 권한을 부여함으로써 표현의 자유를 후퇴시켜서는 안 된다는 것이 이들의 입장이었다. 또한 국제적 인권단체인 아티클19은 아비아법이 표현의 자유에 관한 국제 인권 기준에 반한다고 하면서, 플랫폼과 불법 콘텐츠의 범위가 광범위하며 법원의 판단이 배제된 사적 검열을 강화하고, 24시간 이내라는 삭제 기한이 너무 짧고, 처벌이 과도하여 콘텐츠의 과잉 삭제를 유발할 수 있다는 점을 비판해왔다.
프랑스 헌재는 아비아법의 해당 조항들이 프랑스 헌법상 표현과 의사소통의 자유를 침해한다고 판시했다. 헌재는 먼저 테러 콘텐츠 또는 아동음란물 1시간 이내 삭제 조항에 대해서는 1. 테러 콘텐츠인지 아동음란물인지가 콘텐츠의 본질적인 특성에 따라 결정되지 않고 행정당국의 판단에 전적으로 달려있다는 점, 2. 사업자가 1시간이 경과한 후에 삭제 요청에 대해 이의를 신청하거나 1시간 기간을 정지시킬 수 없다는 점, 3. 사업자가 콘텐츠 삭제 전 법원의 결정을 받을 시간이 없는 점, 4. 형량이 과도한 점을 들어 목적을 달성하기에 필요하고 비례적인 수단이 아니기 때문에 위헌이라고 판시했다.
다음으로 명백한 불법 콘텐츠 24시간 이내 삭제 조항에 대해서는 1. 신고가 접수되었을 때 명백한 불법 콘텐츠로서 삭제할지 여부에 대한 결정을 법원이 아니라 전적으로 사업자가 내리는 점, 2. 명백한 불법 콘텐츠인지를 판단하고 결정하는 것은 매우 어려울 수 있다는 점, 3. 사업자는 24시간 이내에 결정해야 하는데 불법성 판단의 어려움과 사업자가 검토해야 할 신고의 건수가 많을 수 있다는 것을 감안하면 24시간은 매우 짧은 기간이라는 점, 4. 사업자 책임 면책 조항의 범위가 명확하지 않다는 점, 5. 형량이 과도하다는 점에 비추어 볼 때 동 조항은 사업자가 신고가 들어오면 콘텐츠의 불법성과 상관없이 삭제하도록 강제하기 때문에 위헌이라고 보았다.
정보매개자에게 자신이 인지하지 못한 불법적인 이용자 게시물에 대해서 책임을 지워서는 안 된다는 정보매개자 책임제한 원리(intermediary liability safe harbor)는 국제 인권 기준의 일부이다. 왜냐하면 정보매개자가 사전검열이나 일반적 감시를 할 수밖에 없게 만들어 이용자의 표현의 자유를 침해하기 때문이다. 아비아법은 행정기관이나 사인의 신고가 있는 게시물에 대해 책임을 지운다는 면에서 본연의 정보매개자 책임제한 원리를 위배하지 않는 것으로 보이나, 게시물의 존재만 인지했을 뿐 그 불법성을 인지하지 못한 상황에서 정보매개자에게 게시물에 대한 책임을 지운다는 면에서 정보매개자의 사적 검열을 강요하기는 마찬가지이다. 프랑스 헌재가 아비아법 결정에서 불법성 판단을 행정당국 또는 사업자에게 전담시킨 것에 표시한 불만도 이런 맥락에서 이해할 수 있다.
이에 비추어 우리나라 법을 살펴보자면 우선 “임시조치”라고도 불리는 정보통신망법 제44조의2가 바로 이런 문제를 아직도 가지고 있다.[1] 권리자가 정보의 삭제를 요청하면 사업자가 게시물이 권리를 침해했는지 판단해야 하기 때문이다. 결국 실무적으로는 요청이 들어오면 판단을 거치지 않고 무조건 차단(임시조치)을 하는 방식으로 운영되고 있어 표현의 자유와 알 권리를 심각하게 제한하고 있다. 또 방송통신위원회 설치법 제21조 3호 및 4호에 의한 방송통신심의위원회[2]의 통신심의 역시 행정기관이 표현물의 삭제를 강제한다는 면에서 아비아법 전반부와 비슷하다. 여기에 더하여 ‘n번방 방지법’이라는 미명 하에 개정된 전기통신사업법 제22조의5는 제1항에서 불법촬영물등에 대한 신고가 들어왔을 때 사업자가 지체 없이 삭제할 사후적 의무를 지우고 있고, 제2항에서 사업자가 불법촬영물등의 유통을 방지하기 위한 사전적 조치를 취할 의무를 지우고 있다.[3]
사업자의 불법정보 사후적 유통방지 의무를 규정한 아비아법은 콘텐츠 게시자가 이의제기를 할 수 있는 절차와 악의적인 신고에 대한 처벌 규정을 두고 있다는 점에서 표현의 자유 침해를 완화했음에도 불구하고 위헌 판단을 받았다. 그렇다면 프랑스 헌재의 입장에 비추어볼 때 제22조의5 제1항의 사후적 유통방지 의무는 이의제기 절차도 없고, 신고 남용에 대한 제재도 없으며, 불법성에 대한 법원의 판단이 전혀 개입하지 않으므로 위헌의 소지가 높다. 게다가 제2항에 따른 사전적 유통방지 의무는 사업자가 게시물의 불법성 및 존재 자체도 인지하지 못하는 상황에서 형사책임을 지운다는 면에서 정보매개자 책임제한 원리를 정면으로 위배하고 있으며 아비아법보다 위헌성이 훨씬 크다.
오픈넷은 불법촬영물의 유통을 방지하고자 하는 ‘n번방 방지법’의 입법 취지와 그 필요성에는 공감한다. 그러나 유통방지에 전혀 실효적이지 않으면서 플랫폼 사업자에게 사전적인 사적 검열 의무를 지워 인터넷 이용자의 표현의 자유와 프라이버시를 침해하는 전기통신사업법 제22조의5 제2항에는 반대한다. 제22조의5 제1항 역시 정보통신망법의 ‘임시조치’ 제도 및 방송통신심의위원회 행정심의와 함께 이번 프랑스 헌재 위헌 결정에 비추어 계속 재검토가 되어야 한다. 오픈넷은 이번 프랑스 아비아법 위헌 결정의 취지와 같이 한국판 아비아법들에 대한 입법적 개선이 이루어지도록 지속적으로 노력할 것이다.
____________________________
[1] 정보통신망이용촉진및정보보호에관한법 제44조의2(정보의 삭제요청 등) ① 정보통신망을 통하여 일반에게 공개를 목적으로 제공된 정보로 사생활 침해나 명예훼손 등 타인의 권리가 침해된 경우 그 침해를 받은 자는 해당 정보를 처리한 정보통신서비스 제공자에게 침해사실을 소명하여 그 정보의 삭제 또는 반박내용의 게재(이하 “삭제등”이라 한다)를 요청할 수 있다.
② 정보통신서비스 제공자는 제1항에 따른 해당 정보의 삭제등을 요청받으면 지체 없이 삭제ㆍ임시조치 등의 필요한 조치를 하고 즉시 신청인 및 정보게재자에게 알려야 한다. 이 경우 정보통신서비스 제공자는 필요한 조치를 한 사실을 해당 게시판에 공시하는 등의 방법으로 이용자가 알 수 있도록 하여야 한다.
③ 정보통신서비스 제공자는 자신이 운영ㆍ관리하는 정보통신망에 제42조에 따른 표시방법을 지키지 아니하는 청소년유해매체물이 게재되어 있거나 제42조의2에 따른 청소년 접근을 제한하는 조치 없이 청소년유해매체물을 광고하는 내용이 전시되어 있는 경우에는 지체 없이 그 내용을 삭제하여야 한다.
④ 정보통신서비스 제공자는 제1항에 따른 정보의 삭제요청에도 불구하고 권리의 침해 여부를 판단하기 어렵거나 이해당사자 간에 다툼이 예상되는 경우에는 해당 정보에 대한 접근을 임시적으로 차단하는 조치(이하 “임시조치”라 한다)를 할 수 있다. 이 경우 임시조치의 기간은 30일 이내로 한다.
⑤ 정보통신서비스 제공자는 필요한 조치에 관한 내용ㆍ절차 등을 미리 약관에 구체적으로 밝혀야 한다.
⑥ 정보통신서비스 제공자는 자신이 운영ㆍ관리하는 정보통신망에 유통되는 정보에 대하여 제2항에 따른 필요한 조치를 하면 이로 인한 배상책임을 줄이거나 면제받을 수 있다.
