[오픈넷 포럼 요약문] 빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

지역

[오픈넷 포럼 요약문] 빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

익명 (미확인) 님 | 목, 2016/03/24- 13:11

[오픈넷 포럼 요약문]

빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

- 빅데이터와 사물인터넷 시대에 개인정보는 어떻게 보호되어야 할까요? (2016.03.21. 개최)

* 참조(발제문 및 토론문): http://opennet.or.kr/11312

빅데이터와 사물인터넷 시대에 개인정보는 어떤 범위에서 얼마나 보호되어야 할까요? 최근 가장 논란이 되고 있는 것은 과연 비식별화 정보가 개인정보인가?입니다. 요즘 주목받고 있는 빅데이터, 사물인터넷 사업을 하기 위해서는 개인정보를 활용하는 것이 필요합니다. 이때 비식별화 정보는 개인정보가 아니므로 제한없이 자유롭게 이용할 수 있어야 할지, 비식별화정보라 하더라도 개인정보보호 위반의 문제가 발생하므로 여전히 보호가 필요한 것인지에 대해 의견이 분분합니다. 이번 오픈넷 포럼에서는 개인정보의 비식별화 관련된 쟁점들을 살펴보고 개인정보를 보호하면서도 산업 발전에 이용할 수 있도록 하는 방향의 해결책을 함께 모색해보고자 합니다.

Ⅰ. 발제

개인정보 비식별화 또는 익명화 쟁점 (심우민 | 국회입법조사처 입법조사관)

발제를 진행한 심우민 입법조사관은 세계적으로 개인정보보호입법과 관련해서 어떠한 쟁점이 있는지를 설명한 후 방송통신위원회에서 2014년 발표한 ｢빅데이터 개인정보보호 가이드라인｣을 비판적으로 검토하고, 개인정보보호 관련 입법 시 고려해야 할 요소가 무엇인지 설명하였습니다. 그리고 개인정보보호법제의 패러다임 변화가 필요하다는 점을 강조하였습니다.

먼저 개인정보 보호입법 개선논의는 급격한 정보화를 겪고 있는 대부분 국가들의 문제라고 하며, 우리나라 개인정보 개념정의 규정이 매우 포괄적이어서 문제가 있다는 지적이 있지만, 실제 각국의 개인정보 보호법제의 개념정의 규정들과 비교해보면 우리나라보다 포괄적인 경우도 존재한다고 지적하였습니다. 물론 형사제재의 경우에는 과도하다는 문제가 있다고 합니다.

개인정보 보호법제를 둘러싼 논란은 결국 빅데이터, 사물인터넷과 같은 새로운 정보통신 환경의 변화로부터 기인하였으며, 근원적인 이유 중 하나는 개인정보 또는 프라이버시 보호법제의 ‘패러다임 교착현상’ 때문이라고 합니다. 프라이버시와 같은 개념은 모호하고 추상적입니다. 그런데 이러한 프라이버시를 보호하기 위해 세계각국의 현행 법제들과 법원은 개인정보자기결정권이라는 권리 개념을 만들어서 식별성을 전제한 개인정보를 보호하고 있습니다. 그러나 식별성이 전제되지 않은 프라이버시 개념이든, 식별성이 전제된 개인정보든 결국 법원의 해석을 요구한다는 것입니다.

예전에는 정보와 결합해서 개인정보가 식별성을 가지는 경우가 많지 않았으므로 개인정보자기결정권을 정의하는 것이 용이하였으나, 빅데이터 등이 등장하는 현재의 기술적 발전상황에서는 결국 법원의 해석 여지가 더욱 넓어지고 개인 식별 가능성을 중심으로 한 현행 개인정보보호법제는 한계에 이르게 됩니다. 그 결과 식별 가능성을 전제로 정보주체의 개인정보자기결정권의 실현방식을 동의권을 중심으로 규정하고 있는 현행 법제 또한 한계에 봉착하게 되는 것입니다.

방송통신위원회가 2014년 12월에 공표한 ｢빅데이터 개인정보보호 가이드라인｣의 주요내용은 ①개인정보의 개념 설정과 ②동의요건의 면제입니다. 가이드라인을 살펴보면 제2조에서 비식별화 정보에 대해 설명하고 있는데 그 중 가명처리(pseudonymous)를 포함하고 있습니다. EU Directive에서는 가명처리는 적절한 익명화(또는 비식별화) 방법이 아니라고 하였는데 우리나라의 경우에는 이를 비식별화 방식으로 포함시키고 있다는 점이 특징입니다.

최근 EU의 GDPR논의에서 가명처리정보(pseudonymous data)도 개인정보의 일종으로 포함시켜 규제하기 위한 시도가 이루어지고 있다는 점도 유의할 필요가 있다고 합니다. 이 가이드라인을 법처럼 적용하려는 시도가 많습니다. 그러나 가이드라인의 경우 현행 개인정보법제와 개인정보 요건이 다르고, 동의요건을 면제하고 있으므로 기본권으로서 개인정보자기결정권 제한 가이드라인제정이 아니라 현행법을 개정해야 한다고 합니다. 참고로 EU Directive의 경우 어떤 규범력을 가지는 법적인 근거로 작용하고 있지는 않다고 합니다.

