위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

지역

위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

익명 (미확인) 님 | 목, 2016/10/06- 16:10

위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

글 | 민노씨(슬로우뉴스 편집장)

개인정보 플랫폼 기업이 개인정보를 판매 촉진 목적으로 활용하려고 할 때, 정보주체의 동의를 받아야만 하는지, 동의를 받지 않고도 분석, 가공, 판매할 수 있는지에 따라서 개인정보 플랫폼 기업에는 막대한 이윤 발생 여부가 결정된다. 이들의 이해관계가 첨예하게 걸려 있는 사안이다. (이은우 변호사, 정보인권연구소)

강원도에 사는 스무살 대학생 철수가 페이스북에 재잘거리는 한담이, 제주도에 사는 서른살 직장인 영희가 트위터에 올리는 짧은 한탄이 경제적인 가치를 지니는 ‘고급 정보’가 될 가능성은 그 자체로는 제로다. 하지만 10만 명의 철수가 100만 명의 영희가 모이면 얘기는 달라진다.

빅데이터, 그것이 문제로다

오늘날 컴퓨팅 기술은 천문학적인 규모로 생산되는 무수히 다양한 개인의 디지털 정보를 드디어 ‘정복’하는 단계에 들어섰다. 그걸 상징하는 용어는 ‘빅데이터’다. 이제 쓰고, 말하며, 대화하고, 소비하는 물리적인 컴퓨터 서버의 어딘가에 저장된다. 이제 디지털 저장기술은 인간의 기억을 대신한다. 우리는 그저 끊임없이 생산하고, 소비하며, 흘려보내면 그뿐이다.

그런데 그렇게 디지털 전자신호로 서버 속 공간 아닌 공간을 흘러갔던 정보는, 철수와 영희는 영영 모르는 채로, 이제 산업적인 가치를 가지는 정보로 재가공된다. 누구도 감히 시도하지 못했던 정보의 총체적 재구성이다. 모든 흩어진 의미가 ‘찬란한 귀향의 축제’를 맞는다. 기업 입장에서는 서비스를 더욱더 진화시키고, 이윤을 극대화할 기회이자 재료다.

luckey_sun, "big data", CC BY SA https://flic.kr/p/bx1jvU

luckey_sun, “big data”, CC BY SA

하지만 개인정보 주체들에게는 디스토피아의 서막일 수도 있다. 근대 이후 개인은 자신의 권리를 지키기 위해 국가 권력으로부터 자신을 숨길 수 있는 권리(홀로 있을 권리)를 ‘획득’했다. 그리고 오늘날 문명화한 국가는 국가권력의 부당한 간섭으로부터 자신을 숨기는 것에 그치지 않고, 자신의 개인정보를 통제할 수 있는 권리를 명문의 법률로 규정했다. 자기 정보 통제권(혹은 개인정보 자기 결정권)은 그렇게 탄생했고, 그 권리는 그저 주어진 것이 아니다. 개인정보에 관한 권리에 눈뜬 근대적 자아가 획득한 전리품이다. (→ 참고: 거짓말할 수 있는 권리)

단, 이 자기 정보 통제권이 각자 자신에 대한 정보를 공개된 정보와 비공개된 정보 가릴 것 없이 자신이 소유한 자동차를 소유하듯이 마음대로 통제할 수 있는 절대적인 권리로 해석하면 그것은 곤란하다. 이는 타인들 간에 진실한 정보를 공유하는 생활에 검열권을 가지게 하는 셈이라서 자기 정보 통제권은 균형을 고려한 해석이 불가피하다.

위험한 게임, ‘개인정보 비식별 조치 가이드라인’

기업에 빅데이터가 잠재적 부가가치를 창출할 가능성이라면, 자기 정보 통제권을 자신도 모르는 사이에 빼앗길 수 있는 개인에게는 잠재적 공포다. 그 ‘위험한 게임’이 지금 막 시작됐다. 이름은 ‘개인정보 비식별 조치 가이드라인’.

국무조정실
행정자치부
방송통신위원회
금융위원회
미래창조과학부
보건복지부

참여 부처의 이름에서 확인할 수 있듯 그야말로 통합 가이드라인이다. 그 골자는 이렇다.

‘개인정보라고 하더라도 비식별 조치(익명화)를 거치면 정보주체의 사전 동의 없이 기업이 이를 활용하도록 할 수 있다.’

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

가이드라인의 쟁점

이 글은 가이드라인의 개요와 쟁점을 단계적 ‘Q&A’ 형식으로 독자에게 최대한 쉽게 전하는 것을 목표로 한다.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) → 이하 ‘가이드라인’으로 표기.
개인정보보호법 → 이하 ‘개보법’으로 표기.

행정자치부 개인정보보호정책과 장한 과장 → 이하 ‘행자부’로 표기.
오픈넷 박지환 변호사 → 이하 ‘오픈넷’으로 표기.
정보인권연구소 이은우 변호사 → 이하 ‘연구소’로 표기.^[1]

1. ‘빅데이터’란 무엇인가

가이드라인의 중심에 있는 화두는 ‘빅데이터’다. 빅데이터 산업 육성이라는 가치와 개인보호라는 가치를 조화롭게 공존하게 하는 게 가이드라인의 취지라면, 이에 시민단체(오픈넷)와 정부(행자부)의 평가와 시각 차이는 명확하다.

오픈넷은“법률적으로 빅데이터에 대하여 정의된 바는 없다”고 전제한 뒤, “최근 빅데이터라는 단어 자체에 천착하여 빅데이터 산업의 진흥만이 주로 논의될 뿐, 빅데이터 환경이 정보 주체의 개인정보 자기결정권에 미치는 영향에 대한 논의는 부족“하고, 가이드라인도 이런 “흐름의 연장선”에 있다고 지적한다.^[2]

정보 개인정보 프라이버시

Intersection Consulting, CC BY NC

이에 대해 행자부는 빅데이터 산업 진흥과 개인정보의 관계는 “단순하게 이야기할 수 있는 성격은 아니”라면서, 이번 가이드라인이 데이터 이용함에 있어 “개인정보 보호를 위한 기준을 제시”했다고 자평한다.^[3]

2. ‘비식별 조치’란 무엇인가

가이드라인의 골자는 ‘비식별 조치’(익명화)다. 가이드라인은 비식별 조치 방법과 그 적정성을 평가하는 기준을 제시한다. 그런데 ‘비식별 조치’라는 용어, 익숙한가? 용어 정의부터 잘못됐다는 비판과 이에 대한 정부의 입장을 살펴보자.

연구소는 ‘비식별 조치’라는 표현 자체가 부적절하다면서 “용어 자체가 부적절한 법률용어”라고 말한다. 그렇다면 비식별 조치는 과연 어떤 의미일까? 개인정보 보호법제와 유사한 유럽연합과 일본의 용어 정의를 참고해보자.

유럽연합: “익명화된 데이터”(data rendered anonymous)^[4]
일본: 개인정보보호법의 개정시 “익명가공정보” 규정한다. 익명가공정보는 ‘특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서 해당 개인정보를 복원할 수 없도록 한 것을 말한다’고 정의한다.^[5]

더불어 ‘비식별 조치’ 혹은 ‘비식별화’라는 표현이 너무 모호하다고 지적한다. 가이드라인의 ‘비식별 조치가’가 ‘익명화’나 ‘익명정보’ 혹은 ‘익명가공정보’와 같은 의미라면 그냥 ‘익명화’나 ‘익명정보’로 쓰면 될 것을 “문법에도 맞지 않는 신조어”를 사용해 국민에게 혼동을 초래한다고 비판한다.

'비식별 조치'는 쉽게 말해 '익명화'라고 할 수 있다.

‘비식별 조치’는 쉽게 말해 ‘익명화’라고 할 수 있다.

반면 행자부는 익명화든 비식별 조치든 “이는 용어 선택의 문제일 뿐”이라고 일축하면서, “내용이 중요하지 용어 선택은 부차적”이라고 말한다. 그러면서 “요즘은 국제적으로 ‘비식별화’를 쓰는 추세”라고 부연한다.^[6]

한편, 오픈넷은 연구소 입장에 동의하면서, ‘익명화’라고 표현해야 정확하다는 입장이다.^[7]

3. 가이드라인의 ‘비식별 조치’ 평가 기준은 타당한가

여러 문제와 논란은 별론으로, 우선 가이드라인의 내용에 집중해 보자. 가이드라인은 ‘비식별 조치’와 이에 대한 적정성의 평가 기준과 절차를 규정한다. 그럼 가이드라인에서 제시하는 ‘비식별 조치’의 기준은 과연 합리적일까.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

연구소는 가이드라인의 위 해당 문답을 해석하면 “이는 재식별 가능성이 현저하지 않은 것은 개인정보보호법을 준수하지 않아도 된다는 것”이라면서 “유럽연합에서 익명정보가 ‘더 이상 재식별 가능성이 없는 것’을 의미한다고 지적한다. 더불어, 일본의 개인정보보호법에서도 ‘익명가공정보’란 복구 불가능한 것이라고 정의하고 있는 것과 비교할 때 잘못”이며, “재식별 위험이 현저하지만 않다면 개인정보 주체는 그 위험을 감수하라”는 가이드라인이라고 비판한다.

