[오픈넷 포럼 요약문] 빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

지역

[오픈넷 포럼 요약문] 빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

익명 (미확인) 님 | 목, 2016/03/24- 13:11

[오픈넷 포럼 요약문]

빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

- 빅데이터와 사물인터넷 시대에 개인정보는 어떻게 보호되어야 할까요? (2016.03.21. 개최)

* 참조(발제문 및 토론문): http://opennet.or.kr/11312

빅데이터와 사물인터넷 시대에 개인정보는 어떤 범위에서 얼마나 보호되어야 할까요? 최근 가장 논란이 되고 있는 것은 과연 비식별화 정보가 개인정보인가?입니다. 요즘 주목받고 있는 빅데이터, 사물인터넷 사업을 하기 위해서는 개인정보를 활용하는 것이 필요합니다. 이때 비식별화 정보는 개인정보가 아니므로 제한없이 자유롭게 이용할 수 있어야 할지, 비식별화정보라 하더라도 개인정보보호 위반의 문제가 발생하므로 여전히 보호가 필요한 것인지에 대해 의견이 분분합니다. 이번 오픈넷 포럼에서는 개인정보의 비식별화 관련된 쟁점들을 살펴보고 개인정보를 보호하면서도 산업 발전에 이용할 수 있도록 하는 방향의 해결책을 함께 모색해보고자 합니다.

Ⅰ. 발제

개인정보 비식별화 또는 익명화 쟁점 (심우민 | 국회입법조사처 입법조사관)

발제를 진행한 심우민 입법조사관은 세계적으로 개인정보보호입법과 관련해서 어떠한 쟁점이 있는지를 설명한 후 방송통신위원회에서 2014년 발표한 ｢빅데이터 개인정보보호 가이드라인｣을 비판적으로 검토하고, 개인정보보호 관련 입법 시 고려해야 할 요소가 무엇인지 설명하였습니다. 그리고 개인정보보호법제의 패러다임 변화가 필요하다는 점을 강조하였습니다.

먼저 개인정보 보호입법 개선논의는 급격한 정보화를 겪고 있는 대부분 국가들의 문제라고 하며, 우리나라 개인정보 개념정의 규정이 매우 포괄적이어서 문제가 있다는 지적이 있지만, 실제 각국의 개인정보 보호법제의 개념정의 규정들과 비교해보면 우리나라보다 포괄적인 경우도 존재한다고 지적하였습니다. 물론 형사제재의 경우에는 과도하다는 문제가 있다고 합니다.

개인정보 보호법제를 둘러싼 논란은 결국 빅데이터, 사물인터넷과 같은 새로운 정보통신 환경의 변화로부터 기인하였으며, 근원적인 이유 중 하나는 개인정보 또는 프라이버시 보호법제의 ‘패러다임 교착현상’ 때문이라고 합니다. 프라이버시와 같은 개념은 모호하고 추상적입니다. 그런데 이러한 프라이버시를 보호하기 위해 세계각국의 현행 법제들과 법원은 개인정보자기결정권이라는 권리 개념을 만들어서 식별성을 전제한 개인정보를 보호하고 있습니다. 그러나 식별성이 전제되지 않은 프라이버시 개념이든, 식별성이 전제된 개인정보든 결국 법원의 해석을 요구한다는 것입니다.

예전에는 정보와 결합해서 개인정보가 식별성을 가지는 경우가 많지 않았으므로 개인정보자기결정권을 정의하는 것이 용이하였으나, 빅데이터 등이 등장하는 현재의 기술적 발전상황에서는 결국 법원의 해석 여지가 더욱 넓어지고 개인 식별 가능성을 중심으로 한 현행 개인정보보호법제는 한계에 이르게 됩니다. 그 결과 식별 가능성을 전제로 정보주체의 개인정보자기결정권의 실현방식을 동의권을 중심으로 규정하고 있는 현행 법제 또한 한계에 봉착하게 되는 것입니다.

방송통신위원회가 2014년 12월에 공표한 ｢빅데이터 개인정보보호 가이드라인｣의 주요내용은 ①개인정보의 개념 설정과 ②동의요건의 면제입니다. 가이드라인을 살펴보면 제2조에서 비식별화 정보에 대해 설명하고 있는데 그 중 가명처리(pseudonymous)를 포함하고 있습니다. EU Directive에서는 가명처리는 적절한 익명화(또는 비식별화) 방법이 아니라고 하였는데 우리나라의 경우에는 이를 비식별화 방식으로 포함시키고 있다는 점이 특징입니다.

최근 EU의 GDPR논의에서 가명처리정보(pseudonymous data)도 개인정보의 일종으로 포함시켜 규제하기 위한 시도가 이루어지고 있다는 점도 유의할 필요가 있다고 합니다. 이 가이드라인을 법처럼 적용하려는 시도가 많습니다. 그러나 가이드라인의 경우 현행 개인정보법제와 개인정보 요건이 다르고, 동의요건을 면제하고 있으므로 기본권으로서 개인정보자기결정권 제한 가이드라인제정이 아니라 현행법을 개정해야 한다고 합니다. 참고로 EU Directive의 경우 어떤 규범력을 가지는 법적인 근거로 작용하고 있지는 않다고 합니다.

결국 심우민 입법조사관이 강조하는 것은 개인정보 보호법제의 패러다임이 변화해야 한다는 것입니다. 식별정보와 비식별정보를 구별하지 않고 모두 보호대상으로 하며, 실질적인 위험을 기반으로 하는 정보에 대해 규제 및 집행이 이루어져야 한다는 것입니다. 현재 산업계를 중심으로 보호영역을 축소해야 하고, 동의요건을 개정해야 한다는 의견이 많지만 그것이 입법에 있어서의 본질적 문제는 아니라고 합니다. 실질적인 이용자 프라이버시 보호방안에 대한 진지한 고민이 더 필요하다는 것입니다.

Ⅱ. 토론

1. 개인정보보호에서 비식별화의 기술적 문제점과 트렌드 (이영환 | 건국대학교 기술경영학과 교수)

이영환 교수는 우리나라의 경우 기술과 관련된 법을 만들 때 기술자와 같은 전문가에게 묻지 않고 법을 만드는 것이 문제라고 합니다. 가장 먼저 생각해야 하는 것은 알고리즘이라고 합니다. 즉 정밀한 알고리즘을 바탕으로 하여 비식별화하는 것이 맞는것인지 생각해야 한다는 것입니다.

현재 비식별화(deidentification)는 알고리즘이 정확히 나오고 있으며, 익명화(anonymisation)는 정확한 알고리즘이 나오지 않고 있다고 합니다. 현재 익명화된 정보의 다양성을 확보하도록 하여 유용성을 확보하면서도 개인정보를 추출하기 어렵도록 하는 비식별화 알고리즘이 있습니다.(K-anonymization, T-closeness) 다만 문제는 비실용적이라는 것입니다(NP-Hard). 파일 하나 익명화하는데 3,500년이 걸릴 수 있다고 합니다.

이때 제일 좋지 않은 방향은 비식별화를 전제로 유통화를 하자고 하는 것이라고 합니다. 전혀 쓸모없는 정보를 유통시키자고 하는 것과 같다는 것입니다. 물론 개인정보를 보호하는 것은 좋습니다. 그러나 이런 식으로 데이터 유통을 막아서 가장 손해를 많이 보는 개인은 서민들입니다. 예를 들어 저축은행의 대출을 받는 사람의 50%가 30%대의 금리에 시달립니다. 이들은 대부분 중금리층 서민, 청년들입니다. 약탈적 금융에 시달리는 것입니다. 이러한 금리 양극화를 해소하기 위해서는 데이터가 유통되어야 한다고 합니다. 데이터가 없다보니 부실 비율이 높아지고, 대부업체들이 영세해지는 것입니다. 개인정보가 유통되지 못하게 막는 것이 좋은 것은 아니라는 것입니다.

우리나라의 경우 개인이 개인정보를 판매하는 길이 막혀 있다고 합니다. 그러나 외국의 경우 개인정보 데이터를 팔아서 돈을 법니다. 이영환 교수가 강조하는 것을 한 줄로 정리하면 “데이터는 유통되어야 한다”입니다. 개인정보 보호보다 더 중요한 것이 유통이며, 데이터 유통을 위한 새로운 비즈니스에 나서야 한다는 것입니다. 몇몇 개인의 개인정보를 보호하기 위해 산업을 그만둬야 하는 것은 아니라는 것입니다.

2. 비식별화된 개인정보 문제 (박경신 | 고려대 법학전문대학원 교수)

박경신 교수는 개인정보보호법에 대해 너무 어렵게 생각하는 것이 인권 차원에서든 산업 차원에서든 제대로 된 대응을 어렵게 한다고 합니다.

먼저 개인정보의 개념과 관련하여 어느 나라든 식별가능성이 개인정보의 요건이며, 식별가능성이 없으면 개인정보가 아닌 것이라고 합니다. 그런데 이러한 개인정보의 식별가능성은 누구의 기준이냐에 따라서 다르다고 합니다. 즉 개인정보는 상대성을 가진다는 것입니다. 예를 들어 이동통신사가 가지고 있는 통화기록은 고객정보를 가진 이동통신사에게는 개인정보가 됩니다. 그러나 고객정보를 가지지 않은 제3자에게는 개인정보가 아니라고 합니다.

방송통신위원회의 가이드라인에 대해 시민단체들이 반대했던 이유 중 하나는 이동통신사가 고객의 통화기록을 가지고 있는데, 이 통화기록이 이동통신사에게는 개인정보가 되지만, 이를 비식별화해서 제3자에게 넘겨주면 제3자에게는 개인정보가 되지 않는다는 점이었다고 합니다. 이 점을 어떻게 해석할 것인가? 하는 문제 때문에 분쟁이 발생하였다는 것입니다.

이동통신사가 고객통화기록을 넘겨줄 때 원본을 통째로 넘겨주는 것이 아닙니다. 복제본을 만들어서 그 복제본을 비식별화해서 넘길 것입니다. 그렇다면 비식별화한 복제본을 만들었다 하더라도 원본 데이터베이스를 가지고 있게 됩니다. 통화기록에 대해 제3자가 본래 넘긴 목적과 다른 목적의 연구를 진행할 경우 이동통신사는 그 연구결과를 통해 통화기록을 넘길 때와 다른 목적의 가공된 개인정보 데이터를 취하게 됩니다. 이것은 개인정보보호법의 취지에 반한다고 합니다.