결국 심우민 입법조사관이 강조하는 것은 개인정보 보호법제의 패러다임이 변화해야 한다는 것입니다. 식별정보와 비식별정보를 구별하지 않고 모두 보호대상으로 하며, 실질적인 위험을 기반으로 하는 정보에 대해 규제 및 집행이 이루어져야 한다는 것입니다. 현재 산업계를 중심으로 보호영역을 축소해야 하고, 동의요건을 개정해야 한다는 의견이 많지만 그것이 입법에 있어서의 본질적 문제는 아니라고 합니다. 실질적인 이용자 프라이버시 보호방안에 대한 진지한 고민이 더 필요하다는 것입니다.

Ⅱ. 토론

1. 개인정보보호에서 비식별화의 기술적 문제점과 트렌드 (이영환 | 건국대학교 기술경영학과 교수)

이영환 교수는 우리나라의 경우 기술과 관련된 법을 만들 때 기술자와 같은 전문가에게 묻지 않고 법을 만드는 것이 문제라고 합니다. 가장 먼저 생각해야 하는 것은 알고리즘이라고 합니다. 즉 정밀한 알고리즘을 바탕으로 하여 비식별화하는 것이 맞는것인지 생각해야 한다는 것입니다.

현재 비식별화(deidentification)는 알고리즘이 정확히 나오고 있으며, 익명화(anonymisation)는 정확한 알고리즘이 나오지 않고 있다고 합니다. 현재 익명화된 정보의 다양성을 확보하도록 하여 유용성을 확보하면서도 개인정보를 추출하기 어렵도록 하는 비식별화 알고리즘이 있습니다.(K-anonymization, T-closeness) 다만 문제는 비실용적이라는 것입니다(NP-Hard). 파일 하나 익명화하는데 3,500년이 걸릴 수 있다고 합니다.

이때 제일 좋지 않은 방향은 비식별화를 전제로 유통화를 하자고 하는 것이라고 합니다. 전혀 쓸모없는 정보를 유통시키자고 하는 것과 같다는 것입니다. 물론 개인정보를 보호하는 것은 좋습니다. 그러나 이런 식으로 데이터 유통을 막아서 가장 손해를 많이 보는 개인은 서민들입니다. 예를 들어 저축은행의 대출을 받는 사람의 50%가 30%대의 금리에 시달립니다. 이들은 대부분 중금리층 서민, 청년들입니다. 약탈적 금융에 시달리는 것입니다. 이러한 금리 양극화를 해소하기 위해서는 데이터가 유통되어야 한다고 합니다. 데이터가 없다보니 부실 비율이 높아지고, 대부업체들이 영세해지는 것입니다. 개인정보가 유통되지 못하게 막는 것이 좋은 것은 아니라는 것입니다.

우리나라의 경우 개인이 개인정보를 판매하는 길이 막혀 있다고 합니다. 그러나 외국의 경우 개인정보 데이터를 팔아서 돈을 법니다. 이영환 교수가 강조하는 것을 한 줄로 정리하면 “데이터는 유통되어야 한다”입니다. 개인정보 보호보다 더 중요한 것이 유통이며, 데이터 유통을 위한 새로운 비즈니스에 나서야 한다는 것입니다. 몇몇 개인의 개인정보를 보호하기 위해 산업을 그만둬야 하는 것은 아니라는 것입니다.

2. 비식별화된 개인정보 문제 (박경신 | 고려대 법학전문대학원 교수)

박경신 교수는 개인정보보호법에 대해 너무 어렵게 생각하는 것이 인권 차원에서든 산업 차원에서든 제대로 된 대응을 어렵게 한다고 합니다.

먼저 개인정보의 개념과 관련하여 어느 나라든 식별가능성이 개인정보의 요건이며, 식별가능성이 없으면 개인정보가 아닌 것이라고 합니다. 그런데 이러한 개인정보의 식별가능성은 누구의 기준이냐에 따라서 다르다고 합니다. 즉 개인정보는 상대성을 가진다는 것입니다. 예를 들어 이동통신사가 가지고 있는 통화기록은 고객정보를 가진 이동통신사에게는 개인정보가 됩니다. 그러나 고객정보를 가지지 않은 제3자에게는 개인정보가 아니라고 합니다.

방송통신위원회의 가이드라인에 대해 시민단체들이 반대했던 이유 중 하나는 이동통신사가 고객의 통화기록을 가지고 있는데, 이 통화기록이 이동통신사에게는 개인정보가 되지만, 이를 비식별화해서 제3자에게 넘겨주면 제3자에게는 개인정보가 되지 않는다는 점이었다고 합니다. 이 점을 어떻게 해석할 것인가? 하는 문제 때문에 분쟁이 발생하였다는 것입니다.

