글 | 김가연(오픈넷 변호사)
일시: 2016년 9월 28일 – 9월 30일
장소: 뉴델리, 인도
오픈넷 김가연 변호사, 박경신 이사는 “디지털 아시아: 새로운 거버넌스 질서 세우기(Digital Asia: Scripting the New Governance Order)” 란 주제로 열린 CyFy 2016에 토론자로 초대 받아 참가했습니다. “사이버보안과 인터넷 거버넌스에 관한 인도 컨퍼런스(The India Conference on Cyber Security and Internet Governance)”의 줄임말인 CyFy 2016은 올해 4번째 열린 것으로, 인도 및 아·태지역 국가뿐만 아니라 아프리카와 유럽 등 45 개국에서 130여 명의 전문가 패널과 600여 명의 대표단이 참여한 아시아권에서 가장 큰 규모의 인터넷 거버넌스 컨퍼런스였습니다. ‘디지털 경제(Digital Economy)’, ‘사이버 보안(cyber Security)’, ‘국제 협력(International Engagement)’, ‘접근권과 포섭(Access & Inclusion)’, ‘역량배양(Capacity Building)’ 총 5개 분야에서 다양한 세션이 진행되었습니다. 박경신 이사는 ‘접근, 프라이버시, 보안의 트릴레마(the Trilemma of Access, Privacy and Security)’, 김가연 변호사는 ‘인터넷의 분열(Internet Fragmentation Session)’ 세션에서 발표 및 토론을 진행했습니다.
○ 9월 30일 금요일
- 패널 소개:
적법한 정보 접근권과 프라이버시 보호가 대립하는 암호화 논쟁 등 최근 전개되는 논의를 조망하고, 이러한 간극을 조정하기 위해 새로이 도출해야 할 규범이 무엇인지 토론한다.
This panel will take stock of some of the recent developments like the encryption debate that purportedly pits privacy against legitimate access to electronic data. It will identify norms that must be developed anew to reconcile these differences.
- 패널 토론자:
1. Isabel Skierka, Researcher, Digital Society Institute, European School for Management and Technology
2. Seda Gürses, Post-Doctoral Researcher, Center for Information Technology Policy, Princeton University
3. Solange Ghernaouti, Professor, University of Lausanne
4. KS Park, Director, OpenNet Korea
5. Alexander Klimburg, Director, Cyber Policy And Resilience Program, Hague Centre for Security Studies
6. Paula Kift, Ph.D Candidate, New York University (Chair)
- 박경신 이사 발표문
- 패널 소개:
다양한 통상협정 체제의 인터넷에 대한 사회적, 경제적, 정치적 함의를 검토한다. 특히 TPP(the Trans-Pacific Strategic Economic Partnership, 환태평양경제동반자협정)와 RCEP(Regional Comprehensive Economic Partnership, 역내포괄적경제동반자협정)이 아시아 지역 인터넷 거버넌스에 미칠 영향에 대해 토론한다.
The internet fragmentation panel will examine the social, economic and political implications of differential trading regimes. With universal, affordable connectivity yet to be achieved, are we already witnessing parallel internet regimes that cater to emerging economies?
- 패널 토론자:
1. Kelly Kim, General Counsel, Open Net Korea
2. Hoang Tran, Partner, EZLAW
3. Anahita Mathai, Junior Fellow, Observer Research Foundation
4. Hugo Zylberberg, Fellow for Technology & Policy, Columbia University School of International & Public Affairs
5. Burcu Kilic, Policy Director, Public Citizen (Chair)
- 김가연 변호사 발표 요지(업데이트 중)
글 | 민노씨(슬로우뉴스 편집장)
개인정보 플랫폼 기업이 개인정보를 판매 촉진 목적으로 활용하려고 할 때, 정보주체의 동의를 받아야만 하는지, 동의를 받지 않고도 분석, 가공, 판매할 수 있는지에 따라서 개인정보 플랫폼 기업에는 막대한 이윤 발생 여부가 결정된다. 이들의 이해관계가 첨예하게 걸려 있는 사안이다. (이은우 변호사, 정보인권연구소)
강원도에 사는 스무살 대학생 철수가 페이스북에 재잘거리는 한담이, 제주도에 사는 서른살 직장인 영희가 트위터에 올리는 짧은 한탄이 경제적인 가치를 지니는 ‘고급 정보’가 될 가능성은 그 자체로는 제로다. 하지만 10만 명의 철수가 100만 명의 영희가 모이면 얘기는 달라진다.
오늘날 컴퓨팅 기술은 천문학적인 규모로 생산되는 무수히 다양한 개인의 디지털 정보를 드디어 ‘정복’하는 단계에 들어섰다. 그걸 상징하는 용어는 ‘빅데이터’다. 이제 쓰고, 말하며, 대화하고, 소비하는 물리적인 컴퓨터 서버의 어딘가에 저장된다. 이제 디지털 저장기술은 인간의 기억을 대신한다. 우리는 그저 끊임없이 생산하고, 소비하며, 흘려보내면 그뿐이다.
그런데 그렇게 디지털 전자신호로 서버 속 공간 아닌 공간을 흘러갔던 정보는, 철수와 영희는 영영 모르는 채로, 이제 산업적인 가치를 가지는 정보로 재가공된다. 누구도 감히 시도하지 못했던 정보의 총체적 재구성이다. 모든 흩어진 의미가 ‘찬란한 귀향의 축제’를 맞는다. 기업 입장에서는 서비스를 더욱더 진화시키고, 이윤을 극대화할 기회이자 재료다.
luckey_sun, “big data”, CC BY SA
하지만 개인정보 주체들에게는 디스토피아의 서막일 수도 있다. 근대 이후 개인은 자신의 권리를 지키기 위해 국가 권력으로부터 자신을 숨길 수 있는 권리(홀로 있을 권리)를 ‘획득’했다. 그리고 오늘날 문명화한 국가는 국가권력의 부당한 간섭으로부터 자신을 숨기는 것에 그치지 않고, 자신의 개인정보를 통제할 수 있는 권리를 명문의 법률로 규정했다. 자기 정보 통제권(혹은 개인정보 자기 결정권)은 그렇게 탄생했고, 그 권리는 그저 주어진 것이 아니다. 개인정보에 관한 권리에 눈뜬 근대적 자아가 획득한 전리품이다. (→ 참고: 거짓말할 수 있는 권리)
단, 이 자기 정보 통제권이 각자 자신에 대한 정보를 공개된 정보와 비공개된 정보 가릴 것 없이 자신이 소유한 자동차를 소유하듯이 마음대로 통제할 수 있는 절대적인 권리로 해석하면 그것은 곤란하다. 이는 타인들 간에 진실한 정보를 공유하는 생활에 검열권을 가지게 하는 셈이라서 자기 정보 통제권은 균형을 고려한 해석이 불가피하다.
기업에 빅데이터가 잠재적 부가가치를 창출할 가능성이라면, 자기 정보 통제권을 자신도 모르는 사이에 빼앗길 수 있는 개인에게는 잠재적 공포다. 그 ‘위험한 게임’이 지금 막 시작됐다. 이름은 ‘개인정보 비식별 조치 가이드라인’.
참여 부처의 이름에서 확인할 수 있듯 그야말로 통합 가이드라인이다. 그 골자는 이렇다.
‘개인정보라고 하더라도 비식별 조치(익명화)를 거치면 정보주체의 사전 동의 없이 기업이 이를 활용하도록 할 수 있다.’
개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서
이 글은 가이드라인의 개요와 쟁점을 단계적 ‘Q&A’ 형식으로 독자에게 최대한 쉽게 전하는 것을 목표로 한다.
가이드라인의 중심에 있는 화두는 ‘빅데이터’다. 빅데이터 산업 육성이라는 가치와 개인보호라는 가치를 조화롭게 공존하게 하는 게 가이드라인의 취지라면, 이에 시민단체(오픈넷)와 정부(행자부)의 평가와 시각 차이는 명확하다.
오픈넷은“법률적으로 빅데이터에 대하여 정의된 바는 없다”고 전제한 뒤, “최근 빅데이터라는 단어 자체에 천착하여 빅데이터 산업의 진흥만이 주로 논의될 뿐, 빅데이터 환경이 정보 주체의 개인정보 자기결정권에 미치는 영향에 대한 논의는 부족“하고, 가이드라인도 이런 “흐름의 연장선”에 있다고 지적한다.[2]
Intersection Consulting, CC BY NC
이에 대해 행자부는 빅데이터 산업 진흥과 개인정보의 관계는 “단순하게 이야기할 수 있는 성격은 아니”라면서, 이번 가이드라인이 데이터 이용함에 있어 “개인정보 보호를 위한 기준을 제시”했다고 자평한다.[3]
가이드라인의 골자는 ‘비식별 조치’(익명화)다. 가이드라인은 비식별 조치 방법과 그 적정성을 평가하는 기준을 제시한다. 그런데 ‘비식별 조치’라는 용어, 익숙한가? 용어 정의부터 잘못됐다는 비판과 이에 대한 정부의 입장을 살펴보자.
연구소는 ‘비식별 조치’라는 표현 자체가 부적절하다면서 “용어 자체가 부적절한 법률용어”라고 말한다. 그렇다면 비식별 조치는 과연 어떤 의미일까? 개인정보 보호법제와 유사한 유럽연합과 일본의 용어 정의를 참고해보자.
더불어 ‘비식별 조치’ 혹은 ‘비식별화’라는 표현이 너무 모호하다고 지적한다. 가이드라인의 ‘비식별 조치가’가 ‘익명화’나 ‘익명정보’ 혹은 ‘익명가공정보’와 같은 의미라면 그냥 ‘익명화’나 ‘익명정보’로 쓰면 될 것을 “문법에도 맞지 않는 신조어”를 사용해 국민에게 혼동을 초래한다고 비판한다.
‘비식별 조치’는 쉽게 말해 ‘익명화’라고 할 수 있다.
반면 행자부는 익명화든 비식별 조치든 “이는 용어 선택의 문제일 뿐”이라고 일축하면서, “내용이 중요하지 용어 선택은 부차적”이라고 말한다. 그러면서 “요즘은 국제적으로 ‘비식별화’를 쓰는 추세”라고 부연한다.[6]
한편, 오픈넷은 연구소 입장에 동의하면서, ‘익명화’라고 표현해야 정확하다는 입장이다.[7]
여러 문제와 논란은 별론으로, 우선 가이드라인의 내용에 집중해 보자. 가이드라인은 ‘비식별 조치’와 이에 대한 적정성의 평가 기준과 절차를 규정한다. 그럼 가이드라인에서 제시하는 ‘비식별 조치’의 기준은 과연 합리적일까.
개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서
연구소는 가이드라인의 위 해당 문답을 해석하면 “이는 재식별 가능성이 현저하지 않은 것은 개인정보보호법을 준수하지 않아도 된다는 것”이라면서 “유럽연합에서 익명정보가 ‘더 이상 재식별 가능성이 없는 것’을 의미한다고 지적한다. 더불어, 일본의 개인정보보호법에서도 ‘익명가공정보’란 복구 불가능한 것이라고 정의하고 있는 것과 비교할 때 잘못”이며, “재식별 위험이 현저하지만 않다면 개인정보 주체는 그 위험을 감수하라”는 가이드라인이라고 비판한다.
이에 대해 행자부는 해당 문답의 표현 중 “현저히”는 ‘강조 수사’에 불과”하다며, “해당 문구에 큰 의미를 부여할 필요가 없다”고 답변했다. 가이드라인의 “전체 체계”가 중요하고, 해당 문구는 “강조 수식에 불과”하다는 입장이다. 참고로, 행자부는 인터뷰에서 가이드라인의 법적 성질을 묻는 질문에 “유권해석집”이라고 답했다
한편, 오픈넷은 “표현의 모호성 때문에 ‘가이드’의 역할도 제대로 하지 못할 것”이라고 말하면서 가이드라인이 ‘유권해석집’이라면, “구체적인 법 규정에 대한 해석이어야” 할 텐데, “비식별 조치라는 것은 기존 법에도 없는 새롭게 창조한 개념”이고, 이를 해석한다고 하니 “내용뿐만 아니라 법적인 근거나 성질도 모호할 수밖에 없다”고 비판했다.
가이드라인은 비식별 조치가 제대로 이뤄졌는지 평가하는 기준을 정한다. 이 적정성 평가 기준은 과연 타당한 것일까. 연구소는 ‘형식적이기 짝이 없다’고 비판하고, 행자부는 ‘다른 대안이 없다’고 말한다.
연구소는 가이드라인의 “적정성 평가 기준은 형식적이기 짝이 없다”면서 “K(익명성), L(다양성), T(근접성)의 세 가지 방법의 익명화 기술을 적용하라는 것”은 “겉으로는 복잡해 보이지만, 단순하기 그지 없다”고 지적한다. 그리고 무엇보다 이들 방법과 기준은 “재식별 가능성이 농후한 방법으로 지목받아 왔던 기술”이라고 비판한다.
이에 대해 행자부는 연구소의 비판은 “비판을 위한 비판”이라고 반박한다. “현재로썬 KLT 외에는 현실적인 대안이 없”고, “(오히려) 유럽에서는 K를 의무화하지 않았지만, 우리는 K를 의무화했다”면서 그만큼 개인정보 보호에 신경 쓰고 있다고 강조했다.
오픈넷은 해당 기술의 재식별 가능성도 중요한 이슈지만, “개인정보처리자 입장에서 특정 기술을 이용한 비식별 조치만을 취하면 개인정보가 아닌 것으로 추정되는 것인 양 오독할 여지가 큰 가이드라인 규정의 모호성이 가장 큰 문제”[8]라고 지적한다.
가이드라인은 분야별 전문기관을 두고, 이 전문기관이 비식별 조치의 적정성을 평가하게 한다. 그런데 이 적정성 평가 기관에 ‘한국신용정보원’과 같은 빅데이터 산업과 이해가 직결한 이익단체가 속해 있어 문제다. ‘고양이에게 어물전을 맡기는 꼴’이라는 비판이 나오는 이유다.
