위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

지역

위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

익명 (미확인) 님 | 목, 2016/10/06- 16:10

위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

글 | 민노씨(슬로우뉴스 편집장)

개인정보 플랫폼 기업이 개인정보를 판매 촉진 목적으로 활용하려고 할 때, 정보주체의 동의를 받아야만 하는지, 동의를 받지 않고도 분석, 가공, 판매할 수 있는지에 따라서 개인정보 플랫폼 기업에는 막대한 이윤 발생 여부가 결정된다. 이들의 이해관계가 첨예하게 걸려 있는 사안이다. (이은우 변호사, 정보인권연구소)

강원도에 사는 스무살 대학생 철수가 페이스북에 재잘거리는 한담이, 제주도에 사는 서른살 직장인 영희가 트위터에 올리는 짧은 한탄이 경제적인 가치를 지니는 ‘고급 정보’가 될 가능성은 그 자체로는 제로다. 하지만 10만 명의 철수가 100만 명의 영희가 모이면 얘기는 달라진다.

빅데이터, 그것이 문제로다

오늘날 컴퓨팅 기술은 천문학적인 규모로 생산되는 무수히 다양한 개인의 디지털 정보를 드디어 ‘정복’하는 단계에 들어섰다. 그걸 상징하는 용어는 ‘빅데이터’다. 이제 쓰고, 말하며, 대화하고, 소비하는 물리적인 컴퓨터 서버의 어딘가에 저장된다. 이제 디지털 저장기술은 인간의 기억을 대신한다. 우리는 그저 끊임없이 생산하고, 소비하며, 흘려보내면 그뿐이다.

그런데 그렇게 디지털 전자신호로 서버 속 공간 아닌 공간을 흘러갔던 정보는, 철수와 영희는 영영 모르는 채로, 이제 산업적인 가치를 가지는 정보로 재가공된다. 누구도 감히 시도하지 못했던 정보의 총체적 재구성이다. 모든 흩어진 의미가 ‘찬란한 귀향의 축제’를 맞는다. 기업 입장에서는 서비스를 더욱더 진화시키고, 이윤을 극대화할 기회이자 재료다.

luckey_sun, "big data", CC BY SA https://flic.kr/p/bx1jvU

luckey_sun, “big data”, CC BY SA

하지만 개인정보 주체들에게는 디스토피아의 서막일 수도 있다. 근대 이후 개인은 자신의 권리를 지키기 위해 국가 권력으로부터 자신을 숨길 수 있는 권리(홀로 있을 권리)를 ‘획득’했다. 그리고 오늘날 문명화한 국가는 국가권력의 부당한 간섭으로부터 자신을 숨기는 것에 그치지 않고, 자신의 개인정보를 통제할 수 있는 권리를 명문의 법률로 규정했다. 자기 정보 통제권(혹은 개인정보 자기 결정권)은 그렇게 탄생했고, 그 권리는 그저 주어진 것이 아니다. 개인정보에 관한 권리에 눈뜬 근대적 자아가 획득한 전리품이다. (→ 참고: 거짓말할 수 있는 권리)

단, 이 자기 정보 통제권이 각자 자신에 대한 정보를 공개된 정보와 비공개된 정보 가릴 것 없이 자신이 소유한 자동차를 소유하듯이 마음대로 통제할 수 있는 절대적인 권리로 해석하면 그것은 곤란하다. 이는 타인들 간에 진실한 정보를 공유하는 생활에 검열권을 가지게 하는 셈이라서 자기 정보 통제권은 균형을 고려한 해석이 불가피하다.

위험한 게임, ‘개인정보 비식별 조치 가이드라인’

기업에 빅데이터가 잠재적 부가가치를 창출할 가능성이라면, 자기 정보 통제권을 자신도 모르는 사이에 빼앗길 수 있는 개인에게는 잠재적 공포다. 그 ‘위험한 게임’이 지금 막 시작됐다. 이름은 ‘개인정보 비식별 조치 가이드라인’.

국무조정실
행정자치부
방송통신위원회
금융위원회
미래창조과학부
보건복지부

참여 부처의 이름에서 확인할 수 있듯 그야말로 통합 가이드라인이다. 그 골자는 이렇다.

‘개인정보라고 하더라도 비식별 조치(익명화)를 거치면 정보주체의 사전 동의 없이 기업이 이를 활용하도록 할 수 있다.’

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

가이드라인의 쟁점

이 글은 가이드라인의 개요와 쟁점을 단계적 ‘Q&A’ 형식으로 독자에게 최대한 쉽게 전하는 것을 목표로 한다.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) → 이하 ‘가이드라인’으로 표기.
개인정보보호법 → 이하 ‘개보법’으로 표기.

행정자치부 개인정보보호정책과 장한 과장 → 이하 ‘행자부’로 표기.
오픈넷 박지환 변호사 → 이하 ‘오픈넷’으로 표기.
정보인권연구소 이은우 변호사 → 이하 ‘연구소’로 표기.^[1]

1. ‘빅데이터’란 무엇인가

가이드라인의 중심에 있는 화두는 ‘빅데이터’다. 빅데이터 산업 육성이라는 가치와 개인보호라는 가치를 조화롭게 공존하게 하는 게 가이드라인의 취지라면, 이에 시민단체(오픈넷)와 정부(행자부)의 평가와 시각 차이는 명확하다.

오픈넷은“법률적으로 빅데이터에 대하여 정의된 바는 없다”고 전제한 뒤, “최근 빅데이터라는 단어 자체에 천착하여 빅데이터 산업의 진흥만이 주로 논의될 뿐, 빅데이터 환경이 정보 주체의 개인정보 자기결정권에 미치는 영향에 대한 논의는 부족“하고, 가이드라인도 이런 “흐름의 연장선”에 있다고 지적한다.^[2]

정보 개인정보 프라이버시

Intersection Consulting, CC BY NC

이에 대해 행자부는 빅데이터 산업 진흥과 개인정보의 관계는 “단순하게 이야기할 수 있는 성격은 아니”라면서, 이번 가이드라인이 데이터 이용함에 있어 “개인정보 보호를 위한 기준을 제시”했다고 자평한다.^[3]

2. ‘비식별 조치’란 무엇인가

가이드라인의 골자는 ‘비식별 조치’(익명화)다. 가이드라인은 비식별 조치 방법과 그 적정성을 평가하는 기준을 제시한다. 그런데 ‘비식별 조치’라는 용어, 익숙한가? 용어 정의부터 잘못됐다는 비판과 이에 대한 정부의 입장을 살펴보자.

연구소는 ‘비식별 조치’라는 표현 자체가 부적절하다면서 “용어 자체가 부적절한 법률용어”라고 말한다. 그렇다면 비식별 조치는 과연 어떤 의미일까? 개인정보 보호법제와 유사한 유럽연합과 일본의 용어 정의를 참고해보자.

