트럼프 정부의 인터넷 개인정보 규제 폐지에 부쳐 – 오픈넷 김가연 변호사 일문일답

지역

트럼프 정부의 인터넷 개인정보 규제 폐지에 부쳐 – 오픈넷 김가연 변호사 일문일답

익명 (미확인) 님 | 목, 2017/04/13- 12:33

트럼프 정부의 인터넷 개인정보 규제 폐지에 부쳐

글 | 써머즈

2017년 3월 미국 의회는 연방통신위원회(FCC)가 만든 개인정보 보호 규정 시행을 막는 결의안을 표결에서 통과시켰습니다. 3월 23일에는 상원에서, 3월 28일은 하원에서 각각 통과됐습니다. 공화당이 다수파를 차지하고 있으므로 가능한 일이었다고 생각합니다.

그리고 트럼프 미국 대통령은 2017년 4월 3일 인터넷 개인정보 보호 규정을 폐지하는 법안에 최종 서명했습니다.

동의 없이 고객 개인정보를 이용해도 된다는 트럼프 정부

미국의 인터넷 개인정보 보호 규정은 미국 연방통신위원회(FCC)가 2016년 10월 27일에 만들었는데, 미국 인터넷 서비스 제공자(ISP)가 고객(이용자)의 동의 없이 이용자의 인터넷 사용 정보와 앱 활동 등을 추적하거나 공유하지 못하게 하는 내용을 담고 있었습니다.

FCC의 2016년 10월 프라이버시 규칙

조금 더 정확하게 말하자면, ISP는 고객(이용자)의 정보를 이용하거나 공유하려면 고객들에게 ‘옵트인’ 방식, 즉 명확한 사전 동의를 받아야 한다는 뜻입니다. 여기에 해당하는 정보는 아래와 같습니다.

정확한 모바일 위치정보
금융 정보
건강 정보
아동 정보
사회보장번호
웹브라우저 이용 기록
앱 이용 기록
인터넷 통신 내용

반면 ISP가 기본적으로 고객의 사전 동의가 없어도 고객 정보를 수집하다가 고객이 사후 거부 의사를 밝힐 때부터 수집을 중단하는 “옵트아웃” 방식으로 수집할 수 있는 정보도 있습니다.

이메일 주소
이용하거나 공유해도 별로 민감하지 않은, 서비스 단에서 만들어지는 정보

또한 ISP는 자신들이 수집하는 개인정보가 무엇이고 어떻게 이용될지, 누구와 공유할지를 고객들에게 분명하고 알아보기 쉽게, 지속적으로 알려줘야 합니다. 그리고 고객들이 개인정보 설정을 어떻게 바꿀 수 있는지도 명시하고요.

그리고 보안에 대한 적절한 감독, 데이터의 적절한 폐기, 합리적인 데이터 보안 관행과 지침을 마련해야 한다고 했습니다.

단, 이 규칙은 (구글이나 페이스북 같은) 소셜미디어 웹사이트나 정부 시설 등에는 해당하지 않는다고 명시했습니다.

이 규정은 2017년 말부터 시행할 예정이었으나 트럼프의 서명으로 이제 미국의 인터넷 서비스 제공자들은 자신들의 이익을 위해 이용자 허락 없이 개인정보를 가져갈 수 있게 됐습니다.

“이것(FCC의 개인정보 보호 규정)은 불필요하고, 헷갈리고 혁신을 숨 막히게 하는 규제다.”

“It is unnecessary, confusing and adds another innovation-stifling regulation.”

아리조나 주의 상원의원 제프 플레이크는 FCC의 규제안에 대해 이렇게 말하면서 앞으로 FCC가 인터넷 이용자의 개인정보를 보호하는 유사한 규정도 만들지 못하게 하는 결의안까지 발의했습니다.

불법으로 팔아도 솜방망이 처벌뿐이던 한국…

트럼프 정부의 개인정보 보호 규정 폐지를 보니 생각나는 일련의 사건들이 있습니다.

홈플러스는 2011년부터 2014년 사이에 수집한 2,400만 건의 고객 개인정보를 보험회사에 팔아서 232억 원의 이익을 봤습니다. 홈플러스는 어떤 처벌을 받았을까요?

홈플러스

한국 정부(공정위)는 약 4억 원의 과징금을 부과했고, 법원은 1심에서 무죄를 선고했고, 검찰의 항소를 아예 기각했습니다. 시민단체들은 정보통신망법과 개인정보보호법을 위한 홈플러스를 조치해달라고 방통위에 신고서도 냈지만 별 조치는 없었습니다.

이쯤 되면 국가는 도둑을 장려하고, 기업은 법과 고객을 비웃는다는 생각이 머릿속에서 떠나지 않습니다.

홈플러스

다행히도 대법원이 홈플러스 전·현직 임직원에게 무죄를 선고한 원심을 파기하고 사건을 유죄 취지로 서울지방법원 형사항소부로 돌려보냈습니다. (2017년 4월 7일 2016도13263 대법원 3부, 주심 권순일 대법관)

대법원은 “피고인들이 이 사건 광고 및 경품행사의 주된 목적을 숨긴 채 사은행사를 하는 것처럼 소비자들을 오인하게 한 다음 경품행사와는 무관한 고객들의 개인정보까지 수집해 이를 제삼자에게 제공했다”면서 “이는 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위’에 해당한다”고 밝혔습니다.