[2] 방송통신위원회의 설치및 운영에 관한 법 제21조 제3호와 제4호 (심의위원회의 직무) 심의위원회의 직무는 다음 각 호와 같다. [중략]
3. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제44조의7에 규정된 사항의 심의
4. 전기통신회선을 통하여 일반에게 공개되어 유통되는 정보 중 건전한 통신윤리의 함양을 위하여 필요한 사항으로서 대통령령으로 정하는 정보의 심의 및 시정요구
정보통신망이용촉진및정보보호에관한법 제44조의7 (불법정보의 유통금지 등) [생략]
② 방송통신위원회는 제1항제1호부터 제6호까지, 제6호의2 및 제6호의3의 정보에 대하여는 심의위원회의 심의를 거쳐 정보통신서비스 제공자 또는 게시판 관리ㆍ운영자로 하여금 그 처리를 거부ㆍ정지 또는 제한하도록 명할 수 있다. 다만, 제1항제2호 및 제3호에 따른 정보의 경우에는 해당 정보로 인하여 피해를 받은 자가 구체적으로 밝힌 의사에 반하여 그 처리의 거부ㆍ정지 또는 제한을 명할 수 없다. <개정 2016.3.22, 2018.6.12>. . . [전문개정 2008.6.13]
[3] 전기통신사업법 제22조의5(부가통신사업자의 불법촬영물 등 유통방지) ① 제22조제1항에 따라 부가통신사업을 신고한 자(제22조제4항 각 호의 어느 하나에 해당하는 자를 포함한다) 및 특수유형부가통신사업자 중 제2조제14호가목에 해당하는 자(이하 “조치의무사업자”라 한다)는 자신이 운영ㆍ관리하는 정보통신망을 통하여 일반에게 공개되어 유통되는 정보 중 다음 각 호의 정보(이하 “불법촬영물등”이라 한다)가 유통되는 사정을 신고, 삭제요청 또는 대통령령으로 정하는 기관ㆍ단체의 요청 등을 통하여 인식한 경우에는 지체 없이 해당 정보의 삭제ㆍ접속차단 등 유통방지에 필요한 조치를 취하여야 한다.
1. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조에 따른 촬영물 또는 복제물(복제물의 복제물을 포함한다)
2. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조의2에 따른 편집물ㆍ합성물ㆍ가공물 또는 복제물(복제물의 복제물을 포함한다)
3. 「아동ㆍ청소년의 성보호에 관한 법률」 제2조제5호에 따른 아동ㆍ청소년성착취물
② 전기통신역무의 종류, 사업규모 등을 고려하여 대통령령으로 정하는 조치의무사업자는 불법촬영물등의 유통을 방지하기 위하여 대통령령으로 정하는 기술적ㆍ관리적 조치를 하여야 한다.
2020년 7월 30일
사단법인 오픈넷
문의: 사단법인 오픈넷 02-581-1643, [email protected]
[관련 글]
[논평] 제21대 국회는 위헌적인 N번방 방지법의 신속한 개정을 추진하라 (2020.06.11.)
[기자회견] 오픈넷, 전기통신사업법 각종 쟁점 해설 기자설명회 개최 (2020.05.18.)
[공동논평] 스타트업·소비자시민단체, 국회·정부에 방송통신3법 관련 공동의견서 제출 (2020.05.17.)
[논평] 국민의 기본권 침해 우려 있는 전기통신사업법 개정안 입법을 중단하라 (2020.05.13.)
[논평] n번방 재발방지, 처벌과 함께 인식변화 병행되어야 (2020.04.16.)
[논평] 디지털 성범죄의 강력한 처벌을 위해서는 음란물과 디지털 성범죄물의 명확한 구분과 함께 디지털 성범죄물 양형기준 신설 필요 (2020.04.06.)
사단법인 오픈넷은 한국공법학회와 공동으로 8월 7일 오후 3시, 서울대학교 법학전문대학원 서암홀에서 “감염병예방법상 정보제공요청과 정보인권” 세미나를 개최합니다.
오픈넷은 한국의 감염병법 제76조의2가 확진자의 동선을 추적하는 법제로서 한국의 선제적 대량 검사 전략의 핵심이었지만 세계적으로 유례 없이 확진자의 동의나 법원의 영장없이 이루어지고 있다는 점에서 검토가 필요하며, 이에 대한 국제적인 인권 기준도 확정적이지 않아 본원적인 차원에서의 검토가 필요하다는 입장을 밝힌 바 있습니다. 그리고 공법학회에서는 코로나 사태로 인해 제기되고 있는 공법적 문제상황에 대응하고 관련 쟁점을 연구하기 위해 “코로나 19 공법학의 과제” 포럼을 조직하여 지혜를 모으고 있습니다. 지난 5월 28일 제1차 포럼에서는 “코로나 19와 감염병 대응의 법제 점검”을, 7월 9일 제2차 포럼에서는 “코로나 대응 동선관리의 법적 쟁점과 지방자치단체의 역할”을 주제로 활발한 논의를 진행하였습니다.
오는 8월 7일 세미나에서는 코로나 19에 대한 적극적인 대처 과정에서 지적되어 온 감염병예방법상 정보 수집·제공·공개의 정보인권 침해 우려에 대한 법적 문제를 함께 검토하는 기회를 갖고자 합니다. 관심있는 여러분의 적극적 참여를 부탁드립니다.
* 충분한 거리 확보를 위해 현장참여 인원에 선착순 제한(20명)이 있으니 꼭 사전 신청하여 주시기 바랍니다. 본 행사는 오픈넷 유튜브 채널에서 온라인으로 동시중계될 예정입니다.
▣ 주제: 감염병예방법상 정보제공요청과 정보인권
▣ 일시: 2020년 8월 7일(금) 15:00-17:30
▣ 장소: 서울대학교 법학전문대학원 17동 6층 서암홀
▣ 주최: 사단법인 오픈넷, 한국공법학회 코로나19대응포럼
○ 개회사: 이원우 한국공법학회 회장
좌장: 황성기 교수(한양대, 오픈넷 이사장)
○ 제1주제: 감염병예방법 제34조의2에 대한 공법이론적 검토 – 정필운 교수(한국교원대)
○ 제2주제: 감염병예방법 제76조의2 정보제공요청의 법적 문제 – 김가연 변호사(오픈넷)
○ 제3주제: 감염병예방법에 따른 확진자 동선공개와 인권 – 김민섭 사무관(국가인권위원회)
○ 종합토론
사회: 김태호 한국공법학회 기획이사
토론: 이희정 교수(고려대), 남정아 박사(서울시립대), 장여경 이사(정보인권연구소), 조상연 연구관(질병관리본부)
문의: 오픈넷 사무국 02-581-1643, [email protected]
1. 민주사회를 위한 변호사모임 디지털정보위원회, 사단법인 오픈넷, 사단법인 정보인권연구소, 진보네트워크센터, 참여연대는 2020년 7월 29일 보건복지부장관, 질병관리본부장, 서울특별시장, 서울지방경찰청장(이하 “보건복지부장관 등”)이 지난 5월 18일 코로나 19 대응을 명목으로 이태원을 방문한 약 1만 명의 사람들의 휴대전화 기지국 접속정보를 요청하고 수집·처리한 행위(이하 “이 사건 기지국 정보처리 행위”)가 개인정보자기결정권, 사생활의 비밀과 자유, 통신의 비밀과 자유, 일반적 행동자유권을 침해하므로 위헌이라는 결정을 구하는 헌법소원을 청구했습니다. 보건복지부장관 등이 이태원 방문자들의 기지국 정보처리 행위의 법적근거라고 주장하고 있는 “감염병의 예방 및 관리에 관한 법률(이하 “감염병예방법”) “제2조 제15의2호, 제76조의2 제1항 및 제2항도 헌법 심판 대상입니다.
2. 이번 헌법소원의 청구인은 지난 2020년 4월 말 친구들과 함께 이태원 인근 소재 식당을 방문하였는데, 2020년 5월 18일 서울시로부터 코로나 19 검사를 받을 것을 권고하는 취지의 문자메시지를 수신하였습니다. 함께 문자를 수신한 청구인과 그 친구들은 5월 2일 새벽 코로나 19 확진자가 다녀간 것으로 알려진 클럽 또는 인근 클럽을 방문한 적이 없으며, 청구인이 방문한 식당은 클럽들과 지리적으로도 상당히 떨어진 장소였습니다.