연구소는 이들 기관이 “공정성을 기대하기도 어렵고, 혼란만 야기할 것”이라면서 특히 분야별 전문기관 중에는 “특히 사업자들 모임인 한국신용정보원이 포함”돼 있고, 금융보안원, 사회보장정보원, 한국정보화진흥원 등은 “성과 위주의 조직”임을 지적한다.
특히, 한국신용정보원은 금융업계 모든 고객의 신용정보를 통합해서 관리하는 기관(세계 최초)으로 여기엔 이들은 빅데이터 활용에 가장 큰 이해관계를 가진 다음 ‘이익단체’들이 참여한다. 더불어 이들 협회 소속 기업에서 그동안 각종 개인정보 유출 사고가 연례행사처럼 이어져 왔던 건 주지의 사실이다.
빅데이터 산업에 직접적인 이해관계를 가진 ‘이익단체’가 적정성 평가를 한다?
이에 대해 행자부는 연구소 측에서 특히 문제 삼은 ‘한국신용정보원’은 “우리가 지정한 게 아니라 금융위원회가 지정한 것”이라면서, “분야별로 소관 부처에서 관련 기업을 지원할 수 있는 기관을 지정한 것”이라고 우회적으로 답변했다.
이 문제 관해 오픈넷은 “전문기관 자체가 법률에 근거가 없”고, “정보주체들로부터 개인정보의 처리 권한에 대한 동의를 받지 않”았으므로, “사업자 모임 여부와 상관없이 부적절하다”고 답했다.
가령, A라는 기업이 철수와 영희의 신용카드 구매 정보를 ‘비식별 처리’해서 B라는 기업에 팔았다고 가정해보자. 이때 비식별 처리가 제대로 이뤄졌다는 ‘입증’ 책임은 누가 질까? 철수와 영희일까? 아니면 A와 B라는 기업일까?
연구소는 가이드라인이 “비식별 조치가 적정하다는 평가를 받으면 해당 정보는 개인정보가 아닌 것으로 추정”된다고 규정하므로, 해당 정보를 어떤 개인이 “개인정보라고 주장하려면 개인정보 주체가 이를 입증해야 한다”고 해석한다.
이에 대해 행자부는 연구소 측 주장은 “근거 없는 주장”이라면서, “가이드라인에는 그런 내용이 없”으며, “당연히 비식별 조치를 한 측에서 (비식별 조치의 정당성과 적정성을) 입증해야 한다”고 말한다.
개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서
입증책임 논란에 대해 오픈넷은 법원에 까지 가는 사안이 생기면, 법률에 근거가 있는 것은 아니지만 “가이드라인이 ‘추정한다’고 하니 반증이 없는 한 개인정보가 아닌 것으로 판단”될 가능성이 높다고 연구소 측에선 해석한 것이고, 행자부 쪽에선 원칙적으로 법원이 가이드라인에 구속되지 않으니 “각자도생’해야 한다는 식으로 답변”한 것으로 보인다면서, “가이드라인에 법적 근거가 없는 이상 개인정보처리자인 기업들 역시 가이드라인에 따라 비식별조치된 정보를 섣불리 수집 목적 외로 이용하거나 제3자 제공에 나서지는 않을 것”이라는 게 현 시점에서 가이드라인의 위치라고 답했다.
‘비식별 처리’ 문제로 ‘분쟁’이 생겨 법원에 가는 일이 생기면, 기업과 일반 시민 중에서 누가 입증책임을 질까?
연구소 측에 행자부 답변 내용을 전하자, 연구소 측에선 “가이드라인이 입증책임과 관련 없다면, 가이드라인(의 해당 문구)은 존재할 필요가 없다”면서, “가이드라인의 논리 체계에 반하는 해석을 주무 공무원이 공식적으로 답하는 것은 아주 무책임하다”고 논평했다. 더불어 가이드라인에 참여한 행정부처들을 고려하면 현실적으로 “어떤 개인이 ‘재식별화가 제대로 되지 않았다고 신고했을 때, 경찰이 어떤 기준을 따르겠는가?”라고 반문하면서, “경찰 수사에 있어서 가이드라인은 실질적인 수사 기준이 될 것”이라고 전망했다.
생각건대, 행자부의 답변은 궤변이다. 연구소나 오픈넷의 지적처럼, 가이드라인를 준수한 기업조차 다시 재판에서 ‘입증책임’의 부담을 져야 한다면 가이드라인의 존재 근거가 없고, 기업은 가이드라인을 따를 이유도 없다. 반면에 그렇다고 입증책임을 개인에게 지운다면 이는 더 큰 문제다. 가이드라인의 딜레마인 셈이다.
가이드라인은 각각 비식별 조치를 한 개인에 관한 별개 정보집합물을 전문기관에서 개인별로 결합시켜 주겠다고 한다. 예를 들면, 비식별 조치를 한 통신사 고객정보와 비식별 조치를 한 신용카드사 고객의 신용카드 사용정보를 전문기관에 보내주면 각 개별로 결합시켜 결합정보를 제공하겠다는 것이다.
예를 들어 가이드라인은 00홈쇼핑의 고객정보와 xx카드사의 구매금액 상위 10% 고객의 구매 내역 정보를 결합하여 xx카드사의 구매금액 상위 10% 고객 중 00홈쇼핑 고객을 골라 내서 구매내역을 분석할 수 있다고 한다. 이것은 홈쇼핑과 카드사가 고객의 동의도 받지 않고, 카드 구매내역을 분석하도록 허용하는 것과 같은 결과를 초래한다.
특히 결합은 산부인과나 산후조리원, 초등학생이나 유아 등 민감한 정보에도 무방비다. 이런 식이면 산부인과나 산후조리원은 환자나 산모의 동의도 받지 않고 임신, 출산한 고객 중 월 500만 원 이상 신용카드를 이용한 고객의 구매내역을 분석할 수도 있고, 초등학생 대상 학원에서는 초등학생이나 부모의 동의를 받지 않고도 통신사로부터 초등학생의 이동경로를 분석할 수도 있게 된다. 당사자는 이런 정보 결합에 대해 알지도 못하고, 반대할 기회도 갖지 못한다. (연구소 발제문 참조)
연구소는 비식별 조치를 했지만, 개인을 결합할 수 있다는 것은 “비식별 조치를 한 정보가 익명정보가 아니라는 것을 반증”하는 것이라면서 “만약 개인을 식별할 수 없도록 익명정보로 만들었다면 익명정보가 누구의 정보인지를 알 수 없는 것이기 때문에 다른 정보와 결합하는 것은 불가능하다”하다고 지적한다.
결합지원 이슈에 대해 행자부는 “리스크를 최소화하면서 나름으로 안을 짰는데, 결과적으로 유럽과 유사”하게 됐다면서 “신뢰할 수 있는 제3기관을 통해서 지원”하는 것이라고 답했다.
오픈넷은 “법률적 근거가 없는 전문기관에 의한 결합지원 역시 개인정보 자기 결정권을 침해”할 수 있다고 지적했다.
비식별 조치된 정보의 ‘결합지원’ 문제 역시 가이드라인이 다루는 중요한 문제 중 하나다.
행자부는 가이드라인의 법정 성질을 (개인정보보호법에 관한) “유권해석집”이라고 말한다. 그런데 왜 법을 개정하지 않고, 가이드라인으로 만들었을까? 행자부는 “법 개정은 오히려 업계에서 하는 주장”이라면서, “일본법은 개정안이 통과돼서 내년부터 시행될 예정”이라며 “(일본은) 법에서 규정한 안전조치(비식별 조치)를 준수하면, 기업의 책임이 면제”되므로, 우리나라 “업계에서도 법 개정을 원한다”고 말한다.
하지만 연구소 측은 “법률 개정이 필요한 사항을 가이드라인으로 만드는 것은 입법권을 무시하는 처사”라면서 가이드라인은 “상당한 재식별 가능성이 있어도 이를 무시하고 개인정보보호법의 적용을 배제”하고 있으므로, “즉각 폐기해야” 한다고 주장한다.
말도 많고, 탈도 많은 가이드라인, 과연 누구를 위한 것일까?
기업의 선의를 믿는다면, 기업은 더 좋은 서비스를 위해 비식별화한 정보를 활용할 것이고, 이는 서비스를 향유하고 소비하는 이용자에게도 좋은 일이다. 그리고 기업이 자신의 이익을 극대화하기 위해 재식별화하려는 욕망을 표출할 수밖에 없다는 견해도 부정적인 선입견일 수 있다.
하지만 인간은 과거에 있었던 행위를 회고하고, 성찰함으로써 미래를 전망한다. 기업의 개인정보 유출 사고뿐만 아니라 기업의 개인정보 ‘매매 사건’(홈플러스 사건), 거기에 더해 이런 개인정보 관련 사건 사고를 처리하는 국가권력(검찰)과 이를 최종적으로 판단하는 법원의 개인정보에 관한 인권 감수성(홈플러스 무죄 선고)을 떠올리면 개인정보의 주체, 그러니 평범한 시민이 기업의 선의, 관리자이자 감시자로서의 국가, 공정한 심판관으로서의 법원을 손쉽게 믿어주기 어려운 것 역시 사실이다.
홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원. 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원. 그리고 법원에서는 무죄. 홈플러스 사건은 기업이 개인정보를 다루는 관점과 방식, 국가기관의 관리감독 능력, 그리고 공정한 심판자로서의 법원의 판단, 이 모두가 여전히 신뢰를 보내기에는 부족하다는 사실을 여실히 드러낸 사건이다.
여기서 하나 더 질문해보자. 가이드라인이 아니면 정말 기업이 빅데이터 산업 분야에 제대로 뛰어들 수 없는 걸까. 우리나라 개인정보 보호법제는 빅데이터 산업 육성에 방해 요소일까. 이미 개인정보보호법[9]은 “통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우” 동의 없이 새로운 목적으로 이용하거나 제3자에게 제공할 수 있다고 규정한다. 빅데이터는 바로 통계를 목적으로 삼고 있지 않나.
연구소는 “현재의 개인정보 보호법제는 빅데이터 활용에 장애 요소가 아니”라고 말하면서, 우리나라 공공 부문에서 발주하는 사업을 분석해 보더라도 공공 부문 빅데이터 활성화를 위해서는 “개인정보를 익명화하여 처리하거나 동의받는 것을 기초로 하더라도 충분하며, 비식별정보 동의 면제가 있어야만 빅데이터를 활용할 수 있다는 근거를 찾기 어렵다”고 주장한다.[10]
빅데이터와 개인정보의 문제는 기본적으로 정보 처리 주체와 관리감독 기관에 대한 신뢰의 문제다. (출처: Julien Belli, CC BY)
그렇다면 가이드라인을 둘러싼 이 온갖 논란에 관한 해법은 무엇일까. 명확한 현실 인식은 그 해법을 마련하는 초석이다. 오픈넷의 답변으로 결론을 대신한다.
가이드라인 제정이 지나치게 급한 호흡으로 이루어졌다. 특히 시민사회의 의견 수렴이 매우 형식적으로 이루어졌다. 즉 가이드라인은 빅데이터 산업 진흥이라는 버즈워드(buzz word)에 천착한 것이라고 본다. 그리고 가이드라인 상 비식별 조치에 의한 “동의” 면제 시도는 개인정보 자기 결정권을 무력화할 우려가 크다.
정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 “동의” 제도는 개인정보 자기결정권을 실질적으로 구현하는 방법으로 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있기 때문이다. 가이드라인의 뼈대라 할 수 있는 “비식별조치에 의한 동의 면제”는 개인정보 자기결정권의 핵심을 이루는 “동의” 제도를 무력화하는 것으로 이는 법률 개정으로 다루어야 할 문제이다.
특히 가이드라인에 따른 비식별 조치를 거쳤다고 하더라도 개인정보 재식별 위험성은 주민등록번호 제도 및 인터넷 상 본인확인을 강요하는 수많은 법률에 의해 그 어느 나라보다도 크다. 특히 본인확인기관으로 지정된 이동통신사는 식별 가능성이 가장 크다.
오히려 사물인터넷과 빅데이터 시대에 동의에 기반한 개인정보보호가 불충분하다. 어떻게 개인정보 자기 결정권을 보장할 수 있을 것인가에 대한 발전적 논의가 필요한 시점이라고 할 수 있다. 더불어 법적 근거 없는 전문기관의 운영은 매우 위험한 발상이며 개인정보보호위원회의 개인정보보호 콘트롤 타워로서의 기능 확립 필요하다.
우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면, 주민등록번호가 모든 자물쇠를 여는 ‘만능열쇠’ 역할을 할 수 있기 때문이다.
——————————————-
[1] 이은우, 마케팅 활용 목적 빅데이터 활용과 판매: 개인정보 플랫폼 기업의 탐욕과 비식별화 조치 가이드라인 (빅데이터 시대 개인정보 보호를 위한 정책토론회, 2016. 9. 7. 국회의원회관 제9간단회의실) 별도 인터뷰 인용이 아닌 문단에는 문단이 끝나는 위치에 괄호( )로 해당 발제문의 페이지 수를 표시했음.
[2] 다만, 빅데이터는 통상적으로 사용되는 데이터 수집, 관리 및 처리 소프트웨어의 수용 한계를 넘어서는 크기의 정보라고 정의되며, 데이터의 양(volume), 데이터 입출력 속도(velocity), 데이터 종류의 다양성(variety)데이터의 양(volume), 입출력 속도(velocity), 종류의 다양성(variety)이라는 세 개의 차원에서 분석할 수 있다(가트너 보고서). 이를 빅데이터의 3V라고 하는데, 3V가 커질수록 그 데이터의 산업적 가치는 높아지지만, 이에 비례하여 개인정보의 유출 위험성이나 개인정보 자기결정권이 침해될 가능성도 커진다.
[3] 현 가이드라인이 기존에 행자부, 미래부, 방통위에 존재했던 개별안들이 ‘비식별’ 기술를 소개하고, 안내하는 수준이었다면, 검증절차와 보호조치에 관한 내용을 보완하면서 기존 개별안들을 통합한 것이다.
[4] 개인이 더는 식별될 가능성이 없다면(“no longer possible”) 개인정보로 보지 않는다고 규정한다.