롯데홈쇼핑¹ 같은 경우는 2009년부터 2014년 사이에 고객 개인정보를 보험회사에 팔아서 37억 원가량의 이익을 봤습니다. 324만여 명의 고객 개인정보를 팔았는데 이 중 2만9천여 명에게는 “제3자 제공” 동의를 아예 구하지 않았습니다.

방통위는 롯데홈쇼핑에 2016년 8월 11일 과징금 1억8천만 원 부과를 결정했습니다. 시민단체들은 이를 검찰에 형사고발 했습니다. 시민단체들은 고객의 쇼핑내역 등 다른 정보까지 함께 판 것이 아닌지도 수사해 달라고 요청했죠.

이 외에도 개인정보 유출까지 이야기한다면 끝이 없을 겁니다. 공인인증서에 액티브엑스에 각종 설치파일에… 각종 불편함과 위험을 일반 인터넷 이용자인 고객에게 떠넘기면서 대량 개인정보 유출 사건이 일어나도 달라지는 건 없습니다.

업체들은 한 차례도 제대로 처벌받거나 거액의 보상금을 물어 준 적이 없습니다. 어떻게 유출됐고 어떤 보완책을 세웠는지 제대로 알리지도 않고 정부도 들여다보거나 국민에게 알려주지 않습니다.

그러면서 정부는 국민에게 정보를 제공할 때 신중해야 한다, 정보 제공에 동의하지 않았느냐며 국민을 힐난하고, 기업은 소비자 대신 정부 눈치만 봅니다.

현오석 경제부총리, "금융 소비자도 정보를 제공하는 단계에서부터 신중해야 한다. 우리가 다 정보 제공에 동의해줬지 않느냐"

한국에 미칠 영향은…

멀리 미국의 트럼프 정부의 인터넷 개인정보 규제 원점 논란은 미국만의 이야기일 수도 있습니다. 하지만 우리와 밀접한 관련이 있는 이야기일 수도 있습니다. 한국의 인터넷 이용자들과 관련 당국이 미국이나 영국 등을 참조하며 기대도 하고 규제의 틀도 만들기 때문입니다.

처음의 인터넷은 누구의 소유도 아니었지만, 점점 인터넷 기술이 고도화하고 상업화하면서 기업들이 그 자리를 모두 차지해버렸습니다. 여전히 인터넷 서비스 대다수는 무료이지만 기업은 이용자의 여러 정보를 빼내 재가공하고 퍼즐을 맞춰가며 개인들의 취향부터 약점까지 고루 공략하며 더 큰 돈과 기회를 만들고 있습니다.

정부는 대체로 기업들의 손을 들어주고 기업들에 더 큰 자유를 주고 있습니다. 홈플러스에 무죄를 내린 법원이나 방통위 등도 당시에는 한국 법이 좀 애매했지만 결국 큰 틀에서 보면 기업의 더 넓은 자유 보장이 세계적 트렌드 아니겠냐며 미래의 합당한 이유를 찾을 수 있을지도 모르겠습니다.

그사이 개인은 그저 돈을 지불하고 약관에 동의하고 정보 제공에 동의해야만 인터넷 세상에 살아남을 수 있는 정보 제공 숙주가 되어가고 있습니다.

오픈넷 김가연 변호사와 일문일답

오픈넷 김가연 변호사

– 트럼프 정부의 개인정보보호 규정 철폐에 관해 논평하면.

지금까지 개인정보 보호에 있어서 미국은 규제가 없다시피 했다. 그래서 어떻게 보면, 2016년 FCC(미 연방통신위원회)가 시민사회의 의견을 반영해 ‘최소한의 규정’을 만들었다고 본다.

즉, 그동안 미국은 기본적인 원칙도 없던 상태였는데, 그나마 그 최소한의 원칙을 만든 것이다. 그런데 결국 이마저도 기업 친화적인 트럼프 정부가 대형 이통사나 ISP의 로비에 넘어가 폐기한 것으로 평가한다. 소비자의 개인정보 보호와 프라이버시 보호 대신 기업 편을 들어줬다고 본다.

– 한국에 영향은 없을까.

한국은 미국과 다르게 강력한 개인정보 보호 법제가 존재한다. 하지만 그 집행이 제대로 이뤄지지 않는 문제가 있다. 기업들이 개인정보보호법을 위반해도 규제 당국이 솜방망이 처벌로 일관해왔다.

미국이 FCC의 규정을 폐기했다고 해서 우리나라 관련 개인정보 보호 법제가 약화하지는 않을 것으로 보고, 오히려 우리 법의 체계는 더 강화하는 경향성을 보이고 있다. 하지만 문제는, 앞서 말했듯, 그 집행에서 솜방망이 식으로 일관하고 있는 점이다.

– 그런 점에서 이번 홈플러스 대법원 판결은 큰 의미가 있다고 보인다.