이에 대해 행자부는 해당 문답의 표현 중 “현저히”는 ‘강조 수사’에 불과”하다며, “해당 문구에 큰 의미를 부여할 필요가 없다”고 답변했다. 가이드라인의 “전체 체계”가 중요하고, 해당 문구는 “강조 수식에 불과”하다는 입장이다. 참고로, 행자부는 인터뷰에서 가이드라인의 법적 성질을 묻는 질문에 “유권해석집”이라고 답했다

한편, 오픈넷은 “표현의 모호성 때문에 ‘가이드’의 역할도 제대로 하지 못할 것”이라고 말하면서 가이드라인이 ‘유권해석집’이라면, “구체적인 법 규정에 대한 해석이어야” 할 텐데, “비식별 조치라는 것은 기존 법에도 없는 새롭게 창조한 개념”이고, 이를 해석한다고 하니 “내용뿐만 아니라 법적인 근거나 성질도 모호할 수밖에 없다”고 비판했다.

4. 비식별 조치에 대한 적정성 평가

가이드라인은 비식별 조치가 제대로 이뤄졌는지 평가하는 기준을 정한다. 이 적정성 평가 기준은 과연 타당한 것일까. 연구소는 ‘형식적이기 짝이 없다’고 비판하고, 행자부는 ‘다른 대안이 없다’고 말한다.

연구소는 가이드라인의 “적정성 평가 기준은 형식적이기 짝이 없다”면서 “K(익명성), L(다양성), T(근접성)의 세 가지 방법의 익명화 기술을 적용하라는 것”은 “겉으로는 복잡해 보이지만, 단순하기 그지 없다”고 지적한다. 그리고 무엇보다 이들 방법과 기준은 “재식별 가능성이 농후한 방법으로 지목받아 왔던 기술”이라고 비판한다.

이에 대해 행자부는 연구소의 비판은 “비판을 위한 비판”이라고 반박한다. “현재로썬 KLT 외에는 현실적인 대안이 없”고, “(오히려) 유럽에서는 K를 의무화하지 않았지만, 우리는 K를 의무화했다”면서 그만큼 개인정보 보호에 신경 쓰고 있다고 강조했다.

오픈넷은 해당 기술의 재식별 가능성도 중요한 이슈지만, “개인정보처리자 입장에서 특정 기술을 이용한 비식별 조치만을 취하면 개인정보가 아닌 것으로 추정되는 것인 양 오독할 여지가 큰 가이드라인 규정의 모호성이 가장 큰 문제”^[8]라고 지적한다.

5. 적정성 평가단: 고양이에 생선가게 맡기기?

가이드라인은 분야별 전문기관을 두고, 이 전문기관이 비식별 조치의 적정성을 평가하게 한다. 그런데 이 적정성 평가 기관에 ‘한국신용정보원’과 같은 빅데이터 산업과 이해가 직결한 이익단체가 속해 있어 문제다. ‘고양이에게 어물전을 맡기는 꼴’이라는 비판이 나오는 이유다.

연구소는 이들 기관이 “공정성을 기대하기도 어렵고, 혼란만 야기할 것”이라면서 특히 분야별 전문기관 중에는 “특히 사업자들 모임인 한국신용정보원이 포함”돼 있고, 금융보안원, 사회보장정보원, 한국정보화진흥원 등은 “성과 위주의 조직”임을 지적한다.

특히, 한국신용정보원은 금융업계 모든 고객의 신용정보를 통합해서 관리하는 기관(세계 최초)으로 여기엔 이들은 빅데이터 활용에 가장 큰 이해관계를 가진 다음 ‘이익단체’들이 참여한다. 더불어 이들 협회 소속 기업에서 그동안 각종 개인정보 유출 사고가 연례행사처럼 이어져 왔던 건 주지의 사실이다.

은행연합회
금융투자협회
여신금융협회
생명보험협회
손해보험협회 등

빅데이터 산업에 직접적인 이해관계를 가진 '이익단체'가 적정성 평가를 한다?

빅데이터 산업에 직접적인 이해관계를 가진 ‘이익단체’가 적정성 평가를 한다?

이에 대해 행자부는 연구소 측에서 특히 문제 삼은 ‘한국신용정보원’은 “우리가 지정한 게 아니라 금융위원회가 지정한 것”이라면서, “분야별로 소관 부처에서 관련 기업을 지원할 수 있는 기관을 지정한 것”이라고 우회적으로 답변했다.

이 문제 관해 오픈넷은 “전문기관 자체가 법률에 근거가 없”고, “정보주체들로부터 개인정보의 처리 권한에 대한 동의를 받지 않”았으므로, “사업자 모임 여부와 상관없이 부적절하다”고 답했다.

6. 입증책임 문제

가령, A라는 기업이 철수와 영희의 신용카드 구매 정보를 ‘비식별 처리’해서 B라는 기업에 팔았다고 가정해보자. 이때 비식별 처리가 제대로 이뤄졌다는 ‘입증’ 책임은 누가 질까? 철수와 영희일까? 아니면 A와 B라는 기업일까?

연구소는 가이드라인이 “비식별 조치가 적정하다는 평가를 받으면 해당 정보는 개인정보가 아닌 것으로 추정”된다고 규정하므로, 해당 정보를 어떤 개인이 “개인정보라고 주장하려면 개인정보 주체가 이를 입증해야 한다”고 해석한다.

이에 대해 행자부는 연구소 측 주장은 “근거 없는 주장”이라면서, “가이드라인에는 그런 내용이 없”으며, “당연히 비식별 조치를 한 측에서 (비식별 조치의 정당성과 적정성을) 입증해야 한다”고 말한다.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

입증책임 논란에 대해 오픈넷은 법원에 까지 가는 사안이 생기면, 법률에 근거가 있는 것은 아니지만 “가이드라인이 ‘추정한다’고 하니 반증이 없는 한 개인정보가 아닌 것으로 판단”될 가능성이 높다고 연구소 측에선 해석한 것이고, 행자부 쪽에선 원칙적으로 법원이 가이드라인에 구속되지 않으니 “각자도생’해야 한다는 식으로 답변”한 것으로 보인다면서, “가이드라인에 법적 근거가 없는 이상 개인정보처리자인 기업들 역시 가이드라인에 따라 비식별조치된 정보를 섣불리 수집 목적 외로 이용하거나 제3자 제공에 나서지는 않을 것”이라는 게 현 시점에서 가이드라인의 위치라고 답했다.

대법원

‘비식별 처리’ 문제로 ‘분쟁’이 생겨 법원에 가는 일이 생기면, 기업과 일반 시민 중에서 누가 입증책임을 질까?

연구소 측에 행자부 답변 내용을 전하자, 연구소 측에선 “가이드라인이 입증책임과 관련 없다면, 가이드라인(의 해당 문구)은 존재할 필요가 없다”면서, “가이드라인의 논리 체계에 반하는 해석을 주무 공무원이 공식적으로 답하는 것은 아주 무책임하다”고 논평했다. 더불어 가이드라인에 참여한 행정부처들을 고려하면 현실적으로 “어떤 개인이 ‘재식별화가 제대로 되지 않았다고 신고했을 때, 경찰이 어떤 기준을 따르겠는가?”라고 반문하면서, “경찰 수사에 있어서 가이드라인은 실질적인 수사 기준이 될 것”이라고 전망했다.

생각건대, 행자부의 답변은 궤변이다. 연구소나 오픈넷의 지적처럼, 가이드라인를 준수한 기업조차 다시 재판에서 ‘입증책임’의 부담을 져야 한다면 가이드라인의 존재 근거가 없고, 기업은 가이드라인을 따를 이유도 없다. 반면에 그렇다고 입증책임을 개인에게 지운다면 이는 더 큰 문제다. 가이드라인의 딜레마인 셈이다.

7. ‘결합지원’ 문제

가이드라인은 각각 비식별 조치를 한 개인에 관한 별개 정보집합물을 전문기관에서 개인별로 결합시켜 주겠다고 한다. 예를 들면, 비식별 조치를 한 통신사 고객정보와 비식별 조치를 한 신용카드사 고객의 신용카드 사용정보를 전문기관에 보내주면 각 개별로 결합시켜 결합정보를 제공하겠다는 것이다.

예를 들어 가이드라인은 00홈쇼핑의 고객정보와 xx카드사의 구매금액 상위 10% 고객의 구매 내역 정보를 결합하여 xx카드사의 구매금액 상위 10% 고객 중 00홈쇼핑 고객을 골라 내서 구매내역을 분석할 수 있다고 한다. 이것은 홈쇼핑과 카드사가 고객의 동의도 받지 않고, 카드 구매내역을 분석하도록 허용하는 것과 같은 결과를 초래한다.