그래서 2015. 12. GDPR 에서는 가명화 데이터에 대한 규정들을 두었다고 합니다. 제6조, 제7조가 가장 중요한 조항인데, 예외로서 암호화 및 가명화를 고려하여 수집 목적과 다른 목적으로 이용 가능하지만 가명화할 때는 실명화되지 않기 위한 기술적 조치를 요구합니다. 가명화가 익명화가 아니라고 하는 경우는 재실명화가 합리적으로 개연성이 있을 때를 말한다고 합니다. 이동통신사의 예를 들자면 원본 데이터를 가지고 있고, 데이터 복제본을 떠서 데이터 연관 회사에 넘겼을 때 원본 데이터(Key)를 가지고 있으면 몇 가지 정보를 가지고 누구의 정보에 대해 연구한 것인지 알게 됩니다. 그런 것들을 할 수 없도록 조치를 하라는 것입니다. 즉 키가 되는 데이터들을 조직 내에서 접근할 수 있는 사람을 제한하고 암호화할 것을 요구하는 것입니다.

박경신 교수는 이 문제는 매우 구체적인 문제라고 하며, 심우민 조사관이나 이영환 교수가 말한 것처럼 근본적인 가치 판단을 요구하는 복잡한 문제는 아니라고 하였습니다. GDPR에 나와 있는 가이드라인에 따라서 재실명화하는 Key에 대한 보안, 조직적 격리 조치를 통해서 비식별화한 데이터가 산업적으로 쓰일 수 있도록 하는 방법이 있지 않을까 생각한다며 토론을 마무리 지었습니다.

3. 익명화, 비식별화, 개인정보에 관하여 (전응준 | 유미 법무법인 변호사)

전응준 변호사는 익명화, 가명화, 비식별화라는 용어의 정의를 먼저 짚었습니다. 먼저 ｢익명화｣(anonymisation)는 독일 연방데이터보호법에 정의가 나온다고 합니다. 주목할 것은 합리적인 비용, 시간, 노력 내에서 식별이 되지 않는다면 익명화라고 보고 있다는 점이라고 합니다. 2014년 EU 데이터보호법 핸드북에서도 같은 취지로 합리적인 노력 하에서 식별이 안되면 익명화라고 보았다고 합니다.

｢가명화｣(pseudonymisation)의 경우 GDPR에서는 추가적인 정보가 없고 특정인에 대해 식별이 안되는 것이라고 정의하고 있다고 합니다. 전제조건은 추가정보가 별도로 보관되고 재식별화되지 않도록 기술적 보호조치가 취해져야 한다는 것입니다. 독일 연방데이터보호법에서는 식별자를 다른 레이블로 대체한 것, 차명 또는 가명화되고 이것이 결국 실제적으로 식별이 어렵게 되었을 때(불가능해진 것이 아니라) 가명화되었다고 봅니다. 데이터보호 핸드북도 마찬가지입니다. 결과적으로 간단한 암호화에 해당합니다.

개인정보보호법의 규제의 대상이 되지 않는 경우와 대상이 되는 경우를 구별하려면 용어 구별이 필요하다고 합니다. 익명화는 원본 데이터로 회복이 불가능한 것을 말하고, 비식별화는 식별성을 완전히 제거하는 것이 아니라 리스크를 최소화하는 것을 의미한다고 합니다. 비식별화 정보는 명백하게 개인정보에 해당합니다. EU 데이터보호법 핸드북에서도 해당한다고 밝히고 있습니다. GDPR 제10조에서는 명시적으로 가명처리한 경우 면제될 수 있다고 하고 있습니다. 그 외 제32조에서는 암호화 등 데이터를 인식불가능하게 한 경우 데이터 유출 시 정보주체에게 통지를 면제하는 등의 관련 규정을 두고 있다고 합니다.

전응준 변호사는 특히 참고할만한 사례로 미국 건강보험법(HIPAA, Health Insurance Portability and Accountability Act)을 들었습니다. 이 법에 따르면 의료정보기관이 관련 전문가의 개별적인 판단을 받고, 18개 식별자를 모두 제거하는 경우에는 프라이버시 규율에서 벗어날 수 있다고 합니다. 물론 이용자들의 프라이버시를 완전하게 침해하지 않는다고 할 수는 없지만 나름의 기준에 근거하여 의료정보에 대한 문제점을 체크할 수 있는 제도로 대중에 데이터를 제공할 수 있도록 하는 방법이므로 참고할 만하다고 합니다.

우리 개인정보보호법은 엄밀한 체계를 가지고 있다고 합니다. 일본법은 ‘익명가공정보’, ‘특정성 저감 데이터’ 와 같은 개념을 적용하여 그러한 데이터에 대해 개인정보보호법이 완화되는 시도를 한 바 있습니다. 이러한 개념이 없는 우리나라의 경우에는 일부 완화된 해석을 통해 할 수 있을 것이라 합니다. 즉 제한 해석하면 식별정보의 범위가 줄어들 수 있다는 것입니다. 독일법처럼 원본데이터로 돌릴 수 없는 정보 정도로 보는 해석이 유효하지 않나 생각한다고 합니다. 법을 개정하는 것보다는 해석론으로 해결하는 것이 더 용이할 것이라는 점도 덧붙였습니다.

결국 비식별 방법론 알고리즘, 통계적 연구가 절대적으로 필요하다고 합니다. 이론도 필요하지만 실제로 어느 정도로 비식별화 했을 때 안전하게 정보를 유통할 수 있는지가 선결적으로 해결되어야 한다고 합니다.

Ⅲ. 플로어 토론

F= Floor, A=Answer

F. 개인정보보호법이 꼭 필요한 법이기는 하지만 지나친 처벌 조항이 있어 현장에서는 개인정보를 아예 수집하지말자는 분위기가 형성되어 있습니다. 즉 정보를 모아 사업화하는 것 자체를 원천봉쇄하는 것입니다. 활용에 대해 개인의 의사 결정을 존중해주는 제도가 없습니다. 개인정보보호법은 보호를 위주로 하기 때문에 그런 방면의 생각이 결여되어 있습니다. 다른 법을 활용해서라도 그런 부분을 열어야 합니다. 빅데이터 활용을 어떻게 해야 하는지, 알고리즘은 어떤 항목을 해야하는지 구체화가 필요합니다.

A. 이영환: 하나하나 데이터를 들여다 보면서 해야 하는 부분이 있습니다. 결국 관련 연구가 지속적으로 이루어질 수 있는 팀이 필요합니다. 리포트를 계속 만들어내야 합니다.

F. 결국 어떻게 해야 하는가에 대한 구체적인 답은 없는 것 같습니다. 구체적인 방법론이 제시되지 않고 있습니다.

A. 이영환: 관련 정부 부처에서도 지속적으로 무언가 해야 한다는 필요성을 느끼지만 그것이 잘 안되고 있습니다. 연구팀이 있어야 합니다. 이런 것에 대한 가이드라인을 국가적으로 제시해야 합니다.

전응준: HIPPA 이야기를 했었습니다. 의료정보의 18개의 식별자를 정해서 그게 없으면 비식별 정보이므로 유통이 가능하고, 16개만 있으면 일부 규제를 받습니다. 즉 프라이버시 룰을 정한 것입니다. 위험성이 없다고 할 수는 없지만 미국은 이러한 방법론을 제시하고 있으므로 참조할만합니다.

박경신: Key를 자기가 가지고 있어도 암호화 또는 조직 내 보관을 잘 하고 있으면 익명정보로 보아 개인정보보호법이 적용되지 않도록 하는 반면, GDPR은 가명화를 하더라도 재실명화할 수 있는 Key를 본인 또는 조직이 가지고 있으면 그 개인정보에 대해서는 몇 가지만 제외하고 다른 개인정보와 같이 봅니다. 식별자를 떼고 넘긴다는 동의를 얻어야 할 것입니다. HIPPA 방식, 제한적 비식별화시 개인정보로 보지 않는 방식, GDPR 방식을 두고 논쟁이 있어야 하는데 그러한 논쟁 없이 방송통신위원회의 가이드라인이 나와 버렸습니다.

심우민: 리스크 매니지먼트적 접근이라는 말이 모호하기는 하지만 개인정보 개념정의의 문제로 접근하면 개념적 범주가 어디에 해당하는지를 두고 논쟁할 수밖에 없습니다. 실제로 사업자가 방지하기 위한 노력을 했느냐, 위험발생시 어떤 노력을 했느냐는 측면에서 접근을 해야 사업자로서는 규제에서 벗어날 수 있습니다. 지금 너무 개념이나 범주, 방식에만 집중하다보니 실제 풀어줘야 할 규제는 풀고 있지 않습니다. 또한 개인정보 문제로 소송을 하게 되면 이용자에게 피해가 가며, 법령상에 있는 조치만 다하면 이용자에게 책임을 전가합니다. 사업자를 위해 규제를 완화할 필요도 있지만 위험 예방적인 측면도 함께 고려되어야 합니다. 또한 사업 아이템 구상의 문제인 것인지, 식별화·비식별화가 문제인 것인지 검토해볼 필요성도 있습니다.

F. 사업은 구체적이지 않으면 시작할 수 없습니다. 구체적인 이야기를 하려고 해도 될 가능성이 없으면 드러낼 수가 없는 것입니다. 행정부와 같은 곳에서 제대로 얘기를 해주지 않습니다.

A. 심우민: 결국에는 방통위에서 가이드라인을 만들었지만 규범력을 지니지 못하므로 혼선만 초래했다고 봅니다. 개인정보규제의 동의요건 때문에 사업구상을 못하는 것은 넌센스입니다. 규제개혁을 하려면 구체적인 타깃이 필요합니다. 식별성·비식별성, 동의요건 담론으로 가는 것은 문제입니다.

