여성을 협박하여 자신을 성적으로 학대하도록 하거나 다른 남성을 시켜 여성을 강간해 얻어낸 디지털 이미지와 영상을 텔레그램으로 공유해 온 n번방/박사방 사건에 온 국민이 분노하고 있다. 사건이 터지자 정치인들은 발빠르게 해법이라며 ‘성폭력범죄의 처벌 등에 관한 특례법’(“성폭력처벌법”), 정보통신망법, ‘아동·청소년의 성보호에 관한 법률’(“청소년성보호법”), ‘형법’ 등 관련 법 개정안을 내놓고 있지만 기시감이 든다. 웹하드, 소라넷 등 디지털 성범죄 관련 사건이 터질 때마다 웹하드 처벌법, 몰카 방지법, 아동음란물 유통방지 의무법 등 처벌을 강화하는 수많은 법안이 쏟아져 나왔고 입법되었으나 디지털 성범죄는 줄어들기는커녕 증가하고 있고 그 처벌도 피해자들과 국민들의 법감정을 충족시키지 못하고 있다. 작년 웰컴투비디오 운영자가 징역 1년 6개월이라는 솜방망이 처벌을 받은 것처럼 박사방 운영자 조주빈의 범죄행위 역시 솜방망이 처벌에 그치지 않을까 우려하고 있는 상황이다. 이에 사단법인 오픈넷은 n번방 사태 재발방지를 위해 국회는 정보통신망법과 형법상 음란물 관련 규정을 재정비하여 음란물과 디지털 성범죄물을 명확하게 구분하여 후자에 대한 법적·문화적 경계심을 고양시키고, 사법부는 디지털 성범죄에 대한 양형기준을 신설할 것을 요구한다.

음란물과 디지털 성범죄물의 구분이 절실

디지털 성범죄에 대해 반복적으로 솜방망이 처벌이 내려지고 있는 원인 중 하나는 디지털 성범죄물에 관대한 한국사회의 문화 때문이다. 이런 문화는 수사기관의 수사 방식이나 법원의 양형에 영향을 미치고 있으며 그렇기 때문에 우리는 계속 디지털 성범죄에 대한 솜방망이 처벌을 목도할 수밖에 없다. 더 문제적인 것은 범죄자들 역시 성범죄에 관대한 양형 기준을 학습하며 더 끔찍한 범죄를 계획했다는 것이다. 성범죄에 관대한 문화의 뿌리 중 일부는 음란물과 디지털 성범죄물을 명확히 구분하지 않는 형사법제에 있다.

음란물이란 “단순히 저속하다거나 문란한 느낌을 준다는 정도를 넘어서서 존중·보호되어야 할 인격을 갖춘 존재인 사람의 존엄성과 가치를 심각하게 훼손·왜곡하였다고 평가할 수 있을 정도로, 노골적인 방법으로 성적 부위나 행위를 적나라하게 표현 또는 묘사한 것”을 말하며(대법원 2008. 3. 13. 선고 2006도3558 판결) 성도덕의 보호를 목적으로 한다. ‘불법 촬영물’은 성행위는 자발적일지라도 그 촬영 또는 배포가 촬영대상의 의사에 반하게 이루어지는 것을 말하며 촬영대상의 성적 프라이버시 보호를 목적으로 한다. ‘아동 성착취물’은 아동의 성행위 또는 선정적인 행위를 촬영한 것으로서 촬영된 아동에게 미치는 정신적 피해의 방지를 목적으로 한다. 중요한 것은 ‘불법 촬영물’, ‘아동 성착취물’은 촬영 대상에 대해 끔찍한 피해를 끼치는 성범죄이기 때문에 직접적인 피해자가 없는 음란물과는 구분되어야 하고 처벌도 질적으로 달라야 한다. 이렇게 구분이 명확히 되었다면 n번방 사건을 “야동을 본 것 정도”로 생각하는 일각의 몰이해를 예방할 수도 있었을 것이다.

불행히도 우리 법제는 구분을 명확히 하지 않는다. 청소년성보호법은 실존아동에 대한 성착취가 이루어지지 않는 소위 “교복물”이나 미성년자 캐릭터가 등장하는 애니메이션 등을  “가상아동” 음란물도 “아동으로 명백히 인식될 수 있는 사람이나 표현물”이 등장한다는 이유로 “아동청소년이용음란물”이라고 보고 있다. 그러다 보니 현실에서는 실존아동을 강간해 아동 성착취물을 만든 제작자나 아동 캐릭터가 등장하는 음란한 만화를 그린 만화가나, 아동 성착취물 소지자나 어려보이는 성인배우가 등장하는 교복물 소지자나 똑같은 조항이 적용되어 사법적 판단을 받는다. 그러다보니 우리나라의 아동음란물 사건 중에는 웰컴투비디오와 같은 아동 성착취물 보다는 애니메이션이나 교복물과 같은 ‘가상아동 음란물’이 문제된 사건이 훨씬 많다. 이런 현실은 여러 문제를 발생시킨다. 모든 범죄를 수사해야 하는 수사기관 입장에서는 수사자원을 디지털 성범죄물 단속에 최우선적으로 투입하지 못하고, 법원의 입장에서는 아무리 죄질이 다르더라도 같은 처벌 조항이 적용되기 때문에 극단적으로 차이나는 형벌을 선고하지 못한다. 여기에 포르노그래피, 소위 “야동”은 대부분 음란물에 해당하지 않지만 엄격한 청소년유해매체물 규제에 의해 마치 불법 영상인 것처럼 삭제·차단되는 상황이  혼돈을 가중시키고, 심지어 디지털 성범죄물도 “야동”으로 인식하게 만들고 있다.

그렇기에 우리나라 형사법제상 음란물과 디지털 성범죄물의 구분이 절실하다. 강요·협박·강간·아동성착취·불법촬영 등 범죄행위의 결과인 디지털 성범죄물 관련 조항을 신설 및 강화하고, 아동청소년음란물은 ‘가상아동 음란물’과 ‘실존아동 성착취물’을 구분하여 형벌을 달리해야 한다. 

또한 이에 맞춘 디지털 성범죄 양형기준의 신설이 필요하다. 양형기준은 법관이 형을 정하는 데 참고하는 기준으로, 대법원 양형위원회에서 결정한다. 살인과 뇌물, 성범죄, 횡령·배임 등 20개 중요 범죄에 대해서는 양형기준이 수립되어 있지만, 아동 성착취물이나 디지털 성범죄에 대한 양형기준은 아직 없다. 이번 사건을 계기로 대법원 양형위원회가 양형기준을 만든다고 하니 불행 중 다행이지만, 아동 성착취물과 디지털 성범죄물의 특수성과 국민의 법감정을 잘 반영해 납득이 가는 수준으로 기준을 신설해야 할 것이다.

양형기준의 신설 외에 지금 제시되는 해결책으로 법정형 강화와 소지죄 신설이 있는데,  이 두 가지 방안에 대한 접근은 신중해야 한다. 특히 디지털 성범죄의 법정형을 늘리는 것은 솜방망이 처벌의 해결책이 되기 어렵다. 관련 법정형이 다른 범죄와 비교하여 낮은 편이 아닌데도 불구하고 솜방망이 처벌이 이루어지고 있기 때문이다. 19세 미만 미성년자를 대상으로 하는 성범죄에 관한 청소년성보호법에 의하면 아동 성착취물 제작이나 아동의 강간은 동일하게 무기 또는 5년 이상의 징역형에 처해진다(아동 성착취물 제작 과정에서 아동에 대한 강간이 이루어지므로 당연하다). 살인죄가 사형, 무기 또는 5년 이상의 징역이라는 것을 감안하면 약한 형이 아니다. n번방과 같이 아동 성착취물을 영리 목적으로 배포하는 경우는 10년 이하의 징역으로, 사람을 폭행이나 협박으로 강제추행하는 것과 동일하게 처벌받는다. 또한 성폭력범죄의 처벌 등에 관한 특례법(“성폭력처벌법”)에 의하면 불법 촬영물을 촬영하거나 배포하는 경우 5년 이하의 징역 또는 3천만원 이하의 벌금에 처해질 수 있는데, 정보통신망법상 음란물 배포죄가 1년 이하의 징역 또는 1천만원 이하의 벌금이라는 점에 비교하면 일반 음란물에 비해 불법 촬영물 배포는 5배 이상 가중처벌되고 있다.

실효성 없고 이용자 프라이버시 침해하는 플랫폼의 모니터링 의무 신설 지양하고 자율규제 유도해야

n번방 관련 발의된 법안 중에는 청소년성보호법 제17조 온라인서비스제공자의 의무와 유사하게 텔레그램과 같은 플랫폼이 불법촬영물을 발견하여 즉시 기술적 조치를 취하도록 하고, 하지 않을 시 처벌하는 내용도 있다. 하지만 우리나라는 이미 플랫폼에게 불법정보 유통방지 의무를 과도하게 부과하고 있다. 디지털 성범죄물 관련해서는 2011. 9. 15. 청소년보호법 개정을 통해 온라인서비스제공자의 아동음란물 발견 즉시 삭제 또는 전송 중단을 할 기술적 조치 의무가 도입되었고, 2015. 4. 14. 전기통신사업법 개정을 통해 웹하드 사업자의 음란정보 유통 방지를 위한 기술적 조치 의무가 도입되었다. 그 밖에 청소년보호법과 정보통신망법상 음란물 관련 규제도 존재한다. 이렇게 강력한 플랫폼 규제가 효과가 있었다면 우리나라 인터넷상에는 디지털 성범죄물이 아예 존재하지 않았어야 한다. 그러나 규제를 통한 효과를 전혀 기대할 수 없는 현실에 비추어 볼 때 실효성 없는 플랫폼 규제 신설은 지양해야 한다.

한편 플랫폼 사업자에게 디지털 성범죄물을 발견할 기술적 조치를 취할 의무, 즉 모니터링 의무를 지운다면 플랫폼을 이용하는 절대 다수의 선량한 이용자들의 개인정보자기결정권과 통신 비밀의 자유가 침해된다. 왜냐하면 디지털 성범죄물을 발견하기 위해 사업자는 자신의 플랫폼상 오가는 통신 내용을 포함한 모든 정보를 모니터링해야 하기 때문이다. 대화방 모니터링의 경우에는 통신비밀보호법 위반 소지도 있다. 게다가 기업 차원에서는 엄청난 자원을 투자해야 하는데 스타트업 같이 영세한 곳은 플랫폼 사업을 포기해야 할 수도 있다.

게다가 디지털 성범죄물만 100% 골라내는 기술은 아직 존재하지 않는다. 현행법이 규정하고 있는 기술적 조치는 키워드에 의한 필터링이나 동영상 해시값 기반 필터링인데 별로 효과적이지 못하다. 해시값 기반 필터링의 경우에는 컴퓨터가 1차로 걸러낸 영상을 인간이 육안으로 보고 성범죄물인지 여부를 확인한 동영상의 해시값 데이터베이스에 기반하는데, 매일 엄청나게 쏟아지는 영상을 일일이 다 확인한다는 것은 불가능하기 때문에 한계가 있을 수밖에 없다. 그리고 AI 기술도 완벽하지 않아서 합법적 성인물인지 디지털 성범죄물인지는 결국 인간의 판단이 필요하다. 그렇기에 페이스북을 포함해 AI 기술을 활용하는 대기업들도 불법정보 여부에 대해 최종 판단을 내리는 직원들을 두고 있다.

해외 사업자의 경우 국내법 적용을 받지 않아 단속이 불가능하다는 주장도 있으나, 역외적용 규정을 도입한다 해도 집행력의 한계가 있을 수밖에 없고, 그렇다고 매일 새롭게 생겨나는 해외 플랫폼의 이용을 막는 것은 중국처럼 만리방화벽을 쌓지 않는 한 불가능하며, 플랫폼의 합법적인 이용까지 차단하는 결과를 낳는다. 그리고 음란물에 대한 기준은 나라마다 다르기 때문에 한국법을 적용한다고 해결될 문제가 아니다. 다만 아동 성착취물에 대해서는 대부분의 나라에서 극악무도한 범죄로 취급하기 때문에 국제적인 수사 및 사법공조가 잘 이루어지고 있는 편이다. 

따라서 실효성 없고 이용자의 프라이버시까지 침해하는 모니터링 의무나 기술적 조치 의무를 신설하기 보다는 디지털 성범죄 신고가 들어오면 바로 차단·삭제하도록 플랫폼 사업자의 자율규제를 장려하고, 디지털 성범죄물의 피해자를 빨리 찾아서 구제하는 방향으로 나아가야 한다. 미국의 경우 아동 성착취물을 발견하면 플랫폼 사업자는 삭제하기 전에 수사기관에 신고부터 해야 하고, 신고받은 수사기관은 피해자 구제에 나서고 플랫폼 사업자는 그 다음에 삭제 의무가 발생한다.

제일 중요한 건 피해자 보호 및 지원

마지막으로 제일 중요한 건 피해자들이 일상으로 빠르게 복귀할 수 있도록 하는 것이다. 가장 먼저 유포된 디지털 성범죄물의 삭제 및 재유포 방지 지원과 법률상담이 필요하다. 다음으로 신체적, 정신적 치료에 대한 지원이 이루어져야 한다. 이미 국가 차원에서 다양한 지원을 제공하고 여러가지 대책을 내놓았지만, 활동가들이 지적하는 법적 공백을 메워야 하며, 예산 증액 등으로 더욱 실질적인 지원이 이루어지도록 해야 한다.

2020년 4월 6일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[보도자료] 오픈넷, 아청법 개정안(신창현, 23925)에 대한 의견서 제출 (2019.12.19.)
[논평] 관대한 양형 개선과 아청법 개정을 통한 아동음란물 관련 범죄자 엄벌을 촉구한다 (2019.10.28.)
[보도자료] 오픈넷, UN CRC ‘아동매매·성매매 및 아동음란물에 관한 선택의정서 지침’에 대한 의견 제출 (2019.10.11.)
당신이 아청법에 관해 알아야 할 다섯 가지 (슬로우뉴스 2015.7.7.)
[논평] 헌법재판소의 아청법 제2조 제5호 합헌 결정에 대한 오픈넷의 논평 (2015.6.25.)
[논평] 성인교복물 및 애니메이션에 대한 법원의 아청법 무죄 판단을 환영한다.(2014.9.30.)
[논평] “애니메이션에 아청법이 적용되는 경우 위헌”이라는 수원지방법원 안산지원의 결정을 환영한다. (2013.8.20.)
마이너리티 리포트, 한국에서 아청법으로 현실화하다 (슬로우뉴스 2013.7.22.)
[논평] 수원지방법원의 성인교복물 아청법 무죄 판결을 환영한다. (2013.6.27.)
[논평] 법원의 아청법 위헌법률심판 제청을 환영한다. (2013.5.30.)
[오픈블로그] 아동·청소년이용음란물 관련사건 1년 만에 22배 늘었다. (2013.3.29.)
[보도자료] 사단법인 오픈넷, 아동∙청소년성보호법 과도한 적용에 헌법소원 제기 (2013.3.14.) 
[오픈블로그] 아청법 개정안, 실존하는 아동·청소년의 표현물인 경우에만 처벌 (2013.3.6.) 

