위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

지역

위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

익명 (미확인) 님 | 목, 2016/10/06- 16:10

위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

글 | 민노씨(슬로우뉴스 편집장)

개인정보 플랫폼 기업이 개인정보를 판매 촉진 목적으로 활용하려고 할 때, 정보주체의 동의를 받아야만 하는지, 동의를 받지 않고도 분석, 가공, 판매할 수 있는지에 따라서 개인정보 플랫폼 기업에는 막대한 이윤 발생 여부가 결정된다. 이들의 이해관계가 첨예하게 걸려 있는 사안이다. (이은우 변호사, 정보인권연구소)

강원도에 사는 스무살 대학생 철수가 페이스북에 재잘거리는 한담이, 제주도에 사는 서른살 직장인 영희가 트위터에 올리는 짧은 한탄이 경제적인 가치를 지니는 ‘고급 정보’가 될 가능성은 그 자체로는 제로다. 하지만 10만 명의 철수가 100만 명의 영희가 모이면 얘기는 달라진다.

빅데이터, 그것이 문제로다

오늘날 컴퓨팅 기술은 천문학적인 규모로 생산되는 무수히 다양한 개인의 디지털 정보를 드디어 ‘정복’하는 단계에 들어섰다. 그걸 상징하는 용어는 ‘빅데이터’다. 이제 쓰고, 말하며, 대화하고, 소비하는 물리적인 컴퓨터 서버의 어딘가에 저장된다. 이제 디지털 저장기술은 인간의 기억을 대신한다. 우리는 그저 끊임없이 생산하고, 소비하며, 흘려보내면 그뿐이다.

그런데 그렇게 디지털 전자신호로 서버 속 공간 아닌 공간을 흘러갔던 정보는, 철수와 영희는 영영 모르는 채로, 이제 산업적인 가치를 가지는 정보로 재가공된다. 누구도 감히 시도하지 못했던 정보의 총체적 재구성이다. 모든 흩어진 의미가 ‘찬란한 귀향의 축제’를 맞는다. 기업 입장에서는 서비스를 더욱더 진화시키고, 이윤을 극대화할 기회이자 재료다.

luckey_sun, "big data", CC BY SA https://flic.kr/p/bx1jvU

luckey_sun, “big data”, CC BY SA

하지만 개인정보 주체들에게는 디스토피아의 서막일 수도 있다. 근대 이후 개인은 자신의 권리를 지키기 위해 국가 권력으로부터 자신을 숨길 수 있는 권리(홀로 있을 권리)를 ‘획득’했다. 그리고 오늘날 문명화한 국가는 국가권력의 부당한 간섭으로부터 자신을 숨기는 것에 그치지 않고, 자신의 개인정보를 통제할 수 있는 권리를 명문의 법률로 규정했다. 자기 정보 통제권(혹은 개인정보 자기 결정권)은 그렇게 탄생했고, 그 권리는 그저 주어진 것이 아니다. 개인정보에 관한 권리에 눈뜬 근대적 자아가 획득한 전리품이다. (→ 참고: 거짓말할 수 있는 권리)

단, 이 자기 정보 통제권이 각자 자신에 대한 정보를 공개된 정보와 비공개된 정보 가릴 것 없이 자신이 소유한 자동차를 소유하듯이 마음대로 통제할 수 있는 절대적인 권리로 해석하면 그것은 곤란하다. 이는 타인들 간에 진실한 정보를 공유하는 생활에 검열권을 가지게 하는 셈이라서 자기 정보 통제권은 균형을 고려한 해석이 불가피하다.

위험한 게임, ‘개인정보 비식별 조치 가이드라인’

기업에 빅데이터가 잠재적 부가가치를 창출할 가능성이라면, 자기 정보 통제권을 자신도 모르는 사이에 빼앗길 수 있는 개인에게는 잠재적 공포다. 그 ‘위험한 게임’이 지금 막 시작됐다. 이름은 ‘개인정보 비식별 조치 가이드라인’.

국무조정실
행정자치부
방송통신위원회
금융위원회
미래창조과학부
보건복지부

참여 부처의 이름에서 확인할 수 있듯 그야말로 통합 가이드라인이다. 그 골자는 이렇다.

‘개인정보라고 하더라도 비식별 조치(익명화)를 거치면 정보주체의 사전 동의 없이 기업이 이를 활용하도록 할 수 있다.’

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

가이드라인의 쟁점

이 글은 가이드라인의 개요와 쟁점을 단계적 ‘Q&A’ 형식으로 독자에게 최대한 쉽게 전하는 것을 목표로 한다.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) → 이하 ‘가이드라인’으로 표기.
개인정보보호법 → 이하 ‘개보법’으로 표기.

행정자치부 개인정보보호정책과 장한 과장 → 이하 ‘행자부’로 표기.
오픈넷 박지환 변호사 → 이하 ‘오픈넷’으로 표기.
정보인권연구소 이은우 변호사 → 이하 ‘연구소’로 표기.^[1]

1. ‘빅데이터’란 무엇인가

가이드라인의 중심에 있는 화두는 ‘빅데이터’다. 빅데이터 산업 육성이라는 가치와 개인보호라는 가치를 조화롭게 공존하게 하는 게 가이드라인의 취지라면, 이에 시민단체(오픈넷)와 정부(행자부)의 평가와 시각 차이는 명확하다.

오픈넷은“법률적으로 빅데이터에 대하여 정의된 바는 없다”고 전제한 뒤, “최근 빅데이터라는 단어 자체에 천착하여 빅데이터 산업의 진흥만이 주로 논의될 뿐, 빅데이터 환경이 정보 주체의 개인정보 자기결정권에 미치는 영향에 대한 논의는 부족“하고, 가이드라인도 이런 “흐름의 연장선”에 있다고 지적한다.^[2]

정보 개인정보 프라이버시

Intersection Consulting, CC BY NC

이에 대해 행자부는 빅데이터 산업 진흥과 개인정보의 관계는 “단순하게 이야기할 수 있는 성격은 아니”라면서, 이번 가이드라인이 데이터 이용함에 있어 “개인정보 보호를 위한 기준을 제시”했다고 자평한다.^[3]

2. ‘비식별 조치’란 무엇인가

가이드라인의 골자는 ‘비식별 조치’(익명화)다. 가이드라인은 비식별 조치 방법과 그 적정성을 평가하는 기준을 제시한다. 그런데 ‘비식별 조치’라는 용어, 익숙한가? 용어 정의부터 잘못됐다는 비판과 이에 대한 정부의 입장을 살펴보자.

연구소는 ‘비식별 조치’라는 표현 자체가 부적절하다면서 “용어 자체가 부적절한 법률용어”라고 말한다. 그렇다면 비식별 조치는 과연 어떤 의미일까? 개인정보 보호법제와 유사한 유럽연합과 일본의 용어 정의를 참고해보자.

유럽연합: “익명화된 데이터”(data rendered anonymous)^[4]
일본: 개인정보보호법의 개정시 “익명가공정보” 규정한다. 익명가공정보는 ‘특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서 해당 개인정보를 복원할 수 없도록 한 것을 말한다’고 정의한다.^[5]

더불어 ‘비식별 조치’ 혹은 ‘비식별화’라는 표현이 너무 모호하다고 지적한다. 가이드라인의 ‘비식별 조치가’가 ‘익명화’나 ‘익명정보’ 혹은 ‘익명가공정보’와 같은 의미라면 그냥 ‘익명화’나 ‘익명정보’로 쓰면 될 것을 “문법에도 맞지 않는 신조어”를 사용해 국민에게 혼동을 초래한다고 비판한다.