F. (심우민 답에 대한 반론) 우리나라는 무조건 개인정보 수집을 통제하는 데 골몰하고 있습니다. 사업을 할 때 가장 불만인 것이 불확실성입니다. 예측불가능한 경우에는 사업을 시작할 수 없습니다. 우리나라의 개인정보 정의 규정만 보면 뭐가 뭔지 모르겠고, 결합가능성 하나 때문에 되느냐 안되느냐를 고민하게 됩니다. 휴대폰 뒷자리, 유심번호 등이 개인정보라고 판단되는 현실에서 다른 생각을 하기도 어렵습니다. 모든 데이터가 개인정보가 될 수 있습니다. 내가 가지고 있는 정보에 이동통신사의 정보가 결합되면 또 개인정보가 됩니다. 정의가 지나치게 넓게 해석되고 있습니다. 그것을 줄이기 위해 정의규정이 문제라고 하는 것입니다. 업계에서 볼 때 우리나라 법제에서는 포괄적 묵시적 동의가 불가능합니다. 다른 나라에서 가능한 방식이 우리나라에서는 불가능합니다. 무엇 하나 잘못하면 형사처벌을 받게 됩니다. 이러한 상황에서 어떻게 서비스산업이 발전하겠습니까. 우리나라는 예외규정이 없어서 무조건 다 동의를 받아야 합니다. 예를 들어 119 구급대가 경찰에게 정보를 동의 없이 넘겨주지 못합니다. 그래서 집 근처를 수색하다가 결국 피해자가 범죄의 피해를 입기도 하는 사건이 있었습니다. 모든 상황에서 결합된 상태의 서비스를 하지 못하게 합니다. 그러다보니 찾은 것이 비식별화 논의입니다. 어떻게든 동의를 받아서 수집하였는데 다른 목적이 생기면 동의를 새로 받아야 합니다. 내가 가진 정보를 비식별화하면 뭔가 할 수 있는 것이 아니냐고 하는 것이 비식별화 논의입니다. 예외를 만들어보자는 것입니다. 현재 입법론이 많이 제시되고 있지만 전혀 진전이 없습니다. 빅데이터, 사물인터넷, 인공지능이 나오는 상황에서 업계에서는 방법이 없습니다.

F. 방송통신위원회의 가이드라인은 개인정보자기결정권을 가이드라인을 통해 제한한다는 점에서 위헌적입니다. 다른 나라는 결합정보 해석, 정의 규정 리스크가 있음에도 결합정보는 잔존 리스크 단계에서만 판단하겠다는 스탠스를 취하고 있습니다. 그런데 그에 대한 기본적 해석이 전혀 이루어지지 않은 상태로 외국의 법제를 받아들이는 것은 문제라고 봅니다. 리스크 매니지먼트를 쉽게 말하지만 잔존리스크 논의가 빠져 있습니다. 수집·처리·폐기과정을 한 사람이 하는 것에 반대합니다. 다른 나라에는 수집·처리·폐기 단계별 리스크 관리가 있습니다. 목적 구속 원칙이 가장 강력하게 적용되는 것이 처리 단계입니다. 개인정보보호법의 취지에는 이용을 위한다는 목적도 있습니다. 정의규정을 바꿔서 문제를 해결하기보다는 정의규정이 원래 가진 의미를 파악하는 것이 더 중요하다고 생각합니다. 리스크라는 예측불가능성에 초점을 맞추지 않는 한 변하는 것이 없습니다.

A. 심우민: 사업자 입장에서 말씀해주셨는데, 어느나라든 각국에서 정의규정에 입각했을 때 누군지 알아볼 수 있다는 표현에 입각해서 명확하게 정하지 못하는 것은 우리나라의 문제만이 아닙니다. 사법부의 해석이 문제입니다. 리스크는 사법부의 해석이 높여놓은 것입니다. 입법의 영역에서 정하는 것은 입법기술상 불가능합니다. 해석의 문제를 입법의 문제로 해결하기는 어렵습니다.

F. 기본적으로 개인정보보호법을 규제하기 위한 것이라고 보니까 문제가 된다고 봅니다. 일본의 경우 개인정보보호법 제정을 한 것은 개인정보보호법 체계 내에서 예외를 만들기 위한 것입니다. 그 예외를 위한 개념이 가명처리정보입니다. 이 법이 들어온 계기나, 예외적으로 들어온 취지에 비추어보면 규제를 완화하기 위한 것이라고 봅니다. 다만 심우민 조사관님이 말씀하신 새로운 패러다임은 이해가 잘 가지 않습니다. 개인정보자기결정권은 권리이므로 동의가 없으면 위반인데 어떻게 형량이 들어갈 수 있나요? 위험성과 해악 사이의 비교형량이라면 심우민 조사관님이 제시한 표4는 문제가 있습니다.

A. 심우민: GDPR의 입법연혁을 봤을 때 가명정보와 같은 것은 규제를 위한 측면과 활용의 측면을 모두 가지고 있습니다. 표현의 문제가 있었던 것은 맞습니다. 권리의 개념이라는 것도 해석적 형량이 필요한 부분이고, 그 부분에 대해 형량이나 해석을 함에 있어서 위험에 대한 고려가 들어가는 것이 새 시대의 새로운 법적 패러다임이라고 생각합니다.

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

(사이버)테러방지법안의 문제점을 정리하였습니다

요약문:

여야가 합의했다고 보도가 계속 나오는 테러방지법(사이버테러방지법을 포함하는 의미입니다)의 문제점을 인권시민사회단체가 정리해 보았습니다. 테러방지법의 전체적인 문제점은 첨부파일을 참고하시기 바랍니다

* 여야가 합의했다고 보도가 계속 나오는 테러방지법(사이버테러방지법을 포함하는 의미입니다)의 문제점을 인권시민사회단체가 정리해 보았습니다. 테러방지법의 전체적인 문제점은 첨부파일을 참고하시기 바랍니다

발표일자:

2015/12/02

나머지 보기

패킷감청, 통신비밀, 형사사법, 공안기구사찰, 프라이버시, 의견서 및 소송

수, 2015/12/02- 11:50

193

긴급세미나 <테러방지법과 사이버테러방지법, 무엇이 문제인가>

요약문:

새정치민주연합 국회정보위원회는 민간 전문가들과 함께 테러방지법 및 사이버테러방지법의 문제점에 대한 긴급세미나를 개최합니다. 민주주의법학연구회, 민주화를위한전국교수협의회, 정보인권연구소 등 연구단체들이 공동으로 주관하며 테러방지법안과 사이버테러방지법안의 문제점 및 대안에 대하여 심도 깊게 검토할 예정입니다.

발표일자:

2015/12/04

나머지 보기

통신비밀, 프라이버시, 토론회 및 강좌, 사이버테러방지법, 테러방지법

금, 2015/12/04- 13:43

554

테러방지법 제정 반대 인권·시민단체-국회 공동 기자회견 개최

요약문:

기자회견에 함께한 의원들과 인권․시민사회단체는 테러 관련 법안들이 국정원에 무소불위의 권한을 줌으로써 시민들의 인권을 침해하고 민주주의를 훼손할 수 있다는 점을 지적하며 법 제정을 강력히 반대한다는 뜻을 명백히 밝혔다.

발표일자:

2015/12/10

나머지 보기

패킷감청, 통신비밀, 형사사법, 공안기구사찰, 프라이버시, 기자회견

금, 2015/12/11- 08:33

320

노동악법, 서비스산업발전기본법, 원샷법, 테러방지법 여야 합의처리 결사저지 기자회견

요약문:

박근혜 대통령 및 새누리당은 노동악법과 서비스산업발전기본법, 원샷법, 테러방지법 등을 정기국회 내에서 처리하겠다고 밝히고 있음. 따라서 노동․시민사회․청년단체와 정의당은 악법들을 여야가 합의처리하는 것을 결사저지하기 위해 공동 기자회견을 개최하기로 함

발표일자:

2015/12/09

나머지 보기

패킷감청, 통신비밀, 형사사법, 공안기구사찰, 프라이버시, 기자회견, 노동악법, 서비스산업발전기본법, 원샷법, 테러방지법

금, 2015/12/11- 08:32

397

2015 IGF 인터넷가버넌스포럼 참가 후기

글 | 김가연(오픈넷 변호사)

일시: 2015년 11월 9일 – 11월 14일
장소: 조앙 페소아, 브라질

○ 11월 9일 월요일(Day 0)

참여세션: 디지털 인권을 위한 기업 책임성: 국제적 연구 및 활동 네트워크 만들기(Corporate Accountability for Digital Rights: Building a Global Research and Advocacy Network)

- 주최: Rebecca MacKinnon, Director, Ranking Digital Rights, New America Foundation

- 세션 소개

○ 11월 11일 수요일(Day 2)

참여세션 1: WS31 잊혀질 권리 결정과 그 함의(The “Right to be Forgotten” Rulings and their Implications)

- 주최:
Mr Sérgio Branco – Instituto de Tecnologia e Sociedade do Rio de Janeiro
Ms Marianne Franklin – Internet Rights and Principles Coalition /Goldsmiths (University of London, UK)
Mr Hernán E. Vales – Office of the United Nations High Commissioner for Human Rights

- 세션 소개
- 세션 전체 속기록

- 김가연 변호사 발표 내용:
KELLY KIM: This discussion on the right to be forgotten is very important especially in Korea, as the Korean Communication Commission, which is FCC of Korea, is considering adopting a right-to-be-forgotten law since the ECJ decision Google Spain came out. It hasn’t been particularly successful yet, but we are worried that we might become the first country to have the right to be forgotten statute, on top of rigorous online censorship carried out by an administrative agency called the Korea Communications Standard Commission which is taking many lawful contents down whenever it’s “necessary for nurturing sound communication ethics.” a standard as vague and amorphous as the standards used by the Google Spain decision: ‘excessive’, ‘obsolete’, ‘irrelevant’.

Data Protection law in general defines “personal Information” as information related to a living individual and gives the data subject the power to control his or her personal data. A tenet that “one owns data about him or her (and therefore should have control over that data)” sounds good but is not always sustainable and compatible with respect for others’ freedom of thoughts and expressions. For example, “Kelly Kim is a lawyer” is data about me that is known to many already. And the question is, when and under what grounds can I control this perfectly lawful data about myself, that resides in other people’s heads, that is non-defamatory and non-privacy-infringing?

Well, the Google Spain case was one answer to that Question, which we consider more or less lousy. One reason is that the information deindexed, which was a hyperlink, was already publicly available data, which was published in the newspaper. So applying data protection law on such information is against its original purpose, because the data protection law was meant to protect data that are not publicly available and thus within the privacy area. We wanted to protect privacy through a data protection law. We should not protect people’s desire to wipe out unfavorable or embarrassing information about themselves.

