* 참조(발제문 및 토론문): http://opennet.or.kr/11312
빅데이터와 사물인터넷 시대에 개인정보는 어떤 범위에서 얼마나 보호되어야 할까요? 최근 가장 논란이 되고 있는 것은 과연 비식별화 정보가 개인정보인가?입니다. 요즘 주목받고 있는 빅데이터, 사물인터넷 사업을 하기 위해서는 개인정보를 활용하는 것이 필요합니다. 이때 비식별화 정보는 개인정보가 아니므로 제한없이 자유롭게 이용할 수 있어야 할지, 비식별화정보라 하더라도 개인정보보호 위반의 문제가 발생하므로 여전히 보호가 필요한 것인지에 대해 의견이 분분합니다. 이번 오픈넷 포럼에서는 개인정보의 비식별화 관련된 쟁점들을 살펴보고 개인정보를 보호하면서도 산업 발전에 이용할 수 있도록 하는 방향의 해결책을 함께 모색해보고자 합니다.
발제를 진행한 심우민 입법조사관은 세계적으로 개인정보보호입법과 관련해서 어떠한 쟁점이 있는지를 설명한 후 방송통신위원회에서 2014년 발표한 「빅데이터 개인정보보호 가이드라인」을 비판적으로 검토하고, 개인정보보호 관련 입법 시 고려해야 할 요소가 무엇인지 설명하였습니다. 그리고 개인정보보호법제의 패러다임 변화가 필요하다는 점을 강조하였습니다.
먼저 개인정보 보호입법 개선논의는 급격한 정보화를 겪고 있는 대부분 국가들의 문제라고 하며, 우리나라 개인정보 개념정의 규정이 매우 포괄적이어서 문제가 있다는 지적이 있지만, 실제 각국의 개인정보 보호법제의 개념정의 규정들과 비교해보면 우리나라보다 포괄적인 경우도 존재한다고 지적하였습니다. 물론 형사제재의 경우에는 과도하다는 문제가 있다고 합니다.
개인정보 보호법제를 둘러싼 논란은 결국 빅데이터, 사물인터넷과 같은 새로운 정보통신 환경의 변화로부터 기인하였으며, 근원적인 이유 중 하나는 개인정보 또는 프라이버시 보호법제의 ‘패러다임 교착현상’ 때문이라고 합니다. 프라이버시와 같은 개념은 모호하고 추상적입니다. 그런데 이러한 프라이버시를 보호하기 위해 세계각국의 현행 법제들과 법원은 개인정보자기결정권이라는 권리 개념을 만들어서 식별성을 전제한 개인정보를 보호하고 있습니다. 그러나 식별성이 전제되지 않은 프라이버시 개념이든, 식별성이 전제된 개인정보든 결국 법원의 해석을 요구한다는 것입니다.
예전에는 정보와 결합해서 개인정보가 식별성을 가지는 경우가 많지 않았으므로 개인정보자기결정권을 정의하는 것이 용이하였으나, 빅데이터 등이 등장하는 현재의 기술적 발전상황에서는 결국 법원의 해석 여지가 더욱 넓어지고 개인 식별 가능성을 중심으로 한 현행 개인정보보호법제는 한계에 이르게 됩니다. 그 결과 식별 가능성을 전제로 정보주체의 개인정보자기결정권의 실현방식을 동의권을 중심으로 규정하고 있는 현행 법제 또한 한계에 봉착하게 되는 것입니다.
방송통신위원회가 2014년 12월에 공표한 「빅데이터 개인정보보호 가이드라인」의 주요내용은 ①개인정보의 개념 설정과 ②동의요건의 면제입니다. 가이드라인을 살펴보면 제2조에서 비식별화 정보에 대해 설명하고 있는데 그 중 가명처리(pseudonymous)를 포함하고 있습니다. EU Directive에서는 가명처리는 적절한 익명화(또는 비식별화) 방법이 아니라고 하였는데 우리나라의 경우에는 이를 비식별화 방식으로 포함시키고 있다는 점이 특징입니다.
최근 EU의 GDPR논의에서 가명처리정보(pseudonymous data)도 개인정보의 일종으로 포함시켜 규제하기 위한 시도가 이루어지고 있다는 점도 유의할 필요가 있다고 합니다. 이 가이드라인을 법처럼 적용하려는 시도가 많습니다. 그러나 가이드라인의 경우 현행 개인정보법제와 개인정보 요건이 다르고, 동의요건을 면제하고 있으므로 기본권으로서 개인정보자기결정권 제한 가이드라인제정이 아니라 현행법을 개정해야 한다고 합니다. 참고로 EU Directive의 경우 어떤 규범력을 가지는 법적인 근거로 작용하고 있지는 않다고 합니다.
결국 심우민 입법조사관이 강조하는 것은 개인정보 보호법제의 패러다임이 변화해야 한다는 것입니다. 식별정보와 비식별정보를 구별하지 않고 모두 보호대상으로 하며, 실질적인 위험을 기반으로 하는 정보에 대해 규제 및 집행이 이루어져야 한다는 것입니다. 현재 산업계를 중심으로 보호영역을 축소해야 하고, 동의요건을 개정해야 한다는 의견이 많지만 그것이 입법에 있어서의 본질적 문제는 아니라고 합니다. 실질적인 이용자 프라이버시 보호방안에 대한 진지한 고민이 더 필요하다는 것입니다.
이영환 교수는 우리나라의 경우 기술과 관련된 법을 만들 때 기술자와 같은 전문가에게 묻지 않고 법을 만드는 것이 문제라고 합니다. 가장 먼저 생각해야 하는 것은 알고리즘이라고 합니다. 즉 정밀한 알고리즘을 바탕으로 하여 비식별화하는 것이 맞는것인지 생각해야 한다는 것입니다.
현재 비식별화(deidentification)는 알고리즘이 정확히 나오고 있으며, 익명화(anonymisation)는 정확한 알고리즘이 나오지 않고 있다고 합니다. 현재 익명화된 정보의 다양성을 확보하도록 하여 유용성을 확보하면서도 개인정보를 추출하기 어렵도록 하는 비식별화 알고리즘이 있습니다.(K-anonymization, T-closeness) 다만 문제는 비실용적이라는 것입니다(NP-Hard). 파일 하나 익명화하는데 3,500년이 걸릴 수 있다고 합니다.
이때 제일 좋지 않은 방향은 비식별화를 전제로 유통화를 하자고 하는 것이라고 합니다. 전혀 쓸모없는 정보를 유통시키자고 하는 것과 같다는 것입니다. 물론 개인정보를 보호하는 것은 좋습니다. 그러나 이런 식으로 데이터 유통을 막아서 가장 손해를 많이 보는 개인은 서민들입니다. 예를 들어 저축은행의 대출을 받는 사람의 50%가 30%대의 금리에 시달립니다. 이들은 대부분 중금리층 서민, 청년들입니다. 약탈적 금융에 시달리는 것입니다. 이러한 금리 양극화를 해소하기 위해서는 데이터가 유통되어야 한다고 합니다. 데이터가 없다보니 부실 비율이 높아지고, 대부업체들이 영세해지는 것입니다. 개인정보가 유통되지 못하게 막는 것이 좋은 것은 아니라는 것입니다.
우리나라의 경우 개인이 개인정보를 판매하는 길이 막혀 있다고 합니다. 그러나 외국의 경우 개인정보 데이터를 팔아서 돈을 법니다. 이영환 교수가 강조하는 것을 한 줄로 정리하면 “데이터는 유통되어야 한다”입니다. 개인정보 보호보다 더 중요한 것이 유통이며, 데이터 유통을 위한 새로운 비즈니스에 나서야 한다는 것입니다. 몇몇 개인의 개인정보를 보호하기 위해 산업을 그만둬야 하는 것은 아니라는 것입니다.
박경신 교수는 개인정보보호법에 대해 너무 어렵게 생각하는 것이 인권 차원에서든 산업 차원에서든 제대로 된 대응을 어렵게 한다고 합니다.