유럽연합: “익명화된 데이터”(data rendered anonymous)^[4]
일본: 개인정보보호법의 개정시 “익명가공정보” 규정한다. 익명가공정보는 ‘특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서 해당 개인정보를 복원할 수 없도록 한 것을 말한다’고 정의한다.^[5]

더불어 ‘비식별 조치’ 혹은 ‘비식별화’라는 표현이 너무 모호하다고 지적한다. 가이드라인의 ‘비식별 조치가’가 ‘익명화’나 ‘익명정보’ 혹은 ‘익명가공정보’와 같은 의미라면 그냥 ‘익명화’나 ‘익명정보’로 쓰면 될 것을 “문법에도 맞지 않는 신조어”를 사용해 국민에게 혼동을 초래한다고 비판한다.

'비식별 조치'는 쉽게 말해 '익명화'라고 할 수 있다.

‘비식별 조치’는 쉽게 말해 ‘익명화’라고 할 수 있다.

반면 행자부는 익명화든 비식별 조치든 “이는 용어 선택의 문제일 뿐”이라고 일축하면서, “내용이 중요하지 용어 선택은 부차적”이라고 말한다. 그러면서 “요즘은 국제적으로 ‘비식별화’를 쓰는 추세”라고 부연한다.^[6]

한편, 오픈넷은 연구소 입장에 동의하면서, ‘익명화’라고 표현해야 정확하다는 입장이다.^[7]

3. 가이드라인의 ‘비식별 조치’ 평가 기준은 타당한가

여러 문제와 논란은 별론으로, 우선 가이드라인의 내용에 집중해 보자. 가이드라인은 ‘비식별 조치’와 이에 대한 적정성의 평가 기준과 절차를 규정한다. 그럼 가이드라인에서 제시하는 ‘비식별 조치’의 기준은 과연 합리적일까.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

연구소는 가이드라인의 위 해당 문답을 해석하면 “이는 재식별 가능성이 현저하지 않은 것은 개인정보보호법을 준수하지 않아도 된다는 것”이라면서 “유럽연합에서 익명정보가 ‘더 이상 재식별 가능성이 없는 것’을 의미한다고 지적한다. 더불어, 일본의 개인정보보호법에서도 ‘익명가공정보’란 복구 불가능한 것이라고 정의하고 있는 것과 비교할 때 잘못”이며, “재식별 위험이 현저하지만 않다면 개인정보 주체는 그 위험을 감수하라”는 가이드라인이라고 비판한다.

이에 대해 행자부는 해당 문답의 표현 중 “현저히”는 ‘강조 수사’에 불과”하다며, “해당 문구에 큰 의미를 부여할 필요가 없다”고 답변했다. 가이드라인의 “전체 체계”가 중요하고, 해당 문구는 “강조 수식에 불과”하다는 입장이다. 참고로, 행자부는 인터뷰에서 가이드라인의 법적 성질을 묻는 질문에 “유권해석집”이라고 답했다

한편, 오픈넷은 “표현의 모호성 때문에 ‘가이드’의 역할도 제대로 하지 못할 것”이라고 말하면서 가이드라인이 ‘유권해석집’이라면, “구체적인 법 규정에 대한 해석이어야” 할 텐데, “비식별 조치라는 것은 기존 법에도 없는 새롭게 창조한 개념”이고, 이를 해석한다고 하니 “내용뿐만 아니라 법적인 근거나 성질도 모호할 수밖에 없다”고 비판했다.

4. 비식별 조치에 대한 적정성 평가

가이드라인은 비식별 조치가 제대로 이뤄졌는지 평가하는 기준을 정한다. 이 적정성 평가 기준은 과연 타당한 것일까. 연구소는 ‘형식적이기 짝이 없다’고 비판하고, 행자부는 ‘다른 대안이 없다’고 말한다.

연구소는 가이드라인의 “적정성 평가 기준은 형식적이기 짝이 없다”면서 “K(익명성), L(다양성), T(근접성)의 세 가지 방법의 익명화 기술을 적용하라는 것”은 “겉으로는 복잡해 보이지만, 단순하기 그지 없다”고 지적한다. 그리고 무엇보다 이들 방법과 기준은 “재식별 가능성이 농후한 방법으로 지목받아 왔던 기술”이라고 비판한다.

이에 대해 행자부는 연구소의 비판은 “비판을 위한 비판”이라고 반박한다. “현재로썬 KLT 외에는 현실적인 대안이 없”고, “(오히려) 유럽에서는 K를 의무화하지 않았지만, 우리는 K를 의무화했다”면서 그만큼 개인정보 보호에 신경 쓰고 있다고 강조했다.

오픈넷은 해당 기술의 재식별 가능성도 중요한 이슈지만, “개인정보처리자 입장에서 특정 기술을 이용한 비식별 조치만을 취하면 개인정보가 아닌 것으로 추정되는 것인 양 오독할 여지가 큰 가이드라인 규정의 모호성이 가장 큰 문제”^[8]라고 지적한다.

5. 적정성 평가단: 고양이에 생선가게 맡기기?

가이드라인은 분야별 전문기관을 두고, 이 전문기관이 비식별 조치의 적정성을 평가하게 한다. 그런데 이 적정성 평가 기관에 ‘한국신용정보원’과 같은 빅데이터 산업과 이해가 직결한 이익단체가 속해 있어 문제다. ‘고양이에게 어물전을 맡기는 꼴’이라는 비판이 나오는 이유다.

연구소는 이들 기관이 “공정성을 기대하기도 어렵고, 혼란만 야기할 것”이라면서 특히 분야별 전문기관 중에는 “특히 사업자들 모임인 한국신용정보원이 포함”돼 있고, 금융보안원, 사회보장정보원, 한국정보화진흥원 등은 “성과 위주의 조직”임을 지적한다.

특히, 한국신용정보원은 금융업계 모든 고객의 신용정보를 통합해서 관리하는 기관(세계 최초)으로 여기엔 이들은 빅데이터 활용에 가장 큰 이해관계를 가진 다음 ‘이익단체’들이 참여한다. 더불어 이들 협회 소속 기업에서 그동안 각종 개인정보 유출 사고가 연례행사처럼 이어져 왔던 건 주지의 사실이다.

은행연합회
금융투자협회
여신금융협회
생명보험협회
손해보험협회 등

빅데이터 산업에 직접적인 이해관계를 가진 '이익단체'가 적정성 평가를 한다?

빅데이터 산업에 직접적인 이해관계를 가진 ‘이익단체’가 적정성 평가를 한다?

이에 대해 행자부는 연구소 측에서 특히 문제 삼은 ‘한국신용정보원’은 “우리가 지정한 게 아니라 금융위원회가 지정한 것”이라면서, “분야별로 소관 부처에서 관련 기업을 지원할 수 있는 기관을 지정한 것”이라고 우회적으로 답변했다.

이 문제 관해 오픈넷은 “전문기관 자체가 법률에 근거가 없”고, “정보주체들로부터 개인정보의 처리 권한에 대한 동의를 받지 않”았으므로, “사업자 모임 여부와 상관없이 부적절하다”고 답했다.

6. 입증책임 문제

가령, A라는 기업이 철수와 영희의 신용카드 구매 정보를 ‘비식별 처리’해서 B라는 기업에 팔았다고 가정해보자. 이때 비식별 처리가 제대로 이뤄졌다는 ‘입증’ 책임은 누가 질까? 철수와 영희일까? 아니면 A와 B라는 기업일까?