Let me give you an example on how the right to be forgotten can be abused.

Korea became independent of a 36-year Japanese colonial rule in 1948. Many Korean people collaborated with the colonial administration and exploited their fellow Koreans.The issue is current because, unlike Germany or France, there has been no government-sponsored efforts to indict and bring to justice those collaborators who number in tens of thousands. And many were not public figures during the colonial periods and they have never been. Some of them were the officers or civic servants who carried out the military logistics and tactics of the Japanese invasion through Asia, which reached as far as Myanmar. And now there is an NGO-led effort to keep the encyclopedia of these Korean collaborators. Of course, the collaborators and the descendants are contesting these efforts. So, in this case, if the right to be forgotten law in the sense of Google Spain is in place, any links to the encyclopedia or the entries themselves may be required to be taken down for the reason that their past wrongdoings are now obsolete because it was more than half a century ago.

So we should stop talking data ownership and start talking about privacy. And the right to be forgotten should not be applied to data that are publicly available, although it’s about an individual. Thanks.

참여세션 2: WS60 ICT 기업의 디지털 인권 순위 측정(Benchmarking ICT companies on Digital Rights)

- 세션 소개
- 세션 전체 속기록

참여세션 3: WS142 잊혀질 권리 사례들에서 우리는 무엇을 배웠는가?(Cases on the right to be forgotten, what have we learned?)

- 세션 소개
- 세션 전체 속기록

- 김가연 변호사 발표 내용:
KELLY KIM: This discussion on right to be forgotten or the right to be de-indexed is important for Korea as Korean government and the Korean Communication Commission, which is the U.S.’s FCC of Korea is considering adopting a right-to-be-forgotten law since the ECJ decision Google Spain came out. However, it hasn’t been particularly successful yet because right to be forgotten in a broad sense is very widely recognized in Korea already.

Firstly, we already have a law under which an individual can compel intermediaries to take down information that is allegedly defamatory or infringing on privacy. And what makes this law similar to the right to be forgotten is that information is required to be taken down simply upon allegation short of any proof of infringement. So every year, more than 200,000 postings are being taken down by the intermediaries, simply for a reason that that data subjects do not like the postings about them. Marianne just mentioned stats from Google that last year like 228,000 requests were received. So you can tell how bad the situation is in Korea. and that means we have that many individual cases that year.

Secondly, we also have an administrative agency called the Korea Communications Standard Commission, which exercises rigorous online censorship. Korea Communications Standard Commission is empowered by the law to make takedown requests on even lawful contents, whenever it is “necessary for nurturing sound communication ethics.” Any lawful content can be taken down by the Korea Communications Standard Commission if it violates the standard. This is a standard as vague and amorphous as the standards used by the Google Spain decision: which are ‘excessive’, ‘obsolete’, ‘irrelevant’.

Thirdly, we have criminal defamation law that punishes even non-privacy infringing, truthful statements, which allows a data subject not only to request takedown but also to criminally punish others for saying bad but true statements about him or her.

And fourthly and finally, you also have data protection law that may or may not give a data subject a blanket authority to demand data erasure about him or her. Well, apparently there aren’t many such requests made, so we don’t have a court case yet.

I just want to underline that if we limit right to be forgotten only to de-indexing from the search, okay, we don’t have any case yet. However, we don’t need a such right in Korea because there are many legal tools that I just illustrated that are used to expunge online information that you don’t like.

So we want to protect privacy through data protection law. We should not protect people’s desire to wipe out unfavorable or embarrassing information about themselves. Think about a word where only favorable or delightful information about a person lasts. I don’t want to live in that world. Thank you.

○ 11월 12일 목요일(Day 3)

참여세션: WS169 인터넷 관측소 설립: 접근법과 도전(Building Internet Observatories: approaches and challenges)

- 주최:
Diego R. Canabarro / Carlos Affonso de Souza – Brazilian Internet Observatory, Multistakeholder Initiative

- 세션 소개
- 세션 전체 속기록

- 김가연 변호사 발표 내용:
KELLY KIM: Open Net is a Civil Society Organization fighting for digital rights in Korea. We are supporting the Korea Internet Transparency Report project, which is very well staffed as we have one full‑time lawyer. The methodology of the project is, we gather all legally available data on government requests related to internet transparency, which are online censorship and surveillance. And then we analyse the data and present observations and findings in accessible form and you will find them on the website. PDF version of our report is also available.

And the sources of the data are varied from government to private companies. And the aim of the project is: promoting civic awareness of online censorship and surveillance carried out by the government; promoting transparency reporting of both the government and private companies; and raising issues and making the public aware of the problems associated with the government’s practices and policies of Internet censorship and surveillance, and in the end, bring about changes.

So the project launched last year. And interestingly, two major Internet companies in Korea, which are Daumkakao and Naver, started to publish transparency reports in few months. So we considered it a great achievement and we also proposed a Bill together with National Assembly members mandating Government’s transparency reporting on mass surveillance.

And also we are involved in Stanford’s WILmap project in building South Korea page. And the map has been very useful in our advocacy for fixing intermediary regime in Korea. I must say we have been integrating the data and observations with our actions in promoting user rights on the Internet very effectively. Thank you.

○ 11월 13일 금요일

참여 세션: WS 242 정보매개자 책임에 관한 마닐라원칙(The Manila Principles on Intermediary Liability)

- 세션 소개
- 세션 전체 속기록

- 김가연 변호사 발표 자료: 151113 Manila Principles(Kelly Kim)

오픈블로그, 표현의 자유, 프라이버시, 2015 IGF, 김가연, 디지털 인권, 마닐라원칙, 인터넷가버넌스포럼, 잊혀질 권리, 정보매개자 책임

수, 2015/12/16- 16:07

478

[공동논평] 금도를 벗어난 청와대의 대국회 테러방지법 처리 강요

요약문:

어제(12/15) 현기환 정무수석이 정의화 국회의장을 찾아가 테러방지법안을 포함해 노동개혁안 등 쟁점법안들의 직권상정을 요구한 것으로 알려졌다. 국회의 입법권을 노골적으로 침해하면서까지 테러방지법안을 처리하려는 청와대의 의도를 묻지 않을 수 없다. ‘국정원 강화법’인 테러방지법안을 통과시키고자 삼권분립 원칙을 위반하는 박근혜 정부의 비민주적 태도는 비난받아 마땅하다.

[공동논평]

발표일자:

2015/12/16

나머지 보기

패킷감청, 통신비밀, 형사사법, 공안기구사찰, 프라이버시, 논평

수, 2015/12/16- 18:14

278

캐나다 토론토대학 시티즌랩 주최 워크샵 CLSI 참가 후기(한국인터넷투명성보고팀)

글 | 손지원 (변호사, 고려대 한국인터넷투명성보고팀 연구원)

오픈넷과 협력하는 고려대 한국인터넷투명성보고팀은 지난 6월 캐나다 토론토대학교 산하 시티즌랩에서 주최한 워크샵 프로그램인 Citizen Lab Summer Institute에 참가하였다. 본 워크샵에서는 캐나다, 미국, 영국, 홍콩, 대만, 한국, 콜롬비아, 등 각국의 인터넷 인권 관련 시민단체 및 학계 등의 다양한 분야의 전문가들이 모여 인터넷 인권 관련 이슈를 논의하였다.

이번 워크샵에서는 특히 통신 감시, 검열 현황에 대한 ‘투명성보고’ 연구를 집중적으로 다루는 패널 세션 및 그룹회의가 구성되어, 투명성보고의 최신 경향 및 투명성보고가 앞으로 나아가야 할 방향에 대하여 논의하였다.

첫 날 ‘공공과 기업의 투명성’이라는 주제의 세션에서는, 캐나다 프라이버시 위원회(Privacy Commissioner of Canada)의 Chris Prince의 사회로, Teksavvy의 Bram Abramson, 홍콩 투명성보고의 Jennifer Zhang, Access에서 기업 투명성보고를 분석하는 Peter Micek, 그리고 한국 투명성보고서의 손지원 연구원이 패널로 참여하여, 각자의 경험을 바탕으로 각국의 투명성보고의 경향, 투명성보고를 촉진, 발전시키는 방법 및 한계 등에 대하여 의견을 발표하였다.

손지원 연구원은, 온라인 메신저 대량 감시 사태가 이슈화되자, 국내 네이버, 다음의 양대 사업자들이 경쟁적으로 투명성보고서를 발간하기에 이르른 한국의 최근 상황 및 한국 정부의 투명성 및 공개 수준에 대하여 설명하였다. 이를 바탕으로, 국가 단위의 투명성보고를 촉진하기 위하여는 입법으로 의무화하는 것이 가장 중요하고, 기업의 투명성보고를 촉진하기 위하여는 대중의 관심을 끌 수 있는 사안을 발굴하여 이슈화하는 것이 중요하다고 밝혔다. 또한 투명성보고의 궁극적 목적은 대중의 역감시를 가능하게 하고, 정부 및 기업이 과도하게 통신을 검열, 감시하는 관행을 억제시키는 것이기 때문에, 단순히 수치를 중립적으로 제공하기보다 대중의 관심을 끌 수 있는 개별 사안에 대한 이슈화 및 비평들의 역할도 필요하다는 의견을 제시하였다.

이어진 2일 간은 소규모 그룹회의를 통하여 워크샵 참여자들의 투명성보고의 발전 방향에 대한 구체적이고 심층적인 의견교환이 이루어졌다.

‘주요 투명성보고 데이터의 세팅 및 접근, 구조 (Structure of, and Access to, Primary Transparency Datasets)’를 주제로 이루어진 회의에서는, 최근 공개되고 있는 정부 및 기업의 데이터의 종류와 그 근거 규정, 그 한계와 보충되어야 할 항목들에 대한 논의가 이루어졌다.

특히, 접근 부분에 관해서는 투명성보고서를 공개하고 있는 경우에도, 정부와 기업 모두 데이터 혹은 투명성보고서를 쉽게 찾을 수 없도록 하고 있어, 적극적으로, 접근하기 쉬운 방법으로 제공되고 있는 것으로 보이지 않는다는 점이 지적되었다. 또한 기업 보고서의 경우, 텍스트나 표 시트가 아닌 이미지 등으로의 제공은 오히려 데이터를 활용, 분석하는 데에 있어 복사, 붙이기 등의 작업을 어렵게 한다는 문제점이 있으므로, 이를 용이하게 하는 방향으로 데이터가 공개되어야 한다는 의견도 있었다.