먼저 개인정보의 개념과 관련하여 어느 나라든 식별가능성이 개인정보의 요건이며, 식별가능성이 없으면 개인정보가 아닌 것이라고 합니다. 그런데 이러한 개인정보의 식별가능성은 누구의 기준이냐에 따라서 다르다고 합니다. 즉 개인정보는 상대성을 가진다는 것입니다. 예를 들어 이동통신사가 가지고 있는 통화기록은 고객정보를 가진 이동통신사에게는 개인정보가 됩니다. 그러나 고객정보를 가지지 않은 제3자에게는 개인정보가 아니라고 합니다.
방송통신위원회의 가이드라인에 대해 시민단체들이 반대했던 이유 중 하나는 이동통신사가 고객의 통화기록을 가지고 있는데, 이 통화기록이 이동통신사에게는 개인정보가 되지만, 이를 비식별화해서 제3자에게 넘겨주면 제3자에게는 개인정보가 되지 않는다는 점이었다고 합니다. 이 점을 어떻게 해석할 것인가? 하는 문제 때문에 분쟁이 발생하였다는 것입니다.
이동통신사가 고객통화기록을 넘겨줄 때 원본을 통째로 넘겨주는 것이 아닙니다. 복제본을 만들어서 그 복제본을 비식별화해서 넘길 것입니다. 그렇다면 비식별화한 복제본을 만들었다 하더라도 원본 데이터베이스를 가지고 있게 됩니다. 통화기록에 대해 제3자가 본래 넘긴 목적과 다른 목적의 연구를 진행할 경우 이동통신사는 그 연구결과를 통해 통화기록을 넘길 때와 다른 목적의 가공된 개인정보 데이터를 취하게 됩니다. 이것은 개인정보보호법의 취지에 반한다고 합니다.
그래서 2015. 12. GDPR 에서는 가명화 데이터에 대한 규정들을 두었다고 합니다. 제6조, 제7조가 가장 중요한 조항인데, 예외로서 암호화 및 가명화를 고려하여 수집 목적과 다른 목적으로 이용 가능하지만 가명화할 때는 실명화되지 않기 위한 기술적 조치를 요구합니다. 가명화가 익명화가 아니라고 하는 경우는 재실명화가 합리적으로 개연성이 있을 때를 말한다고 합니다. 이동통신사의 예를 들자면 원본 데이터를 가지고 있고, 데이터 복제본을 떠서 데이터 연관 회사에 넘겼을 때 원본 데이터(Key)를 가지고 있으면 몇 가지 정보를 가지고 누구의 정보에 대해 연구한 것인지 알게 됩니다. 그런 것들을 할 수 없도록 조치를 하라는 것입니다. 즉 키가 되는 데이터들을 조직 내에서 접근할 수 있는 사람을 제한하고 암호화할 것을 요구하는 것입니다.
박경신 교수는 이 문제는 매우 구체적인 문제라고 하며, 심우민 조사관이나 이영환 교수가 말한 것처럼 근본적인 가치 판단을 요구하는 복잡한 문제는 아니라고 하였습니다. GDPR에 나와 있는 가이드라인에 따라서 재실명화하는 Key에 대한 보안, 조직적 격리 조치를 통해서 비식별화한 데이터가 산업적으로 쓰일 수 있도록 하는 방법이 있지 않을까 생각한다며 토론을 마무리 지었습니다.
전응준 변호사는 익명화, 가명화, 비식별화라는 용어의 정의를 먼저 짚었습니다. 먼저 「익명화」(anonymisation)는 독일 연방데이터보호법에 정의가 나온다고 합니다. 주목할 것은 합리적인 비용, 시간, 노력 내에서 식별이 되지 않는다면 익명화라고 보고 있다는 점이라고 합니다. 2014년 EU 데이터보호법 핸드북에서도 같은 취지로 합리적인 노력 하에서 식별이 안되면 익명화라고 보았다고 합니다.
「가명화」(pseudonymisation)의 경우 GDPR에서는 추가적인 정보가 없고 특정인에 대해 식별이 안되는 것이라고 정의하고 있다고 합니다. 전제조건은 추가정보가 별도로 보관되고 재식별화되지 않도록 기술적 보호조치가 취해져야 한다는 것입니다. 독일 연방데이터보호법에서는 식별자를 다른 레이블로 대체한 것, 차명 또는 가명화되고 이것이 결국 실제적으로 식별이 어렵게 되었을 때(불가능해진 것이 아니라) 가명화되었다고 봅니다. 데이터보호 핸드북도 마찬가지입니다. 결과적으로 간단한 암호화에 해당합니다.
개인정보보호법의 규제의 대상이 되지 않는 경우와 대상이 되는 경우를 구별하려면 용어 구별이 필요하다고 합니다. 익명화는 원본 데이터로 회복이 불가능한 것을 말하고, 비식별화는 식별성을 완전히 제거하는 것이 아니라 리스크를 최소화하는 것을 의미한다고 합니다. 비식별화 정보는 명백하게 개인정보에 해당합니다. EU 데이터보호법 핸드북에서도 해당한다고 밝히고 있습니다. GDPR 제10조에서는 명시적으로 가명처리한 경우 면제될 수 있다고 하고 있습니다. 그 외 제32조에서는 암호화 등 데이터를 인식불가능하게 한 경우 데이터 유출 시 정보주체에게 통지를 면제하는 등의 관련 규정을 두고 있다고 합니다.
전응준 변호사는 특히 참고할만한 사례로 미국 건강보험법(HIPAA, Health Insurance Portability and Accountability Act)을 들었습니다. 이 법에 따르면 의료정보기관이 관련 전문가의 개별적인 판단을 받고, 18개 식별자를 모두 제거하는 경우에는 프라이버시 규율에서 벗어날 수 있다고 합니다. 물론 이용자들의 프라이버시를 완전하게 침해하지 않는다고 할 수는 없지만 나름의 기준에 근거하여 의료정보에 대한 문제점을 체크할 수 있는 제도로 대중에 데이터를 제공할 수 있도록 하는 방법이므로 참고할 만하다고 합니다.
우리 개인정보보호법은 엄밀한 체계를 가지고 있다고 합니다. 일본법은 ‘익명가공정보’, ‘특정성 저감 데이터’ 와 같은 개념을 적용하여 그러한 데이터에 대해 개인정보보호법이 완화되는 시도를 한 바 있습니다. 이러한 개념이 없는 우리나라의 경우에는 일부 완화된 해석을 통해 할 수 있을 것이라 합니다. 즉 제한 해석하면 식별정보의 범위가 줄어들 수 있다는 것입니다. 독일법처럼 원본데이터로 돌릴 수 없는 정보 정도로 보는 해석이 유효하지 않나 생각한다고 합니다. 법을 개정하는 것보다는 해석론으로 해결하는 것이 더 용이할 것이라는 점도 덧붙였습니다.
결국 비식별 방법론 알고리즘, 통계적 연구가 절대적으로 필요하다고 합니다. 이론도 필요하지만 실제로 어느 정도로 비식별화 했을 때 안전하게 정보를 유통할 수 있는지가 선결적으로 해결되어야 한다고 합니다.
F. 개인정보보호법이 꼭 필요한 법이기는 하지만 지나친 처벌 조항이 있어 현장에서는 개인정보를 아예 수집하지말자는 분위기가 형성되어 있습니다. 즉 정보를 모아 사업화하는 것 자체를 원천봉쇄하는 것입니다. 활용에 대해 개인의 의사 결정을 존중해주는 제도가 없습니다. 개인정보보호법은 보호를 위주로 하기 때문에 그런 방면의 생각이 결여되어 있습니다. 다른 법을 활용해서라도 그런 부분을 열어야 합니다. 빅데이터 활용을 어떻게 해야 하는지, 알고리즘은 어떤 항목을 해야하는지 구체화가 필요합니다.