'비식별 조치'는 쉽게 말해 '익명화'라고 할 수 있다.

‘비식별 조치’는 쉽게 말해 ‘익명화’라고 할 수 있다.

반면 행자부는 익명화든 비식별 조치든 “이는 용어 선택의 문제일 뿐”이라고 일축하면서, “내용이 중요하지 용어 선택은 부차적”이라고 말한다. 그러면서 “요즘은 국제적으로 ‘비식별화’를 쓰는 추세”라고 부연한다.^[6]

한편, 오픈넷은 연구소 입장에 동의하면서, ‘익명화’라고 표현해야 정확하다는 입장이다.^[7]

3. 가이드라인의 ‘비식별 조치’ 평가 기준은 타당한가

여러 문제와 논란은 별론으로, 우선 가이드라인의 내용에 집중해 보자. 가이드라인은 ‘비식별 조치’와 이에 대한 적정성의 평가 기준과 절차를 규정한다. 그럼 가이드라인에서 제시하는 ‘비식별 조치’의 기준은 과연 합리적일까.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

연구소는 가이드라인의 위 해당 문답을 해석하면 “이는 재식별 가능성이 현저하지 않은 것은 개인정보보호법을 준수하지 않아도 된다는 것”이라면서 “유럽연합에서 익명정보가 ‘더 이상 재식별 가능성이 없는 것’을 의미한다고 지적한다. 더불어, 일본의 개인정보보호법에서도 ‘익명가공정보’란 복구 불가능한 것이라고 정의하고 있는 것과 비교할 때 잘못”이며, “재식별 위험이 현저하지만 않다면 개인정보 주체는 그 위험을 감수하라”는 가이드라인이라고 비판한다.

이에 대해 행자부는 해당 문답의 표현 중 “현저히”는 ‘강조 수사’에 불과”하다며, “해당 문구에 큰 의미를 부여할 필요가 없다”고 답변했다. 가이드라인의 “전체 체계”가 중요하고, 해당 문구는 “강조 수식에 불과”하다는 입장이다. 참고로, 행자부는 인터뷰에서 가이드라인의 법적 성질을 묻는 질문에 “유권해석집”이라고 답했다

한편, 오픈넷은 “표현의 모호성 때문에 ‘가이드’의 역할도 제대로 하지 못할 것”이라고 말하면서 가이드라인이 ‘유권해석집’이라면, “구체적인 법 규정에 대한 해석이어야” 할 텐데, “비식별 조치라는 것은 기존 법에도 없는 새롭게 창조한 개념”이고, 이를 해석한다고 하니 “내용뿐만 아니라 법적인 근거나 성질도 모호할 수밖에 없다”고 비판했다.

4. 비식별 조치에 대한 적정성 평가

가이드라인은 비식별 조치가 제대로 이뤄졌는지 평가하는 기준을 정한다. 이 적정성 평가 기준은 과연 타당한 것일까. 연구소는 ‘형식적이기 짝이 없다’고 비판하고, 행자부는 ‘다른 대안이 없다’고 말한다.

연구소는 가이드라인의 “적정성 평가 기준은 형식적이기 짝이 없다”면서 “K(익명성), L(다양성), T(근접성)의 세 가지 방법의 익명화 기술을 적용하라는 것”은 “겉으로는 복잡해 보이지만, 단순하기 그지 없다”고 지적한다. 그리고 무엇보다 이들 방법과 기준은 “재식별 가능성이 농후한 방법으로 지목받아 왔던 기술”이라고 비판한다.

이에 대해 행자부는 연구소의 비판은 “비판을 위한 비판”이라고 반박한다. “현재로썬 KLT 외에는 현실적인 대안이 없”고, “(오히려) 유럽에서는 K를 의무화하지 않았지만, 우리는 K를 의무화했다”면서 그만큼 개인정보 보호에 신경 쓰고 있다고 강조했다.

오픈넷은 해당 기술의 재식별 가능성도 중요한 이슈지만, “개인정보처리자 입장에서 특정 기술을 이용한 비식별 조치만을 취하면 개인정보가 아닌 것으로 추정되는 것인 양 오독할 여지가 큰 가이드라인 규정의 모호성이 가장 큰 문제”^[8]라고 지적한다.

5. 적정성 평가단: 고양이에 생선가게 맡기기?

가이드라인은 분야별 전문기관을 두고, 이 전문기관이 비식별 조치의 적정성을 평가하게 한다. 그런데 이 적정성 평가 기관에 ‘한국신용정보원’과 같은 빅데이터 산업과 이해가 직결한 이익단체가 속해 있어 문제다. ‘고양이에게 어물전을 맡기는 꼴’이라는 비판이 나오는 이유다.

연구소는 이들 기관이 “공정성을 기대하기도 어렵고, 혼란만 야기할 것”이라면서 특히 분야별 전문기관 중에는 “특히 사업자들 모임인 한국신용정보원이 포함”돼 있고, 금융보안원, 사회보장정보원, 한국정보화진흥원 등은 “성과 위주의 조직”임을 지적한다.

특히, 한국신용정보원은 금융업계 모든 고객의 신용정보를 통합해서 관리하는 기관(세계 최초)으로 여기엔 이들은 빅데이터 활용에 가장 큰 이해관계를 가진 다음 ‘이익단체’들이 참여한다. 더불어 이들 협회 소속 기업에서 그동안 각종 개인정보 유출 사고가 연례행사처럼 이어져 왔던 건 주지의 사실이다.

은행연합회
금융투자협회
여신금융협회
생명보험협회
손해보험협회 등

빅데이터 산업에 직접적인 이해관계를 가진 '이익단체'가 적정성 평가를 한다?

빅데이터 산업에 직접적인 이해관계를 가진 ‘이익단체’가 적정성 평가를 한다?

이에 대해 행자부는 연구소 측에서 특히 문제 삼은 ‘한국신용정보원’은 “우리가 지정한 게 아니라 금융위원회가 지정한 것”이라면서, “분야별로 소관 부처에서 관련 기업을 지원할 수 있는 기관을 지정한 것”이라고 우회적으로 답변했다.

이 문제 관해 오픈넷은 “전문기관 자체가 법률에 근거가 없”고, “정보주체들로부터 개인정보의 처리 권한에 대한 동의를 받지 않”았으므로, “사업자 모임 여부와 상관없이 부적절하다”고 답했다.

6. 입증책임 문제

가령, A라는 기업이 철수와 영희의 신용카드 구매 정보를 ‘비식별 처리’해서 B라는 기업에 팔았다고 가정해보자. 이때 비식별 처리가 제대로 이뤄졌다는 ‘입증’ 책임은 누가 질까? 철수와 영희일까? 아니면 A와 B라는 기업일까?

연구소는 가이드라인이 “비식별 조치가 적정하다는 평가를 받으면 해당 정보는 개인정보가 아닌 것으로 추정”된다고 규정하므로, 해당 정보를 어떤 개인이 “개인정보라고 주장하려면 개인정보 주체가 이를 입증해야 한다”고 해석한다.