단순히 요청 건수, 제공 건수만 공개하는 것은 질적 평가를 불가능하게 한다는 것이 공통된 의견이었다. 따라서 1. 요청 형식 (공식/비공식, 긴급/일반, 영장유무), 2. 제공 사항 (통신내용/통신기록/신원정보), 3. 목적 및 근거 규정 (죄명 등), 4. 요청 기관명, 5. 관련 서비스 유형 (메일, 메신저, 동영상, 게임 등), 6. 사후 기소율, 유죄판결율 등과 같은 구체적 데이터 항목이 공개될 필요가 있다는 의견이 오갔다. 또한 특히 기업 보고서의 경우에는, 기업이 이용자의 권리를 잘 보장하고 있는지를 평가하여야 하므로, 제공 근거규정에 대하여 단순히 법률만을 인용할 것이 아니라, 각사의 정책에 따른 구체적인 검토, 제공 기준을 공개하고, 구글이 하고 있는 것과 같이 특히 문제될 수 있는 사안에서 제공을 거절 사례와 그 이유를 서술하는 방식의 항목이 필요하다는 의견이 있었다.

각 기업의 투명성보고서를 비교, 분석하는 작업을 하는 연구자들의 입장에서는, 나라별로 제도가 다르고, 또한 기업별로 공개 항목도 달라 연구에 상당한 고충이 따르고, 또한 더 나은 투명성보고 관행을 수립하기 위하여 투명성보고서의 표준화 작업이 필요하다는 데에 입을 모았다.

‘주요 데이터 수집 및 게시 방법론(Methods of Gathering and Presenting Primary Data)’을 주제로 한 회의에서는, 각 연구자들이 어떻게 데이터들을 수집하고, 종합하여 일반에게 게시하고 있는지, 효율적인 투명성보고를 위하여 중점을 두어야 할 것이 무엇인지를 논의하였다.

각 국가 내에서 이루어지는 감시, 검열 현황을 관리하는 중앙화된 시스템이 없는 경우에는, 개별 기관마다 따로 정보공개청구를 하여야 하고, 국가 전체적으로 이루어지는 현황을 파악할 수 없다는 한계가 있었고, 또한 이러한 관리와 공개를 의무화하는 근거규정이 없는 이상, 개별 기관들도 공개요청에 불응하는 경우가 많기 때문에, 입법으로 중앙화된 관리와 공개를 의무화하는 것이 가장 효율적인 정책 전략임이 시사되었다. 스노든 사태 이후, 각국 정부의 투명성보고 책임에 대하여 관심이 집중되고 있고, 앞으로 APEC, OECD 등 국제회의에서도 정부의 투명성보고가 주요한 이슈가 될 것이라는 예측도 있었다.

투명성보고서를 발간하는 기업이 늘어남에 따라, 더 나은 투명성보고 관행을 촉진하기 위하여, 각 기업의 투명성보고 수준을 평가하고 순위를 매기는 시민단체의 활동도 있었다. 이러한 활동은 각 사업자들이 모범적인 사례를 따르도록 유인할 수 있다는 면에서 고무적이라는 평가가 일반적이었다.

국가별 투명성보고서의 리스팅 작업과 투명성 수준에 대한 평가 작업에 대한 논의도 오갔다. 비록 공개되고 있다고 하더라도 언어와 제도가 달라서 분석에 어려움이 따를 것으로 예상되지만, 감시, 검열 현황을 공개하지 않고 있거나, 혹은 공개 수준이 낮은 국가들에게 다른 국가의 공개 사례를 근거로 제시하는 것만으로도 공개 요청에 있어 중요한 자료가 될 수 있으므로, 참여자들이 함께 이러한 작업에 힘쓰기로 하였다.

전체적으로 투명성보고 관련 논의에 있어서 연구자들이 가장 신경쓰는 부분은, 투명성보고서가 사회에 메세지를 던질 수 있는, 중요한 자료가 될 수 있는가였다. 이를 위해서는 더 구체적인 내용에 대한 투명성이 필요한데, 아직 정부도, 사업자도, 통신 감시, 검열 행태에 대하여 대중이 정확한 평가를 내릴 수 있을 정도의 데이터는 제공하지 않고 있다. 더 나은 투명성을 확보하기까지는 상당한 시간과 노력이 필요할 것으로 보이고, 투명성보고만으로 정부나 기업의 행태가 가시적으로 변화하지는 않겠지만, 포기할 수는 없는 영역인 것이다. 이번 워크샵은 이러한 장기적인 주제에 대하여 각국, 각계의 연구자들이 머리를 맞대고 발전방향을 모색하고 국제적인 모범 기준을 세우는 지속적인 연대활동의 중요성을 일깨워주는 소중한 시간이었다.

* 함께 읽기: Citizen Lab Summer Institute 2015 참가 후기(오픈넷/김가연 변호사)

오픈블로그, 프라이버시, CLSI, 손지원, 시티즌랩, 인터넷투명성보고, 통신감시

월, 2015/12/21- 10:49

523

주민등록번호 변경의 필요성을 확인한 헌법재판소 결정을 환영한다

소제목:

정부와 국회는 정보인권을 보장하는 방향으로 주민등록번호 제도를 전면 개혁하라

요약문:

12월 23일, 헌법재판소는 주민등록번호 변경에 관한 규정을 두고 있지 않은 주민등록법 제7조가 헌법에 합치되지 아니한다고 결정하였다. 주민등록번호의 유출로 인해 발생할 수 있는 피해 등에 대한 아무런 고려 없이 주민등록번호 변경을 일률적으로 허용하지 않는 것은 그 자체로 개인정보자기결정권을 침해한다는 것이다. 지난 10여 년 동안 주민등록번호의 위헌성과 근본적인 개혁을 주장해 온 우리는 헌법재판소의 이러한 결정을 환영한다.

주민등록번호 변경의 필요성을 확인한 헌법재판소 결정을 환영한다

- 정부와 국회는 정보인권을 보장하는 방향으로 주민등록번호 제도를 전면 개혁하라

이제 공은 국회로 넘어갔다. 주민등록법을 어떻게 개정할 것인가가 쟁점이다.

발표일자:

2015/12/24

나머지 보기

주민등록번호, 주민등록제도, 프라이버시, 성명

목, 2015/12/24- 15:14

334

[사이버테러방지법 카드뉴스] 고양이에게 생선가게를 맡길 수 없는 것처럼...

요약문:

진보네트워크센터에서 사이버테러방지법이 통과되어서는 안되는 이유에 대해서 카드 뉴스로 정리해보았습니다.

발표일자:

2015/12/28

나머지 보기

통신비밀, 프라이버시, 캠페인

월, 2015/12/28- 17:53

735

카카오 + 아청법 = 빅브라더 강요하는 나라

글 | 오픈넷

2015년 11월 4일, 검찰은 이석우 전 다음카카오 대표를 아동·청소년의성보호에관한법률(이하 아청법) 위반 혐의로 기소했습니다. 검찰은 기소 사유로 이 전 대표가 카카오 대표로 재직할 당시 온라인서비스 제공자로서 아동음란물을 발견하기 위한 기술적 조치를 하지 않아 지난해 6월 14일부터 8월 12일까지 ‘카카오그룹’에서 약 7,115명에게 아동음란물이 배포됐다고 밝혔습니다.

카카오의 모임서비스 카카오그룹

카카오 “기술적 조치 했다” vs. 검찰 “조치가 부족하다”

카카오 측은 “음란물 유통을 막기 위해 사업자로서 가능한 모든 기술적 조치를 취했고, 성인 키워드를 금칙어로 설정, 해당 단어를 포함한 그룹방 이름이나 파일을 공유할 수 없도록 사전적 조치를 취하고 있다”며 검찰의 기소에 반박했으나, 11월 10일 수원지검 성남지청은 보도자료를 내고 이 전 대표는 아동·청소년의성보호에관한법률 제17조 제1항과 시행령 제3조에 의거 온라인서비스제공자로서 아동·청소년이용음란물을 발견하기 위한 조치를 하지 않았다고 밝혔습니다.

아청법 제17조(온라인서비스제공자의 의무) 중

① 자신이 관리하는 정보통신망에서 아동·청소년이용음란물을 발견하기 위하여 대통령령으로 정하는 조치를 취하지 아니하거나 발견된 아동·청소년이용음란물을 즉시 삭제하고, 전송을 방지 또는 중단하는 기술적인 조치를 취하지 아니한 온라인서비스제공자는 3년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다. 다만, 온라인서비스제공자가 정보통신망에서 아동·청소년이용음란물을 발견하기 위하여 상당한 주의를 게을리하지 아니하였거나 발견된 아동·청소년이용음란물의 전송을 방지하거나 중단시키고자 하였으나 기술적으로 현저히 곤란한 경우에는 그러하지 아니하다.

아청법 시행령 제3조(아동ㆍ청소년이용음란물 발견을 위한 조치) 중

① 법 제17조 제1항 본문에서 “대통령령으로 정하는 조치”란 다음 각 호의 모든 조치를 말한다. 다만, 다른 법률에서 정한 조치를 함으로써 아동ㆍ청소년이용음란물을 발견할 수 있는 경우에는 다음 각 호에 해당하는 조치의 전부 또는 일부를 하지 아니할 수 있다.

1. 이용자가 아동ㆍ청소년이용음란물로 의심되는 온라인 자료를 발견하는 경우 온라인서비스제공자에게 상시적으로 신고할 수 있도록 하는 조치

2. 온라인 자료의 특징 또는 명칭을 분석하여 기술적으로 아동ㆍ청소년이용음란물로 인식되는 자료를 찾아내도록 하는 조치

② 온라인서비스제공자는 아동ㆍ청소년이용음란물로 판단하기 어려운 온라인 자료에 대해서는 「방송통신위원회의 설치 및 운영에 관한 법률」 제18조에 따른 방송통신심의위원회에 심의를 요청할 수 있다.

③ 여성가족부장관은 온라인서비스제공자가 아동ㆍ청소년이용음란물을 발견하고 삭제 등의 조치를 하는 데 필요한 행정적 지원을 할 수 있으며, 이를 위하여 온라인서비스제공자, 관계기관 및 관련단체와 협력체계를 구축할 수 있다.