대법원이 이번에 정말 올바른 판단을 했다. 개인적으로 1심과 2심의 판단에 아주 분노했었는데, 다행히 대법원이 올바른 판단을 했다. 법원이 이용자의 개인정보, 프라이버시를 보호해야 한다는 ‘시그널’을 기업에 보낸 판결이라고 본다.

– 홈플러스의 230억 원은 어떻게 되나.

해당 수익은 유죄로 확정된다면 범죄수익으로 판단해 몰수하거나 추징할 가능성이 생긴다.

– 실제로 기업의 범죄 이익이 몰수되거나 추징된 사례가 있나.

개인정보보호법 위반 사례에서 기업의 범죄 수익이 몰수되거나 추징된 사례는 없는 것으로 알고 있다. 참고로 말하자면 지난번 홈플러스에 부과된 과징금은 공정위의 행정벌에 해당할 뿐, 범죄에 대한 벌금이나 몰수, 추징금은 아니다.

다만, 이번 대법원 판결의 취지를 그대로 받아들이면 홈플러스의 행위는 유죄이고, 그 행위를 통해 벌어들인 수익은 범죄 수익이 되므로 원칙적으로 몰수나 추징할 수 있다고 본다.

– 이번 대법원 판결이 민사소송에 미치는 영향은.

홈플러스를 상대로 한 소비자들의 민사 소송에 당연히 긍정적인 영향을 미칠 것으로 보인다.

1. 법인명은 (주)우리홈쇼핑

* 위 글은 슬로우뉴스에 동시게재하고 있습니다. (2017.04.10.)

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

[판결비평] 가명처리는 안전조치로 도입되어야 했다

통신3사는 그간 가명처리된 정보라는 이유로 가입자의 개인정보가 어떻게 활용되었는지를 공개하지 않고, 이를 중단해달라는 요구도 수용하지 않아왔습니다. 자신의 정보가 어떻게 처리되었는지 알수 없었던 이용자들이 정보공개청구 및 향후 가명처리와 무단활용을 하지 말아달라고 요청했지만, SKT는 거절했습니다. 이에 이용자들은 법원에 소송을 제기했고, 법원은 이용자들의 손을 들어주었습니다. 정보주체의 가명처리정지권 보장의 중요성을 인정한 이번 판결에 대해 김보라미 변호사가 비평했습니다.

광장에 나온 판결 : 229번째 이야기

SKT를 상대로 한 개인정보 가명처리정지권 이행 소송 1심 판결

서울중앙지방법원 제29민사부 한정석(재판장), 강석규, 김소연 판사 2023. 01. 19 선고. 2021가합509722 [판결문 보기]

김보라미 변호사 / 법률사무소 디케

「개인정보보호법」이 2020년 2월 4일 통과된 이후 “가명정보”라는 개념이 도입되었다. 「개인정보보호법」 법 제2조 정의에서 가명처리에 대하여는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아 볼 수 없도록 처리하는 것”이라고 정의(법 제2조 제1의2호)하고, 가명정보에 대하여는 “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(제2조 제1호 다목)라고 정의하고 있다. 위 정의에서 “가명정보”는 ”추가정보“를 보유하고 있는 개인정보처리자 입장에서는 언제든지 특정 개인을 알아볼 수 있는 정보이기 때문에 개인 정보라는 점이 강조되어 있다.

우리 법에서 ”가명처리“의 정의는, EU GDPR¹⁾의 가명처리(pseudonymisation)(제4조 제5호)²⁾와 동일한 정의규정을 가져와 유사하게 제정한 것이나, 정작 GDPR에서 가명처리는 안전조치의 하나로 도입되었을 뿐이라는 점에서 큰 차이가 있다. EU GDPR에서는 가명처리는 개인들의 권리행사를 배제하거나 기타 개인정보보호조치를 배제시키려는 의도로 도입된 것이 아니다(전문 제28조)³⁾.

그러나 우리 법문 제3절에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리 근거로서 EU GDPR 제87조를 차용하였으면서도, 완전히 다른 법체계로 조문구성이 되었다. 이렇게 된 이유는 우리 법에서는 가명처리가 안전조치로 고려되지 않았기 때문이었다. 정의에서 언급된 가명처리는 더 이상 (안전조치로도) 언급되지 않고, ”가명정보“만 과거 사회적 논란속에서 사라져간 「개인정보 비식별조치 가이드라인」(2016. 6. 30. 공표)에서의 ”비식별조치“와 유사한 맥락으로 활용되고 있다.

특히 현행 「개인정보보호법」는 ”가명정보“일 경우 개인정보주체의 동의없이 활용할 수 있는 특례를 허용해 주면서도 별도의 조건이나 제한 없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도 등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등의 개인의 기본적 권리 행사도 모두 불가능하게 규정(법제28조의7)했다는 점에서 그 문제가 심각하다.

위 규정대로라면 ”가명정보“는 개인정보라고 강조하며 정의하고 있는데, 제3절의 가명정보의 처리 특례를 통해 ”개인정보“가 아닌 것처럼 역할하고 있는 것이다.