동의를 대체하는 것은 가명화가 아니라 공익적인 과학연구

공익적인 과학연구는 연구결과의 공유를 전제로

재식별키와 연구 데이터는 별도 보관되어야

2020년 2월 4일의 개인정보보호법 개정은 공익적 기록 과학연구 및 통계 목적의 “추가처리” 조항들을 도입하기 위해 이루어졌다. 이는 개인정보 이용의 활성화를 위해 GDPR이 정보주체의 동의 없이 새로운 목적으로 정보를 처리(소위 “추가처리”) 하도록 허용하는 조항들 중에서 가장 활용가능성이 명확한 부분이다. 그러나 GDPR 기준을 구현하기 위해서는 다음과 같은 면에서 추가 입법 또는 하위법령 제정작업이 필요해보인다. 3월 31일 예고된 시행령은 이와 같은 요구에 한참 못 미친다. 

첫째, 가명화를 전제로 하여 이루어지는 과학연구의 연구결과물이 사회 전반에 공유되도록 의무화하기 위한 추가입법이 필요하다. 특히 현재 해석상 동의 없는 추가처리가 ‘상업적 연구’도 포함하게 되는데 이 경우 공익성의 확보를 위해서 연구결과의 공유가 필요하다. 가명화된 정보는 다른 정보와 용이하게 결합하여 식별성을 갖추게 되므로 당연히 개인정보이고, 이와 같은 개인정보를 정보주체의 동의 없이 새로운 목적으로 이용하도록 허용하는 “특례”가 인정되기 위해서는 공익적인 성격이 명백해야 한다. 즉 GDPR 전문이 유럽연구공역(European Research Area)을 언급하며 암시하고 있듯이 연구의 혜택이 사회에 환원되는 경우에만 동의 없는 추가처리가 허용되도록 하여 공익성을 보장하는 방향으로 법개정 또는 시행령 제정을 할 필요가 있다. 

둘째, GDPR 및 유럽의 기타 개인정보보호법들이 과학연구 목적을 동의요건 면제의 근거로 삼는 반면, 우리나라 개인정보보호법 개정안은 가명화를 동의요건 면제의 근거로 삼으면서 입법불비가 발생했다. 즉 가명화만 되면 과학연구 목적이 없음에도 불구하고 열람권, 정정권, 삭제권, 처리거부권 등의 정보주체의 권리들이 제한될 가능성이 열린 것이다. 이 조항은 각종 기업들이 연구 등의 공익적 목표와 무관하게 정보를 가명화하여 정보주체들의 권리를 제한할 위험을 발생시킨다. 물론 이 때 추가처리 또는 제3자제공은 동의가 요구되겠지만 포괄적 동의 등의 방법으로 우회할 수 있다. 시민단체들이 법개정 때문에 기업들에 의한 개인정보 판매가 더욱 수월해졌다고 주장했는데 과학연구목적이 아닐 경우에도 시민들의 옵트아웃(처리거부) 권리가 제한된다는 면에서 타당한 주장이다. 

셋째, 우리나라 개정법은 2개 이상의 데이터베이스의 결합을 국가기관이 지정한 전문기관이 하도록 하고 있는 반면, 결합의 절차에 있어서 재식별키와 연구대상 데이터를 하나의 기관이 보유하지 못 하도록 하는 유럽의 실무를 조문에 반영하고 있지 못 하고 있다. 하나의 전문기관이 재식별키와 연구대상 데이터를 보관하게 될 경우 프라이버시 침해 위험은 훨씬 높아진다. 3월 31일 예고된 시행령도 이 위험에 대한 대비책을 제시하지 못 하고 있다. 

개인정보보호법 가명화 도입이 원래 목적대로 프라이버시 보호와 개인정보 활용 사이의 균형을 잡도록 하기 위해서 위와 같은 과제들이 선결될 것을 요구한다. 

2020년 4월 9일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

최근 코로나 바이러스 대응을 위해 감염자의 과거 위치정보를 국가기관이 강제적으로 수집함은 물론 장래의 위치를 감시하기 위해 손목밴드 등의 기기착용을 강제하는 방안이 논의되고 있다. 이미 시민단체들은 이렇게 수집된 정보가 과도하게 일반에게 공개되는 것에 대한 우려를 표명한 바 있다. 사단법인 오픈넷은 이와 별도로 국가기관이 이 정보를 수집하는 단계에 대해서도 프라이버시 보호의 대원칙을 위배할 우려에 주목한다.  

감염자 및 감염의심자의 위치 확인

코로나 바이러스에 대한 대응으로 강제수사와 비슷한 수준의 프라이버시권 제한이 이루어지고 있다. 감염병예방및관리법 제76의2조 제1항과 관련 시행령에 따르면 보건당국은 스스로의 판단에 따라 감염자나 감염의심자의 인적사항, 진료기록, 출입국 기록, 신용카드 및 교통카드의 사용명세 및 CCTV 내역을 제3자에게 요청하여 수집할 수 있고, 동조 제2항에서는 이중 위치정보에 대해서는 보건당국뿐만 아니라 기초 및 광역지자체장도 경찰을 통해 전기통신사업자 및 위치정보사업자로부터 수집할 수 있다. 본인이 감시대상이 될 줄 모르는 상태에서 자유롭게 돌아다닌 행적이 고스란히 국가에 의해 취득된다. 

국가에 의한 프라이버시 침해를 막기 위한 원칙을 따르자면, 사생활의 비밀이라는 기본권도 법률에 의해 강력한 공익적 목표를 위해 제한될 수는 있다.  압수수색도 국민의 생명과 재산을 지키기 위해 필수불가결한 범죄수사라는 공익적 목표 때문 정당화된다. 하지만 ‘죄를 범하였다고 의심할 만한 정황’과 같은 요건이 충족될 때만 가능하며 그 판단 역시 수사의 진전에 이해관계가 없는 공직자, 즉 판사에 의해 영장이라는 사전서면승인절차를 거쳐야만 이루어진다. 

그런데 감염병예방및관리법 하에서 강제적인 정보수집은 정보수집에 이해관계를 가진 보건당국 스스로의 판단 하에 이루어지며, 심지어 위치정보에 대해서는 선출직인 기초지자체장의 판단에 의해서 이루어진다. 이와 같은 판단이 자의적으로 내려지지 않도록 통제할 안전장치가 없다. 국가기관이 정보주체의 의사에 반하게 영장없이 강제적으로 과거의 위치정보를 수집할 수 있는 상시적 법제를 갖춘 나라는 거의 없어 싱가폴 외에는 확인되지 않고 있다. 이스라엘은 전시대응에 준하는 한시적 입법으로 비슷한 정보수집을 하고 있을 뿐이다. 독일의회에서는 비슷한 조항을 논의하다가 프라이버시 침해를 이유로 폐기된 바 있고, 정보의 중앙수집 없이 감염자의 폰에 근접한 폰들에 자동으로 경고신호를 보내주는 방식을 선호하고 있다. 유럽의 국가들은 궁극적으로 피해자라고 볼 수 있는 감염자를 상대로 세밀히 감시하는 것을 인권침해로 간주하여 기피하고 있는 것이다. 특히 우리나라의 경우 첫째, 신용카드 사용명세, 진료기록부, 상세 위치정보(기지국위치정보뿐 아니라 GPS정보까지)에 이를 정도로 세세한 사적인 정보를 수집하고 있고, 둘째, 심지어 감염자가 아닌 감염의심자까지 감시대상에 포함하고 있는데 감염의심자에는 접촉자가 아닌 “접촉의심자”까지 포함하고 있으며, 셋째, 정보수집을 온갖 범죄에 대한 수사 즉 별건수사를 할 수 있는 경찰을 통해 하고 있어 문제이다. 다만 우리나라법의 해당 조항에서 정보수집·제공 사실을 정보주체에게 통지할 의무, 감염병 예방 및 전파 차단의 목표로만 정보가 이용되어야 한다는 목적 제한, 업무 종료시 지체 없이 파기할 의무를 규정한 것은 그나마 다행이다.  

지금과 같은 전 지구적 위기는 모두에게 처음이며 특히 범죄수사 외의 목적으로 위치정보를 강제수집하는 것이 타당한지, 타당하다면 어떤 기준과 절차를 거쳐야 하는지 국제인권기준은 명백하지 않으며 위와 같은 정보수집을 반대하는 것은 아니다. 한국이 검사를 자신있게 많이 할 수 있었던 것도 위와 같은 제도를 통해 접촉자나 접촉의심자를 다수 찾아낼 수 있었기 때문이기도 한다. 다만 우리나라의 법이 국제적 지평 내에서 어디에 위치하는지를 의식하면서 위 법을 집행하고, 위기상황을 벗어나서 재검토할 것을 요구한다. 

자가격리대상자의 위치감시

정부는 격리대상자의 위치감시를 위해 손목밴드 착용의 강제를 고려하고 있다고 한다. 기존의 자가격리앱은 격리자의 동의에 의해서만 설치되어 설치율이 낮고 폰을 두고 다니거나 위치추적기능을 끌 수 있다는 이유에서다. 

질문에 답이 포함되어 있다고 본다. 자가격리 명령은 감염병예방및관리법 제42조에 따라 이루어지고 이를 어기면 처벌도 된다. 이와 같은 준법의무 외에 자가격리앱이든 위치추적 기기이든 특정 기기나 소프트웨어의 설치를 국민의 신체에 강제하기 위해서는 국민의 대표인 국회가 만든 법적 근거가 필요하다. 하물며 자동차 안전벨트도 이에 대한 구체적인 법률이 있기 때문에 강제될 수 있는 것이다. 과속을 금지하는 도로교통법조항 만을 근거로 속도감시앱을 국민의 자동차에 설치하도록 강제할 수는 없는 것과 마찬가지이다. 자유민주주의 국가에서 법률의 준수는 국민의 윤리적인 책임으로 맡겨져야지 물리적으로 강제한다는 것은 고도의 사회적 동의를 필요로 한다.  

결국 법적 근거가 없기 때문에 자가격리앱의 설치를 격리대상자에게 강제할 수 없었던 것인데 방법이 소프트웨어에서 하드웨어로 즉 손목밴드로 바뀐다고 해서 달라질 것은 없다. 또 설치율 제고가 아니라 탈착방지를 목적으로 하더라도 손목밴드든 뭐든 훼손을 막기 위해서는 어차피 그런 행위를 처벌하는 법률이 필요하기는 마찬가지이고 그런 처벌규정이 없다면 자가격리앱과 똑같은 실효성 문제가 발생한다. 특히 감염자가 아닌 사람에게 접촉이 의심된다는 이유만으로 자가격리 명령이 내려지는 경우 더욱 더 비례성에 어긋난다. 

선거운동기간인 현재 국회를 통해 이와 같은 법적 근거를 마련하는 것은 불가능하고 손목밴드 착용의 강제가 불가능한 이상 정부는 손목밴드 착용 강제 계획을 폐기해야 할 것이다. 이 문제 때문인지 강제가 아니라 동의를 얻어서 시행하겠다는 말도 들리는데 그러면 설치율 제고를 어차피 할 수 없고 탈착이 불가한다면 더욱 설치율은 낮아질 것이다. 

방역격리 명령의 준수를 물리적으로 강제하기 위해 특정기기의 착용을 강제하는 것이 타당한지 국제적인 인권기준 역시 아직 불분명하다. 대한민국은 입국금지와 같은 극단적인 국경통제를 하지 않은 거의 유일한 국가이며 입국자 격리에 대한 감시욕구가 더 강한 것도 사실이다. 그러나 기본권 제한의 대원칙은 지켜져야만 코로나 바이러스 방역을 통해 지키려는 우리 사회의 가치들이 온전히 보호될 것이다. 

2020년 4월 10일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

코로나19의 영향으로 화상회의 수요가 급증하고 있으며, 그 중 가장 널리 이용되고 있는 화상회의 솔루션으로는 줌(Zoom)이 있습니다. 그런데 최근 “줌 폭격(Zoom bombing)” 등 여러 가지 보안 문제가 불거지면서 줌을 사용해도 되는지 우려하는 이용자들이 늘어나고 있으며, 캐나다 토론토대학교 산하 시티즌랩 연구소는 줌의 보안성에 대한 보고서를 공개하기도 했습니다. 이에 사단법인 오픈넷은 보다 안전한 줌 이용을 위해 미국의 정보인권 시민단체인 전자개척자재단(EFF)이 발표한 “프라이버시 보호와 트롤 방지를 위한 줌 설정 강화(Harden Your Zoom Settings to Protect Your Privacy and Avoid Trolls)“의 내용을 번역·수정해 배포합니다.

프라이버시 보호와 트롤 방지를 위한 줌 설정 강화

다음 단계를 수행하여 줌 프라이버시 설정을 강화하고 “줌 폭격” 트롤로부터 회의를 보호하세요. 아래의 각 설정은 개별적이므로 전부 적용하거나 순서대로 적용할 필요는 없습니다. 어떤 설정이 자신과 대화 그룹에 적합한지를 고려하고, 회의 호스트와 다른 참가자에게도 설정과 보안 수준에 대한 기대치를 공유해주시기 바랍니다.

<프라이버시 설정>

채팅 자동 저장 설정 해제

줌 프로필 설정의 회의 중(기본) 탭으로 들어가 채팅 자동 저장 버튼이 왼쪽으로 꺼져 있는지 확인하세요.

“Attention Tracking” 설정 해제 – 4/2부로 기능 삭제

가상 배경 사용

화상회의 중 참가자가 있는 공간은 거주지, 습관, 취미 등 많은 정보를 노출시킬 수 있습니다. 화상회의 배경에 사적 공간이 노출되는 것이 불편하다면 가상 배경을 설정하세요. PC에서는 왼쪽 하단 비디오 시작, 스마트폰 앱에서는 오른쪽 하단 더 보기로 들어가면 가상 배경을 설정할 수 있습니다. 

<트롤을 피하는 모범 사례>

줌이 그 어느 때보다도 널리 사용되면서, 줌의 공개 회의 ID 메커니즘은 침입자가 욕설, 비방, 음란물이나 혐오스러운 이미지를 퍼뜨려 회의를 방해할 수 있게 했습니다. 회의를 호스팅할 때는 다음의 단계를 수행하여 이러한 “줌 폭격”으로부터 자신과 회의 참가자를 보호하세요.