검찰은 카카오 측이 먼저 아동·청소년이용음란물에 대한 상시적 신고 기능을 제대로 갖추지 않았다고 했습니다. 그 이유는 음란물을 신고하려면 5단계나 거쳐야 하므로 접근성이 현저히 떨어진다는 것입니다. 신고를 위해 들어가야 하는 메뉴 순서는 다음과 같습니다.

설정 → 도움말 → 문의하기 → 그룹생성오류 → 유해게시물신고

그리고 두 번째 근거로 금지어(금칙어) 등을 통한 아동·청소년이용음란물 필터링 기능을 도입하지 않았다고 했는데요, 카카오의 다른 서비스인 ‘카카오스토리’에는 이용자 본인을 소개하는 프로필에 음란물을 상징하는 단어를 금지어로 등록했고, 카테고리를 등록할 때 사용하는 단어에도 금지어 사용 불가 기능이 존재했지만 ‘카카오그룹’은 없어 그런 기능이 없어 유포 방지 조치를 취하지 않은 것으로 판단한 것입니다. 즉, 필터링 의무를 다하지 않았다는 것입니다.

아청법 시행령의 제3조 제1항 중 제1호가 상시적 신고 기능, 제2호가 필터링 조치를 뜻합니다.

카카오는 정말 필터링 조치를 허술하게 했나

현재 널리 사용되고 있는 필터링 기술은 데이터베이스(DB) 필터링과 키워드 필터링 정도가 있습니다. 아동음란물뿐만 아니라 저작물, 일반 음란물 필터링도 마찬가지입니다.

그런데 DB 필터링은 아동음란물로 판단된 자료에서 추출한 URL, 해시값, DNA 등의 DB를 기반으로 필터링하는 것입니다. 즉, 이미 유통되고 있는 아동음란물을 찾아내서 분석하지 않으면 DB를 만들 수가 없습니다. 따라서 매일 새로 쏟아지는 아동음란물을 걸러낼 수 없다는 한계가 있습니다.

그리고 아동음란물의 “소지”도 처벌하는 아청법을 엄격하게 해석하자면 목적이 어떻든지 간에 사업자들은 DB의 소지만으로 처벌받을 수 있는 위험이 있습니다. 정부나 수사기관에서 필터링의 기반이 되는 DB를 제공하면 사업자들이 협조하기가 편하겠지만, 여성가족부나 방송통신심의위원회는 별도의 아동음란물 DB를 가지고 있지 않습니다. 현재 사업자들은 민간 필터링 업체에 의존하고 있습니다.

또한, 키워드 또는 금칙어 필터링은 키워드를 조금이라도 바꾸면 무용지물이 되는 데다가 아동음란물에만 국한된 키워드가 매우 한정적이라서 실효성이 별로 없습니다. 예컨대 “로리”라든지 “교복” 같은 키워드가 사용되었다고 해서 꼭 아동음란물이라고 보기는 어려울 것입니다. 현재로써는 컴퓨터가 아동음란물을 자동으로 걸러내는 기술은 없다고 볼 수 있습니다. 웹하드 업체 등 사업자들은 최선을 다해 필터링하고 있지만, 아동음란물이 발견되기만 하면 필터링 조치를 제대로 취하지 못한 것이 되어 처벌을 받고 있다고 호소합니다.

사기업이 이용자의 모든 자료를 들여다봐야 한다고?

결국, 카카오와 같은 온라인서비스제공자가 아동음란물을 완벽하게 필터링할 수 있는 최후의 수단은 이용자가 공유하는 모든 이미지와 동영상을 육안으로 직접 확인하는 것입니다. 하지만 이 방법은 카카오그룹과 같은 폐쇄형 소셜미디어(SNS)에서는 이용자의 통신 내용을 들여다보는 것이라는 점에서 “감청”과 다를 것이 없습니다. 사인에 의한 감청은 통신비밀보호법 위반입니다. 설령 카카오에 이러한 권리를 허용한다 하더라도 극소수의 범죄자를 찾아내기 위해 모든 이용자의 헌법상의 기본권(사생활의 비밀)을 침해하는 결과가 초래됩니다.

만약 육안으로 모니터링을 하는 것이 타당하다 하더라도, 아동음란물은 법적인 개념이고 음란물인지 아닌지는 맥락으로 판단해야 하므로 여기에도 한계가 있습니다. 물론 누가 봐도 명백한 아동 포르노가 있겠지만, 예컨대 교복물이나 애니메이션의 경우 계속 논란이 되고 있습니다.

아청법 제2조(정의) 중

“아동·청소년이용음란물”이란 아동·청소년 또는 아동·청소년으로 명백하게 인식될 수 있는 사람이나 표현물이 등장하여 제4호의 어느 하나에 해당하는 행위를 하거나 그 밖의 성적 행위를 하는 내용을 표현하는 것으로서 필름·비디오물·게임물 또는 컴퓨터나 그 밖의 통신매체를 통한 화상·영상 등의 형태로 된 것을 말한다.

오픈넷이 제기한 아청법 헌법소원에서 헌법재판소는 2015년 6월 25일 5:4의 결정으로 해당 정의 규정이 헌법에 위반되지 않는다고 판단했습니다.

“아동·청소년으로 인식될 수 있는 사람”은 일반인의 입장에서 외모, 신원, 제작 동기와 경위 등을 종합하여 볼 때, 실제 아동·청소년으로 오인하기에 충분할 정도의 사람이 등장하는 경우를 의미함을 알 수 있고, “아동·청소년으로 인식될 수 있는 표현물” 부분도 전체적으로 표현물을 등장시켜 각종 성적 행위를 표현한 매체물의 제작 동기와 경위, 표현된 성적 행위의 수준, 전체적인 배경이나 줄거리, 음란성 등을 종합하여 판단할 때 아동·청소년을 상대로 한 비정상적 성적 충동을 일으키기에 충분한 행위를 담고 있어 아동·청소년을 대상으로 한 성범죄를 유발할 우려가 있는 수준의 것에 한정된다고 볼 수 있으며, 기타 법관의 양식이나 조리에 따른 보충적인 해석에 의하여 판단 기준이 구체화되어 해결될 수 있으므로, 명확성 원칙에 위반된다고 할 수 없다.

– 헌법재판소, 2013헌가17, 2013헌가24, 2013헌바85(병합) 이유의 요지 중

그러나 어떤 표현물이 성범죄를 유발할 우려가 있는 수준인지에 대한 명확한 기준은 없다고 하겠습니다. 성인교복물이나 애니메이션의 경우 법원에서 무죄 판결을 받기도 했지만, 사업자나 이용자의 입장에서 판단하기가 어렵고 형사처벌을 받을 수 있으므로 이렇게 조금이라도 의심이 있는 경우에는 아동음란물로 판단하고 삭제를 하게 됩니다.

과도한 필터링 의무 부과, 국제적인 흐름에 역행한다

아청법상 필터링 의무는 이런 기술적 또는 현실적인 한계가 있을 뿐만 아니라, 더 중요하게는 정보매개자에게 불법정보에 대해 일반적인 감시 의무를 부과하는 것을 금지하는 국제적 흐름에 역행한다는 문제가 있습니다.

정보매개자란 다양한 정의가 있을 수 있지만, OECD 보고서를 보면 “인터넷상 제3자들이 생산한 정보의 공유가 가능한 플랫폼을 제공해주는 자”를 말한다고 하겠습니다. 이 기준에 맞기만 하면 ISP든, 검색엔진이든, SNS든 다 정보매개자가 됩니다. 다만 정보를 편집하거나, 직접 제작하거나 유통하는 경우에는 정보매개자라고 할 수 없습니다.

정보매개자의 책임이란 이러한 정보매개자가 제3자, 즉 이용자들이 유통하는 불법정보에 대해 책임을 져야 하는지의 문제입니다. 불법정보를 게시하거나 직접 유통한 자는 당연히 책임을 져야겠지만, 정보매개자의 서비스가 단순히 불법정보 유통에 사용된 경우에는 달리 봐야 할 것입니다.

예컨대 택배를 통해 마약이나 무기가 거래된 경우 택배사도 같이 처벌해야 할까요? 특별한 사정이 없다면 그래서는 안 될 것입니다. 그런 맥락에서 정보매개자의 책임 제한을 논의하게 됩니다. 현재 책임 제한에는 두 가지 원칙이 있습니다.

첫째, 피난처(세이프 하버; safe harbor)
둘째, 일반적 감시 의무 금지

피난처는 일정한 조건하에서 정보매개자를 제3자가 유통한 정보에 대한 책임으로 면책을 시켜준다는 것인데, 주로 권리자나 이용자에 의한 통지가 있어서 정보매개자가 불법정보에 대해 알게 된 경우에만 책임을 진다는 내용입니다.

즉, 일반적 감시 의무 금지는 말 그대로 정보매개자에게 정보를 일반적으로 감시, 즉 모니터링할 의무를 지워서는 안 된다는 내용입니다. 일반적 감시 의무 금지는 말 그대로 정보매개자에게 정보를 일반적으로 감시, 즉 모니터링할 의무를 지워서는 안 된다는 내용입니다.

왜 정보매개자의 책임을 제한해야 하는가

그럼 왜 정보매개자의 책임을 제한해야 할까요? 나아가 일반적인 감시의무 내지 필터링 의무 부과는 금지되어야 할까요? 그 필요성은 크게 세 가지로 나눌 수 있습니다.

먼저 인터넷의 문명사적 의미입니다. 헌법재판소에 의하면, 인터넷이란 익명 표현을 통해 민주주의 발전의 물적 토대를 제공하며, 사상의 자유시장에 가장 근접한 매체로 가장 참여적인 매체입니다. 즉 인터넷은 개인들이 타인의 허락 없이 공적 소통을 할 자유가 있는 공간으로, 그 특성으로 인하여 인류의 역사를 매우 짧은 시간 안에 완전히 바꾸어 놓았습니다. 누구의 허락도 받지 않고 소통을 할 수 있는 자유가 허락된 공간이 인터넷인 것입니다.