통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리근거 비교표. 우리 개인정보보호법과 유럽 GDPR을 비교하고 있다. 체계. 우리 개인정보보호법. 개인정보 처리근거와 무관하게 맥락없는 가명정보의 특례로 “동의받지 않고 활용할 수 있다”라고 구성되어 있음(제3절 가명정보의 처리에 관한 특례). 유럽GDPR. 양립가능성(제6조 제4항 본문)을 근거로 하여 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계 목적을 위한 추가 처리를 양립가능성 범위내로 예시함(전문 제50조, 제5조 제1항 b호 후문). 요건. 우리 개인정보보호법. 가명정보. 유럽GDPR. 가명처리는 안전조치의 하나일 뿐이지, 가명처리되었다고 하여 안전조치가 전부 충족된 것은 아니다. 정보주체의 권리 배제. 우리 개인정보보호법. 별도의 조건이나 제한없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 사업자의 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등 정보주체의 권리행사배제 (법 제28조의7). 유럽GDPR. - 과학적 또는 역사적 연구 목적, 통계 목적으로 처리되는 경우 일부 정보주체의 권리[제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함. - 공익적 기록보존 목적일 경우에는 [제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제19조(고지의무), 제20조(개인정보이동권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함.

헌법재판소는 개인정보자기결정권에 대해서 헌법 제10조 제1문에서 도출되는 일반적 인격권, 헌법 제17조의 사생활의 비밀과 자유에 근거하여 독자적인 기본권으로 인정하여 왔다.(헌재 2005. 5. 26. 자 99헌마513 등) 이러한 개인정보자기결정권에는 개인이 개인정보 처리에 관하여 동의할 수 있는 권리, 동의 범위 등을 선택하고 결정할 수 있는 권리, 열람을 요구할 수 있는 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리가 실질적으로 구현되어야 한다. 이러한 권리가 구현되지 않는 개인정보자기결정권은 존재하지 않는 것과 같다.

개인정보자기결정권은 개인정보를 식별가능한 상태로 처리함으로써 개인의 사생활이 침해된다는 것에 대해 방어할 수 있는 권리에 그치는 것이 아니라, 개인이 자신의 정보흐름에 대해 주도권을 가지지 못하고 배제됨으로써 겪는 인격권 침해를 막고 적극적으로 참여할 수 있도록 하는 권리이기도 하다. 그러므로 ”개인이 행사하여야만 하는 헌법상 기본권“을 처리의 목적 달성 여부나 필요성, 최소 침해성 여부 등을 전혀 고려하지 않고 전면 배제하여 통제권을 유명무실한다면 이는 헌법상 과잉금지원칙 위반이라고 해석될 수 있다.

이번 SKT 사건 판결은, 「개인정보보호법」에서 가명정보 특례 조항들이 가지고 있는 문제를 본격적으로 짚었을 뿐만 아니라, 개인정보자기결정권이라는 기본권을 침해여부에 대한 헌법적 평가까지 함께 했다는 점에서 의미가 크다. 판결문에서는 명시적으로 언급되지 않았으나, 우리 법에서 명확하게 규정하지 않은 식별가능한 개인정보가 가명정보화되는 처리과정 및 처리근거에 대한 문제제기 역시 같은 맥락에서 검토될 수 있다.

해당 판결에서는 가명정보의 특례를 통해 개인들의 권리행사가 부당하게 제한되고 있다는 점에 대하여 ① 개인들의 권리행사가 왜 필요한가라는 측면 (필요성), ② 개인들의 권리행사를 전면 배제하는 것의 과잉침해성 (최소 침해성) 등을 언급하며 ”부당하다“고 평가하고 있다.

판결문 제9쪽 내지 제10쪽

가명정보가 … (중략)… 동일한 정보주체에 관한 여러 가명정보가 사용・결합되거나 그 밖에 이와 유사한 상황이 발생할 경우에는 정보주체에 대한 식별이 가능하게 될 위험이 존재하고 … (중략)… 개인정보가 정보주체의 의사와 무관하게 유출되는 경우에는 정보주체에게 심각한 피해가 초래될 가능성이 높고 그로 인하여 정보주체에 발생한 피해는 사후적으로 금전적 보상 또는 배상이 이루어지는 것만으로 회복될 수 있는 성질의 것이 아닌 이상 정보주체가 개인정보처리자에 대하여 식별가능정보에 대한 가명처리 내지 가명정보에 대한 처리에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 할 필요성이 존재한다고 할 것이다.

그런데 개정된 개인정보 보호법은, … (중략)… 식별가능정보를 가명처리하여 생성된 가명정보에 대하여는 ①개인정보처리자의 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조)와 ②정보통시서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6) 및 ③정보주체의 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 동의 철회에 관한 권리(제39조의7) 등의 적용을 모두 배제함으로써(제28조의7) 정보주체의 가명정보의 처리에 대한 결정권을 상당하게 제한하고 있다.

그렇다면 개정된 개인정보보호법 제28조의7에서 처리정지 요구권의 적용을 배제하고 있는 ‘가명정보’에 식별가능정보를 가명처리하는 것까지 포함된다고 해석할 경우 정보주체가 개인정보처리자에 대하여 가명정보에 대한 개인정보자기결정권을 행사할 수 있는 방법이 원척적으로 봉쇄되는 부당한 결론에 이르게 된다.