침입자는 두 가지 방법 중 하나로 회의를 찾을 수 있습니다: 활성화된 회의 ID를 찾을 때까지 랜덤하게 생성된 회의 ID를 돌려보거나, 페이스북 그룹, 트위터 또는 개인 웹사이트와 같은 공개된 장소에 게시된 회의 링크와 초대장을 이용할 수 있습니다. 따라서 회의 보안은 회의 참가자를 관리하고 회의 ID를 비공개하는 것으로 요약될 수 있습니다.

회의 ID를 비공개로 유지

가능하면 회의 링크 또는 회의 ID를 공개적으로 게시하지 마세요. 대신 신뢰할 수 있는 사람과 그룹에게 직접 보내세요.

회의 비밀번호 설정 및 회의 링크 확인

줌의 최신 업데이트 이후 교육용 계정뿐만 아니라 모든 계정에 대해 회의 비밀번호가 기본적으로 설정되어 있습니다.

그러나 줌 비밀번호는 예기치 않은 방식으로 작동할 수 있으니 주의하세요. “초대 URL 복사”기능을 사용하여 회의 링크를 복사하여 참가자에게 보낼 때 링크에 회의 비밀번호가 포함될 수 있습니다. 물음표 “?”가 포함되어 있는 비정상적으로 긴 URL을 주의하세요. 물음표는 회의 비밀번호가 포함되어 있음을 나타냅니다.

신뢰할 수 있는 참가자에게 회의 링크를 직접 보낼 때는 링크에 비밀번호가 포함돼도 아무런 문제가 없습니다. 그러나 페이스북 그룹, 트위터와 같은 공공 장소에 회의 링크를 게시하면 비밀번호 자체도 공개된다는 의미입니다. 이벤트를 온라인에 게시하는 경우 회의 ID만 게시한 다음 회의가 시작되기 직전 확인된 참가자에게 비밀번호를 별도로 보내세요.

비밀번호 설정을 찾으려면 내 계정 설정으로 들어가세요. “새 회의를 예약할 때 비밀번호가 필요합니다” 버튼이 오른쪽으로 켜져 있는지 확인하세요. 이 항목에서 다른 비밀번호 옵션도 확인할 수 있습니다.

화면 공유 잠금

내 계정 설정의 회의 중(기본) 항목에서 화면 공유를 호스트만으로 설정하세요. 이 경우 회의를 호스팅할 때 호스트만 화면 공유를 할 수 있고 다른 회의 참가자는 화면 공유를 할 수 없습니다.

호스팅하려는 회의에 따라 화면 공유 버튼을 왼쪽으로 이동하여 화면 공유를 완전히 끌 수도 있습니다.

참가자 확인을 위한 대기실 사용

줌의 최신 업데이트 이후 지금은 모든 계정에서 기본적으로 대기실이 활성화되었습니다. 대기실은 호스트가 새로운 참가자의 입장을 수락하기 전에 선별할 수 있도록 하여 방해꾼 또는 예상치 못한 참가자의 회의 참가를 막을 수 있습니다.

대기실은 내 계정 설정의 회의 중(고급) 항목에서 찾을 수 있습니다. 대기실 버튼이 오른쪽으로 켜져 있는지 확인하세요.

회의 잠금

모든 참가자가 들어오면 다른 사람이 참가하지 못하도록 회의를 “잠글” 수 있습니다. 줌 화면에서 보안 아이콘을 클릭한 뒤 옵션 맨 위 회의 잠금을 체크합니다.

보안 아이콘 옵션

위에서 설명한 다양한 설정에 액세스하는 또 다른 방법은 줌 회의를 호스팅할 때 화면 하단에 보이는 보안 아이콘을 사용하는 것입니다. 보안 아이콘을 사용하면 회의 잠금, 대기실 사용 및 회의 참가자의 화면 공유 제한과 같은 설정으로 빠르게 이동할 수 있습니다. 줌의 보도자료는 이 기능에 대해 더욱 자세히 설명하고 있습니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

n번방 사건에 대한 전 국민적인 분노가 그동안 방치되어온 디지털 성범죄에 대한 대책 마련을 조금이나마 견인하고 있다. 4월 23일 정부는 디지털 성범죄 근절 대책을 발표하였으며, 4월 29일 국회 역시 ‘n번방 사건 재발 방지법’이라 불리는 성폭력 처벌법 개정안 및 형법 개정안 등을 통과시켰다. 디지털 성범죄를 실질적으로 근절하기 위해서는 여전히 끊임없는 관심과 노력이 필요할 것이다. 

지난 7일 국회 과학기술정보방송통신위원회 전체회의를 통과한 전기통신사업법 개정안 역시 이러한 노력의 일환이며 입법 취지와 필요성에는 공감한다. 또한 디지털 성범죄 영상의 유통을 차단하기 위한 인터넷 사업자들의 책임성이 강화될 필요가 있다. 그러나 이번 개정안에서 부가통신사업자에게 불법촬영물 유통 방지를 위한 기술적·관리적 조치 의무를 지우는 내용은 이러한 유통 방지 의무가 텔레그램이나 카카오톡처럼 비공개 대화방 서비스에도 적용된다면 이용자의 통신비밀, 프라이버시, 표현의 자유 등 기본권을 침해할 우려가 있다. 사단법인 오픈넷은 21대 국회에서 심도 깊은 논의를 거쳐 기본권 침해 우려가 없는 법안을 낼 수 있도록 현 개정안의 입법을 중단할 것을 촉구한다.

개정안 제22조의5 제2항^[1]은 대통령령(시행령)으로 정하는 부가통신사업자가 성폭력처벌법 제14조에 따른 불법촬영물, 제14조의2에 따른 딥페이크 영상, 아동·청소년이용음란물(이하 “불법촬영물”)의 유통을 방지하기 위한 기술적·관리적 조치를 취하도록 하고, 이러한 조치를 하지 않을 경우 3년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 하고 있다. 시행령의 내용은 아직 정해져 있지 않지만 같은 조항에 대한 현 전기통신사업법 시행령^[2]을 참고하자면 이러한 기술적 조치에는 크게 1. 정보의 제목, 특징 등을 비교하여 해당 정보가 불법정보임을 인식할 수 있는 조치 2. 불법정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치가 있다. 이 중 정보의 제목, 특징 등을 비교하는 기술적 조치는 키워드 필터링과 해시값/DNA 필터링 두 가지가 있다. 키워드 필터링은 정보의 제목이나 파일명 등이 특정 키워드를 포함하는지를 비교하여 필터링하는 기술이고, 해시값/DNA 필터링은 동영상의 해시값이나 DNA 등 특징을 분석하여 만들어진 데이터베이스에 기반한 필터링 기술이다. 

어떤 방식의 필터링을 적용하든지 간에 사업자가 불법촬영물을 발견하기 위해서는 이용자가 공유하는 정보를 다 들여다봐야 한다. 그런데 만약 대통령령이 정하는 부가통신사업자에 텔레그램이나 카카오톡 등 비공개 대화방 서비스를 제공하는 사업자가 포함되어 이러한 사업자가 대화 내용을 들여다봐야 한다면 이는 헌법 제18조가 보호하는 통신비밀의 침해이자 공개되지 않은 타인간의 대화의 녹음 또는 청취를 금지하는 통신비밀보호법 위반이다. 그리고 이미 아동·청소년의 성보호에 관한 법률 제17조의 ‘기술적 조치’ 의무 조항이 비공개 카카오그룹에 적용되어 이석우 전 카카오 대표가 기소된 사례가 있음에 비추어본다면, 개정안의 기술적 조치 의무가 사적 대화에 대한 감시를 독려할 위험성을 아예 배제할 수 없다. 게다가 종단간 암호화 등 암호화 기술이 적용된 서비스를 제공하는 사업자에게 위와 같은 기술적 조치를 취하라고 한다면, 사업자는 이용자의 통신 내용 감시를 위해 암호화 기술을 무력화시켜야 할 수도 있다. 그리고 불법정보를 검색하거나 송수신하는 것을 제한하는 기술적 조치도 사업자가 이용자들이 어떤 정보를 검색 또는 송수신하는지 알아야만 할 수 있고, 합법정보의 검색 또는 합법정보나 대화의 송수신까지 제한될 수 있으며 이 경우 알 권리, 표현의 자유, 통신의 자유 침해가 발생한다. 개정안이 이와 같이 비공개 대화방을 통한 소통까지 사적 감시하게 하려는 목적이 아니라면, 유통 방지 의무를 부담하는 부가통신사업자의 범위를 대통령령이 아니라 법률에서 명확히 밝혀줄 필요가 있다.

불법촬영물의 유통을 방지하고자 하는 개정안의 입법 취지와 그 필요성에는 공감한다. 그러나 현재 개정안의 문언만으로는 유통 방지 의무를 지는 부가통신사업자의 범위를 예측하기 어려워 자칫 이용자의 통신 비밀과 표현의 자유 침해를 야기하는 것으로 이해될 수 있다. 방송통신위원회나 여당 과방위 수석전문위원의 구두해명으로는 그런 오해를 막을 수 없다. 정부는 유통 방지 의무의 적용 범위를 명확히 밝힐 것과 20대 국회는 현 개정안의 입법을 중단할 것을  촉구한다. 

[1] 제22조의5(부가통신사업자의 불법촬영물 등 유통방지) ② 대통령령으로 정하는 부가통신사업자는 불법촬영물등의 유통을 방지하기 위해 대통령령으로 정하는 기술적·관리적 조치를 하여야 한다.
제95조의2(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
1의3. 제22조의5제2항에 따른 기술적·관리적 조치를 하지 아니한 자. 다만, 제22조의5제2항에 따른 기술적·관리적 조치를 하기 위하여 상당한 주의를 게을리하지 아니하였거나 제22조의5제2항에 따른 기술적·관리적 조치가 기술적으로 현저히 곤란한 경우에는 그러하지 아니하다. 

[2] 전기통신사업법 시행령 제30조의3(불법음란정보의 유통 방지를 위한 기술적 조치 등) ① 법 제22조의3제1항제2호에서 "대통령령으로 정하는 기술적 조치"란 다음 각 호의 모두에 해당하는 조치를 말한다. 
1. 법 제22조제2항에 따라 특수한 유형의 부가통신사업을 등록한 자 중 법 제2조제13호가목에 해당하는 역무를 제공하는 자(이하 이 조에서 "사업자"라 한다)가 정보의 제목, 특징 등을 비교하여 해당 정보가 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제44조의7제1항제1호에 따른 불법정보(이하 "불법음란정보"라 한다)임을 인식할 수 있는 조치
2. 사업자가 제1호에 따라 인식한 불법음란정보의 유통을 방지하기 위하여 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
3. 사업자가 제1호의 조치에도 불구하고 불법음란정보를 인식하지 못하여 해당 정보가 유통되는 것을 발견하는 경우 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
4. 사업자가 불법음란정보 전송자에게 불법음란정보의 유통 금지 등에 관한 경고문구를 발송하는 조치

2020년 5월 13일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

글 | 황성기 (한양대 법학전문대학원 교수, 오픈넷 이사장)

신종 코로나바이러스감염증(코로나19)에 대한 우리나라의 방역 및 대응은 현재 전세계적으로 모범적인 모델로 각광받고 있다. 우리나라의 코로나 대응전략은 투명성, 개방성, 민주성 등으로 요약될 수 있는데, 이러한 전략의 수행과정에서 개인정보의 활용은 필수적이다. 코로나19가 완전히 종식된 후에 우리나라의 감염병 예방에 관한 전반적인 시스템을 반성적으로 회고하고 성찰하는 시기가 올 것이다. 비록 현재까지는 세계적인 모범으로 각광받고 있지만, 100점 만점짜리 전략이나 시스템은 존재하기 어렵기 때문이다. 향후 시스템의 점검 및 개선에 있어서는 감염병 예방을 포함한 공중보건시스템과 개인정보를 포함한 프라이버시 보호의 문제를 균형있게 조화시킬 수 있는 방안을 모색할 필요가 있다. 이러한 차원에서 감염자의 과거 위치정보를 국가기관이 제공하는 확진자 동선(이동경로) 공개 정책과 자가격리자의 격리장소로부터의 이탈 방지 및 감시를 위한 손목밴드 착용 강제 정책의 문제를 한 번 고민해 볼 필요가 있다.

먼저 확진자 동선 공개 정책은 ‘감염병의 예방 및 관리에 관한 법률’에 근거해서 이루어지고 있다. 보건복지부장관은 감염병 확산으로 인해 주의 이상의 위기경보가 발령되면 감염병 환자의 이동경로, 이동수단, 진료의료기관 및 접촉자 현황 등 국민들이 감염병 예방을 위하여 알아야 하는 정보를 신속히 공개해야 한다. 여기서 공개되는 정보에는 개인정보가 포함되기 마련이다. 왜냐하면 개인정보는 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 의미하고, 성별, 연령, 이동경로, 이동수단, 진료의료기관 등은 서로 결합되어 개인을 식별할 수 있게 하기 때문이다. 문제는 공개되는 개인정보의 범위이다. 예컨대, 확진자가 다녀간 장소와 날짜 및 시간대만 공개하면 되지 성별, 연령 등 개인을 구체적으로 식별할 수 있게 하는 개인정보는 공개할 필요가 없지 않은가의 의문이 제기된다. 독일에서 우리나라의 확진자 동선 공개 정책과 비슷한 제도의 입법을 논의하다가 프라이버시 침해를 이유로 중단하고, 감염자의 휴대폰에 근접한 휴대폰에 자동으로 경고신호를 보내주는 방식을 논의하고 있는 것으로 알려졌는데 프라이버시 침해 문제에 대한 나름대로의 고민이 엿보인다.

다음으로 자가격리자의 격리장소로부터의 이탈 방지 및 감시를 위한 손목밴드 착용 강제 정책이다. 손목밴드 착용 강제 정책도 피부착자의 위치와 이동경로 등 위치정보를 실시간으로 파악하여 피부착자를 24시간 감시할 수 있도록 해 개인정보 침해 문제를 갖고 있다. 문제는 현재 법적인 근거도 존재하지 않는다는 점이다. 따라서 현재로서는 손목밴드 착용 강제는 불가능하다. 문제는 법률을 개정해서 도입하는 경우에도, 그 정당성에 대한 문제제기는 여전히 남는다는 점이다. 왜냐하면 자가격리 처분에 따르지 아니한 자에 대해서는 이미 ‘감염병의 예방 및 관리에 관한 법률’에 의해 300만원 이하의 벌금에 처해질 수 있기 때문에(처벌 수준이 너무 낮은 것이 아니냐의 문제는 별론으로 하더라도), 이에 더해서 손목밴드 착용 강제까지 추가하는 것은 프라이버시에 대한 과도한 침해라는 문제제기가 가능하기 때문이다. 실제로 손목밴드 착용 강제 정책이 제안됐을 때부터, 빅 브라더의 출현을 가능케 할 수 있는 강력한 시민통제장치들의 도입 유혹에 대해 경계하는 목소리도 분명히 존재했다.