[5] 그러면서 미국은 ‘개인정보’라는 개념 대신 ‘개인식별가능정보’(personally identifiable information)라는 개념이 법령에 정의되어 제한적인 보호 대상이 되고 있다고 더불어 언급하는데, 미국은 우리나라의 개인정보보호법제와 다르기 때문에 미국에서 개인정보호보규범이 적용되지 않는 범위를 규정한 비식별화(‘de-identification’) 규정이나, 그에 따른 비식별화(‘de-identification’) 가이드라인을 법제가 다른 우리나라 개인정보보호법에서는 그대로 적용할 수 없는 규정이라고 설명한다.
[6] 참고로, 현행 개보법에는 ‘비식별 조치’라는 용어나 표현은 없다. 다만 법(제18조 제2항 제4호)에서는 개인정보처리자 동의 없이 수집 목적 외로 이용하거나 제3자 제공이 가능한 예외로 “통계작성이나 학술연구 등의 목적으로 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 수 있다.” 고 규정하는데, 이 규정에서 개인정보를 “특정 개인을 알아볼 수 없는 형태”로 변환하면 제한적 목적(통계작성이나 학술연구 등)이긴 하나 동의 없는 이용이나 제공이 가능하므로 이를 ‘비식별 조치’ 혹은 ‘익명화’를 간접적으로 언급한 규정이라고 할 수 있다.
[7] 가이드라인이 창설한 비식별화(비식별 조치) 개념은 재식별화하여 개인정보로 인정될 위험성이 상존해 있는 상태를 의미하며, 만약 비식별화를 거쳐 동의 없이 이용, 제공한 경우 식별 여부에 대한 사법적 판단에 따라 특정 시점에서는 개인정보보호법을 위반할 우려가 있는 법적으로 매우 불안정한 상태를 의미한다.(오픈넷)
[8] 물론 가이드라인에서는 특정 기술조치 여부뿐 아니라 종합적 관점에서 판단한다고 이야기하고 있긴 하다.
[9] 제18조 제2항 제4호
[10] 유럽연합은 우리 법제보다 빅데이트 활용과 관련하여 프로파일링에 대한 규율을 신설, 보완하고, 동의에 대한 규정, 투명성에 대한 규정 등과 관련하여 개인정보주체의 권리를 강화하는 방향으로 법률을 개정하고 있다. 그런데 유럽에서 개인정보보호법제 때문에 빅데이터 활용에 제약이 있다는 움직임을 보이지는 않는다. 기업이 재식별화할 의사가 없더라도 재식별화할 가능성이 있다는 것이 문제고, 비식별화한 정보가 다른 업체에 매매됐을 때 다른 정보와 결합해서 손쉽게 재식별화된다는 것이 문제다. 이는 MIT 미디어랩의 연구를 통해서도 실증됐다. 가령 카드사의 구매 정보를 비식별화해서 이 정보를 이통사(이동정보)에 넘겼다면, 두 가지 정보가 결합되면 누가 어디서 어떤 물건을 구매했는지 알게 된다. 재식별화 의지가 없다라도 자동적으로 재식별화된다. 재식별화하면 훨씬 더 가치 있는 정보가 되는데 기업에서 안 할 이유가 있겠나. 더불어 재식별화 의지가 없더라도 해당 정보가 유출되어 악용될 가능성이 상존하니 그것도 문제다. (연구소)
* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.10.06.)
더불어민주당 박홍근 국회의원(미래창조과학방송통신위원회)과 이재정 국회의원(안전행정위원회)은 오는 10월 26일(수), 통신자료 제공의 오남용을 막기 위한 입법공청회를 시민단체와 공동으로 개최합니다(국회의원회관 제3간담회실).
집회 채증 사진의 증거능력을 엄격하게 판단한 법원 판결이 나왔다. 9월 29일 서울중앙지법 형사24단독 노서영 판사는 “채증사진 파일은 원촬영자가 누구인지 불분명하고 최소한의 신뢰성 확보장치도 미흡하여 증거능력을 인정할 수 없고, 이를 그대로 출력한 채증사진의 증거능력도 마찬가지”라며 피고인 김랑희씨에게 무죄를 선고했다. 우리는 집회 채증 사진의 증거능력을 엄격하게 판단한 이번 판결을 환영한다.
최근 이른바 한국NFC 사태로 본인확인기관 제도에 대한 논란이 뜨겁습니다. 이 문제의 핵심은 정보통신망법의 본인확인기관 제도에 있습니다. 자세히 들여다보면 본인확인기관이 주민등록번호 대체수단을 개발하라는 도입취지와 달리 국가후견주의적 사업으로 기능하는 것이 아닌지에 대한 근본적인 질문을 마주하게 됩니다.
정보통신망법상 본인확인기관은 예외적으로 주민등록번호 수집 권한이 있고 또한 본인확인을 요구하는 수많은 법령들이 본인확인기관이 제공하는 본인확인 서비스를 이용하도록 하고 있어 시장에서 이동통신사들이 제공하는 SMS 방식의 본인확인 서비스는 이미 독점적인 지위를 유지하고 있습니다. 최명길 의원실이 방송통신위원회로부터 제공받은 자료에 따르면 이동통신 3사는 작년 한 해에만 본인인증 서비스에서 258억 원 정도의 수익을 올린 것으로 보도되기도 했습니다.
본인확인기관의 개인정보보호 미비 논란, SMS 방식의 보안 취약성 논란 등은 차치하더라도, 2016년 현재 과연 국가가 계속 본인확인기관을 지정할 필요가 있을까요? 사업자들이 영위하는 사업 특성에 맞게 적당한 기술과 방법을 통해 본인확인을 하고, 그 미비점은 사후에 규율하는 것이 타당한 규제 방법이 아닐까요?
이번 오픈넷 포럼에서는 이와 같은 문제의식에서 본인확인기관 제도에 대한 바람직한 규제 개선 방향을 모색하기 위해 다양한 의견을 청취하려고 합니다. 관심 있는 많은 분들의 참여를 바랍니다. 참가신청은 오픈넷 홈페이지(http://opennet.or.kr/1298
주최: 사단법인 오픈넷
일시: 2016. 11. 2.(수) 저녁 7:30 – 9:30
장소: 메디아티 회의실 (서울시 중구 장충단로8길 11, 1층 (대아빌딩))
- 오시는 길: 지도보기 (지하철 2, 5호선 동대문역사문화공원역/ 3호선 동대입구역에서 걸어서 5분)
패널:
심우민 국회입법조사처 입법조사관
박경신 오픈넷 이사
황승익 한국NFC 대표이사
문의: 오픈넷 사무국 02-581-1643, master@
최근 이른바 한국NFC 사태로 본인확인기관 제도에 대한 논란이 뜨겁습니다. 이 문제의 핵심은 정보통신망법의 본인확인기관 제도에 있습니다. 자세히 들여다보면 본인확인기관이 주민등록번호 대체수단을 개발하라는 도입취지와 달리 국가후견주의적 사업으로 기능하는 것이 아닌지에 대한 근본적인 질문을 마주하게 됩니다.
정보통신망법상 본인확인기관은 예외적으로 주민등록번호 수집 권한이 있고 또한 본인확인을 요구하는 수많은 법령들이 본인확인기관이 제공하는 본인확인 서비스를 이용하도록 하고 있어 시장에서 이동통신사들이 제공하는 SMS 방식의 본인확인 서비스는 이미 독점적인 지위를 유지하고 있습니다. 최명길 의원실이 방송통신위원회로부터 제공받은 자료에 따르면 이동통신 3사는 작년 한 해에만 본인인증 서비스에서 258억 원 정도의 수익을 올린 것으로 보도되기도 했습니다.
본인확인기관의 개인정보보호 미비 논란, SMS 방식의 보안 취약성 논란 등은 차치하더라도, 2016년 현재 과연 국가가 계속 본인확인기관을 지정할 필요가 있을까요? 사업자들이 영위하는 사업 특성에 맞게 적당한 기술과 방법을 통해 본인확인을 하고, 그 미비점은 사후에 규율하는 것이 타당한 규제 방법이 아닐까요?
이번 오픈넷 포럼에서는 이와 같은 문제의식에서 본인확인기관 제도에 대한 바람직한 규제 개선 방향을 모색하기 위해 다양한 의견을 청취하려고 합니다. 관심 있는 많은 분들의 참여를 바랍니다.
* 원활한 행사 진행을 위해 미리 참가신청을 해주시기 바랍니다.
* 참가하신 분들께는 샌드위치가 제공됩니다.
* 대중교통을 이용해주시기 바랍니다. 주차는 인근 공영주차장을 이용하시기 바라며, 주차비는 지원되지 않습니다.
주최: 사단법인 오픈넷
일시: 2016. 11. 2.(수) 저녁 7:30 – 9:30
장소: 메디아티 회의실 (서울시 중구 장충단로8길 11, 1층 (대아빌딩))
- 오시는 길: 지도보기 (지하철 2, 5호선 동대문역사문화공원역/ 3호선 동대입구역에서 걸어서 5분)
패널:
심우민 국회입법조사처 입법조사관
박경신 오픈넷 이사
황승익 한국NFC 대표이사
문의: 오픈넷 사무국 02-581-1643, [email protected]
지난 11월 9일 열린 국회 미래창조과학방송통신위원회 전체회의에 국민의당 황주홍 의원이 발의한 정보통신망 이용촉진 및 정보보호에 관한 법률(“정보통신망법”) 일부개정법률안이 상정되었다. 동 개정안은 개인정보보호관리체계(PIMS, Personal Information Management System) 인증 제도의 활성화를 위해 일정 규모 이상의 정보통신서비스 제공자에게 PIMS 인증의 획득을 강제하는 것을 주요 내용으로 하고 있다. 사단법인 오픈넷은 정부의 “강제적 공인 인증”의 남발은 개인정보 유출 사고의 해결책이 될 수 없음은 물론 기업들이 다양한 개인정보보호 시스템을 개발할 동기를 박탈하고 스타트업들에게 진입장벽을 만들기 때문에 반대한다.
현재 자율적으로 운영되고 있는 PIMS 인증제도는 “공공기관 및 민간기업 등 조직이 수립하여 운영하고 있는 개인정보보호 관리체계가 인증기준에 적합한지 여부를 인증기관이 평가하여 인증을 부여하는 제도”이다. 2010년 방송통신위원회 의결로 시행되었으며, 2012년 정보통신망법 개정으로 법적 근거를 마련하였다. 이와 별개로 2011년 개인정보보호법의 제정과 함께 도입되어 2013년부터 시행된 개인정보보호(PIPL, Personal Information Protection Level) 인증 제도가 있었다. 그러나 방통위 주관 PIMS 인증과 행정자치부 주관 PIPL 인증이 유사할 뿐만 아니라 중복적인 내용이 많아 2014년 규제개혁위원회의 “범부처 인증제도 개선방안”의 일환으로 PIMS 인증으로 제도가 통합되었다.
2016년 11월까지 유지되고 있는 PIMS 인증서는 총 66건인데, 2014년 6건, 2015년 14건, 2016년 29건으로 발급 건수가 매년 200% 이상 큰 폭으로 늘고 있다. 중복적 제도의 통합 운영과 인증기관인 한국인터넷진흥원(KISA)의 홍보 노력 등이 성과를 나타내고 있는 것이다. 이러한 상황에서 굳이 의무화를 하기보다는 활성화 추세를 지켜보고 인센티브 부여 등으로 자율 규제를 촉진하는 것이 훨씬 효과적일 것이다. 이 편이 자율적인 개인정보 보호 활동의 촉진 및 지원을 인증제도의 목적으로 하고 있는 개인정보보호법의 취지에도 부합한다.
그리고 오픈넷은 얼마 전 정보보호관리체계(ISMS, Information Security Management System) 인증 의무화 확대에 대해서도 반대 입장을 밝힌 바 있다. 반대 논거들은 PIMS 인증 의무화에 대해서도 거의 동일하게 적용된다. 게다가 ISMS 인증과 PIMS 인증은 심사체계나 인증기관이 거의 동일하며, 인증기준도 중복되는 부분이 많아 혼란만 가중시키고 있다. 그런데 PIMS 인증까지 의무화한다면 중복 규제로 실질적인 보안 강화 효과는 없으면서 적용 대상 사업자들에게는 추가적인 부담을 지우게 되며 스타트업들에게는 이중의 진입장벽이 될 뿐이다.
정부 주도 인증 내지 관치보안의 가장 큰 문제점은 정부로부터 “공인”된 해당 인증만 받으면 최선의 조치를 다한 것으로 간주되어 시장 변화나 기술 발전에 훨씬 민감한 민간 영역의 기술 개발이나 인증 제도의 활성화를 막고 결국 그 피해가 이용자들에게 고스란히 돌아간다는 점이다. 공인 인증의 남발은 지양되어야 한다.
2016년 11월 24일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
[관련 글]
사단법인 오픈넷은 12월 22일 정부가 국회에 제출한 전기통신사업법 일부개정법률안에 대해 반대의견서를 제출했습니다.
본 법안은 1) 모든 부가통신사업자에게 부당하게 과도한 유통 방지 의무 및 관리책임을 지워 국내 인터넷 산업의 발전을 저해하고 인터넷 이용자들의 권리를 침해하며, 2) 청소년의 스마트폰에 청소년의 사생활 비밀과 자유 및 개인정보자기결정권을 침해하는 불법유해정보 차단수단 설치 강제를 유지하는 내용을 담고 있습니다.
오픈넷은 이미 지난 7월 방송통신위원회의 입법예고안에 대한 의견서를 제출하고 본 법안의 문제점을 지적한 바 있으나, 최종제출안에 전혀 반영되지 않았습니다. 제20대 국회 미래창조과학방송통신위원회는 본 법안을 심사함에 있어 시민사회의 의견 및 각계 각층의 의견을 잘 수렴하여 현명한 판단을 내려야 할 것입니다.