그런데 만약 이런 공간을 제공하는 정보매개자들에게 자신이 알 수 없는 불법행위들에 대해 책임을 지우기 시작한다면, 정보매개자들은 책임을 회피하기 위해 개개인의 소통을 검열하고 제한하거나, 아예 닫아버리게 됩니다. 그럼 결국 문명사적 중요성을 획득한 인터넷의 원천이 파괴될 수 있습니다. 허락받은 소통만이 가능한 공간은 더는 인터넷이 아니게 되는 것입니다.

헌법재판소 99헌마480 중

두 번째 이유는 이용자의 인권 보호를 위해서입니다. 사업자들에 의해 이루어지는 사적 검열은 이용자들의 프라이버시를 침해합니다. 특히 그러한 검열이 카카오톡이나 이번에 문제가 된 카카오그룹 같은 통신 수단에 대해 이루어진다면 앞서 말씀드렸듯이 감청이나 다름이 없습니다.

또한, 이런 검열은 위축 효과를 불러오게 됩니다. 그리고 정보매개자는 조금이라도 문제가 될만한 정보라면 차단하고 삭제해서 책임을 회피하려 할 것입니다. 특히 책임이 클수록, 제한 요건이 불분명할수록 그럴 것입니다. 이는 온라인 표현의 자유를 또한 심각하게 침해하게 됩니다.

마지막으로는 인터넷 산업의 혁신과 발전을 위해서입니다. 필터링 기술이 날로 발전하고 있다고 해도, 아동음란물과 같은 법적 판단이 필요한 정보의 경우 결국은 육안으로 확인하는 수밖에 없습니다. 또한, 모니터링 내지 필터링 시스템을 갖추어야 하는 것은 1인 사업자나 대기업이나 마찬가지인데, 단지 정보매개자라는 이유로 이러한 과도한 부담을 지게 된다면 관련 산업을 위축시킬 뿐만 아니라 진입장벽을 만들게 됩니다.

그래서 국제적인 흐름은 이러한 일반적 감시의무를 금지하고 있습니다. 전 세계의 시민단체가 성안한 정보매개자책임에 관한 마닐라 원칙에서도 “정보를 적극적으로 모니터링할 의무를 부과해서도 안 된다”고 하고 있고, EU의 전자상거래지침, 저작권에만 적용되긴 하지만 미국 디지털 밀레니엄 저작권법 등이 대표적인 예입니다. 그러나 우리나라는 이러한 국제적 흐름에 역행하여 일반적 감시의무를 부과하는 법들이 많습니다.

마닐라 원칙

정보매개자는 제3자의 정보에 대한 책임으로부터 법적으로 보호되어야 한다.
사법당국의 명령 없이 정보 제한을 의무화해서는 안 된다.
정보 제한 요청은 명확하고, 모호하지 않으며, 적법절차를 따라야 한다.
정보 제한 관련 법, 명령 및 관행은 필요성과 비례성의 원칙을 준수해야 한다.
정보 제한 관련 법, 정책 및 관행은 적법절차를 존중해야 한다.
정보 제한 법, 정책 및 관행은 투명성과 책임성을 확립해야 한다.

특히나 아청법 제17조는 정보매개자 책임과 관련하여 전 세계적으로 유례가 없는 내용을 규정하고 있습니다. 물론 아동음란물 규제는 필요하지만, 제작자나 유포자가 아닌 단순한 정보매개자에게 과도한 책임을 지우는 것이 문제입니다. 정보매개자도 기여 정도에 따라 제작자나 유포자, 또는 방조자로 처벌하면 되는데, 사전적인 필터링을 제대로 하지 못했다고 하여 처벌을 하는 것은 어떻게 보면 국가가 해야 할 일을 정보매개자에게 떠넘기는 것이나 마찬가지입니다.

이렇게 정보매개자를 범죄를 막지 못했다는 이유로 범죄자와 동일시하여 과도한 형사책임을 지우는 것은 지양되어야 합니다. 오픈넷은 해당 규정이 최대한 빨리 폐기되어야 한다고 보고 있습니다. 아니면 사업자가 발견한 경우에는 신고 의무를 지우는 정도로 수정되어야 할 것이며, 궁극적으로는 사업자를 아동음란물 단속의 파트너로 보고 자율규제를 장려하고 선진국의 사례처럼 사업자-관계당국-시민사회의 원만한 협조체계를 구축해서 대응해야 할 것입니다.

* 위 글은 슬로우뉴스에도 동시 게재하고 있습니다. (2015. 12. 29.)

오픈블로그, 지적재산권, 표현의 자유, 프라이버시, 마닐라원칙, 슬로우뉴스, 아청법, 일반적 감시의무, 정보매개자, 카카오, 필터링조치

화, 2015/12/29- 13:46

766

“카카오톡 감청법”을 반대해야 하는 이유 – 진정한 암호화 기술 구현을 가로막는 세계 유일의 SNS 감청설비의무화법안

“카카오톡 감청법”을 반대해야 하는 이유

- 진정한 암호화 기술 구현을 가로막는 세계 유일의 SNS 감청설비의무화법안

글 | 오픈넷

2005년 신설된 통신비밀보호법 제15조의2는 전기통신사업자의 협조의무를 규정하고 있고, 그 협조의무의 내용이 무엇인지에 대해 필요한 사항은 대통령령으로 정하게 되어 있다. 이러한 협조의무를 구체화하는 법안이 17대 국회부터 지속적으로 발의되어 왔는데, 협조의무에 있어 가장 핵심적인 논의는 전기통신사업자의 감청설비 구축 의무화 문제이다. 19대 국회에서는 2014년 1월 3일 발의된 통신비밀보호법 일부개정법률안 서상기 의원 대표발의안과(이하 ‘서상기의원안’), 2015년 6월 1일 발의된 통신비밀보호법 일부개정법률안 박민식 의원 대표발의안(이하 ‘박민식의원안’) 두 건이 감청설비 의무화에 대한 내용을 담고 있다.

<서상기 의원안 대 박민식 의원안 비교>

구분	서상기 의원안	박민식 의원안
전기통신사업자의 범위	“전화서비스를 제공하는 전기통신사업자, 그 밖에 대통령령으로 정하는 전기통신사업자”	“전화, 인터넷, SNS 등 대통령령으로 정한 통신 서비스 역무를 담당하는 전기통신사업자”
의무의 내용	통신제한조치 집행에 필요한 장비·시설·기술 및 기능	감청협조설비(전기통신사업자가 통신제한조치 집행에 필요한 장비·시설·기술 및 기능 등을 갖추고 운용하는 설비 등)
설비비용 부담	국가가 부담	국가가 부담
의무 불이행시 제재	이행강제금 연 1회 20억원 이하	이행강제금 연1회 매출액의 100분의 3 이하 또는 20억원 이하
관리·감독기구	통신제한조치기술자문위원회 (미래창조과학부 소속)	통신제한조치 감시위원회 (미래창조과학부 산하)

대동소이하게 보이는 두 안의 가장 큰 차이점은 감청설비의무를 갖는 전기통신사업자의 범위이다. 박민식의원안은 감청설비 구축 의무를 지는 대상의 범위를 전화 서비스 사업자뿐만 아니라 “인터넷, SNS 등”으로 대폭 확대했다. 이미 서상기의원안이 작년 11월부터 소관 상임위에 상정되어 심사중인 상황에서, 올해 6월 거의 비슷한 내용의 법안을 발의한 것은 작년 10월부터 논란이 된 일련의 카카오톡 감청 사건에 대한 대응이라고 보인다. 즉 카카오톡을 염두에 둔 “카카오톡 감청법”이라고 할만하다. 다만 서상기의원안도 “그 밖에 대통령령으로 정하는 전기통신사업자”라고 하여 박민식의원안 보다 범위가 넓다고 볼 여지는 있다.

휴대전화나 인터넷 망 사업자에 대한 감청설비 의무화의 타당성 여부는 별론으로 하고, 중요한 것은 인터넷 업체들(법적으로 부가통신사업자)에게도 감청설비 의무를 지울 것인가의 문제이다. 인터넷의 구조 상 부가통신사업자들은 인터넷이용자들에 비해서 질적으로 다른 존재가 아니다. 홈페이지에서 중고품을 사는 사람도 부가통신사업자가 될 수 있고 블로그에 배너광고를 파는 사람도 게시판을 통해 블로그방문자들이 상호소통할 수 있게 해주는 통신역무를 제공하는 부가통신사업자가 될 수 있다. 학교나 동창회도 운영내역에 따라 부가통신사업자가 될 수 있다. 이런 사업자 모두에게 감청설비 구축 의무를 지우는 법은 이행에 현실적인 한계가 있을 뿐만 아니라 국제인권규범과 우리 헌법이 보호하는 프라이버시권과 익명 표현의 자유를 중대하게 침해한다. 그렇기에 SNS와 같은 부가통신사업자들에게 감청설비 구축 의무를 지우는 법안은 전 세계적으로도 유래가 없다. 미국에서도 모든 인터넷 서비스에 의무를 지우려는 시도가 있었지만 엄청난 반대에 부딪혀 무산되었다.

카카오톡, 페이스북, 트위터 같은 인터넷 서비스 제공자들에게 감청설비 구축 의무를 지운다는 의미는, 이용자들이 통제하는 암호화 통신을 무력화한다는 것과 동일한 의미이다. 서비스 유형별로 구체적인 감청 방법은 다르지만, 감청을 가능하게 하기 위해서는 결국은 서비스 제공자가 서비스 설계 단계부터 이용자들의 통신을 서버 등에 저장하거나 실시간으로 모니터링할 수 있어야 하고, 그러한 통신을 암호화하지 않거나, 암호화하더라도 복호화할 수 있는 수단을 가지고 있어야만 한다. 예컨대 카카오톡은 작년 12월부터 종단간 암호화 기술이 적용된 프라이버시 모드를 제공하고 있는데, 이렇게 암호화된 통신의 경우 각 이용자의 단말기를 모두 취득하여 분석하지 않는 한 복호화가 불가능하다. 또한 P2P 기술을 사용해서 단말기 간에 직접 송수신되는 통신의 경우는 서비스 제공자가 암호화를 하지 않는 것 외에는 감청에 협조할 방법이 없다. P2P나 종단간 암호화가 아니더라도 서버상의 암호화도 결국 수사기관에게 복호화키를 주거나 사업자들이 복호화해서 내용을 넘겨주는 수 밖에 없어 이용자 입장에서는 진정한 암호화를 통한 프라이버시 보호가 불가능해진다. 따라서 인터넷 서비스 제공자들이 “통신제한조치 집행에 필요한 장비·시설·기술 및 기능”을 갖추기 위해서는 결국 제대로 된 암호화 기술의 구현을 포기해야 하는 것이다.