특히 결합은 산부인과나 산후조리원, 초등학생이나 유아 등 민감한 정보에도 무방비다. 이런 식이면 산부인과나 산후조리원은 환자나 산모의 동의도 받지 않고 임신, 출산한 고객 중 월 500만 원 이상 신용카드를 이용한 고객의 구매내역을 분석할 수도 있고, 초등학생 대상 학원에서는 초등학생이나 부모의 동의를 받지 않고도 통신사로부터 초등학생의 이동경로를 분석할 수도 있게 된다. 당사자는 이런 정보 결합에 대해 알지도 못하고, 반대할 기회도 갖지 못한다. (연구소 발제문 참조)

연구소는 비식별 조치를 했지만, 개인을 결합할 수 있다는 것은 “비식별 조치를 한 정보가 익명정보가 아니라는 것을 반증”하는 것이라면서 “만약 개인을 식별할 수 없도록 익명정보로 만들었다면 익명정보가 누구의 정보인지를 알 수 없는 것이기 때문에 다른 정보와 결합하는 것은 불가능하다”하다고 지적한다.

결합지원 이슈에 대해 행자부는 “리스크를 최소화하면서 나름으로 안을 짰는데, 결과적으로 유럽과 유사”하게 됐다면서 “신뢰할 수 있는 제3기관을 통해서 지원”하는 것이라고 답했다.

오픈넷은 “법률적 근거가 없는 전문기관에 의한 결합지원 역시 개인정보 자기 결정권을 침해”할 수 있다고 지적했다.

아이돌 그룹 대부분이 앨범 3~4만 장을 파는 현실에서 TIF는

비식별 조치된 정보의 ‘결합지원’ 문제 역시 가이드라인이 다루는 중요한 문제 중 하나다.

왜 가이드라인가, 누구를 위한 가이드라인가

행자부는 가이드라인의 법정 성질을 (개인정보보호법에 관한) “유권해석집”이라고 말한다. 그런데 왜 법을 개정하지 않고, 가이드라인으로 만들었을까? 행자부는 “법 개정은 오히려 업계에서 하는 주장”이라면서, “일본법은 개정안이 통과돼서 내년부터 시행될 예정”이라며 “(일본은) 법에서 규정한 안전조치(비식별 조치)를 준수하면, 기업의 책임이 면제”되므로, 우리나라 “업계에서도 법 개정을 원한다”고 말한다.

하지만 연구소 측은 “법률 개정이 필요한 사항을 가이드라인으로 만드는 것은 입법권을 무시하는 처사”라면서 가이드라인은 “상당한 재식별 가능성이 있어도 이를 무시하고 개인정보보호법의 적용을 배제”하고 있으므로, “즉각 폐기해야” 한다고 주장한다.

말도 많고, 탈도 많은 가이드라인, 과연 누구를 위한 것일까?

기업의 선의를 믿는다면, 기업은 더 좋은 서비스를 위해 비식별화한 정보를 활용할 것이고, 이는 서비스를 향유하고 소비하는 이용자에게도 좋은 일이다. 그리고 기업이 자신의 이익을 극대화하기 위해 재식별화하려는 욕망을 표출할 수밖에 없다는 견해도 부정적인 선입견일 수 있다.

하지만 인간은 과거에 있었던 행위를 회고하고, 성찰함으로써 미래를 전망한다. 기업의 개인정보 유출 사고뿐만 아니라 기업의 개인정보 ‘매매 사건’(홈플러스 사건), 거기에 더해 이런 개인정보 관련 사건 사고를 처리하는 국가권력(검찰)과 이를 최종적으로 판단하는 법원의 개인정보에 관한 인권 감수성(홈플러스 무죄 선고)을 떠올리면 개인정보의 주체, 그러니 평범한 시민이 기업의 선의, 관리자이자 감시자로서의 국가, 공정한 심판관으로서의 법원을 손쉽게 믿어주기 어려운 것 역시 사실이다.

홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원인데, 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원이었다. 홈플러스는 지난 6월 초 매물로 나왔다. 지분 100%의 평가액은 7조 원을 호가한다.

홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원. 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원. 그리고 법원에서는 무죄. 홈플러스 사건은 기업이 개인정보를 다루는 관점과 방식, 국가기관의 관리감독 능력, 그리고 공정한 심판자로서의 법원의 판단, 이 모두가 여전히 신뢰를 보내기에는 부족하다는 사실을 여실히 드러낸 사건이다.

여기서 하나 더 질문해보자. 가이드라인이 아니면 정말 기업이 빅데이터 산업 분야에 제대로 뛰어들 수 없는 걸까. 우리나라 개인정보 보호법제는 빅데이터 산업 육성에 방해 요소일까. 이미 개인정보보호법^[9]은 “통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우” 동의 없이 새로운 목적으로 이용하거나 제3자에게 제공할 수 있다고 규정한다. 빅데이터는 바로 통계를 목적으로 삼고 있지 않나.

연구소는 “현재의 개인정보 보호법제는 빅데이터 활용에 장애 요소가 아니”라고 말하면서, 우리나라 공공 부문에서 발주하는 사업을 분석해 보더라도 공공 부문 빅데이터 활성화를 위해서는 “개인정보를 익명화하여 처리하거나 동의받는 것을 기초로 하더라도 충분하며, 비식별정보 동의 면제가 있어야만 빅데이터를 활용할 수 있다는 근거를 찾기 어렵다”고 주장한다.^[10]

Julien Belli, CC BY https://flic.kr/p/o3eDX5

빅데이터와 개인정보의 문제는 기본적으로 정보 처리 주체와 관리감독 기관에 대한 신뢰의 문제다. (출처: Julien Belli, CC BY)

그렇다면 가이드라인을 둘러싼 이 온갖 논란에 관한 해법은 무엇일까. 명확한 현실 인식은 그 해법을 마련하는 초석이다. 오픈넷의 답변으로 결론을 대신한다.

가이드라인 제정이 지나치게 급한 호흡으로 이루어졌다. 특히 시민사회의 의견 수렴이 매우 형식적으로 이루어졌다. 즉 가이드라인은 빅데이터 산업 진흥이라는 버즈워드(buzz word)에 천착한 것이라고 본다. 그리고 가이드라인 상 비식별 조치에 의한 “동의” 면제 시도는 개인정보 자기 결정권을 무력화할 우려가 크다.

정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 “동의” 제도는 개인정보 자기결정권을 실질적으로 구현하는 방법으로 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있기 때문이다. 가이드라인의 뼈대라 할 수 있는 “비식별조치에 의한 동의 면제”는 개인정보 자기결정권의 핵심을 이루는 “동의” 제도를 무력화하는 것으로 이는 법률 개정으로 다루어야 할 문제이다.

특히 가이드라인에 따른 비식별 조치를 거쳤다고 하더라도 개인정보 재식별 위험성은 주민등록번호 제도 및 인터넷 상 본인확인을 강요하는 수많은 법률에 의해 그 어느 나라보다도 크다. 특히 본인확인기관으로 지정된 이동통신사는 식별 가능성이 가장 크다.

오히려 사물인터넷과 빅데이터 시대에 동의에 기반한 개인정보보호가 불충분하다. 어떻게 개인정보 자기 결정권을 보장할 수 있을 것인가에 대한 발전적 논의가 필요한 시점이라고 할 수 있다. 더불어 법적 근거 없는 전문기관의 운영은 매우 위험한 발상이며 개인정보보호위원회의 개인정보보호 콘트롤 타워로서의 기능 확립 필요하다.

우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면 주민등록번호가 모든 자물쇠를 여는 '만능 열쇠' 역할을 할 수 있기 때문이다.

우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면, 주민등록번호가 모든 자물쇠를 여는 ‘만능열쇠’ 역할을 할 수 있기 때문이다.

——————————————-

[1] 이은우, 마케팅 활용 목적 빅데이터 활용과 판매: 개인정보 플랫폼 기업의 탐욕과 비식별화 조치 가이드라인 (빅데이터 시대 개인정보 보호를 위한 정책토론회, 2016. 9. 7. 국회의원회관 제9간단회의실) 별도 인터뷰 인용이 아닌 문단에는 문단이 끝나는 위치에 괄호( )로 해당 발제문의 페이지 수를 표시했음.

[2] 다만, 빅데이터는 통상적으로 사용되는 데이터 수집, 관리 및 처리 소프트웨어의 수용 한계를 넘어서는 크기의 정보라고 정의되며, 데이터의 양(volume), 데이터 입출력 속도(velocity), 데이터 종류의 다양성(variety)데이터의 양(volume), 입출력 속도(velocity), 종류의 다양성(variety)이라는 세 개의 차원에서 분석할 수 있다(가트너 보고서). 이를 빅데이터의 3V라고 하는데, 3V가 커질수록 그 데이터의 산업적 가치는 높아지지만, 이에 비례하여 개인정보의 유출 위험성이나 개인정보 자기결정권이 침해될 가능성도 커진다.

[3] 현 가이드라인이 기존에 행자부, 미래부, 방통위에 존재했던 개별안들이 ‘비식별’ 기술를 소개하고, 안내하는 수준이었다면, 검증절차와 보호조치에 관한 내용을 보완하면서 기존 개별안들을 통합한 것이다.

[4] 개인이 더는 식별될 가능성이 없다면(“no longer possible”) 개인정보로 보지 않는다고 규정한다.