이에 대해 행자부는 연구소 측 주장은 “근거 없는 주장”이라면서, “가이드라인에는 그런 내용이 없”으며, “당연히 비식별 조치를 한 측에서 (비식별 조치의 정당성과 적정성을) 입증해야 한다”고 말한다.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

입증책임 논란에 대해 오픈넷은 법원에 까지 가는 사안이 생기면, 법률에 근거가 있는 것은 아니지만 “가이드라인이 ‘추정한다’고 하니 반증이 없는 한 개인정보가 아닌 것으로 판단”될 가능성이 높다고 연구소 측에선 해석한 것이고, 행자부 쪽에선 원칙적으로 법원이 가이드라인에 구속되지 않으니 “각자도생’해야 한다는 식으로 답변”한 것으로 보인다면서, “가이드라인에 법적 근거가 없는 이상 개인정보처리자인 기업들 역시 가이드라인에 따라 비식별조치된 정보를 섣불리 수집 목적 외로 이용하거나 제3자 제공에 나서지는 않을 것”이라는 게 현 시점에서 가이드라인의 위치라고 답했다.

대법원

‘비식별 처리’ 문제로 ‘분쟁’이 생겨 법원에 가는 일이 생기면, 기업과 일반 시민 중에서 누가 입증책임을 질까?

연구소 측에 행자부 답변 내용을 전하자, 연구소 측에선 “가이드라인이 입증책임과 관련 없다면, 가이드라인(의 해당 문구)은 존재할 필요가 없다”면서, “가이드라인의 논리 체계에 반하는 해석을 주무 공무원이 공식적으로 답하는 것은 아주 무책임하다”고 논평했다. 더불어 가이드라인에 참여한 행정부처들을 고려하면 현실적으로 “어떤 개인이 ‘재식별화가 제대로 되지 않았다고 신고했을 때, 경찰이 어떤 기준을 따르겠는가?”라고 반문하면서, “경찰 수사에 있어서 가이드라인은 실질적인 수사 기준이 될 것”이라고 전망했다.

생각건대, 행자부의 답변은 궤변이다. 연구소나 오픈넷의 지적처럼, 가이드라인를 준수한 기업조차 다시 재판에서 ‘입증책임’의 부담을 져야 한다면 가이드라인의 존재 근거가 없고, 기업은 가이드라인을 따를 이유도 없다. 반면에 그렇다고 입증책임을 개인에게 지운다면 이는 더 큰 문제다. 가이드라인의 딜레마인 셈이다.

7. ‘결합지원’ 문제

가이드라인은 각각 비식별 조치를 한 개인에 관한 별개 정보집합물을 전문기관에서 개인별로 결합시켜 주겠다고 한다. 예를 들면, 비식별 조치를 한 통신사 고객정보와 비식별 조치를 한 신용카드사 고객의 신용카드 사용정보를 전문기관에 보내주면 각 개별로 결합시켜 결합정보를 제공하겠다는 것이다.

예를 들어 가이드라인은 00홈쇼핑의 고객정보와 xx카드사의 구매금액 상위 10% 고객의 구매 내역 정보를 결합하여 xx카드사의 구매금액 상위 10% 고객 중 00홈쇼핑 고객을 골라 내서 구매내역을 분석할 수 있다고 한다. 이것은 홈쇼핑과 카드사가 고객의 동의도 받지 않고, 카드 구매내역을 분석하도록 허용하는 것과 같은 결과를 초래한다.

특히 결합은 산부인과나 산후조리원, 초등학생이나 유아 등 민감한 정보에도 무방비다. 이런 식이면 산부인과나 산후조리원은 환자나 산모의 동의도 받지 않고 임신, 출산한 고객 중 월 500만 원 이상 신용카드를 이용한 고객의 구매내역을 분석할 수도 있고, 초등학생 대상 학원에서는 초등학생이나 부모의 동의를 받지 않고도 통신사로부터 초등학생의 이동경로를 분석할 수도 있게 된다. 당사자는 이런 정보 결합에 대해 알지도 못하고, 반대할 기회도 갖지 못한다. (연구소 발제문 참조)

연구소는 비식별 조치를 했지만, 개인을 결합할 수 있다는 것은 “비식별 조치를 한 정보가 익명정보가 아니라는 것을 반증”하는 것이라면서 “만약 개인을 식별할 수 없도록 익명정보로 만들었다면 익명정보가 누구의 정보인지를 알 수 없는 것이기 때문에 다른 정보와 결합하는 것은 불가능하다”하다고 지적한다.

결합지원 이슈에 대해 행자부는 “리스크를 최소화하면서 나름으로 안을 짰는데, 결과적으로 유럽과 유사”하게 됐다면서 “신뢰할 수 있는 제3기관을 통해서 지원”하는 것이라고 답했다.

오픈넷은 “법률적 근거가 없는 전문기관에 의한 결합지원 역시 개인정보 자기 결정권을 침해”할 수 있다고 지적했다.

아이돌 그룹 대부분이 앨범 3~4만 장을 파는 현실에서 TIF는

비식별 조치된 정보의 ‘결합지원’ 문제 역시 가이드라인이 다루는 중요한 문제 중 하나다.

왜 가이드라인가, 누구를 위한 가이드라인가

행자부는 가이드라인의 법정 성질을 (개인정보보호법에 관한) “유권해석집”이라고 말한다. 그런데 왜 법을 개정하지 않고, 가이드라인으로 만들었을까? 행자부는 “법 개정은 오히려 업계에서 하는 주장”이라면서, “일본법은 개정안이 통과돼서 내년부터 시행될 예정”이라며 “(일본은) 법에서 규정한 안전조치(비식별 조치)를 준수하면, 기업의 책임이 면제”되므로, 우리나라 “업계에서도 법 개정을 원한다”고 말한다.

하지만 연구소 측은 “법률 개정이 필요한 사항을 가이드라인으로 만드는 것은 입법권을 무시하는 처사”라면서 가이드라인은 “상당한 재식별 가능성이 있어도 이를 무시하고 개인정보보호법의 적용을 배제”하고 있으므로, “즉각 폐기해야” 한다고 주장한다.

말도 많고, 탈도 많은 가이드라인, 과연 누구를 위한 것일까?

기업의 선의를 믿는다면, 기업은 더 좋은 서비스를 위해 비식별화한 정보를 활용할 것이고, 이는 서비스를 향유하고 소비하는 이용자에게도 좋은 일이다. 그리고 기업이 자신의 이익을 극대화하기 위해 재식별화하려는 욕망을 표출할 수밖에 없다는 견해도 부정적인 선입견일 수 있다.

하지만 인간은 과거에 있었던 행위를 회고하고, 성찰함으로써 미래를 전망한다. 기업의 개인정보 유출 사고뿐만 아니라 기업의 개인정보 ‘매매 사건’(홈플러스 사건), 거기에 더해 이런 개인정보 관련 사건 사고를 처리하는 국가권력(검찰)과 이를 최종적으로 판단하는 법원의 개인정보에 관한 인권 감수성(홈플러스 무죄 선고)을 떠올리면 개인정보의 주체, 그러니 평범한 시민이 기업의 선의, 관리자이자 감시자로서의 국가, 공정한 심판관으로서의 법원을 손쉽게 믿어주기 어려운 것 역시 사실이다.

홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원인데, 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원이었다. 홈플러스는 지난 6월 초 매물로 나왔다. 지분 100%의 평가액은 7조 원을 호가한다.

홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원. 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원. 그리고 법원에서는 무죄. 홈플러스 사건은 기업이 개인정보를 다루는 관점과 방식, 국가기관의 관리감독 능력, 그리고 공정한 심판자로서의 법원의 판단, 이 모두가 여전히 신뢰를 보내기에는 부족하다는 사실을 여실히 드러낸 사건이다.