이동통신사가 고객통화기록을 넘겨줄 때 원본을 통째로 넘겨주는 것이 아닙니다. 복제본을 만들어서 그 복제본을 비식별화해서 넘길 것입니다. 그렇다면 비식별화한 복제본을 만들었다 하더라도 원본 데이터베이스를 가지고 있게 됩니다. 통화기록에 대해 제3자가 본래 넘긴 목적과 다른 목적의 연구를 진행할 경우 이동통신사는 그 연구결과를 통해 통화기록을 넘길 때와 다른 목적의 가공된 개인정보 데이터를 취하게 됩니다. 이것은 개인정보보호법의 취지에 반한다고 합니다.

그래서 2015. 12. GDPR 에서는 가명화 데이터에 대한 규정들을 두었다고 합니다. 제6조, 제7조가 가장 중요한 조항인데, 예외로서 암호화 및 가명화를 고려하여 수집 목적과 다른 목적으로 이용 가능하지만 가명화할 때는 실명화되지 않기 위한 기술적 조치를 요구합니다. 가명화가 익명화가 아니라고 하는 경우는 재실명화가 합리적으로 개연성이 있을 때를 말한다고 합니다. 이동통신사의 예를 들자면 원본 데이터를 가지고 있고, 데이터 복제본을 떠서 데이터 연관 회사에 넘겼을 때 원본 데이터(Key)를 가지고 있으면 몇 가지 정보를 가지고 누구의 정보에 대해 연구한 것인지 알게 됩니다. 그런 것들을 할 수 없도록 조치를 하라는 것입니다. 즉 키가 되는 데이터들을 조직 내에서 접근할 수 있는 사람을 제한하고 암호화할 것을 요구하는 것입니다.

박경신 교수는 이 문제는 매우 구체적인 문제라고 하며, 심우민 조사관이나 이영환 교수가 말한 것처럼 근본적인 가치 판단을 요구하는 복잡한 문제는 아니라고 하였습니다. GDPR에 나와 있는 가이드라인에 따라서 재실명화하는 Key에 대한 보안, 조직적 격리 조치를 통해서 비식별화한 데이터가 산업적으로 쓰일 수 있도록 하는 방법이 있지 않을까 생각한다며 토론을 마무리 지었습니다.

3. 익명화, 비식별화, 개인정보에 관하여 (전응준 | 유미 법무법인 변호사)

전응준 변호사는 익명화, 가명화, 비식별화라는 용어의 정의를 먼저 짚었습니다. 먼저 ｢익명화｣(anonymisation)는 독일 연방데이터보호법에 정의가 나온다고 합니다. 주목할 것은 합리적인 비용, 시간, 노력 내에서 식별이 되지 않는다면 익명화라고 보고 있다는 점이라고 합니다. 2014년 EU 데이터보호법 핸드북에서도 같은 취지로 합리적인 노력 하에서 식별이 안되면 익명화라고 보았다고 합니다.

｢가명화｣(pseudonymisation)의 경우 GDPR에서는 추가적인 정보가 없고 특정인에 대해 식별이 안되는 것이라고 정의하고 있다고 합니다. 전제조건은 추가정보가 별도로 보관되고 재식별화되지 않도록 기술적 보호조치가 취해져야 한다는 것입니다. 독일 연방데이터보호법에서는 식별자를 다른 레이블로 대체한 것, 차명 또는 가명화되고 이것이 결국 실제적으로 식별이 어렵게 되었을 때(불가능해진 것이 아니라) 가명화되었다고 봅니다. 데이터보호 핸드북도 마찬가지입니다. 결과적으로 간단한 암호화에 해당합니다.

개인정보보호법의 규제의 대상이 되지 않는 경우와 대상이 되는 경우를 구별하려면 용어 구별이 필요하다고 합니다. 익명화는 원본 데이터로 회복이 불가능한 것을 말하고, 비식별화는 식별성을 완전히 제거하는 것이 아니라 리스크를 최소화하는 것을 의미한다고 합니다. 비식별화 정보는 명백하게 개인정보에 해당합니다. EU 데이터보호법 핸드북에서도 해당한다고 밝히고 있습니다. GDPR 제10조에서는 명시적으로 가명처리한 경우 면제될 수 있다고 하고 있습니다. 그 외 제32조에서는 암호화 등 데이터를 인식불가능하게 한 경우 데이터 유출 시 정보주체에게 통지를 면제하는 등의 관련 규정을 두고 있다고 합니다.

전응준 변호사는 특히 참고할만한 사례로 미국 건강보험법(HIPAA, Health Insurance Portability and Accountability Act)을 들었습니다. 이 법에 따르면 의료정보기관이 관련 전문가의 개별적인 판단을 받고, 18개 식별자를 모두 제거하는 경우에는 프라이버시 규율에서 벗어날 수 있다고 합니다. 물론 이용자들의 프라이버시를 완전하게 침해하지 않는다고 할 수는 없지만 나름의 기준에 근거하여 의료정보에 대한 문제점을 체크할 수 있는 제도로 대중에 데이터를 제공할 수 있도록 하는 방법이므로 참고할 만하다고 합니다.