[5] 그러면서 미국은 ‘개인정보’라는 개념 대신 ‘개인식별가능정보’(personally identifiable information)라는 개념이 법령에 정의되어 제한적인 보호 대상이 되고 있다고 더불어 언급하는데, 미국은 우리나라의 개인정보보호법제와 다르기 때문에 미국에서 개인정보호보규범이 적용되지 않는 범위를 규정한 비식별화(‘de-identification’) 규정이나, 그에 따른 비식별화(‘de-identification’) 가이드라인을 법제가 다른 우리나라 개인정보보호법에서는 그대로 적용할 수 없는 규정이라고 설명한다.

[6] 참고로, 현행 개보법에는 ‘비식별 조치’라는 용어나 표현은 없다. 다만 법(제18조 제2항 제4호)에서는 개인정보처리자 동의 없이 수집 목적 외로 이용하거나 제3자 제공이 가능한 예외로 “통계작성이나 학술연구 등의 목적으로 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 수 있다.” 고 규정하는데, 이 규정에서 개인정보를 “특정 개인을 알아볼 수 없는 형태”로 변환하면 제한적 목적(통계작성이나 학술연구 등)이긴 하나 동의 없는 이용이나 제공이 가능하므로 이를 ‘비식별 조치’ 혹은 ‘익명화’를 간접적으로 언급한 규정이라고 할 수 있다.

[7] 가이드라인이 창설한 비식별화(비식별 조치) 개념은 재식별화하여 개인정보로 인정될 위험성이 상존해 있는 상태를 의미하며, 만약 비식별화를 거쳐 동의 없이 이용, 제공한 경우 식별 여부에 대한 사법적 판단에 따라 특정 시점에서는 개인정보보호법을 위반할 우려가 있는 법적으로 매우 불안정한 상태를 의미한다.(오픈넷)

[8] 물론 가이드라인에서는 특정 기술조치 여부뿐 아니라 종합적 관점에서 판단한다고 이야기하고 있긴 하다.

[9] 제18조 제2항 제4호

[10] 유럽연합은 우리 법제보다 빅데이트 활용과 관련하여 프로파일링에 대한 규율을 신설, 보완하고, 동의에 대한 규정, 투명성에 대한 규정 등과 관련하여 개인정보주체의 권리를 강화하는 방향으로 법률을 개정하고 있다. 그런데 유럽에서 개인정보보호법제 때문에 빅데이터 활용에 제약이 있다는 움직임을 보이지는 않는다. 기업이 재식별화할 의사가 없더라도 재식별화할 가능성이 있다는 것이 문제고, 비식별화한 정보가 다른 업체에 매매됐을 때 다른 정보와 결합해서 손쉽게 재식별화된다는 것이 문제다. 이는 MIT 미디어랩의 연구를 통해서도 실증됐다. 가령 카드사의 구매 정보를 비식별화해서 이 정보를 이통사(이동정보)에 넘겼다면, 두 가지 정보가 결합되면 누가 어디서 어떤 물건을 구매했는지 알게 된다. 재식별화 의지가 없다라도 자동적으로 재식별화된다. 재식별화하면 훨씬 더 가치 있는 정보가 되는데 기업에서 안 할 이유가 있겠나. 더불어 재식별화 의지가 없더라도 해당 정보가 유출되어 악용될 가능성이 상존하니 그것도 문제다. (연구소)

* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.10.06.)

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

IT운동

한국은 아동음란물 처벌에 관대한 나라? 기소유예, 벌금형 처벌 대상은 만화/애니 파일 다운로더들

글 | 박경신(고려대 법학전문대학원 교수, 오픈넷 이사)

다크웹 아동포르노에 대한 미국 수사에서 한국 이용자들이 엄청나게 많다는 기사의 후속으로 한겨레에서 ‘한국은 아동음란물 처벌에 관대하다’면서 ‘70%가 기소유예이고 대부분 벌금형으로 끝난다’는 취지의 기사가 떴는데, 맥락을 알고 읽어야 할 기사이다.

다크웹 아동포르노에 대한 미국 법무부의 기소는 실존 아동의 성행위 장면을 촬영한 것들 즉, 아동 성학대 촬영물이니 강력처벌하는 것이다.

출처: http://www.hani.co.kr/arti/society/society_general/914057.html

그런데 여기서 짚고 넘어가야 할 점이 있다. 우리나라는 2012년도에 만화나 애니메이션 캐릭터들의 성행위 묘사도 실제 아동의 성행위를 촬영한 것과 똑같이 아동성범죄로 처벌하는 식으로 법이 바뀌었다(법률에 이렇게 명시한 것은 한국 ‘아청법’이 세계유일하다). 그래서 현재 우리나라에 입건되는 아동음란물 대부분의 사건들이 만화나 애니메이션들이다.

[아동청소년의 성보호에 관한 법률 제2조 제5호] “아동·청소년이용음란물”은 아동·청소년 또는 아동·청소년으로 인식될 수 있는 사람이나 표현물이 등장하여 제4호의 어느 하나에 해당하는 행위를 하거나 그 밖의 성적 행위를 하는 내용을 표현하는 것으로서 필름·비디오물·게임물 또는 컴퓨터나 그 밖의 통신매체를 통한 화상·영상 등의 형태로 된 것을 말한다.

아동포르노죄는 실제 아동에게 씻을 수 없는 피해를 주기 때문에 형량도 높고(제작 최저 5년, 배포 최고 7년까지) 아동성범죄자에게는 10년 채용제한, 20년 주소지보고 등등 엄벌에 처한다. 그러나 아청법 개정 후 엄밀히 말해 피해자가 없는 만화/애니메이션 같은 가상의 표현물까지 아청법 적용 대상에 집어넣으니 검경이 일대 혼란에 빠졌다.

2012년 아청법 개정 후 아동성범죄사범 입건 수는 100명에서 2,200명으로 늘어났다. 경찰은 아동성범죄가 승진점수를 딸 수 있는 5대 범죄에 들어가니 만화/애니메이션 파일 다운로더들을 마구 잡아들였다. 이 중에는 여성도 많았고, 아청법이 보호하는 대상인 아동·청소년들도 많았다. 오죽하면 당시 토론회에서 ‘경찰은 컴퓨터 앞에만 앉아 있지 말고 밖에 나가서 진짜 아동성범죄자들을 잡으라. 아청법 때문에 아동들이 망가진다’는 얘기가 나왔을까.

결국 검찰은 만화/애니메이션 파일 다운로더들을 기소유예나 벌금형으로 기소했다. 이러한 맥락을 고려하지 않으면, 한겨레 기사와 같이 “한국은 아동음란물 처벌에 관대해서 70% 기소유예, 대부분 벌금형”이라는 결과가 나오는 것이다. (물론 이 기사의 미덕은 한국에서 실존 아동촬영물에 대한 처벌을 더 강하게 할 필요가 있다는 주장을 뒷받침한다는 데 있다.) 2013년부터 오픈넷이 가상 표현물에 대한 아청법 적용 반대 운동을 하고, 판사들이 위헌제청을 해서 만화/애니를 아동성범죄로 잡는 건수는 5분의 1로 줄어들었다. “70% 기소유예, 대부분 벌금형”에만 집중하다가 경찰이 만화/애니메니션을 다시 마구 잡아들이기 시작하거나 검찰이 기소유예나 벌금형으로 기소하지 않고 더 엄벌하기 시작할까봐 겁난다.

추가설명: 다크웹에 들어가보지도 않고 실존 아동촬영물인지 어떻게 아냐고? 미국도 우리나라 아청법처럼 법을 바꾼 적이 있었는데 시행되자마자 위헌판정이 났다(Ashcroft 판결). 그래서 오픈넷이 주장했던 것처럼 미국 의회는 만화, 애니메이션 같은 표현물은 별도 처벌을 하려고 조항을 따로 만들었다(18 USC §§ 1466A). 아래 기소장을 보면 조항들이 모두 2천번대인데 이것은 전부 다 실존 아동촬영물들이다.

오픈블로그, 표현의 자유

수, 2019/10/23- 02:24

IT운동

‘사적 제재’가 없는 세상 – 디지털교도소가 던진 의문

글 | 손지원 (오픈넷 변호사)

최근 ‘디지털교도소’가 논란이 되면서, 개인이 다른 사람의 잘못을 폭로하는 이른바 ‘사적 제재’가 법치국가에서 용인되어선 안 된다는 목소리가 높아지고 있다. 디지털교도소만의 운영방식이나 표현 수위에 따른 특수한 문제에 대해서는 별개로 논의되어야 하며, 운영자는 그에 상응하는 법적 책임을 져야 할 것이다. 그러나 이를 계기로 국가 아닌 사인(私人)이 다른 사람의 신상을 공개하며 그들의 잘못된 행위를 알리는 활동 자체를 비판하고 금기시하는 목소리는 위험하다.