A. 이영환: 하나하나 데이터를 들여다 보면서 해야 하는 부분이 있습니다. 결국 관련 연구가 지속적으로 이루어질 수 있는 팀이 필요합니다. 리포트를 계속 만들어내야 합니다.
F. 결국 어떻게 해야 하는가에 대한 구체적인 답은 없는 것 같습니다. 구체적인 방법론이 제시되지 않고 있습니다.
A. 이영환: 관련 정부 부처에서도 지속적으로 무언가 해야 한다는 필요성을 느끼지만 그것이 잘 안되고 있습니다. 연구팀이 있어야 합니다. 이런 것에 대한 가이드라인을 국가적으로 제시해야 합니다.
전응준: HIPPA 이야기를 했었습니다. 의료정보의 18개의 식별자를 정해서 그게 없으면 비식별 정보이므로 유통이 가능하고, 16개만 있으면 일부 규제를 받습니다. 즉 프라이버시 룰을 정한 것입니다. 위험성이 없다고 할 수는 없지만 미국은 이러한 방법론을 제시하고 있으므로 참조할만합니다.
박경신: Key를 자기가 가지고 있어도 암호화 또는 조직 내 보관을 잘 하고 있으면 익명정보로 보아 개인정보보호법이 적용되지 않도록 하는 반면, GDPR은 가명화를 하더라도 재실명화할 수 있는 Key를 본인 또는 조직이 가지고 있으면 그 개인정보에 대해서는 몇 가지만 제외하고 다른 개인정보와 같이 봅니다. 식별자를 떼고 넘긴다는 동의를 얻어야 할 것입니다. HIPPA 방식, 제한적 비식별화시 개인정보로 보지 않는 방식, GDPR 방식을 두고 논쟁이 있어야 하는데 그러한 논쟁 없이 방송통신위원회의 가이드라인이 나와 버렸습니다.
심우민: 리스크 매니지먼트적 접근이라는 말이 모호하기는 하지만 개인정보 개념정의의 문제로 접근하면 개념적 범주가 어디에 해당하는지를 두고 논쟁할 수밖에 없습니다. 실제로 사업자가 방지하기 위한 노력을 했느냐, 위험발생시 어떤 노력을 했느냐는 측면에서 접근을 해야 사업자로서는 규제에서 벗어날 수 있습니다. 지금 너무 개념이나 범주, 방식에만 집중하다보니 실제 풀어줘야 할 규제는 풀고 있지 않습니다. 또한 개인정보 문제로 소송을 하게 되면 이용자에게 피해가 가며, 법령상에 있는 조치만 다하면 이용자에게 책임을 전가합니다. 사업자를 위해 규제를 완화할 필요도 있지만 위험 예방적인 측면도 함께 고려되어야 합니다. 또한 사업 아이템 구상의 문제인 것인지, 식별화·비식별화가 문제인 것인지 검토해볼 필요성도 있습니다.
F. 사업은 구체적이지 않으면 시작할 수 없습니다. 구체적인 이야기를 하려고 해도 될 가능성이 없으면 드러낼 수가 없는 것입니다. 행정부와 같은 곳에서 제대로 얘기를 해주지 않습니다.
A. 심우민: 결국에는 방통위에서 가이드라인을 만들었지만 규범력을 지니지 못하므로 혼선만 초래했다고 봅니다. 개인정보규제의 동의요건 때문에 사업구상을 못하는 것은 넌센스입니다. 규제개혁을 하려면 구체적인 타깃이 필요합니다. 식별성·비식별성, 동의요건 담론으로 가는 것은 문제입니다.
F. (심우민 답에 대한 반론) 우리나라는 무조건 개인정보 수집을 통제하는 데 골몰하고 있습니다. 사업을 할 때 가장 불만인 것이 불확실성입니다. 예측불가능한 경우에는 사업을 시작할 수 없습니다. 우리나라의 개인정보 정의 규정만 보면 뭐가 뭔지 모르겠고, 결합가능성 하나 때문에 되느냐 안되느냐를 고민하게 됩니다. 휴대폰 뒷자리, 유심번호 등이 개인정보라고 판단되는 현실에서 다른 생각을 하기도 어렵습니다. 모든 데이터가 개인정보가 될 수 있습니다. 내가 가지고 있는 정보에 이동통신사의 정보가 결합되면 또 개인정보가 됩니다. 정의가 지나치게 넓게 해석되고 있습니다. 그것을 줄이기 위해 정의규정이 문제라고 하는 것입니다. 업계에서 볼 때 우리나라 법제에서는 포괄적 묵시적 동의가 불가능합니다. 다른 나라에서 가능한 방식이 우리나라에서는 불가능합니다. 무엇 하나 잘못하면 형사처벌을 받게 됩니다. 이러한 상황에서 어떻게 서비스산업이 발전하겠습니까. 우리나라는 예외규정이 없어서 무조건 다 동의를 받아야 합니다. 예를 들어 119 구급대가 경찰에게 정보를 동의 없이 넘겨주지 못합니다. 그래서 집 근처를 수색하다가 결국 피해자가 범죄의 피해를 입기도 하는 사건이 있었습니다. 모든 상황에서 결합된 상태의 서비스를 하지 못하게 합니다. 그러다보니 찾은 것이 비식별화 논의입니다. 어떻게든 동의를 받아서 수집하였는데 다른 목적이 생기면 동의를 새로 받아야 합니다. 내가 가진 정보를 비식별화하면 뭔가 할 수 있는 것이 아니냐고 하는 것이 비식별화 논의입니다. 예외를 만들어보자는 것입니다. 현재 입법론이 많이 제시되고 있지만 전혀 진전이 없습니다. 빅데이터, 사물인터넷, 인공지능이 나오는 상황에서 업계에서는 방법이 없습니다.
F. 방송통신위원회의 가이드라인은 개인정보자기결정권을 가이드라인을 통해 제한한다는 점에서 위헌적입니다. 다른 나라는 결합정보 해석, 정의 규정 리스크가 있음에도 결합정보는 잔존 리스크 단계에서만 판단하겠다는 스탠스를 취하고 있습니다. 그런데 그에 대한 기본적 해석이 전혀 이루어지지 않은 상태로 외국의 법제를 받아들이는 것은 문제라고 봅니다. 리스크 매니지먼트를 쉽게 말하지만 잔존리스크 논의가 빠져 있습니다. 수집·처리·폐기과정을 한 사람이 하는 것에 반대합니다. 다른 나라에는 수집·처리·폐기 단계별 리스크 관리가 있습니다. 목적 구속 원칙이 가장 강력하게 적용되는 것이 처리 단계입니다. 개인정보보호법의 취지에는 이용을 위한다는 목적도 있습니다. 정의규정을 바꿔서 문제를 해결하기보다는 정의규정이 원래 가진 의미를 파악하는 것이 더 중요하다고 생각합니다. 리스크라는 예측불가능성에 초점을 맞추지 않는 한 변하는 것이 없습니다.
A. 심우민: 사업자 입장에서 말씀해주셨는데, 어느나라든 각국에서 정의규정에 입각했을 때 누군지 알아볼 수 있다는 표현에 입각해서 명확하게 정하지 못하는 것은 우리나라의 문제만이 아닙니다. 사법부의 해석이 문제입니다. 리스크는 사법부의 해석이 높여놓은 것입니다. 입법의 영역에서 정하는 것은 입법기술상 불가능합니다. 해석의 문제를 입법의 문제로 해결하기는 어렵습니다.
F. 기본적으로 개인정보보호법을 규제하기 위한 것이라고 보니까 문제가 된다고 봅니다. 일본의 경우 개인정보보호법 제정을 한 것은 개인정보보호법 체계 내에서 예외를 만들기 위한 것입니다. 그 예외를 위한 개념이 가명처리정보입니다. 이 법이 들어온 계기나, 예외적으로 들어온 취지에 비추어보면 규제를 완화하기 위한 것이라고 봅니다. 다만 심우민 조사관님이 말씀하신 새로운 패러다임은 이해가 잘 가지 않습니다. 개인정보자기결정권은 권리이므로 동의가 없으면 위반인데 어떻게 형량이 들어갈 수 있나요? 위험성과 해악 사이의 비교형량이라면 심우민 조사관님이 제시한 표4는 문제가 있습니다.