결국 확진자 동선 공개 정책과 손목밴드 착용 강제 정책의 문제는 전체주의적 감시체제의 강화, 시민의 자유와 권리 수호 사이의 극단적인 대립 내지 양자택일의 문제는 아니라 하더라도 감염병 예방을 위한 개인정보의 활용 방식 및 범위와 관련해 고민하게 하는 화두를 던지고 있는 셈이다. 보다 심도있는 논의와 사회적 합의가 필요하다고 생각한다.

이 글은 아시아경제에 기고한 글입니다. (2020.05.08.)

방송통신3법 졸속추진 중단하고 21대 국회에서 논의하라

스타트업기업·소비자시민단체, 국회와 과기부·방통위에 방송통신3법 관련 공동의견서 및 여야 원내대표단 면담요청서 전달

면담 답변 없으면 19일 국회 앞 기자회견 진행 후 방문예정

민생경제연구소, 사단법인 오픈넷, 소비자시민모임, 참여연대, 한국소비자연맹 등 통신·소비자·시민사회단체들과 1,300여 개의 스타트업 기업들의 모임인 코리아스타트업포럼은 오늘(5/17) 국회와 과학기술정보통신부, 방송통신위원회에 방송통신 3법(전기통신사업법, 정보통신망법, 방송통신발전기본법)의 졸속추진을 중단하고 21대 국회에서 충분한 논의를 거쳐 처리할 것을 촉구하는 공동의견서를 전달했습니다.

위 단체들은 공동의견서를 통해 지난 7일 국회 과학기술정보방송통신위원회 전체회의에서 통과된 방송통신 3법(전기통신사업법, 정보통신망법, 방송통신발전기본법)은 대기업인 이동통신 3사의 이익에는 크게 부합하고 규제의 정도나 부작용에 대한 검토는 충분하지 않은 반면, 다수의 인터넷·스타트업 기업들과 이동통신 소비자들의 편익은 침해하는 법안들이라고 지적했습니다. 또한 많은 사회적 논쟁이 벌어지고 있는 사안들인 만큼 20대 국회 임기 내에 처리하기 위해 무리하게 추진할 것이 아니라 다가올 21대 국회에서 충분한 공론화와 의견수렴, 논의를 거쳐 추진할 것을 요구하였습니다.

위 단체들은 공동의견서와 더불어 여야 원내대표단에 긴급면담요청서를 전달하였으며, 만약 면담에 대한 답변이 없으면 본회의 하루 전인 19일 국회 앞에서 면담촉구 기자회견을 열고 원내대표실로 방문할 계획임을 밝혔습니다. 

<방송통신3법 졸속추진에 대한 스타트업·소비자시민단체 공동의견서>

지난 7일 국회 과학기술정보방송통신위원회 전체회의에서 통과된 「전기통신사업법 일부개정법률안(위원장 대안)」, 「정보통신망법 일부개정법률안(위원장대안」, 「방송통신발전 기본법 일부개정법률안(위원장 대안)」은 대기업인 이동통신 3사 (SK텔레콤, KT, LG유플러스)의 이익에는 크게 부합하고 규제의 정도나 부작용에 대한 검토는 충분히 이루어지지 않은 반면, 다수의 인터넷·스타트업 기업들과 이동통신 소비자들의 편익은 침해하는 법안들입니다. 또한 해당 법안들은 대기업 이동통신사를 제외한 다수의 인터넷기업과 스타트업 기업, 소비자단체, 시민사회단체들이 각각의 이유를 들어 큰 우려를 표하고 있는 법안들이며, 동시에 많은 사회적 논쟁이 이루어지고 있는 사안들이기도 합니다.

그러나 국회 과방위와 정부는 대다수 국민들에게 적지 않은 영향을 미칠 이 중요한 법안들을 처리함에 있어 충분한 공론화와 의견수렴, 논의절차 없이, 20대 국회 종료 시한에 맞춰 처리하기 위한 ‘졸속 추진’을 강행하고 있습니다. 게다가 해당 법안들에는 전국민적인 공분을 일으킨 ‘N번방 사건’의 재발을 방지하기 위한 내용과 이동통신사들에 대한 규제를 완화하는 내용, 소비자들의 가계통신비 부담을 가중시킬 우려가 높은 내용, 국내 인터넷·스타트업 기업에게 상당히 모호한 의무와 책임을 강제하는 내용이 뒤섞여있습니다. 국회와 정부가 N번방 법안을 앞세워 대형이통사들에 대한 규제는 완화하는 반면, 인터넷사업자들에게는 과도한 의무와 책임을, 소비자들에게는 가계통신비 인상 부담을 지우는 법안을 묶어서 처리하고자 하는 것은 아닌지 매우 의심스러운 상황입니다.

이에 우리 소비자·시민사회단체들과 인터넷·스타트업 기업들은 국회와 정부가 추진 중인 「전기통신사업법 일부개정법률안」, 「정보통신망법 일부개정법률안」, 「방송통신발전 기본법 일부개정법률안」의 졸속 추진을 즉각 중단할 것을 촉구합니다. 또한 곧 임기만료를 앞둔 20대 국회가 위 법안들을 이번 임기 내에 무리하게 처리할 것이 아니라 다가올 21대 국회에서 충분한 공론화와 의견수렴, 논의를 거쳐 추진할 것을 요구합니다.

2020. 5. 17.

사단법인 오픈넷, 참여연대, 코리아스타트업포럼, 
민생경제연구소, 소비자시민모임, 한국소비자연맹

문의: 오픈넷 사무국 02.581-1643, [email protected]

박경신 (고려대 법학전문대학원 교수, 오픈넷 이사)

오랫동안 지켜봐 왔다. 현 정부의 정보통신발전계획을 요약하자면 이렇다:

‘야, 네이버, 카카오!
너희 구글, 페이스북 따라 잡겠냐.
너희들 망해도 어쩔 수 없다.
우리는 망사업자들과 같이 국민들한테 통신요금이나 뜯고 외국업체들 망이용료나 뜯어보겠다.’

그 기조의 최근 발현이 2020년 국회 과학기술정보통신위원회를 통과한 전기통신사업법 개정안이다. 

개정안의 악수

우선, 공공재인 주파수와 도로 위 전봇대나 아래의 관로의 독점적 이용을 불하받아 천문학적 이윤을 올리고 있는 기간통신사업자들에 대한 공적 통제의 마지막 보루인 (1) 요금인가제를 폐지하여 현재 세계 최고 수준의 이동통신비를 그대로 두겠다고 한다.

요즘은 이동통신에서 음성전화보다 중요한 것이 인터넷이며 음성전화도 인터넷전화로 대체되고 있다. 그런데 아래에 다시 말하겠지만, 우리나라는 세계 최고 수준의 인터넷 가격을 유지하고 있어 이동통신가격이 떨어지기가 어렵다. 또 시장경쟁상황이 HHI지수 기준 인구 2천만 이상의 선진국에서 최고 수준인 우리나라에서는 기간통신사업자들에 대한 공적 통제를 느슨하게 해서는 안 된다.

(2) 또 불법정보유통 예방을 위한 “기술적 조치” 의무를 망사업자들은 쏙 빼놓고 부가통신사업자 즉 인터넷을 통해 콘텐츠와 플랫폼을 제공하는 업체들에게만 부과하고 있다. 이는 이용자들에 대한 사적 검열과 사적 감시를 부추길 것이며 외국플랫폼으로의 망명을 부추길 것이다.

정부는 ‘일반적으로 공개된 정보’에만 적용하여 업체들에 대한 이용자 감시 문제는 없을 것이라고 말한다. 하지만 그렇다면 n번방 재발 방지라는 입법 의도가 실효되는 것이다. 또 일반적으로 공개된 정보에만 적용된다고 할지라도 이를 유지해왔던 정보매개자 책임 제한 원리, 즉 자신이 몰랐던 불법정보에 대해서는 책임을 지지 않는다는 원리를 훼손하여 사업자가 이용자의 포스팅을 사전검열하거나 전면적으로 감시하도록 해 인터넷의 생명을 유지해왔던 ‘허락받지 않고 말할 자유’를 훼손한다(참고: 인터넷 검열 부추기는 정보매개자책임제도).

(3) 게다가 한낱 서버들의 묶음인 데이터센터들에게 기간통신사업자들에게나 적용되던 재난관리계획 제출의무를 지워 인터넷업체들을 허가제로 만들고 있다. 부가통신사업자는 ‘타인의 통신을 매개하는 모든 사업자’로 정의된다. 영리를 목적으로 하든 안하든 홈페이지 만들어놓고 댓글창이라도 달아두면 신고를 했든 안했든 부가통신사업자다. 학교도 도서관도 심지어는 오픈넷도 부가통신사업자인데 웹 서버를 자가로 하면 그게 결국 데이터센터인데 여기에 재난관리계획 제출의무를 부과하는 것은 인터넷의 자유를 파괴한다.

인권과 경제 다 놓치는 악수 시리즈의 결정판은 (4) 부가통신사업자에게 ‘서비스의 안정적 제공’ 의무를 부과하는 조항이다. 미사여구가 동원되었지만 결국 인터넷접속 속도나 질에 대한 책임과 비용을 인터넷업체들에게 지우겠다는 취지로 읽힐 수 있어 세계적으로 유례가 없는 법이며 인터넷의 사회적 역할, 경제적 역할 모두 모두 포기한 법이라고 볼 수 있다. 

접근 가능 책임, ‘콘텐츠 제공자’에 분산 

망사업자들은 이미 인터넷접속료를 고객들로부터 받는다. 여기서 ‘인터넷 접속’이라는 상품은 전 세계 단말들에의 ‘접근가능성’(full connectivity)을 의미한다. 네이버, 카카오, 넷플릭스, 유튜브 등 어떤 서버이든 망사업자는 자신의 고객들이 이 서버들의 데이터를 원활하게 받을 수 있도록 할 책임이 있다. 자신의 망 입구까지 전달만 된다면 말이다.

고객들에게 각자 초당 1GB의 접속용량(속도)를 판매했다면 그 속도로 전 세계 어느 서버들의 콘텐츠이든 받아볼 수 있어야 한다. 이론적으로는 1동네의 10가구에 그렇게 판매했다면, 그 동네 입구에는 초당 10GB 용량의 선이 들어가 있어야 한다. 그런 고객이 1천만 명이라면 자신보다 상위의 해외 망사업자와는 초당 1GB×1천만 명의 해외접속용량을 확보하고 있어야 한다.

물론 모두가 동시에 인터넷을 이용하는 것은 아니며 모두가 동시에 해외 콘텐츠를 보는 것은 아니니 합리적인 범위 내의 오버부킹(Overbooking; 실제 확보한 용량보다 더 많은 용량을 판매하는 것)은 가능하다. 그러나 예측이 어긋나서 혼잡이 발생한다면 자신의 고객에게 ‘접근 가능성’(full connectivity)를 약속하고 돈을 받은 망사업자‘가’ 약속한 속도가 나오도록 상류접속용량을 확보할 책임이 있다.

그런데 이번 개정안은 이 책임을 콘텐츠 제공자에 분산시킴으로써 망사업자들의 책임을 희석시킨다. 이렇게 되면 어떻게 될까? 네이버스포츠나 카카오TV 영상 중에 킬러콘텐츠가 있어 수많은 사람들이 이를 보면서 콘텐츠 제공 경로에 혼잡이 발생했다고 하자.

혼잡을 풀기 위해 망사업자가 접속용량을 확보하는 비용이 발생할 수 있는데 개정법 조항을 들어 망사업자가 네이버나 카카오에 그 비용을 청구할 수 있게 된다. 하지만 네이버나 카카오는 그들대로 인터넷접속료를 망사업자들에 냈고, 이들 역시 국내망사업자 고객들의 단말들을 포함한 전 세계 단말들에의 접근가능성을 약속받았다. 개정법은 네이버나 카카오에 자신의 콘텐츠를 온라인으로 송출할 때 필요한 접속용량에 대한 접속료 한 번 그리고 그 콘텐츠가 망사업자의 고객 단말기에 전달될 때 필요한 접속용량에 대한 접속료 한 번 이렇게 두 번 돈을 내라는 것이 된다.

결국, 국내 콘텐츠업체 죽이는 법 

법 추진 세력들은 국내 사업자에게 적용하려는 것이 아니라 해외 콘텐츠업체들에게 적용하려는 것이라고 말한다. 법이라는 게 그렇게 마음대로 적용 범위를 제한할 수도 없거니와 이미 구글, 페이스북 등은 우리나라 법상 부가통신사업자 신고 자체가 되어 있지 않다. 행정법의 집행력은 공공기관이 신고를 취소하는 등의 징계를 할 권한에서 나오는 것이니 해외 업체들에 대해서는 법 집행 자체가 불가능하다. 결국, 국내 콘텐츠 사업자들만 죽이는 법이 될 것이다.

게다가 우리 정부가 망사업자 보호를 위해 특별히 2016년부터 시행해온 역시 세계 유일의 발신자 종량제 덕에 네이버(734억 원+), 카카오(300억 원+), 아프리카TV (150억 원+) 등이 국내 망사업자에게 내고 있는 인터넷 접속료는 세계 최고 수준이다(참고: 망중립성 관점에서 ‘망 이용료’ 논쟁 이해하기).

서울의 초당1MB 접속 가격이 파리의 8배 뉴욕의 5배다. 국가가 망사업자들이 서로 인터넷의 구동원리와 정면으로 배치되는 데이터 발송 비용을 받도록 강요하고 있어 망사업자들이 서로 인기있는 콘텐츠 유치를 꺼리게 되었고 심지어는 일부 콘텐츠업자들은 아예 발신자 종량제로 접속료를 내고 있기 때문이다. 이 상황에서 세계 유일의 망 혼잡 해소 비용까지 콘텐츠업체에게 더 내놓으라니.

인터넷과 노벨평화상

결국 발신자 종량제는 인권도 죽인다. 인터넷이 노벨평화상 후보(2010년)에 오를 만큼 인권 보호에 있어서 중요한 역할을 인정받는 이유는 바로 데이터 발송 비용이 없기 때문이다. 인터넷은 전기, 수도 같은 종량제가 아니다. 거울에 빛이 반사되어도 아무런 비용이 발생하지 않듯이 텔레비전을 아무리 오래 보아도 수신료나 케이블월정액에 변함이 없듯이 인터넷도 똑같은 전자기파 신호라서 데이터량에 따른 비용 발생이 없다.

