구글은 국내법에 따른
이용자 개인정보 보호 의무를 이행해야
글 | 김가연(오픈넷 변호사)
일시: 2015년 11월 9일 – 11월 14일
장소: 조앙 페소아, 브라질
○ 11월 9일 월요일(Day 0)
- 주최: Rebecca MacKinnon, Director, Ranking Digital Rights, New America Foundation
- 세션 소개
○ 11월 11일 수요일(Day 2)
- 주최:
Mr Sérgio Branco – Instituto de Tecnologia e Sociedade do Rio de Janeiro
Ms Marianne Franklin – Internet Rights and Principles Coalition /Goldsmiths (University of London, UK)
Mr Hernán E. Vales – Office of the United Nations High Commissioner for Human Rights
- 김가연 변호사 발표 내용:
KELLY KIM: This discussion on the right to be forgotten is very important especially in Korea, as the Korean Communication Commission, which is FCC of Korea, is considering adopting a right-to-be-forgotten law since the ECJ decision Google Spain came out. It hasn’t been particularly successful yet, but we are worried that we might become the first country to have the right to be forgotten statute, on top of rigorous online censorship carried out by an administrative agency called the Korea Communications Standard Commission which is taking many lawful contents down whenever it’s “necessary for nurturing sound communication ethics.” a standard as vague and amorphous as the standards used by the Google Spain decision: ‘excessive’, ‘obsolete’, ‘irrelevant’.
Data Protection law in general defines “personal Information” as information related to a living individual and gives the data subject the power to control his or her personal data. A tenet that “one owns data about him or her (and therefore should have control over that data)” sounds good but is not always sustainable and compatible with respect for others’ freedom of thoughts and expressions. For example, “Kelly Kim is a lawyer” is data about me that is known to many already. And the question is, when and under what grounds can I control this perfectly lawful data about myself, that resides in other people’s heads, that is non-defamatory and non-privacy-infringing?
Well, the Google Spain case was one answer to that Question, which we consider more or less lousy. One reason is that the information deindexed, which was a hyperlink, was already publicly available data, which was published in the newspaper. So applying data protection law on such information is against its original purpose, because the data protection law was meant to protect data that are not publicly available and thus within the privacy area. We wanted to protect privacy through a data protection law. We should not protect people’s desire to wipe out unfavorable or embarrassing information about themselves.
Let me give you an example on how the right to be forgotten can be abused.
Korea became independent of a 36-year Japanese colonial rule in 1948. Many Korean people collaborated with the colonial administration and exploited their fellow Koreans.The issue is current because, unlike Germany or France, there has been no government-sponsored efforts to indict and bring to justice those collaborators who number in tens of thousands. And many were not public figures during the colonial periods and they have never been. Some of them were the officers or civic servants who carried out the military logistics and tactics of the Japanese invasion through Asia, which reached as far as Myanmar. And now there is an NGO-led effort to keep the encyclopedia of these Korean collaborators. Of course, the collaborators and the descendants are contesting these efforts. So, in this case, if the right to be forgotten law in the sense of Google Spain is in place, any links to the encyclopedia or the entries themselves may be required to be taken down for the reason that their past wrongdoings are now obsolete because it was more than half a century ago.
So we should stop talking data ownership and start talking about privacy. And the right to be forgotten should not be applied to data that are publicly available, although it’s about an individual. Thanks.
- 김가연 변호사 발표 내용:
KELLY KIM: This discussion on right to be forgotten or the right to be de-indexed is important for Korea as Korean government and the Korean Communication Commission, which is the U.S.’s FCC of Korea is considering adopting a right-to-be-forgotten law since the ECJ decision Google Spain came out. However, it hasn’t been particularly successful yet because right to be forgotten in a broad sense is very widely recognized in Korea already.
Firstly, we already have a law under which an individual can compel intermediaries to take down information that is allegedly defamatory or infringing on privacy. And what makes this law similar to the right to be forgotten is that information is required to be taken down simply upon allegation short of any proof of infringement. So every year, more than 200,000 postings are being taken down by the intermediaries, simply for a reason that that data subjects do not like the postings about them. Marianne just mentioned stats from Google that last year like 228,000 requests were received. So you can tell how bad the situation is in Korea. and that means we have that many individual cases that year.
Secondly, we also have an administrative agency called the Korea Communications Standard Commission, which exercises rigorous online censorship. Korea Communications Standard Commission is empowered by the law to make takedown requests on even lawful contents, whenever it is “necessary for nurturing sound communication ethics.” Any lawful content can be taken down by the Korea Communications Standard Commission if it violates the standard. This is a standard as vague and amorphous as the standards used by the Google Spain decision: which are ‘excessive’, ‘obsolete’, ‘irrelevant’.
Thirdly, we have criminal defamation law that punishes even non-privacy infringing, truthful statements, which allows a data subject not only to request takedown but also to criminally punish others for saying bad but true statements about him or her.
And fourthly and finally, you also have data protection law that may or may not give a data subject a blanket authority to demand data erasure about him or her. Well, apparently there aren’t many such requests made, so we don’t have a court case yet.
I just want to underline that if we limit right to be forgotten only to de-indexing from the search, okay, we don’t have any case yet. However, we don’t need a such right in Korea because there are many legal tools that I just illustrated that are used to expunge online information that you don’t like.
So we want to protect privacy through data protection law. We should not protect people’s desire to wipe out unfavorable or embarrassing information about themselves. Think about a word where only favorable or delightful information about a person lasts. I don’t want to live in that world. Thank you.