A. 심우민: GDPR의 입법연혁을 봤을 때 가명정보와 같은 것은 규제를 위한 측면과 활용의 측면을 모두 가지고 있습니다. 표현의 문제가 있었던 것은 맞습니다. 권리의 개념이라는 것도 해석적 형량이 필요한 부분이고, 그 부분에 대해 형량이나 해석을 함에 있어서 위험에 대한 고려가 들어가는 것이 새 시대의 새로운 법적 패러다임이라고 생각합니다.
글 | 손지원 (변호사, 고려대 한국인터넷투명성보고팀 연구원)
오픈넷과 협력하는 고려대 한국인터넷투명성보고팀은 지난 6월 캐나다 토론토대학교 산하 시티즌랩에서 주최한 워크샵 프로그램인 Citizen Lab Summer Institute에 참가하였다. 본 워크샵에서는 캐나다, 미국, 영국, 홍콩, 대만, 한국, 콜롬비아, 등 각국의 인터넷 인권 관련 시민단체 및 학계 등의 다양한 분야의 전문가들이 모여 인터넷 인권 관련 이슈를 논의하였다.
이번 워크샵에서는 특히 통신 감시, 검열 현황에 대한 ‘투명성보고’ 연구를 집중적으로 다루는 패널 세션 및 그룹회의가 구성되어, 투명성보고의 최신 경향 및 투명성보고가 앞으로 나아가야 할 방향에 대하여 논의하였다.
첫 날 ‘공공과 기업의 투명성’이라는 주제의 세션에서는, 캐나다 프라이버시 위원회(Privacy Commissioner of Canada)의 Chris Prince의 사회로, Teksavvy의 Bram Abramson, 홍콩 투명성보고의 Jennifer Zhang, Access에서 기업 투명성보고를 분석하는 Peter Micek, 그리고 한국 투명성보고서의 손지원 연구원이 패널로 참여하여, 각자의 경험을 바탕으로 각국의 투명성보고의 경향, 투명성보고를 촉진, 발전시키는 방법 및 한계 등에 대하여 의견을 발표하였다.
손지원 연구원은, 온라인 메신저 대량 감시 사태가 이슈화되자, 국내 네이버, 다음의 양대 사업자들이 경쟁적으로 투명성보고서를 발간하기에 이르른 한국의 최근 상황 및 한국 정부의 투명성 및 공개 수준에 대하여 설명하였다. 이를 바탕으로, 국가 단위의 투명성보고를 촉진하기 위하여는 입법으로 의무화하는 것이 가장 중요하고, 기업의 투명성보고를 촉진하기 위하여는 대중의 관심을 끌 수 있는 사안을 발굴하여 이슈화하는 것이 중요하다고 밝혔다. 또한 투명성보고의 궁극적 목적은 대중의 역감시를 가능하게 하고, 정부 및 기업이 과도하게 통신을 검열, 감시하는 관행을 억제시키는 것이기 때문에, 단순히 수치를 중립적으로 제공하기보다 대중의 관심을 끌 수 있는 개별 사안에 대한 이슈화 및 비평들의 역할도 필요하다는 의견을 제시하였다.
이어진 2일 간은 소규모 그룹회의를 통하여 워크샵 참여자들의 투명성보고의 발전 방향에 대한 구체적이고 심층적인 의견교환이 이루어졌다.
‘주요 투명성보고 데이터의 세팅 및 접근, 구조 (Structure of, and Access to, Primary Transparency Datasets)’를 주제로 이루어진 회의에서는, 최근 공개되고 있는 정부 및 기업의 데이터의 종류와 그 근거 규정, 그 한계와 보충되어야 할 항목들에 대한 논의가 이루어졌다.
특히, 접근 부분에 관해서는 투명성보고서를 공개하고 있는 경우에도, 정부와 기업 모두 데이터 혹은 투명성보고서를 쉽게 찾을 수 없도록 하고 있어, 적극적으로, 접근하기 쉬운 방법으로 제공되고 있는 것으로 보이지 않는다는 점이 지적되었다. 또한 기업 보고서의 경우, 텍스트나 표 시트가 아닌 이미지 등으로의 제공은 오히려 데이터를 활용, 분석하는 데에 있어 복사, 붙이기 등의 작업을 어렵게 한다는 문제점이 있으므로, 이를 용이하게 하는 방향으로 데이터가 공개되어야 한다는 의견도 있었다.
단순히 요청 건수, 제공 건수만 공개하는 것은 질적 평가를 불가능하게 한다는 것이 공통된 의견이었다. 따라서 1. 요청 형식 (공식/비공식, 긴급/일반, 영장유무), 2. 제공 사항 (통신내용/통신기록/신원정보), 3. 목적 및 근거 규정 (죄명 등), 4. 요청 기관명, 5. 관련 서비스 유형 (메일, 메신저, 동영상, 게임 등), 6. 사후 기소율, 유죄판결율 등과 같은 구체적 데이터 항목이 공개될 필요가 있다는 의견이 오갔다. 또한 특히 기업 보고서의 경우에는, 기업이 이용자의 권리를 잘 보장하고 있는지를 평가하여야 하므로, 제공 근거규정에 대하여 단순히 법률만을 인용할 것이 아니라, 각사의 정책에 따른 구체적인 검토, 제공 기준을 공개하고, 구글이 하고 있는 것과 같이 특히 문제될 수 있는 사안에서 제공을 거절 사례와 그 이유를 서술하는 방식의 항목이 필요하다는 의견이 있었다.
각 기업의 투명성보고서를 비교, 분석하는 작업을 하는 연구자들의 입장에서는, 나라별로 제도가 다르고, 또한 기업별로 공개 항목도 달라 연구에 상당한 고충이 따르고, 또한 더 나은 투명성보고 관행을 수립하기 위하여 투명성보고서의 표준화 작업이 필요하다는 데에 입을 모았다.
‘주요 데이터 수집 및 게시 방법론(Methods of Gathering and Presenting Primary Data)’을 주제로 한 회의에서는, 각 연구자들이 어떻게 데이터들을 수집하고, 종합하여 일반에게 게시하고 있는지, 효율적인 투명성보고를 위하여 중점을 두어야 할 것이 무엇인지를 논의하였다.
각 국가 내에서 이루어지는 감시, 검열 현황을 관리하는 중앙화된 시스템이 없는 경우에는, 개별 기관마다 따로 정보공개청구를 하여야 하고, 국가 전체적으로 이루어지는 현황을 파악할 수 없다는 한계가 있었고, 또한 이러한 관리와 공개를 의무화하는 근거규정이 없는 이상, 개별 기관들도 공개요청에 불응하는 경우가 많기 때문에, 입법으로 중앙화된 관리와 공개를 의무화하는 것이 가장 효율적인 정책 전략임이 시사되었다. 스노든 사태 이후, 각국 정부의 투명성보고 책임에 대하여 관심이 집중되고 있고, 앞으로 APEC, OECD 등 국제회의에서도 정부의 투명성보고가 주요한 이슈가 될 것이라는 예측도 있었다.
투명성보고서를 발간하는 기업이 늘어남에 따라, 더 나은 투명성보고 관행을 촉진하기 위하여, 각 기업의 투명성보고 수준을 평가하고 순위를 매기는 시민단체의 활동도 있었다. 이러한 활동은 각 사업자들이 모범적인 사례를 따르도록 유인할 수 있다는 면에서 고무적이라는 평가가 일반적이었다.
국가별 투명성보고서의 리스팅 작업과 투명성 수준에 대한 평가 작업에 대한 논의도 오갔다. 비록 공개되고 있다고 하더라도 언어와 제도가 달라서 분석에 어려움이 따를 것으로 예상되지만, 감시, 검열 현황을 공개하지 않고 있거나, 혹은 공개 수준이 낮은 국가들에게 다른 국가의 공개 사례를 근거로 제시하는 것만으로도 공개 요청에 있어 중요한 자료가 될 수 있으므로, 참여자들이 함께 이러한 작업에 힘쓰기로 하였다.