사실 ‘사적 제재’란 없다. ‘제재’란 본래 국가가 제도로써 잘못을 저지른 이들에게 일정한 의무를 강제적으로 부과하는 것이며, 개인이 이를 할 수는 없다. 아마도 여기서 ‘제재’란 사회적 비난을 당하게 되는 것을 상징하는 용어일 것이다. 그런데 개인이 다른 사람의 잘못을 알려―물론 그것이 진실이라는 전제하에―그들이 그에 상응하는 사회적 평가를 받도록 하는 것이 나쁜 일인가? 언론사가 기업이나 정치인의 비리를 추적하고 보도하는 것이나 미투 운동 등의 사회 고발 활동도 모두 이러한 사적 제재에 속한다. 타인의 잘못된 행위를 알리는 표현 활동은 행위자가 이로 인한 사회적 비난이 두려워 자신의 행위를 시정하도록 하여 피해를 구제하거나 제3의 피해도 예방할 수 있다. 또한 다른 사람들에게도 자신의 행위 역시 사회적 감시와 공개적인 비판의 대상이 될 수 있다는 경각심을 심어주어 사회구성원들이 공론장에서 좋은 사회적 평가를 유지하기 위해 각자의 행동을 반성하고 교정하도록 만든다. 민주주의 사회는 이렇듯 사회구성원들이 각자에 대한 평가를 교환하는 공론의 과정을 통해 발전한다. 언론사가 어느 총수 일가 등의 갑질 행태를 보도함으로써 부유층의 갑질에 고삐가 죄어질 수 있고, 미투 운동을 통해 사회에 만연한 크고 작은 성폭력, 성차별적 문화가 개선될 수 있는 것이다.

일각에서는 잘못된 ‘행위’에 대해서만 논하면 되지, 신상까지 공개할 필요는 없다고 주장한다. 그러나 신상공개는 곧 행위자를 특정하기 위함인데, 행위자를 특정하지 않으면 위와 같은 효용은 달성할 수 없다. 즉, 잘못을 저지른 사람은 다른 주변인들에 희석되어 자신에 대한 부정적인 평가를 면하고 자신의 행동을 교정할 동기도 없어지는 반면, 유사한 직종·특징을 가진 선량한 주변인들만 억울하게 피해를 입을 수 있고, 대중의 정당한 알 권리도 침해된다. 개인의 부조리는 사법 시스템을 통해서만 해결해야 한다는 주장도 있다. 그러나 사람이 자신이 저지른 행위에 대해 ‘법적’ 처단을 받는 것과 ‘사회적’ 평가를 받는 것은 별개의 책임 영역이다. 성희롱 등 모든 부조리한 행위가 법적 처단의 대상도 아닐뿐더러, 법이 있더라도 적정한 처단이나 보호를 하지 못하는 경우도 많고, 복잡한 사법 시스템을 활용할 여력이 없는 서민 피해자들도 많다. 양육비를 주지 않는 부모들의 명단을 공개하는 배드파더스는 법망을 피해 가던 양육비 미지급 건들을 다수 해결하고 양육비 미지급 문제를 크게 공론화했다. 또한 국가가 성범죄자의 신상공개를 하는 이유와 같이, 이미 과거의 잘못에 대해 법적 제재를 받았다고 해도 재발 위험은 있고, 사회구성원들이 이 위험으로부터 스스로를 보호하기 위해 알 권리가 우선되어야 하는 영역도 있다. 임금체불을 했던 업주, 식품위생법을 위반했던 식당 업주, 의료사고를 냈던 의사들의 명단을 알리는 사이트가 있다면, 이같이 노동자, 소비자의 합리적 선택에 필요한 정보를 알리는 공간들이 차단되어야 할까?

물론 개인이 하는 활동은 오류 가능성이 크므로 이 위험성을 지적하거나 정보의 신뢰도에 의문을 제기할 필요는 있으며, 행위자도 그에 상응하는 법적 책임을 지게 될 것이다. 그러나 마치 국가기관만이 개인의 비위 사실을 공식적으로 확인·공개해야 하고, 사인은 이를 공표해서는 안 된다는 식의 목소리는 민주주의 사회에서 헌법이 보장하고 있는 국민의 표현의 자유를 부정하는 것과 다름없다. 이러한 시각은 미투 운동을 비롯한 사회 고발, 언론사의 보도 등 사회를 움직이는 모든 ‘사적 제재’들을 위축시킬 것이다.

나쁜 짓을 해도 개인적 망신을 당할 염려는 없는 세상, ‘사적 제재’가 없는 세상이 과연 살기 좋은 세상일까. 나쁜 사람들만 더 살기 좋아진 세상은 아닐까.

이 글은 한겨레에 기고한 글입니다. (2020.10.26.)

오픈블로그, 프라이버시

화, 2020/10/27- 19:17

IT운동

인터넷 실명제의 위헌성

손지원 (오픈넷 변호사)

2019.11.

인터넷 실명제의 위헌성_손지원(오픈넷 변호사)다운로드

1. 들어가며

최근 한 연예인의 사망의 원인으로 대중들의 지나친 ‘악플’이 지목되면서, 악플 근절을 위해 인터넷 표현물 규제를 강화해야 한다는 목소리가 높아지고 있다. 가장 대표적으로 논의되는 제도가 인터넷 실명제이다. 인터넷상 표현물과 관련한 이슈가 부각될 때마다 인터넷 실명제 도입이 논의되는 것은 어제오늘 일이 아니다. 소수 세력의 기사 댓글창을 통한 여론 조작 논란이 불거졌을 때도 실명제 도입이 논의되었다. 그러나 인터넷 실명제는 이미 2012년도에 헌법재판소에서 위헌 결정을 받은 바 있다. 이하에서는 이 헌법재판소의 결정을 중심으로 그 위헌성을 구체적으로 검토하면서 도입이 쉽게 논의되어서는 안 되는 제도임을 논하기로 한다.

2. 인터넷 실명제의 의의

인터넷상 실명제는 다양한 방식으로 운영될 수 있으나, 크게 인터넷 서비스 이용시 이용자가 본인인지 여부를 확인하는 제도를 의미한다. 인터넷 이용자가 자신의 신원정보와 연계한 본인확인절차를 거쳐야만 특정 인터넷 서비스를 이용할 수 있도록 하는 조치를 강제하는 것이다. 헌법재판소에서 위헌 결정을 받았던 ‘본인확인제’는 인터넷 게시판을 설치․운영하는 정보통신서비스 제공자에게 게시판 이용자로 하여금 본인확인절차를 거쳐야만 게시판에 정보를 게시할 수 있도록 하는 조치를 마련할 의무를 부과하는 내용이었다. 인터넷 실명제는 인터넷 이용자가 인터넷을 통해 표현 행위를 하고자 할 때 개인의 동일성을 식별할 수 있는 정보를 제공하고 확인하는 절차를 거칠 의무를 부과함으로써 필연적으로 표현의 자유와 개인정보자기결정권을 제한하게 된다. 물론 인터넷 서비스 사업자가 이용자들과의 합의에 기초하여 실명제를 자율적으로 채택하여 운영하는 것은 사적 자치의 영역이다. 그러나 법으로 실명제를 규정하면 대상 서비스 내에서는 선택의 여지 없이 익명 표현의 가능성이 원천적으로 차단되고, 이용자와 사업자는 개인정보를 제공할 의무, 확인할 의무를 강제적으로 부담하게 된다.

3. 관련 헌법재판소 결정 개관

인터넷 게시판에 본인확인조치의무를 부과하여 게시판 이용자로 하여금 본인확인절차를 거쳐야만 게시판을 이용할 수 있도록 하는 본인확인제를 규정했던 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조의5 제1항 제2호(이하 ‘인터넷 게시판 실명제 조항’)에 대하여, 헌법재판소는 과잉금지원칙에 위배하여 인터넷게시판 이용자의 표현의 자유, 개인정보자기결정권 및 인터넷게시판을 운영하는 정보통신서비스 제공자의 언론의 자유를 침해함을 이유로 위헌결정을 내렸다(헌법재판소 2012. 8. 23. 결정, 2010헌마47). 결정요지에서는, “이 사건 법령조항들이 표방하는 건전한 인터넷 문화의 조성 등 입법목적은, 인터넷 주소 등의 추적 및 확인, 당해 정보의 삭제ㆍ임시조치, 손해배상, 형사처벌 등 인터넷 이용자의 표현의 자유나 개인정보자기결정권을 제약하지 않는 다른 수단에 의해서도 충분히 달성할 수 있음에도, 인터넷의 특성을 고려하지 아니한 채 본인확인제의 적용범위를 광범위하게 정하여 법집행자에게 자의적인 집행의 여지를 부여하고, 목적달성에 필요한 범위를 넘는 과도한 기본권 제한을 하고 있으므로 침해의 최소성이 인정되지 아니한다. 또한 이 사건 법령조항들은 국내 인터넷 이용자들의 해외 사이트로의 도피, 국내 사업자와 해외 사업자 사이의 차별 내지 자의적 법집행의 시비로 인한 집행 곤란의 문제를 발생시키고 있고, 나아가 본인확인제 시행 이후에 명예훼손, 모욕, 비방의 정보의 게시가 표현의 자유의 사전 제한을 정당화할 정도로 의미 있게 감소하였다는 증거를 찾아볼 수 없는 반면에, 게시판 이용자의 표현의 자유를 사전에 제한하여 의사표현 자체를 위축시킴으로써 자유로운 여론의 형성을 방해하고, 본인확인제의 적용을 받지 않는 정보통신망상의 새로운 의사소통수단과 경쟁하여야 하는 게시판 운영자에게 업무상 불리한 제한을 가하며, 게시판 이용자의 개인정보가 외부로 유출되거나 부당하게 이용될 가능성이 증가하게 되었는바, 이러한 인터넷게시판 이용자 및 정보통신서비스 제공자의 불이익은 본인확인제가 달성하려는 공익보다 결코 더 작다고 할 수 없으므로, 법익의 균형성도 인정되지 않는다.”고 판시하였다.