○ 11월 12일 목요일(Day 3)
- 주최:
Diego R. Canabarro / Carlos Affonso de Souza – Brazilian Internet Observatory, Multistakeholder Initiative
- 김가연 변호사 발표 내용:
KELLY KIM: Open Net is a Civil Society Organization fighting for digital rights in Korea. We are supporting the Korea Internet Transparency Report project, which is very well staffed as we have one full‑time lawyer. The methodology of the project is, we gather all legally available data on government requests related to internet transparency, which are online censorship and surveillance. And then we analyse the data and present observations and findings in accessible form and you will find them on the website. PDF version of our report is also available.
And the sources of the data are varied from government to private companies. And the aim of the project is: promoting civic awareness of online censorship and surveillance carried out by the government; promoting transparency reporting of both the government and private companies; and raising issues and making the public aware of the problems associated with the government’s practices and policies of Internet censorship and surveillance, and in the end, bring about changes.
So the project launched last year. And interestingly, two major Internet companies in Korea, which are Daumkakao and Naver, started to publish transparency reports in few months. So we considered it a great achievement and we also proposed a Bill together with National Assembly members mandating Government’s transparency reporting on mass surveillance.
And also we are involved in Stanford’s WILmap project in building South Korea page. And the map has been very useful in our advocacy for fixing intermediary regime in Korea. I must say we have been integrating the data and observations with our actions in promoting user rights on the Internet very effectively. Thank you.
○ 11월 13일 금요일
- 김가연 변호사 발표 자료: 151113 Manila Principles(Kelly Kim)
[공동논평]
글 | 손지원 (변호사, 고려대 한국인터넷투명성보고팀 연구원)
오픈넷과 협력하는 고려대 한국인터넷투명성보고팀은 지난 6월 캐나다 토론토대학교 산하 시티즌랩에서 주최한 워크샵 프로그램인 Citizen Lab Summer Institute에 참가하였다. 본 워크샵에서는 캐나다, 미국, 영국, 홍콩, 대만, 한국, 콜롬비아, 등 각국의 인터넷 인권 관련 시민단체 및 학계 등의 다양한 분야의 전문가들이 모여 인터넷 인권 관련 이슈를 논의하였다.
이번 워크샵에서는 특히 통신 감시, 검열 현황에 대한 ‘투명성보고’ 연구를 집중적으로 다루는 패널 세션 및 그룹회의가 구성되어, 투명성보고의 최신 경향 및 투명성보고가 앞으로 나아가야 할 방향에 대하여 논의하였다.
첫 날 ‘공공과 기업의 투명성’이라는 주제의 세션에서는, 캐나다 프라이버시 위원회(Privacy Commissioner of Canada)의 Chris Prince의 사회로, Teksavvy의 Bram Abramson, 홍콩 투명성보고의 Jennifer Zhang, Access에서 기업 투명성보고를 분석하는 Peter Micek, 그리고 한국 투명성보고서의 손지원 연구원이 패널로 참여하여, 각자의 경험을 바탕으로 각국의 투명성보고의 경향, 투명성보고를 촉진, 발전시키는 방법 및 한계 등에 대하여 의견을 발표하였다.
손지원 연구원은, 온라인 메신저 대량 감시 사태가 이슈화되자, 국내 네이버, 다음의 양대 사업자들이 경쟁적으로 투명성보고서를 발간하기에 이르른 한국의 최근 상황 및 한국 정부의 투명성 및 공개 수준에 대하여 설명하였다. 이를 바탕으로, 국가 단위의 투명성보고를 촉진하기 위하여는 입법으로 의무화하는 것이 가장 중요하고, 기업의 투명성보고를 촉진하기 위하여는 대중의 관심을 끌 수 있는 사안을 발굴하여 이슈화하는 것이 중요하다고 밝혔다. 또한 투명성보고의 궁극적 목적은 대중의 역감시를 가능하게 하고, 정부 및 기업이 과도하게 통신을 검열, 감시하는 관행을 억제시키는 것이기 때문에, 단순히 수치를 중립적으로 제공하기보다 대중의 관심을 끌 수 있는 개별 사안에 대한 이슈화 및 비평들의 역할도 필요하다는 의견을 제시하였다.
이어진 2일 간은 소규모 그룹회의를 통하여 워크샵 참여자들의 투명성보고의 발전 방향에 대한 구체적이고 심층적인 의견교환이 이루어졌다.
‘주요 투명성보고 데이터의 세팅 및 접근, 구조 (Structure of, and Access to, Primary Transparency Datasets)’를 주제로 이루어진 회의에서는, 최근 공개되고 있는 정부 및 기업의 데이터의 종류와 그 근거 규정, 그 한계와 보충되어야 할 항목들에 대한 논의가 이루어졌다.
특히, 접근 부분에 관해서는 투명성보고서를 공개하고 있는 경우에도, 정부와 기업 모두 데이터 혹은 투명성보고서를 쉽게 찾을 수 없도록 하고 있어, 적극적으로, 접근하기 쉬운 방법으로 제공되고 있는 것으로 보이지 않는다는 점이 지적되었다. 또한 기업 보고서의 경우, 텍스트나 표 시트가 아닌 이미지 등으로의 제공은 오히려 데이터를 활용, 분석하는 데에 있어 복사, 붙이기 등의 작업을 어렵게 한다는 문제점이 있으므로, 이를 용이하게 하는 방향으로 데이터가 공개되어야 한다는 의견도 있었다.