161222_사오픈넷 전기통신사업법 일부개정안 입법예고 의견서
첨부1. 시티즌랩 연구진, 한국의 청소년 유해정보 차단 앱에서 중요한 보안 및 프라이버시 문제점 발견
첨부2. 여전히 위험에 처해있는 아이들-시티즌랩의 스마트보안관
첨부3. 한국법제연구원 외국법제동향
2016. 12.
1. 개정이유 및 내용
○ 모든 부가통신사업자들이 자신이 관리하는 정보통신망에 음란물이 유통되는 사정을 명백히 인식한 경우에는 지체없이 해당 정보를 삭제 또는 그 유통을 차단할 의무를 부과하고 미이행시 시정명령 및 과태료를 부과할 수 있도록 함(안 제22조의5, 제92조제1항제1호, 제104조제3항제1호의2 신설).
○ 본 규정 신설 이유에 대하여 방송통신위원회는 보도자료를 통해 ‘최근 인터넷 방송, 채팅앱 등에서 불법정보가 유통되는 것을 방지하기 위해 이를 방치하고 있는 부가통신사업자에게 해당 불법정보에 대한 유통 방지 의무를 부과하여 사업자의 관리책임을 제고’하기 위함이라 밝힌 바 있음.
2. 반대의견
가. 서
○ 위 개정안은 부가통신사업자들에게 부당하게 과도한 유통 방지 의무 및 관리책임을 부과하여 국내 인터넷 산업의 발전을 저해하고 결과적으로 인터넷 이용자들의 권익을 침해하는 결과를 가져오는 것으로서 재고되어야 함.
나. 정보매개자에 대한 일반적 감시의무 부과
○ ‘명백히 인식한 경우’의 의미가 불명확하여 사업자들이 의무 위반을 피하기 위해서는 모든 게시물을 모니터링할 수밖에 없음. 이로 인하여 본 조는 정보매개자들이 이용자들이 유통하는 정보의 불법성을 사적으로 검열하도록 하는 ‘일반적 감시의무’ 부과 조항으로 기능하게 될 것임.
○ 정보의 생산자가 아닌 유통만을 매개하는 자, 즉 정보매개자(intermediary)에 대한 일반적 감시의무 부과는 사업자에게 과도한 부담을 지움으로써 자유로운 인터넷 이용 환경과 문화를 저해하여 이용자들의 표현의 자유를 위축시킨다는 이유로 국제적으로 금지되고 있음. 한-EU FTA의 기반이 된 EU 전자상거래지침(Directive 2000/31/EC)은 모든 불법정보(저작권침해정보, 음란정보, 아동포르노물)에 대한 일반적 감시의무를 금지하고 있음. ‘정보매개자책임에 관한 마닐라 원칙’도 정보매개자에게 적극적 모니터링 의무를 부과해서는 안 된다고 명시하고 있음.
○ 아동·청소년의 성보호에 관한 법률 제17조, 저작권법 제104조, 전기통신사업법 제22조의3과 같이 일반적 감시의무를 부과하는 기존의 규제들은 ‘기술적 조치’만을 요구하여 ‘기술적 조치’를 했거나 ‘기술적 조치’가 존재하지 않는 경우에는 사업자가 책임을 부담하지 않으나 동 조항상 의무는 “명백히 인식한 경우”라는 주관적이고 추상적인 기준을 사용해 너무 광범위하고 침익적임.
<기존 규제와의 비교>
다. 인터넷 이용자들의 표현의 자유, 알 권리, 통신비밀의 침해
○ ‘음란물’ 개념의 불명확성으로 인하여, 사업자들은 청소년에게만 금지되는 ‘선정성 정보’ 혹은 ‘성인 정보’마저 모두 일률적으로 삭제, 차단하는 과잉 검열을 하게 될 것임. 이로써 정당한 성인의 알 권리 및 표현의 자유가 침해될 가능성이 높음.
○ 또한 채팅앱 서비스의 경우 불법정보가 유통되는지를 확인하기 위해서는 사업자가 이용자들의 사적 통신을 들여다보게 하므로 이용자의 통신 비밀의 자유 침해 문제도 발생함.
라. 부가통신사업자 및 국내 사업자의 평등권 침해
○ ISP, 이동통신사업자 등 망사업자들에게는 적용하지 않으면서 인터넷 기업, 온라인서비스제공자가 해당되는 부가통신사업자에게만 유통 방지 의무를 부과하고 위반시 시정명령 및 과태료 부과 등의 행정적 제재를 가하는 것은 근거없는 차별로써 평등권 위반의 소지가 있고, 국내에서 부가통신사업을 신고한 자들에게만 적용되기 때문에 국내 사업자들을 역차별하는 결과를 낳을 수 있음. 이로써 이용자들도 사업자가 게시물을 상시적으로 모니터링하는 국내 서비스보다 자유롭고 통신비밀이 보장되는 해외 서비스를 선호하여 국내 인터넷 산업의 쇠퇴를 가져올 위험이 있음.
○ 특히 본 조의 규제 대상인 불특정 다수의 이용자들이 자유로이 ‘실시간’ 으로 정보를 유통시키는 형식의 플랫폼 서비스(인터넷 개인방송, 채팅앱, SNS 등)의 경우 실시간 모니터링 역량에 따라 책임의 범위가 달라지는 불합리한 결과가 나타날 수 있음. 이에 따라 사업자는 오히려 모니터링을 회피하는 역효과가 나타날 수도 있음.
3. 결론
○ 음란방송 등 불법행위를 한 이용자들을 형법을 비롯한 현행법으로 처벌하여 사전적 예방을 할 수 있고, 또한 방송통신심의위원회의 시정요구 제도, 방송통신위원회의 제재명령 제도, 청소년 유해정보 표시 및 성인인증을 통한 청소년접근제한 조치 등 기존의 제도를 통해 입법목적은 이미 충분히 달성되고 있음.
○ 또한 현행법과 판례에 따르더라도 부가통신사업자 역시 일정 요건 하에서 음란물 및 기타 불법정보 유통에 따른 책임을 부담하고 있음.
○ 본 조를 신설하는 것은 결국 불필요하게 정보매개자에 대하여 국제적 흐름에 반하는 일반적 감시의무를 부과하고 과도한 관리책임을 지움으로서 국내 인터넷 산업의 발전을 저해하며 결과적으로 이용자들의 권익을 침해하는 결과를 가져오기 때문에 이상과 같이 반대함.
1. 개정이유 및 내용
○ 청소년의 사생활의 비밀과 자유 및 부모의 교육권 침해를 최소화하기 위하여 법정대리인이 신청하는 경우에는 불법유해정보 차단수단을 설치하지 않을 수 있도록 선택권을 부여하는 예외 규정을 신설(안 제32조의7제1항 단서 신설)
2. 반대의견
가. 서
○ 부모의 교육권 침해를 최소화하기 위해 선택권을 부여하는 예외 규정의 신설은 바람직함.
○ 그러나 시행령에서 이통사의 차단수단 ‘설치여부 확인’ 및 법정대리인에 대한 ‘통지’ 의무를 규정하고 있어 청소년의 사생활의 비밀과 자유 및 개인정보자기결정권 침해가 심각함. 또한 가장 널리 사용되는 차단수단인 “스마트보안관” 앱이 심각한 보안문제가 있는 것으로 밝혀진 것처럼, 현존하는 차단수단의 안전성을 확보할 방안이 부재함.
나. 청소년의 사생활의 비밀과 자유 침해
○ 시행령에 의하면 이통사는 차단 앱이 삭제되거나 15일 이상 작동하지 않는 경우 법정대리인(주로 부모)에게 그 사실을 통지하도록 되어 있음. 결국 이통사는 차단 앱 작동 여부를 확인하기 위해 청소년의 스마트폰을 상시 감시해야 하며, 이 과정에서 청소년의 사생활의 비밀과 자유가 침해됨.
○ 또한 대부분의 차단수단은 자녀용과 부모용으로 나뉘어 있으며 부모용을 통해 청소년의 스마트폰 사용 내역 등을 감시할 수 있게 하고 있음. 이러한 정보는 부모뿐만 아니라 사업자도 접근할 가능성이 있어 스마트폰 사용과 관련한 청소년의 프라이버시를 심각하게 침해함.
다. 개인정보자기결정권 침해
○ 법 시행령 규제영향분석서의 차단수단 제공 흐름도는 아래와 같이 되어 있음.
○ 위 흐름도에 따르면 차단수단 개발사가 차단수단 삭제 여부를 파악해서 문자 등으로 고지를 하게 되어 있음. 이 과정에서 개발사는 청소년과 법정대리인의 개인정보를 수집·보관해야 하며 결과적으로 개인정보가 과도하게 집적 및 유통될 위험이 있음.
라. 안전한 차단수단의 부재
○ 현재 시장에서 제공되고 있는 차단수단, 즉 스마트폰 애플리케이션 중 보안감사를 거쳐 안전함이 확인된 차단 앱이 전무한 상태이며, 특히 방통위가 개발 및 홍보예산을 지원하고 한국무선인터넷산업연합회 (MOIBA)에서 개발해 2012년부터 보급해오고 있었던 “스마트보안관”은 보안이 매우 취약한 것으로 밝혀짐.
○ 2015년 캐나다 토론토대학교 산하 시티즌랩 연구소는 스마트보안관에 대한 보안 감사 보고서를 2차에 걸쳐 발표함.
- 2015년 9월 20일 발표된 1차 보고서에 의하면 스마트보안관에 대한 보안 감사를 통해 26건의 보안 취약점들이 발견됨(첨부 1. 참조). 이에 시티즌랩은 즉시 스마트보안관서비스를 중단할 것을 권고함. 또한 이러한 보안 취약점들은 개인정보보호법 및 정보통신망법상 요구되는 개인정보보호조치 위반일 뿐만 아니라, 스마트보안관의 약관과 개인정보 보호정책에서 주장하는 보안 수준에도 미치지 못해 계약상의 의무의 위반임이 밝혀짐.
- 보고서 발표 직후 방통위는 보도자료를 통해 취약점을 수정하기 위한 조치가 취해졌으며 “앞으로도 필요시 보안취약점을 지속적으로 개선”해 나가겠다고 대응한 바 있음.
- 그러나 11월 1일 공개된 2차 보고서에 의하면 스마트보안관의 취약점은 제대로 수정되지 않았거나 그대로 남아 있어 청소년들을 여전히 위험에 노출시키고 있는 것으로 드러남(첨부 2. 참조).
마. 일본 법제와의 비교
○ 본 규정은 일본의 「청소년이 안전하게 안심하고 인터넷을 이용할 수 있는 환경의 정비 등에 관한 법률」제17조와 유사함.
○ 일본에는 그동안 인터넷상 청소년유해매체물 규제가 없었고, 동 법에서 예정하고 있는 수단은 차단 앱의 설치가 아닌 네트워크 필터링 서비스의 제공임. 그런데 우리나라는 강력한 청소년유해매체물 규제가 존재하고 사업자들은 이미 네트워크 필터링을 의무적으로 하고 있음.
○ 또한 일본법은 청소년의 주체성을 인정하고 인터넷 리터러시의 습득과 청소년 보호간의 균형 및 민간에 의한 자율적 대응을 기본이념으로 하나, 우리 법은 이러한 고려가 없이 사업자를 통해 일방적으로 국가후견적인 제도를 강제하여 우리나라 기존 청소년보호정책 전반의 문제점을 그대로 답습하고 있음.
○ 일본에서도 법 도입 당시 알 권리 및 표현의 자유를 침해하며 기존 필터링 서비스가 존재한다는 비판이 있었음(첨부 3. 참조). 우리나라법은 이에 더해 감시 앱의 설치를 강제함으로써 청소년의 사생활의 비밀과 자유 및 개인정보자기결정권까지 침해함.
3. 결론
○ 청소년들을 유해매체물로부터 보호해야 한다는 필요성에 대해서는 논란의 여지가 없으나, 국가가 취약한 집단에게 특정의 보호조치를 강제하고자 할 때에는 보호조치가 진정으로 필요한 것인지 그리고 안전한지에 대한 철저한 검증이 선행되어야 함.
○ ‘스마트보안관’ 사례와 같이 개인의 통신기기에 대해 감시 소프트웨어를 설치하도록 국가가 법으로 강제하는 것은 프라이버시 침해와 함께 심각한 보안상의 위험을 발생시킴.
○ 현 제도는 알 권리 및 표현의 자유 침해뿐만 아니라, 청소년의 사생활의 비밀과 자유 및 개인정보자기결정권을 심각하게 침해함. 또한 현존하는 차단수단의 안전성을 확보할 방안을 전혀 마련되어 있지 않음.
○ 위와 같은 문제점에 대한 보완이 선행되지 않는 이상 동 조항은 폐지되어야 함.
[관련글]
문의: 오픈넷 사무국 02-581-1643, master@openne
- 개인영상정보보호법의 핵심은 “통합관제센터”의 법적 근거 마련
- 통제 없는 전방위적 “통합관제”로 CCTV 감시국가로 가겠다는 것
- 설치 전후 이해당사자 의견수렴, 내부자 통제, 녹음 정보 관리 등 통합관제센터에 대한 독립적 감시, 통제수단 전무 및 영장주의, 통신비밀보호법 우회 우려
- 개인정보보호위원회의 역할 전무 – 제정안과 무관하게 개인정보보호위원회의 통합관제센터 설치 및 운영에 대한 강력한 통제 필요
2016년 12월 29일 오픈넷은 행정자치부가 마련하여 현재 입법예고 중인 개인영상정보보호법 제정안(이하 ”제정안”)에 대하여 아래와 같이 반대의견을 제시한다.
현재 제정안은 제정이유를 “모든 영상정보처리기기로부터 국민의 권리와 이익을 보장”하는 것으로 설명하고 있고 행정차치부가 이 부분만을 강조하고 있어 일반 시민들은 제정안이 “드론”이나 “블랙박스”등 이동형 영상정보처리기기로부터 개인정보자기결정권 보호를 강화하는 법안으로 오해하기 쉽다.
그러나 제정안의 핵심은 현재 개인정보보호법 위반 논란이 끊이지 않는 “통합관제센터” 설치 및 운영에 구체적인 법적 근거를 마련하기 위한 것임에도 이에 대한 논의가 전혀 이루어지지 않고 있다는 데에 문제의 심각성이 있다.