그러나 인터넷언론사가 선거운동기간 중 당해 홈페이지의 게시판 등에 정당ㆍ후보자에 대한 지지ㆍ반대의 정보를 게시할 수 있도록 하는 경우 실명확인조치를 의무화한 공직선거법 제82조의6 제1항 등(이하 ‘선거기간 인터넷 실명제’ 조항)에 대하여는 합헌 결정을 내렸다(헌법재판소 2015. 7. 30. 결정, 2012헌마734). 결정요지는 “선거운동기간 중 인터넷언론사 게시판 등을 통한 흑색선전이나 허위사실이 유포될 경우 언론사의 공신력과 지명도에 기초하여 광범위하고 신속한 정보의 왜곡이 일어날 수 있으므로, 실명확인조항은 이러한 인터넷언론사를 통한 정보의 특성과 우리나라 선거문화의 현실 등을 고려하여 입법된 것으로 선거의 공정성 확보를 위한 것이다. 실명확인조항은 실명확인이 필요한 기간을 ‘선거운동기간 중’으로 한정하고, 그 대상을 ‘인터넷언론사 홈페이지의 게시판ㆍ대화방’ 등에 ‘정당ㆍ후보자에 대한 지지ㆍ반대의 정보’를 게시하는 경우로 제한하고 있는 점 등을 고려하면, 이 사건 법률조항이 과잉금지원칙에 위배되어 게시판 이용자의 정치적 익명표현의 자유, 개인정보자기결정권 및 인터넷언론사의 언론의 자유를 침해한다고 볼 수 없다.”고 판시하였다. 그러나 여전히 정치적 표현에 있어 더욱 중요한 익명 표현의 자유를 심각하게 침해한다는 논란이 끊이지 않고 있으며, 헌법소원이 다시 제기되어 진행 중이다(2018헌마456).

4. 인터넷 실명제에 대한 헌법적 평가

가. 인터넷 실명제의 입법목적

인터넷 실명제의 입법목적은 ‘건전한 인터넷 문화의 조성’이다. 실명제 도입을 주장하는 측은 인터넷상의 언어폭력, 불법정보의 유통은 근본적으로 인터넷이 ‘익명의 공간’이기 때문이라고 본다. 즉, 인터넷의 익명성때문에 이용자들이 책임의식을 갖지 않게 되고 자기 검열을 해태하여 인터넷 공간이 불건전해진다는 것이다. 실명제는 이용자가 정보를 게시하는 경우 향후 신원확인을 통하여 형사처벌 또는 손해배상책임을 부담할 수도 있다는 점을 인식하게 되어, 표현 내용에 신중을 기하고 불법정보 등의 게시를 자제하도록 하고 책임있는 글쓰기를 유도할 수 있으며, 이로써 불법·유해 표현물의 유통을 ‘예방’할 수 있다고 본다. 또한 실제 불법정보가 게시된 경우 가해자를 쉽게 특정할 수 있는 기초자료를 확보함으로써 수사의 편의를 제공한다는 것도 목적 중 하나이다.

나. 침해의 최소성 위반

그런데 건전한 인터넷 문화의 조성이라는 입법목적은 실명제와 같이 인터넷 이용자의 표현의 자유나 개인정보자기결정권을 사전에 제약하지 않는 다른 수단에 의해서도 충분히 달성할 수 있다.

우선, 불법정보의 게시자는 현재의 인터넷 주소 등의 추적 및 확인 등의 기술을 통하여서도 특정하고 수사할 수 있으며, 게시자에 대한 사후적인 형사처벌, 손해배상 등의 제재수단도 충분히 마련되어 있다. 실제로 우리나라는 이미 과도하다고 할만큼 엄정한 명예훼손죄, 모욕죄 법제를 가지고 있으며, 고소·고발 및 처벌 건수가 가장 많은 나라 중 하나로 꼽힌다. 이러한 여러 제재수단의 집행만으로 실명제가 목적하는 일반예방 효과는 달성될 수 있다. 또한 불법정보의 유통 및 확산은 현행 정보통신망법상의 임시조치 제도, 방송통신위원회의 취급의 거부ㆍ정지 또는 제한명령, 방송통신심의위원회의 통신심의·시정요구 제도 등으로 차단할 수 있다.

이러한 인터넷상 불법정보의 유통의 폐해를 방지하고 건전한 인터넷 문화를 조성할 수 있는 규제 조항들이 있음에도, 모든 국민을 잠재적 범죄자와 같이 취급하여, 인터넷에 글을 쓰고자 하는 모든 이용자들이 사전에 신원정보를 제공하고 확인절차를 거치게 하는 것은 수사 편의에 치우쳐 목적달성에 필요한 범위를 넘는 과도한 제한을 하는 것으로서 침해의 최소성에 반한다.

다. 법익 균형성 위반

1) 익명 표현의 자유의 중요성

실명제는 인터넷 이용자가 본인 확인을 위하여 자신의 신원정보를 직·간접적으로 정보통신서비스 제공자에게 밝히지 않을 수 없도록 함으로써 표현의 자유 중 표현주체가 자신의 신원을 누구에게도 밝히지 아니한 채 익명으로 자신의 사상이나 견해를 표명하고 전파할 익명표현의 자유를 제한한다.

표현의 자유는 국민 개인적인 차원에서는 자유로운 인격발현의 수단임과 동시에 합리적이고 건설적인 의사형성 및 진리발견의 수단이 되며, 국가와 사회적인 차원에서는 민주주의 국가와 사회의 존립과 발전에 필수불가결한 기본권이다. 특히 익명이나 가명으로 이루어지는 표현은, 외부의 명시적ㆍ묵시적 압력에 굴복하지 아니하고 자신의 생각과 사상을 자유롭게 표출하고 전파하여 국가권력이나 사회의 다수의견에 대한 비판을 가능하게 하며, 이를 통해 정치적ㆍ사회적 약자의 의사 역시 국가의 정책결정에 반영될 가능성을 열어 준다는 점에서 매우 중요한 가치를 지닌다. 국가권력이나 막강한 정치·경제적 거대 권력에 저항하고 이를 비판하고자 하는 사람, 내부 고발이나 공익 제보를 하고자 하는 사람, 성소수자 등 사회적 소수자들이 각종 보복이나 불이익의 위험을 벗어나 자유롭게 목소리를 내기 위해서는 ‘익명’ 표현의 자유는 반드시 보장되어야 하는 것이다.

또한 익명 표현의 자유뿐 아니라, 이용자의 표현의 자유를 사전에 제한하여 일반적인 의사표현 자체를 위축시키고 자유로운 여론의 형성을 방해한다는 폐해도 있다. 즉, 실명제는 정보 등을 게시하고자 하는 자가 본인의 신원정보, IP 주소 등의 제공·확보에 따른 규제나 처벌 혹은 각종 사회적 불이익을 염려하거나 절차적 번거로움으로 인하여 표현 자체를 포기하게 만들 가능성이 높고, 그 결과 국민의 전반적인 표현행위를 억제·위축시킨다. 실제로, 실명제 실시 이후 게시판에 글을 올린 참여자 수가 약 1/3로 대폭 감소하여 이용자 간의 대화나 소통량 자체가 줄어들었다는 연구결과도 있다.^[1]

실명제는 이렇듯 인터넷을 악용하는 소수의 사람들이 존재하고 있다는 이유로 대다수 시민의 정당한 의사표현을 과도하게 제한하고 위축시킨다.

2) 실명제 시행으로 달성되는 공익은? – 실명제의 실효성

표현의 자유는 개인의 인격발현과 민주주의의 근간이 되는 중요한 기본권으로, 표현의 자유의 사전 제한을 정당화하기 위해서는 그 제한으로 인하여 달성하려는 공익의 효과가 명백하여야 한다.

그러나 실명제가 목적하는 효과는 이용자 개개인이 인터넷상에서 자신의 신원이 추적될 수 있음을 인식하고 책임있는 의견을 개진하리라는 막연한 ‘가능성’에 기대고 있다. 실명제 시행 이후에 명예훼손, 모욕, 비방의 정보의 게시가 표현의 자유의 사전 제한을 정당화할 정도로 의미있게 감소하였다는 증거를 찾아볼 없다는 것은 헌법재판소의 위헌결정 이유 중 하나이기도 하다.

또한 사실상 우리나라의 주요 포털은 회원 가입시 간접적인 본인확인절차를 거치도록 하고 로그인을 하여야만 글을 게시할 수 있도록 하고 있어, 이미 자율적으로 준실명제를 시행하고 있다고 보아야 하며, SNS는 보통 이용자들이 인적 정보를 상당히 노출하고 활동한다. 그럼에도 악플 등의 문제는 공간을 막론하고 끊임없이 발생하고 있다. 즉, 실명제를 시행하고 있지 않기 때문에 악플의 폐해가 발생하는 것도 아니고, 실명제를 시행함으로써 악플이 근절되는 것도 아니라는 것이다.