단순히 요청 건수, 제공 건수만 공개하는 것은 질적 평가를 불가능하게 한다는 것이 공통된 의견이었다. 따라서 1. 요청 형식 (공식/비공식, 긴급/일반, 영장유무), 2. 제공 사항 (통신내용/통신기록/신원정보), 3. 목적 및 근거 규정 (죄명 등), 4. 요청 기관명, 5. 관련 서비스 유형 (메일, 메신저, 동영상, 게임 등), 6. 사후 기소율, 유죄판결율 등과 같은 구체적 데이터 항목이 공개될 필요가 있다는 의견이 오갔다. 또한 특히 기업 보고서의 경우에는, 기업이 이용자의 권리를 잘 보장하고 있는지를 평가하여야 하므로, 제공 근거규정에 대하여 단순히 법률만을 인용할 것이 아니라, 각사의 정책에 따른 구체적인 검토, 제공 기준을 공개하고, 구글이 하고 있는 것과 같이 특히 문제될 수 있는 사안에서 제공을 거절 사례와 그 이유를 서술하는 방식의 항목이 필요하다는 의견이 있었다.
각 기업의 투명성보고서를 비교, 분석하는 작업을 하는 연구자들의 입장에서는, 나라별로 제도가 다르고, 또한 기업별로 공개 항목도 달라 연구에 상당한 고충이 따르고, 또한 더 나은 투명성보고 관행을 수립하기 위하여 투명성보고서의 표준화 작업이 필요하다는 데에 입을 모았다.
‘주요 데이터 수집 및 게시 방법론(Methods of Gathering and Presenting Primary Data)’을 주제로 한 회의에서는, 각 연구자들이 어떻게 데이터들을 수집하고, 종합하여 일반에게 게시하고 있는지, 효율적인 투명성보고를 위하여 중점을 두어야 할 것이 무엇인지를 논의하였다.
각 국가 내에서 이루어지는 감시, 검열 현황을 관리하는 중앙화된 시스템이 없는 경우에는, 개별 기관마다 따로 정보공개청구를 하여야 하고, 국가 전체적으로 이루어지는 현황을 파악할 수 없다는 한계가 있었고, 또한 이러한 관리와 공개를 의무화하는 근거규정이 없는 이상, 개별 기관들도 공개요청에 불응하는 경우가 많기 때문에, 입법으로 중앙화된 관리와 공개를 의무화하는 것이 가장 효율적인 정책 전략임이 시사되었다. 스노든 사태 이후, 각국 정부의 투명성보고 책임에 대하여 관심이 집중되고 있고, 앞으로 APEC, OECD 등 국제회의에서도 정부의 투명성보고가 주요한 이슈가 될 것이라는 예측도 있었다.
투명성보고서를 발간하는 기업이 늘어남에 따라, 더 나은 투명성보고 관행을 촉진하기 위하여, 각 기업의 투명성보고 수준을 평가하고 순위를 매기는 시민단체의 활동도 있었다. 이러한 활동은 각 사업자들이 모범적인 사례를 따르도록 유인할 수 있다는 면에서 고무적이라는 평가가 일반적이었다.
국가별 투명성보고서의 리스팅 작업과 투명성 수준에 대한 평가 작업에 대한 논의도 오갔다. 비록 공개되고 있다고 하더라도 언어와 제도가 달라서 분석에 어려움이 따를 것으로 예상되지만, 감시, 검열 현황을 공개하지 않고 있거나, 혹은 공개 수준이 낮은 국가들에게 다른 국가의 공개 사례를 근거로 제시하는 것만으로도 공개 요청에 있어 중요한 자료가 될 수 있으므로, 참여자들이 함께 이러한 작업에 힘쓰기로 하였다.
전체적으로 투명성보고 관련 논의에 있어서 연구자들이 가장 신경쓰는 부분은, 투명성보고서가 사회에 메세지를 던질 수 있는, 중요한 자료가 될 수 있는가였다. 이를 위해서는 더 구체적인 내용에 대한 투명성이 필요한데, 아직 정부도, 사업자도, 통신 감시, 검열 행태에 대하여 대중이 정확한 평가를 내릴 수 있을 정도의 데이터는 제공하지 않고 있다. 더 나은 투명성을 확보하기까지는 상당한 시간과 노력이 필요할 것으로 보이고, 투명성보고만으로 정부나 기업의 행태가 가시적으로 변화하지는 않겠지만, 포기할 수는 없는 영역인 것이다. 이번 워크샵은 이러한 장기적인 주제에 대하여 각국, 각계의 연구자들이 머리를 맞대고 발전방향을 모색하고 국제적인 모범 기준을 세우는 지속적인 연대활동의 중요성을 일깨워주는 소중한 시간이었다.
* 함께 읽기: Citizen Lab Summer Institute 2015 참가 후기(오픈넷/김가연 변호사)
글 | 오픈넷
2015년 11월 4일, 검찰은 이석우 전 다음카카오 대표를 아동·청소년의성보호에관한법률(이하 아청법) 위반 혐의로 기소했습니다. 검찰은 기소 사유로 이 전 대표가 카카오 대표로 재직할 당시 온라인서비스 제공자로서 아동음란물을 발견하기 위한 기술적 조치를 하지 않아 지난해 6월 14일부터 8월 12일까지 ‘카카오그룹’에서 약 7,115명에게 아동음란물이 배포됐다고 밝혔습니다.
카카오 측은 “음란물 유통을 막기 위해 사업자로서 가능한 모든 기술적 조치를 취했고, 성인 키워드를 금칙어로 설정, 해당 단어를 포함한 그룹방 이름이나 파일을 공유할 수 없도록 사전적 조치를 취하고 있다”며 검찰의 기소에 반박했으나, 11월 10일 수원지검 성남지청은 보도자료를 내고 이 전 대표는 아동·청소년의성보호에관한법률 제17조 제1항과 시행령 제3조에 의거 온라인서비스제공자로서 아동·청소년이용음란물을 발견하기 위한 조치를 하지 않았다고 밝혔습니다.