지난 2016년 12월 21일(수) 행정자치부가 주관한 입법 공청회에서 오픈넷은 제정안의 통합관제센터 부분은 CCTV를 이용한 전방위적 감시체제를 합법화시킬 우려가 크다는 의견을 피력한 바 있으며, 같은 취지로 입법예고에 대한 의견서를 제출할 예정이다.
제정안은 개인정보보호법에 없는 개인(영상)정보의 “통합관제”라는 개념을 창설하면서 다른 목적으로 수집되는 영상정보를 수집된 목적 외로 활용하는 행위에 법적인 근거를 부여하고 있다. 이는 정의조항 그 자체로 개인정보보호원칙 중 “목적구속성”원칙을 심각하게 훼손할 우려가 크며, 제정안의 허술한 내부 통제 규정과 맞물려 수사기관 등에 의한 CCTV 감시를 묵인하는 수단으로 악용될 소지가 매우 크다.
“영상정보 통합관제”란 다수의 개인영상정보처리자가 설치ㆍ운영하거나 서로 다른 목적으로 설치ㆍ운영하는 영상정보처리기기를 통하여 수집되는 영상정보를 통합하여 관리ㆍ통제하는 것(이하 “통합관제”라 한다)을 말한다.
현재 조례에 의해 지방자치단체가 설치, 운영 중인 통합관제센터는 상당수 경찰과 민간단체가 법적 근거 없이 상시 관제하고 있어 개인정보보호법 위반 논란이 끊이지 않고 있다. (참고: 어디서든 긴장해라, CCTV가 지켜보니까, http://www.bloter.net/a
또한 이 “통합관제”의 범위에 설사 일시적으로만 가능한 형태라 하더라도 수사기관 등에 CCTV를 이용한 개인영상정보를 실시간 제공하는 행위가 포함되거나 이 같은 내용이 지방자치단체의 운영계획에 명시적으로 포함된다면 경찰관의 상주 없이도 수사기관 등에 의한 상시적 원격 감시로 악용될 우려가 크다.
제정안 제10조(개인영상정보의 수집・이용 및 제공) ① 개인영상정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인영상정보를 수집ㆍ이용할 수 있으며 영상정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 그 수집ㆍ이용 목적을 달성하기 위해 불가피한 경우에 한하여 개인영상정보를 제3자에게 제공할 수 있다.
더욱이 제정안 제10조 제1항에 따르면, 영상정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 그 수집 이용 목적을 달성하기 위해 불가피한 경우에 개인정보를 제3자에게 제공할 수 있어 개인(영상)정보의 제3자 제공의 요건을 개인정보보호법보다 완화하고 있어 통합관제센터에서 수집된 CCTV 영상이 별다른 통제 없이 수사기관에 실시간 또는 사후 제공될 이루어질 가능성이 매우 높다.
(1) 개인정보보호법이 정보주체의 사전 동의 없이 CCTV에 의한 개인정보를 수집할 수 있는 가장 큰 근거는 대부분 공고로 대체되고 있긴 하나 CCTV 설치 전에 설치 지역 주민들에게 의견을 수렴하는 절차를 두고 있기 때문이다(개인정보보호법 제25조 제3항). 통합관제센터 설치는 개별관제시설설치보다 더 기본권 침해 가능성이 높음에도 제정안에는 통합관제센터 설치에 대한 사전 의견수렴이나 운영에 대한 사후 청문절차가 전무하다.
개인정보보호법 제25조 ③ 제1항 각 호에 따라 영상정보처리기기를 설치·운영하려는 공공기관의 장과 제2항 단서에 따라 영상정보처리기기를 설치·운영하려는 자는 공청회·설명회의 개최 등 대통령령으로 정하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.
통합관제센터를 설치하기 위해서는 행정자치부장관에게 운영계획을 “신고” 후 (제정안 제17조 제2항), 지방자치단체 스스로 의뢰하여 수행되는 “개인영상정보 영향평가”만 거치면 되기 때문이다(제정안 제18조 제1항). 통합관제센터에 의한 개인정보자기결정권 침해 우려는 CCTV의 개별관제보다 더욱 큰데도 통합관제센터 설치와 운영에 개인정보주체의 의사는 철저하게 배제되어 있는 것이며, 개인정보보호위원회 역시 어떠한 역할도 수행하지 못한다.
(2) 제정안은 통합관제센터 운영 통제 조항에 대한 원칙을 전혀 정한 바 없이 모두 행정자치부 고시로 정하도록 하고 있어(제정안 제17조 제5항) 의회유보원칙 위반 소지가 크며, 통합관제센터 운영에 대해서는 행정자치부장관의 실태조사(제정안 제20조) 외에는 독립적 정기적으로 감시, 통제할 방법이 전무하다. 실태조사 실시 여부는 오로지 행정자치부장관이 결정하며, 실태조사에 개인정보보호위원회나 이해당사자가 참여할 방법도 없다.
제정안 제17조 ⑤ 통합관제센터 종사자의 근무 수칙, 보안대책 등 기타 통합관제센터의 운영에 필요한 사항은 행정자치부장관이 정하여 고시한다.
종사자의 내부통제도 허술하긴 마찬가지다. 전과 유무 정도의 소극적 자격 제한 외에 행정자치부장관이 정한 교육만 받으면 되는데, 영국의 경우 CCTV 관제업무 종사를 위해서 엄격한 자격제도(보안산업국SIA라이선스)를 운영하는 것과 비교된다.
(3) 한편 현재 개인정보보호법이 CCTV에 의한 녹음과 설치목적 외 임의조작을 전면 금지하고 있는 것(개인정보보호법 제25조 제5항)에 비하여 제정안은 CCTV를 이용한 녹음은 물론 설치 목적과 다르게 임의로 조작하거나 다른 곳을 비추는 등 목적 외의 용도로 운영할 수 있어 주의를 요한다. (제정안 제8조)
해당 조문은 예외적인 경우에만 녹음 및 임의조작을 허용하고 있지만 이를 통해 가중될 사생활의 비밀 침해 위험을 고려하면 이렇게 간단히 처리할 일이 아니다.
개인정보보호법 제25조 ⑤ 영상정보처리기기운영자는 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다.
제정안 제8조(영상정보처리기기의 목적 외 운영 등 제한) ① 개인영상정보처리자는 다음 각 호의 경우를 제외하고는 제6조제1항에 따라 설치ㆍ운영 중인 영상정보처리기기를 당초 설치ㆍ운영 목적과 다르게 임의로 조작하거나 다른 곳을 비추는 등 목적 외의 용도로 운영할 수 없다.
1. 영상정보주체의 요구가 있는 경우
2. 법령에서 구체적으로 허용하고 있는 경우
3. 영상정보주체 또는 제3자의 급박한 생명, 신체, 재산의 보호를 위하여 명백히 필요하다고 인정되는 경우로서 일시적으로 개인영상정보를 처리하는 경우
4. 개인영상정보처리자의 정당한 이익을 보호하기 위하여 일시적으로 필요한 경우로서 명백하게 영상정보주체의 권리보다 우선하는 경우. 이 경우 개인영상정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
② 개인영상정보처리자는 제1항 각 호의 어느 하나에 해당하는 경우를 제외하고는 제6조제1항에 따라 영상정보처리기기를 설치ㆍ운영함에 있어서 녹음을 하여서는 아니 된다.
녹음은 영상의 촬영과 달리 사람의 생각이 음성으로 표출되는 것을 직접 포착하기 때문에 프라이버시 침해의 위험이 크고 CCTV의 임의조작이나 다른 곳을 비추는 행위 역시 그러하고 두 가지가 결부되면 더욱 큰 문제이다. 이는 CCTV 규제에 슬쩍 끼워서 다룰 문제가 아니라 가중된 위험을 본격적으로 고려한 별도의 입법이 필요하다. 예컨대 법안에는 녹음과 임의조작 방식 등 구체적인 운영 방법에 대해 아무런 제한 규정이 없어 CCTV가 일반적으로 누구나 들을 수 있는 범위를 넘어서는 은밀한 대화까지 녹음하는 기능을 갖출 경우 영장주의나 통신비밀보호법을 우회하여 상시적 감시와 감청을 하는 수단으로 악용될 소지마저 있다. 녹음과 목적 외 임의조작을 허용하는 제정안 제8조는 독소 조항이며 반드시 폐기되어야 한다.
무엇보다 제정안은 행정자치부에 통합관제센터와 관련된 모든 권한을 부여하고 있어 현재 그 중요성에 비하여 역할을 제대로 수행하고 있지 못한 개인정보보호위원회(이하 “위원회”)의 위상을 더욱 위축시킬 우려가 있다. 또한 제정안은 위원회가 2015년 의뢰한 연구용역이 개인영상정보보호법과 같은 특별법 제정은 불필요하다는 결론을 낸 것과는 상충되는 것이어서 제정안을 만들 때 과연 개인정보보호위원회가 참여했는지조차 의문이다.
통합관제센터가 이미 전국적으로 설치되어 있어 이에 대한 법적 근거를 마련하는 것이 필요하다고 하더라도, 제정안과 같이 행정자치부의 통제 하에 법적 근거만을 마련하는 형태의 법안은 허술한 통제 하에 CCTV에 의한 감시국가로 가겠다는 것과 다름아니며, 만약 이 같은 법안이 반드시 필요하다고 하더라도 그 설치와 운영에 대한 관리감독 주체는 독립적 위원회 조직인 개인정보보호위원회가 되어야 한다.
제정안 중 통합관제 관련 부분 발췌
제2조(정의) ① 이 법에서 사용하는 용어의 뜻은 다음과 같다.
5. “영상정보 통합관제”란 다수의 개인영상정보처리자가 설치ㆍ운영하거나 서로 다른 목적으로 설치ㆍ운영하는 영상정보처리기기를 통하여 수집되는 영상정보를 통합하여 관리ㆍ통제하는 것(이하 “통합관제”라 한다)을 말한다.
제8조(영상정보처리기기의 목적 외 운영 등 제한) ① 개인영상정보처리자는 다음 각 호의 경우를 제외하고는 제6조제1항에 따라 설치ㆍ운영 중인 영상정보처리기기를 당초 설치ㆍ운영 목적과 다르게 임의로 조작하거나 다른 곳을 비추는 등 목적 외의 용도로 운영할 수 없다.
1. 영상정보주체의 요구가 있는 경우
2. 법령에서 구체적으로 허용하고 있는 경우
3. 영상정보주체 또는 제3자의 급박한 생명, 신체, 재산의 보호를 위하여 명백히 필요하다고 인정되는 경우로서 일시적으로 개인영상정보를 처리하는 경우
4. 개인영상정보처리자의 정당한 이익을 보호하기 위하여 일시적으로 필요한 경우로서 명백하게 영상정보주체의 권리보다 우선하는 경우. 이 경우 개인영상정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
② 개인영상정보처리자는 제1항 각 호의 어느 하나에 해당하는 경우를 제외하고는 제6조제1항에 따라 영상정보처리기기를 설치ㆍ운영함에 있어서 녹음을 하여서는 아니 된다.
제5장 영상정보의 통합관제
제17조(통합관제센터의 운영) ① 지방자치단체는 영상정보처리기기의 안전한 관리와 개인영상정보의 보호를 위하여 영상정보 통합관제 업무를 전담하여 수행하는 시설(이하 “통합관제센터”라 한다)을 운영할 수 있다.
② 지방자치단체가 통합관제센터를 운영하고자 하는 경우에는 다음 각 호의 내용을 포함한 운영계획을 마련하여 행정자치부장관에게 신고하여야 하며 이미 신고된 내용에 중대한 변경이 있는 경우에는 변경 신고를 하여야 한다.
1. 기관명, 소재지, 관리책임자, 담당부서 등 일반현황
2. 영상정보처리기기 설치 목적 및 근거, 설치 대수 및 위치, 촬영범위 및 촬영시간 등 통합관제 현황
3. 접근통제, 접근제한, 접속기록 보관 등 개인영상정보의 안전성 확보를 위한 기술적ㆍ관리적ㆍ물리적 보호대책
4. 원본 영상의 훼손 또는 위ㆍ변조 방지를 위한 내부관리 체계
5. 열람 및 보관요구 처리 등 영상정보주체의 권익 보호를 위한 내부 절차
6. 그 밖에 대통령령으로 정하는 사항
③ 제8조제1항에도 불구하고 통합관제센터 종사자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 영상정보처리기기의 설치ㆍ운영 목적과 다른 용도로 개인영상정보를 관제하여서는 아니 된다.
1. 다른 법령에서 구체적으로 허용하는 경우
2. 재난 또는 재해 시 긴급한 대응을 위한 경우
3. 영상정보주체 또는 제3자의 급박한 생명, 신체, 재산의 보호를 위해 필요하다고 명백히 인정되는 경우로서 일시적으로 개인영상정보를 처리하는 경우
④ 지방자치단체는 영상정보처리기기의 효율적 운영 등을 위하여 필요한 경우 다른 공공기관의 영상정보처리기기를 통합관제 할 수 있으며, 이 경우 관련 공공기관은 영상정보처리기기 설치․운영, 관리․유지보수 등에 소요되는 제반 인력 및 예산을 분담하거나 지원하여야 한다.
⑤ 통합관제센터 종사자의 근무 수칙, 보안대책 등 기타 통합관제센터의 운영에 필요한 사항은 행정자치부장관이 정하여 고시한다.
제18조(개인영상정보 영향평가) ① 지방자치단체가 통합관제센터를 운영하고자 하는 경우에는 개인영상정보의 침해 위험요인 등 그 영향을 분석하고 개선 사항을 도출하기 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 행정자치부장관에게 제출하여야 한다. 이 경우 지방자치단체는 영향평가를 「개인정보 보호법」 제33조제1항에 따라 행정자치부장관이 지정하는 기관(이하 “평가기관”이라 한다) 중에서 의뢰하여야 한다.