청구인은 확진자와 접촉한 적도 없고 거리상으로도 위험이 있다고 보기 어려운데도 자신의 이태원 방문 정보가 무단으로 보건복지부장관 등에게 제공되어 서울시로부터 검사를 권고받은 이후 고통스러운 시간을 보냈습니다. 청구인은 코로나 19 음성판정을 통보받기까지 불안감에 시달려야 했고, 주변 사람들의 질문 등으로 불편한 상황에 놓였습니다. 청구인이 확진자와 접촉을 했던 것인지, 확진으로 판정되면 이태원을 다녀온 후 청구인과 접촉했던 사람들에게 피해를 주는 것은 아닌지, 가족들과 친구들에게는 어떻게 할 수 있을지, 끊이지 않는 질문에 밤잠을 이루지 못할 정도였습니다.
청구인은 서울시와 보건복지부에 어떤 근거로 자신의 이태원 방문사실 등 정보를 취득했는지 문의하였습니다. 그러나 해당 기관들은 청구인이 문제되는 시점에 이태원에 머물렀다는 사실만으로도 감염병예방법상의 감염병의심자에 해당한다며 자신들은 같은 법 제76조의2 제1항 또는 제2항에 규정되어 있는 법적절차에 따라 정보를 수집한 것이라 모호하게 답변하였습니다.
이와 같은 방식으로 기지국 정보가 수집, 처리된 사람은 무려 10,905명에 달합니다. 언론보도에 의하면 서울특별시는 이동통신사 3사에 대하여 “2020. 4. 24.부터 같은 해 5. 6.까지 자정에서 05시 사이에 이태원 클럽 주변의 기지국에 접속한 사람들 가운데 30분 이상 체류한 자”의 통신정보 제공을 요청하였고 해당 정보에는 이태원을 방문한 사람들의 이름과 휴대전화 그리고 주소 정보 등이 포함된 것으로 알려졌습니다. 나아가 보건복지부장관 등은 휴대폰을 가지고 있기만 하면 기지국으로 전송되는 정보인 “접속기록”까지도 수집, 처리한 것으로 보입니다.
3. 우선 보건복지부장관 등이 2020. 4. 24.부터 같은 해 5. 6.까지, 자정에서 05시 사이 이태원 클럽 주변의 기지국에 접속한 사람들 중 30분 이상 체류한 자 전원을 감염병의심자로 보고, 기지국 정보를 요청, 수집, 처리한 것의 법적 근거가 모호합니다. 감염병예방법, 위치정보의 보호 및 이용 등에 관한 법률, 통신비밀보호법 등에 어디에서도 기지국 정보처리행위를 구체적으로 허용하지 않습니다. 즉 이 사건 기지국 정보처리행위는 법적근거가 없는 행위로서 모든 공권력 행사에 의한 기본권의 제한은 법률로써만 가능하다는 헌법상의 원리인 법률유보의 원칙에 위배됩니다.
또한 기지국 정보처리 행위는 과잉금지원칙에 반하여 청구인의 개인정보자기결정권 등을 침해합니다. 이 사건 기지국 정보처리 행위의 목적은 이태원에 방문한 불특정 다수를 사회적 위험으로 취급한다는 점에서 그 정당성을 인정하기 어렵습니다. 또한 휴대전화 발신 등의 통신기능을 사용하지 않고 전원만 켜놓고 있더라도 통신사가 자동으로 수집하는 “기지국 접속기록”까지 처리한 것은 그 자체로 과도한 정보를 수집하는 중대한 기본권 침해행위라는 점에서 감염병 전파 차단을 위한 적합한 수단이 될 수 없습니다.
무엇보다 이태원 인근에 감염병 확진자가 발생했다는 사실만으로 해당 지역에 방문한 1만여 명을 모두 감염병의심자로 간주하고 광범위하게 정보를 수집 등 처리한 것은 불공정하고 불공평한 수단으로서 그 적합성을 인정하기 어렵습니다.
또한 2주간 이태원 일대를 방문한 불특정다수의 개인정보를 처리하고 개인의 기지국 접속기록 등 필요 이상의 개인정보를 수집한 것은 침해의 최소성 원칙에도 정면으로 반합니다. 특히 서울시는 클럽 출입자 명단 및 신용카드 내역 등을 검토하여 확진자의 주요 동선에 포함된 이태원 클럽 및 주점에 방문한 5,517명의 명단을 5월 11일 이전에 확보한 상태였습니다. 즉 기지국 정보를 취득하는 대신 확보된 명단과 익명검사의 확대 등 기본권을 덜 제한하는 다른 조치의 도입을 충분히 고려할 수 있었던 것입니다.
그리고 청구인을 비롯한 정보주체들이 입는 불이익에 비해 기지국 정보처리 행위로 달성되는 공익이 더 크다고 단정할 수도 없습니다. 기지국 정보처리 행위가 감염병 전파방지에 기여했는지도 불분명하지만, 1만 905명의 사람들을 사회적 위험으로 취급함으로써 우리 사회가 추구하는 가치 또한 훼손하는 측면이 있기 때문입니다.
4. 한편, 이 사건의 근거로 주장되는 감염병예방법 제2조 제15의2호, 제76조의2 제1항 및 제2항(이하 “이 사건 법률조항”) 또한 명확성과 과잉금지 원칙을 위반하고 있습니다. 우선 감염병의심자에 관한 감염법예방법 제2조 제15의2호는 어느 정도의 접촉의 의심이 있는 경우에 법이 정한 “접촉이 의심되는 사람”에 속하는 것인지 최소한의 범위도 설정하지 않은 채 포괄적 규정의 형태를 띄고 있습니다. 이는 명확성의 원칙에 위배된다고 보아야 할 것입니다.
또한 위치정보 수집이 감염병의 전파를 효율적으로 방지한 수단임이 입증되지 않는 이상, 이 사건 법률조항은 효율적이고 적절한 수단을 선택한 공권력 행사로 볼 수 없습니다.
또한 위치정보 수집에 대한 법원의 허가 또는 전문가 심의 등 절차를 도입하거나 다른 수단을 먼저 고려하라는 보충성 요건을 규정하는 등 통제장치 도입을 통해 기본권을 덜 제한하는 다른 방법도 고려할 수도 있었습니다. 그럼에도 불구하고 아무런 통제장치를 두고 있지 않은 이 사건 법률조항은 침해의 최소성 원칙에 반하여 기본권을 중대하게 침해합니다.
더불어, 감염병예방법에서 경찰이 위치정보 취득의 매개 역할을 하고 자신의 동선에 대해 사실대로 말하지 않는 것을 감염병예방법상 범죄로 규정하고 있으면서도 영장주의가 적용되고 있지 않습니다. 게다가 감염인과 접촉하지 않은 이태원 지역 방문자까지 광범위하게 개인정보를 수집한 것은 본질적으로 다른 집단에 대해 동일하게 취급하여 개인정보자기결정권 등을 중대하게 침해한 것으로서, 그 비례성을 상실하여 청구인의 평등권을 침해하였습니다.
5. 유엔 경제적, 사회적 및 문화적 권리에 관한 국제규약 등 국제인권기준은 감염병 위기 상황에도 기본적 권리의 보장을 최우선 가치로 두어야 하고, 공중보건의 위기를 이유로 한 기본적 권리의 제한이 법률에 따라 비례적으로 이루어질 것을 강조하고 있습니다. 이 사건 기지국 정보처리행위 및 관련 법률조항은 위 국제인권기준에도 어긋납니다. 청구인과 단체들은 헌법재판소가 국제인권기준의 원칙과 헌법에 명백히 위반되는 기지국 정보처리행위 및 감염병예방법 조항이 위헌임을 확인함으로써 코로나 19 라는 감염병의 공포 아래 희미해지는 우리 헌법의 가치를 바로 세울 수 있기를 기대합니다.
2020년 7월 30일
민주사회를위한변호사모임 디지털정보위원회, 사단법인 오픈넷,
사단법인 정보인권연구소, 진보네트워크센터, 참여연대
문의: 오픈넷 사무국 02-581-1643, [email protected]
사단법인 오픈넷이 2020. 8. 21. 2020 한국인터넷거버넌스포럼(KrIGF)에서 진보네트워크센터와 ‘인터넷 공간의 안전’이라는 주제로 워크숍을 개최합니다.
한국인터넷거버넌스포럼(KrIGF)은 국내 주요 인터넷 공공정책 이슈에 대한 다양한 이해관계자들 간의 대화 및 토론을 위해 다자간인터넷거버넌스협의회(KIGA), 한국인터넷진흥원(KISA) 등 다양한 이해당사자 기관 및 단체가 함께 연 1회 개최하는 포럼입니다.