우리 개인정보보호법은 엄밀한 체계를 가지고 있다고 합니다. 일본법은 ‘익명가공정보’, ‘특정성 저감 데이터’ 와 같은 개념을 적용하여 그러한 데이터에 대해 개인정보보호법이 완화되는 시도를 한 바 있습니다. 이러한 개념이 없는 우리나라의 경우에는 일부 완화된 해석을 통해 할 수 있을 것이라 합니다. 즉 제한 해석하면 식별정보의 범위가 줄어들 수 있다는 것입니다. 독일법처럼 원본데이터로 돌릴 수 없는 정보 정도로 보는 해석이 유효하지 않나 생각한다고 합니다. 법을 개정하는 것보다는 해석론으로 해결하는 것이 더 용이할 것이라는 점도 덧붙였습니다.

결국 비식별 방법론 알고리즘, 통계적 연구가 절대적으로 필요하다고 합니다. 이론도 필요하지만 실제로 어느 정도로 비식별화 했을 때 안전하게 정보를 유통할 수 있는지가 선결적으로 해결되어야 한다고 합니다.

Ⅲ. 플로어 토론

F= Floor, A=Answer

F. 개인정보보호법이 꼭 필요한 법이기는 하지만 지나친 처벌 조항이 있어 현장에서는 개인정보를 아예 수집하지말자는 분위기가 형성되어 있습니다. 즉 정보를 모아 사업화하는 것 자체를 원천봉쇄하는 것입니다. 활용에 대해 개인의 의사 결정을 존중해주는 제도가 없습니다. 개인정보보호법은 보호를 위주로 하기 때문에 그런 방면의 생각이 결여되어 있습니다. 다른 법을 활용해서라도 그런 부분을 열어야 합니다. 빅데이터 활용을 어떻게 해야 하는지, 알고리즘은 어떤 항목을 해야하는지 구체화가 필요합니다.

A. 이영환: 하나하나 데이터를 들여다 보면서 해야 하는 부분이 있습니다. 결국 관련 연구가 지속적으로 이루어질 수 있는 팀이 필요합니다. 리포트를 계속 만들어내야 합니다.

F. 결국 어떻게 해야 하는가에 대한 구체적인 답은 없는 것 같습니다. 구체적인 방법론이 제시되지 않고 있습니다.

A. 이영환: 관련 정부 부처에서도 지속적으로 무언가 해야 한다는 필요성을 느끼지만 그것이 잘 안되고 있습니다. 연구팀이 있어야 합니다. 이런 것에 대한 가이드라인을 국가적으로 제시해야 합니다.

전응준: HIPPA 이야기를 했었습니다. 의료정보의 18개의 식별자를 정해서 그게 없으면 비식별 정보이므로 유통이 가능하고, 16개만 있으면 일부 규제를 받습니다. 즉 프라이버시 룰을 정한 것입니다. 위험성이 없다고 할 수는 없지만 미국은 이러한 방법론을 제시하고 있으므로 참조할만합니다.

박경신: Key를 자기가 가지고 있어도 암호화 또는 조직 내 보관을 잘 하고 있으면 익명정보로 보아 개인정보보호법이 적용되지 않도록 하는 반면, GDPR은 가명화를 하더라도 재실명화할 수 있는 Key를 본인 또는 조직이 가지고 있으면 그 개인정보에 대해서는 몇 가지만 제외하고 다른 개인정보와 같이 봅니다. 식별자를 떼고 넘긴다는 동의를 얻어야 할 것입니다. HIPPA 방식, 제한적 비식별화시 개인정보로 보지 않는 방식, GDPR 방식을 두고 논쟁이 있어야 하는데 그러한 논쟁 없이 방송통신위원회의 가이드라인이 나와 버렸습니다.

심우민: 리스크 매니지먼트적 접근이라는 말이 모호하기는 하지만 개인정보 개념정의의 문제로 접근하면 개념적 범주가 어디에 해당하는지를 두고 논쟁할 수밖에 없습니다. 실제로 사업자가 방지하기 위한 노력을 했느냐, 위험발생시 어떤 노력을 했느냐는 측면에서 접근을 해야 사업자로서는 규제에서 벗어날 수 있습니다. 지금 너무 개념이나 범주, 방식에만 집중하다보니 실제 풀어줘야 할 규제는 풀고 있지 않습니다. 또한 개인정보 문제로 소송을 하게 되면 이용자에게 피해가 가며, 법령상에 있는 조치만 다하면 이용자에게 책임을 전가합니다. 사업자를 위해 규제를 완화할 필요도 있지만 위험 예방적인 측면도 함께 고려되어야 합니다. 또한 사업 아이템 구상의 문제인 것인지, 식별화·비식별화가 문제인 것인지 검토해볼 필요성도 있습니다.