연구소는 가이드라인이 “비식별 조치가 적정하다는 평가를 받으면 해당 정보는 개인정보가 아닌 것으로 추정”된다고 규정하므로, 해당 정보를 어떤 개인이 “개인정보라고 주장하려면 개인정보 주체가 이를 입증해야 한다”고 해석한다.

이에 대해 행자부는 연구소 측 주장은 “근거 없는 주장”이라면서, “가이드라인에는 그런 내용이 없”으며, “당연히 비식별 조치를 한 측에서 (비식별 조치의 정당성과 적정성을) 입증해야 한다”고 말한다.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

입증책임 논란에 대해 오픈넷은 법원에 까지 가는 사안이 생기면, 법률에 근거가 있는 것은 아니지만 “가이드라인이 ‘추정한다’고 하니 반증이 없는 한 개인정보가 아닌 것으로 판단”될 가능성이 높다고 연구소 측에선 해석한 것이고, 행자부 쪽에선 원칙적으로 법원이 가이드라인에 구속되지 않으니 “각자도생’해야 한다는 식으로 답변”한 것으로 보인다면서, “가이드라인에 법적 근거가 없는 이상 개인정보처리자인 기업들 역시 가이드라인에 따라 비식별조치된 정보를 섣불리 수집 목적 외로 이용하거나 제3자 제공에 나서지는 않을 것”이라는 게 현 시점에서 가이드라인의 위치라고 답했다.

대법원

‘비식별 처리’ 문제로 ‘분쟁’이 생겨 법원에 가는 일이 생기면, 기업과 일반 시민 중에서 누가 입증책임을 질까?

연구소 측에 행자부 답변 내용을 전하자, 연구소 측에선 “가이드라인이 입증책임과 관련 없다면, 가이드라인(의 해당 문구)은 존재할 필요가 없다”면서, “가이드라인의 논리 체계에 반하는 해석을 주무 공무원이 공식적으로 답하는 것은 아주 무책임하다”고 논평했다. 더불어 가이드라인에 참여한 행정부처들을 고려하면 현실적으로 “어떤 개인이 ‘재식별화가 제대로 되지 않았다고 신고했을 때, 경찰이 어떤 기준을 따르겠는가?”라고 반문하면서, “경찰 수사에 있어서 가이드라인은 실질적인 수사 기준이 될 것”이라고 전망했다.

생각건대, 행자부의 답변은 궤변이다. 연구소나 오픈넷의 지적처럼, 가이드라인를 준수한 기업조차 다시 재판에서 ‘입증책임’의 부담을 져야 한다면 가이드라인의 존재 근거가 없고, 기업은 가이드라인을 따를 이유도 없다. 반면에 그렇다고 입증책임을 개인에게 지운다면 이는 더 큰 문제다. 가이드라인의 딜레마인 셈이다.

7. ‘결합지원’ 문제

가이드라인은 각각 비식별 조치를 한 개인에 관한 별개 정보집합물을 전문기관에서 개인별로 결합시켜 주겠다고 한다. 예를 들면, 비식별 조치를 한 통신사 고객정보와 비식별 조치를 한 신용카드사 고객의 신용카드 사용정보를 전문기관에 보내주면 각 개별로 결합시켜 결합정보를 제공하겠다는 것이다.

예를 들어 가이드라인은 00홈쇼핑의 고객정보와 xx카드사의 구매금액 상위 10% 고객의 구매 내역 정보를 결합하여 xx카드사의 구매금액 상위 10% 고객 중 00홈쇼핑 고객을 골라 내서 구매내역을 분석할 수 있다고 한다. 이것은 홈쇼핑과 카드사가 고객의 동의도 받지 않고, 카드 구매내역을 분석하도록 허용하는 것과 같은 결과를 초래한다.

특히 결합은 산부인과나 산후조리원, 초등학생이나 유아 등 민감한 정보에도 무방비다. 이런 식이면 산부인과나 산후조리원은 환자나 산모의 동의도 받지 않고 임신, 출산한 고객 중 월 500만 원 이상 신용카드를 이용한 고객의 구매내역을 분석할 수도 있고, 초등학생 대상 학원에서는 초등학생이나 부모의 동의를 받지 않고도 통신사로부터 초등학생의 이동경로를 분석할 수도 있게 된다. 당사자는 이런 정보 결합에 대해 알지도 못하고, 반대할 기회도 갖지 못한다. (연구소 발제문 참조)

연구소는 비식별 조치를 했지만, 개인을 결합할 수 있다는 것은 “비식별 조치를 한 정보가 익명정보가 아니라는 것을 반증”하는 것이라면서 “만약 개인을 식별할 수 없도록 익명정보로 만들었다면 익명정보가 누구의 정보인지를 알 수 없는 것이기 때문에 다른 정보와 결합하는 것은 불가능하다”하다고 지적한다.

결합지원 이슈에 대해 행자부는 “리스크를 최소화하면서 나름으로 안을 짰는데, 결과적으로 유럽과 유사”하게 됐다면서 “신뢰할 수 있는 제3기관을 통해서 지원”하는 것이라고 답했다.

오픈넷은 “법률적 근거가 없는 전문기관에 의한 결합지원 역시 개인정보 자기 결정권을 침해”할 수 있다고 지적했다.

아이돌 그룹 대부분이 앨범 3~4만 장을 파는 현실에서 TIF는

비식별 조치된 정보의 ‘결합지원’ 문제 역시 가이드라인이 다루는 중요한 문제 중 하나다.

왜 가이드라인가, 누구를 위한 가이드라인가

행자부는 가이드라인의 법정 성질을 (개인정보보호법에 관한) “유권해석집”이라고 말한다. 그런데 왜 법을 개정하지 않고, 가이드라인으로 만들었을까? 행자부는 “법 개정은 오히려 업계에서 하는 주장”이라면서, “일본법은 개정안이 통과돼서 내년부터 시행될 예정”이라며 “(일본은) 법에서 규정한 안전조치(비식별 조치)를 준수하면, 기업의 책임이 면제”되므로, 우리나라 “업계에서도 법 개정을 원한다”고 말한다.

하지만 연구소 측은 “법률 개정이 필요한 사항을 가이드라인으로 만드는 것은 입법권을 무시하는 처사”라면서 가이드라인은 “상당한 재식별 가능성이 있어도 이를 무시하고 개인정보보호법의 적용을 배제”하고 있으므로, “즉각 폐기해야” 한다고 주장한다.

말도 많고, 탈도 많은 가이드라인, 과연 누구를 위한 것일까?

기업의 선의를 믿는다면, 기업은 더 좋은 서비스를 위해 비식별화한 정보를 활용할 것이고, 이는 서비스를 향유하고 소비하는 이용자에게도 좋은 일이다. 그리고 기업이 자신의 이익을 극대화하기 위해 재식별화하려는 욕망을 표출할 수밖에 없다는 견해도 부정적인 선입견일 수 있다.