더욱이 인터넷은 지상파, 전화, 케이블TV와 달리 하나의 업체가 데이터 경로 전체를 책임지고 제공하는 것이 아니라 각자 이웃의 데이터를 ‘옆으로 한칸씩’만 전달해주겠다는 상부상조의 약속으로 데이터 전달이 이루어져 데이터 전달 비용이라는 것을 서로 받지 말자고 만든 통신시스템이다.

카카오TV에 정부 비리를 고발하는 영상을 올려 수많은 사람들이 이 영상을 봐서 카카오TV 서버의 데이터가 많이 전달되더라도 고발자가 데이터 전달 비용을 걱정하지 말도록 하자고 만든 시스템, 즉 표현의 경제적 비용은 없애자는 것인데 우리 정부는 이걸 깡그리 무시하고 있다.

여기에 더해 법이 통과되면 영상의 이용자들이 많은 지역의 망사업자가 ‘당신 영상 때문에 망혼잡이 발생하니 해소비용을 내라’고 카카오TV에게 요구할 수 있게 된다. 이렇게 영상 플랫폼에 킬러 콘텐츠가 올라오는 것이 두려운 업체들은 유료로 전환할 수밖에 없고, 이용자들은 유튜브로 페이스북으로 망명할 수밖에 없다.

경제, 인권 다 포기하고 망사업자들과 잘 살아보세.

이 글은 슬로우뉴스에 기고한 글입니다. (2020.05.19.)

2020년 5월 30일 제21대 국회가 출범했다. 제21대 국회가 최우선적으로 추진해야 할 과제 중 하나는 제20대 국회 막바지에 인권 침해 우려가 제기되었음에도 성급하게 이루어진 소위 “n번방 방지법”의 일부 내용에 대한 개정일 것이다. 사단법인 오픈넷은 제21대 국회에 죄형법정주의와 포괄위임금지원칙에 위반되는 전기통신사업법 제22조의5 제2항의 신속한 개정을 촉구한다. 

개정 전기통신사업법 제22조의5 제2항은 “전기통신역무의 종류, 사업 규모 등을 고려하여 대통령령으로 정하는 부가통신사업자”가 불법촬영물, 딥페이크 영상, 아동·청소년이용성착취물(이하 “불법촬영물”)의 유통을 방지하기 위해 “대통령령으로 정하는 기술적·관리적 조치”를 할 의무를 지우고, 이러한 조치를 하지 않는 사업자는 3년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 하고 있다.^[1] 그런데 n번방과 같은 범죄의 재발을 방지하고 피해자를 보호하기 위해 부가통신사업자에게 불법촬영물의 유통을 방지할 의무를 지우고자 하는 입법취지는 타당하나, 현재의 문언은 헌법상 원칙인 죄형법정주의와 포괄위임금지원칙에 명백히 위배된다. 

“법률이 없으면 범죄도 없고 형벌도 없다”라는 말로 표현되는 죄형법정주의는 이미 제정된 정의로운 법률에 의하지 아니하고는 처벌되지 아니한다는 원칙으로서 이는 무엇이 처벌될 행위인가를 국민이 예측가능한 형식으로 정해야 한다는 법치국가 형법의 기본원칙이다. 한편 헌법 제75조는 대통령령에 의한 위임 입법을 허용하고 있지만, 위임을 하는 경우에도 법률에 이미 대통령령으로 규정될 내용 및 범위의 기본사항이 구체적으로 규정되어 있어서 누구라도 당해 법률로부터 대통령령에 규정될 내용의 대강을 예측할 수 있어야 하며, 특히 처벌법규를 위임할 때는 처벌대상인 행위가 어떠한 것일 것이라고 이를 예측할 수 있을 정도로 구체적으로 정하고 형벌의 종류 및 그 상한과 폭을 명백히 규정하여야 한다 

그런데 전기통신사업법 제22조의5 제2항은 “종류, 사업 규모 등을 고려하여 대통령령으로 정하는 부가통신사업자”가 “대통령령으로 정하는 기술적·관리적 조치”를 취하지 않을 경우 그 사업자를 처벌해야 한다고 하는데, 어떤 부가통신사업자가 어떤 조치를 취해야 하는지 문언만 봐서는 전혀 예측을 할 수 없다. 즉 처벌 규정의 수범자와 처벌 대상인 행위의 내용을 전혀 알 수 없는 것이다. 대통령령을 만들게 될 방송통신위원회가 아무리 비공개 대화방은 포함되지 않으며, 신고 기능 수준의 기술적 조치만을 요구할 것이라고 단언한다 해서 문언의 위헌성이 치유되는 것이 아니다. 

또한 오픈넷이 지적해온 바와 같이 현재의 기술로 가능한 기술적 조치는 키워드 필터링과 해시값/DNA 필터링 두 가지가 있다. 키워드 필터링은 정보의 제목이나 파일명 등이 특정 키워드를 포함하는지를 비교하여 필터링하는 기술이고, 해시값/DNA 필터링은 동영상의 해시값이나 DNA 등 특징을 분석하여 만들어진 데이터베이스에 기반한 필터링 기술이다. 어떤 방식의 필터링을 적용하든지 간에 사업자가 불법촬영물을 발견하기 위해서는 이용자가 공유하는 정보를 다 들여다봐야 한다. 그런데 만약 대통령령이 정하는 부가통신사업자에 텔레그램이나 카카오톡 등 비공개 대화방 서비스를 제공하는 사업자가 포함되어 이러한 사업자가 대화 내용을 들여다봐야 한다면 이는 헌법 제18조가 보호하는 통신비밀의 침해이자 공개되지 않은 타인간의 대화의 녹음 또는 청취를 금지하는 통신비밀보호법 위반이다. 그리고 비공개 대화방이 아닌 일반에 공개된 게시판이라도 정보매개자인 플랫폼에 이용자가 올리는 모든 콘텐츠를 일일히 확인하도록 하는 소위 “일반적인 모니터링(general monitoring)” 의무를 부과하는 것은 사적 검열을 강화해 이용자의 표현의 자유를 침해할 수 있기 때문에 정보매개자 책임에 대한 국제적 인권 기준^[2]에 어긋난다.

더욱이 유통방지 의무가 부과되는 “불법촬영물”이란 성폭력처벌법에 의하면 “성적 욕망 또는 수치심을 유발할 수 있는 사람의 신체를 촬영대상자의 의사에 반하여 촬영”한 촬영물과 촬영 당시에는 촬영대상자(피해자)의 의사에 반하지 않더라도 이후 피해자의 의사에 반하여 배포된 촬영물을 말한다. 문제는 촬영한 부위가 “성적 욕망 또는 수치심을 유발할 수 있는 사람의 신체”인지에 대한 판단이 쉽지 않으며, 성폭력처벌법상 성범죄는 친고죄나 반의사불벌죄가 아니므로 피해자가 없어도 처벌이 가능한데, 만약 피해자가 특정이 되지 않거나 찾을 수 없는 경우에는 촬영 당시 또는 배포 당시에 피해자의 의사에 반했는지를 확인할 길이 없다. 결국 사업자의 입장에서는 형사처벌을 면하기 위해서 조금이라도 성적인 이미지나 영상은 다 차단·삭제해야 할 것이고 결국 과도한 검열이 이루어질 수밖에 없을 것이다.

불법촬영물의 유통을 방지하고자 하는 “n번방 방지법”의 입법 취지와 그 필요성에는 공감한다. 그러나 전기통신사업법 제22조의5 제2항의 문언으로는 유통방지 의무를 지는 부가통신사업자의 범위와 범죄의 구성요건을 전혀 예측할 수 없어 명백한 죄형법정주의 위반이다. 행정부인 방송통신위원장의 구두 해명은 법률의 위헌성에 아무런 영향을 미칠 수 없다. 이는 입법부가 해결해야 할 문제이다. 제21대 국회가 하루라도 빨리 개정 논의를 시작할 것을 촉구한다.

[1] 제22조의5(부가통신사업자의 불법촬영물 등 유통방지) ① 제22조제1항에 따라 부가통신사업을 신고한 자(제22조제4항 각 호의 어느 하나에 해당하는 자를 포함한다) 및 특수유형부가통신사업자 중 제2조제14호가목에 해당하는 자(이하 “조치의무사업자”라 한다)는 자신이 운영ㆍ관리하는 정보통신망을 통하여 일반에게 공개되어 유통되는 정보 중 다음 각 호의 정보(이하 “불법촬영물등”이라 한다)가 유통되는 사정을 신고, 삭제요청 또는 대통령령으로 정하는 기관ㆍ단체의 요청 등을 통하여 인식한 경우에는 지체 없이 해당 정보의 삭제ㆍ접속차단 등 유통방지에 필요한 조치를 취하여야 한다.
1. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조에 따른 촬영물 또는 복제물(복제물의 복제물을 포함한다)
2. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조의2에 따른 편집물ㆍ합성물ㆍ가공물 또는 복제물(복제물의 복제물을 포함한다)
3. 「아동ㆍ청소년의 성보호에 관한 법률」 제2조제5호에 따른 아동ㆍ청소년성착취물
② 전기통신역무의 종류, 사업규모 등을 고려하여 대통령령으로 정하는 조치의무사업자는 불법촬영물등의 유통을 방지하기 위하여 대통령령으로 정하는 기술적ㆍ관리적 조치를 하여야 한다.

[2] JOINT DECLARATION ON FREEDOM OF EXPRESSION AND THE INTERNET by The United Nations (UN) Special Rapporteur on Freedom of Opinion and Expression, the Organization for Security and Co-operation in Europe (OSCE) Representative on Freedom of the Media, the Organization of American States (OAS) Special Rapporteur on Freedom of Expression and the African Commission on Human and Peoples’ Rights (ACHPR) Special Rapporteur on Freedom of Expression and Access to Information, June 1, 2011; EU Electronic Commerce Directive 2000/31/EC, Article 15(1)

2020년 6월 11일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[기자회견] 오픈넷, 전기통신사업법 각종 쟁점 해설 기자설명회 개최 (2020.05.18.)
[공동논평] 스타트업·소비자시민단체, 국회·정부에 방송통신3법 관련 공동의견서 제출 (2020.05.17.)
[논평] 국민의 기본권 침해 우려 있는 전기통신사업법 개정안 입법을 중단하라 (2020.05.13.)
[논평] n번방 재발방지, 처벌과 함께 인식변화 병행되어야 (2020.04.16.)
[논평] 디지털 성범죄의 강력한 처벌을 위해서는 음란물과 디지털 성범죄물의 명확한 구분과 함께 디지털 성범죄물 양형기준 신설 필요 (2020.04.06.) 

아시아 태평양 지역 40여 국의 법조인과 법조 관련 단체로 구성된 로아시아(LAWASIA)는 2020년 6월 2일부터 3주간 매주 화요일에 ‘로아시아 인권 웨비나 시리즈’를 개최했습니다. 김가연 변호사는 제2부 “코로나19 기간 중 정부 책임 : 시민의 알권리(Government Accountability during COVID-19: The Citizens’ Right to Know)”에 발제자로 참여해 한국의 상황에 대해 이야기했습니다.

로아시아 인권 웨비나 페이지 바로 가기

Korea discovered its first COVID-19 case on January 20th. The Korean Centres for Disease Control and Prevention immediately organized a meeting with bio-medicine companies to ask them to develop test kits. The test kits became available in three weeks. Then from February 20th, the number of cases began to explode in and around the City of Daegu to nearly 9,000 cases in less than a month, making Korea one of the most dangerous countries in the world. The size and speed of the outbreak seemed to be uncontrollable. The government, however, continued to 1) rigorously trace the prospective cases, 2) test for free, and 3) treat for free, everyone regardless of nationality. The government has also implemented robust measures to coordinate closely with all cities in the curbing of the spread of the virus, including the installation of the famous drive-through and walk-through testing centers.

One of the principles for the Korean government to respond to COVID19 is full transparency. So, the Korean government disclosed not only travel routes of infected persons but also information on spreading patterns of the disease and response to it from the beginning of the disease. Our Foreign Minister Kang, Kyung-wha mentioned that the basic principles are openness, transparency and fully keeping the public informed. Korea has a very good health care system to begin with and the system is highly wired. Fully utilizing that, our government has dealt with the outbreak from the very beginning with full transparency and that’s how the government gained public trust and support. 

However, such full transparency principle had side effects, especially regarding the disclosure of the travel routes of infected persons. As each local government has already disclosed when and whereabouts of infected persons with other personal information such as gender and age, individuals are being harmed. It caused groundless accusations, speculations, ridicule, and hate speech against the patients. People even say that they are more scared of being stigmatized by the disclosure than getting infected. 

For example, a typical emergency alert says, “A 43-year-old man, resident of Nowon district, tested positive for coronavirus,” “He was at his work in Mapo district attending a sexual harassment class. He contracted the virus from the instructor of the class.” A series of alerts then follow such as where the men had been, including a bar in the area until 11:03 at night. These alerts arrive all day, every day, telling you where an infected person has been and when. You can also look up the information on the Ministry of Health and Welfare website or local governments’ websites. This disclosure measure is carried out according to the Infectious Disease Control and Prevention Act and the Personal Information Protection Act (PIPA).

On March 9, the National Human Rights Commission of Korea (NHRCK) said that “it is hard to deny the need to disclose a certain amount of information including location and time of the visit by the infected person to prevent the spread of infectious disease, but disclosing more personal data than necessary are resulting in human rights violations.”

Accordingly, the Korea Centers for Disease Control and Prevention released the disclosure guidelines on March 14. According to the guidelines, the location and means of travel should be disclosed only when there is a contact of non-patient with a patient, and personal data such as the address or company name, shouldn’t be disclosed. However, the guidelines still allow the disclosure of travel routes of patients. And other personal data of patients, such as gender, last name, age, occupation, nationality, and religion, are still being disclosed. 

Although It’s necessary to disclose some information for the citizens’ right to know’s sake, we need to be careful not to violate the human rights of patients. For example, information about whether the patient entered Korea after visiting a specific country would be more important than the patient’s nationality. Likewise, more relevant is whether a person had a meal together with a patient is more important than whether the person is the patient’s spouse, daughter, son-in-law, or sister-in-law. Therefore, Korean civil society is requesting the government and the press to minimize the disclosure of unnecessary personal information that could be used to identify and stigmatize individuals.

사단법인 오픈넷은 지난 6월 3일 행정예고된 「가명정보의 결합 및 반출 등에 관한 고시(안)」에 대한 의견서를 제출했다. 오픈넷은 지난 4월 논평을 통해 「개인정보 보호법 시행령」에 대하여 다음과 같이 지적한 바 있다. 1. 가명화를 전제로 하여 이루어지는 “과학적 연구”의 연구결과물이 사회 전반에 공유되도록 의무화되어야 하며, 2. 각종 기업들이 연구 등의 목표와 무관하게 가명정보를 이용할 위험에 대비하기 위해서는 현재 법률상 가명화만으로도 정보주체들의 견제 권리(열람권, 정정권, 삭제권, 처리거부권 등)가 제한되도록 한 부분을 보완해야 하며, 3. 프라이버시 침해 위험성을 낮추기 위해 가명정보 결합 절차에 있어서 재식별키와 연구대상 데이터를 하나의 기관이 보유하지 못하도록 해야 한다. 