F. 사업은 구체적이지 않으면 시작할 수 없습니다. 구체적인 이야기를 하려고 해도 될 가능성이 없으면 드러낼 수가 없는 것입니다. 행정부와 같은 곳에서 제대로 얘기를 해주지 않습니다.

A. 심우민: 결국에는 방통위에서 가이드라인을 만들었지만 규범력을 지니지 못하므로 혼선만 초래했다고 봅니다. 개인정보규제의 동의요건 때문에 사업구상을 못하는 것은 넌센스입니다. 규제개혁을 하려면 구체적인 타깃이 필요합니다. 식별성·비식별성, 동의요건 담론으로 가는 것은 문제입니다.

F. (심우민 답에 대한 반론) 우리나라는 무조건 개인정보 수집을 통제하는 데 골몰하고 있습니다. 사업을 할 때 가장 불만인 것이 불확실성입니다. 예측불가능한 경우에는 사업을 시작할 수 없습니다. 우리나라의 개인정보 정의 규정만 보면 뭐가 뭔지 모르겠고, 결합가능성 하나 때문에 되느냐 안되느냐를 고민하게 됩니다. 휴대폰 뒷자리, 유심번호 등이 개인정보라고 판단되는 현실에서 다른 생각을 하기도 어렵습니다. 모든 데이터가 개인정보가 될 수 있습니다. 내가 가지고 있는 정보에 이동통신사의 정보가 결합되면 또 개인정보가 됩니다. 정의가 지나치게 넓게 해석되고 있습니다. 그것을 줄이기 위해 정의규정이 문제라고 하는 것입니다. 업계에서 볼 때 우리나라 법제에서는 포괄적 묵시적 동의가 불가능합니다. 다른 나라에서 가능한 방식이 우리나라에서는 불가능합니다. 무엇 하나 잘못하면 형사처벌을 받게 됩니다. 이러한 상황에서 어떻게 서비스산업이 발전하겠습니까. 우리나라는 예외규정이 없어서 무조건 다 동의를 받아야 합니다. 예를 들어 119 구급대가 경찰에게 정보를 동의 없이 넘겨주지 못합니다. 그래서 집 근처를 수색하다가 결국 피해자가 범죄의 피해를 입기도 하는 사건이 있었습니다. 모든 상황에서 결합된 상태의 서비스를 하지 못하게 합니다. 그러다보니 찾은 것이 비식별화 논의입니다. 어떻게든 동의를 받아서 수집하였는데 다른 목적이 생기면 동의를 새로 받아야 합니다. 내가 가진 정보를 비식별화하면 뭔가 할 수 있는 것이 아니냐고 하는 것이 비식별화 논의입니다. 예외를 만들어보자는 것입니다. 현재 입법론이 많이 제시되고 있지만 전혀 진전이 없습니다. 빅데이터, 사물인터넷, 인공지능이 나오는 상황에서 업계에서는 방법이 없습니다.

F. 방송통신위원회의 가이드라인은 개인정보자기결정권을 가이드라인을 통해 제한한다는 점에서 위헌적입니다. 다른 나라는 결합정보 해석, 정의 규정 리스크가 있음에도 결합정보는 잔존 리스크 단계에서만 판단하겠다는 스탠스를 취하고 있습니다. 그런데 그에 대한 기본적 해석이 전혀 이루어지지 않은 상태로 외국의 법제를 받아들이는 것은 문제라고 봅니다. 리스크 매니지먼트를 쉽게 말하지만 잔존리스크 논의가 빠져 있습니다. 수집·처리·폐기과정을 한 사람이 하는 것에 반대합니다. 다른 나라에는 수집·처리·폐기 단계별 리스크 관리가 있습니다. 목적 구속 원칙이 가장 강력하게 적용되는 것이 처리 단계입니다. 개인정보보호법의 취지에는 이용을 위한다는 목적도 있습니다. 정의규정을 바꿔서 문제를 해결하기보다는 정의규정이 원래 가진 의미를 파악하는 것이 더 중요하다고 생각합니다. 리스크라는 예측불가능성에 초점을 맞추지 않는 한 변하는 것이 없습니다.

A. 심우민: 사업자 입장에서 말씀해주셨는데, 어느나라든 각국에서 정의규정에 입각했을 때 누군지 알아볼 수 있다는 표현에 입각해서 명확하게 정하지 못하는 것은 우리나라의 문제만이 아닙니다. 사법부의 해석이 문제입니다. 리스크는 사법부의 해석이 높여놓은 것입니다. 입법의 영역에서 정하는 것은 입법기술상 불가능합니다. 해석의 문제를 입법의 문제로 해결하기는 어렵습니다.

F. 기본적으로 개인정보보호법을 규제하기 위한 것이라고 보니까 문제가 된다고 봅니다. 일본의 경우 개인정보보호법 제정을 한 것은 개인정보보호법 체계 내에서 예외를 만들기 위한 것입니다. 그 예외를 위한 개념이 가명처리정보입니다. 이 법이 들어온 계기나, 예외적으로 들어온 취지에 비추어보면 규제를 완화하기 위한 것이라고 봅니다. 다만 심우민 조사관님이 말씀하신 새로운 패러다임은 이해가 잘 가지 않습니다. 개인정보자기결정권은 권리이므로 동의가 없으면 위반인데 어떻게 형량이 들어갈 수 있나요? 위험성과 해악 사이의 비교형량이라면 심우민 조사관님이 제시한 표4는 문제가 있습니다.