여기서 하나 더 질문해보자. 가이드라인이 아니면 정말 기업이 빅데이터 산업 분야에 제대로 뛰어들 수 없는 걸까. 우리나라 개인정보 보호법제는 빅데이터 산업 육성에 방해 요소일까. 이미 개인정보보호법^[9]은 “통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우” 동의 없이 새로운 목적으로 이용하거나 제3자에게 제공할 수 있다고 규정한다. 빅데이터는 바로 통계를 목적으로 삼고 있지 않나.

연구소는 “현재의 개인정보 보호법제는 빅데이터 활용에 장애 요소가 아니”라고 말하면서, 우리나라 공공 부문에서 발주하는 사업을 분석해 보더라도 공공 부문 빅데이터 활성화를 위해서는 “개인정보를 익명화하여 처리하거나 동의받는 것을 기초로 하더라도 충분하며, 비식별정보 동의 면제가 있어야만 빅데이터를 활용할 수 있다는 근거를 찾기 어렵다”고 주장한다.^[10]

Julien Belli, CC BY https://flic.kr/p/o3eDX5

빅데이터와 개인정보의 문제는 기본적으로 정보 처리 주체와 관리감독 기관에 대한 신뢰의 문제다. (출처: Julien Belli, CC BY)

그렇다면 가이드라인을 둘러싼 이 온갖 논란에 관한 해법은 무엇일까. 명확한 현실 인식은 그 해법을 마련하는 초석이다. 오픈넷의 답변으로 결론을 대신한다.

가이드라인 제정이 지나치게 급한 호흡으로 이루어졌다. 특히 시민사회의 의견 수렴이 매우 형식적으로 이루어졌다. 즉 가이드라인은 빅데이터 산업 진흥이라는 버즈워드(buzz word)에 천착한 것이라고 본다. 그리고 가이드라인 상 비식별 조치에 의한 “동의” 면제 시도는 개인정보 자기 결정권을 무력화할 우려가 크다.

정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 “동의” 제도는 개인정보 자기결정권을 실질적으로 구현하는 방법으로 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있기 때문이다. 가이드라인의 뼈대라 할 수 있는 “비식별조치에 의한 동의 면제”는 개인정보 자기결정권의 핵심을 이루는 “동의” 제도를 무력화하는 것으로 이는 법률 개정으로 다루어야 할 문제이다.

특히 가이드라인에 따른 비식별 조치를 거쳤다고 하더라도 개인정보 재식별 위험성은 주민등록번호 제도 및 인터넷 상 본인확인을 강요하는 수많은 법률에 의해 그 어느 나라보다도 크다. 특히 본인확인기관으로 지정된 이동통신사는 식별 가능성이 가장 크다.

오히려 사물인터넷과 빅데이터 시대에 동의에 기반한 개인정보보호가 불충분하다. 어떻게 개인정보 자기 결정권을 보장할 수 있을 것인가에 대한 발전적 논의가 필요한 시점이라고 할 수 있다. 더불어 법적 근거 없는 전문기관의 운영은 매우 위험한 발상이며 개인정보보호위원회의 개인정보보호 콘트롤 타워로서의 기능 확립 필요하다.

우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면 주민등록번호가 모든 자물쇠를 여는 '만능 열쇠' 역할을 할 수 있기 때문이다.

우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면, 주민등록번호가 모든 자물쇠를 여는 ‘만능열쇠’ 역할을 할 수 있기 때문이다.

——————————————-

[1] 이은우, 마케팅 활용 목적 빅데이터 활용과 판매: 개인정보 플랫폼 기업의 탐욕과 비식별화 조치 가이드라인 (빅데이터 시대 개인정보 보호를 위한 정책토론회, 2016. 9. 7. 국회의원회관 제9간단회의실) 별도 인터뷰 인용이 아닌 문단에는 문단이 끝나는 위치에 괄호( )로 해당 발제문의 페이지 수를 표시했음.

[2] 다만, 빅데이터는 통상적으로 사용되는 데이터 수집, 관리 및 처리 소프트웨어의 수용 한계를 넘어서는 크기의 정보라고 정의되며, 데이터의 양(volume), 데이터 입출력 속도(velocity), 데이터 종류의 다양성(variety)데이터의 양(volume), 입출력 속도(velocity), 종류의 다양성(variety)이라는 세 개의 차원에서 분석할 수 있다(가트너 보고서). 이를 빅데이터의 3V라고 하는데, 3V가 커질수록 그 데이터의 산업적 가치는 높아지지만, 이에 비례하여 개인정보의 유출 위험성이나 개인정보 자기결정권이 침해될 가능성도 커진다.

[3] 현 가이드라인이 기존에 행자부, 미래부, 방통위에 존재했던 개별안들이 ‘비식별’ 기술를 소개하고, 안내하는 수준이었다면, 검증절차와 보호조치에 관한 내용을 보완하면서 기존 개별안들을 통합한 것이다.

[4] 개인이 더는 식별될 가능성이 없다면(“no longer possible”) 개인정보로 보지 않는다고 규정한다.

[5] 그러면서 미국은 ‘개인정보’라는 개념 대신 ‘개인식별가능정보’(personally identifiable information)라는 개념이 법령에 정의되어 제한적인 보호 대상이 되고 있다고 더불어 언급하는데, 미국은 우리나라의 개인정보보호법제와 다르기 때문에 미국에서 개인정보호보규범이 적용되지 않는 범위를 규정한 비식별화(‘de-identification’) 규정이나, 그에 따른 비식별화(‘de-identification’) 가이드라인을 법제가 다른 우리나라 개인정보보호법에서는 그대로 적용할 수 없는 규정이라고 설명한다.

[6] 참고로, 현행 개보법에는 ‘비식별 조치’라는 용어나 표현은 없다. 다만 법(제18조 제2항 제4호)에서는 개인정보처리자 동의 없이 수집 목적 외로 이용하거나 제3자 제공이 가능한 예외로 “통계작성이나 학술연구 등의 목적으로 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 수 있다.” 고 규정하는데, 이 규정에서 개인정보를 “특정 개인을 알아볼 수 없는 형태”로 변환하면 제한적 목적(통계작성이나 학술연구 등)이긴 하나 동의 없는 이용이나 제공이 가능하므로 이를 ‘비식별 조치’ 혹은 ‘익명화’를 간접적으로 언급한 규정이라고 할 수 있다.

[7] 가이드라인이 창설한 비식별화(비식별 조치) 개념은 재식별화하여 개인정보로 인정될 위험성이 상존해 있는 상태를 의미하며, 만약 비식별화를 거쳐 동의 없이 이용, 제공한 경우 식별 여부에 대한 사법적 판단에 따라 특정 시점에서는 개인정보보호법을 위반할 우려가 있는 법적으로 매우 불안정한 상태를 의미한다.(오픈넷)

[8] 물론 가이드라인에서는 특정 기술조치 여부뿐 아니라 종합적 관점에서 판단한다고 이야기하고 있긴 하다.