검찰은 카카오 측이 먼저 아동·청소년이용음란물에 대한 상시적 신고 기능을 제대로 갖추지 않았다고 했습니다. 그 이유는 음란물을 신고하려면 5단계나 거쳐야 하므로 접근성이 현저히 떨어진다는 것입니다. 신고를 위해 들어가야 하는 메뉴 순서는 다음과 같습니다.
그리고 두 번째 근거로 금지어(금칙어) 등을 통한 아동·청소년이용음란물 필터링 기능을 도입하지 않았다고 했는데요, 카카오의 다른 서비스인 ‘카카오스토리’에는 이용자 본인을 소개하는 프로필에 음란물을 상징하는 단어를 금지어로 등록했고, 카테고리를 등록할 때 사용하는 단어에도 금지어 사용 불가 기능이 존재했지만 ‘카카오그룹’은 없어 그런 기능이 없어 유포 방지 조치를 취하지 않은 것으로 판단한 것입니다. 즉, 필터링 의무를 다하지 않았다는 것입니다.
아청법 시행령의 제3조 제1항 중 제1호가 상시적 신고 기능, 제2호가 필터링 조치를 뜻합니다.
현재 널리 사용되고 있는 필터링 기술은 데이터베이스(DB) 필터링과 키워드 필터링 정도가 있습니다. 아동음란물뿐만 아니라 저작물, 일반 음란물 필터링도 마찬가지입니다.
그런데 DB 필터링은 아동음란물로 판단된 자료에서 추출한 URL, 해시값, DNA 등의 DB를 기반으로 필터링하는 것입니다. 즉, 이미 유통되고 있는 아동음란물을 찾아내서 분석하지 않으면 DB를 만들 수가 없습니다. 따라서 매일 새로 쏟아지는 아동음란물을 걸러낼 수 없다는 한계가 있습니다.
그리고 아동음란물의 “소지”도 처벌하는 아청법을 엄격하게 해석하자면 목적이 어떻든지 간에 사업자들은 DB의 소지만으로 처벌받을 수 있는 위험이 있습니다. 정부나 수사기관에서 필터링의 기반이 되는 DB를 제공하면 사업자들이 협조하기가 편하겠지만, 여성가족부나 방송통신심의위원회는 별도의 아동음란물 DB를 가지고 있지 않습니다. 현재 사업자들은 민간 필터링 업체에 의존하고 있습니다.
또한, 키워드 또는 금칙어 필터링은 키워드를 조금이라도 바꾸면 무용지물이 되는 데다가 아동음란물에만 국한된 키워드가 매우 한정적이라서 실효성이 별로 없습니다. 예컨대 “로리”라든지 “교복” 같은 키워드가 사용되었다고 해서 꼭 아동음란물이라고 보기는 어려울 것입니다. 현재로써는 컴퓨터가 아동음란물을 자동으로 걸러내는 기술은 없다고 볼 수 있습니다. 웹하드 업체 등 사업자들은 최선을 다해 필터링하고 있지만, 아동음란물이 발견되기만 하면 필터링 조치를 제대로 취하지 못한 것이 되어 처벌을 받고 있다고 호소합니다.
결국, 카카오와 같은 온라인서비스제공자가 아동음란물을 완벽하게 필터링할 수 있는 최후의 수단은 이용자가 공유하는 모든 이미지와 동영상을 육안으로 직접 확인하는 것입니다. 하지만 이 방법은 카카오그룹과 같은 폐쇄형 소셜미디어(SNS)에서는 이용자의 통신 내용을 들여다보는 것이라는 점에서 “감청”과 다를 것이 없습니다. 사인에 의한 감청은 통신비밀보호법 위반입니다. 설령 카카오에 이러한 권리를 허용한다 하더라도 극소수의 범죄자를 찾아내기 위해 모든 이용자의 헌법상의 기본권(사생활의 비밀)을 침해하는 결과가 초래됩니다.
만약 육안으로 모니터링을 하는 것이 타당하다 하더라도, 아동음란물은 법적인 개념이고 음란물인지 아닌지는 맥락으로 판단해야 하므로 여기에도 한계가 있습니다. 물론 누가 봐도 명백한 아동 포르노가 있겠지만, 예컨대 교복물이나 애니메이션의 경우 계속 논란이 되고 있습니다.
오픈넷이 제기한 아청법 헌법소원에서 헌법재판소는 2015년 6월 25일 5:4의 결정으로 해당 정의 규정이 헌법에 위반되지 않는다고 판단했습니다.
“아동·청소년으로 인식될 수 있는 사람”은 일반인의 입장에서 외모, 신원, 제작 동기와 경위 등을 종합하여 볼 때, 실제 아동·청소년으로 오인하기에 충분할 정도의 사람이 등장하는 경우를 의미함을 알 수 있고, “아동·청소년으로 인식될 수 있는 표현물” 부분도 전체적으로 표현물을 등장시켜 각종 성적 행위를 표현한 매체물의 제작 동기와 경위, 표현된 성적 행위의 수준, 전체적인 배경이나 줄거리, 음란성 등을 종합하여 판단할 때 아동·청소년을 상대로 한 비정상적 성적 충동을 일으키기에 충분한 행위를 담고 있어 아동·청소년을 대상으로 한 성범죄를 유발할 우려가 있는 수준의 것에 한정된다고 볼 수 있으며, 기타 법관의 양식이나 조리에 따른 보충적인 해석에 의하여 판단 기준이 구체화되어 해결될 수 있으므로, 명확성 원칙에 위반된다고 할 수 없다.