A. 심우민: GDPR의 입법연혁을 봤을 때 가명정보와 같은 것은 규제를 위한 측면과 활용의 측면을 모두 가지고 있습니다. 표현의 문제가 있었던 것은 맞습니다. 권리의 개념이라는 것도 해석적 형량이 필요한 부분이고, 그 부분에 대해 형량이나 해석을 함에 있어서 위험에 대한 고려가 들어가는 것이 새 시대의 새로운 법적 패러다임이라고 생각합니다.

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

IT운동

게임 자율규제를 허(許)하라

글 | 황성기 (한양대 법학전문대학원 교수/오픈넷 이사장)

일제강점기 일본 조선총독부는 시국 불안정 등을 이유로 조선에 댄스홀을 허가하지 않았다. 1937년 잡지 삼천리에 실린 한 레코드 회사 소속 여성들의 ‘경성에 딴스홀을 허(許)하라’라는 제목의 기고는 조선총독부에 대한 탄원서 형식의 글이지만, 조선의 제도적 자유를 얻기 위한 노력으로 이해될 수 있다. 다른 나라의 도시에는 있는 댄스홀을 유독 조선에만 허가하지 않는 것을 통탄하며 댄스홀에서 춤을 추게 해달라고 청원하는 것이었다.

공정거래위원회는 지난해 전자상거래 등에서의 상품 등의 정보제공에 관한 고시 개정안을 행정예고한 바 있다. 개정안의 주된 내용은 확률형 상품 판매 시 사업자가 공급 가능한 재화 등의 종류와 종류별 공급 확률정보를 소비자에게 제공하도록 하는 의무를 사업자에게 부과하는 것이다. 여기의 확률형 상품에는 게임의 확률형 아이템도 포함된다는 것이 공정거래위원회의 기본입장이자 입법의도이다. 그런데 공정거래위원회의 개정안은 매우 잘못된 정부규제의 대표적인 사례이다.

첫째, 게임의 확률형 아이템에 대해서는 개정안보다 매우 높은 수준의 확률정보 공개 자율규제가 이미 적용되고 있기 때문이다. 게임의 확률형 아이템 자율규제는 2015년 한국게임산업협회 주도 확률형 아이템 확률정보 공개 시작부터, 2018년 확률정보 공개대상 범위 확대 및 개별 아이템 확률정보 공개로의 일원화, 2018년 게임자율규제기구인 한국게임정책자율기구의 출범을 거치면서 발전하고 있다. 이와 같은 게임 분야에서의 자율규제를 정부규제로 전환하는 것은 역사의 흐름에 역행하는 것이다. 전 세계를 대상으로 제공되는 게임서비스에서 정부규제는 결코 만능이 아니고, 과거처럼 정부규제가 모든 문제를 해결한다는 생각은 탁상공론에 불과하다.

둘째, 공정거래위원회의 개정안이 시행되는 순간부터 게임의 확률형 아이템 규제수준은 떨어져서, 소비자의 합리적 선택을 유도한다는 명분에 반하기 때문이다. 동일한 대상에 대해 높은 수준의 자율규제와 낮은 수준의 정부규제가 동시에 공존하는 경우, 전체적인 규제수준은 당연히 떨어진다. 수범자인 사업자 입장에서는 공권력에 의한 제재가 적용되는 정부규제만 준수하면 되지, 비용도 많이 드는 높은 수준의 자율규제까지 준수할 필요성이나 유인을 못 느끼기 때문이다. 따라서 자율규제가 적용되고 있는 영역에는 정부규제가 끼어들면 안된다. 사회적 요구에 비해 자율규제 수준이 낮은 경우에만 정부규제의 명분과 실효성이 생긴다.

셋째, 공정거래위원회의 개정안으로는 게임의 확률형 아이템 규제의 실효성을 담보할 수 없기 때문이다. 현재 게임의 확률형 아이템 자율규제에 대해서는 독립적인 게임자율규제기구가 지속적인 모니터링을 통해서 그 준수 여부를 감시하고 있다. 일정한 규제가 실효성을 확보하기 위해서는, 규제의 준수 여부를 지속적으로 모니터링하고, 위반자를 적발해서 제재를 가해야 한다. 이를 위해서는 모니터링기구, 위반 여부 심의를 위한 인적ㆍ물적 자원이 상당히 소요된다. 공정거래위원회가 개정안의 준수 여부를 어떻게 모니터링하고 어떠한 세부기준을 갖고 위반 여부를 심의할지 등에 대한 계획을 들어본 바가 없다.