② 지방자치단체가 제1항에 따른 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 통합관제 대상 영상정보처리기기의 설치 대수
2. 개인영상정보의 처리방법 및 보관 기간의 적정성
3. 영상정보주체의 권리를 침해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정하는 사항
③ 행정자치부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 의견 제시 및 시정 요청을 할 수 있다. 이 경우 통합관제센터를 운영하려는 지방자치단체는 정당한 사유가 없는 한 이에 따라야 한다.
④ 행정자치부장관은 영향평가의 활성화를 위하여 관련 전문가의 육성, 영향평가 기준의 개발ㆍ보급 등 필요한 조치를 마련하여야 한다.
⑤ 제1항에 따른 영향평가의 평가기준 등에 관하여 필요한 사항은 대통령령으로 정한다.
⑥ 지방자치단체 외의 개인영상정보처리자는 통합관제 운영으로 인하여 영상정보주체의 개인영상정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 노력하여야 한다.
제19조(통합관제센터 종사자 관리 등) ① 통합관제센터를 운영하는 지방자치단체는 다음 각 호의 어느 하나에 해당하는 자를 통합관제 업무에 종사하게 하여서는 아니 된다.
1. 미성년자ㆍ제한능력자
2. 파산선고를 받고 복권되지 아니한 자
3. 금고 이상의 실형을 선고받고 그 집행이 종료되거나 집행을 받지 아니하기로 확정된 후 5년이 지나지 아니한 자
4. 금고 이상의 형을 선고받고 그 집행유예 기간이 끝난 날부터 2년이 지나지 아니한 자
5. 금고 이상의 형의 선고유예를 받은 경우에 그 선고유예 기간 중에 있는 자
② 지방자치단체는 통합관제 업무에 종사하는 자에 대하여 개인영상정보의 보호를 위해 필요한 교육을 정기적으로 실시하여야 한다.
③ 제2항에 따라 통합관제 업무에 종사하는 자를 대상으로 하는 교육의 시간과 내용은 행정자치부장관이 정하여 고시한다.
제20조(통합관제센터의 실태조사) ① 행정자치부장관은 통합관제센터의 운영에 대한 실태조사를 실시하여 그 결과를 발표하고 이를 개인영상정보를 보호하기 위한 정책수립의 기초자료로 활용할 수 있다.
② 행정자치부장관은 제1항에 따른 실태조사의 실시를 위하여 통합관제센터 운영자 및 관계 단체 등에 대하여 자료의 제출이나 의견의 진술 등 협조를 요구할 수 있다.
③ 제2항에 따른 자료제출 등의 범위와 방법 등 필요한 사항은 대통령령으로 정한다.
2016년 12월 29일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, master@openne
본 설문조사는 스마트보안관, T청소년안심팩, 올레자녀폰안심, U+자녀폰지킴이 등 청소년의 스마트폰 관리 어플리케이션(앱)에 대한 한국 부모님들의 이해도를 파악하고자 실시하고 있습니다.
- 기간: 2016. 12. 29. – 2017. 1. 8.
- 당첨자 발표: 2017. 1. 9. 개별 연락
- 설문조사에 참여해주신 분 중 20명을 추첨하여 문화상품권(1만원)을 드립니다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
사단법인 오픈넷은 이통사 상대 알 권리 찾기 캠페인에 참여한 시민들 22명을 대리하여 이동통신 3사로부터 영장 없이 이들의 신원정보를 취득한 국가정보원, 서울지방경찰청, 인천지방경찰청, 대전지방검찰청 등 19개 수사기관을 상대로 국가배상 청구 소송을 진행중이다. 그리고 2016년 12월 15일 법원은 수사기관들에게 그와 같은 정보취득의 사유를 확인할 수 있는 “통신자료제공요청서”를 제출하라는 명령을 내렸다.
이번 소송의 쟁점은 매년 1천만명 이상의 국민들의 신원정보를 영장 없이 취득하고 있는 수사기관들의 행위가 합법적인 근거가 있는지 밝혀내는 데 있다. 전기통신사업법 제83조 제3항 및 제4항에 의하면 영장 없는 신원정보(통신자료) 취득은 “재판, 수사, 형의 집행 또는 국가안전보장에 대한 위해를 방지”하기 위해서만 가능한데, 원고들은 재판이나 수사의 대상이 될 만한 이유가 하등 없기 때문에 이러한 정보취득이 불법일 가능성이 있어 소송을 제기한 것이다. 그렇다면 재판에서는 수사기관이 정보를 취득한 사유가 적법한지를 먼저 확인해야 하고, 이를 확인하기 위해서는 수사기관이 정보취득을 위해 이통사에 보냈던 통신자료제공요청서를 검토해야 하는 것이다.
그러나 피고 수사기관들은 ‘법이 정한 서면요청에 따라 이루어진 행위로서 적법한 공무집행에 해당한다’고 주장하면서도 그 서면의 제출을 거부할 뿐만 아니라 이에 대한 아무런 입증도 하지 않았고 법원은 이와 같은 피고의 입장을 받아들이기 어렵다고 하면서 문서제출명령을 내리게 된 것이다(민사소송법 344조에 따르면 당사자가 소송에서 인용한 문서는 공문서인지 사문서인지에 관계없이 모두 제출의무가 있다.).
법원의 결정에 따르면 문서소지인인 국정원, 경찰청 등 수사기관들은 “결정을 받은 날로부터 7일 이내”에 통신자료제공요청서 등 통신자료제공 요청사유를 알 수 있는 문서를 제출해야 한다. 그러나 결정을 받은 지 2주가 지난 지금까지도 아무런 대답이 없다. 매년 1천만명에 이르는 국민은 어떠한 사유로 내 정보가 수사기관에게 영장도 없이 넘어갔는지 알 권리가 있으며, 이 과정에서 위법행위가 있었다면 응당 그에 대한 손해를 배상받아야 한다. 반대로 위법행위가 없었다면 법원은 오픈넷의 청구를 기각할 것이다. 수사기관들은 무엇이 두려운가? 하루빨리 통신자료제공요청서를 제출하고 법원의 정의로운 판단을 받으라.
[관련 논평] 오픈넷, 위법한 통신자료 취득에 대해 국정원 등 수사기관 상대로 국가배상 청구
2017년 1월 2일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, master@
글 | 오픈넷
지난 11월 프리덤하우스가 조사해 발표한 2016 세계 인터넷 자유 지수(Freedom on the Net)에서 한국은 또다시 ‘부분적 자유’밖에 인정받지 못했다. 더 심각한 것은 자유 지수가 계속 추락하고 있다는 것이다. 박근혜 정부가 시작된 2013년에서 2016년에 이르는 동안 자유 지수는 매년 1~2점씩 꾸준히 추락했다. 국민에게는 자유를 향한 의지와 수단이 존재했으나, 정부가 이를 옭아매고 죄어왔기 때문이다. 걸핏하면 인터넷 게시물을 삭제하고 공직자 비판에 대해 명예훼손으로 처벌하겠다는 협박을 일삼아 왔으니, 놀라운 결과도 아니다.
인터넷상 표현의 자유와 정보 흐름의 자유, 열린 정부와 혁신을 주창해 온 오픈넷은 지난 2016년 인터넷을 달구었던 주요 이슈들을 되돌아보았다. 2016년의 한국 인터넷을 짧게 간추린다면 ‘위로부터의 억압, 아래로부터의 분출’이라고 할 만하다.
정부는 다양한 방식으로 인터넷에 개입하여 국민의 표현을 가로막고 기업의 혁신을 방해했다. 그 와중에도 국민들은 온라인 공간에서 사회적 문제를 고발하고 자신의 의사를 표현하며 정당한 권리를 찾기 위해 애썼다. 그러는 동안 다양한 이슈가 떠올랐다가 사라졌다. 그중 굵직한 이슈를 정리해 본다. ICT 전반이나 기기 관련 이슈는 제외하고 인터넷에만 한정하여 살펴보았다.
7월, 고고도 미사일 방어체계(사드) 도입을 강행하던 정부는 국민은 물론 지역 주민과의 협의도 거치지 않고 일방적으로 설치 지역을 발표하고 밀어붙였다. 사드는 지역 주민의 안전, 더 나아가 한반도 전체의 안정에 영향을 미치는 중요한 일이다. 그런데도 국민을 납득시키거나 설득하는 일이 생략되었다. 사드의 안전성과 그 배치 따른 영향에 대한 논란이 인터넷에서 벌어진 것은 당연한 일이다. 그러나 방송통신심의위원회는 사드의 안전성에 문제를 제기하는 인터넷 게시글들을 ‘사회 혼란 야기’라는 얼토당토않은 이유를 들어 삭제했다. 공적 사안에 대하여 정부 발표와 다른 의견을 제기하면 황당한 딱지를 붙여 억압하는 행태가 재현된 것이다.
이에 앞서 3월에 방송통신심의위원회는 북한의 기술 정보를 전문적으로 다루는 외국 웹사이트 ‘노스코리아테크(northkoreatech.org)’를 접속 차단했다. 북한 관련 웹사이트를 차단하는 일은 늘 있는 것이지만, 이 웹사이트는 영국 언론인이 운영하는 객관적인 사이트라는 점에서 논란을 일으켰다. 북한에 비판적인 정보도 실리고 한국의 보수 언론도 자주 인용하는 사이트였던 것이다. 따라서 북한 관련 정보는 어떤 것이라도 정부만이 독점하고 정부가 공개하는 것만 듣고 보아야 한다는 시대착오적 의지의 표현이라는 평가를 받았다. 노스코리아테크 운영자 마틴 윌리엄스는 “북한이 외국으로부터 오는 정보를 철저히 차단하는 폐쇄 국가여서 흥미를 느껴 웹사이트를 시작했는데, 그런 웹사이트가 명색 민주 국가라는 한국에 의해 차단당했다는 것은 아이러니가 아닐 수 없다”라고 말했다.
이른바 인터넷 방송도 방송통신심의위원회의 주요 목표로 떠올랐다. 2월에는 아프리카TV의 BJ 6명에게 이용정지 처분을 내렸으며, 6월에는 인터넷 방송 웹사이트인 ‘썸TV’를 폐쇄했다. 음란물의 유통은 규제돼야겠지만, 일부 UCC 콘텐츠가 음란하다고 하여 사이트 전체를 폐쇄하는 결정을 내린 것은 놀라운 일이었다. 정부는 이후에도 인터넷 방송 서비스를 제공하는 사업자가 이용자의 콘텐츠를 제대로 검열하고 감시하지 못할 때 과태료를 부과하는 방안을 추진하는 등 규제 강화를 모색했다. 이 같은 규제 일변도 정책은 인터넷의 특성을 제대로 이해하지 못한 채 모호한 기준을 들이대어 표현의 자유를 침해하고 인터넷 산업을 위축시킨다는 비판을 받았다.
12월에 네티즌 ‘자로’는 세월호 참사와 관련한 의혹을 오랫동안 조사하고 그 결과를 다큐멘터리 [세월X]로 만들어 인터넷에 공개했다. 세월호의 침몰 경위와 관련하여 정부 발표와 다른 주장을 내놓은 것이다. 동영상이 공개된 지 하루 만에 해군은 ‘잠수함 승조원의 명예훼손을 묵과할 수 없으며, 허위사실 유포에 대해서는 법적 대응 등 강력하게 대응할 것’이라고 일갈했다. 이 글이 발표되는 현재까지 별다른 법적 조치는 나오지 않고 있다.
6월, 남학생들이 참여하는 카카오톡 단체 톡방의 언어 성폭력 발언을 고발하는 대자보가 고려대 교정에 나붙었다. 이를 계기로, 비슷한 일이 다양한 대학 공동체에서 오랫동안 지속되어 왔다는 사실이 드러나 충격을 주었다. 아울러 카카오톡 같은 메신저의 대화방은 공개된 장소인지, 거기서 나온 발언을 처벌할 수 있는지, 어떤 경우에 가능하고 가능하지 않은지에 대해 논란이 벌어졌다. 그러한 질문에 대한 대답과는 별론으로, 이와 같은 언어 성폭력이 경계되어야 한다는 점에 사회적 공감이 형성되었다는 것은 논란의 중요한 성과라 할 만하다.
비슷한 시기에 카카오톡 대화방에서 공유한 웹사이트 링크가 검색에 잡히는 일이 벌어져 쟁점이 되었다. 대화방에서 공유한 정보는 대중 공개되지 않으리라고 믿어온 이용자들에게는 충격적인 일이었다. ‘메신저 망명’ 같은 일은 벌어지지 않았지만, 기업이 이용자의 프라이버시를 존중하는 데 좀 더 민감해질 필요가 있다는 점을 일깨우는 사건이었다.
7월, 게임회사 나이언틱은 증강현실을 이용한 모바일 게임 ‘포켓몬 고’를 출시하여 세계적인 선풍을 일으켰다. 한국도 예외가 아니었으나, 선풍의 내용이 좀 달랐다. 외국에서는 게임을 하는 게 화제였지만, 한국은 게임을 못 하는 게 화제였다. 이것은 게임 가능 지역에서 한국이 제외되었기 때문이다. 지도 정보가 부족하여 게임 서비스를 하지 못한다는 주장도 제기됐으나, 게임사가 한국 출시를 하지 않아서 발생한 일로 정리되었다. 속초 등 동해안 일부 지역에서는 플레이가 가능해, 때아닌 속초행 열풍이 일기도 했다.
6월에는 구글이 정부에 지도 반출을 신청하여 뜨거운 논란을 불러일으켰다. 인터넷 서비스를 제대로 하기 위해서 상세 지도를 국외 서버에 저장해야 한다는 것이다. 지금까지 정부는 국가 안보를 내세워 이를 허가하지 않았다. 사실 정부의 안보 명분은 지도 반출 불허의 근거가 되기 어려운 것이었으나, ‘구글이 국민 세금으로 만든 지도를 공짜로 반출하면 적에게 국가 기밀을 누설하게 된다’는 주장이 나돌면서 부정적인 여론이 형성됐다. 게다가 구글의 서버 존치 문제, 세금 납부 문제까지 한꺼번에 떠올랐다. 찬반 여론 사이에서 저울질하던 정부는 쉽게 결정을 내리지 못하고 한 차례 연기한 끝에 11월에 반출을 허가하지 않는 것으로 최종 결론을 내렸다.