– 헌법재판소, 2013헌가17, 2013헌가24, 2013헌바85(병합) 이유의 요지 중
그러나 어떤 표현물이 성범죄를 유발할 우려가 있는 수준인지에 대한 명확한 기준은 없다고 하겠습니다. 성인교복물이나 애니메이션의 경우 법원에서 무죄 판결을 받기도 했지만, 사업자나 이용자의 입장에서 판단하기가 어렵고 형사처벌을 받을 수 있으므로 이렇게 조금이라도 의심이 있는 경우에는 아동음란물로 판단하고 삭제를 하게 됩니다.
아청법상 필터링 의무는 이런 기술적 또는 현실적인 한계가 있을 뿐만 아니라, 더 중요하게는 정보매개자에게 불법정보에 대해 일반적인 감시 의무를 부과하는 것을 금지하는 국제적 흐름에 역행한다는 문제가 있습니다.
정보매개자란 다양한 정의가 있을 수 있지만, OECD 보고서를 보면 “인터넷상 제3자들이 생산한 정보의 공유가 가능한 플랫폼을 제공해주는 자”를 말한다고 하겠습니다. 이 기준에 맞기만 하면 ISP든, 검색엔진이든, SNS든 다 정보매개자가 됩니다. 다만 정보를 편집하거나, 직접 제작하거나 유통하는 경우에는 정보매개자라고 할 수 없습니다.
정보매개자의 책임이란 이러한 정보매개자가 제3자, 즉 이용자들이 유통하는 불법정보에 대해 책임을 져야 하는지의 문제입니다. 불법정보를 게시하거나 직접 유통한 자는 당연히 책임을 져야겠지만, 정보매개자의 서비스가 단순히 불법정보 유통에 사용된 경우에는 달리 봐야 할 것입니다.
예컨대 택배를 통해 마약이나 무기가 거래된 경우 택배사도 같이 처벌해야 할까요? 특별한 사정이 없다면 그래서는 안 될 것입니다. 그런 맥락에서 정보매개자의 책임 제한을 논의하게 됩니다. 현재 책임 제한에는 두 가지 원칙이 있습니다.
피난처는 일정한 조건하에서 정보매개자를 제3자가 유통한 정보에 대한 책임으로 면책을 시켜준다는 것인데, 주로 권리자나 이용자에 의한 통지가 있어서 정보매개자가 불법정보에 대해 알게 된 경우에만 책임을 진다는 내용입니다.
즉, 일반적 감시 의무 금지는 말 그대로 정보매개자에게 정보를 일반적으로 감시, 즉 모니터링할 의무를 지워서는 안 된다는 내용입니다. 일반적 감시 의무 금지는 말 그대로 정보매개자에게 정보를 일반적으로 감시, 즉 모니터링할 의무를 지워서는 안 된다는 내용입니다.
그럼 왜 정보매개자의 책임을 제한해야 할까요? 나아가 일반적인 감시의무 내지 필터링 의무 부과는 금지되어야 할까요? 그 필요성은 크게 세 가지로 나눌 수 있습니다.
먼저 인터넷의 문명사적 의미입니다. 헌법재판소에 의하면, 인터넷이란 익명 표현을 통해 민주주의 발전의 물적 토대를 제공하며, 사상의 자유시장에 가장 근접한 매체로 가장 참여적인 매체입니다. 즉 인터넷은 개인들이 타인의 허락 없이 공적 소통을 할 자유가 있는 공간으로, 그 특성으로 인하여 인류의 역사를 매우 짧은 시간 안에 완전히 바꾸어 놓았습니다. 누구의 허락도 받지 않고 소통을 할 수 있는 자유가 허락된 공간이 인터넷인 것입니다.
그런데 만약 이런 공간을 제공하는 정보매개자들에게 자신이 알 수 없는 불법행위들에 대해 책임을 지우기 시작한다면, 정보매개자들은 책임을 회피하기 위해 개개인의 소통을 검열하고 제한하거나, 아예 닫아버리게 됩니다. 그럼 결국 문명사적 중요성을 획득한 인터넷의 원천이 파괴될 수 있습니다. 허락받은 소통만이 가능한 공간은 더는 인터넷이 아니게 되는 것입니다.
두 번째 이유는 이용자의 인권 보호를 위해서입니다. 사업자들에 의해 이루어지는 사적 검열은 이용자들의 프라이버시를 침해합니다. 특히 그러한 검열이 카카오톡이나 이번에 문제가 된 카카오그룹 같은 통신 수단에 대해 이루어진다면 앞서 말씀드렸듯이 감청이나 다름이 없습니다.
또한, 이런 검열은 위축 효과를 불러오게 됩니다. 그리고 정보매개자는 조금이라도 문제가 될만한 정보라면 차단하고 삭제해서 책임을 회피하려 할 것입니다. 특히 책임이 클수록, 제한 요건이 불분명할수록 그럴 것입니다. 이는 온라인 표현의 자유를 또한 심각하게 침해하게 됩니다.
마지막으로는 인터넷 산업의 혁신과 발전을 위해서입니다. 필터링 기술이 날로 발전하고 있다고 해도, 아동음란물과 같은 법적 판단이 필요한 정보의 경우 결국은 육안으로 확인하는 수밖에 없습니다. 또한, 모니터링 내지 필터링 시스템을 갖추어야 하는 것은 1인 사업자나 대기업이나 마찬가지인데, 단지 정보매개자라는 이유로 이러한 과도한 부담을 지게 된다면 관련 산업을 위축시킬 뿐만 아니라 진입장벽을 만들게 됩니다.
그래서 국제적인 흐름은 이러한 일반적 감시의무를 금지하고 있습니다. 전 세계의 시민단체가 성안한 정보매개자책임에 관한 마닐라 원칙에서도 “정보를 적극적으로 모니터링할 의무를 부과해서도 안 된다”고 하고 있고, EU의 전자상거래지침, 저작권에만 적용되긴 하지만 미국 디지털 밀레니엄 저작권법 등이 대표적인 예입니다. 그러나 우리나라는 이러한 국제적 흐름에 역행하여 일반적 감시의무를 부과하는 법들이 많습니다.