전체적으로 투명성보고 관련 논의에 있어서 연구자들이 가장 신경쓰는 부분은, 투명성보고서가 사회에 메세지를 던질 수 있는, 중요한 자료가 될 수 있는가였다. 이를 위해서는 더 구체적인 내용에 대한 투명성이 필요한데, 아직 정부도, 사업자도, 통신 감시, 검열 행태에 대하여 대중이 정확한 평가를 내릴 수 있을 정도의 데이터는 제공하지 않고 있다. 더 나은 투명성을 확보하기까지는 상당한 시간과 노력이 필요할 것으로 보이고, 투명성보고만으로 정부나 기업의 행태가 가시적으로 변화하지는 않겠지만, 포기할 수는 없는 영역인 것이다. 이번 워크샵은 이러한 장기적인 주제에 대하여 각국, 각계의 연구자들이 머리를 맞대고 발전방향을 모색하고 국제적인 모범 기준을 세우는 지속적인 연대활동의 중요성을 일깨워주는 소중한 시간이었다.
* 함께 읽기: Citizen Lab Summer Institute 2015 참가 후기(오픈넷/김가연 변호사)
지난 11월 9일 열린 국회 미래창조과학방송통신위원회 전체회의에 국민의당 황주홍 의원이 발의한 정보통신망 이용촉진 및 정보보호에 관한 법률(“정보통신망법”) 일부개정법률안이 상정되었다. 동 개정안은 개인정보보호관리체계(PIMS, Personal Information Management System) 인증 제도의 활성화를 위해 일정 규모 이상의 정보통신서비스 제공자에게 PIMS 인증의 획득을 강제하는 것을 주요 내용으로 하고 있다. 사단법인 오픈넷은 정부의 “강제적 공인 인증”의 남발은 개인정보 유출 사고의 해결책이 될 수 없음은 물론 기업들이 다양한 개인정보보호 시스템을 개발할 동기를 박탈하고 스타트업들에게 진입장벽을 만들기 때문에 반대한다.
현재 자율적으로 운영되고 있는 PIMS 인증제도는 “공공기관 및 민간기업 등 조직이 수립하여 운영하고 있는 개인정보보호 관리체계가 인증기준에 적합한지 여부를 인증기관이 평가하여 인증을 부여하는 제도”이다. 2010년 방송통신위원회 의결로 시행되었으며, 2012년 정보통신망법 개정으로 법적 근거를 마련하였다. 이와 별개로 2011년 개인정보보호법의 제정과 함께 도입되어 2013년부터 시행된 개인정보보호(PIPL, Personal Information Protection Level) 인증 제도가 있었다. 그러나 방통위 주관 PIMS 인증과 행정자치부 주관 PIPL 인증이 유사할 뿐만 아니라 중복적인 내용이 많아 2014년 규제개혁위원회의 “범부처 인증제도 개선방안”의 일환으로 PIMS 인증으로 제도가 통합되었다.
2016년 11월까지 유지되고 있는 PIMS 인증서는 총 66건인데, 2014년 6건, 2015년 14건, 2016년 29건으로 발급 건수가 매년 200% 이상 큰 폭으로 늘고 있다. 중복적 제도의 통합 운영과 인증기관인 한국인터넷진흥원(KISA)의 홍보 노력 등이 성과를 나타내고 있는 것이다. 이러한 상황에서 굳이 의무화를 하기보다는 활성화 추세를 지켜보고 인센티브 부여 등으로 자율 규제를 촉진하는 것이 훨씬 효과적일 것이다. 이 편이 자율적인 개인정보 보호 활동의 촉진 및 지원을 인증제도의 목적으로 하고 있는 개인정보보호법의 취지에도 부합한다.
그리고 오픈넷은 얼마 전 정보보호관리체계(ISMS, Information Security Management System) 인증 의무화 확대에 대해서도 반대 입장을 밝힌 바 있다. 반대 논거들은 PIMS 인증 의무화에 대해서도 거의 동일하게 적용된다. 게다가 ISMS 인증과 PIMS 인증은 심사체계나 인증기관이 거의 동일하며, 인증기준도 중복되는 부분이 많아 혼란만 가중시키고 있다. 그런데 PIMS 인증까지 의무화한다면 중복 규제로 실질적인 보안 강화 효과는 없으면서 적용 대상 사업자들에게는 추가적인 부담을 지우게 되며 스타트업들에게는 이중의 진입장벽이 될 뿐이다.
정부 주도 인증 내지 관치보안의 가장 큰 문제점은 정부로부터 “공인”된 해당 인증만 받으면 최선의 조치를 다한 것으로 간주되어 시장 변화나 기술 발전에 훨씬 민감한 민간 영역의 기술 개발이나 인증 제도의 활성화를 막고 결국 그 피해가 이용자들에게 고스란히 돌아간다는 점이다. 공인 인증의 남발은 지양되어야 한다.
2016년 11월 24일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
[관련 글]
글 | 박경신(고려대 법학전문대학원 교수, 오픈넷 이사)
목욕탕에 불이 났다.
목욕탕에서 뛰어나오는 사람들은 온몸이 다 드러나더라도 얼굴을 가리고 나온다. 왜 그럴까. 알몸이 드러나더라도 신원이 밝혀지지 않는다면, 자신의 프라이버시를 보호할 수 있다고 믿기 때문이다.
‘그냥 얼굴일 뿐이잖아요!’
그런데 이렇게 말하면서, 목욕탕에서 간신히 빠져나와 얼굴만 가린 사람의 손을 경찰이 강제로 치운다면? 이런 일을 어떤 절차도 요건도 갖추지 않고 벌어진다면? 하지만 이렇게 상식에 반하는 일이 우리나라에서는 1년에 1천만 번 이상 일어난다.
수사기관은 피의자가 누구와 통화했는지 알아야 할 때가 있다. 피의자의 통신내역에 떠 있는 전화번호 소유주들의 신원을 파악하는 일은 수사상 필요한 일이기도 하다. 이때 통신자 신원확인(통신자료제공)을 한다.
그런데 문제는 이 통신자 신원확인이 절차도 없고 요건도 없다는 점이다. 그리고 매년 전체 국민의 5분의 1에 해당하는 인원의 신원을 경찰은 아무렇지 않게 확인하고 있다.
경찰 마스코트 ‘포돌이’ 패러디
통신자 신원확인 제도는 1983년에 만들어졌다. 이때엔 우리 동네에 전화가 몇 대 없었다. 우리가 서울에 전화하고 싶으면 이웃집에 뛰어가서 전화했고, 누군가 나에게 전화하겠다고 하면 이웃집 전화번호를 그 사람에게 알려줬어야 했다. 이웃집 전화번호는 우리 동네 모두가 알고 있었다.
우리 이웃집이 아니더라도 대부분 집의 전화번호는 이미 전화번호부 등을 통해 대부분 공개된 정보였다. 그래서 당연히 아무런 절차나 요건없이 통신자 신원확인이 이루어졌던 것이다.
하지만 이제 자신의 전화번호 특히 휴대폰 전화번호는 매우 중요한 프라이버시 보호 대상이다. 휴대폰은 자신의 일부분처럼 소유자를 따라다닌다. 휴대폰 번호는 소유자와의 즉각적인 통화를 가능케 하는 키 데이터(key data)가 되었다. 물론 전화가 오면 안 받을 수도 있지만, 수화음을 듣고 발신자 번호를 확인하는 등 주의를 기울인다.
2014년 7월 기준 이동전화 가입자 수
오늘날, 휴대폰 번호는 주민등록번호만큼 아무에게나 가르쳐주지 않는 민감한 정보가 됐다. 오죽하면 지누션이 ‘전화번호’라는 노래를 히트시켰겠는가.