결국 인터넷 실명제는 달성될 수 있는 공익은 분명하지 않은 반면, 표현의 자유 등의 기본권을 과도하게 제한하는 제도로 법익 균형성을 위반한다.

5. 국제 동향

인터넷상의 불법ㆍ유해정보의 규제에 관한 외국의 입법례들을 보더라도, 미국이나 영국의 경우 인터넷상의 유해 정보에 대한 규제를 원칙적으로 업계의 자율에 맡기고 있고, 독일 등 유럽의 많은 국가들 역시 민간 주도의 자율규제를 기초로 하여 인터넷서비스 제공자의 책임제한이나 면책요건을 정하는 방식으로 관계 법령을 수립하고 있으며, 일본의 경우에도 불법ㆍ유해정보가 게시되는 때에 민관이 협조하여 사후적으로 대처하도록 규율하고 있다. 대부분의 주요 국가들 중 인터넷 실명제를 시행하고 있는 나라는 찾아볼 수 없다.

미국의 경우, 1960년에 연방대법원은 Talley v. California 사건에서 전단배포자의 신원확인을 강제하는 것은 익명표현의 자유 (right to anonymous speech)를 침해하는 것이라고 판단하였고, 1995년에 Mclntyre v. Ohio Elections Comm’n 사건에서 선거 유인물을 발행하는 사람이나 선거본부의 이름과 주소가 명기되지 않은 경우에 그 유인물의 배포를 금지시킨 오하이오주 법률을 내용규제에 해당하여 수정헌법의 핵심을 이루는 정치적 언론에 대한 제한이라고 하여 위헌선언한 바 있다.^[2]

‘프랭크 라 뤼 (FrankLa Rue)’ UN 표현의 자유 특별보고관은 한국보고서에서 공직선거법상 선거기간 인터넷 실명제 조항에 대해서도 개정을 권고했다.^[3] 실명제는 익명성을 기반으로 하는 표현의 자유에 영향을 미치며, 특히 정부에 비판적인 사람들이 자신의 견해를 밝힘으로써 받게 되는 형사상 제재 위협으로 인하여 의견 표명을 꺼리는 경향을 보일 것임을 우려하고 있다. 실명제는 사전검열이자, 익명성에 바탕한 인터넷상의 표현의 자유를 제한하고, 표현의 자유를 침해하는 것이라고 하였다. 인터넷 실명제는 국제법상 인권기준에도 명백히 어긋나는 제도다.

6. 나가며

2017년 정보통신정책연구원(오주현, 2018)의 보고서에 따르면, “최근 3개월 동안 인터넷 뉴스/토론 게시판에 댓글을 달거나 글을 작성 한 적이 한 번이라도 있다”는 응답자는 8% 정도였다. 한국언론진흥재단의 〈2017 언론 수용자 의식 조사〉에서도 “지난 1년간 인터넷 뉴스에 직접 댓글을 쓴 적이 있다”는 응답자도 11%에 불과했다. 10% 정도의 댓글창 이용자 중 심각한 수준의 악플을 게시하는 이용자는 이보다 더 적을 것이다. 소수의 악플러들이 존재한다는 이유만으로 국가가 모든 국민을 잠재적 범죄자로 취급하고, ‘당신이 범죄자일 수 있으니 당신의 신원을 먼저 확보해야겠다’거나, ‘당신이 당당하다면 신원을 공개하고 행동하라’는 식의 주문을 하는 것은 폭력이다. 최근 홍콩 시민들이 시위에서의 폭력행위를 방지한다는 명분으로 제정된 ‘복면금지법’에 대해 반발하는 이유를 생각해보라.

오프라인 세상에서도 사건·사고가 끊이지 않듯, 악플이나 불법정보 역시 온라인 세상에서 공기처럼 상존한다. 이들의 폐해를 줄이는 것은 마땅히 지향해야 할 목적이지만, 이것만이 절대시되어 모든 ‘수단’들이 정당화될 수는 없으며, 그것이 적정하고 비례한 수준인지가 항상 냉정하게 평가되어야 한다. 인터넷상의 문제가 발생할때마다 ‘실명제’처럼 대다수 선량한 일반 국민의 자유를 경시하고 전반적인 기본권 보호 수준을 저하시키는 극단적인 수단을 함부로 논하는 세태는 지양되어야 한다.

[1] 우지숙, 나현수, 최정민, ‘인터넷 게시판 실명제의 효과에 대한 실증 연구’, 행정논총 제48권1호.

[2] 홍진수, ‘인터넷 실명제 법제정을 위한 공청회 자료집’, p.21, (2006. 8)

[3] Frank La Rue (2011), “Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, Mission to the Republic of Korea”(A/HRC/17/27/Add.2), UN Human Rights Council, 21 March 2011

이 글은 한국법제연구원의 ‘법연 Winter 2019 Vol. 65, 정책을 보는 눈 – 인터넷 실명제’에 기고한 글입니다.

오픈블로그, 표현의 자유

토, 2020/02/01- 02:00

[공동논평] 삼성생명,SK텔레콤 등 개인정보무단결합 기업에 면죄부 준 검찰 규탄

<div class="xe_content"><h1>정보주체의 동의 없는 개인정보 결합 및 제3자 제공에 면죄부 준 검찰을 규탄한다</h1> 12개 시민단체는 2017. 11. 9. 4개의 비식별 전문기관과 20개의 기업을 개인정보보호법 위반 등의 혐의로 고발했다. 위 비식별 전문기관과 20개의 기업이 지난 박근혜 정부가 법적 근거 없이 제정한 ‘개인정보 비식별조치 가이드라인’(이하 ‘이 사건 가이드라인)에 따라 자신들이 보유한 개인정보를 정보주체인 시민들의 동의없이 결합하여 3억 4,000만여 건의 데이터로 가공하여 제공받았기 때문이다. 그러나 검찰은 2019. 3. 25. 위 고발에 관하여 혐의없음(증거불충분) 불기소처분(이하 ‘이 사건 불기소처분’)을 결정하였음을 통지했다. 이번 검찰의 불기소처분은 개인정보보호법의 해석 및 법률의 착오에 관한 검찰의 법리오해와 피의자의 일방적인 주장에 따른 사실오인에 기초해 내린 결정으로 부당하다. 구체적으로 아래와 같은 이유로 부당하다. 첫째, 검찰은 이 사건 가이드라인의 비식별조치가 재식별이 어려운 방법이라며 3억 4,000만여 건의 가공된 데이터를 개인정보가 아니라 판단하였는데, 이는 현행 개인정보보호법에 반하는 해석이다. 현행 개인정보보호법에 따르면, 특정 개인을 알아볼 수 없는 정보라 하더라도 다른 정보와 결합하여 식별할 수 있다면 개인정보에 해당한다. 전문기관에 제공된 정보의 경우 정보의 결합을 위한 연계키를 가지고 있으므로 재식별 가능한 가명정보에 해당하고, 정부주체의 동의 없는 개인정보 제3자 제공에 해당함이 명백하다. 면밀한 검토 없이 피의자의 일방적인 주장에 기초하여 이 사건 가이드라인에 따른 비식별조치가 재식별이 어려운 방법이라는 검찰의 해석은 지극히 자의적이다. 둘째, 검찰은 3억 4,000만여건의 가공된 데이터가 개인정보라 해당하더라도 피의자들이 상관이나 관계기관의 승인 또는 지시에 따른 행위를 했을 뿐이므로 형법 제16조 법률의 착오에 해당하여 벌할 수 없다고 판단하였는데, 이는 법률의 착오에 관한 법리를 형식적으로 해석한 것으로 부당하다. 이 사건 가이드라인은 지난 박근혜 정부가 법률의 위임없이 도입한 규범력 없는 행정지침으로, 개인정보보호법에 반하는 내용으로 구성되어 있다. 즉 개인정보보호법이 이 사건 가이드라인에 우선하여 적용된다는 점은 지극히 당연한 사실이다. 시민사회는 이 사건 가이드라인의 위법성을 지속적으로 지적해왔고, 피의자는 자신의 행위가 법률에 위배된다는 점을 충분히 인식하고 회피할 수 있었다. 따라서 이 사건 가이드라인을 작성한 국무조정실 등이 피의자들의 상관 또는 관계기관에 해당한다는 이유만으로 벌할 수 없다는 검찰의 해석은 형법 제16조 법률의 착오에 대한 형식적인 해석으로 타당하다고 볼 수 없다. 나아가 검찰은 이 사건 불기소처분의 사실인정 에 있어 피의자의 데이터 결합의 목적이 동의 없는 개인정보 활용이 가능한 통계 작성 등 연구의 목적이었다는 주장도 그대로 수용하였다. 피의자가 밝힌 목적은 ‘신용평가방안 연구’ 등으로 분명 ‘연구’라는 단어가 들어간다. 하지만 그 실질은 기업 내부에서 고객 성향 분석을 통한 사업적 활용을 목적으로 하는 것이기 때문에 이것이 개인정보보호법이 규정하는 통계작성 또는 학술연구에 해당하는지 의문이다. 따라서 위 검찰의 사실인정 또한 부당하다. 12개 시민단체는 이상과 같은 검찰의 부당한 이 사건 불기소처분에 대하여 항고를 제기할 예정이다. 지난 박근혜 정부가 도입한 이 사건 가이드라인은 도입 당시 동의 없이, 영리목적으로 개인정보를 무분별하게 유통할 수 있게 한다는 점에서 큰 논란이 되어왔다. 그리고 지난 2017년, 3억 4,000여건의 데이터가 이 사건 가이드라인에 따라 결합되어 동의없이 제공되었다는 충격적인 사실이 알려지면서, 논란이 단순한 우려가 아닌 현실이었다는 점이 드러났다. 그럼에도 불구하고 검찰은 형식적인 법해석을 통해 정보주체의 권리침해 현실을 외면하고, 개인정보보호법을 왜곡하는 이 사건 가이드라인을 비호했다. 검찰의 부당한 이 사건 불기소처분을 규탄하며, 신속한 재기수사를 촉구한다. 2019.4.1 건강사회를위한약사회, 건강사회를위한치과의사회, 건강실현을위한보건의료단체연합, 노동건강연대, 민주노총, 민주사회를위한변호사모임 디지털정보위원회, 언론개혁시민연대, 인도주의실천의사협의회, 진보네트워크센터, 참여연대, 참의료실현청년한의사회, 함께하는시민행동 논평원문[<a href="https://docs.google.com/document/d/1r086iJgLDtln-yhaxbXFMghY5NkCQu1K5ty…; rel="nofollow">보기/다운로드</a>]</div>