[9] 제18조 제2항 제4호

[10] 유럽연합은 우리 법제보다 빅데이트 활용과 관련하여 프로파일링에 대한 규율을 신설, 보완하고, 동의에 대한 규정, 투명성에 대한 규정 등과 관련하여 개인정보주체의 권리를 강화하는 방향으로 법률을 개정하고 있다. 그런데 유럽에서 개인정보보호법제 때문에 빅데이터 활용에 제약이 있다는 움직임을 보이지는 않는다. 기업이 재식별화할 의사가 없더라도 재식별화할 가능성이 있다는 것이 문제고, 비식별화한 정보가 다른 업체에 매매됐을 때 다른 정보와 결합해서 손쉽게 재식별화된다는 것이 문제다. 이는 MIT 미디어랩의 연구를 통해서도 실증됐다. 가령 카드사의 구매 정보를 비식별화해서 이 정보를 이통사(이동정보)에 넘겼다면, 두 가지 정보가 결합되면 누가 어디서 어떤 물건을 구매했는지 알게 된다. 재식별화 의지가 없다라도 자동적으로 재식별화된다. 재식별화하면 훨씬 더 가치 있는 정보가 되는데 기업에서 안 할 이유가 있겠나. 더불어 재식별화 의지가 없더라도 해당 정보가 유출되어 악용될 가능성이 상존하니 그것도 문제다. (연구소)

* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.10.06.)

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

IT운동

감염병 예방과 개인정보

글 | 황성기 (한양대 법학전문대학원 교수, 오픈넷 이사장)

신종 코로나바이러스감염증(코로나19)에 대한 우리나라의 방역 및 대응은 현재 전세계적으로 모범적인 모델로 각광받고 있다. 우리나라의 코로나 대응전략은 투명성, 개방성, 민주성 등으로 요약될 수 있는데, 이러한 전략의 수행과정에서 개인정보의 활용은 필수적이다. 코로나19가 완전히 종식된 후에 우리나라의 감염병 예방에 관한 전반적인 시스템을 반성적으로 회고하고 성찰하는 시기가 올 것이다. 비록 현재까지는 세계적인 모범으로 각광받고 있지만, 100점 만점짜리 전략이나 시스템은 존재하기 어렵기 때문이다. 향후 시스템의 점검 및 개선에 있어서는 감염병 예방을 포함한 공중보건시스템과 개인정보를 포함한 프라이버시 보호의 문제를 균형있게 조화시킬 수 있는 방안을 모색할 필요가 있다. 이러한 차원에서 감염자의 과거 위치정보를 국가기관이 제공하는 확진자 동선(이동경로) 공개 정책과 자가격리자의 격리장소로부터의 이탈 방지 및 감시를 위한 손목밴드 착용 강제 정책의 문제를 한 번 고민해 볼 필요가 있다.

먼저 확진자 동선 공개 정책은 ‘감염병의 예방 및 관리에 관한 법률’에 근거해서 이루어지고 있다. 보건복지부장관은 감염병 확산으로 인해 주의 이상의 위기경보가 발령되면 감염병 환자의 이동경로, 이동수단, 진료의료기관 및 접촉자 현황 등 국민들이 감염병 예방을 위하여 알아야 하는 정보를 신속히 공개해야 한다. 여기서 공개되는 정보에는 개인정보가 포함되기 마련이다. 왜냐하면 개인정보는 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 의미하고, 성별, 연령, 이동경로, 이동수단, 진료의료기관 등은 서로 결합되어 개인을 식별할 수 있게 하기 때문이다. 문제는 공개되는 개인정보의 범위이다. 예컨대, 확진자가 다녀간 장소와 날짜 및 시간대만 공개하면 되지 성별, 연령 등 개인을 구체적으로 식별할 수 있게 하는 개인정보는 공개할 필요가 없지 않은가의 의문이 제기된다. 독일에서 우리나라의 확진자 동선 공개 정책과 비슷한 제도의 입법을 논의하다가 프라이버시 침해를 이유로 중단하고, 감염자의 휴대폰에 근접한 휴대폰에 자동으로 경고신호를 보내주는 방식을 논의하고 있는 것으로 알려졌는데 프라이버시 침해 문제에 대한 나름대로의 고민이 엿보인다.

다음으로 자가격리자의 격리장소로부터의 이탈 방지 및 감시를 위한 손목밴드 착용 강제 정책이다. 손목밴드 착용 강제 정책도 피부착자의 위치와 이동경로 등 위치정보를 실시간으로 파악하여 피부착자를 24시간 감시할 수 있도록 해 개인정보 침해 문제를 갖고 있다. 문제는 현재 법적인 근거도 존재하지 않는다는 점이다. 따라서 현재로서는 손목밴드 착용 강제는 불가능하다. 문제는 법률을 개정해서 도입하는 경우에도, 그 정당성에 대한 문제제기는 여전히 남는다는 점이다. 왜냐하면 자가격리 처분에 따르지 아니한 자에 대해서는 이미 ‘감염병의 예방 및 관리에 관한 법률’에 의해 300만원 이하의 벌금에 처해질 수 있기 때문에(처벌 수준이 너무 낮은 것이 아니냐의 문제는 별론으로 하더라도), 이에 더해서 손목밴드 착용 강제까지 추가하는 것은 프라이버시에 대한 과도한 침해라는 문제제기가 가능하기 때문이다. 실제로 손목밴드 착용 강제 정책이 제안됐을 때부터, 빅 브라더의 출현을 가능케 할 수 있는 강력한 시민통제장치들의 도입 유혹에 대해 경계하는 목소리도 분명히 존재했다.

결국 확진자 동선 공개 정책과 손목밴드 착용 강제 정책의 문제는 전체주의적 감시체제의 강화, 시민의 자유와 권리 수호 사이의 극단적인 대립 내지 양자택일의 문제는 아니라 하더라도 감염병 예방을 위한 개인정보의 활용 방식 및 범위와 관련해 고민하게 하는 화두를 던지고 있는 셈이다. 보다 심도있는 논의와 사회적 합의가 필요하다고 생각한다.

이 글은 아시아경제에 기고한 글입니다. (2020.05.08.)

오픈블로그, 프라이버시

목, 2020/05/14- 20:15

IT운동

‘문재인 공산주의자’ 판결의 위험

박경신 (고려대 법학전문대학원 교수, 오픈넷 이사)

역사는 항상 희극과 비극이 섞여 있는 회색 덩어리 같은 것이다. 역사로부터 배운다는 말은 보통 역사의 비극에 초점을 두고 비극을 되풀이하지 않겠다는 태도를 상징한다. 그런데 비극으로부터 배우는 것에만 초점을 맞추다보면 비극에 갇혀 있을 수도 있다. 공산주의의 비극을 되풀이하지 않겠다는 결의만으로 가득 찬 사회는 자본주의의 착취로 나아갈 수 있고, 그 반대 벡터도 가능하며 양극단 사이에서의 진동이야말로 진정한 비극이 될 것이다. 비극의 관점에서만 역사를 볼 것이 아니라 비극이 실현되지 않은 경우의 수들, 즉 희극도 엄연히 역사의 한 부분이라는 것을 항상 염두에 두는 자세가 필요하다.

문재인 대통령을 공산주의자로 칭했다고 하여 명예훼손 유죄가 선고되었다. 과거에 공산주의자라는 칭호가 국민들에게 씌웠던 누명과 천형을 생각하며 종북몰이에 대한 경계심을 갖는 것은 올바른 일이다. 필자도 수년 전 이정희 의원에게 ‘종북’이라고 불렀다고 해서 민사 손해배상 판결이 난 것에 대해서 ‘국가보안법의 역습’이라고 자위했다. 진보적인 인사들이나 독재에 순응하지 않은 사람들을 부당하게 처벌하고 심지어는 정치에 무관한 사람들을 간첩으로 엮었던 역사를 생각해본다면, ‘종북’ 칭호는 상대를 공공의 적으로 간주하는 것이며 맹목적인 반공 사회의 사법적 피해자에 대한 혐오 표현이라고 볼 수 있었다. 분단사회의 질곡이라는 역사로부터 배우려면 저런 판결도 도움이 될 수도 있다고 본 것이다. 그러나 ‘문재인 공산주의자’에 대한 형사처벌은 역사의 비극으로부터 너무 많이 배우려다가 역사의 비극 속에 갇히는 사례가 될 것이다.