또한 해당 판결에서는 가명정보로 처리되기 전에 자신의 식별정보에 대한 가명처리정지를 요구할 수 있다는 점에 대하여 ‘개인정보 보호 법령 및 지침・고시 해설’ 등의 유권해석을 근거로 판단하고 있는데 더하여, 헌법적 평가를 시도하고 있다. 즉, ”식별가능정보의 가명처리에 대한 정보주체의 처리정지 요구권의 행사를 원천적으로 제한함으로써 침해되는 정보주체의 사익이 그로 인하여 얻을 수 있는 공익에 비하여 결코 작다고 단정할 수 없다“고 판단한 것이다. 이러한 판단은 향후 유사한 ”개인“들의 권리행사에 있어서도 다른 공익과의 비교형량의 중요 기준으로 활용될 수 있는 근거로서 검토될 수 있을 것이다.

오늘날 저장장치 및 빅데이터와 강력한 기계학습알고리즘 등의 발전으로, 인간의 눈에는 식별할 수 없는 것처럼 보이더라도 개인으로부터 파생되거나 추론되는 데이터들이 쉽게 민감한 데이터로까지 추론되는 시대를 살고 있다. 비루해 보이는 토끼굴이 사실은 석·박사들이 포진한 데이터처리회사라는 이상한 나라까지 쭉 연결되는 것처럼 말이다.

EU GDPR을 중심으로 세계적으로 개인정보보호법제가 디지털 시대에 개인정보주체에게 보다 적극적인 통제권을 부여하고, 개인의 인권을 침해하는 개인정보처리를 제한하는 방향으로 변화되고 있다. 관련된 캘리포니아 주 법은 이에 영향을 받아 두 차례에 걸쳐 개정되었으며, 미 연방 개인정보보호법안도 발의된 바 있다.

이번 판결에서 문제가 된 「개인정보보호법」 제3절 가명정보의 특례는 개인정보보호법 전체 맥락과 견주어 보아도 어떤 개인정보처리규정과도 연결점이 없이 갑자기 툭 튀어나온 모습이다. ”활용”과 ”데이터 결합”을 위해 보호법에 특별한 특혜규정을 열어준 것이다. 지금이라도 법체계내에서 ”가명정보“라는 개념은 폐기하고, 가명처리를 안전조치의 일종으로 검토하여 개인정보보호법의 본래적 목적에 맞는 법개정이 이루어져야 한다. 또한 근본적으로 헌법상 개인정보자기결정권을 실질화하는 개인의 권리를 복원해야 한다.

1) EU GDPR(General Data Protection Regulation, EU 일반 개인정보보호법). 2016년 공포된 유럽의회 통합 규정으로써 유럽 시민들의 개인정보 보호를 강화하기 위해 시행된 규정으로 유럽 연합 시민의 데이터를 활용하는 경우 준수해야 한다. 개인정보 유출에 대한 심각성이 강조되면서 유럽뿐 아니라 전세계적으로 채택되거나 이와 유사한 법제가 도입되고 있다.

2) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

3) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection

참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그 와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다. 주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.

The post [판결비평] 가명처리는 안전조치로 도입되어야 했다 appeared first on 참여연대.

[MD] section1**주요이슈, [메인편집] Main**Display, 사법감시센터, 판결/결정, SKT가명정보, 가명정보, 가명처리, 개인정보, 참여연대, 판결비평

월, 2023/02/20- 18:36

IT운동

“데이터현지화의 목표는 역차별해소일 수는 없다”

박경신, 2019/7/19 공정경쟁과 데이터 세미나 토론문

공정경쟁을 위한 데이터현지화(data localization)가 화두이다. 그런데 데이터현지화 담론의 가장 큰 허점은 목적이 무엇인지가 불분명하다는 것이다. 목적으로 제시되는 이유는 (1) 규제상의 역차별” 완화 (2) “망이용료” 상의 역차별 완화 (3) 세법 상의 역차별 완화이다. 참고로 GDPR도 데이터현지화를 한정적으로 요구하고 있지만 자국민의 프라이버시보호를 목적으로 하고 있어 프라이버시가 개인정보보호수준이 낮은 나라로의 이전만을 규제하고 있는 것과 달리 우리나라의 논의는 반드시 우리나라 안에 데이터를 둬야 한다는 면에서 차이가 있다.

우선 전반적으로 인터넷이 문명에게 준 선물은 힘없는 개인들도 정부나 기업과 같은 홍보력과 정보력을 가지도록 한다는 것인데 이 홍보력과 정보력에는 외국문물로부터의 정보를 수집할 자유 그리고 외국인들에게 홍보할 자유가 큰 부분을 차지하고 있다. 이와 함께 착신지의 다양성 뿐만 자신이 선택한 communication governance를 통해 통신할 자유도 포함하는 것인데 현재 데이터현지화의 대상이 되는 플랫폼업체들은 사실 자신의 데이터가 아니라 이용자들간의 소통을 mediate하고 있습니다.

과연 이를 역차별이라고 할 수 있는가. 알아보자.

(1) “역외적용” 담론 마저도 일관되게 갈라파고스적

“인터넷사업자는 국내법상 존재하는 각종 규제를 준수해야 하지만 해외사업자는 동일한 법 적용을 받지 않고 있어 국내 기업의 경쟁력이 현저히 저하되고 있다. 이 역차별을 해소하기 위해 외국업자에게 똑같은 규제를 적용해야 한다”는 주장이 정부여당 내에서 인기를 얻고 있다.