특히나 아청법 제17조는 정보매개자 책임과 관련하여 전 세계적으로 유례가 없는 내용을 규정하고 있습니다. 물론 아동음란물 규제는 필요하지만, 제작자나 유포자가 아닌 단순한 정보매개자에게 과도한 책임을 지우는 것이 문제입니다. 정보매개자도 기여 정도에 따라 제작자나 유포자, 또는 방조자로 처벌하면 되는데, 사전적인 필터링을 제대로 하지 못했다고 하여 처벌을 하는 것은 어떻게 보면 국가가 해야 할 일을 정보매개자에게 떠넘기는 것이나 마찬가지입니다.
이렇게 정보매개자를 범죄를 막지 못했다는 이유로 범죄자와 동일시하여 과도한 형사책임을 지우는 것은 지양되어야 합니다. 오픈넷은 해당 규정이 최대한 빨리 폐기되어야 한다고 보고 있습니다. 아니면 사업자가 발견한 경우에는 신고 의무를 지우는 정도로 수정되어야 할 것이며, 궁극적으로는 사업자를 아동음란물 단속의 파트너로 보고 자율규제를 장려하고 선진국의 사례처럼 사업자-관계당국-시민사회의 원만한 협조체계를 구축해서 대응해야 할 것입니다.
* 위 글은 슬로우뉴스에도 동시 게재하고 있습니다. (2015. 12. 29.)
글 | 오픈넷
2005년 신설된 통신비밀보호법 제15조의2는 전기통신사업자의 협조의무를 규정하고 있고, 그 협조의무의 내용이 무엇인지에 대해 필요한 사항은 대통령령으로 정하게 되어 있다. 이러한 협조의무를 구체화하는 법안이 17대 국회부터 지속적으로 발의되어 왔는데, 협조의무에 있어 가장 핵심적인 논의는 전기통신사업자의 감청설비 구축 의무화 문제이다. 19대 국회에서는 2014년 1월 3일 발의된 통신비밀보호법 일부개정법률안 서상기 의원 대표발의안과(이하 ‘서상기의원안’), 2015년 6월 1일 발의된 통신비밀보호법 일부개정법률안 박민식 의원 대표발의안(이하 ‘박민식의원안’) 두 건이 감청설비 의무화에 대한 내용을 담고 있다.
|
구분 |
서상기 의원안 |
박민식 의원안 |
|
전기통신사업자의 범위 |
“전화서비스를 제공하는 전기통신사업자, 그 밖에 대통령령으로 정하는 전기통신사업자” |
“전화, 인터넷, SNS 등 대통령령으로 정한 통신 서비스 역무를 담당하는 전기통신사업자” |
|
의무의 내용 |
통신제한조치 집행에 필요한 장비·시설·기술 및 기능 |
감청협조설비(전기통신사업자가 통신제한조치 집행에 필요한 장비·시설·기술 및 기능 등을 갖추고 운용하는 설비 등) |
|
설비비용 부담 |
국가가 부담 |
국가가 부담 |
|
의무 불이행시 제재 |
이행강제금 연 1회 20억원 이하 |
이행강제금 연1회 매출액의 100분의 3 이하 또는 20억원 이하 |
|
관리·감독기구 |
통신제한조치기술자문위원회 (미래창조과학부 소속) |
통신제한조치 감시위원회 (미래창조과학부 산하) |
대동소이하게 보이는 두 안의 가장 큰 차이점은 감청설비의무를 갖는 전기통신사업자의 범위이다. 박민식의원안은 감청설비 구축 의무를 지는 대상의 범위를 전화 서비스 사업자뿐만 아니라 “인터넷, SNS 등”으로 대폭 확대했다. 이미 서상기의원안이 작년 11월부터 소관 상임위에 상정되어 심사중인 상황에서, 올해 6월 거의 비슷한 내용의 법안을 발의한 것은 작년 10월부터 논란이 된 일련의 카카오톡 감청 사건에 대한 대응이라고 보인다. 즉 카카오톡을 염두에 둔 “카카오톡 감청법”이라고 할만하다. 다만 서상기의원안도 “그 밖에 대통령령으로 정하는 전기통신사업자”라고 하여 박민식의원안 보다 범위가 넓다고 볼 여지는 있다.
휴대전화나 인터넷 망 사업자에 대한 감청설비 의무화의 타당성 여부는 별론으로 하고, 중요한 것은 인터넷 업체들(법적으로 부가통신사업자)에게도 감청설비 의무를 지울 것인가의 문제이다. 인터넷의 구조 상 부가통신사업자들은 인터넷이용자들에 비해서 질적으로 다른 존재가 아니다. 홈페이지에서 중고품을 사는 사람도 부가통신사업자가 될 수 있고 블로그에 배너광고를 파는 사람도 게시판을 통해 블로그방문자들이 상호소통할 수 있게 해주는 통신역무를 제공하는 부가통신사업자가 될 수 있다. 학교나 동창회도 운영내역에 따라 부가통신사업자가 될 수 있다. 이런 사업자 모두에게 감청설비 구축 의무를 지우는 법은 이행에 현실적인 한계가 있을 뿐만 아니라 국제인권규범과 우리 헌법이 보호하는 프라이버시권과 익명 표현의 자유를 중대하게 침해한다. 그렇기에 SNS와 같은 부가통신사업자들에게 감청설비 구축 의무를 지우는 법안은 전 세계적으로도 유래가 없다. 미국에서도 모든 인터넷 서비스에 의무를 지우려는 시도가 있었지만 엄청난 반대에 부딪혀 무산되었다.