하지만 인간은 과거에 있었던 행위를 회고하고, 성찰함으로써 미래를 전망한다. 기업의 개인정보 유출 사고뿐만 아니라 기업의 개인정보 ‘매매 사건’(홈플러스 사건), 거기에 더해 이런 개인정보 관련 사건 사고를 처리하는 국가권력(검찰)과 이를 최종적으로 판단하는 법원의 개인정보에 관한 인권 감수성(홈플러스 무죄 선고)을 떠올리면 개인정보의 주체, 그러니 평범한 시민이 기업의 선의, 관리자이자 감시자로서의 국가, 공정한 심판관으로서의 법원을 손쉽게 믿어주기 어려운 것 역시 사실이다.

홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원인데, 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원이었다. 홈플러스는 지난 6월 초 매물로 나왔다. 지분 100%의 평가액은 7조 원을 호가한다.

홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원. 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원. 그리고 법원에서는 무죄. 홈플러스 사건은 기업이 개인정보를 다루는 관점과 방식, 국가기관의 관리감독 능력, 그리고 공정한 심판자로서의 법원의 판단, 이 모두가 여전히 신뢰를 보내기에는 부족하다는 사실을 여실히 드러낸 사건이다.

여기서 하나 더 질문해보자. 가이드라인이 아니면 정말 기업이 빅데이터 산업 분야에 제대로 뛰어들 수 없는 걸까. 우리나라 개인정보 보호법제는 빅데이터 산업 육성에 방해 요소일까. 이미 개인정보보호법^[9]은 “통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우” 동의 없이 새로운 목적으로 이용하거나 제3자에게 제공할 수 있다고 규정한다. 빅데이터는 바로 통계를 목적으로 삼고 있지 않나.

연구소는 “현재의 개인정보 보호법제는 빅데이터 활용에 장애 요소가 아니”라고 말하면서, 우리나라 공공 부문에서 발주하는 사업을 분석해 보더라도 공공 부문 빅데이터 활성화를 위해서는 “개인정보를 익명화하여 처리하거나 동의받는 것을 기초로 하더라도 충분하며, 비식별정보 동의 면제가 있어야만 빅데이터를 활용할 수 있다는 근거를 찾기 어렵다”고 주장한다.^[10]

Julien Belli, CC BY https://flic.kr/p/o3eDX5

빅데이터와 개인정보의 문제는 기본적으로 정보 처리 주체와 관리감독 기관에 대한 신뢰의 문제다. (출처: Julien Belli, CC BY)

그렇다면 가이드라인을 둘러싼 이 온갖 논란에 관한 해법은 무엇일까. 명확한 현실 인식은 그 해법을 마련하는 초석이다. 오픈넷의 답변으로 결론을 대신한다.

가이드라인 제정이 지나치게 급한 호흡으로 이루어졌다. 특히 시민사회의 의견 수렴이 매우 형식적으로 이루어졌다. 즉 가이드라인은 빅데이터 산업 진흥이라는 버즈워드(buzz word)에 천착한 것이라고 본다. 그리고 가이드라인 상 비식별 조치에 의한 “동의” 면제 시도는 개인정보 자기 결정권을 무력화할 우려가 크다.

정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 “동의” 제도는 개인정보 자기결정권을 실질적으로 구현하는 방법으로 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있기 때문이다. 가이드라인의 뼈대라 할 수 있는 “비식별조치에 의한 동의 면제”는 개인정보 자기결정권의 핵심을 이루는 “동의” 제도를 무력화하는 것으로 이는 법률 개정으로 다루어야 할 문제이다.

특히 가이드라인에 따른 비식별 조치를 거쳤다고 하더라도 개인정보 재식별 위험성은 주민등록번호 제도 및 인터넷 상 본인확인을 강요하는 수많은 법률에 의해 그 어느 나라보다도 크다. 특히 본인확인기관으로 지정된 이동통신사는 식별 가능성이 가장 크다.

오히려 사물인터넷과 빅데이터 시대에 동의에 기반한 개인정보보호가 불충분하다. 어떻게 개인정보 자기 결정권을 보장할 수 있을 것인가에 대한 발전적 논의가 필요한 시점이라고 할 수 있다. 더불어 법적 근거 없는 전문기관의 운영은 매우 위험한 발상이며 개인정보보호위원회의 개인정보보호 콘트롤 타워로서의 기능 확립 필요하다.

우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면 주민등록번호가 모든 자물쇠를 여는 '만능 열쇠' 역할을 할 수 있기 때문이다.

우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면, 주민등록번호가 모든 자물쇠를 여는 ‘만능열쇠’ 역할을 할 수 있기 때문이다.

——————————————-

[1] 이은우, 마케팅 활용 목적 빅데이터 활용과 판매: 개인정보 플랫폼 기업의 탐욕과 비식별화 조치 가이드라인 (빅데이터 시대 개인정보 보호를 위한 정책토론회, 2016. 9. 7. 국회의원회관 제9간단회의실) 별도 인터뷰 인용이 아닌 문단에는 문단이 끝나는 위치에 괄호( )로 해당 발제문의 페이지 수를 표시했음.

[2] 다만, 빅데이터는 통상적으로 사용되는 데이터 수집, 관리 및 처리 소프트웨어의 수용 한계를 넘어서는 크기의 정보라고 정의되며, 데이터의 양(volume), 데이터 입출력 속도(velocity), 데이터 종류의 다양성(variety)데이터의 양(volume), 입출력 속도(velocity), 종류의 다양성(variety)이라는 세 개의 차원에서 분석할 수 있다(가트너 보고서). 이를 빅데이터의 3V라고 하는데, 3V가 커질수록 그 데이터의 산업적 가치는 높아지지만, 이에 비례하여 개인정보의 유출 위험성이나 개인정보 자기결정권이 침해될 가능성도 커진다.

[3] 현 가이드라인이 기존에 행자부, 미래부, 방통위에 존재했던 개별안들이 ‘비식별’ 기술를 소개하고, 안내하는 수준이었다면, 검증절차와 보호조치에 관한 내용을 보완하면서 기존 개별안들을 통합한 것이다.

[4] 개인이 더는 식별될 가능성이 없다면(“no longer possible”) 개인정보로 보지 않는다고 규정한다.

[5] 그러면서 미국은 ‘개인정보’라는 개념 대신 ‘개인식별가능정보’(personally identifiable information)라는 개념이 법령에 정의되어 제한적인 보호 대상이 되고 있다고 더불어 언급하는데, 미국은 우리나라의 개인정보보호법제와 다르기 때문에 미국에서 개인정보호보규범이 적용되지 않는 범위를 규정한 비식별화(‘de-identification’) 규정이나, 그에 따른 비식별화(‘de-identification’) 가이드라인을 법제가 다른 우리나라 개인정보보호법에서는 그대로 적용할 수 없는 규정이라고 설명한다.

[6] 참고로, 현행 개보법에는 ‘비식별 조치’라는 용어나 표현은 없다. 다만 법(제18조 제2항 제4호)에서는 개인정보처리자 동의 없이 수집 목적 외로 이용하거나 제3자 제공이 가능한 예외로 “통계작성이나 학술연구 등의 목적으로 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 수 있다.” 고 규정하는데, 이 규정에서 개인정보를 “특정 개인을 알아볼 수 없는 형태”로 변환하면 제한적 목적(통계작성이나 학술연구 등)이긴 하나 동의 없는 이용이나 제공이 가능하므로 이를 ‘비식별 조치’ 혹은 ‘익명화’를 간접적으로 언급한 규정이라고 할 수 있다.