명예훼손 형사처벌은 세계 각국에서 사문화하거나 폐지하자는 운동이 벌어지고 있다. 명예란 도대체 무엇인가? 불특정 다수가 나에 대해 가지고 있는 평가의 집합, 곧 평판이다. 평판은 나를 고찰하는 사람의 사상과 의견의 영역에 속하기 때문에 내가 통제하는 것에 한계가 있다. 내가 아무리 천사처럼 살아도 아무런 이유 없이 나를 싫어할 수 있다. 그런데 내 평판이 훼손되었다고 해서 훼손의 씨앗이 된 말을 한 사람의 신체의 자유를 제약하는 것은 비례성에 어긋난다. 민사 손해배상으로 한정되어야 한다. 더욱이 명예훼손이 형사처벌의 형태로 존재하면 기소와 압수수색만으로도 피의자들의 삶을 피폐화할 수 있는 검찰은 쉽게 권력 연장의 도구가 될 수 있다.

역사의 희극은 더 이상 종북몰이가 먹히지 않는다는 점이다. 우리 민중은 완전히 승리하지 못했지만 어느 정도 승리했다. 역사는 항상 그런 것이다. 그런데 역사의 비극, 즉 분단사회에서 진보 인사들이 받은 핍박에만 매몰되어 종북 발언, 공산주의자 발언을 형사처벌까지 하려고 든다면 그 역사의 다른 면에 갇힐 수밖에 없게 된다. 이 항소심 판결이 대법원에서도 유지된다면 이제 문재인 정권을 ‘독재’라고 불러도 나를 포함한 문재인 정권 지지자들은 할 말이 없게 된다. 더욱 중요한 것은 이제 ‘공산주의’를 포함한 다른 진보적인 사상들, 즉 사회주의 등등은 우리 사회가 절대로 언급해서는 안 되는 극악의 지표로 남게 될 것이다. 이런 의미에서 이번 판결을 절대로 진보적인 판결이라고 받아들이기 어려운 이유이다.

명예훼손으로 법정 구속된 종편 출신 송아무개 기자 사건도 마찬가지이다. 지금 송에게 쏟아지는 비난의 수위는 송의 디지털스토킹이 불러왔을 피해자에 대한 비난의 수위를 압도하고도 남는다. 피해자가 송의 ‘만행’을 먼저 알렸다면 피해를 막지 못했을까? 혹시 알리지 못한 이유는 거꾸로 송으로부터 명예훼손 고소를 당할 위험 때문 아니었을까? 우리가 피해자가 겪은 비극으로부터 배우려는 자세에만 매몰되어 형사처벌을 통한 검열에만 심취한다면, 소비자들의 이용후기가 위축되는 것은 물론 죄 없는 기업들의 블랙컨슈머리즘에 대한 고발도 같이 위축될 것이다. 역사로부터 배운다는 말은 항상 반만 옳다.

이 글은 한겨레에 기고한 글입니다. (2020.09.03.)

오픈블로그, 표현의 자유

금, 2020/09/04- 21:10

IT운동

공익적 정보처리 및 언론과 개인정보보호법

이 글은 2020. 11. 5.(목) 오후 2시, 국회의원회관 제4 간담회실에서 ‘공익제보와 개인정보 심포지엄’에서 발표된 발제문의 요약문입니다. https://opennet.or.kr/18973

개인정보보호법은, 사회가 복잡해지면서 자신에 대한 정보를 제공해야만 생활과 행복추구에 긴요한 서비스나 재화를 받을 수 있는 경우가 늘어나는 상황에서, 자신에 대한 정보의 향후 이용이나 제3자제공을 미리 제한할 협상력이 없을 정도로 개인정보처리자와의 힘의 비대칭에 놓인 정보주체를 ‘정보감시’ 또는 정보감시의 가능성으로부터 오는 ‘위축효과’로부터 보호하기 위해 고안된 법제로서 정보주체에게 자신에 대한 모든 정보에 대해 소유권과 유사한 통제권을 부여하는 것을 골짜로 하고 있다.

한편 법이 원래의 목적에 부합하게 기능하도록 하기 위해서는, 모든 개인정보처리가 정보주체의 통제권 하에 놓여지면 도리어 힘없는 개인정보주체들이 표현의 자유나 알 권리를 통해 행사할 수 있는 저항권이 제한되므로 정보주체의 통제권을 정교하게 재단할 필요가 있다. 이를 위해 대부분의 개인정보보호법제들은 첫째 GDPR 및 GDPR이행입법들의 상당수는 공익 및 정당한 이익을 위해 정보주체의 동의가 없는 정보수집 및 제3자 정보제공을 허용하고 둘째 단순히 제도권 언론의 취재보도만을 면책시키는 것이 아니라 언론 “목적”의 정보처리에 대해서 예외를 허용하고 있다. 제3자가 언론에 제보하는 행위도 예외에 포함되는 것이다.

우리나라의 개인정보보호법은 특히 공익제보가 활발히 이루어질 수 있도록 제3자제공, 언론목적 정보처리, 개인정보처리자의 해석 등에 있어서 국제기준에 비추어 개정해야할 필요가 있다.

	우리법 수집이용	우리법 3자제공	GDPR (수집, 이용, 3자제공)
타법률	O	O	O (4c)
공공기관업무	O	O	O (4f)
계약이행	O	X	O (4b)
정보주체보호	O	O	O (4d)
정보처리자의 정당한 이익	O	X	O (4f)
공익보호	X	X	O (4e)

개인정보보호법 제58조(적용의 일부 제외) ① 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다. . . . .4. 언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거 입후보자 추천 등 고유목적을 달성하기 위하여 수집·이용하는 개인정보

GDPR의 경우 다음과 같이 주체를 한정하지 않고 “언론 목적의. . 처리(processing for journalistic purposes)”에 대해 표현의 자유 및 정보의 자유와의 화합을 도모하도록 개별국가가 법제화를 하도록 의무화하고(“shall”) 있음.

Article 85 Processing and freedom of expression and information

1. Member States shall by law reconcile the right to the protection of personal data pursuant to this Regulation with the right to freedom of expression and information, including processing for journalistic purposes and the purposes of academic, artistic or literary expression.

오픈블로그, 표현의 자유, 프라이버시

수, 2020/11/18- 02:43

IT운동

산업도, 노동자도 죽이는 세계 유일 누더기법

글 | 박경신 (고려대 법학전문대학원 교수, 오픈넷 이사)

산업기술보호법(산기법)이라는 법이 있다. 영업비밀보호법이 ‘영업활동에 유용한 정보’만 보호하기 때문에 국책연구기관들의 영업비밀을 보호하지 못한다고 해서 만들었다고 하는데 막상 법을 만들 때는 정부 부처가 “산업기술”이라고 지정만 하게 되면 모두 영업비밀처럼 보호되도록 만들어놓았다. 이런 조문을 가진 법은 전세계에 우리나라밖에 없다. 법 만들 때 벤치마킹했던 미국의 경제스파이법도 영업비밀 보호에 한정되어 있고 중국, 일본, 독일에도 영업비밀이 아닌 것을 보호하려는 무리한 시도를 하는 법은 없다.