“그대의 이름도 성도 난 필요 없소. 하지만 정말 나 원하는 게 하나 있소. 네 전화번호 (내가 원하는 건) 네 전화번호.”
이제는 정말 새로운 절차가 필요하다. 한번 논리적으로 따져보자.
수사기관이 특정인을 수사대상으로 정한 후에 그 사람의 통신 내역(통신사실 확인자료)을 얻으려면 법원의 허가를 필요로 한다(통신비밀보호법). 그만큼 통신 내역은 프라이버시로 보호가 된다.
그런데 거꾸로, 수사기관이 익명의 통신 내역은 아는데 그 통신을 한 사람의 신원을 확인하고 싶은 경우에는? 앞서 말했듯 어떤 절차도 요건도 필요하지 않다. 그냥 통신사에 신청해서 알아내면 된다.
어떻게 생각하는가? 특정인의 통신 내역을 알아내려면 법원의 허가가 필요한데, (거꾸로) 어떤 통신 내역의 당사자를 알려면 법원의 허가가 필요 없다. 그게 현재의 제도다. 하지만 결과는 마찬가지로 ‘A와 B가 언제 통화했다’는 것을 알게 되는 것이다! 그렇다면 양쪽 모두 절차적 통제가 필요하지 않을까?
어떤 절차, 요건도 없이 경찰 맘대로? (이미지 제공: 진보넷)
익명 인물의 신원을 확인하는 절차 중 하나가 불심검문이다. 불심검문도 아무 때나 할 수 있는 게 아니다. 불심검문 대상자가 범죄에 연루되어 있다는 합리적인 의심이 있을 때만 할 수 있다(경찰관직무집행법).
불심검문이 오프라인상의 신원확인이라면 통신자료 제공은 온라인상의 신원확인이다. 그런데 현재의 통신자료 제공(통신자 신원확인)은 어떤가. 아무런 요건이 없다!
아무런 이유도 없이 온라인 통신 당사자에 대해 불심검문을 하고 있는 것이다. 통신의 비밀이 통신 내용에 대한 프라이버시라면 익명권은 신원에 대한 프라이버시이며, 두 가지 프라이버시 침해 모두 비슷한 절차를 통해 이루어지는 것이 옳다.
무…무섭잖아!
수사기관은 영장 등 절차를 거쳐 신원확인을 하면 신원이 확인된 사람에게 왜 신원을 확인했는지 알려줘야 하고, 그 과정에서 피의자 신원과 피의사실을 알려줄 수밖에 없어 결국, 피의자의 프라이버시가 침해된다고 주장한다.
하지만 지금 네이버와 카카오 등이 영장 없는 통신자 신원확인을 거부하여 이들 서비스 이용자들의 신원확인은 영장을 통해 이루어지고 있고, 어차피 이용자에게 통지되고 있지 않다. 네이버와 카카오 등 사업자에게만 영장이 제시되고 있기 때문이다. 수사기관의 주장에 진정성이 있으려면 우선 신원확인을 받는 사람에게라도 우선 통지해주어야 한다.
그뿐 아니다. 수사과정에서 제3자나 증인에게 피의사실을 알려주는 것은 일부 불가피한 측면도 있다. 당장 이메일 압수수색을 하더라도 피의사실과 피의자 아이디가 기재된 영장이 이메일 서비스 제공자에게 제시된다. 이메일 서비스제공자는 자신의 고객 중에 누가 무슨 혐의로 수사받고 있는지 알 수밖에 없다.
수사기관은 이렇게 묻는다.
‘박경신 교수가 피의자라면, 박 교수가 특정한 범죄로 수사받는 사실이 친구들에게 알려지면 좋겠냐?’
나는 수사기관에 반문하고 싶다. 도대체 나와 통화한 사람 모두의 신원을 어떤 절차와 요건도 없이 무차별적으로 확인하는 것이야말로 문제가 아니냐고 말이다.
한국의 통신자료 제공 건수(=통신자 신원확인)는 2013년 957만4천 계정에 달한다(방송통신심의위원회 발표 자료). 같은 해 미국의 통신자 신원확인은 최대로 추정해 보아도 1백만 계정이 되지 않는다. 인구대비 미국의 약 50배이다.
내가 만약 피싱범이고, 수사에 꼭 필요한 사람만 신원확인을 했다면, 그 과정에서 내 수사사실이 그들에게 알려진다고 해도 나는 전혀 피해라고 생각하지는 않을 것이다.
가령, 내가 피싱을 시도했을 것으로 추정되는 시간대의 통화상대방들에 신원확인이 한정된다면 말이다. 그런데 내가 단순히 누군가와 통화했다는 이유만으로 모든 상대방에게 내 수사사실이 알려지는 것은 불쾌한 일이다. 수사기관이 진정으로 ‘피의자의 프라이버시’를 보호하고 싶다면, 피의자와 통화한 통신자 신원확인을 어떻게 줄일 지 고민해야 한다.
익명으로 통신할 자유는 보장되어야 한다. 통신은 위험한 일이 아니다. 통신하는 사람들은 모조리 영장 없이 손쉽게 신원을 밝힐 수 있어야 한다? 이런 접근방식은 국민의 프라이버시를 보호해야 할 국기기관이 이를 오히려 침해할 가능성을 높인다. 한마디로, 시대착오적이다.
매년 대한민국 국민의 1/5을 ‘터는’ 통신자 신원확인, 20대 국회에서는 꼭 바꿔보자!
영장 없는 무차별 통신자 신원확인, 이제는 바꿀 때다.
행정명령(subpoena)에 의한 신원확인 164,184건. 투명성보고서 설명에 따르면 행정명령 1건은 보통 1 계정의 소유자 신원정보임. 버라이즌의 이동통신사 시장점유율이 대략 30%인 것을 감안하면 전체 이통사들의 통신자 신원확인은 약 50만 건으로 추산됨.
버라이즌의 2013년 투명성 보고서는 유선전화에 대한 신원정보확인건도 모두 포함하고 있음. 버라이즌의 유선전화시장 점유율 역시 30%인 것음 감안하면 유선전화에 대해서는 별도 추계를 하지 않기로 함.(25쪽)
그 형태가 다양하나 이용자 신원확인이 가장 필요한 곳은 각각 이메일과 SNS일 것으로 보임.
구글의 2013년 투명성 보고서에 따르면 27,000건의 행정명령이 있었음. 구글이 이메일 시장에서 약 20%의 시장점유율을 가지고 있음을 고려할 때 전체 이메일서비스업자들의 이용자 신원확인은 연간 약 10만 건으로 추산됨. (구글의 시장점유율은 Remy Bergsma, 「2013 Email client market share infographic posted by Litmus」참조)
페이스북의 2013년 투명성 보고서에 따르면 최대 24,000건의 이용자 정보 요청이 있었음. 여기에는 여러 다른 정보도 있겠지만, 모두 이용자 신원확인으로 간주하면 24,000건. 페이스북이 SNS시장에서 가진 점유율에 비추어보면 전체 SNS 시장에서의 이용자 신원확인은 최대 약 5만 건으로 추산됨.
이들도 이용자 신원확인을 하고 있음. 유선인터넷 업계 전체에서 50%를 점유하고 있는 컴캐스트의 투명성 보고서를 보면 2013년에 1년에 2만 건 정도의 행정명령이 있었음. 이 행정명령 전체를 이용자 신원정보로 간주할 때 그 최대치를 5만 건으로 잡을 수 있음(컴캐스트의 시장점유율은 링크 1. 링크 2. 를 참조).
2013년 미국 전체에 대한 이용자 신원확인 계정 수는 60만 건. 여기에 분야별 하위업체들에 대한 이용자 신원확인 건수가 예상보다 많을 가능성을 대비하여 최대 1백만 건으로 추산. 이는 미국 내에서 투명성 보고서를 발간하는 회사들의 정보제공 요청 건수를 모두 합하여 보여주는 ‘transparency reports’가 제시하는 전체 숫자들과 크게 다르지 않음(2013년 약 70만 건).