2020 한국인터넷거버넌스포럼(KrIGF)은 “팬데믹 시대의 인터넷 거버넌스: 뉴노멀, 연결, 안전”이라는 주제로 8월 21일(금) 온라인웨비나로 개최될 예정입니다. 국내 인터넷 이용자의 관심사를 폭넓게 반영하고자 다양한 이해관계자로부터 프로그램을 제안 받아 KrIGF 프로그램을 구성하였습니다.
KrIGF에 꾸준히 참여해왔던 오픈넷은 진보네트워크센터와 함께 2020 KrIGF의 이슈 중 인터넷 환경의 안전에 집중하여 “인터넷 공간은 ‘모두’에게 안전하고 정의로운 공간인가?”라는 제목의 워크숍을 개최합니다. 본 워크숍을 통해 오픈넷과 진보넷은 사회적 소수자에게 인터넷은 어떤 공간이 되어야 하는지, 모두가 인터넷이라는 공간에서 공존할 수 있는 방법은 없는지, 이를 위해 우리가 해야할 것들은 무엇인지를 짚어보고자 합니다.
일정: 2020년 8월 21일(금) 13:00-14:30
기획: 오경미, 미루
사회: 미루 (진보네트워크센터 활동가)
여는 말: 오경미 (오픈넷 연구원)
토론1: 양지혜 (청소년 페미니스트 네트워크 위티 활동가)
토론2: 왹비 (주홍빛연대 차차 활동가)
토론3: 이승현 (비온뒤 무지개 재단 이사장)
토론4: 오영택 (국가인권위원회 혐오차별대응기획단 사무관)
참여방법:
문의: 오픈넷 사무국 02-581-1643, [email protected]
1. 지난 9월 17일(목) 개인정보보호위원회(이하, ‘개보위’) 회의실에서 윤종인 위원장과 9개 소비자, 노동, 보건, 시민사회단체 대표 등이 간담회를 진행했다. 시민사회단체는 간담회에 앞서 개보위에 개인정보보호 주요 쟁점 사안들에 대한 질의서를 미리 보냈다. 시민사회단체는 이미 여러 차례 의견을 제출했음에도 지금까지 시민사회의 의견과 제안이 반영되지 않는 것에 대한 책임있는 답변을 듣고 싶었기 때문이다.
지난 8월 5일 개정 개인정보보호법 시행에 맞춰 출범한 통합 개보위는 국민의 개인정보를 경제적 가치로만 환산해 정책을 추진하는 정부 부처에서 거의 유일하게 헌법의 기본권 측면에서 개인정보보호 수호자의 역할을 할 것으로 기대했지만, 지금까지 개보위의 행보는 여전히 정보주체보다 산업계의 이익을 우선했다는 비판을 받아왔다. 그러나 이번 간담회에서도 개보위는 시민사회를 설득할 만한 충분한 논거를 보여주지 못했을 뿐만 아니라, 개인정보 감독기구로서의 위상에 맞지 않게 정보주체의 권리에 대한 고려가 여전히 미흡했다. 그러나 시민사회와의 첫 대화인만큼 앞으로도 시민사회와 적극적으로 소통할 것을 기대한다.
2. 이날 간담회에서 개보위가 시민사회의 질의 내용에 대해 준비하여 답변(강유민 정책국장이 답변을 하고 윤종인 위원장이 보충하였다)한 내용과 이에 대한 시민사회의 반론은 다음과 같다.
1) 보호위원회의 <가명정보 처리 가이드라인> 상 “개인을 ‘알아볼 수 있는‘의 판단기준으로 “해당 정보를 처리하는 자”로 좁게 해석한 근거 : 우리의 개인정보 개념이 유럽 GDPR과 크게 다르지 않다고 본다. 누군가에게는 식별가능한 정보라도 또 다른 누군가에는 식별이 불가능할 경우 개인정보로 볼 수 없는 것이다.
➔ (시민사회 반론) GDPR과 다르지 않다고 하는데, GDPR에서는 처리자뿐만 아니라 제3자에 의해서도 식별가능한지 여부를 따지고 있으므로 굳이 ‘해당 정보를 처리하는 자를 기준으로 판단’한다는 표현을 포함할 이유가 없다.개인정보 처리자의 자의적 해석에 따라 달라질 수 있도록 한 것은 문제다.
2) 보호위원회가 판단하는 ‘과학적 연구’ 란 구체적으로 무엇이며, 이에 대한 별도의 해설서를 제공할 계획 여부 : 과학적 방법이란, 가설-검증-이론화 과정을 거치는 것을 말한다고 본다. 계속 같이 고민하고 있는데, 과학적 연구가 아닌 것이 뭐냐고 물으면 설명하기가 어렵다. 케이스를 봐가면서 검토하려고 하고 있다. 말은 과학적 연구라고 하지만 의도가 의심되는 경우가 있으면 같이 토론하고 의논해서 진행하겠다.
➔ (시민사회 반론) 유럽개인정보보호감독관(EDPS)이 올해 발표한 예비 보고서를 보더라도 과학적 방법을 사용한다고 모두 과학적 연구로 보는 것은 아니다. 경계가 모호하다면 범위를 좁게 설정했다가 향후 문제가 없으면 넓혀 가는게 권리침해의 위험을 줄일 수 있다. 위원장의 말대로라면 ‘과학적 연구 아닌 것’이 없게 된다.
3) 서로 다른 기업의 가명정보 결합한 후, 결합된 가명정보를 원 개인정보 보유기업에 반출하도록 허용하면서, 반출된 결합 가명정보의 안전한 활용을 어떻게 보장할 것인지 : 만약 원기업이 식별을 하면 엄격한 형사처벌조항, 매출 3% 과징금 등 사후처벌이 있으므로 감히 그렇게 못할 것이다. 데이터결합 제도를 어렵게 만들어낸 만큼 관리감독할 것이고 반출심사위를 외부인사도 참여하게 하여 엄격히 할 것이다.
➔ (시민사회 반론) 결합기관의 안전공간에서 연구하고 결과만 반출하는 방식 등 구조적으로 안전성을 보장할 수 있는 방법을 시민사회가 제안했지만, 산업계의 불편만을 우선적으로 고려한 것이 문제다. 유출 등 사고가 나면 이미 너무 늦어 사전 예방책이 더 중요한데 형사처벌, 과징금 등은 다 사후제재다. 믿어달라고만 하는 것은 너무 안일한 처사 아닌가.
4) 특정 과학적 연구 후에 가명정보의 파기 여부 : 가명정보 보관/파기는 양해해 달라. 파기 관련 법률 상위 규정이 없어서 시행령에 만들었다가 근거가 없어서 제외한 바 있다. 이 부분은 입법처리를 준비하는 것을 검토 중이다.
➔ (시민사회 반론) 목적명확화, 최소수집의 원칙 등 개보법 3조의 원칙을 고려한다면 당연히 개인정보인 가명정보도 특정 목적 달성 후 파기하도록 할 수 있다. 오히려 기본권 제한은 법률에 의해서만 가능하다는 헌법 37조2항에 따르더라도 파기하지 않는 것이 헌법상 기본권에 대한 침해라고 봐야 한다.
5) 복지부와 공동 공개한 ‘보건의료 데이터 활용 가이드라인(안)’은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하고 있는 것과 같이 <가명정보 처리 가이드라인>에도 명시할 계획이 있는지 : 당초 안에는 사전적인 처리정지 요구를 할 수 있게 하는 옵트아웃 방안을 제시했고 이를 포함시킬지 여부를 검토 중이다. 가명정보 특례 취지상 28조7에서 37조(개인정보의 처리정지)는 배제하고 있고, 가명처리 전 개인정보를 어떻게 할 것인가가 문제인데 좀 더 검토가 필요하다.
➔ (시민사회 반론) 가이드라인에 포함된 처리정지권을 뺀다면 이건 심각한 문제다. 처리정지권은 법에 규정된 권리이므로 당연히 보장해야 한다. 동의없이 처리하는 것이기 때문에 정보주체의 거부권은 최소한의 권리다.
6) <보건의료 데이터 활용 가이드라인(안)>은 민감정보인 개인 의료정보도 가명정보 처리 특례가 적용되는 것으로 보고 있는데 의료법 위반일 가능성이 있고, 명확한 법적 근거없이 활용할 수 있도록 열어주는 근거 : 국회 속기록에도 남아 있는데, 민감정보여도 가명처리 할 수 있다고 말했다. 가명처리 이후 얼마나 관리하느냐가 관건인 것 같다. 관심갖고 준비할 수 있도록 하겠다. 복지부와 협의하고 있다. 원래 입법은 의료정보 가명화를 염두에 둔 건 아니다.