산업은 어떻게 발전하는가? 영업비밀이 아닌 산업정보는 자연스럽게 확산되면서 더 많은 연구와 실험을 거쳐 더 발전되어 나간다. 영업 직원이든 연구소 직원이든 회사의 기술정보 중에 영업비밀이 아닌 정보를 고객들이나 동종 업계 사람들과 공유할 수도 있지만, 산기법에 의해 차단된다. 더 중요한 것은 산업재해를 당한 노동자든 제조물책임 피해를 본 소비자든 기술정보를 알아야 할 필요가 있는데 영업비밀이 아닌데도 알 수가 없게 되었다는 점이다. 산업 발전에도 해가 되고 생명과 안전의 보호에도 해가 되는 법이 되어버린 것이다. 학자들은 이런 이유로 산업기술보호규제는 영업비밀에만 적용되도록 축소해석해야 한다고 주장했다.

하지만 2019년 국회는 문제를 더 악화시켰다. 영업비밀 침해는 부당취득행위나 비밀유지 위반이 있어야 발생하는데, 법을 개정하여 침해행위도 아닌 행위, 즉 산업기술 정보를 “제공받은 목적”과 다르게 이용 및 공개하는 행위를 처벌하기로 한 것이다(산기법 제14조 8호). 얼마나 황당한 일인가? 교수가 강의할 때 교육 목적으로 정보를 제공하지만 그 정보를 학생이 어떻게 사용할지는 학생에게 맡겨진 것이다. 발명을 하건 창업을 하건 강의평가를 하건 말이다. A제품 발명을 위해 나온 정보가 B제품 개발에 유용할 수도 있다. 비밀유지 의무가 없는 한 합법적으로 정보를 제공받은 사람은 자신의 상상 내에서 자유롭게 정보를 이용, 공개할 수 있어야 하는데 이를 막아놓은 것이다. 영업비밀도 아닌 것에 대한 침해행위도 아닌 행위를 처벌하는 세계 유일의 법이 더 위협적인 것은 “산업기술”이 이용되는 업체에 대해서는 노동자나 소비자들이 합법적으로 정보를 얻어도 안전이나 배상 목적으로 이용할 수 없게 된다는 점이다.

산기법이 2019년에 개정되면서 국가핵심기술 규제도 함께 누더기가 되어버렸다. 국가핵심기술 규제는 1980년대에 미국, 일본 등이 자신의 첨단기업들이나 첨단기술들이 해외로 팔려나가는 합법거래들을 국가에 신고하거나 또는 허가받도록 하기 위해 만든 것으로 비밀보호와 무관하다. 국가핵심기술 상당수는 법적으로 항상 공개되는 특허나 사실상 공개되는 저작권으로 보호되기 때문이다. 우리나라도 처음 만들 때는 합법적인 거래들에 대한 허가 신고제로 잘 만들었다.

이 법은 노동자와 소비자가 스스로를 보호하기 위해 행정부처가 사업장에 대해 가지고 있는 정보를 얻지 못하게 한다. 대표적인 것이 바로 삼성전자 공장에서 노동자들이 산재소송을 위해 작업장에서 이용된 독극물 목록을 근로복지공단으로부터 받으려고 정보공개 청구를 할 때 국가핵심기술이라는 이유로 공개가 거부된 사례다.

14조 8호나 9조의2가 영업비밀에만 적용되도록 축소해석될 가능성도 별로 없어 보인다. 실제 업계 일반에 널리 알려진 정보에 대해서도 산업기술침해죄를 적용한 판례가 나왔고 위의 삼성전자 사례도 영업비밀 여부에 관계없이 국가핵심기술로 지정되었다는 이유만으로 정보공개 청구에서 제외된 것이었다. 산업도 죽이고 노동자도 죽이는 세계 유일의 누더기법 산업기술보호법, 정부 여당이 책임지고 하루빨리 개정해달라.

이 글은 한겨레에 기고한 글입니다. (2020.11.29.)

오픈블로그, 표현의 자유

월, 2020/11/30- 19:42

IT운동

성매매금지법이 있다고 해서 성노동자의 표현도 규제되어야 할까? (2021.5.21 웨비나 토론문)

성차별금지는 국제인권이며 우리나라가 가입한 UN여성차별철폐협약에 명시되어 있다. 이 협약의 준수를 감시하는 UN성차별철폐위원회는, 성노동자 거의 전부가 여성인 상황에서, 성노동자에 대해 범죄자의 낙인을 찍는 것은 성차별이라면서, 수십년동안 우리나라를 비롯한 여러 나라에 성노동을 합법화할 것을 요구하였다. 세계적인 대세는 성노동자 처벌은 하지 않는 것을 기본으로 하고 성매수자처벌을 할 것인가에 대한 논쟁을 벌이고 있는 상태이다. OECD국가 중에 우리나라만 성노동자도 지역적 상황적 예외없이 모두 처벌하고 있다..

헌법재판소는 2014년에 “성인이 서로 자발적으로 만나 성행위를 하는 것은 개인의 자유 영역에 속하고, 다만 그것이 외부에 표출되어 사회의 건전한 성풍속을 해칠 때 비로소 법률의 규제를 필요로 한다. . . 국가가 개입하여 형벌의 대상으로 삼는 것은, 성적 자기결정권과 사생활의 비밀과 자유를 침해하는 것이다.”이라고 한 바 있다(간통죄 위헌). 이를 성매매에 적용해보자면 금전을 원인으로 성행위를 하게 되면 사랑, 결혼, 출산과 깊은 연관이 있을 수 있는 성행위를 더욱 쉽게 할 수 있게 되고 과도한 난교 상황은 성스러운 사랑, 결혼, 출산을 저해하여 도덕적 다수가 생각하는 ‘건전한 성풍속’에 어긋난다고 볼수도 있겠다. 하지만 ‘건전한 풍속’을 형사처벌로 강요하는 것이 정당할까?

성매매를 금지하자는 또다른 시각에서 헌재는 2012년에 성알선자 처벌에 대해 합헌결정을 내리면서 성매매가 “성을 상품화”하는 것이라면서 금지할 충분한 이유가 있다고 한 적이 있다. 하지만 무언가를 상품화된다고 해서 곧바로 형사처벌로 금지할 수 있는 정당성이 갖추어지는 것은 아니다. 육체는 성스러운 것인지만 이를 상품화하면 형사처벌해야 할까? 그럼 마사지사도 처벌해야 할 것이다. 교육도 성스러운 것이고 사교육열풍을 막으려고 노력하고 있지만 사교육을 받는 학생이나 학원을 형사처벌하려는 법은 위헌판정까지 받았다.

또다른 시각에서 헌재는 2006년에 성매매알선조항에 대해 합헌결정을 내리면서 “우리나라 성매매의 양태는 ‘강요된 성매매’를 포함하는 경우가 많고 최소한 ‘중간고리’를 끊기 위해서라도 알선자를 처벌해야 한다고 하였다. 하지만 그런 목적이라면 성노동자까지 처벌해야 할까요? 강요와 폭력의 주체들만 처벌하면 되지 않을까?