하지만 디지털 통신의 암호화를 보장해야 한다는 것이 국제적인 흐름이다. 세계인권선언 제12조는 “어느 누구도 그의 … 통신에 대하여 자의적인 간섭을” 받지 않으며 이로부터 “법의 보호를 받을 권리를 가진다”고 선언하고 있으며, 시민적 및 정치적 권리에 관한 국제규약 제17조는 “어느 누구도 그의 …통신에 대하여 자의적이거나 불법적인 간섭을” 받지 않는다고 하고 있다. 이에 대해 작년 7월 유엔인권최고대표는 “디지털 시대의 프라이버시권”이라는 보고서에서 디지털 통신 감청은 프라이버시권만 아니라 표현의 자유, 집회와 결사의 자유 등에 영향을 미치며, 기업에게 감청설비 의무를 지우는 법은 “싹슬이(sweeping) 감시 조치를 촉진하는 환경을 낳기 때문에” 특별히 우려된다고 한 바 있다. 또한 유엔 표현의 자유 특별보고관은 올해 5월 발표한 보고서에서 디지털 통신에서의 암호화와 익명성은 프라이버시권뿐만 아니라 표현의 자유 보장을 위해 강하게 보호되어야 한다고 하면서, 특히 국내 법은 국민들이 통신의 프라이버시를 보호하기 위해 암호화 기술이나 도구를 사용하는 것을 승인해야 한다고 권고했다. 이처럼 통신의 암호화는 오늘날 매우 중요한 인권인 프라이버시권과 표현의 자유의 수호자로서 쉽게 양보되어서는 안 된다.

범죄를 예방하고 진압하기 위해서는 “익명성이 제거되고 투명화가 이루어져야 한다”는 주장도 있으나, 이는 모든 사람이 잠재적인 범죄자이기 때문에 감시할 수 있어야 한다는 주장과 다를 바가 없다. 또한 우리나라에서 감청의 90% 이상이 국정원에 의해 이루어진다는 통계는, 일반적인 범죄의 수사는 감청이라는 극단적인 수단을 사용하지 않아도 된다는 반증이다. 게다가 불과 몇 달 전 국정원이 해킹팀의 감청프로그램 RCS(Remote Control System)를 구입해서 사용해왔다는 사실이 밝혀졌다. 하지만 이런 불법적 감청에 대한 제대로 된 통제수단도 존재하지 않는 상황이다. 여기에 카카오톡 감청법까지 입법된다면 우리나라에서는 통신의 비밀을 지키는 것이 불가능해진다.

그리고 다른 나라에서 시행되고 있는 인터넷망 감청의 경우 미국, EU 등에서는 사업자가 준수해야 할 감청 기술 표준을 정해 보급하고 있다. 이런 표준도 정해지지 않은 상황에서 의무를 지우고 이행강제금까지 감수하게 하는 것은 사업자의 영업수행의 자유를 심각하게 제약하게 된다. 또한 범죄의 수사라는 국가의 역할에 대한 부담을 사업자에게 전가시키는 것이며, 사실상 사업자에게 잠재적 범죄자를 찾아내야 할 의무이자 권한을 넘겨주는 것이다. 이에 더하여 한국에만 존재하는 갈라파고스적인 제도는 해외 사업자에게는 적용하기 어려워 역차별 문제가 발생할 뿐만 아니라, 국내 사업자의 기술에 대한 제한으로 작용하며 관련 산업계에도 부정적인 영향을 미친다는 점도 고려되어야 할 것이다.

오픈블로그, 표현의 자유, 프라이버시, 감청설비구축 의무화, 디지털 통신 감청, 박민식, 서상기, 암호화, 통신비밀보호법

화, 2015/12/29- 14:35

820

디지털아시아허브(Digital Asia Hub) 개소 및 논문집 출판 기념식 후기

글 | 김가연(오픈넷 변호사)

지난 2015년 11월 26일 목요일 오후 홍콩에서 열린 디지털아시아허브 개소식에 오픈넷의 김가연 변호사가 초청 받아 참석했다. 디지털아시아허브란 아시아 지역의 인터넷과 사회에 관련된 연구를 하는 비영리 싱크탱크(Think Tank)로서 홍콩에 기반을 두고 있다. 개소를 위해 하버드 대학교 버크맨센터(Berkman Center for Internet and Society)의 주도 하에 학계, 시민사회, 그리고 민간 분야의 전문가들로 운영위원회(Steering Committee)가 구성되었으며, 오픈넷 박경신 이사도 고려대학교 인터넷과사회 콘소시움 대표 자격으로 운영위원회에 참여해왔다. 이날 행사에는 하버드 버크맨센터 어스 개서(Urs Gasser) 소장, 운영위원회 멤버들, 학자들, 활동가들, 기업가들이 개소를 축하하기 위해 참석했다.

디지털아시아허브는 디지털 아시아를 주제로 하는 인터넷과 사회 문제에 대한 연구, 지식공유 및 역량강화를 위한 객관적이며 개방적인 협업 플랫폼을 제공할 예정이다. 또한 국가별, 지역별 활동을 통해 다양한 이해관계자 간의 효과적인 담론을 강화하고, 더 큰 학술기관의 네트워크인 NoC(Global Network of Internet and Society Research Centers)와의 연결고리로서 기여할 것을 목표로 한다. 디지털아시아허브 사무국장인 록맨 추이(Lockman Tsui)는 “아시아는 가장 많은 인터넷 이용자가 있고 가장 빠른 성장을 하고 있는 지역입니다. 인터넷의 미래를 형성하는 데 더 큰 역할을 할 수밖에 없습니다. 우리는 허브가 지역적으로 또한 세계적으로 오픈 인터넷의 미래가 직면하고 있는 어려운 시험이자 기회를 돌파하기 위한 독립적이고 우수한 연구와 지식 공유를 위한 결정적인 역량을 키우는데 이바지할 것이라고 기대하고 있습니다”라고 개소 소감을 밝혔다.

이번 행사는 논문집 “디지털 21세기 아시아에서의 풍요로운 삶(The Good Life in Asia’s Digital 21st Century)”의 출판도 기념하는 자리였다. 박경신 이사와 김가연 변호사의 글을 포함 총 26편의 소논문이 실렸는데, 그 중 6편이 한국에 관한 것이라는 점은 디지털 아시아에서 한국의 중요성을 여실히 보여준다. 박경신 이사의 글 “공적 얼굴 대 사적 얼굴: 인터넷 시대에도 유지 가능한가?(Public Face vs. Private Face: Can It Hold in the Internet Age?)”에서는 한국과 일본 특유의 공적-사적 얼굴 구분(또는 혼네-다테마에 이분법)로부터 비롯된 양국의 진실명예훼손죄와 모욕죄, 그리고 인터넷 표현에의 적용을 최희승 판결(2012도11914)을 통해 조명했고, 김가연 변호사는 “부모 양육하기: 온라인상 극단적 국가후견주의(Parenting the Parents: State Paternalism Goes Extreme Online)”라는 제목으로 한국의 인터넷 청소년보호제도들을 소개하면서 이러한 국가후견주의적인 제도들이 어떻게 청소년 보호라는 소기의 목적을 달성하기 보다는 오히려 청소년들과 성인들의 인권을 제약하고 혁신을 저해하는지를 풀어냈다.

앞으로도 오픈넷은 디지털아시아허브에서 추진하는 연구와 활동에 적극적으로 참여할 계획이다.

오픈블로그, 표현의 자유, 프라이버시, 김가연, 디지털아시아허브, 박경신, 버크맨센터, 정보인권

월, 2016/01/04- 17:15

454

출입국관리법 개정안(의안번호 : 13847)에 관한 의견

요약문:

경찰청이 보유하고 있는 지문정보에 대해서는 위헌 논란이 끊이지 않고 있음. 이러한 지문정보를 출입국심사 과정에서 활용하겠다는 것은, 전 국민의 지문정보를 처리할 수 있냐는 근본적인 문제제기를 외면한 채 오로지 행정적 편의를 위해서 민감한 개인정보인 지문정보를 활용하겠다는 것임.

출입국관리법 개정안(의안번호 : 13847)

발표일자:

2016/01/06

나머지 보기

주민등록번호, 지문날인, 주민등록제도, 개인정보보호법, 생체정보, 프라이버시, 의견서 및 소송

수, 2016/01/06- 13:55

250

[보도자료] 홈플러스 개인정보 불법매매에 면죄부를 주고 기업 간 개인정보의 무분별 공유를 허용해준 법원의 무책임한 판결을 규탄한다

요약문:

8일 서울중앙지방법원(형사16단독/부상준 부장판사)은 홈플러스 개인정보 불법매매사건에 대해 무죄를 선고했다. 하지만 이번 판결은 「개인정보보호법」 입법취지를 무시하고, 국민이 이해하는 상식에서 벗어나 기업의 손을 들어준 것에 불과하다.

홈플러스 개인정보 불법매매에 면죄부를 주고
기업 간 개인정보의 무분별 공유를 허용해준
법원의 무책임한 판결을 규탄한다

발표일자:

2016/01/08

나머지 보기

프라이버시, 성명

금, 2016/01/08- 15:29

홈플러스 개인정보 불법매매 무죄 선고한 1심 재판부에 1㎜ 크기 글씨로 작성한 항의 서한 전달

요약문:

13개 시민·소비자단체는 2016년 1월 12일, 홈플러스의 고객정보 불법판매 행위에 대해 무죄를 선고한 1심 재판부에 1㎜ 크기 글씨로 작성한 항의 서한을 전달했다. 이는 서울중앙지방법원(부상준 부장판사)이 1월 8일 열린 형사재판에서 홈플러스가 2,000만 건이 넘는 고객들의 개인정보를 보험사에 팔아 231억여 원의 수익을 얻은 개인정보보호법 위반 혐의에 대해 무죄 판결을 내린 것에 대한 항의 차원이다.

발표일자:

2016/01/13

나머지 보기

개인정보유출, 빅데이터, 개인정보보호법, 프라이버시, 의견서 및 소송

수, 2016/01/13- 10:07

445