넷째, 자율규제도 ‘규제’이기 때문이다. 오히려 정부규제의 정당성 및 실효성 문제를 해소해 줄 수 있는 대체재 혹은 보완재 역할을 한다. 이러한 자율규제의 의미와 필요성을 정부가 먼저 나서서 부정하고, 이미 작동하고 있는 자율규제의 싹을 뿌리째 없애는 것은 오늘날의 스마트 시대에 전혀 부합하지 않는 구태의연한 모습이다. 아니면 최소한 자율규제에 대한 이해가 일천하다는 것을 보여 준다. 국내 서버를 두지 않은 해외 사업자들의 경우에는, 정부규제도 속수무책이다. 오히려 의도치 않게 국내 사업자에 대한 역차별 문제만 발생시킨다.

문재인 대통령은 후보자 시절부터 게임 규제는 산업계의 자율규제를 원칙으로 해야 한다는 의견을 밝히지 않았는가. 국회 입법조사처의 보고서에서도 게임 자율규제의 확대 필요성을 밝힌 바 있다. 산업계는 갈수록 스마트해지는데, 정부는 산업계의 흐름을 제대로 따라 가지 못하는 것 같아 무척 안타깝다. 공정거래위원회는 개정안을 당장 철회해야 한다. “게임 자율규제를 허(許)하라!

이 글은 아시아경제에 기고한 글입니다. (2020.06.15.)

오픈블로그, 표현의 자유

화, 2020/06/16- 17:38

IT운동

[망중립성 특별기획 웹툰②] 리턴 오브 망중립성의 수호자

인터넷은 서로가 서로의 메시지를 품앗이로 전달해줌으로써 누구나 무료로 매스커뮤니케이션의 주체가 될 수 있도록 해주었습니다. 각자가 메시지 전달에 돈을 받으려거나 메시지 내용에 조건을 두어서는 안 된다는 이 상부상조의 약속인 ‘망중립성’이 최근 우리나라에서 위협받고 있습니다. 5G폰을 왜 지금 사면 안되는지, 인터넷은 왜 전화나 우편에 비해 무료인지, 인터넷은 왜 “쓴 만큼 내는 것”이 아닌지, 왜 한국 인터넷기업들이 한국을 떠나고 있는지, 왜 국내에서 넷플릭스와 페이스북 접속속도가 느린지 등등 실생활의 궁금증을 해소하면서 망중립성을 이해할 수 있는 만화를 소개합니다. (박경신 고려대 교수/오픈넷 이사)

[망중립성 특별기획 웹툰 1] 라이즈 오브 망중립성의 수호자

오픈블로그

목, 2020/09/03- 00:19

IT운동

정보매개서비스 제공자의 법적 책임과 표현의 자유

글 | 황성기(한양대 법학전문대학원 교수, 오픈넷 이사장)

인터넷을 기반으로 하는 다양한 서비스 제공자나 사업자 중에서 정보나 콘텐츠를 직접 제작·제공하는 자가 아닌 정보의 전달을 ‘매개’하는 서비스의 제공자를 정보매개서비스 제공자 혹은 정보 매개자(Internet intermediary)라 부른다. 각종 인터넷 포털, 검색엔진, 메신저, SNS와 같은 온라인 플랫폼 사업자가 대부분 정보매개서비스 제공자에 해당한다.

현행법에서는 정보매개서비스 제공자 혹은 정보 매개자라는 용어를 직접 사용하지는 않지만, 정보통신망법 상 정보통신서비스 제공자 중 ‘정보의 제공을 매개하는 자’, 저작권법 상 온라인 서비스 제공자 중 ‘이용자들이 정보통신망에 접속하거나 정보통신망을 통하여 저작물 등을 복제·전송할 수 있도록 서비스를 제공하거나 그를 위한 설비를 제공 또는 운영하는 자’가 여기에 해당한다.

여기서 자신이 매개하는 정보나 콘텐츠가 음란하거나 명예훼손, 혹은 저작권 침해 등의 불법정보에 해당하는 경우, 그 정보에 대한 법적 책임을 정보매개서비스 제공자는 져야 할까? 자신이 매개하는 정보가 음란하거나 명예훼손, 혹은 저작권 침해 등의 불법정보에 해당하지 않는지를 정보매개서비스 제공자는 일반적‧상시적‧적극적으로 모니터링을 해야 할 의무를 져야 할까? 등의 의문이 생길 수 있다.

우선 외국의 사례를 살펴보아도, 일반적‧상시적‧적극적 모니터링 의무를 정보매개서비스 제공자에게 법적으로 부과하는 예는 거의 찾아볼 수 없다. 정보매개서비스 제공자에게 일반적‧상시적‧적극적 모니터링 의무를 인정하지 않는 이유는 표현의 자유에 대한 ‘위축효과’를 우려해서이기 때문이다.

쉽게 이야기하면, 정보매개서비스 제공자에 대해서 일반적‧상시적‧적극적 모니터링 의무를 부과하면, 정보매개서비스 제공자는 본질적으로 자신의 법적 책임과 관련하여 애매모호한 정보는 모두 삭제를 하려고 하거나 할 수밖에 없는 소위 ‘사적 검열’을 하게 된다. 따라서 정보매개서비스 제공자에 대한 책임이나 의무의 과도한 부과는 결과적으로 위축효과를 유발해, 정보매개서비스 제공자를 매개로 유통되는 정보의 ‘총량’이 줄어들 수밖에 없고, 궁극적으로 그 사회에서 유통되는 정보의 ‘총량’에 영향을 주게 된다. 정보매개서비스 제공자에 대한 규제를 시도할 때 항상 표현의 자유에 대한 위축효과를 고려해야 하는 이유가 바로 여기에 있다.