* 위 글은 슬로우뉴스에 동시 게재하였습니다. (2016.06.14.)
글 | 박경신(오픈넷 이사/고려대 법학전문대학원 교수)
지난 10월 22일~23일 스위스 제네바에서는 지난 9년간 한국의 전반적인 시민적, 정치적 권리 실태를 점검하고 권고를 내리는 유엔 시민적 정치적 권리규약위원회(아래 유엔 자유권위원회)가 열렸습니다. 자유권 위원들은 정부, 국가인권위원회, 시민사회단체들이 제출한 보고서를 바탕으로 한국 정부의 자유권 규약 이행에 대해 심의하고 지난 11월 5일 최종 권고를 발표했습니다.
유엔에서 내린 권고는 국내에서 어떠한 의미가 있을까요? 국제사회에서 바라보는 한국의 자유권 실태는 어떠할까요? 국내 83개 인권시민사회단체로 구성된 유엔 자유권 심의 대응 한국 NGO 모임은 6회에 걸쳐 유엔 자유권 권고를 짚어보는 기사를 게재합니다. – 기자 말
 |
|
| ▲ 2010년 인터넷에서 논란이 된 ‘회피연아’. | |
| ⓒ 화면캡처 | 관련사진보기 |
“2010년 12월 전기통신기본법 47조의 허위사실유포죄가 위헌판정을 받았는데도 계속 온라인표현에 대해 형사처벌이 가해지는 이유가 무엇인가. 이와 관련하여 명예훼손죄를 개정할 의사는 없는가.” (대한민국 쟁점목록 23번, 이 전기통신기본법 조항으로 치러진 역사상 유일무이한 재판이 바로 “미네르바” 박대성씨에 대한 형사재판이었다. 필자가 형사재판과 위헌소송에서 참고인진술을 했는데 “유언비어유포죄같은 것은 유신 때나 짐바브웨 같은 곳에만 있는 것”이라고 증언하자 “감히 우리나라를 짐바브웨에 비교한다”며 붉으락 푸르락 하던 공판검사가 기억난다. 재판실황을 담은 2009년 4월 연합뉴스 기사가 이상하게 접속이 안 된다.)
“[명예훼손 비형사와 관련되어] 징역형은 절대로 명예훼손에 대해 적절한 벌이 될 수 없다… 왜 2014년 세월호 참사 이후 정부를 비판하는 언사가 허위라는 이유로 형사처벌의 대상이 되었는가? (샤니(Shany) 위원 10월23일 질문. 홍가혜씨는 참여연대 공익법센터 양홍석 변호사의 변호와 사단법인 오픈넷의 소송지원 속에서 102일 동안 감옥에 있다가 풀려났고 현재 항소심을 진행 중이다.)
 |
|
| ▲ 지난 2014년 12월 2일 목포지법 형사 2단독 장정환 판사 심리로 열린 결심공판을 마치고 홍가혜씨와 양홍석 변호사가 법정을 나서고 있다. | |
| ⓒ 이영주 | 관련사진보기 |
“국가보안법이 명확성의 원칙을 위반하지 않는다는 헌법재판소의 결정은 그 재판소의 표현의 자유에 대한 입장과 충돌한다. 우리 위원회는 국가보안법 제7조에 의거하여 북한정부 트위터 계정의 정보를 배포했다고 해서 처벌당한 사람에 대한 정보를 받았다. (샤니(Shany) 위원 10월23일, 박정근씨도 100일을 감옥에 있다가 풀려났다. 필자가 형사재판에서 참고인진술을 할 때 검찰이 6백 개 정도의 북을 조롱하는 트윗은 백안시하고 2백여 개의 북한 정부 계정 리트윗만으로 박정근씨를 기소한 것에 대해 “모나리자의 얼굴을 가리고 ‘얼굴없는 괴물’이라고 공격하는 꼴”이라고 진술했던 기억이 난다.)
“대한민국 정부는 모든 감청 및 통신부대정보(예를 들어, 통신자 신원정보) 취득은 법원의 동의 하에서만 하라는 국가인권위원회의 권고를 이행하지 않고 있다. 특히 전기통신사업법 상에 거의 무제한적으로 제공되고 있는 통신가입자 신원정보에 대한 국가인권위원회의 권고가 왜 이행되고 있지 않는가?” (이와사와(Iwasawa) 위원, 10월22일. 차경윤씨는 ‘회피연아’ 동영상을 인터넷에 올렸다는 이유로 신원이 수사기관에 공개되어 경찰수사를 받기까지 했다. 참여연대 공익법센터는 영장없는 공개에 대해 소송을 제기했고 결국 2012년 10월 모든 포털들은 영장없는 정보제공을 중단했다.)
대한민국은 여러 국제인권협약들의 당사국이며 그 중에서 대표적인 것이 시민정치적권리에 대한 규약(소위 ‘자유권규약’)이다.
UN인권위원회는 이 규약을 각 당사국이 준수하고 있는지를 감시하고 위반사항에 대해서 권고를 내리는 정기심사를 4~5년에 한번씩 실시한다. 올해는 대한민국이 심사를 받는 해였고 실제 심사는 지난 10월22일과 23일에 걸쳐 실시되었다. 대한민국이 한번을 빼먹어서 9년 만에 처음하는 것이어서 이제는 한참 잊혀진 MB정부의 추억들 그리고 그 주인공들까지 소환되었다.
이들의 사연이 시간이 이렇게 지난 지금 머나먼 제네바에서 UN인권위원을 역임하고 있는 몇 명의 법학교수들에 의해 파헤쳐지고 있다는 사실을 이들은 알고 있을까? 그들의 사연이 불어, 스페인어, 영어, 우리말 4개 국어로 정부대표들과 인권위원들의 헤드셋 너머로 번역되어 나가고 있다는 사실을 알고 있을까? 위의 발언들을 듣는 순간의 감동은 시간이동을 한 듯한 몽롱함과 함께 특별한 기억이 될 것 같다.
UN인권위원회에서는 대한민국과 관련해서는 보통 국가보안법, 양심적 병역거부자 문제가 주로 거론되는데 이번에는 프라이버시와 표현의 자유 침해 상황에 대해서 강력한 권고를 내렸다. 첫째 진실인 언사에 대해 명예훼손 형사처벌을 가하지 않을 것(형법 307조1항)과 둘째 통신자 신원 파악을 영장없이 할 수 있는 통신자료제공(전기통신사업법 83조3항)도 폐지할 것을 권고했다.
UN인권위원회는 오래 전부터 권위주의 정부들이 명예훼손 형사처벌을 이용해서 비판세력을 탄압하는 위험 때문에 명예훼손을 비형사화할 것을 권고해왔다. 검찰을 동원하여 정부정책이나 권력자에 대한 비판자를 탄압하는 기능을 해왔기 때문이다. 여러 차례 권고를 거듭하다가 아예 2011년에는 일반논평 34호를 발표하여 모든 UN자유권규약 회원국들에게 명예훼손의 비형사화를 고려할 것 그리고 명예훼손에 대한 징역형과 진실에 대한 모든 명예훼손 형사처벌을 폐지할 것을 요구하였다.
그 이후 처음으로 2015년 대한민국에 대해서 이를 준수할 것을 다시 권고한 것이다. 이 권고에 앞서 2008년 이후 <PD수첩> 광우병 보도팀 수사를 필두로 천안함, 세월호, 대통령 가족사 등 공적 사안에 대해 정부가 국민을 입막음한 수많은 사례들이 참여연대에 의해 UN인권위원회에 보고되었었다. 특히 참여연대 공익법센터가 2차례에 걸쳐 발행한 <국민입막음 소송 보고서>가 번역되어 제출되었었다. 또 <프리덤하우스> 조사에서 수년째 OECD국가 중 터키와 멕시코와 함께 유일하게 ‘부분자유국’으로 분류되고 있다는 점도 위원들이 알고 있었다.