적반하장이라고 밖에 말할 수 없다. 국내인터넷기업을 ‘차별’하는 것은 정부와 국회가 우리나라에서만 유일무이하게 만들어 적용하고 있는 갈라파고스적 규제들이다. 게시물이 불법이 아니라도 요청만 있으면 30일 동안 게시물을 차단해야 하는 임시조치제도, 게시물이 불법이 아니라도 ‘건전한 통신윤리 함양을 위해 필요’하다면 삭제차단하겠다는 방송통신심의위원회의 시정요구제도, 우리 국민이 접속하는 웹사이트로서 자본금 1억 이상이라면 무조건 신고를 해야 하는 부가통신사업자신고제도, 불법물을 사전차단하지 않으면 형사처벌까지 당할 수 있는 ‘기술적 조치’ 의무조항들, 청소년의 합법적인 콘텐츠 접근을 막기 위해 실명제까지 하라는 청소년유해매체물실명제, 청소년유해물도 아닌 인터넷게임을 하려는 사람들도 실명확인을 하라는 인터넷게임실명제, 이들 실명제를 위한 온라인 상의 본인확인 방식도 이동통신사의 배만 불리는 고비용의 휴대폰본인확인을 선택할 수 밖에 없게 강요하는 본인확인기관제도, PC방을 포함한 모든 스타트업들의 전용회선료를 세계 최고 수준으로 높이고 있는 발신자부담 종량제 상호접속고시, 모든 온라인결제와 행정민원 서명에 공인인증서를 요구하는 공인인증서제도, 밤12시부터 새벽6시 사이에 청소년을 잠을 자야 한다는 폭력적인 전제에 만들어진 게임셧다운제, 진실이나 감정표현도 불법물로 분류하여 매년 1만건 넘는 기소가 이루어지는 명예훼손/모욕죄 법규 등 수많은 제도들이 국내기업들을 괴롭혀 왔다. 이 법들이 우리나라에 공익적으로 좋은지 안좋은지를 지금 다투지 않겠다. 중요한 것은 이 규제들은 OECD국가들 중에서 우리나라에서만 존재하고 있으면 우리나라 인터넷기업들의 발목을 잡고 있다는 것이다. 이는 마치 미국에서 50년대에 법률로 유색인종들인 기차 버스 앞에 못타게 하였는데 그 ‘차별’을 해소하기 위해 백인들도 기차 버스 앞에 못타게 하겠다는 것과 마찬가지이다.

보통 국가가 공익적인 목적으로 만든 규제에 대해 기업들이 과도하다고 불만을 표시하면 공익을 훼손하지 않는 범위에서 제도개선 가능성을 검토하는 것이 보통이다. 그런데 우리나라 정부는 해외인터넷기업들에까지 그 제도를 적용해서 ‘평등한 규제환경’을 만들겠다는 특이한 자세를 보이고 있다. 도대체 어느 나라가 자국규제 때문에 기업들이 힘들어하는 것을 두고 ‘역차별’이라고 부르면서 외국기업에 부담을 돌리려 하는가? 갈라파고스제도로 사고를 쳐놓고 갈라파고스적인 해법을 내놓는 형국이다.

(2) “망이용료” 상의 역차별

“망이용료”라는 말 자체가 국제적으로 존재하지 않는 말이다. 아래 그림을 보면 외국업체들은 국내이용자와의 접속(하늘색 루트)만 구매하는 것이고 – 반드시 외국업체가 필요해서 구매하는 것이 아니라 국내망사업자가 외국업체의 정보를 중앙의 핑크색루트를 통해서 받을 경우 너무 많은 양의 접속(transit)용량을 상위 ISP로부터 구매해야 하기 때문에 국내망사업자의 필요에 의해서 매매가 이루어지는 것(그러니 무료거래도 발생하는 것)이고 – 국내망사업자들은 전세계 단말들과의 접속루트(핑크색 루트 전체)를 구매하는 것이다. 한쪽은 캐시서버 접속료이고 한쪽은 전체 인터넷에 대한 접속료이다. 당연히 역차별을 논의할 수 없다. 외국단말과의 통행량이 적어도 (“2.6%”, 2019.11.10. 인터넷상생협 토론회 중 SK 윤세은 상무 발언) 마찬가지이다. 아무리 작은 통행량이라도 그것이 없다면 소비자들은 그 인터넷업체들을 회피할 것이다.

(3) 세법 상의 역차별 완화

지금 논의되고 있는 것이 해외CP들이 국내에서 콘텐츠를 팔 경우 이에 대해 세금을 부여하고 싶다는 것이다. 그런데 중국차가 미국에서 차가 팔린다고 해서 미국국세청이 중국제조업체에게 소득세를 부과하는가? 좀더 자세히 살펴보자면 다음과 같다.