그러나 이번 고시(안)을 검토한 결과, 재식별키와 연구대상 데이터를 별도의 기관이 보유하도록 한 부분은 반가운 일이나 이와 같은 하위법령의 변경만으로 GDPR의 ‘가명화를 통한 추가이용’ 기준을 실현하려 한 입법취지가 제대로 실현되기 위해서는 갈 길이 멀어 보인다. 고시(안)은 결합전문기관의 ‘과학적 연구’ 여부 판단능력 제고와 관련된 규정 미비, 재식별키 보관기관의 합법성 문제, 가명정보의 결합 및 반출 실적 보고서 공적 통제를 위한 공시 의무화 필요, 가명정보의 결합신청 사후 사전 통제 절차 미비, 반출승인 기준 미비 등 프라이버시를 보호하기 위한 절차가 명확하게 마련되어 있지 못하다. 오픈넷은 한 번 더 아래와 같이 고시(안)의 개선방안에 대하여 의견을 제시한다. 

문의: 오픈넷 박경신 이사 [email protected], 오픈넷 사무국 02-581-1643

「가명정보의 결합 및 반출 등에 관한 고시(안) 」에 대한 의견 

○ 취지 

• 이 고시는 「개인정보 보호법」(이하 “법”이라 한다) 제28조의3과 「개인정보 보호법 시행령」 ( 이하 “영”이라 한다) 제29조의2부터 제29조의4에 따라 결합전문기관 지정 및 가명정보의 결합·반출 등에 관한 기준‧절차 등을 정하는 것을 목적으로 하고 있음. 
• 이에 고시(안) 각 조문을 살펴보고 다음과 같이 검토 의견을 밝힘.

○ 검토 의견 

1. 결합전문기관의 ‘과학적 연구’ 판단능력 제고 규정 미비 

고시(안) 제5조(결합전문기관의 지정 절차) ③ 보호위원회등은 결합전문기관 지정 신청을 받은 경우 지정 기준의 적합 여부를 결합전문기관 지정심사위원회(이하 “지정심사위원회”라 한다)를 구성하여 심사하여야 한다. 이 경우 지정심사위원회는 개인정보 보호 또는 데이터 활용에 관한 학식과 경험이 풍부한 5명의 위원으로 구성한다. 

1) 결합전문기관 지정 기준에 결합 목적, 용도, 결과 및 발표시점 등 공적통제를 위한 기준, 절차 미비 

• 개정법은 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합에 대해 공적 통제의 방식을 선택하였음. 그렇다면 공적 통제의 주체가 될 결합전문기관은 결합이 합법적인지 심사할 필요가 있으며 특히 ‘과학적 연구’가 과학이라는 학술적 관행과 내용을 갖추고 있는지, ‘공익적 기록보존’이 충분히 공익적인지를 심사해야 하며 이를 위해서는 (1) 연구결과 및 기록결과물의 향후 활용 계획 및 (2) 연구결과 및 결과기록의 발표시점 등을 <결합신청서>에 적도록 하여 심사에 반영해야 할 것임. 

• <결합전문기관 지정 기준>에 결합전문기관이 학술적 관행에 따라 연구가 진행되고 연구결과가 공개될지에 대해 심사한다는 내용과 그런 심사를 할 수 있는 인력을 갖춘다는 기준이 명확하게 제시될 필요가 있음.

2. 가명정보의 결합 및 반출 실적 보고서 공적 통제를 위한 공시 의무화 필요 

고시(안) 제6조(결합전문기관의 관리･감독) ① 결합전문기관은 매년 1월 31일까지 다음 각 호의 서류를 작성하여 보호위원회등에게 제출하여야 한다. 
1. 가명정보의 결합 및 반출 실적 보고서 

• 역시 개정법은 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합에 대해 공적 통제의 방식을 선택한 이상 언제 가명화가 이루어져있는지 공시할 필요가 있음. 이렇게 하지 않으면 정보주체는 가명화된 자신의 가명정보가 어떤 목적으로 어떻게 결합되어 활용되는지 알 수 있는 방법이 전무함. 적어도 결합전문기관의 홈페이지 등에 결합과 관련한 최소한의 정보를 공개하여 해당 목적에 맞게 가명정보 결합이 이루어지고 있는지 등에 대해 정보주체들에 의한 감시가 이루어질 수 있게 해야 함. 예를 들어, ‘삼성생명의 고객정보를 SK텔레콤의 고객정보와 결합했다’라는 공지를 하여 각 고객이 원하면 자신의 정보가 결합되었는지 어떤 목적으로 이용되었는지 알 수 있도록 할 필요가 있음.

3. 충분한 가명화에 대한 심사절차 부재 

고시(안) 제8조(가명정보의 결합 신청 등) ① 결합신청자는 [별지 제3호서식]의 결합 신청서와 첨부 서류를 결합전문기관에 제출하여야 한다. 
② 결합전문기관은 제1항에 따른 신청서 및 첨부서류를 확인하고 보완이 필요한 경우 결합신청자에게 보완을 요구하여야 한다. 
③ 결합전문기관은 가명정보의 결합 일정 및 절차 등 결합에 필요한 사항을 결합신청자와 협의하여야 한다. 
④ 결합키관리기관은 결합키 생성에 필요한 사항을 결합신청자와 협의할 수 있다. 

1) 결합 전 가명화가 제대로 이루어졌는지 심사 절차 필요 

• 결합전문기관이 자신이 제공받은 속성정보를 결합하기 전에 가명화가 제대로 되었는지 확인하는 절차가 없음. 물론 개인정보처리자가 스스로 가명정보를 과학적 연구 목적으로 이용하기 전에 가명화를 명확하게 철저하게 해야 하고 그렇지 않은 경우 위반이 발생하므로 스스로 조심할 동기는 있음. 

• 그러나 가명화하여 과학적 연구 목적으로 이용하는 것 전반에 대해서는 공적 통제가 없지만 결합행위에 대해서만큼은 공적 통제가 있는 이상 결합전문기관이 스스로 결합행위를 통해 개인정보를 침해하지 않도록 사전에 가명화가 제대로 이루어졌는지 심사를 할 필요가 있음. 가명화가 제대로 되어 있지 않은 정보를 결합하는 것은 개인정보를 동의 없이 처리하는 것이고 결합전문기관 스스로도 개인정보 보호법을 위반할 수 있음.

• 특히 결합을 통해 재식별위험은 더 높아질 수 있음. 예를 들어 k익명성이 각 3인 정보를 받아서 결합할 경우 k익명성이 2로 줄어들 수 있으므로 그 위험은 더욱 높기 때문에 결합전문기관은 스스로 익명화 정도를 확인할 필요가 있음. 

2) 개인정보처리자, 결합키관리기관, 결합전문기관이 상호 동일하거나 상호소유관계에 있어서는 안 된다는 별도 규정이 필요함 

• ‘개인정보처리’는 여러 가지 행위가 포함되며 서로 다른 개인정보를 결합하여 해당 개인에 대해 더 많은 속성을 알게 하는 행위도 포함됨. 

• 이 ‘결합’ 행위를 2020년 2월 4일 공표된 개정 「개인정보 보호법」은 국가가 정한 전문기관만이 할 수 있도록 하여 공적 통제 하에 두기로 한 것임. 그렇다면 민간에게 공적 통제를 위탁할 때 요구되는 각종 규제가 모두 적용되어야 할 필요가 있음. 예를 들어, 개인정보처리자, 결합키관리기관, 결합전문기관이 상호동일하거나 상호소유관계에 있어서는 안 된다는 별도 규정이 필요함. 

• 개인정보처리자들이 공동출자하여 만든 회사가 결합전문기관지정을 받을 수는 없음. 특히 본인확인기관 지정을 받은 회사들은 엄청나게 많은 정보들을 연계할 수 있기 때문에 결합전문기관 지정에서 배제되어야 할 필요가 있음. 

• 결합키관리기관에게 연계키 생성을 위한 개인식별정보제공이 개인정보 보호법 위반 논란이 제기될 수 있으므로 개인정보 보호법에서 결합키관리기관에 대해 명확한 법적 근거를 마련할 필요가 있음. 이는 결합전문기관은 법률에 정해져 있고 또 원칙적으로 가명화된 속성정보만을 다루므로 개인정보 보호법 위반 상황이 발생하지 않는 것과 비교됨.

4. 반출승인 기준 미비 

고시(안) 제11조(반출승인) ③ 반출심사위원회는 다음 각 호의 사항을 고려하여 반출 심사를 하여야 한다. 
1. 결합 목적과 반출 정보와의 관련성이 있을 것 
2. 반출 정보만으로는 특정 개인을 알아볼 수 없을 것 
3. 반출 정보를 제공받는 자가 특정 개인을 알아보기 위하여 사용할 수 있는 정보가 포함되어 있지 않을 것 
4. 반출 정보에 대해 적절한 안전조치 계획을 수립하였을 것

• 결합정보의 반출은 지극히 예외적 상황에서만 엄격한 기준에 따라 허용되어야 할 것임. 이번 고시(안)은 ‘관련성’이라는 포괄적 기준, ‘특정개인을 알아볼 수 없을 것’이라고만 함으로써 반출을 원하는 기업이 이미 가지고 있는 개인정보와 결합해서 식별가능한 정보로 환원될 가능성이 있는 정보인지 그 자체만으로는 불분명하고 또한 이 같은 기준마저도 고려할 사항으로 제시할 뿐 의무 규정도 아님.

[관련 글]
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.06.)

세계 최대 아동성학대와 성착취물 사이트를 운영한 웰컴투비디오(W2V) 운영자인 손정우에 대한 미국 법원의 범인인도요청에 대한민국 법원이 결국 불허 결정을 내렸다. 아동과 여성을 성적으로 학대하고 이를 이용해 금전적인 수익을 노린 이들의 성적 착취 행각에 강도 높은 처벌이 이루어질 수 있도록 아동성학대물과 성표현물을 구분하는 양형기준을 세울 것을 요구해왔던 사단법인 오픈넷은 대한민국 법원의 이와 같은 결정에 깊은 유감을 표명한다. 나아가 한국 사회의 관대한 성범죄 처벌 문화가 하루빨리 해결될 것을 강력히 바라는 바이다. 

30여 개에 달하는 국가가 공조하여 손정우를 잡아들였다는 사실은 이 사이트에서 유통된 성범죄물의 규모를 어림짐작하게 한다. 그럼에도 불구하고 손정우에 대한 18개월의 실형이라는 기존의 국내법상 처벌은 지나치게 관대했다. “미국이나 영국 국적의 피의자들이 받은 형량을 비교해보면, 음란물 유포, 성폭행 혐의 등으로 기소된 영국인 카일 폭스(26)는 징역 22년형을 선고받았고, 아동 음란물 수령 및 돈세탁 혐의를 받는 미국인 니콜라스 스텐겔(45)에게는 징역 15년, 종신보호관찰형이 선고됐다. 특히 미국인인 전 국토안보수사국 요원 리처드 니콜라이 그래코프스키(40)는 영상을 1회 다운로드하고 해당 웹사이트에 1차례 접속한 혐의로 징역 70개월, 보호관찰 10년, 그리고 7명의 피해자에 대한 3만 5000달러 배상을 선고”받았는데, 정작 W2V의 운영자보다 훨씬 무겁게 처벌을 받은 것이다. 미국 측의 범죄인 인도요청에 한국 사회가 큰 기대를 걸었던 이유는 범죄에 비해 납득할 수 없이 가벼웠던 처벌을 보완할 수 있는 처벌이 이루어질 수 있을 것이라는 희망 때문이었다. 

그러나 범죄인 인도조약이 그와 같이 이중처벌의 도구가 되어서는 안 된다. 이에 따라 미국 정부는 한국 정부가 손정우에게 적용하지 않은 범죄수익은닉죄로 인도신청을 하였다. 미국 정부가 새로운 죄목으로라도 손정우를 미국으로 불러 처벌하려 한 것은 국제적인 범죄로 미국 국민에게도 영향을 끼친 범죄임을 고려할 때 충분한 공익적인 이유가 있다. 이런 맥락을 염두에 둔다면 재판부의 이번 결정은 더욱 실망스러운 것일 수밖에 없다. 한국이라는 지역성에 매몰되지 않아야 하는 국제적 규모의 사건임에도 불구하고 사이버 범죄의 특수성에 대한 깊은 고려없이 범인의 소재지가 한국이었다는 근거를 들며 미국 송환을 불허하였다. 국내 W2V 회원들에 대한 수사를 근거로 들어 재판부가 내린 이 결정은 그렇기 때문에 명백히 사건의 규모를 축소시켰다. 

재판부는 손정우를 정당하게 처벌할 수 있도록 미국 송환 불허 결정을 내렸다고 했다. 그러나 이와 같은 재판부의 ‘결단’을 우리 사회가 그리 신뢰하는 것 같지는 않다. 판결 이후 쏟아져 나오는 전문가들의 의견은 재판부에 대한 사회의 불신이 허황된 것만은 아님을 뒷받침한다. 법적 전문가들은 미국의 ‘자금세탁방지법’은 암호화폐에 대해서도 엄격하게 혐의를 적용해 처벌이 가능하지만, 국내법에서는 암호화폐의 가장·은닉(자금세탁)에 대한 공소유지가 어려우며, 관련 법규정이 미비한 상태라 검찰이 기소를 못한 것이라 하였고, 범죄수익을 추징하거나 몰수하는 경우는 많지만 자금세탁은 자금의 은닉을 입증하기 굉장히 까다로울 뿐만 아니라 관련 법조항도 상당히 복잡하다고 한다. 또한 범죄수익 은닉의 규제 및 처벌 등에 관한 법률 개정안이 시행된 지난해 4월부터 이달 4일까지 1년 간 성폭력처벌등에관한특례법 제14조를 위반한 범죄에 대한 범죄수익 몰수와 추징보전 사례는 1건이 유일하다. 무엇보다 국내 사법체계에서 범죄수익은닉 혐의에 대한 법정 최고형이 징역 5년, 벌금 3000만원이라 해외 처벌수위보다 상당히 낮다. 결국 세계의 수많은 아동들에게 피해를 입힌 “세계에서 가장 위험한 아동성범죄자”인 손정우는 한국 사법당국의 섣부른 처리로 가벼운 처벌만 받고 끝나버려 그렇게 많은 나라들의 공조로 이룬 성과를 우리나라가 거의 무산시켜버리는 부끄러운 이력으로 남을 가능성이 높아졌다. 