[7] 가이드라인이 창설한 비식별화(비식별 조치) 개념은 재식별화하여 개인정보로 인정될 위험성이 상존해 있는 상태를 의미하며, 만약 비식별화를 거쳐 동의 없이 이용, 제공한 경우 식별 여부에 대한 사법적 판단에 따라 특정 시점에서는 개인정보보호법을 위반할 우려가 있는 법적으로 매우 불안정한 상태를 의미한다.(오픈넷)

[8] 물론 가이드라인에서는 특정 기술조치 여부뿐 아니라 종합적 관점에서 판단한다고 이야기하고 있긴 하다.

[9] 제18조 제2항 제4호

[10] 유럽연합은 우리 법제보다 빅데이트 활용과 관련하여 프로파일링에 대한 규율을 신설, 보완하고, 동의에 대한 규정, 투명성에 대한 규정 등과 관련하여 개인정보주체의 권리를 강화하는 방향으로 법률을 개정하고 있다. 그런데 유럽에서 개인정보보호법제 때문에 빅데이터 활용에 제약이 있다는 움직임을 보이지는 않는다. 기업이 재식별화할 의사가 없더라도 재식별화할 가능성이 있다는 것이 문제고, 비식별화한 정보가 다른 업체에 매매됐을 때 다른 정보와 결합해서 손쉽게 재식별화된다는 것이 문제다. 이는 MIT 미디어랩의 연구를 통해서도 실증됐다. 가령 카드사의 구매 정보를 비식별화해서 이 정보를 이통사(이동정보)에 넘겼다면, 두 가지 정보가 결합되면 누가 어디서 어떤 물건을 구매했는지 알게 된다. 재식별화 의지가 없다라도 자동적으로 재식별화된다. 재식별화하면 훨씬 더 가치 있는 정보가 되는데 기업에서 안 할 이유가 있겠나. 더불어 재식별화 의지가 없더라도 해당 정보가 유출되어 악용될 가능성이 상존하니 그것도 문제다. (연구소)

* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.10.06.)

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

IT운동

FAT/Asia Hong Kong 2019 참가 후기(2019.01.11.-12.)

2019. 1. 11.-12. 이틀에 걸쳐 Digital Asia Hub가 주최하고 The Ethics and Governance of AI Initiative 와 the Konrad-Adenauer-Stiftung가 후원하는 FAT/Asia Hong Kong 2019에 김가연 변호사가 참석했습니다. FAT는 Fairness, Accountability, Transparency를 의미하며 머신러닝과 알고리즘의 공정성, 책임성, 투명성에 대해 논의하는 이니셔티브입니다. 김가연 변호사는 첫날 오프닝 세션에서 한국과 일본의 AI 윤리 동향 등에 대해 이야기하고 세션 1의 사회를 맡았습니다.

FAT/Asia Program

오프닝 세션 Taking Stock of Trends and Challenges: Perspectives from Multiple Disciplines 메모

In Korea, AI ethics, or Roboethics has a relatively long history of 12 years.
In 2007, the Ministry of Industry and Energy (Ministry of Commerce) disclosed the draft of the Robot Ethics Charter. It included not only robot ethics but also researcher ethics and user ethics, which we boast as the first in the world. However, the draft is yet to be finalized.
- Not really different from Asimov’s robot principles
The Intelligent Robots Act 2008 was amended in 2016 to mandate the government to enact the AI Ethics Charter.
- At the end of last year, the Ministry of Science and ICT announced that it will finalize the charter.
- In 2016, in terms of accountability, the draft made it designers, manufacturers, and users’ responsibility if a robot causes any damage or harm.

Kakao published “Kakao Algorithm Ethics” in January 2018:

enhance mankind’s benefit and wellbeing and keep all efforts for algorithm development within the ethical framework of society;
ensure that algorithms shall not generate biased results;
collect and manage data for algorithm learning in accordance with social-ethical norms;
ensure that algorithm shall not be manipulated internally or externally; and
provide explanations on algorithm to strengthen users’ trust to the extent that it does not compromise corporate competitiveness.

KAIST Killer Robot controversy in April 2018:
- More than 50 leading academics from nearly 30 countries signed the letter calling for a boycott of Korea Advanced Institute of Science and Technology (KAIST) and its partner, defense manufacturer Hanwha Systems. The researchers said they would not collaborate with the university or host visitors from KAIST over fears it sought to “accelerate the arms race to develop” autonomous weapons.

Japan:

2004 World Robot Declaration
2017 Japan Society for AI Ethical Guideline
2018 Japan Ministry of Internal Affairs and Communications AI R&D Guideline draft

오픈블로그, 혁신과 규제

수, 2020/03/11- 05:27

IT운동

매크로금지법(여론조작방지법)의 위헌성 – 이용자 표현의 자유 침해를 중심으로

글 | 손지원 (오픈넷 변호사)

제20대 국회 과학기술정보방송통신위원회(이하 “과방위”)가 잠정 합의했던 것으로 알려진 정보통신망법 개정안은 일명 ‘매크로금지법’, ‘실검 조작 방지법’ 등으로 불리운다. 이용자가 부당한 목적으로 매크로 프로그램을 사용하거나 타인의 개인정보를 이용하여 정보통신서비스 제공자의 서비스를 조작하는 행위를 금지하고, 일정규모 이상의 정보통신서비스 제공자는 해당 서비스가 이용자로부터 조작되지 않도록 기술적, 관리적 조치를 해야한다는 내용이다.

본 개정안은 이미 잘 알려진 바와 같이 ‘여론 조작’, 즉, 실시간 검색어 순위나 댓글 등이 매크로 프로그램이나 타인 계정을 이용하여 조작되는 결과를 방지한다는 것이 가장 큰 명분이다. 그러나 검색어를 입력하거나, 글을 게시하거나, 게시물에 대한 호불호를 표시하는 행위와 이를 실현함에 있어서 직접 수동으로 행할 것인지, 매크로 등의 자동화된 기술을 이용할 것인지, 혹은 익명‧가명으로 표현할 것인지, 타인의 허락하에 타인의 계정으로 표현할 것인지의 여부는 모두 원칙적으로 표현의 자유라는 기본권 행사의 영역이다. 따라서 이러한 행위를 제한하는 법은 모두 표현의 자유를 제한하는 규제로서 엄격한 헌법상의 표현의 자유 제한 원칙이 적용되어야 한다. 즉, 판단주체의 자의적 기준에 따라 표현행위의 제한 여부가 남용되는 결과를 방지하기 위하여, 표현의 자유를 규제하는 법률은 규제되는 표현의 개념을 세밀하고 명확하게 규정해야 한다는 ‘명확성의 원칙’과, 표현 행위가 단지 장래에 해로운 결과를 가져올 수 있다는 추상적 해악의 발생 가능성만을 이유로 제한해서는 안 되고, 중대한 해악을 초래한 명백하고도 현실적인 위험성이 입증된 경우에 한하여 제한할 수 있다는 ‘명백하고 현존하는 위험의 원칙’ 등을 준수해야 한다.