➔ (시민사회 반론) GDPR에서는 민감정보도 과학적 연구 목적으로 처리할 수 있도록 하지만 회원국의 법률에 근거하도록 하고 있다. 우리나라도 필요하다면 법적 근거를 마련해야지 이렇게 해석상 가능한 것으로 허용하는 것은 문제다.
7) 금융위원회의 쇼핑몰 구매정보를 개인 신용정보에 포함시킨 것에 대한 입장 : 신용정보법과 정합성이 떨어지는 부분이다. 금융위가 신용정보 범위를 확장적으로 해석하고 있는 것은 맞다. 금융위와 의논 중이다. 구매내역정보라고 해도 내용을 들어보면 어떤 경우는 신용평가모델에 쓰이기도 하고 다양해서 계속 논의 중이다.
8) 빅데이터 시대에 대응할 수 있는 정보주체의 새로운 권리나 개인정보처리자의 책임성 강화 조치를 포함한 개인정보보호법 2차 개정 계획 : 법적 정합성, 정보주체 권리 보호에 문제가 있는 등 법개정 필요성 인정한다. 하나하나 심도깊은 논의가 필요한 주제들이다.
9) 행안부, 방통위에 흩어져 있던 개인정보 감독 권한이 보호위원회로 일정하게 통합되었으나 여전히 개인 신용정보에 대한 감독은 금융위 관할로 남아있어 혼란,이를 해소하기 위한 대책 : 신정법에서 잘 규정하고 있는 부분이 있어서 벤치마킹하는 부분도 있다. 관계법령에도 비식별 조치, 비식별 처리 등등 흩어져있는 개별법 문제를 조속히 조사해서 정리할 것. 신정법 이슈는 연구해서 차차 답변하겠다.
➔ (시민사회 의견) 개인정보보호법과 신용정보보호법 간 개념 충돌과 정합성 부족으로 소비자가 피해를 보게 된다. 보호위원회가 개인정보 감독기구로서 제 역할을 적극적으로 해달라.
10) 기타 : 질의서에 포함된 내용 이외에 시민사회 참가자들은 최근 서울고등법원이 통화내역의 기지국 정보가 위치정보가 아니라고 판결한 것과 개인위치정보의 해석에 대해 보호위의 의견을 요청했고, 보호위 홈페이지에 정보주체의 권리와 관련된 내용이 부족하다는 것을 지적하며 정보주체의 인식 고양을 위한 적극적인 활동을 주문하였으며, 학교 등에서의 개인정보 교육을 위해서도 개인정보 보호법제의 정비가 필요하다는 의견을 제시하였으며 이에 대해 윤종인 위원장도 공감하였다.
3. 시민사회단체 참석자들은 “개인정보 시스템에 대한 신뢰가 클수록 활용도 잘 될 것”이라는 윤종인 위원장의 발언에 공감한다고 밝혔다. 그러나 안타깝게도 지금까지 개보위가 보여준 모습은 개인정보 시스템에 대한 신뢰를 약화시키는 것이었다고 지적했다. 개인정보의 정의, 과학적 연구의 범위, 개인의료정보에 대한 가명정보 특례 적용 등 법에서 명확하게 규정하고 있지 않은 쟁점들에 대해서는 기업들에게 유리하게 해석하고 있는 반면, 특정 연구가 끝난 후의 가명정보 파기, 정보주체의 처리정지권 보장과 같이 정보주체의 권리를 보호하려는 내용은 계속 후퇴하는 것에 대해 어떻게 이해해야 하는지 반문했다. 여러 쟁점에 대한 시민사회의 반론에 대해 윤종인 위원장은 별도의 자리를 만들어서 토론을 계속할 것을 약속하였다. 시민사회는 언제든지 합리적인 토론을 환영하며 여러 쟁점에 대해 정보주체의 권리가 반영되는 방향으로 개정할 것을 촉구한다고 밝혔다. 이날 간담회는 무상의료운동본부, 민주노총·사무금융노조법률원, 민주사회를위한 변호사 모임 디지털정보위원회, 서울YMCA시민중계실,소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, (사)오픈넷이 참여했다.
시민사회단체가 개인정보보호위원회에 보낸 질의서 원문
1. 최근 귀 위원회가 공개한 <가명정보 처리 가이드라인>에서는 “개인을 ‘알아볼 수 있는‘의 판단기준은 “해당 정보를 처리하는 자”로 해석하여 개인정보를 좁게 해석하고 있습니다. 이는 2016년 <개인정보 비식별조치 가이드라인>의 해석과 동일합니다. 그러나 이렇게 될 경우 개인정보에 개인정보보호법 적용이 배제되어 개인정보 권리가 침해될 우려가 있습니다. 이는 유럽연합의 GDPR의 개인정보에 대한 해석과도 다릅니다. 귀 위원회에서 이렇게 개인정보를 좁게 정의하는 근거는 무엇입니까.
2. 최근 귀 위원회가 공개한 <가명정보 처리 가이드라인>은 ‘과학적 연구’에 대해 구체적인 해석의 기준을 제공하고 있지 않습니다. 귀 위원회의 판단에, 과학적 연구가 아닌 연구나 활동에는 어떠한 사례가 있을 수 있는지 궁금합니다. 또한 ‘연구’라고 표방하기만 하면 개인정보보호법 상 ‘과학적 연구’에 포함되는 것인지, 아니면 향후에 귀 위원회가 보다 구체적인 해설서를 제공할 계획이 있는지 궁금합니다.
3. 가명정보의 결합과 관련하여 시민사회는 해외 사례를 참고하여 안전하게 결합할 수 있는 방법에 대한 여러 제안을 했지만, 귀 위원회는 서로 다른 기업의 가명정보를 결합한 후, 결합된 가명정보를 원 개인정보 보유기업에 반출하도록 허용하고 있습니다. 이렇게 반출된 가명정보가 안전하게 활용될 것을 어떻게 보장할 수 있는지 설명해 주시기 바랍니다.
4. 가명정보를 과학적 연구 목적을 위하여 애초 보관 기간 이상으로 보유할 수 있도록 허용하는 것과 추후의 계속적인 연구에 활용할 수 있도록 무기한 보유를 허용하는 것은 다릅니다. 과학적 연구, 통계 목적 등을 위해 제3자에게 제공된 가명정보의 보관기간 및 파기에 대한 귀 위원회의 입장은 무엇입니까.
5. 복지부와 귀 위원회가 공동 공개한 ‘보건의료 데이터 활용 가이드라인(안)’은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하고 있습니다. 가명정보의 처리는 정보주체의 동의와 무관하게 이루어지므로 정보주체가 원할 경우 최소한 옵트아웃할 권리를 보장하는 것은 당연합니다. 그런데 <가명정보 처리 가이드라인>에는 이러한 권리가 명시되어 있지 않습니다. 옵트아웃 권리에 대한 귀 위원회의 정확한 입장은 무엇입니까.
6. 개인정보보호법 제23조는 민감정보의 경우 정보주체의 별도의 동의나 법령에 근거가 있는 경우에만 처리할 수 있도록 하고 있음에도, 보건의료 데이터 활용 가이드라인(안)은 민감정보인 개인 의료정보도 가명정보 처리 특례가 적용되는 것으로 보고 있습니다. 더구나 개인 의료정보의 목적 외 활용은 의료법 저촉 가능성도 있습니다. 의료정보를 포함한 민감정보를 명확한 법적 근거없이 활용할 수 있도록 열어주는 근거는 무엇입니까.
7. 금융위원회는 쇼핑몰 구매정보도 개인 신용정보로 보고 있습니다. 이에 대한 귀 위원회의 입장은 무엇입니까.
8. 유럽연합과의 GDPR 적정성 결정 협의는 어떻게 진행되고 있으며, 언제쯤 타결될 예정인지요. 또한 논의 과정에서 합의에 어려움이 있는 쟁점은 무엇인지요.
금융위원회의 관계
개정 개인정보보호법에 따라 그동안 방송통신위원회와 행정안전부에 흩어져 있던 개인정보 감독 권한이 보호위원회로 일정하게 통합되었음에도 불구하고, 신용정보에 대한 감독은 여전히 금융위원회가 담당하고 있습니다. ‘개인정보보호법’과 ‘신용정보법’ 간의 중복과 혼란 역시 완전히 해소되지는 않았고 인터넷쇼핑몰 주문내역 등을 신용정보로 해석하려는 시도 등과 같이 앞으로도 신용정보와 비신용정보에 대한 정의 문제, 활용 및 관리 감독의 문제 등이 반복될 것입니다. 이는 개인정보처리자인 기업 등뿐 아니라 정보주체에게도 큰 혼란을 줄 것입니다. 이에 대해 귀 위원회는 어떠한 문제의식을 갖고 있고 이 문제를 풀기 위해서 어떤 조치를 취할 것인지 알려주시기 바랍니다.