더욱이 UN성차별철폐위원회는 성매매금지법이 도리어 성매매여성들의 강제성매매 탈출을 어렵게 만든다며 합법화를 요구하였다. 우리나라의 “성제공자”들은 범죄자의 낙인이 찍혀, 폭력적인 포주나 고객을 신고도 하지 못하고, 의료서비스 복지서비스에 배제된 상태에서 경찰의 단속을 피해다니면서 살아가고 있다. 통영에서는 집안 형편상 가출했다가 17살에 출산하여 지금은 7살이 된 아이와 병든 아버지를 부양하기 위해 성매매를 하고 있던 25세 여성이 경찰의 함정단속을 피해 투신자살했다. 우리나라 2007년 여성가족부 통계에 따르면 성매매여성들은 30만명에 달한다. 인신매매 예방은 이렇게 많은 사람들을 음지로 때로는 사지로 내몰 이유가 되는 것일까. 사회적 낙인을 감수하면서까지 생계를 잇고자 하는 사람들에게 반드시 법적 낙인을, 범죄자의 낙인을 찍어 동굴로 몰아 넣어야만 인신매매예방에 대한 우리의 도덕감정을 충족시킬 수 있을까? 의료서비스 접근권 및 여성들의 권익신장을 위해 노력하는 UN여성기구 역시 2013년 성노동을 합법화할 것을 요구했고 UN보건기구들도 꾸준히 같은 주장을 해왔다. 국제인권기구의 양대산맥이라고 할 수 있는 휴먼라이츠와치와 국제사면위원회는 2013년 2014년 각각 성노동의 합법화를 정책기조로 발표하였다.

자 성매매금지법의 정당성이 이러한 상황에서 성노동자들의 표현을 차단해야 할까? 성노동에 대한 정보는 성매매라는 불법행위를 목적으로 하거나 교사 방조하는 정보라는 이유로 차단되고 있다. 하지만 위에서 보았듯이 성매매는 보편타당한 해악이 아니며 자유롭게 허용하는 국가들도 많이 있다. 해외 여러 국가들에서는 형사처벌되지 않는 성제공자들이 발화하는 표현까지 차단하는 것은 부당하다. 아무리 국내에서는 성매매가 불법이고 성제공자들의 온라인 상 표현이 그 불법행위를 촉발할 가능성이 있다고 하지만 그렇다고 해서 원천적으로 차단해서는 안된다는 것이다. 특히 “외부에 표출되어 성풍속을 해칠 때 법률의 규제를 필요로 한다”라는 헌재의 설시에서 볼 수 있듯이 성매매 자체에 내재된 해악 보다는 성매매가 끼치는 문화적 영향 때문에 성매매금지법이 만들어진 것이다. Dhyta Caturani도 성매매금지법이 없는 인도네시아에서도 성매매여성들의 표현을 포르노그래피법으로 규제하는 행태가 나타나고 있다고 하는데 세계적으로 성매매금지법이 성매매 자체를 죄악시하기 보다는 성매매에 성풍속에 끼치는 문화적 영향에 터잡았다는 것을 보여준다.

일반적으로 인터넷 상의 표현의 자유도 제한될 수 있다. 하지만, 표현물에 대한 법적 판단이 이루어지기 전에 행정기관의 결정에 의해 표현물을 차단 및 삭제하는 것은 주의해야 한다. 우선 물리적 행위와 달리 표현은 위축효과에 취약하다. 행정기관의 잠정적인 판단을 반박하여 표현물의 합법성을 입증하려는 수고를 포기하기 쉽다. 또 행정기관은 집권여당의 입김 때문에 중립적인 판단을 하기 어렵다. 특히 표현물이 불법이라서 이에 대한 책임을 지는 것이 아니라 행정기관의 명령을 어긴 것에 대해 별도의 책임이 부과되는 경우 합법적인 표현물의 위축효과는 더욱 증폭된다. 행정기관은 산업진흥 등의 다른 정책도 수행하기 때문에 쉽게 보복을 할 수 있다는 점도 위축효과를 증폭시킨다. 그렇기 때문에 행정기관에 의한 온라인표현의 자유 제한 즉 행정심의는 전세계적으로 거의 없었다. Turkey와 한국이 유일햇고 최근 몇 년 사이에 테러단체나 테러리스트들이 인터넷을 통해 인력을 확보하는 등의 현상이 나타나자 독일, 프랑스 등에서도 행정심의를 시작하였다. (NetzDG법, Avia법)

하지만 이들 몇안되는 나라들의 행정심의는 보통 보편타당한 해악성을 지닌 표현물에 한정하여 이루어진다. 테러나 기타 폭력을 선동하는 경우에 한정된다. 성매매금지법은 위에서 말했듯이 성매매 자체에 내재된 해악 보다는 성매매가 끼치는 문화적 영향에 터잡고 있다. 과연 이런 경우에도 성노동자들이 배포하는 정보를 차단해야 할까?

우리나라는 정보통신망법 44조의7 1항 9호의 ‘범죄를 목적으로 하는. . . 정보’도 불법정보로 정의하면서 범죄의 경중에 관계없이 똑같이 취급한다. 폭력 등의 명백한 해악에 이르지 않는 행정규제 위반 등을 초래할 수 있다는 이유만으로 표현물 자체를 삭제 차단하는 것은 표현의 자유에 대한 과잉한 제한이 된다. 예를 들어, 휴대폰실명제를 집행하는 국가라고 해서 비실명휴대폰을 소개하는 게시물까지 삭제차단하는 경우는 없다. 비실명휴대폰을 소개하는 웹사이트를 통해 비실명휴대폰의 이용이 확산될 가능성이 있더라도 이 웹사이트를 통해 국민들이 유용한 정보에 접할 권리가 침해되어서는 안되기 때문이다. 또 다른 예를 들어, 몇 년전까지만 해도 여타 이유로 탐정서비스의 제공은 국내에서 불법이었고 이에 따라 탐정서비스를 광고하는 웹사이트들의 국내유입이 차단되었다. 하지만 해외에 나가서 탐정을 채용한다고 해서 불법이 되는 것이 아닌데 국내인들이 탐정서비스에 대한 정보를 온라인으로 습득하지 못하게 하는 것은 국내인들의 알권리에 대한 제한이 된다. 물론, 해외도박사이트를 차단하는 것은 해외사이트운영자가 도박장개설이라는 위법행위를 정보통신기술을 통해 원격으로 국내에서 저지르지 못하도록 하기 위함이다. 그러나 도박과 같이 보편타당한 해악을 규제하는 행위를 매개하는 정보가 아니라 문화적인 그리고 연혁적인 이유로 국내에서만 특이하게 금지되는 행위(예를 들어 탐정서비스)를 매개하는 정보를 차단하는 것은 국내인의 알권리를 제한하는 성격이 강하다. 그렇다면 위에서 말했듯이 그 자체로 해악이라기 보다는 문화적 영향력 때문에 규제되고 있는 성매매에 대한 온라인정보를 차단하는 것도 문제가 있다.

행정기관의 심의는 폭력 등 심대하고 보편타당한 해악이 없는 한 자제되어야 하며 우리나라만의 문화적인 또는 법체제적인 이유로 불법화된 행위를 막기 위해 관련 정보를 차단하는 것은 신중해야 한다. 오픈넷은 여성들이 임신중지에 대한 정보를 얻고 있던 위민온웹이 낙태죄가 있다고 해서 차단 된 것에 대해서도 문제시하고 있고 성매매금지법이 존재한다고 해서 여성들이 생계유지를 위해 자신에 대한 정보를 제공하는 것을 삭제 차단하는 것도 문제라고 생각한다. 임신중지와 성매매 모두 여성의 인권과 다수결주의적 법익 (예: 태아의 생명, 인신매매 방지) 사이에 미세한 저울질이 필요한 사안이며 이와 관련되어 여성들이 필요한 정보를 주고 받는 것을 금지하기 때문이다.

오픈블로그, 오픈세미나, 표현의 자유

목, 2021/06/10- 11:23