디지털무역은 디지털콘텐츠를 해외에 파는 방식으로 이루어진다. 디지털콘텐츠는 주로 인터넷을 통해 판매된다. 이에 따라 유튜브 동영상, 페이스북 콘텐츠 등의 사본을 이용자들이 자신의 PC를 통해 받아보는 방식으로 디지털무역으로 이루어진다. 이때 이용자들이 직접 콘텐츠 이용에 대한 대가를 내는 것은 아니며 이들이 콘텐츠를 주의(attention)을 제공하고 콘텐츠 업자는 이 주의를 이용자들을 잠재적 고객으로 생각하는 광고주들에게 팔아서 현금화함으로써 디지털무역이 완성된다.

이에 대해서 소득세과세를 하고 싶다면 소득세의 기본원리를 바꿔야 한다. 이를 위한 국제적 논의를 따라가야 할 필요가 있는데 그것과 분리되어서 세법 상의 역차별을 말하는 것은 온당치 않다.

오픈블로그, 표현의 자유, 프라이버시, 혁신과 규제

수, 2019/11/20- 00:24

IT운동

[발제문] “가짜뉴스 규제” – 한국언론, 길을 묻다 토론회(2019.11.14.)

2019.11.14. 서강대학교에서 남덕우기념사업회가 주최한 “한국언론, 길을 묻다” 토론회가 열렸다. 이날 토론회에는 각계 학자·언론인들이 모여 ‘가짜뉴스, 규제해야 할까?’, ‘언론의 소유에 관한 질문’, ‘한국 언론의 당파성(정파성)’을 주제로 한 발제 및 토론이 이루어졌다. 이 토론회에서 박경신 오픈넷 이사가 아래의 내용으로 가짜뉴스 규제에 대해 발표했다.

발제문_가짜뉴스 규제_박경신 다운로드

[발제문] 가짜뉴스 규제

박경신 오픈넷 이사/고려대 법학전문대학원 교수

표현의 자유 기본원리

표현의 내재적 가치
표현의 도구적 가치 : 민주주의, 진실
표현은 interactive 하다. 즉 청자와 화자의 ‘합작품’이다.
표현의 결과는 청자의 정보처리에 의해 mediate 된다.
표현의 결과에 대한 책임을 모두 화자나 정보에게 지울 수 없다.
- 명백하고 임박한 위험의 원리(미국)
- 민주사회에 필수불가결한 규제의 원리 (유럽)

허위주장에 대한 규제

위 기준에 비추어 허용되는 표현규제 (괄호 안은 해악)

명예훼손 (제3자의 피해자 기피)
사기 (청자의 재물 박탈)
폭탄헛소문법 (대중교통수단에서의 다수인들의 동시다발적 도피행위에 따른 부상, “verbal act(언사적 행위)”)
위증 (재판에서의 사실확인 노력 오도)
위조 (부당한 권리의 행사)
아동포르노그래피 (아동성학대영상 즉 제작과정에서 아동에게 발생한 피해)
혐오표현 (소수자에 대한 차별과 폭력. cf. 지배층에 대한 혐오표현?)
음란물 (예외? – 합법적인 행위를 묘사한 표현물이 유통이 끼치는 해악?)
선거법상 허위사실공표죄 (선거의 공정성 – 그러나 진실이 그렇게 중요하다면. . . )

허위사실유포죄? – 보통은 “공익”, “혼란” 등으로 포장되어 있지만 구체적인 해악이 적시되지 않음 → 위헌 및 인권침해로 받아들여짐

역사: 실제로 권위주의 정부에서 진실된 비판을 억압하기 위한 도구로 이용됨. 예) 유신정부의 긴급조치 1호의 첫번째 신설범죄 “유언비어유포죄”

사례: 미네르바

인기 경제 블로거 – 2007년 미국수출 대기업들에 유리한 고환율정책에 대한 비판
한나라당 의원들의 대검 추궁 → 미네르바 구속
블로그: “외환거래중단 공문 1호!” → 사실: 전화로 거래자제 요청
블로그: “외환거래 중단” → 사실: 외환거래 “거의” 중단
전기통신기본법 47조 “공익을 훼손하기 위해 허위의 통신을 한 죄”
한 번도 집행되지 않은 법
입법연혁 – 전파법 상 타인을 사칭한 통신을 금지한 규정
- 결론: 피고인 무죄 (“진실이라고 믿을만한 이유” → 의도 부인)
- 결론: 법 위헌 (“공익 훼손” 이유로 허위주장 처벌은 명확성 위반)
허위의 해악 통제? 국가보위를 위한 사법권력의 동원?
- 결과: 다음 아고라의 피폐화

국제인권기준

R v. Zundel (Canada, 1992): 유태인대학살 부인죄 위헌
Chavanduka & Choto (Zimbabwe, 2000): 군인 소요 가능성을 보도한 기자들에 대해 “대중을 동요하기 위해 허위주장 배포한 죄” 위헌
Minerva case (Korea, 2010): 한국정부의 외환관리 행태에 대한 블로거 논평에 대해 “공익을 훼손하기 위한 허위의 통신을 한 죄” 위헌
Andare (Kenya, 2017): 페북 댓글로 타인의 소녀 성착취 의혹을 날조하여 비난한 것에 대해 “의도적으로 심적 불안을 끼치기 위해 허위통신을 한 죄” 위헌

민주사회에서 부정확성의 가치 (Zundel)

환경운동가가 ‘브리티시 콜럼비아주에서 열대우림이 사라지고 있다’는 주장이 과학자들에 의해 허위로 밝혀질 것이 두려워 그 주장을 하지 못하는 것이 옳은가? 삼림산업에 악영향을 끼치더라도 말이다.
인근의 원자력발전소가 아이들의 건강을 위협하고 있다는 말을 과학에 의해 영향이 최소한임이 입증되는 것이 두려워 하지 못해야 하는가?
의사가 뇌수막염이 유행이라는 말이 허위로 밝혀질까봐 그 말을 하지 못하는 것이 옳을까?
소수민족이 자신의 동료들의 상황을 무시하고 있다고 말하는 것도 두려워 해야 할까?”