개인정보보호위원회 운영 및 사업에 대한 의견
1. 8월 5일부터 시행된 개정 개인정보보호법은 빅데이터 시대에 대응할 수 있는 정보주체의 새로운 권리나 개인정보처리자의 책임성 강화 조치는 거의 포함하지 않았기 때문에, 2차 개정이 시급합니다. 개인정보보호법의 추가 개정에 대한 귀 위원회의 계획은 어떠합니까?
2. 통상적으로 개인정보처리자는 조직화되어있어 자신의 입장을 전달하는데 용이합니다. 그러나 정보주체는 흩어져있고 시민, 소비자단체 외에는 정보주체의 입장이 체계적으로 대변될 수 있는 구조가 없습니다. 정보주체의 의견을 수렴하기 위한 귀 위원회의 고민은 무엇입니까? 귀 위원회가 이와 같은 정보 주체의 의견 수렴을 위해 어떤 방법을 마련할 것인지 알려주십시오.
사단법인 오픈넷은 올해 2월 제정된 소위 “데이터3법” 중 아무런 이유 없이 정보주체의 권리를 제한하는 개인정보보호법 제28조의7[1]을 재개정할 것을 요구한다. “데이터3법”의 핵심취지는 GDPR을 벤치마킹하여 ‘통계작성, 과학적 연구, 공익적 기록보존의 목적(이하, “공공목적”)’으로는 개인정보를 정보주체의 동의 없이 이용할 수 있도록 한 개정법 제28조의2[2]에 담겨져 있다. GDPR은 정보주체들이 열람권, 정정권, 처리제한권, 처리거부권을 너무 많이 행사하는 경우 공공목적이 무산되는 것을 방지하기 위해 공공목적의 이용에 한하여 이들 권리를 제한했다. 그런데 우리나라는 데이터3법을 졸속으로 통과시키면서, 개인정보보호법 제28조의7에서 단순히 가명처리만 하면 정보주체의 권리가 제한되도록 하여 개인정보처리자들이 공공목적 없이도 정보주체들의 권리를 제한할 수 있게 하였다.
즉, GDPR은 공공목적을 위해서는 정보최소화원칙에 부합하는 안전조치(예를 들어, 가명처리)를 적용하면 정보주체의 동의 없이 개인정보를 이용할 수 있으되(GDPR 제89조 1항), 공공목적으로 처리될 때는 제15조(열람권), 제16조(정정권), 제18조(처리제한권) 및 제21조(처리거부권)에 규정된 권리의 적용을 일부 제외할 수 있다(89조 2항)고 하였다. 이에 비해 우리나라 개인정보보호법 제28조의7은 “가명정보는 [고지권, 파기권, 통지권, 정정권, 삭제권 등]의 규정을 적용하지 아니한다고 되어 있을 뿐이다. 자신에 대한 정보에 대한 열람권, 정정권 등 중요한 권리들이 GDPR 하에서는 공공목적 이용에 한해서 가명처리까지 이루어져야 제한되지만 우리나라 법은 공공목적과 무관하게 가명처리만 되면 정보주체의 권리들이 모두 제한되는 것이다.
이 차이는 형식적 차이 이상의 심각한 혼란을 초래하고 있고 정보인권을 심대하게 침해할 것이다. 정보처리자들은 과학적 연구, 통계작성 등의 목표도 없이 가명처리를 하는 것만으로 정보주체들의 권리를 제한할 수 있게 되었다. 예를 들어 통신사들은 이용자들에 대해 가지고 있는 개인정보를 가명처리하고 재식별키를 제3자에게 보관시키게 되면 이용자들이 자신들에 대해 통신사가 가지고 있는 정보를 열람하겠다고 해도 보여주지 않아도 된다.
더 아이러니한 것은 정부는 가명처리가 정보주체에게 미치는 위험을 감지했음에도 입법불비를 인정하고 개선하려 하지 않고 정보처리자에게 가명처리를 절차적으로 매우 하기 어려운 일로 만들어버렸다. 이에 따라 최근 8월에 개인정보보호위원회가 발표한 가명정보가이드라인(가명처리편)은 전 세계에서 유일무이하게 가명처리에 엄격한 절차적 요건을 부과하고 있다. 하지만 가명처리는 전 세계적으로 개인정보보호를 위해 장려되는 조치로서 당연히 정보주체의 동의 없이 할 수 있어야 한다. GDPR도 제32조와 제40조에서 가명처리는 모든 개인정보처리자가 기본적으로 해야 하는 보호조치로 명시하고 있다. 심지어 우리나라의 경우에도 법으로 주민등록번호는 반드시 암호화하여 보관하도록 하여 유출되더라도 식별화 피해를 최소화하도록 하고 있는데(개인정보의 안전성 확보조치 기준 제7조) 여기서 암호화란 정보보호 상으로는 가명처리의 스펙트럼 속의 한 방식일 뿐이다. 그런데 이렇게 가명처리를 어렵게 만들어 놓으면 개인정보처리자들은 프라이버시 보호를 위한 자발적인 가명처리를 하지 않게 되어 유출시 위험이 더 높아질 수밖에 없다.
결국, 가명처리 이전에는 개인정보보호를 위해 장려되고 활발하게 이루어져야 할 가명처리를 어렵게 만들어서 개인정보보호가 약화되고, 가명처리 이후에는 열람권, 삭제권 등 정보주체의 권리가 제한되어 더욱더 개인정보보호가 약화되는 최악의 상황이 만들어져버렸다. 이 상황에서는 개인정보보호에 대한 양보의 대의명분으로 제시되는 공공목적 개인정보 활용이 이루어지기도 어렵지만, 이루어질 경우에도 너무나 위험하게 되었다. 지금이라도 GDPR을 벤치마킹하겠다는 취지를 살려서 제28조의7을 개정하여 ‘과학적 연구, 통계작성, 공익적 기록보전’의 목적을 위해 가명처리된 정보에 대해서만 권리제한이 이루어지도록 하고 가명처리 자체는 모든 개인정보처리자가 활발하게 하도록 장려하는 보완조치들이 이루어져야 할 것이다.
이와 함께 사단법인 오픈넷은 지난 4월 위 문제를 포함하여 개인정보보호법의 개정 및 보완 요구를 하면서 ‘과학적 연구’의 정의에 연구결과가 논문 등의 형태로 공개되어야 한다는 요건을 포함할 것과 개인정보 결합시 결합키관리기관과 결합기관을 분리할 것도 요청하였다. 결합키관리기관과 결합기관의 분리는 <가명정보의 결합 및 반출 등에 관한 고시[시행 2020. 9. 1.] [개인정보보호위원회고시 제2020-9호, 2020. 9. 1., 제정]>를 통해서 어느 정도 해결이 된 반면, ‘과학적 연구’의 결과 공개 요건은 아직도 개선되어 있지 않다. 재개정을 통해 이 문제도 같이 해결할 것을 요구한다.
________________________________
[1] 제28조의7(적용범위) 가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.
[2] 제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.
2020년 9월 25일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
[관련 기자간담회 개최]
[관련 글]
[공동 논평] 개보위 역할 인식 아쉽다 – 개인정보 보호위원회는 정보주체 권리 보호에 더 적극적이어야 (2020.09.22.)
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.09.)
사단법인 오픈넷은 소위 “데이터3법” 중 개인정보처리자가 가명처리만으로 정보주체의 권리를 제한할 수 있는 개인정보보호법 제28조의7의 재개정을 요구하는 논평을 발표했습니다(하단 첨부). 이와 관련하여 해당 법률의 문제점과 개선방안을 이야기하는 기자간담회를 개최하고자 하오니 많은 참석 부탁드립니다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
글 | 손지원 (오픈넷 변호사)
최근 ‘디지털교도소’가 논란이 되면서, 개인이 다른 사람의 잘못을 폭로하는 이른바 ‘사적 제재’가 법치국가에서 용인되어선 안 된다는 목소리가 높아지고 있다. 디지털교도소만의 운영방식이나 표현 수위에 따른 특수한 문제에 대해서는 별개로 논의되어야 하며, 운영자는 그에 상응하는 법적 책임을 져야 할 것이다. 그러나 이를 계기로 국가 아닌 사인(私人)이 다른 사람의 신상을 공개하며 그들의 잘못된 행위를 알리는 활동 자체를 비판하고 금기시하는 목소리는 위험하다.