그러나 본 법안은 명확성 원칙에 위반할 소지가 높다. ‘부당한 목적’이란 매우 추상적이고 불명확한 기준으로써 표현의 자유를 제한하는 법률 용어로 사용될 수 없다. 최소한의 예시 개념도 없이, ‘목적’이라는 누군가의 주관적인 내심의 의사가 ‘정당’(이치에 맞아 올바르고 마땅함)한지, ‘부당’(이치에 맞지 아니함)한지를 누가 어떤 기준으로 판단하고 확인할 것인가. 본 법안의 모태였던 개정법안들, 즉, ‘여론 조작 금지’를 목적으로 드루킹과 같은 행위를 방지해야 한다며 발의된 개정법안들 역시 ‘정치적 이익을 위하여’ 등의 불명확한 기준을 사용하고 있었는데, 정치적 이익을 목적하는 행위라면 본조의 ‘부당한 목적’으로 포섭시킬 가능성이 높다. 그런데 만일 기업이 본인들의 비리를 폭로하고 있는 불리한 기사를 밀어내기 위한 각종 작업을 하고 있는데, 이 사실이 대중에게 꼭 널리 알려져야 한다고 생각하는 사람이 해당 검색어 순위나 기사를 상위에 노출하기 위해서 매크로를 이용한 행위는 ‘부당한 목적’인가? 또 만약 장애인단체가 정당이나 정치인의 장애인 혐오발언 사실을 알리고 그들의 지지율을 떨어뜨리기 위해 단체 구성원들의 포털 계정의 포괄적 이용 허락을 받아 게시글, 댓글을 올리거나, 추천을 누르는 집단행위를 도모하였고, 장애인인 운영진이 그 과정을 간편하게 하기 위해 매크로 기술을 사용하였다면, 이는 ‘정치적 이익’을 위한 ‘여론 왜곡’ 행위인가, 아닌가?

또한 ‘서비스를 조작’하는 행위가 무엇인지에 대해서도 명확한 정의를 내릴 수 없다. 입법 의도상 실검이나 댓글의 추천수, 조회수 등의 결과에 영향을 미치는 행위를 이에 포함시키려는 것으로 보인다. 협의안의 배경이 된 소위 회의록을 보면 “안 제48조 4항 서비스를 조작하여서는 아니된다의 내용에 ‘게시판에 부호, 문자, 음성, 음향, 화상, 동영상 등의 정보를 반복적으로 게재, 입력하거나 게시판에 게재된 정보의 조회수, 추천수, 또는 실검 순위를 변경, 조작하여서는 아니된다’라는 등으로 ‘변경’의 의미도 포함된다는 것을 명시해주길 바란다”는 취지의 발언이 있다. 그렇다면 ‘변경’의 대상이 될 ‘본래’의 서비스란 무엇인가? 한 사람이 순수한 의도를 가지고 직접 행한 1회의 의사표시를 반영한 결과를 제공하는 것을 본래의 서비스로 해석해야 하는가? 그렇다면 이를 어떻게 증명할 것인가? 생각건대 크라우드 소싱을 본질로 하는 인터넷 서비스는 불특정 다수의 이용자들의 다양한 이용행태를 반영함으로써 비로소 ‘완성’되는 것이다. 일부 이용자가 서비스 제공자의 서비스 프로그램 자체를 훼손하지 않으면서 단지 그 프로그램의 기계적 알고리즘을 이용하여 서비스 결과에 영향을 미친 행위는 서비스의 ‘이용’ 그 자체로 보아야하지, 이를 ‘변경’이나 ‘조작’으로 보아서는 안 된다.

결국 위와 같은 개념들을 사용하고 있는 본 법안은 법률의 수범자인 일반 국민과 정보통신서비스 제공자, 나아가 법의 집행자에게도 명확한 기준을 제시하지 못하여 판단자의 자의적 기준에 따라 남용될 위험이 높은 위헌적 법안인 것이다.

한편, 본 법안이 규제하고자 하는 행위가 과연 강제 규제나 형사처벌의 필요성이 있는 행위인지, 즉, ‘명백하고 현존하는 위험’이 있는 표현행위로써 이를 규제하는 것이 헌법상 비례의 원칙에 부합하는 것인지도 따져볼 필요가 있다.

매크로를 이용하거나 타인의 개인정보를 이용하여 표현행위를 하는 것이 서비스 제공 약관에 어긋나는 이용행태라 할지라도, 즉, 이용자들이 서비스제공자가 기대하는 방식대로 서비스를 이용하지 않았다고 할지라도, 이를 형사처벌 대상으로 삼는 것은 과도하다. 위에서 말한 바와 같이 일부 이용자가 서비스 제공자의 서비스 프로그램 자체를 훼손하지 않으면서 단지 그 프로그램의 알고리즘을 이용하여 서비스 결과물에 영향을 미쳤다고 하더라도, 그와 같은 위험은 크라우드 소싱을 본질로 하는 서비스 내에 이미 내포되어 있는 것이며, 서비스제공자는 이러한 위험을 감수하면서 자율적 선택에 따라 일반에게 서비스를 제공하고 있는 것이다. 따라서 조작 가능성을 포착하고 더 나은 서비스로 개선할지, 관련 서비스를 중단할지 여부도 서비스제공자가 자율적으로 결정하고 해결하여야 할 문제다. 만일 서비스 제공자의 영업상 이익의 침해가 발생했다면 이용약관 위반의 책임을 물음으로써 민사적으로 해결하거나 서비스 제공을 중단하면 되지, 국가의 형벌권이 개입하여 많은 인터넷 이용자를 함부로 형사 수사 및 처벌의 위험으로 몰아넣을 일이 아니다.

또한 타인의 용인, 위임 하에 타인의 계정이나 정보를 이용하거나, 매크로와 같은 기술을 이용하는 등 각종 방법을 통해 ‘소수의 의견이 실제보다 다수의 의견처럼 보였다’는 것만으로, 이러한 행위를 법으로 규제할만큼 타인의 권리나 사회적 법익에 어떠한 ‘명백하고 현존하는 위험’을 초래하였다고 보기는 어렵다. 각종 캠페인이나 집회, 시위 등 모든 형태의 표현행위는 실제보다 더 큰 위력을 대외적으로 과시함으로써 더 큰 영향력을 발휘하고자 하는 동기를 가지기 마련이며, 정치활동의 본질이 바로 자신이 더 많은 사람들을 대표하고 있음을 내세우는 행위라고도 할 수 있다. 또한 ‘여론’이란 일의적으로 정의되거나 보여질 수 있는 것이 아니기 때문에 ‘왜곡’, ‘조작’이라는 것도 증명할 수 없으며, ‘순수한 여론’을 그대로 보여주는 것이 인터넷 서비스 사업자 본연의 업무라고도 할 수 없다.