5월, 서울 지하철 강남역 부근에서 한 여성이 이유도 없이 살해되었다. 이 사건은 한국 사회에 단단하게 고착되어 있던 여성 혐오와 차별 문제를 일거에 드러내는 기폭제가 되었다. SNS를 중심으로 한 인터넷 공간은 성 차별과 성폭행을 고발하는 광장이 되었다. 그동안 학계, 예술계, 문학계, 출판계 등에서 벌어져 온 성폭행이 ‘#OO_내_성폭행’이라는 해시태그를 달고 줄줄이 공개되고 공유되었다. 유명인들의 이름이 연달아 나왔다. 성 범죄가 일상화되어 있음을 드러냄과 동시에, 성 권력 관계 때문에 당하고도 침묵해야 했던 일이 인터넷을 통해 고발되고 사회적 각성이 촉구되었다는 점도 뜻깊은 일이었다.
SNS 서비스가 이러한 문제 제기를 잘 포용하는지도 도마 위에 올랐다. 강남역 살인사건이 벌어졌을 때, 그 희생자를 추모하는 글이 페이스북에 의해 삭제되었다. 페이스북의 게시물 규정을 어긴 점이 없는데도, 신고를 받고 그 내용을 검토하거나 작성자에게 소명할 기회를 주지 않았기 때문에 벌어진 일이었다. 페이스북은 신고에 따른 게시물 삭제와 관련하여 공정함을 잃었다는 비판을 받았다. 페이스북의 게시물 삭제 공정성에 대한 논란은 그 밖에도 나라 안팎에서 여러 차례 제기되었다.
1월, 서울중앙지방법원은 납득하기 어려운 판결을 하나 내놨다. 홈플러스가 경품행사 등으로 수집한 고객의 개인정보 2,400만여 건을 보험사에 팔고 거액을 챙긴 데 대해 무죄 판결을 내린 것이다. 재판부는 깨알같이 적어 넣은 단서 조항을 들어 면죄부를 주었다. 8월에 나온 2심 판결도 같았다. 기업이 개인정보를 취득하여 활용하려면 그 목적 등을 명확한 방법으로 알리고 동의를 얻어야 한다. 고객과 시민단체들은 홈플러스의 경품 응모지가 이러한 조건을 제대로 적용하지 않아 고객을 속였다고 주장했으나 법원은 이를 인정하지 않았다.
이 사안은 주로 오프라인 경품 행사가 문제가 된 것이지만, 인터넷 활동이나 사물인터넷(IoT)을 통해 이용자 데이터를 얻어내기가 점점 쉬워지는 상황에서 경계심을 불러일으킨 판결이었다. 정부가 정한 ‘빅데이터 비식별 조치 가이드라인’ 등에서 비식별화를 빌미로 하여 데이터 수집에서 개인 동의를 생략하려는 움직임도 있어서 더욱 주의가 필요하다.
국정원, 경찰청, 검찰청 등 수사기관이 이동통신사를 통해서 국민의 개인정보인 휴대전화 통신자료를 영장도 없이 마구 퍼가고 있다는 것은 이제 비밀도 아니다. 그 수치가 전화번호 기준으로 한 해 1천만 건을 넘는다. 개인을 특정하는 중요한 정보는 이제 공공재가 되어버린 꼴이나 마찬가지인 셈이다.
3월에는 이러한 통신자료 캐가기가 수사와 직접 상관이 없는 것처럼 보이는 사람들에게까지 마구 적용되었다는 의혹이 불거졌다. 기자, 정당인, 활동가들처럼 타인과의 통신 내용이 매우 중요한 비밀이 될 수 있는 사람들도 다수 포함되었다. 수사 편의만을 내세운 마구잡이식 개인정보 침해에 대해 언론과 사회단체들이 꾸준하고도 강력하게 항의하고 있지만, 정부는 막무가내요 요지부동이다.
한편 긍정적인 판결도 나왔다. 인터넷 매체의 등록 요건을 강화하려 한 데 대해 헌법재판소가 제동을 건 것이다. 11월에 헌법재판소는, 인터넷신문의 직원을 5명 이상으로 한정하고 이들의 고용 증명을 제출해야만 등록이 가능하도록 한 신문법 개정안이 위헌이라는 결정을 내렸다. 헌재는 이러한 조건을 부과할 경우 소규모 인터넷신문이 언론으로서 활동할 수 있는 기회 자체를 원천적으로 봉쇄할 수 있다고 보았다. 인터넷 매체들은 등록 요건을 강화하려는 정부의 의도가 사이비 언론 추방보다는 인터넷 언론 규제에 있음을 의심해 왔다. 헌재의 결정에 따라, 인터넷 매체 수천여 개가 문을 닫는 사태를 피할 수 있었다.
인터넷 자유 지수를 집계한 프리덤하우스는 홈페이지에 이렇게 쓰고 있다.
“인터넷은 대중이 자신을 표현하고 서로의 생각을 주고받을 수 있는 매우 중요한 공간이다. 민주주의 지지자나 인권 활동가들이 정치적, 사회적, 경제적 개혁을 조직하고 추진하는 수단으로서도 갈수록 중요해지고 있다. 새로운 기술이 촉발하는 힘을 두려워하는 권위적인 정부들은, 명백하거나 숨겨진 방법을 동원하여 인터넷을 검열하고 감시하고 방해하며 인터넷의 개방성을 변질시킨다. 심지어 적지 않은 민주 국가들도 뉴 미디어로 인해 야기된 법적, 경제적, 보안적인 잠재적 문제에 대응하기 위해 다양한 제약을 가하거나 그런 일을 고려하고 있다.”
자유롭고 혁신적인 세상을 지향하는 인터넷과 이를 규제하려는 정부 간의 길항 작용은 2017년에도 그치지 않을 것이다. 게다가 빅데이터나 제로레이팅 같은 까다로운 이슈들이 끊임없이 등장한다. 인터넷이 나아갈 길은 새해에도 쉽지 않다. 다만 인터넷과 기술 혁신, 그로 인한 정치적, 사회적, 경제적 가치를 인식하는 정부가 존재한다면 상황은 조금 더 편안해질 것이다.
인터넷에서 다양한 사회적 논쟁거리가 만들어지고 논의되는 일도 계속될 것이다. 이것은 바람직한 일이기도 하다. 당장은 그 모양이 투박하거나 낯설더라도, 그러한 논란은 없는 편보다 있는 편이 훨씬 낫다. 그런 논란 속에서 우리는 공동 학습할 기회를 얻고, 이를 통해 조금씩 성장해 나갈 수 있기 때문이다. 강정수 메디아티 대표는 11월 8일 ‘혐오표현과 인터넷 공론장’을 주제로 하여 열린 ‘오픈넷 토크’에서 “인터넷은 여전히 청소년기에 있다”라고 평가했다. 비슷한 맥락에서 나온 진단이라고 볼 수 있다. 하나만 덧붙인다면, 인터넷과 이용자들이 그렇게 학습하고 성장하도록 그냥 좀 내버려 뒀으면 하는 것이다.
* 위 글은 슬로우뉴스에 게재했습니다. (2016.01.04.)
강길부 의원이 대표발의한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안 (이하 강길부 의원안: 첨부1)은 비식별화라는 개념을 추가하면서 비식별화한 개인정보를 이용자의 동의 없이 이용하거나 제3자에게 제공할 수 있도록 하고 있다. 오픈넷은 지난 2017. 1. 14. 아래와 같은 이유로 강길부 의원안 입법예고에 반대의견을 제출하였으며, 더불어 지난 2016년에 정부가 제정한 개인정보 비식별조치 가이드라인(이하 “가이드라인”)에 대해서도 폐기 의견을 함께 제시한다.
EU 개인정보보호감독관의 빅데이터 의견서(첨부2)에서 타당하게 결론 내린 것처럼 빅데이터의 진정한 위험 요소와 도전 과제는 대규모 개인정보 처리에 대한 “투명성 부족”과 “정보의 불균형”으로 인해 “개인정보보호 핵심원칙”이 위협에 빠진다는 것이다. 즉 빅데이터 시대에서 “알 수 없는 알고리즘”을 통해 정보주체에 대한 충분한 고지나 동의 획득 없이 개인정보 처리가 대규모로 이루어진다면 개인정보 처리에 관한 정보는 더욱 불균형해질 것이며 이로 인해 개인정보자기결정권은 형해화할 것이다.
우리나라의 경우 식별성이 가장 높은 주민등록번호가 여전히 이동통신사 등 사적 주체에 의해 행정 목적 외에도 널리 활용되고 있으며, 법령상 상존하는 각종 본인확인 의무로 인하여 비식별화를 거치더라도 결합을 통해 개인이 재식별될 위험성은 매우 크다. 특히 주민등록번호를 수집할 수 있는 본인확인기관에 개인정보가 고도로 집중되어 있다는 점도 재식별화 위험성을 가중시키고 있다.
요컨대 빅데이터 시대의 개인정보보호는 개인정보처리자의 “투명성”과 “책임성” 강화가 가장 중요한 고려 요소가 되어야 한다.
(1) 비식별화 만능주의 프레임 지양해야
강길부 의원안은 개인정보처리자의 투명성과 책임성 강화에 대한 진지한 고민 대신, 비식별화 그 자체에만 천착하고 있다는 것이 핵심적 문제이다. 강길부 의원안은 대통령령이 정하는 비식별화 적정성 평가단(안 제28조의2 제2항, 이하 “평가단”)의 적정성 평가나 기술적 관리적 보호조치(안 제28조의5)의 구체적인 내용은 전혀 정하지 않았다. 막연히 추후에 제정될 대통령령에 의해 개인정보 보호가 충분히 이루어질 것이고, 비식별화만 이루어지면 빅데이터 산업이 부흥할 것이라는 소박한 믿음에 기초하고 있는 것이다.
(2) 비식별화만 거치면 어떠한 제한도 없이 동의를 면제 – 재식별 위험이 매우 큰 정보라는 점을 간과
강길부 의원안은 어떠한 방법으로든 비식별화가 이루어지면 어떠한 제한도 없이 개인정보보호법의 기본 원칙인 “동의 요건”을 광범하게 면제해주고 있어 문제이다. 이는 김병기 의원이 대표 발의한 개인정보보호법 개정안이 현행법과 같이 비식별화를 거친 정보라도 “정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없을 경우”에만 동의 요건을 면제하고 있는 것과 비교된다. (첨부3: 김병기 의원안)
그러나 우리나라처럼 재식별 위험이 매우 큰 상황에서 비식별화한 정보에 어떠한 제한도 없이 이용 및 제3자 제공을 허용할 지 여부에는 매우 신중한 검토가 요구된다. 완벽한 비식별화 기술이란 존재하지 않으며, 평가단의 검증을 거쳤다고 비식별화의 적정성이 담보되는 것도 아니다.
한편 EU의 GDPR에서 강길부 의원안이 비식별화 방법으로 예시한 가명화(pseudonymisation)는 개인정보 보호를 위해 권장되는 수단이지 가명화한 정보에 대한 개인정보 보호를 배제하려는 것이 아님을 명확히 하고 있다. (recital 28 : The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.) 최근 개인정보보호법을 개정한 일본의 경우 GDPR과 달리 익명가공정보를 개인정보와 별개로 규정하여, 이를 이용하거나 제3자에게 제공하려는 개인정보처리자에게 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표 및 취지를 명시하도록 하는 등 개인정보와 준하는 취급을 하고 있다.
(3) 개인정보 정의조항의 변경 – 정보통신망법과 개인정보보호법과의 괴리 발생
강길부 의원안은 개인정보의 정의 중 다른 정보와의 결합가능성 부분에 “해당 정보를 처리하는 자”를 판단 기준으로 제한하고 있어 이 같은 제한이 없는 개인정보보호법과 간극이 발생하게 된다. 물론 개인정보보호법 정의 조항의 합헌적 해석상 결합가능성은 해당 정보를 처리하는 처리자의 입장에서 판단되어야 한다고 볼 여지가 있다. 그러나 개인정보 정의 규정은 개인정보보호법제의 핵심을 이루는 것으로 개인정보보호법의 정의조항은 그대로 둔 채 정보통신망법의 개정으로 손쉽게 접근할 문제가 아니다.
(4) 투명성, 책임성 요건 결여 – 정보주체의 통제권한 상실, 개인정보 유통에 대한 정보불균형 심화
강길부 의원안에는 빅데이터 시대의 개인정보 보호에 가장 핵심적인 투명성과 책임성 요건이 결여되어 있어 정보주체의 실질적 통제 권한이 상실되고 개인정보 유통에 대한 정보불균형이 더욱 심화할 우려가 크다. 강길부 의원안에 따르면 정보주체는 본인의 어떤 개인정보가 어떻게 비식별화 처리되는지 전혀 알지 못한 채 개인정보처리자의 선의 또는 평가단 적정성평가의 무결성을 기대할 수밖에 없는 셈이다. 이는 아래 일본의 개정 개인정보보호법이 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표하게 하는 등 최소한의 투명성과 책임성 요건을 갖춘 것과 비교해보아도 그러하다.
한편 지난 2016년 정부 각 부처는 개인정보 비식별조치 가이드라인을 제정하였는데, 가이드라인은 한 걸음 더 나아갔다. 비식별조치를 취하면 동의 요건을 아무런 제한 없이 면제하고 있을 뿐 아니라 반증이 없는 한 개인정보가 아닌 것으로 추정하는 등 법 개정 없이 고지와 동의(notice and consent)라는 개인정보보호의 기본 원칙의 변경을 꾀한 것으로 즉시 폐기되어야 한다.
더욱이 가이드라인은 법적 근거 없이 전문기관에 의해 비식별조치의 적정성을 판단하도록 하고 있어 문제인데, 강길부 의원안은 비식별화 적정성 평가단을 입법화하면서 가이드라인의 전문기관에 법적 근거만 부여하려는 시도와 다름아니다.