디지털 성범죄를 관대하게 다룬 결과가 얼마나 끔찍할 수 있을 것인지를 보여주는 사건이 ‘웰컴투비디오’와 ‘n번방’ 사건일 것이다. 우리 사회는 사회적 약자인 여성과 아동을 대상으로 한 성학대물의 배포는 물론이고 이를 통해 금전적인 수익을 갈취하는 것이 심각한 범죄 행위라고 인식해야 한다. 오픈넷은 성학대물의 소지에 대해서도 논의가 시작되어야 한다는 의견을 낸 바도 있다. 오픈넷은 손정우가 정당한 처벌을 받기 바란다는 서울고법 형사20부 강영수 부장판사의 바람과 여성과 아동에게 영구히 피해를 입히는 성학대와 착취물의 근절을 위해 사법 당국이 손정우의 남은 죄를 샅샅이 밝혀 강력하게 처벌할 것을 촉구한다. 

2020년 7월 10일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[논평] 관대한 양형 개선과 아청법 개정을 통한 아동음란물 관련 범죄자 엄벌을 촉구한다 (2019.10.28.)  

2018년 에마뉴엘 마크롱 프랑스 대통령이 인터넷에서의 인종차별적, 반유대주의적 혐오 발언에 대하여 강력한 조치를 마련할 것을 약속한 이후, 2019년 3월 집권당 레퓌블리크 앙마르슈(LREM)의 대변인 래티시아 아비아(Laetitia Avia) 의원은 독일의 네트워크집행법을 모델로 한 ‘인터넷에서의 혐오 콘텐츠 규제 법안’(이하 “인터넷 혐오표현 금지법”) 일명 ‘아비아법’을 발의했다. 동 법안은 2019년 7월 프랑스 하원을 통과하고 상원으로 올라갔으나, 법안에 반대하는 일부 상원의원들이 헌법재판소에 위헌심사를 청구했다. 그리고 2020년 6월 18일, 프랑스 헌법재판소(Conseil constitutionnel)는 인터넷 혐오표현 금지법에 대해 위헌 결정을 내렸다. 사단법인 오픈넷은 프랑스 헌법재판소의 위헌 결정을 환영하며, 이 결정이 임시조치 제도와 ‘n번방 방지법’이라고 불리는 전기통신사업법 제22조의5 부가통신사업자의 불법촬영물 유통방지 의무 등 한국판 아비아법에 갖는 시사점을 살펴보고자 한다.

‘아비아법’은 SNS, 검색 엔진 등 플랫폼 사업자에게 신고가 들어온 지 24시간 이내에 ‘명백한(manifestly)’ 불법 콘텐츠를 삭제할 의무를 부과하고, 이를 위반한 사업자를 처벌하는 법이다. 명백한 불법 콘텐츠에는 인종, 종교, 민족, 성별, 성적 지향 또는 장애를 이유로 차별, 적대감, 폭력을 선동하는 혐오표현, 이러한 집단이나 개인에 대한 차별적 모욕, 홀로코스트 부인, 성폭력 등이 포함된다. 아울러 테러 미화·선동 콘텐츠나 아동음란물은 행정당국의 요청이 있으면 1시간 이내에 삭제해야 한다. 사업자가 이를 어길 경우, 개인은 1년 이하의 징역 및 25만 유로 이하의 벌금, 법인은 125만 유로 이하의 벌금에 처해진다.

아비아법에 대해 프랑스 내부에서도 혐오 콘텐츠의 범위가 모호하고, 사업자에게 과도한 검열 권한을 준다는 비판이 끊이지 않았다. 찬성파 의원들은 인터넷 혐오표현을 규제하기 위해서는 디지털 플랫폼에 책임을 지워야 한다는 입장이었으나, 사업자가 합법적인 콘텐츠마저 삭제해 표현의 자유를 침해할 수 있다는 이유로 반대하는 의원들도 상당수였다. 아울러 국가디지털위원회(CNNum: Conseil national du numerique), 국가인권자문위원회(la Commission nationale consultative des droits de l’homme), 프랑스의 디지털 권리 단체인 라 캬드라튀르 뒤 넷(La Quadrature du Net)과 같은 기관들도 이 법안의 채택을 반대해왔다. 민간 사업자에 검열 권한을 부여함으로써 표현의 자유를 후퇴시켜서는 안 된다는 것이 이들의 입장이었다. 또한 국제적 인권단체인 아티클19은 아비아법이 표현의 자유에 관한 국제 인권 기준에 반한다고 하면서, 플랫폼과 불법 콘텐츠의 범위가 광범위하며 법원의 판단이 배제된 사적 검열을 강화하고, 24시간 이내라는 삭제 기한이 너무 짧고, 처벌이 과도하여 콘텐츠의 과잉 삭제를 유발할 수 있다는 점을 비판해왔다.

프랑스 헌재는 아비아법의 해당 조항들이 프랑스 헌법상 표현과 의사소통의 자유를 침해한다고 판시했다. 헌재는 먼저 테러 콘텐츠 또는 아동음란물 1시간 이내 삭제 조항에 대해서는 1. 테러 콘텐츠인지 아동음란물인지가 콘텐츠의 본질적인 특성에 따라 결정되지 않고 행정당국의 판단에 전적으로 달려있다는 점, 2. 사업자가 1시간이 경과한 후에 삭제 요청에 대해 이의를 신청하거나 1시간 기간을 정지시킬 수 없다는 점, 3. 사업자가 콘텐츠 삭제 전 법원의 결정을 받을 시간이 없는 점, 4. 형량이 과도한 점을 들어 목적을 달성하기에 필요하고 비례적인 수단이 아니기 때문에 위헌이라고 판시했다.

다음으로 명백한 불법 콘텐츠 24시간 이내 삭제 조항에 대해서는 1. 신고가 접수되었을 때 명백한 불법 콘텐츠로서 삭제할지 여부에 대한 결정을 법원이 아니라 전적으로 사업자가 내리는 점, 2. 명백한 불법 콘텐츠인지를 판단하고 결정하는 것은 매우 어려울 수 있다는 점, 3. 사업자는 24시간 이내에 결정해야 하는데 불법성 판단의 어려움과 사업자가 검토해야 할 신고의 건수가 많을 수 있다는 것을 감안하면 24시간은 매우 짧은 기간이라는 점, 4. 사업자 책임 면책 조항의 범위가 명확하지 않다는 점, 5. 형량이 과도하다는 점에 비추어 볼 때 동 조항은 사업자가 신고가 들어오면 콘텐츠의 불법성과 상관없이 삭제하도록 강제하기 때문에 위헌이라고 보았다.  

정보매개자에게 자신이 인지하지 못한 불법적인 이용자 게시물에 대해서 책임을 지워서는 안 된다는 정보매개자 책임제한 원리(intermediary liability safe harbor)는 국제 인권 기준의 일부이다. 왜냐하면 정보매개자가 사전검열이나 일반적 감시를 할 수밖에 없게 만들어 이용자의 표현의 자유를 침해하기 때문이다. 아비아법은 행정기관이나 사인의 신고가 있는 게시물에 대해 책임을 지운다는 면에서 본연의 정보매개자 책임제한 원리를 위배하지 않는 것으로 보이나, 게시물의 존재만 인지했을 뿐 그 불법성을 인지하지 못한 상황에서 정보매개자에게 게시물에 대한 책임을 지운다는 면에서 정보매개자의 사적 검열을 강요하기는 마찬가지이다. 프랑스 헌재가 아비아법 결정에서 불법성 판단을 행정당국 또는 사업자에게 전담시킨 것에 표시한 불만도 이런 맥락에서 이해할 수 있다.    

이에 비추어 우리나라 법을 살펴보자면 우선 “임시조치”라고도 불리는 정보통신망법 제44조의2가 바로 이런 문제를 아직도 가지고 있다.^[1] 권리자가 정보의 삭제를 요청하면 사업자가 게시물이 권리를 침해했는지 판단해야 하기 때문이다. 결국 실무적으로는 요청이 들어오면 판단을 거치지 않고 무조건 차단(임시조치)을 하는 방식으로 운영되고 있어 표현의 자유와 알 권리를 심각하게 제한하고 있다. 또 방송통신위원회 설치법 제21조 3호 및 4호에 의한 방송통신심의위원회^[2]의 통신심의 역시 행정기관이 표현물의 삭제를 강제한다는 면에서 아비아법 전반부와 비슷하다. 여기에 더하여 ‘n번방 방지법’이라는 미명 하에 개정된 전기통신사업법 제22조의5는 제1항에서 불법촬영물등에 대한 신고가 들어왔을 때 사업자가 지체 없이 삭제할 사후적 의무를 지우고 있고, 제2항에서 사업자가 불법촬영물등의 유통을 방지하기 위한 사전적 조치를 취할 의무를 지우고 있다.^[3]

사업자의 불법정보 사후적 유통방지 의무를 규정한 아비아법은 콘텐츠 게시자가 이의제기를 할 수 있는 절차와 악의적인 신고에 대한 처벌 규정을 두고 있다는 점에서 표현의 자유 침해를 완화했음에도 불구하고 위헌 판단을 받았다. 그렇다면 프랑스 헌재의 입장에 비추어볼 때 제22조의5 제1항의 사후적 유통방지 의무는 이의제기 절차도 없고, 신고 남용에 대한 제재도 없으며, 불법성에 대한 법원의 판단이 전혀 개입하지 않으므로 위헌의 소지가 높다. 게다가 제2항에 따른 사전적 유통방지 의무는 사업자가 게시물의 불법성 및 존재 자체도 인지하지 못하는 상황에서 형사책임을 지운다는 면에서 정보매개자 책임제한 원리를 정면으로 위배하고 있으며 아비아법보다 위헌성이 훨씬 크다. 

오픈넷은 불법촬영물의 유통을 방지하고자 하는 ‘n번방 방지법’의 입법 취지와 그 필요성에는 공감한다. 그러나 유통방지에 전혀 실효적이지 않으면서 플랫폼 사업자에게 사전적인 사적 검열 의무를 지워 인터넷 이용자의 표현의 자유와 프라이버시를 침해하는 전기통신사업법 제22조의5 제2항에는 반대한다. 제22조의5 제1항 역시 정보통신망법의 ‘임시조치’ 제도 및 방송통신심의위원회 행정심의와 함께 이번 프랑스 헌재 위헌 결정에 비추어 계속 재검토가 되어야 한다. 오픈넷은 이번 프랑스 아비아법 위헌 결정의 취지와 같이 한국판 아비아법들에 대한 입법적 개선이 이루어지도록  지속적으로 노력할 것이다.

____________________________

[1] 정보통신망이용촉진및정보보호에관한법 제44조의2(정보의 삭제요청 등) ① 정보통신망을 통하여 일반에게 공개를 목적으로 제공된 정보로 사생활 침해나 명예훼손 등 타인의 권리가 침해된 경우 그 침해를 받은 자는 해당 정보를 처리한 정보통신서비스 제공자에게 침해사실을 소명하여 그 정보의 삭제 또는 반박내용의 게재(이하 “삭제등”이라 한다)를 요청할 수 있다.
② 정보통신서비스 제공자는 제1항에 따른 해당 정보의 삭제등을 요청받으면 지체 없이 삭제ㆍ임시조치 등의 필요한 조치를 하고 즉시 신청인 및 정보게재자에게 알려야 한다. 이 경우 정보통신서비스 제공자는 필요한 조치를 한 사실을 해당 게시판에 공시하는 등의 방법으로 이용자가 알 수 있도록 하여야 한다.
③ 정보통신서비스 제공자는 자신이 운영ㆍ관리하는 정보통신망에 제42조에 따른 표시방법을 지키지 아니하는 청소년유해매체물이 게재되어 있거나 제42조의2에 따른 청소년 접근을 제한하는 조치 없이 청소년유해매체물을 광고하는 내용이 전시되어 있는 경우에는 지체 없이 그 내용을 삭제하여야 한다.
④ 정보통신서비스 제공자는 제1항에 따른 정보의 삭제요청에도 불구하고 권리의 침해 여부를 판단하기 어렵거나 이해당사자 간에 다툼이 예상되는 경우에는 해당 정보에 대한 접근을 임시적으로 차단하는 조치(이하 “임시조치”라 한다)를 할 수 있다. 이 경우 임시조치의 기간은 30일 이내로 한다.
⑤ 정보통신서비스 제공자는 필요한 조치에 관한 내용ㆍ절차 등을 미리 약관에 구체적으로 밝혀야 한다.
⑥ 정보통신서비스 제공자는 자신이 운영ㆍ관리하는 정보통신망에 유통되는 정보에 대하여 제2항에 따른 필요한 조치를 하면 이로 인한 배상책임을 줄이거나 면제받을 수 있다.

[2] 방송통신위원회의 설치및 운영에 관한 법 제21조 제3호와 제4호 (심의위원회의 직무) 심의위원회의 직무는 다음 각 호와 같다. [중략]
3. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제44조의7에 규정된 사항의 심의
4. 전기통신회선을 통하여 일반에게 공개되어 유통되는 정보 중 건전한 통신윤리의 함양을 위하여 필요한 사항으로서 대통령령으로 정하는 정보의 심의 및 시정요구
정보통신망이용촉진및정보보호에관한법 제44조의7 (불법정보의 유통금지 등) [생략]
② 방송통신위원회는 제1항제1호부터 제6호까지, 제6호의2 및 제6호의3의 정보에 대하여는 심의위원회의 심의를 거쳐 정보통신서비스 제공자 또는 게시판 관리ㆍ운영자로 하여금 그 처리를 거부ㆍ정지 또는 제한하도록 명할 수 있다. 다만, 제1항제2호 및 제3호에 따른 정보의 경우에는 해당 정보로 인하여 피해를 받은 자가 구체적으로 밝힌 의사에 반하여 그 처리의 거부ㆍ정지 또는 제한을 명할 수 없다. <개정 2016.3.22, 2018.6.12>. . . [전문개정 2008.6.13]

[3] 전기통신사업법 제22조의5(부가통신사업자의 불법촬영물 등 유통방지) ① 제22조제1항에 따라 부가통신사업을 신고한 자(제22조제4항 각 호의 어느 하나에 해당하는 자를 포함한다) 및 특수유형부가통신사업자 중 제2조제14호가목에 해당하는 자(이하 “조치의무사업자”라 한다)는 자신이 운영ㆍ관리하는 정보통신망을 통하여 일반에게 공개되어 유통되는 정보 중 다음 각 호의 정보(이하 “불법촬영물등”이라 한다)가 유통되는 사정을 신고, 삭제요청 또는 대통령령으로 정하는 기관ㆍ단체의 요청 등을 통하여 인식한 경우에는 지체 없이 해당 정보의 삭제ㆍ접속차단 등 유통방지에 필요한 조치를 취하여야 한다.
1. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조에 따른 촬영물 또는 복제물(복제물의 복제물을 포함한다)
2. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조의2에 따른 편집물ㆍ합성물ㆍ가공물 또는 복제물(복제물의 복제물을 포함한다)
3. 「아동ㆍ청소년의 성보호에 관한 법률」 제2조제5호에 따른 아동ㆍ청소년성착취물
② 전기통신역무의 종류, 사업규모 등을 고려하여 대통령령으로 정하는 조치의무사업자는 불법촬영물등의 유통을 방지하기 위하여 대통령령으로 정하는 기술적ㆍ관리적 조치를 하여야 한다.