즉, 이와 같은 방식의 표현행위가 실질적으로 어떤 중대하고 명백한 해악을 가져왔는지에 대한 충분한 입증과 근거없이 자의적 판단에 따라 남용될 수 있는 불명확한 기준을 내세워 국민의 일반적인 표현 행태를 원천적으로 금지하거나 형사처벌 등을 무분별하게 규정하는 것은 헌법상 과잉금지원칙 및 명백하고 현존하는 위험의 원칙 등에 위배하여 표현의 자유를 침해하는 것이다. 매크로 사용이나 여론 조작을 금지하는 법이 다른 어느 나라에도 존재하지 않는 이유를 생각해보아야 한다.

한편, 정보통신서비스 제공자에게 ‘해당 서비스가 이용자로부터 조작되지 않도록 하는 기술적, 관리적 조치’와 같이 추상적이고도 세세한 조치의무를 과도하게 부과하는 것 역시, 정보통신서비스 제공자가 선택에 따라 이용자들의 자유로운 서비스 이용 환경을 보장할 권리를 침해하고, 다양한 인터넷 서비스의 발전을 저해할 뿐만 아니라, 서비스와 이용자들의 행태를 상시적으로 감시, 검열하게 함으로써 일반 국민인 이용자들의 인터넷상의 자유를 위축시키는 결과로 이어진다.

인터넷 서비스가 순수한 여론을 보여주는 공간이 되어야 한다는 신화에 기반한 인터넷 서비스 규제는 곧 인터넷 실명제와 같이 표현의 자유와 통신의 자유, 개인정보자기결정권 등을 침해하는 규제의 도입 논의로 이어질 가능성이 높다. 당장 안 제48조 제4항은 타인의 개인정보를 이용하여 서비스를 조작하는 행위를 형사처벌 대상으로 하고 있는데, 이는 인터넷 서비스가 실명제 혹은 준실명제에 기반하여 제공되어야 함을 이미 전제하고 있는 것과 다름없다. 나아가 소위 회의록을 보면 “본조의 개인정보 ‘이용’에는 ‘도용’뿐만 아니라 ‘매매나 대여’하는 경우 등까지 포함되도록 할 것”을 강조하고 있는데, 이는 실명제를 넘어 당사자의 자유로운 의사에 따라 표현행위에 대한 대리권을 수여‧행사하는 행위까지 형사처벌하겠다는 것이어서 매우 과도하다고 하지 않을 수 없다.

결론적으로 ‘여론 조작’을 방지한다는 명분으로 ‘부당한 목적’의 ‘서비스 조작’이라는 불명확한 개념을 이용한 위헌적 법안을 남발하는 것은, 앞으로 정부와 국회가 정치적 목적에 따라 손쉽게 국민의 자유로운 공론장을 재단하고 통제하려는 시도는 아닌지 우려하지 않을 수 없다. 부디 새로 구성될 제21대 국회는 헌법에 위반하여 국민의 자유로운 인터넷 이용을 위축시키고 표현의 자유를 부당하게 침해하는 유사 법안을 발의하지 않기를 바란다. <끝>

오픈블로그, 표현의 자유

토, 2020/05/23- 01:50

IT운동

게임 자율규제를 허(許)하라

글 | 황성기 (한양대 법학전문대학원 교수/오픈넷 이사장)

일제강점기 일본 조선총독부는 시국 불안정 등을 이유로 조선에 댄스홀을 허가하지 않았다. 1937년 잡지 삼천리에 실린 한 레코드 회사 소속 여성들의 ‘경성에 딴스홀을 허(許)하라’라는 제목의 기고는 조선총독부에 대한 탄원서 형식의 글이지만, 조선의 제도적 자유를 얻기 위한 노력으로 이해될 수 있다. 다른 나라의 도시에는 있는 댄스홀을 유독 조선에만 허가하지 않는 것을 통탄하며 댄스홀에서 춤을 추게 해달라고 청원하는 것이었다.

공정거래위원회는 지난해 전자상거래 등에서의 상품 등의 정보제공에 관한 고시 개정안을 행정예고한 바 있다. 개정안의 주된 내용은 확률형 상품 판매 시 사업자가 공급 가능한 재화 등의 종류와 종류별 공급 확률정보를 소비자에게 제공하도록 하는 의무를 사업자에게 부과하는 것이다. 여기의 확률형 상품에는 게임의 확률형 아이템도 포함된다는 것이 공정거래위원회의 기본입장이자 입법의도이다. 그런데 공정거래위원회의 개정안은 매우 잘못된 정부규제의 대표적인 사례이다.

첫째, 게임의 확률형 아이템에 대해서는 개정안보다 매우 높은 수준의 확률정보 공개 자율규제가 이미 적용되고 있기 때문이다. 게임의 확률형 아이템 자율규제는 2015년 한국게임산업협회 주도 확률형 아이템 확률정보 공개 시작부터, 2018년 확률정보 공개대상 범위 확대 및 개별 아이템 확률정보 공개로의 일원화, 2018년 게임자율규제기구인 한국게임정책자율기구의 출범을 거치면서 발전하고 있다. 이와 같은 게임 분야에서의 자율규제를 정부규제로 전환하는 것은 역사의 흐름에 역행하는 것이다. 전 세계를 대상으로 제공되는 게임서비스에서 정부규제는 결코 만능이 아니고, 과거처럼 정부규제가 모든 문제를 해결한다는 생각은 탁상공론에 불과하다.

둘째, 공정거래위원회의 개정안이 시행되는 순간부터 게임의 확률형 아이템 규제수준은 떨어져서, 소비자의 합리적 선택을 유도한다는 명분에 반하기 때문이다. 동일한 대상에 대해 높은 수준의 자율규제와 낮은 수준의 정부규제가 동시에 공존하는 경우, 전체적인 규제수준은 당연히 떨어진다. 수범자인 사업자 입장에서는 공권력에 의한 제재가 적용되는 정부규제만 준수하면 되지, 비용도 많이 드는 높은 수준의 자율규제까지 준수할 필요성이나 유인을 못 느끼기 때문이다. 따라서 자율규제가 적용되고 있는 영역에는 정부규제가 끼어들면 안된다. 사회적 요구에 비해 자율규제 수준이 낮은 경우에만 정부규제의 명분과 실효성이 생긴다.

셋째, 공정거래위원회의 개정안으로는 게임의 확률형 아이템 규제의 실효성을 담보할 수 없기 때문이다. 현재 게임의 확률형 아이템 자율규제에 대해서는 독립적인 게임자율규제기구가 지속적인 모니터링을 통해서 그 준수 여부를 감시하고 있다. 일정한 규제가 실효성을 확보하기 위해서는, 규제의 준수 여부를 지속적으로 모니터링하고, 위반자를 적발해서 제재를 가해야 한다. 이를 위해서는 모니터링기구, 위반 여부 심의를 위한 인적ㆍ물적 자원이 상당히 소요된다. 공정거래위원회가 개정안의 준수 여부를 어떻게 모니터링하고 어떠한 세부기준을 갖고 위반 여부를 심의할지 등에 대한 계획을 들어본 바가 없다.