그러나 평가단 신설로 생겨날 “관치 보안”의 문제는 차치하더라도 이는 개인정보보호위원회가 수행해야 할 이른바 컨트롤타워 역할을 무력화하는 시도와 다름아니다. 일본의 경우 개인정보보호위원회가 컨트롤타워로서 익명가공에 요구되는 기술적, 관리적 조치를 종합적으로 규율하도록 하고 있는 것과 비교된다.
일본의 경우 개인정보보호법을 개정하기 위하여 다양한 이해당사자가 참여하는 협의체를 구성하여 2년에 걸친 광범한 논의를 거쳤다. 그러나 2016년 가이드라인의 경우 세부논의 내용과 초안을 비공개하는 등 폐쇄적인 방법으로 제정되었다. 정보주체를 대변하는 시민사회는 가이드라인의 초안이 대부분 결정된 뒤 단 1회 시행된 내부 간담회 외에는 논의에 제대로 참여할 수 없었다.
따라서 가이드라인의 주요 내용을 그대로 입법화하는 강길부 의원안은 정보주체를 대변하는 이해당사자의 의견 수렴을 전혀 거치지 않은 것과 다름없어 원점에서 다시 검토되어야 한다. 늦었지만 지금부터라도 국회를 중심으로 모든 이해당사자가 참여하는 협의체를 구성하여 빅데이터 시대의 개인정보 보호를 위한 논의를 진지하게 시작해야 할 것이다.
일본의 개정 개인정보보호법 중 익명가공정보 해당 부분 발췌 – 번역 “개인정보보호위원회”
➈ 이 법률에서 “익명가공정보”라 함은 다음 각 호에 열거된 개인정보의 구분에 따라 당해 각 호에서 정하는 조치를 취하여 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서, 당해 개인정보를 복원할 수 없도록 한 것을 말한다.
1. 제1항 제1호에 해당하는 개인정보 – 당해 개인정보에 포함되는 記述 등의 일부를 삭제하는 것 (당해 일부의 記述 등을 복원할 수 있는 規則性을 갖지 않는 방법에 의해 다른 記述 등으로 치환하는 것을 포함한다)
2. 제1항 제2호에 해당하는 개인정보 – 당해 개인정보에 포함되는 개인식별부호의 전부를 삭제하는 것 (당해 개인식별부호를 복원할 수 있는 規則性을 갖지 않는 방법에 의해 다른 記述 등으로 치환하는 것을 포함한다)
➉ 이 법률에서 “익명가공정보취급사업자”라 함은 익명가공정보를 포함하는 정보의 집합물이면서 특정의 익명가공정보를 전자계산기를 이용하여 검색할 수 있도록 체계적으로 구성한 것으로서 政令으로 정하는 것(제36조 제1항에서 “익명가공정보데이터베이스 등”이라고 한다)을 사업용으로 이용하는 자를 말한다. 다만, 제5항 각 호에 열거된 자를 제외한다.
다. 제2절 익명가공정보취급사업자 등의 의무 <신설>
제36조(익명가공정보의 작성 등) ① 개인정보취급사업자는, 익명가공정보(익명가공정보데이터베이스 등을 구성하는 것에 한정한다. 이하 같다)를 작성하는 때에는, 특정의 개인을 식별할 수 없도록 그리고 그 작성에 사용되는 개인정보를 복원할 수 없도록 하기 위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 따라, 당해 개인정보를 가공하여야 한다.
➁ 개인정보취급사업자는, 익명가공정보를 작성한 때에는, 그 작성에 사용된 개인정보로부터 삭제된 記述 등과 개인식별부호 및 전항의 규정에 의해 행해진 가공의 방법에 관한 정보의 누설을 방지하기 위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 따라, 이들 정보의 안전관리를 위한 조치를 취하여야 한다.
➂ 개인정보취급사업자는, 익명가공정보를 작성한 때에는, 개인정보보호위원회규칙으로 정하는 바에 따라, 당해 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표하여야 한다.
➃ 개인정보취급사업자는, 익명가공정보를 작성하여 당해 익명가공정보를 제3자에게 제공하는 때에는, 개인정보보호위원회규칙에서 정하는 바에 따라, 미리 제3자에게 제공되는 익명가공정보에 포함되는 개인에 관한 정보의 항목 및 그 제공의 방법에 대하여 공표함과 더불어, 당해 제3자에 대해 당해 제공과 관련된 정보가 익명가공정보라는 취지를 명시하여야 한다.
➄ 개인정보취급사업자는, 익명가공정보를 작성하여 스스로 당해 익명가공정보를 취급함에 있어서는, 당해 익명가공정보의 작성에 사용된 개인정보와 관계된 본인을 식별하기 위하여 당해 익명가공정보를 다른 정보와 照合해서는 아니된다.
➅ 개인정보취급사업자는, 익명가공정보를 작성한 때에는, 당해 익명가공정보의 안전관리를 위하여 필요하고 적절한 조치, 당해 익명가공정보의 작성 및 그 밖의 취급에 관한 고충의 처리 및 그밖에 당해 익명가공정보의 적정한 취급을 확보하기 위하여 필요한 조치를 스스로 강구하고 또한 당해 조치의 내용을 공표하도록 노력하여야 한다.
제37조(익명가공정보의 제공) 익명가공정보취급사업자는, 익명가공정보(스스로 개인정보를 가공하여 작성한 것을 제외한다. 이하 이 節에서 동일하다)를 제3자에게 제공하는 때에는, 개인정보보호위원회규칙으로 정하는 바에 따라, 미리 제3자에게 제공되는 익명가공정보에 포함되는 개인에 관한 정보의 항목 및 그 제공의 방법에 대하여 공표함과 더불어, 당해 제3자에 대해 당해 제공과 관련된 정보가 익명가공정보라는 취지를 명시하여야 한다.
제38조(식별행위의 금지) 익명가공정보취급사업자는, 익명가공정보를 취급함에 있어서, 당해 익명가공정보의 작성에 사용된 개인정보와 관계된 본인을 식별하기 위하여, 당해 개인정보로부터 삭제된 記述 등 또는 개인식별부호 또는 제36조 제1항의 규정에 의해 행하여진 가공의 방법에 관한 정보를 취득하거나 또는 당해 익명가공정보를 다른 정보와 照合하여서는 아니된다.
제39조(안전관리조치 등) 익명가공정보취급사업자는, 익명가공정보의 안전관리를 위하여 필요하고 적절한 조치, 익명가공정보의 취급에 관한 고충의 처리 및 그밖에 익명가공정보의 적정한 취급을 확보하기 위하여 필요한 조치를 스스로 강구하고 또한 당해 조치의 내용을 공표하도록 노력하여야 한다.
2017년 1월 17일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
청소년들을 유해정보로부터 차단한다는 명목으로 사용되고 있는 청소년 스마트폰 관리앱에 대해 많은 사람은 부정적으로 생각하는 것으로 나타났다. 이들은 청소년 관리앱이 청소년의 자율성이나 부모의 선택권을 침해하는 것으로 보았으며, 유해정보 차단 효과도 크지 않다고 대답했다. 이러한 관리앱을 강제하는 일명 ‘청소년 스마트폰 감시법’에 대해서는 폐지되어야 한다는 의견이 압도적이었다.
이 같은 결과는 사단법인 오픈넷이 지난 12월 29일부터 1월 8일까지 트위터와 페이스북 등 SNS 사용자를 대상으로 하여 벌인 설문조사에 참가한 사람 564명의 응답을 분석한 결과 나타난 것이다.
현행 전기통신사업법과 그 시행령은 전기통신사업자가 청소년이 사용하는 스마트폰에 유해정보를 차단할 수 있는 앱을 제공하도록 강제하고 있다. 이에 따라 각 이통사는 가입자들에게 ‘T청소년유해차단’(SK텔레콤), ‘올레 자녀폰 안심’(KT), ‘U+ 자녀폰지킴이’(LG유플러스) 등의 이름으로 유해물 차단앱을 제공하고 있다. 같은 목적으로 방송통신위원회가 한국무선인터넷산업연합회(MOIBA)를 통해 개발하고 배포한 무료 앱 ‘스마트보안관’은 보안취약점이 발견되어 서비스가 중단되었지만, ‘사이버안심존’으로 이름만 바뀌어 계속 제공되고 있다.
이 같은 청소년 스마트폰 관리앱의 주요 목표는 유해정보 차단이지만, 오픈넷의 설문조사 응답자들이 청소년 스마트폰 이용과 관련하여 가장 우려한 것은 유해정보가 아니라 스마트폰 중독 현상이었다. 응답자 중 31.4%가 중독 현상을 걱정했으며, 친구들 간의 괴롭힘에 사용될 가능성(27.1%)이 그 뒤를 이었다. 유해정보(18.3%)는 세 번째에 그쳤다.
응답자를 자녀가 있는 사람으로만 한정하였을 때도 결과는 비슷했다. 부모들이 가장 걱정하는 것은 여전히 중독 현상(47.0%)이었으며, 유해정보(22.0%)는 2위였다.
법령에 따라 청소년의 스마트폰에 유해매체물 차단 수단을 강제 설치하도록 한 사실을 아는 사람도 많지 않았다. 전체 응답자 중 3분의 2가 이러한 사실을 모르거나 들어보긴 했지만 내용을 알지 못한다고 대답했다. 자녀를 가진 응답자들도 66.0%가 이러한 강제 규정에 대해 전혀 모르거나 잘 알지 못했다.
청소년의 스마트폰에 관리앱을 강제로 설치하는 방식에 대해 물어본 결과, 응답자의 절대 다수가 부정적인 대답을 내놨다. 강제 설치에 찬성하는 응답자는 12.6%에 지나지 않았으며, 나머지는 ‘설치 자체를 반대한다(38.7%)’ ‘청소년의 자율에 맡겨야 한다(31.9%)’ ‘부모의 선택에 맡겨야 한다(16.8%) 등으로 대답했다.
관리앱의 효과에 대해서도 응답자의 절반 이상이 부정적으로 평가했다. 응답자 59.6%는 효과가 전혀 없거나 별로 없다고 답했으며, 매우 효과적이거나 약간 효과적이라고 대답한 사람은 16.7%에 불과했다. 심지어 자녀의 스마트폰에 관리앱을 설치한 응답자(62명) 중에서도 그 효과에 대해 어느 정도 이상 신뢰하는 사람은 절반을 조금 넘는 수준(51.6%)에 불과했다.
오픈넷은 “해당 설문조사는 자발적 참여로 이루어진 것이긴 하지만, 부모와 청소년을 포함한 이용자 대다수가 감시앱을 원하지 않는다는 점을 잘 보여준다. 부모의 교육권과 자녀의 프라이버시를 침해하는 스마트폰 감시법은 폐지되어야 한다”라고 밝혔다.
오픈넷은 스마트폰 감시법에 대해 헌법소원을 청구해 현재 심리가 진행중이며, 최근 방통위가 제출한 관련법 개정안에 대해서도 반대 의견을 제출한 상태다.
2017년 2월 2일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, master@
첨부: 청소년 스마트폰 관리 앱 설문조사 문항
1. 청소년 자녀(만 19세 미만)가 있으신가요?
(1) 네
(2) 아니오
2. 자녀가 있는 경우 그 나이는 몇 세인가요?
(1) 미취학아동(0~7세)
(2) 초등학생(8~13세)
(3) 중학생(14~16세)
(4) 고등학생(17~19세)
3. 청소년의 스마트폰 사용에 있어 가장 우려되는 점은?
(1) 유해정보 접속
(2) 카톡감옥, 와이파이셔틀 등 친구들의 괴롭힘
(3) 웹사이트 접속정보, 위치정보 등 개인정보의 유출
(4) 해킹 등 사이버범죄에 의한 피해
(5) 과도한 사용에 따른 스마트폰 중독
4. 2015. 4. 16.부터 청소년의 스마트폰에 유해매체물 차단수단 설치를 강제하는 전기통신사업법이 시행되었습니다. 알고 계신가요?
(1) 네
(2) 아니오
(3) 들어본 적은 있지만 내용은 잘 모름
5. 이동통신사업자가 청소년의 스마트폰에 스마트폰 관리 앱을 강제로 설치하게 하는 위 법에 대해 어떻게 생각하시나요?
(1) 찬성한다
(2) 부모의 선택에 맡겨야 한다
(3) 청소년 자율에 맡겨야 한다
(4) 스마트폰 관리앱 설치 자체에 반대한다
6. 자녀의 스마트폰에 스마트보안관이나 T청소년안심팩과 같은 스마트폰 관리 앱이 설치되어 있나요?
(1) 네
(2) 아니오
(3) 잘 모름
(4) 자녀가 없거나 스마트폰을 사용하지 않는다
7. 스마트폰 관리 앱은 누가 설치했나요?
(1) 휴대폰 구매시 사업자(대리점 등)가 설치
(2) 본인(부모)이 직접 설치
(3) 자녀(청소년)가 직접 설치
(4) 자녀가 없거나 설치되어 있지 않다
8. 스마트폰 관리앱을 사용하시는 이유는 무엇인가요?
(1) 자녀가 성인물 등 유해정보를 보지 못하게 하기 위해
(2) 자녀의 스마트폰 사용시간을 관리하기 위해
(3) 자녀가 괴롭힘을 당하지 않는지 확인하기 위해
(4) 자녀의 위치를 추적하기 위해
(5) 기타
(6) 해당없음
9. 스마트폰 관리앱이 유해정보를 얼마나 효과적으로 차단한다고 생각하시나요?
(1) 전혀 효과적이지 않다
(2) 별로 효과적이지 않다
(3) 보통
(4) 약간 효과적이다
(5) 매우 효과적이다
10. 정부가 개발해 보급한 유해물 차단 앱인 “스마트보안관”의 보안이 취약해 사용자를 해킹 등 보안 위험에 노출시키고 있음이 밝혀졌습니다. 차단수단 설치 강제 법을 어떻게 해야 한다고 생각하십니까?
(1) 유해정보 차단이 가장 중요하므로 법을 유지해야 한다
(2) 차단수단의 보안을 확보할 수 있는 방향으로 법을 개정해야 한다
(3) 부모의 교육권과 자녀의 프라이버시를 침해하는 법이므로 폐지해야 한다
(4) 기타
[관련 글]
시민들의 의견
댓글 달기