공통점: 화자가 가진 선의에 의해 형성될 수도 있는 공익의 가치

의도적인 허위의 가치 (Zundel)

의도적인 허위주장도 표현의 자유를 떠받치는 가치들과 관련되어 유용한 사회적 역할을 수행할 수 있다.
동물학대 반대운동가가 통계를 조작하여 ‘동물학대건수가 증가하고 있다’고 주장했다면 처벌되어야 하는가?
의사가 유행바이러스 대응을 독촉하기 위해 유병율과 유병지점을 조작했다면 처벌되어야 할까?
예술가가 특정 사회에서는 진실에 반하는 것으로 여겨지는 주장을 한다면 (예: 살만 루시디 <악마의 시>) 처벌되어야 한는가?
“이 모든 주장들은 정치적 참여를 독려하는 가치가 내재되어 있다”

화자에게 있는 약간의 악의. 이것은 사상의 자유시장에서 다투어져야 할까? 형사처벌로 다루어져야 할까?

허위사실유포죄

허위와 진실은 구분하기 어렵다.
과학철학: 진실은 잠정적이다. 과학은 반증할 수 있는 허구(가설)을 제시하고 반증에 실패하면서 진실의 범위를 넓혀가는 학문
처벌할 정도 명백한 허위? 그런 허위라면 어떤 해악을 끼칠까?
- 예) 지구평평론, 백신무용론
대부분의 문제가 되는 허위는 진실에 가깝기 때문에 해악이 있는 것. 그러나 그 해악 때문에 검찰이 칼날이 들어간다면? 목전의 진실을 밝힐 가능성은?
- 2012: 정봉주의 이명박 BBK주가조작 의혹
- 2019: “다스는 이명박 소유!”
진실은 항상 숨겨져 있다. 진실이 뚜벅뚜벅 걸어나오게 만드는 것은 오직 의혹제기뿐!

허위에 대한 사회의 대응

깨어있는 시민
언론의 각성
더 많은 사실의 공개 – 진실명예훼손죄의 폐지 + 공공데이터 개방
- (예: 판결문 공개)
Marcelo Mendoza 2010년 연구 – 칠레 지진 때 트위터를 통한 재난 관련 정보교환에서 충분한 자정작용 확인

새로운 주장: 가짜뉴스가 2016년 선거를 망쳤다!

가짜뉴스란? = 가짜 언론사 뉴스 (fake media’s news)
2012년말 버즈피드(Buzzfeed): “교황이 트럼프를 지지한다”는 등의 가짜 언론사의 페이지가 가장 많이 페이스북에서 공유되었음.
2012년말 이코노미스트/유거브(Yougov): “트럼프 투표자들의 40%가 민주당이 아동성매매조직을 운영하고 있다고 믿으며, 36%가 오바마가 케냐에서 태어났다고 믿는다.
시간이 흐른 뒤. . .
- 2018년 MIT연구 – “소셜미디어에서 허위주장이 진실보다 더 넓게 더 깊게 전파된다”

진짜 문제일까?

페이스북 공유는 공유된 가짜뉴스가 진실이라고 해서 이루어지는 것일까?
진짜 선거에 영향을 끼쳤던 뉴스는 오바마 케냐 출신설. 그러나 가짜뉴스에서 시작된 것이 아님. 공화당원들이 대통령출생증명법안을 제출하고 트럼프가 계속된 인정거부하면서 발생함. → 정치인들의 역할은 무엇인가?
정녕 문언상의 허위가 문제일까? 예) Alien Endorses Trump, 문재인 치매설

**German social network act (2017년 3월 시행)**
– 게시자에 대한 형사처벌(x)
– 플랫폼업자에 대한 벌금(O)
**– 허위사실 유포죄(X)**
**– 기존 형법에 불법으로 정해진 정보(O)**

호주 (2019년4월 시행)

Failure by a service provider to notify the Australian Federal Police, within a reasonable time, that abhorrent violent material relating to conduct which is occurring, or has occurred, in Australia is accessible on a service.
Failure by a service provider to expeditiously remove, or cease to host, abhorrent violent material that is accessible within Australia.

The changes to the Criminal Code empower the eSafety Commissioner to issue a notice giving rise to a presumption that a service provider has been reckless as to whether its service can be used to access/host material which is violent abhorrent material at the time the notice was issued, unless the service provider can prove otherwise. The receipt of a notice will in effect impose strict liability for the offence, unless a service provider acts “expeditiously” to remove the relevant material.”