카카오톡, 페이스북, 트위터 같은 인터넷 서비스 제공자들에게 감청설비 구축 의무를 지운다는 의미는, 이용자들이 통제하는 암호화 통신을 무력화한다는 것과 동일한 의미이다. 서비스 유형별로 구체적인 감청 방법은 다르지만, 감청을 가능하게 하기 위해서는 결국은 서비스 제공자가 서비스 설계 단계부터 이용자들의 통신을 서버 등에 저장하거나 실시간으로 모니터링할 수 있어야 하고, 그러한 통신을 암호화하지 않거나, 암호화하더라도 복호화할 수 있는 수단을 가지고 있어야만 한다. 예컨대 카카오톡은 작년 12월부터 종단간 암호화 기술이 적용된 프라이버시 모드를 제공하고 있는데, 이렇게 암호화된 통신의 경우 각 이용자의 단말기를 모두 취득하여 분석하지 않는 한 복호화가 불가능하다. 또한 P2P 기술을 사용해서 단말기 간에 직접 송수신되는 통신의 경우는 서비스 제공자가 암호화를 하지 않는 것 외에는 감청에 협조할 방법이 없다. P2P나 종단간 암호화가 아니더라도 서버상의 암호화도 결국 수사기관에게 복호화키를 주거나 사업자들이 복호화해서 내용을 넘겨주는 수 밖에 없어 이용자 입장에서는 진정한 암호화를 통한 프라이버시 보호가 불가능해진다. 따라서 인터넷 서비스 제공자들이 “통신제한조치 집행에 필요한 장비·시설·기술 및 기능”을 갖추기 위해서는 결국 제대로 된 암호화 기술의 구현을 포기해야 하는 것이다.
하지만 디지털 통신의 암호화를 보장해야 한다는 것이 국제적인 흐름이다. 세계인권선언 제12조는 “어느 누구도 그의 … 통신에 대하여 자의적인 간섭을” 받지 않으며 이로부터 “법의 보호를 받을 권리를 가진다”고 선언하고 있으며, 시민적 및 정치적 권리에 관한 국제규약 제17조는 “어느 누구도 그의 …통신에 대하여 자의적이거나 불법적인 간섭을” 받지 않는다고 하고 있다. 이에 대해 작년 7월 유엔인권최고대표는 “디지털 시대의 프라이버시권”이라는 보고서에서 디지털 통신 감청은 프라이버시권만 아니라 표현의 자유, 집회와 결사의 자유 등에 영향을 미치며, 기업에게 감청설비 의무를 지우는 법은 “싹슬이(sweeping) 감시 조치를 촉진하는 환경을 낳기 때문에” 특별히 우려된다고 한 바 있다. 또한 유엔 표현의 자유 특별보고관은 올해 5월 발표한 보고서에서 디지털 통신에서의 암호화와 익명성은 프라이버시권뿐만 아니라 표현의 자유 보장을 위해 강하게 보호되어야 한다고 하면서, 특히 국내 법은 국민들이 통신의 프라이버시를 보호하기 위해 암호화 기술이나 도구를 사용하는 것을 승인해야 한다고 권고했다. 이처럼 통신의 암호화는 오늘날 매우 중요한 인권인 프라이버시권과 표현의 자유의 수호자로서 쉽게 양보되어서는 안 된다.
범죄를 예방하고 진압하기 위해서는 “익명성이 제거되고 투명화가 이루어져야 한다”는 주장도 있으나, 이는 모든 사람이 잠재적인 범죄자이기 때문에 감시할 수 있어야 한다는 주장과 다를 바가 없다. 또한 우리나라에서 감청의 90% 이상이 국정원에 의해 이루어진다는 통계는, 일반적인 범죄의 수사는 감청이라는 극단적인 수단을 사용하지 않아도 된다는 반증이다. 게다가 불과 몇 달 전 국정원이 해킹팀의 감청프로그램 RCS(Remote Control System)를 구입해서 사용해왔다는 사실이 밝혀졌다. 하지만 이런 불법적 감청에 대한 제대로 된 통제수단도 존재하지 않는 상황이다. 여기에 카카오톡 감청법까지 입법된다면 우리나라에서는 통신의 비밀을 지키는 것이 불가능해진다.
그리고 다른 나라에서 시행되고 있는 인터넷망 감청의 경우 미국, EU 등에서는 사업자가 준수해야 할 감청 기술 표준을 정해 보급하고 있다. 이런 표준도 정해지지 않은 상황에서 의무를 지우고 이행강제금까지 감수하게 하는 것은 사업자의 영업수행의 자유를 심각하게 제약하게 된다. 또한 범죄의 수사라는 국가의 역할에 대한 부담을 사업자에게 전가시키는 것이며, 사실상 사업자에게 잠재적 범죄자를 찾아내야 할 의무이자 권한을 넘겨주는 것이다. 이에 더하여 한국에만 존재하는 갈라파고스적인 제도는 해외 사업자에게는 적용하기 어려워 역차별 문제가 발생할 뿐만 아니라, 국내 사업자의 기술에 대한 제한으로 작용하며 관련 산업계에도 부정적인 영향을 미친다는 점도 고려되어야 할 것이다.
글 | 김가연(오픈넷 변호사)
지난 2015년 11월 26일 목요일 오후 홍콩에서 열린 디지털아시아허브 개소식에 오픈넷의 김가연 변호사가 초청 받아 참석했다. 디지털아시아허브란 아시아 지역의 인터넷과 사회에 관련된 연구를 하는 비영리 싱크탱크(Think Tank)로서 홍콩에 기반을 두고 있다. 개소를 위해 하버드 대학교 버크맨센터(Berkman Center for Internet and Society)의 주도 하에 학계, 시민사회, 그리고 민간 분야의 전문가들로 운영위원회(Steering Committee)가 구성되었으며, 오픈넷 박경신 이사도 고려대학교 인터넷과사회 콘소시움 대표 자격으로 운영위원회에 참여해왔다. 이날 행사에는 하버드 버크맨센터 어스 개서(Urs Gasser) 소장, 운영위원회 멤버들, 학자들, 활동가들, 기업가들이 개소를 축하하기 위해 참석했다.