사실 ‘사적 제재’란 없다. ‘제재’란 본래 국가가 제도로써 잘못을 저지른 이들에게 일정한 의무를 강제적으로 부과하는 것이며, 개인이 이를 할 수는 없다. 아마도 여기서 ‘제재’란 사회적 비난을 당하게 되는 것을 상징하는 용어일 것이다. 그런데 개인이 다른 사람의 잘못을 알려―물론 그것이 진실이라는 전제하에―그들이 그에 상응하는 사회적 평가를 받도록 하는 것이 나쁜 일인가? 언론사가 기업이나 정치인의 비리를 추적하고 보도하는 것이나 미투 운동 등의 사회 고발 활동도 모두 이러한 사적 제재에 속한다. 타인의 잘못된 행위를 알리는 표현 활동은 행위자가 이로 인한 사회적 비난이 두려워 자신의 행위를 시정하도록 하여 피해를 구제하거나 제3의 피해도 예방할 수 있다. 또한 다른 사람들에게도 자신의 행위 역시 사회적 감시와 공개적인 비판의 대상이 될 수 있다는 경각심을 심어주어 사회구성원들이 공론장에서 좋은 사회적 평가를 유지하기 위해 각자의 행동을 반성하고 교정하도록 만든다. 민주주의 사회는 이렇듯 사회구성원들이 각자에 대한 평가를 교환하는 공론의 과정을 통해 발전한다. 언론사가 어느 총수 일가 등의 갑질 행태를 보도함으로써 부유층의 갑질에 고삐가 죄어질 수 있고, 미투 운동을 통해 사회에 만연한 크고 작은 성폭력, 성차별적 문화가 개선될 수 있는 것이다.
일각에서는 잘못된 ‘행위’에 대해서만 논하면 되지, 신상까지 공개할 필요는 없다고 주장한다. 그러나 신상공개는 곧 행위자를 특정하기 위함인데, 행위자를 특정하지 않으면 위와 같은 효용은 달성할 수 없다. 즉, 잘못을 저지른 사람은 다른 주변인들에 희석되어 자신에 대한 부정적인 평가를 면하고 자신의 행동을 교정할 동기도 없어지는 반면, 유사한 직종·특징을 가진 선량한 주변인들만 억울하게 피해를 입을 수 있고, 대중의 정당한 알 권리도 침해된다. 개인의 부조리는 사법 시스템을 통해서만 해결해야 한다는 주장도 있다. 그러나 사람이 자신이 저지른 행위에 대해 ‘법적’ 처단을 받는 것과 ‘사회적’ 평가를 받는 것은 별개의 책임 영역이다. 성희롱 등 모든 부조리한 행위가 법적 처단의 대상도 아닐뿐더러, 법이 있더라도 적정한 처단이나 보호를 하지 못하는 경우도 많고, 복잡한 사법 시스템을 활용할 여력이 없는 서민 피해자들도 많다. 양육비를 주지 않는 부모들의 명단을 공개하는 배드파더스는 법망을 피해 가던 양육비 미지급 건들을 다수 해결하고 양육비 미지급 문제를 크게 공론화했다. 또한 국가가 성범죄자의 신상공개를 하는 이유와 같이, 이미 과거의 잘못에 대해 법적 제재를 받았다고 해도 재발 위험은 있고, 사회구성원들이 이 위험으로부터 스스로를 보호하기 위해 알 권리가 우선되어야 하는 영역도 있다. 임금체불을 했던 업주, 식품위생법을 위반했던 식당 업주, 의료사고를 냈던 의사들의 명단을 알리는 사이트가 있다면, 이같이 노동자, 소비자의 합리적 선택에 필요한 정보를 알리는 공간들이 차단되어야 할까?
물론 개인이 하는 활동은 오류 가능성이 크므로 이 위험성을 지적하거나 정보의 신뢰도에 의문을 제기할 필요는 있으며, 행위자도 그에 상응하는 법적 책임을 지게 될 것이다. 그러나 마치 국가기관만이 개인의 비위 사실을 공식적으로 확인·공개해야 하고, 사인은 이를 공표해서는 안 된다는 식의 목소리는 민주주의 사회에서 헌법이 보장하고 있는 국민의 표현의 자유를 부정하는 것과 다름없다. 이러한 시각은 미투 운동을 비롯한 사회 고발, 언론사의 보도 등 사회를 움직이는 모든 ‘사적 제재’들을 위축시킬 것이다.
나쁜 짓을 해도 개인적 망신을 당할 염려는 없는 세상, ‘사적 제재’가 없는 세상이 과연 살기 좋은 세상일까. 나쁜 사람들만 더 살기 좋아진 세상은 아닐까.
이 글은 한겨레에 기고한 글입니다. (2020.10.26.)
이 글은 2020. 11. 5.(목) 오후 2시, 국회의원회관 제4 간담회실에서 ‘공익제보와 개인정보 심포지엄’에서 발표된 발제문의 요약문입니다. https://opennet.or.kr/18973
개인정보보호법은, 사회가 복잡해지면서 자신에 대한 정보를 제공해야만 생활과 행복추구에 긴요한 서비스나 재화를 받을 수 있는 경우가 늘어나는 상황에서, 자신에 대한 정보의 향후 이용이나 제3자제공을 미리 제한할 협상력이 없을 정도로 개인정보처리자와의 힘의 비대칭에 놓인 정보주체를 ‘정보감시’ 또는 정보감시의 가능성으로부터 오는 ‘위축효과’로부터 보호하기 위해 고안된 법제로서 정보주체에게 자신에 대한 모든 정보에 대해 소유권과 유사한 통제권을 부여하는 것을 골짜로 하고 있다.
한편 법이 원래의 목적에 부합하게 기능하도록 하기 위해서는, 모든 개인정보처리가 정보주체의 통제권 하에 놓여지면 도리어 힘없는 개인정보주체들이 표현의 자유나 알 권리를 통해 행사할 수 있는 저항권이 제한되므로 정보주체의 통제권을 정교하게 재단할 필요가 있다. 이를 위해 대부분의 개인정보보호법제들은 첫째 GDPR 및 GDPR이행입법들의 상당수는 공익 및 정당한 이익을 위해 정보주체의 동의가 없는 정보수집 및 제3자 정보제공을 허용하고 둘째 단순히 제도권 언론의 취재보도만을 면책시키는 것이 아니라 언론 “목적”의 정보처리에 대해서 예외를 허용하고 있다. 제3자가 언론에 제보하는 행위도 예외에 포함되는 것이다.
우리나라의 개인정보보호법은 특히 공익제보가 활발히 이루어질 수 있도록 제3자제공, 언론목적 정보처리, 개인정보처리자의 해석 등에 있어서 국제기준에 비추어 개정해야할 필요가 있다.
|
|
우리법 수집이용 |
우리법 3자제공 |
GDPR (수집, 이용, 3자제공) |
| 타법률 | O | O | O (4c) |
| 공공기관업무 | O | O | O (4f) |
| 계약이행 | O | X | O (4b) |
| 정보주체보호 | O | O | O (4d) |
|
정보처리자의 정당한 이익 |
O | X | O (4f) |
| 공익보호 | X | X | O (4e) |
개인정보보호법 제58조(적용의 일부 제외) ① 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다. . . . .4. 언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거 입후보자 추천 등 고유목적을 달성하기 위하여 수집·이용하는 개인정보
GDPR의 경우 다음과 같이 주체를 한정하지 않고 “언론 목적의. . 처리(processing for journalistic purposes)”에 대해 표현의 자유 및 정보의 자유와의 화합을 도모하도록 개별국가가 법제화를 하도록 의무화하고(“shall”) 있음.
Article 85 Processing and freedom of expression and information
1. Member States shall by law reconcile the right to the protection of personal data pursuant to this Regulation with the right to freedom of expression and information, including processing for journalistic purposes and the purposes of academic, artistic or literary expression.