2020년 7월 30일

사단법인 오픈넷

문의: 사단법인 오픈넷 02-581-1643, [email protected]

[관련 글]
[논평] 제21대 국회는 위헌적인 N번방 방지법의 신속한 개정을 추진하라 (2020.06.11.)
[기자회견] 오픈넷, 전기통신사업법 각종 쟁점 해설 기자설명회 개최 (2020.05.18.)
[공동논평] 스타트업·소비자시민단체, 국회·정부에 방송통신3법 관련 공동의견서 제출 (2020.05.17.)
[논평] 국민의 기본권 침해 우려 있는 전기통신사업법 개정안 입법을 중단하라 (2020.05.13.)
[논평] n번방 재발방지, 처벌과 함께 인식변화 병행되어야 (2020.04.16.)
[논평] 디지털 성범죄의 강력한 처벌을 위해서는 음란물과 디지털 성범죄물의 명확한 구분과 함께 디지털 성범죄물 양형기준 신설 필요 (2020.04.06.) 

코로나 19 관련 이태원 기지국 접속정보 처리 및
동의 없는 위치추적 법률에 대한 헌법소원 청구

“감염병 대응을 명목으로 1만 명 휴대전화에 대한
기지국 접속정보 요청, 수집, 처리는 위헌입니다.”

1. 민주사회를 위한 변호사모임 디지털정보위원회, 사단법인 오픈넷, 사단법인 정보인권연구소, 진보네트워크센터, 참여연대는 2020년 7월 29일 보건복지부장관, 질병관리본부장, 서울특별시장, 서울지방경찰청장(이하 “보건복지부장관 등”)이 지난 5월 18일 코로나 19 대응을 명목으로 이태원을 방문한 약 1만 명의 사람들의 휴대전화 기지국 접속정보를 요청하고 수집·처리한 행위(이하 “이 사건 기지국 정보처리 행위”)가 개인정보자기결정권, 사생활의 비밀과 자유, 통신의 비밀과 자유, 일반적 행동자유권을 침해하므로 위헌이라는 결정을 구하는 헌법소원을 청구했습니다. 보건복지부장관 등이 이태원 방문자들의 기지국 정보처리 행위의 법적근거라고 주장하고 있는 “감염병의 예방 및 관리에 관한 법률(이하 “감염병예방법”) “제2조 제15의2호, 제76조의2 제1항 및 제2항도 헌법 심판 대상입니다.

2. 이번 헌법소원의 청구인은 지난 2020년 4월 말 친구들과 함께 이태원 인근 소재 식당을 방문하였는데, 2020년 5월 18일 서울시로부터 코로나 19 검사를 받을 것을 권고하는 취지의 문자메시지를 수신하였습니다. 함께 문자를 수신한 청구인과 그 친구들은 5월 2일 새벽 코로나 19 확진자가 다녀간 것으로 알려진 클럽 또는 인근 클럽을 방문한 적이 없으며, 청구인이 방문한 식당은 클럽들과 지리적으로도 상당히 떨어진 장소였습니다.

청구인은 확진자와 접촉한 적도 없고 거리상으로도 위험이 있다고 보기 어려운데도 자신의 이태원 방문 정보가 무단으로 보건복지부장관 등에게 제공되어 서울시로부터 검사를 권고받은 이후 고통스러운 시간을 보냈습니다. 청구인은 코로나 19 음성판정을 통보받기까지 불안감에 시달려야 했고, 주변 사람들의 질문 등으로 불편한 상황에 놓였습니다. 청구인이 확진자와 접촉을 했던 것인지, 확진으로 판정되면 이태원을 다녀온 후 청구인과 접촉했던 사람들에게 피해를 주는 것은 아닌지, 가족들과 친구들에게는 어떻게 할 수 있을지, 끊이지 않는 질문에 밤잠을 이루지 못할 정도였습니다.

청구인은 서울시와 보건복지부에 어떤 근거로 자신의 이태원 방문사실 등 정보를 취득했는지 문의하였습니다. 그러나 해당 기관들은 청구인이 문제되는 시점에 이태원에 머물렀다는 사실만으로도 감염병예방법상의 감염병의심자에 해당한다며 자신들은 같은 법 제76조의2 제1항 또는 제2항에 규정되어 있는 법적절차에 따라 정보를 수집한 것이라 모호하게 답변하였습니다. 

이와 같은 방식으로 기지국 정보가 수집, 처리된 사람은 무려 10,905명에 달합니다. 언론보도에 의하면 서울특별시는 이동통신사 3사에 대하여 “2020. 4. 24.부터 같은 해 5. 6.까지 자정에서 05시 사이에 이태원 클럽 주변의 기지국에 접속한 사람들 가운데 30분 이상 체류한 자”의 통신정보 제공을 요청하였고 해당 정보에는 이태원을 방문한 사람들의 이름과 휴대전화 그리고 주소 정보 등이 포함된 것으로 알려졌습니다. 나아가 보건복지부장관 등은 휴대폰을 가지고 있기만 하면 기지국으로 전송되는 정보인 “접속기록”까지도 수집, 처리한 것으로 보입니다.

3. 우선 보건복지부장관 등이 2020. 4. 24.부터 같은 해 5. 6.까지, 자정에서 05시 사이 이태원 클럽 주변의 기지국에 접속한 사람들 중 30분 이상 체류한 자 전원을 감염병의심자로 보고, 기지국 정보를 요청, 수집, 처리한 것의 법적 근거가 모호합니다. 감염병예방법, 위치정보의 보호 및 이용 등에 관한 법률, 통신비밀보호법 등에 어디에서도 기지국 정보처리행위를 구체적으로 허용하지 않습니다. 즉 이 사건 기지국 정보처리행위는 법적근거가 없는 행위로서 모든 공권력 행사에 의한 기본권의 제한은 법률로써만 가능하다는 헌법상의 원리인 법률유보의 원칙에 위배됩니다.

또한 기지국 정보처리 행위는 과잉금지원칙에 반하여 청구인의 개인정보자기결정권 등을 침해합니다. 이 사건 기지국 정보처리 행위의 목적은 이태원에 방문한 불특정 다수를 사회적 위험으로 취급한다는 점에서 그 정당성을 인정하기 어렵습니다. 또한 휴대전화 발신 등의 통신기능을 사용하지 않고 전원만 켜놓고 있더라도 통신사가 자동으로 수집하는 “기지국 접속기록”까지 처리한 것은 그 자체로 과도한 정보를 수집하는 중대한 기본권 침해행위라는 점에서 감염병 전파 차단을 위한 적합한 수단이 될 수 없습니다. 

무엇보다 이태원 인근에 감염병 확진자가 발생했다는 사실만으로 해당 지역에 방문한 1만여 명을 모두 감염병의심자로 간주하고 광범위하게 정보를 수집 등 처리한 것은 불공정하고 불공평한 수단으로서 그 적합성을 인정하기 어렵습니다. 

또한 2주간 이태원 일대를 방문한 불특정다수의 개인정보를 처리하고 개인의 기지국 접속기록 등 필요 이상의 개인정보를 수집한 것은 침해의 최소성 원칙에도 정면으로 반합니다. 특히 서울시는 클럽 출입자 명단 및 신용카드 내역 등을 검토하여 확진자의 주요 동선에 포함된 이태원 클럽 및 주점에 방문한 5,517명의 명단을 5월 11일 이전에 확보한 상태였습니다. 즉 기지국 정보를 취득하는 대신 확보된 명단과 익명검사의 확대 등 기본권을 덜 제한하는 다른 조치의 도입을 충분히 고려할 수 있었던 것입니다.

그리고 청구인을 비롯한 정보주체들이 입는 불이익에 비해 기지국 정보처리 행위로 달성되는 공익이 더 크다고 단정할 수도 없습니다. 기지국 정보처리 행위가 감염병 전파방지에 기여했는지도 불분명하지만, 1만 905명의 사람들을 사회적 위험으로 취급함으로써 우리 사회가 추구하는 가치 또한 훼손하는 측면이 있기 때문입니다.

4. 한편, 이 사건의 근거로 주장되는 감염병예방법 제2조 제15의2호, 제76조의2 제1항 및 제2항(이하 “이 사건 법률조항”) 또한 명확성과 과잉금지 원칙을 위반하고 있습니다. 우선 감염병의심자에 관한 감염법예방법 제2조 제15의2호는 어느 정도의 접촉의 의심이 있는 경우에 법이 정한 “접촉이 의심되는 사람”에 속하는 것인지 최소한의 범위도 설정하지 않은 채 포괄적 규정의 형태를 띄고 있습니다. 이는 명확성의 원칙에 위배된다고 보아야 할 것입니다. 

또한 위치정보 수집이 감염병의 전파를 효율적으로 방지한 수단임이 입증되지 않는 이상, 이 사건 법률조항은 효율적이고 적절한 수단을 선택한 공권력 행사로 볼 수 없습니다.

또한 위치정보 수집에 대한 법원의 허가 또는 전문가 심의 등 절차를 도입하거나 다른 수단을 먼저 고려하라는 보충성 요건을 규정하는 등 통제장치 도입을 통해 기본권을 덜 제한하는 다른 방법도 고려할 수도 있었습니다. 그럼에도 불구하고 아무런 통제장치를 두고 있지 않은 이 사건 법률조항은 침해의 최소성 원칙에 반하여 기본권을 중대하게 침해합니다.

더불어, 감염병예방법에서 경찰이 위치정보 취득의 매개 역할을 하고 자신의 동선에 대해 사실대로 말하지 않는 것을 감염병예방법상 범죄로 규정하고 있으면서도 영장주의가 적용되고 있지 않습니다. 게다가 감염인과 접촉하지 않은 이태원 지역 방문자까지 광범위하게 개인정보를 수집한 것은 본질적으로 다른 집단에 대해 동일하게 취급하여 개인정보자기결정권 등을 중대하게 침해한 것으로서, 그 비례성을 상실하여 청구인의 평등권을 침해하였습니다.

5. 유엔 경제적, 사회적 및 문화적 권리에 관한 국제규약 등 국제인권기준은 감염병 위기 상황에도 기본적 권리의 보장을 최우선 가치로 두어야 하고, 공중보건의 위기를 이유로 한 기본적 권리의 제한이 법률에 따라 비례적으로 이루어질 것을 강조하고 있습니다. 이 사건 기지국 정보처리행위 및 관련 법률조항은 위 국제인권기준에도 어긋납니다. 청구인과 단체들은 헌법재판소가 국제인권기준의 원칙과 헌법에 명백히 위반되는 기지국 정보처리행위 및 감염병예방법 조항이 위헌임을 확인함으로써 코로나 19 라는 감염병의 공포 아래 희미해지는 우리 헌법의 가치를 바로 세울 수 있기를 기대합니다.

2020년 7월 30일

민주사회를위한변호사모임 디지털정보위원회, 사단법인 오픈넷,
사단법인 정보인권연구소, 진보네트워크센터, 참여연대

문의: 오픈넷 사무국 02-581-1643, [email protected]

본 보고서는 아주대학교 산학협력단이 수행하고 오픈넷이 참여한 ‘2019년도 국가인권위원회의 정보인권 보고서 개정 발간 연구용역보고서’의 일부분입니다.

본 보고서는 출처표시, 상업적 이용금지, 변경금지 조건에 따라 이용하실 수 있습니다.

연구참여자: 김가연, 손지원 오픈넷 변호사

제1절 통신의 비밀과 자유의 보호 현황과 쟁점
1. 통신의 비밀과 자유의 의의와 최근 침해 양상
(1) 통신의 비밀과 자유의 헌법적 의미
(2) 통신의 비밀의 보호대상
(3) 최근 침해 양상
2. 국제 동향 및 기준
(1) UN
(2) EU
(3) 각국의 법제 동향
(4) 시민사회
3. 국내 법·제도 현황
(1) 관련 법제 현황
(2) 헌법재판소 주요 결정례
(3) 국가인권위원회 주요 결정례
4. 주요 쟁점 사례
(1) 통신자료 제공 남용 사례
(2) 기무사의 세월호참사 유가족 사찰 및 불법감청 사건
(3) 전교조 서버 압수·수색 사건
(4) 국가정보원의 이탈리아 해킹팀 RCS 프로그램 구입 및 실행 사건
(5) 사인간 감시 사례

제2절 통신의 비밀과 자유 증진을 위한 개선방안
1. 통신비밀보호법 개정
(1) 통신제한조치(감청) 제도 개선
(2) 통신사실확인자료 제공 제도 개선
2. 통신자료 제공 제도 개선
3. 디지털 증거 압수·수색 제도 개선
4. 정보수사기관 개혁
5. 사인간 감시 문제

제3절 온라인에서의 표현의 자유 보호 현황과 쟁점
1. 온라인에서의 표현의 자유의 의의와 제한
(1) 일반적인 표현의 자유의 의의와 제한 원리
(2) 온라인상 표현의 자유의 제한 유형
2. 국제 동향 및 기준
(1) UN 자유권규약위원회 표현의 자유에 대한 일반논평 34호
(2) UN 표현의 자유 특별보고관 라 뤼의 한국보고서
(3) 유럽평의회의 인터넷에서 커뮤니케이션의 자유를 위한 7원칙
(4) UN 표현의 자유 특별보고관 데이비드 케이의 기업 책임에 대한 보고서
(5) 정보매개자 책임에 관한 마닐라 원칙
(6) FOC의 인터넷의 자유와 인권 보호에 관한 정책 및 관행 수립을 위한 탈린 의정서
3. 국내 법·제도 현황
(1) 방송통신심의위원회 통신심의제도
(2) 선관위 선거법 위반 정보 삭제 명령 제도
(3) 정보통신망법 임시조치 제도
(4) 선거기간 인터넷 실명제
(5) 사실적시 명예훼손죄, 모욕죄
4. 주요 쟁점 사례
(1) 혐오표현 규제
(2) 허위정보 규제

제4절 온라인 표현의 자유 증진을 위한 개선방안
1. 방송통신심의위원회의 통신심의 제도의 폐지 혹은 개정
2. 임시조치 제도의 개정
3. 공직선거법상의 실명제와 선거관리위원회 삭제명령제도 폐지
4. 사실적시 명예훼손죄와 모욕죄의 폐지
5. 혐오표현에 대한 대응
6. 허위정보에 대한 대응