박근혜정부비식별조치가이드라인, 개인정보보호법, 정보주체자기결정권, 개인정보무단결합기업고발, 권력감시

월, 2019/04/01- 11:57

[공동논평] 문재인 정부는 ‘개인정보보호’를 포기한 정부로 기억되려는 것인가?

<div class="xe_content"><h1>문재인 정부는 ‘개인정보보호’를 포기한 정부로 기억되려는 것인가?</h1> <h2>유영민 장관의 ‘보호’를 뺀 ‘개인정보위원회’ 주장을 규탄한다</h2> <h2> </h2> 지난 4일 유영민 과학기술정보통신부 장관이 국회 4차산업혁명특위 업무보고 자리에서 “ '개인정보보호위원회'에서 '보호'라는 이름을 빼는 것에 대해 행정안전부 등과 협의하겠다"고 밝혔다. 개인정보의 보호가 데이터의 상업적 활용을 할 수 없게 발목잡고 있다는 유 장관의 인식은 경악스럽다. 법을 준수하고 집행해야 할 장관이 법이 정한 원칙을 부정하고 기업들의 상업적 이익을 위해 국민의 정보인권을 헌신짝 버리듯 한 것이다. 과학기술정보통신부 장관은 4차 산업혁명을 주관하고 있는데 이런 초법적 발상을 공공연하게 드러내는 것을 보면, 문재인 정부가 앞으로는 개인정보보호 운운하면서 뒤로는 전 국민의 정보인권을 특정 사기업들의 상업적 이익을 실현하기 위한 불쏘시개로 쓰려는 것은 아닌가 의심스럽다. 정부는 유영민 장관의 발언이 문재인 정부의 공식적인 정책방향인지 밝혀야 한다. 이제는 진실을 말할 때다. 유 장관의 인식과 달리 지금 우리 사회에서 국민의 개인정보는 큰 위험에 처해 있다. 대규모 개인정보 유출이 끊이지 않았고 이에 기생한 보이스피싱 등 각종 범죄로 국민들은 괴롭다. 초연결사회로 나아간다는데 국민의 프라이버시, 인권 따위는 예전보다 더 못한 취급을 받고 있다. 정부가 이러니 공공기관과 기업들은 국민들이 믿고 맡긴 정보를 팔기 위해서 혈안이 되어 있다. 전국 약국과 병원에서 환자 4천3백만 명의 처방전 50억 건이 미국 빅데이터 업체에 팔렸다. 건강보험심사평가원은 보험사들의 보험료 ‘연구’를 위해 환자데이터셋 수천만명 분을 팔아넘겼다. 박근혜 정부는 몇가지 비식별조치를 취하면 개인정보가 아닌 것으로 ‘추정’해 주겠다는 황당한 정책을 추진했고 공공기관이 나서 기업들의 고객정보를 결합해 주었다. 이건 더이상 미래의 일이 아니다. 당장 우리가 직면한 위험이다. 내 정보가 나의 의지와 무관하게, 때로는 나의 의사에 반해서 전세계에 팔려나가는 것이다. 이런 정보장사에 국민들은 속수무책이다. 그런데 문재인 정부의 검찰까지 비식별조치 기업들과 공공기관을 무혐의로 처리하였다. 이제는 인공지능의 불투명한 개인정보 처리로 대출, 보험, 구직 등 일상생활에서 차별받는 미래가 바로 눈앞에 와있다. 국민은 대체 누구를 의지해야 하는가. 정부와 기업의 개인정보 처리가 늘어나고 자동화될수록 정보주체가 자신의 개인정보 처리에 대해 제대로 알고 권리를 행사하기 어렵다. 그래서 1980년 유엔의 <전산처리된 개인정보 파일의 규제지침>을 비롯한 여러 국제규범은 개인정보 감독기구(Data Protection Authority)의 설치를 지지해 왔다. 정보주체를 보호하기 위해 개인정보보호법의 준수를 ‘감독’하는 국가기관이 필요하다는 인식이 세계적 추세에 부합한다. 정부와 기업처럼 힘있는 개인정보처리자들을 제대로 감독하기 위해서는 이들 기구의 독립성과 강력한 권한이 요구된다. 그래서 유럽사법재판소는 독립적인 개인정보 감독기구를 일컬어 ‘기본권의 수호자’라 칭하기도 하였다. 우리 시민사회 또한 우리 헌법이 보호하는 국민의 개인정보 자기결정권을 보호하기 위하여 독립적이고 강력한 개인정보 감독기구의 설치를 지지해 왔다. 문재인 대통령의 개헌안에 명시된 대로, 모든 사람이 자신에 관한 정보를 보호받고 그 처리에 관하여 통제할 권리를 행사하기 위해서는 제대로 된 개인정보 감독기구가 꼭 필요하다고 생각했다. 특히 우리나라에서는 정보주체가 자신의 정보를 통제할 수단이 많지 않기 때문에 국가 차원의 개인정보보호가 개인정보보호의 유일한 안전판 역할을 해야 한다. 그런데 유영민 장관의 발언은 문재인 정부가 바로 이 유일한 안전판마저 제거하려는 신호탄은 아닌지 걱정스럽다. 정말 문재인 정부는 개인정보를 보호할 최소한의 의지도 없다는 것인가. ‘개인정보위원회’로 바꾸겠다는 유영민 장관의 발상은 독립적인 개인정보 감독기구의 본질에 대한 완전한 왜곡이다. 정부 여당이 발의한 개인정보보호법안이 단지 개인정보처리자에게 봉사하는 기구를 만들겠다는 것이라면, 차라리 없는 것이 낫다. 박근혜 정부때부터 추진해온 개인정보 규제완화 정책과 다를 바 없는 <개인정보보호법안>과 <신용정보보호법안>에 대해 한마디 못하는 개인정보보호위원회가 무슨 소용이란 말인가. 국회에서 논의중인 이 법안들은 개인정보의 무분별한 판매와 공유를 허용하고 정보주체의 알 권리와 동의권을 박탈하는 내용들로 채워져 있다. 이전의 어느 정부도 이 정도까지 드러내놓고 개인정보보호를 거추장스러워하지 않았다. 특히 ‘개인정보보호위원회의 위상 강화’와 ‘무분별한 개인정보 이용에 대한 제재 강화’를 공약과 국정과제로 내세웠던 문재인 정부이기에 그 실망이 더욱 크다. 과학기술정보통신부는 허울좋은 4차 산업혁명을 빌미로 기업들의 이익과 자기 부처 먹거리만 찾아 기웃대는가. 다른 모든 정부부처와 청와대도 국민을 위해 개인정보를 보호하겠다는 약속을 저버리고 스스로 발의한 개헌안조차 부정하려는 것인가. 인권의 정부가 되기를 기대했던 문재인 정부가 ‘개인정보보호’를 포기한 정부로 기억되지 않기를 간절히 바란다. 끝. 2019년 4월 5일 경제정의실천시민연합, 금융정의연대, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, 함께하는시민행동. <a href="https://docs.google.com/document/d/190Y1gwC5k-Rsyc_4wAZUKJo6XgYTiUc57Qy…; rel="nofollow">원문보기/다운로드</a> <div> </div></div>

유영민, 개인정보보호위원회, 빅데이터, GDPR, 4차산업혁명, IMS건강정보매수사건, 데이터브로커, 권력감시

금, 2019/04/05- 12:56