디지털아시아허브는 디지털 아시아를 주제로 하는 인터넷과 사회 문제에 대한 연구, 지식공유 및 역량강화를 위한 객관적이며 개방적인 협업 플랫폼을 제공할 예정이다. 또한 국가별, 지역별 활동을 통해 다양한 이해관계자 간의 효과적인 담론을 강화하고, 더 큰 학술기관의 네트워크인 NoC(Global Network of Internet and Society Research Centers)와의 연결고리로서 기여할 것을 목표로 한다. 디지털아시아허브 사무국장인 록맨 추이(Lockman Tsui)는 “아시아는 가장 많은 인터넷 이용자가 있고 가장 빠른 성장을 하고 있는 지역입니다. 인터넷의 미래를 형성하는 데 더 큰 역할을 할 수밖에 없습니다. 우리는 허브가 지역적으로 또한 세계적으로 오픈 인터넷의 미래가 직면하고 있는 어려운 시험이자 기회를 돌파하기 위한 독립적이고 우수한 연구와 지식 공유를 위한 결정적인 역량을 키우는데 이바지할 것이라고 기대하고 있습니다”라고 개소 소감을 밝혔다.
이번 행사는 논문집 “디지털 21세기 아시아에서의 풍요로운 삶(The Good Life in Asia’s Digital 21st Century)”의 출판도 기념하는 자리였다. 박경신 이사와 김가연 변호사의 글을 포함 총 26편의 소논문이 실렸는데, 그 중 6편이 한국에 관한 것이라는 점은 디지털 아시아에서 한국의 중요성을 여실히 보여준다. 박경신 이사의 글 “공적 얼굴 대 사적 얼굴: 인터넷 시대에도 유지 가능한가?(Public Face vs. Private Face: Can It Hold in the Internet Age?)”에서는 한국과 일본 특유의 공적-사적 얼굴 구분(또는 혼네-다테마에 이분법)로부터 비롯된 양국의 진실명예훼손죄와 모욕죄, 그리고 인터넷 표현에의 적용을 최희승 판결(2012도11914)을 통해 조명했고, 김가연 변호사는 “부모 양육하기: 온라인상 극단적 국가후견주의(Parenting the Parents: State Paternalism Goes Extreme Online)”라는 제목으로 한국의 인터넷 청소년보호제도들을 소개하면서 이러한 국가후견주의적인 제도들이 어떻게 청소년 보호라는 소기의 목적을 달성하기 보다는 오히려 청소년들과 성인들의 인권을 제약하고 혁신을 저해하는지를 풀어냈다.
앞으로도 오픈넷은 디지털아시아허브에서 추진하는 연구와 활동에 적극적으로 참여할 계획이다.
홈플러스 개인정보 불법매매에 면죄부를 주고
기업 간 개인정보의 무분별 공유를 허용해준
법원의 무책임한 판결을 규탄한다
오픈넷은 캐나다 토론토대학교의 시티즌랩과 함께 “AMI(Access My Info)” 연구를 진행하고 있습니다. AMI는 통신회사들이 이용자에 대한 어떤 정보를, 얼마나, 어떤 목적에 의해 보유하고 있으며, 이러한 내용을 얼마나 공개하는지를 연구하는 프로젝트입니다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조 제2항에 의하면 이용자는 이통사가 가지고 있는 자신의 개인정보에 대한 열람을 요구할 수 있으며, 이통사는 요구에 지체 없이 응해야 합니다. 이통사가 이용자의 열람 요구에 응하지 않을 경우 3천만원 이하의 과태료가 부과될 수 있습니다(제76조 제1항 제5호).
제30조(이용자의 권리 등) ② 이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.
1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보
2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황
3. 정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황
④ 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.
이통 3사의 개인정보취급방침(SKT, KT, LGU+)에 의하면 이통사들은 이용자의 성명, 생년월일, 주민등록번호부터 시작해 계좌정보, 개인위치정보, 수발신내역, 접속 IP 정보 등 매우 다양한 정보를 수집하고 있습니다. 이번 연구는 국내 이통사들이 이용자에 대한 얼마나 많은 정보를 수집하고 보유하고 있으며 이런 정보를 어떻게 활용하고 있는지를 파악할 수 있는 좋은 실험이 될 것입니다.
오픈넷은 아래와 같이 AMI 연구 참가자를 찾고 있으니 많은 관심 바랍니다.
■ 모집대상
◦ SKT, KT, LGU+에 가입되어 있는 이용자 누구나
■ 모집인원
◦ 각 이통사별로 0명
※ 참가자에게는 소정의 연구비가 지급될 예정
■ 모집방법
◦ 1월 24일까지 선착순 마감
■ 참가자 역할
◦ 1월 26-29일 사이에 이용하고 있는 이통사에 개인정보 열람 요청
◦ 이통사로부터 답변 오는대로 오픈넷과 공유
문의: 오픈넷 사무국 02-581-1643, [email protected]
선거개입 혐의 국정원 직원 불입건 진상공개 요구
서울중앙지검, 2012 대선개입 국정원 직원 3명 ‘봐주기 수사’ 의혹
국정원 파견근무 검사가 소속된 공안2부, 독립적인 수사 어려워
시민들의 의견
댓글 달기