특히 이번에 UN인권위원회는 진실명예훼손 폐지에 있어서, 모든 진실명예훼손죄를 면책하지 않고 ‘오로지 공익을 위하여’ 발설한 진실만을 면책하는 우리나라 형법 307조1항은 불충분함을 확실히 천명하였다. 즉, 진실이라면 그것이 공익을 위한 것이든 아니든 명예훼손을 이유로 형사처벌될 수는 없다는 것이다.
“형법 제307조와 제310조와 관련하여, 어떤 상황에서 진실을 말한 사람이 명예훼손으로 형사처벌 될 수 있는가. 제310조 상의 “오로지 공익을 위하여’라는 요건은 너무 협소하다. 공공사업 발주 비리를 폭로한 사업가는 그 폭로가 공익에도 도움이 되지만 자신에게도 도움이 되므로 진실항변의 혜택을 볼 수 없다는 것 아닌가? (샤니 위원, 10/23) .
실로 가뭄에 단비같은 권고가 아닐 수 없다. 우리나라에서 진실이 명예훼손으로 처벌받는 사례들은 잘 알려져 있지 않지만 너무나 많다. 예를 들어, 2004년에 임금을 체불한 고용주의 업장 앞에서 임금체불 사실을 적은 피켓을 들고 있었다는 이유로 명예훼손 유죄 확정판결이 내려졌고, 의약품 대리점이 제약회사들의 갑질을 고발하는 팩스를 언론 등 관련기관에 팩스로 보낸 것에 대해서 역시 유죄 확정판결이 내려졌다.
2013~2014년에는 아파트 노인회 간부가 회원들을 상대로 폭언 및 폭행을 하여 동행자가 폭행으로 유죄판결을 받았음에도 피해 회원이 인터넷에 당시 상황을 거짓없이 올린 글에 대해서 역시 유죄판결이 내려졌고, 군소기업에서 경리로 일하던 여직원이 고용주의 언어폭력에 못이겨 퇴사하면서 고용주의 만행을 적은 글을 사무실 주변에서 자주 다니던 식당 직원들에게 유인물을 배포했다는 이유로 역시 명예훼손 유죄판결이 내려졌다.
피켓이나 팩스의 내용, 인터넷글이나 유인물에 어느 것 하나 허위라고 밝혀진 것도 없었고 허위라는 기소도 없었다. 이러한 소소한 일도 형사처벌을 무릅쓰고 해야 하니 민주주의가 필요로 하는 국민의 소통은 얼마나 억눌려 있을 것인가. 도대체 진실도 이렇게 처벌할 수 있다면 모든 대화를 처벌할 수 있다는 것인가?
일본도 우리나라와 비슷하게 진실명예훼손죄가 있기는 하지만 타인의 위법행위를 밝히는 진실한 언사나 공무원에 대한 진실한 언사는 면책되며 일반적으로도 “오로지 공익을 위하여”라는 엄격한 요건이 아니더라도 “공공의 이해에 관한 사실에 관계”되기만 해도 면책이 된다.
제230조의2 제1항 “전조 제1항의 행위가 공공의 이해에 관한 사실에 관계되고, 또한 그 목적이 전적으로 공익을 도모하는데 있다고 인정되는 경우에는 사실의 진부를 판단하여 진실인 것의 증명이 있는 때는 이를 벌하지 아니한다”
제230조의2 제2항 “전항의 규정의 적용에 있어서는 공소제기에 이르지 아니한 사람의 범죄행위에 관한 사실은 공공의 이해에 관한 사실로 본다”
제230조의2 제3항 “전조 제1항의 행위가 공무원 또는 공선에 의한 공무원의 후보자에 관한 사실에 관계되는 경우에는 사실의 진부를 판단하여 진실인 것의 증명이 있는 때에는 이를 벌하지 아니한다”
또 매년 1천만명 넘는 사람들의 신원정보가 법원의 영장도 없이 수사기관에 넘어가고 있다. 수사기관이 수사와 관련하여 특정전화번호, 계좌번호, 온라인글을 발견하면 계정소유자나 글작성자를 찾기 위해서 하는 것인데 2014년 캐나다 대법원의 위헌판결에도 나왔듯이 이 절차에서 신원정보만 드러나는 것이지만 ‘누구와 언제 통화를 했다’, ‘누구에게 얼마를 입금했다’, ‘어떤 내용의 글을 썼다’라는 전제사실이 이미 알려진 사람의 신원정보가 드러나는 것이기 때문에 프라이버시 침해는 마찬가지이다. (A의 신원정보 + A의 통신행위 및 내용)이 원래 영장이 필요하다면 이 두가지를 어느 순서로 받더라도 영장이 필요한 것이다.
사람들은 익명으로 태어난다. 익명으로 서로 대화할 권리가 있고 원할 때 자신의 신원을 드러내고 대화를 할 권리가 있다. 수사기관이 신원을 강제로 확인하고자 한다면 영장주의에 따라야 한다. UN인권위원회는 이 원칙이 국제인권법의 일부임을 확인한 것이다. 이외에도 기지국수사도 남용되지 않도록 원칙을 절차를 마련할 것을 요청하였다.
안타까운 것은 인권위원회가 열린 당시에는 잠잠했던 감청설비의무화 법안이 파리테러 사태 이후 ‘단 하나의 위기도 낭비할 수 없다’는 의지를 가진 정치인들에 의해 다시 추진되고 있는데 UN인권위원회 권고에서는 빠져 있다. 사실 쟁점목록에도 들어가 있었는데 “현재 진행중인 인권침해를 막는 것이 더 중요하다”라는 판단 하에 로비할 때 중점적으로 하지 않은 이유도 있었을 듯 하다. 뭐 어쩔 수 없다.
 |
|
| ▲ 이석우 다음카카오 공동대표가 지난 2014년 10월 13일 오후 서울 중구 프레스센터에서 긴급 기자회견을 열어 최근 발생한 모바일 메신저 카카오톡에 대한 수사당국의 검열 논란에 대해 공식 사과하며 고개를 숙이고 있다. | |
| ⓒ 유성호 | 관련사진보기 |
아쉬워서 한마디 붙이자면, 지금 나와 있는 감청설비의무화법을 주창하시는 분들은 “다른 나라들 다 하는데 우리나라도 해야 한다”라고 주장하시는데 다른 나라들은 SK, KT같이 국가의 특허를 받은 망사업자들에게만 설비의무를 부과하는 것이지 Daum, 네이버, 카카오톡 같이 망 위에서 자유롭게 제공되는 서비스에게 설비의무를 부과하지 않는다. 지금 감청설비의무화법안들이 바로 그렇게 하고 있는데 이것들 중 하나가 통과되면 우리나라는 세계 최초가 될 것이다. 같은 논리라면 메일서비스를 제공하는 교회홈피, 학교홈피, 동창회홈피들도 한발짝만 더 나가면 다 감청설비의무 갖춰야 하는 가공할 상황이 다가온다.
사실확인하는 김에 하나만 더. 법무부가 10월22일 대한민국 심사 기조연설에서 한국정부의 인권보호노력을 소개하면서 “UN인권최고판무관(UN Office of Higher Commissioner of Human Rights, OHCHR이라고 부름. UN인권위원회, UN인권이사회, 29개의 UN인권특별보고관 등의 총괄적 사무지원을 함)이 발행한 인권매뉴얼이 번역되었다”고 언급했는데 이건 정부가 한 일이 아니다. 평판사들의 모임인 국제인권법연구회가 99명의 판사들의 참여로 발간하였고 발간비용을 대법원으로부터 지원받은 것이다.
* 이번 자유권 심의에 참가한 한국 NGO 대표단은 오는 11월 25일(수) 오후 7시, 서울시 시민청 워크숍룸에서 ‘유엔, 한국 인권에 대해 말하다 – 한국 자유권 대응 시민사회 활동 보고대회’를 개최한다. ☞자세한 내용은 여기로
○ 편집ㅣ박순옥 기자
* 위 글은 오마이뉴스에 기고한 글입니다. (2015. 11. 23.)
시민들의 의견
댓글 달기