사단법인 오픈넷은 2020. 11. 24. ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 신설하는 전기통신사업법 일부개정법률안(허은아의원 대표발의, 의안번호: 2104821)에 대하여 다음과 같이 찬성의견을 제출했다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
가. 주요내용
나. 통신자료의 명칭 변경에 대한 의견
다. 통신이용자정보제공 통지 제도 신설에 대한 의견
지난 11월 12일 법무부는 추미애 법무부장관이 “채널A 사건 피의자인 한동훈 법무연수원 연구위원 사례와 같이 피의자가 휴대폰 비밀번호를 악의적으로 숨기고 수사를 방해하는 경우 영국 등 외국 입법례를 참조하여 법원의 명령 등 일정요건 하에 그 이행을 강제하고 불이행시 제재하는 법률 제정을 검토하도록 지시”했다고 밝혔다. 이후 각계 각층의 비판이 쏟아지자 다음날 디지털 증거 압수수색시 협력의무 부과 법안 연구와 관련하여 “자기부죄금지원칙 및 양심의 자유, 사생활 보호와 조화로운 합리적 방안 마련”을 위해 다양한 방안을 검토 중에 있다고 해명하였다. 그러나 피의자에게 비밀번호 공개를 강제하는 방안은 헌법상 보장된 자기부죄금지 원칙, 진술거부권, 방어권을 심각하게 침해한다. 또한 대안으로 검토하고 있다는 제3자에게 협력의무를 부과하는 방안 또한 이용자의 프라이버시를 침해하고 보안 취약화로 인한 보안위험을 증대시키기 때문에 반대한다.
헌법 제12조 제2항은 누구나 형사상 자기에게 불리한 진술을 강요당하지 아니한다고 하여 자기부죄금지원칙을 밝히고 있다. 이러한 원칙하에 형사소송법은 피의자와 피고인의 진술거부권에 대하여 규정하고 있고, 형법 제155조 또한 “타인의” 형사사건 또는 징계사건에 대한 증거인멸 등만 처벌할 뿐 자신의 범죄는 아예 구성요건에 해당하지 않는 것으로 규정하고 있다. 이는 형사절차에서 피의자와 피고인의 방어권을 실질적으로 보장하기 위한 최소한의 장치이며 고문을 통한 자백강요 등 반인권적 수사로부터 이들의 인권을 보호하라는 헌법적 요청인 것이다. 그런데 국민의 인권과 법치를 수호해야 할 법무부가 본분을 망각하고 헌법적 요청에 정면으로 역행하는 휴대폰 비밀번호 공개강제법의 도입을 검토하고 있는 것에 경악하지 않을 수 없다.
그렇다고 하여 디지털 증거의 압수수색에 있어 휴대폰 제조사나 통신사 등 제3자에게 복호화 등 협력의무를 부과하는 방안도 매우 신중히 검토되어야 한다. 법무부에서 연구 대상으로 밝힌 영국, 프랑스, 호주, 네덜란드의 입법례가 그러한 의무를 담고 있다. 우리나라에서도 지난 20대 국회에서 김도읍 의원은 정보에 대한 압수수색 영장 집행 과정에서 정보 또는 정보저장매체의 소유자·소지자·관리자에게 협력의무를 부과하고, 이에 응하지 않는 경우 과태료 및 이행강제금을 부과하는 내용의 형사소송법 개정안(의안번호: 2001352)을 대표발의한 바 있다(위 개정안에서는 과태료 및 이행강제금 부과 대상에 피고인은 제외하는 규정을 두었다). 더 거슬러 올라가면 19대 때는 전기통신사업자에게 감청설비 의무를 지우고 불이행시 이행강제금을 부과하는 법안들이 발의되었는데, 이 또한 디지털 증거 수집을 위한 협력의무 부과라는 점에서 결을 같이 한다. 그런데 이렇게 주로 사업자인 제3자에게 디지털 증거의 압수수색에 대한 협력의무를 부과하는 방안은 궁극적으로는 암호화 기술의 무력화가 필요한데, 이는 모든 디지털 기기와 인터넷 이용자의 프라이버시를 침해하며 보안을 취약하게 만들어 해킹 등 보안위험을 증대시키는 결과를 초래함을 상기해야 한다. 나아가 사인(私人)에게 단지 범죄의 개연성만을 근거로 다른 사인 특히 재판을 통해 유죄가 확정되지도 않은 사인의 프라이버시 침해를 대행해달라는 요구는 자유민주주의 원칙에 반한다.
정보화 시대에 들어서 디지털 범죄뿐만 아니라 모든 범죄의 수사에 있어 디지털 증거의 수집이 더욱 중요해지고 있다. 그런 측면에서 디지털 증거 압수수색 제도의 개선은 필요하다고 보이지만, 비밀번호 공개강제나 사업자의 협력의무 같은 제도의 도입으로 헌법상 원칙에 반하여 국민의 기본권을 침해하는 일은 없어야 한다. 법무부는 휴대폰 비밀번호 공개강제법을 도입하려는 시도를 즉각 중단해야 할 것이다.
2020년 11월 25일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
지난 11월20일 사단법인 오픈넷은 유럽평의회의 108호 협약의 협의위원회 40차 전체회의에서 해당 회의체의 참관자 지위를 획득하였습니다.
유럽개인정보보호법(GDPR)은 EU소속 국민들의 정보가 해외로 이전되기 위해서는 도착지 국가가 적정한 개인정보보호법제를 구비하고 있을 것을 요구하고 있습니다(제45조의 “적정성 평가”(adequacy decision)). 적정성 평가에 있어 도착지 국가가 체결하고 있는 국제협약도 주요 고려대상인데 GDPR은 유럽평의회(Council of Europe)의 108호 협약 가입 여부가 중요하다고 명시하고 있습니다(전문 105조). 이와 관련하여 우리나라 정부도 EU에 적정성 평가를 신청하면서 108호 협약 협의위원회에 참관국으로 가입하여 활동해왔습니다.
108호 협약(Convention 108)은 EU가 GDPR을 제정하기 이전부터 개인정보보호를 전 세계에 확산시키기 위해 유럽평의회(1949년 설립) 소속국가들이 유럽인권협약(1950년 체결)에 근거하여 1981년 체결한 개인정보보호협약입니다. 또한 유럽평의회 소속이 아닌 국가들의 가입도 개방되어 있어 이미 여러 비유럽국가들이 가입하였고, 내용도 변화하는 시대에 맞게 “108호 플러스 협약”으로 강화되었습니다. 여러 시민단체와 정부들이 108호 협약의 해석 및 적용을 관장하고 있는 협의위원회(Consultative Commitee)에 참가하고 있습니다. 오픈넷은 Privacy International, European Digital Rights(EDRi), Australian Privacy Foundation, European Association for the Defence of Human Rights (AEDH), Internet Society에 이어 6번째로 협의위원회에 참가하는 시민단체이며, 이번에 미국 단체인 Access Now와 함께 참관지위를 획득하게 되었습니다.
오픈넷은 협의위원회에 다양한 의견을 제시함으로써 유럽 수준의 강력한 개인정보보호법제가 우리나라를 포함하여 전 세계로 확산되는 과정을 지원하게 될 것이며, 특히 국제기구의 논의과정을 통해 대한민국의 개인정보보호법이 국제기준을 준수하도록 감시하고 비판하는 역할을 하게 될 것입니다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
지난 2월 개인정보보호법이 개정되면서 유럽의 GDPR처럼 “통계작성, 과학적 연구, 공익적 기록보존 등” 공공의 이익을 위해서는 “가명처리”라는 안전조치를 취하면 정보주체에게 일일이 동의를 얻지 않아도 개인정보를 활용할 수 있는 길이 열렸습니다. 그러나 정보주체에게 보장되었던 개인정보 열람권, 정정·삭제권, 처리거부권 등 정보주체의 권리를 가명처리된 개인정보인 “가명정보”에 대해서는 인정하지 않으면서 부당한 사례가 발생하고 있습니다(개인정보보호법 제28조의7). 개인정보처리자 입장에서도 가명처리된 개인정보, 즉 가명정보의 재식별화가 예외없이 금지되어 있기 때문에 정보주체가 열람권 등 자신의 권리를 행사하고자 할 때도 재식별화를 할 수 없어 권리의 보장을 해주지 못하게 되었습니다(개인정보보호법 제28조의5). 예를 들어, 병원은 개인정보 유출시의 피해를 최소화 하기 위해 입원기록을 가명처리하여 보관할 수도 있는데, 환자가 자신의 입원기록을 보여달라고 해도 가명처리를 한 이상 재식별화해서 보여줄 수 없는 상황입니다.
이에 비해 GDPR에서는 ‘과학적 연구, 통계, 공익적 기록 등의 목적’을 위해서 이용된 경우에만 열람권, 정정권, 처리거부권 등이 제한되고 있고, 해석상 정보주체의 권리 보장을 위한 가명정보의 재식별화는 자유롭게 허용하고 있습니다. 관련 법개정을 위한 논의를 다음과 같이 하고자 합니다.
* 본 토론회는 온라인으로만 시청하실 수 있으며, 유튜브 오픈넷 채널에서 라이브 방송으로 진행됩니다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
시민들의 의견
댓글 달기