넷째, 자율규제도 ‘규제’이기 때문이다. 오히려 정부규제의 정당성 및 실효성 문제를 해소해 줄 수 있는 대체재 혹은 보완재 역할을 한다. 이러한 자율규제의 의미와 필요성을 정부가 먼저 나서서 부정하고, 이미 작동하고 있는 자율규제의 싹을 뿌리째 없애는 것은 오늘날의 스마트 시대에 전혀 부합하지 않는 구태의연한 모습이다. 아니면 최소한 자율규제에 대한 이해가 일천하다는 것을 보여 준다. 국내 서버를 두지 않은 해외 사업자들의 경우에는, 정부규제도 속수무책이다. 오히려 의도치 않게 국내 사업자에 대한 역차별 문제만 발생시킨다.

문재인 대통령은 후보자 시절부터 게임 규제는 산업계의 자율규제를 원칙으로 해야 한다는 의견을 밝히지 않았는가. 국회 입법조사처의 보고서에서도 게임 자율규제의 확대 필요성을 밝힌 바 있다. 산업계는 갈수록 스마트해지는데, 정부는 산업계의 흐름을 제대로 따라 가지 못하는 것 같아 무척 안타깝다. 공정거래위원회는 개정안을 당장 철회해야 한다. “게임 자율규제를 허(許)하라!

이 글은 아시아경제에 기고한 글입니다. (2020.06.15.)

오픈블로그, 표현의 자유

화, 2020/06/16- 17:38

IT운동

[망중립성 특별기획 웹툰②] 리턴 오브 망중립성의 수호자

인터넷은 서로가 서로의 메시지를 품앗이로 전달해줌으로써 누구나 무료로 매스커뮤니케이션의 주체가 될 수 있도록 해주었습니다. 각자가 메시지 전달에 돈을 받으려거나 메시지 내용에 조건을 두어서는 안 된다는 이 상부상조의 약속인 ‘망중립성’이 최근 우리나라에서 위협받고 있습니다. 5G폰을 왜 지금 사면 안되는지, 인터넷은 왜 전화나 우편에 비해 무료인지, 인터넷은 왜 “쓴 만큼 내는 것”이 아닌지, 왜 한국 인터넷기업들이 한국을 떠나고 있는지, 왜 국내에서 넷플릭스와 페이스북 접속속도가 느린지 등등 실생활의 궁금증을 해소하면서 망중립성을 이해할 수 있는 만화를 소개합니다. (박경신 고려대 교수/오픈넷 이사)

[망중립성 특별기획 웹툰 1] 라이즈 오브 망중립성의 수호자

오픈블로그

목, 2020/09/03- 00:19

IT운동

정보매개서비스 제공자의 법적 책임과 표현의 자유

글 | 황성기(한양대 법학전문대학원 교수, 오픈넷 이사장)

인터넷을 기반으로 하는 다양한 서비스 제공자나 사업자 중에서 정보나 콘텐츠를 직접 제작·제공하는 자가 아닌 정보의 전달을 ‘매개’하는 서비스의 제공자를 정보매개서비스 제공자 혹은 정보 매개자(Internet intermediary)라 부른다. 각종 인터넷 포털, 검색엔진, 메신저, SNS와 같은 온라인 플랫폼 사업자가 대부분 정보매개서비스 제공자에 해당한다.

현행법에서는 정보매개서비스 제공자 혹은 정보 매개자라는 용어를 직접 사용하지는 않지만, 정보통신망법 상 정보통신서비스 제공자 중 ‘정보의 제공을 매개하는 자’, 저작권법 상 온라인 서비스 제공자 중 ‘이용자들이 정보통신망에 접속하거나 정보통신망을 통하여 저작물 등을 복제·전송할 수 있도록 서비스를 제공하거나 그를 위한 설비를 제공 또는 운영하는 자’가 여기에 해당한다.

여기서 자신이 매개하는 정보나 콘텐츠가 음란하거나 명예훼손, 혹은 저작권 침해 등의 불법정보에 해당하는 경우, 그 정보에 대한 법적 책임을 정보매개서비스 제공자는 져야 할까? 자신이 매개하는 정보가 음란하거나 명예훼손, 혹은 저작권 침해 등의 불법정보에 해당하지 않는지를 정보매개서비스 제공자는 일반적‧상시적‧적극적으로 모니터링을 해야 할 의무를 져야 할까? 등의 의문이 생길 수 있다.

우선 외국의 사례를 살펴보아도, 일반적‧상시적‧적극적 모니터링 의무를 정보매개서비스 제공자에게 법적으로 부과하는 예는 거의 찾아볼 수 없다. 정보매개서비스 제공자에게 일반적‧상시적‧적극적 모니터링 의무를 인정하지 않는 이유는 표현의 자유에 대한 ‘위축효과’를 우려해서이기 때문이다.

쉽게 이야기하면, 정보매개서비스 제공자에 대해서 일반적‧상시적‧적극적 모니터링 의무를 부과하면, 정보매개서비스 제공자는 본질적으로 자신의 법적 책임과 관련하여 애매모호한 정보는 모두 삭제를 하려고 하거나 할 수밖에 없는 소위 ‘사적 검열’을 하게 된다. 따라서 정보매개서비스 제공자에 대한 책임이나 의무의 과도한 부과는 결과적으로 위축효과를 유발해, 정보매개서비스 제공자를 매개로 유통되는 정보의 ‘총량’이 줄어들 수밖에 없고, 궁극적으로 그 사회에서 유통되는 정보의 ‘총량’에 영향을 주게 된다. 정보매개서비스 제공자에 대한 규제를 시도할 때 항상 표현의 자유에 대한 위축효과를 고려해야 하는 이유가 바로 여기에 있다.

이러한 우려 때문에, 정보매개서비스 제공자는 자신이 인지하지 못한 불법정보로 인해 발생한 피해에 대해 책임을 지지 않으며, 그러한 불법정보를 인지하기 위해 모든 게시물을 일반적‧상시적‧적극적 감시할 의무가 없다는 원칙이 국제적으로 확립되어 있는 것이다.

공정거래위원회는 지난 3월 전자상거래법 개정안을 입법 예고했다. 이 법안에는 온라인 플랫폼 운영사업자가 자신이 운영하는 온라인 플랫폼을 통해 재화 등에 관한 정보 교환을 매개하는 경우 소비자 피해를 방지하기 위한 각종 의무를 부담하게 되는 내용이 있는데, 이러한 의무가 정보매개서비스 제공자에게 일반적‧상시적‧적극적 감시의무를 법적으로 부과하는 것으로 해석될 위험성은 없는지 고민해야 한다.

왜냐하면 온라인 플랫폼 이용자들은 플랫폼을 통해 재화뿐만 아니라 다양한 내용과 형태의 정보를 공유하는데, 그 정보로 인해 발생할 수 있는 피해에 대한 각종 예방 책임과 의무를 지우게 되면, 재화 등에 관한 정보의 교환이 일어나는지 그리고 교환되는 정보가 불법정보인지를 확인하기 위해 일반적‧상시적‧적극적으로 감시할 수밖에 없기 때문이다.

인터넷 관련 규제정책을 담당하는 정부기관은 항상 이 점을 염두에 두어야 하며, 특히 정보매개서비스 제공자에 대한 규제를 시도할 때는 신중을 기해야 한다.

* 이 글은 IT조선에 기고한 글입니다. (2021.07.13.)

오픈블로그, 표현의 자유

화, 2021/07/13- 20:29