이러한 우려 때문에, 정보매개서비스 제공자는 자신이 인지하지 못한 불법정보로 인해 발생한 피해에 대해 책임을 지지 않으며, 그러한 불법정보를 인지하기 위해 모든 게시물을 일반적‧상시적‧적극적 감시할 의무가 없다는 원칙이 국제적으로 확립되어 있는 것이다.

공정거래위원회는 지난 3월 전자상거래법 개정안을 입법 예고했다. 이 법안에는 온라인 플랫폼 운영사업자가 자신이 운영하는 온라인 플랫폼을 통해 재화 등에 관한 정보 교환을 매개하는 경우 소비자 피해를 방지하기 위한 각종 의무를 부담하게 되는 내용이 있는데, 이러한 의무가 정보매개서비스 제공자에게 일반적‧상시적‧적극적 감시의무를 법적으로 부과하는 것으로 해석될 위험성은 없는지 고민해야 한다.

왜냐하면 온라인 플랫폼 이용자들은 플랫폼을 통해 재화뿐만 아니라 다양한 내용과 형태의 정보를 공유하는데, 그 정보로 인해 발생할 수 있는 피해에 대한 각종 예방 책임과 의무를 지우게 되면, 재화 등에 관한 정보의 교환이 일어나는지 그리고 교환되는 정보가 불법정보인지를 확인하기 위해 일반적‧상시적‧적극적으로 감시할 수밖에 없기 때문이다.

인터넷 관련 규제정책을 담당하는 정부기관은 항상 이 점을 염두에 두어야 하며, 특히 정보매개서비스 제공자에 대한 규제를 시도할 때는 신중을 기해야 한다.

* 이 글은 IT조선에 기고한 글입니다. (2021.07.13.)

오픈블로그, 표현의 자유

화, 2021/07/13- 20:29

IT운동

‘문재인 공산주의자’ 판결의 위험

박경신 (고려대 법학전문대학원 교수, 오픈넷 이사)

역사는 항상 희극과 비극이 섞여 있는 회색 덩어리 같은 것이다. 역사로부터 배운다는 말은 보통 역사의 비극에 초점을 두고 비극을 되풀이하지 않겠다는 태도를 상징한다. 그런데 비극으로부터 배우는 것에만 초점을 맞추다보면 비극에 갇혀 있을 수도 있다. 공산주의의 비극을 되풀이하지 않겠다는 결의만으로 가득 찬 사회는 자본주의의 착취로 나아갈 수 있고, 그 반대 벡터도 가능하며 양극단 사이에서의 진동이야말로 진정한 비극이 될 것이다. 비극의 관점에서만 역사를 볼 것이 아니라 비극이 실현되지 않은 경우의 수들, 즉 희극도 엄연히 역사의 한 부분이라는 것을 항상 염두에 두는 자세가 필요하다.

문재인 대통령을 공산주의자로 칭했다고 하여 명예훼손 유죄가 선고되었다. 과거에 공산주의자라는 칭호가 국민들에게 씌웠던 누명과 천형을 생각하며 종북몰이에 대한 경계심을 갖는 것은 올바른 일이다. 필자도 수년 전 이정희 의원에게 ‘종북’이라고 불렀다고 해서 민사 손해배상 판결이 난 것에 대해서 ‘국가보안법의 역습’이라고 자위했다. 진보적인 인사들이나 독재에 순응하지 않은 사람들을 부당하게 처벌하고 심지어는 정치에 무관한 사람들을 간첩으로 엮었던 역사를 생각해본다면, ‘종북’ 칭호는 상대를 공공의 적으로 간주하는 것이며 맹목적인 반공 사회의 사법적 피해자에 대한 혐오 표현이라고 볼 수 있었다. 분단사회의 질곡이라는 역사로부터 배우려면 저런 판결도 도움이 될 수도 있다고 본 것이다. 그러나 ‘문재인 공산주의자’에 대한 형사처벌은 역사의 비극으로부터 너무 많이 배우려다가 역사의 비극 속에 갇히는 사례가 될 것이다.

명예훼손 형사처벌은 세계 각국에서 사문화하거나 폐지하자는 운동이 벌어지고 있다. 명예란 도대체 무엇인가? 불특정 다수가 나에 대해 가지고 있는 평가의 집합, 곧 평판이다. 평판은 나를 고찰하는 사람의 사상과 의견의 영역에 속하기 때문에 내가 통제하는 것에 한계가 있다. 내가 아무리 천사처럼 살아도 아무런 이유 없이 나를 싫어할 수 있다. 그런데 내 평판이 훼손되었다고 해서 훼손의 씨앗이 된 말을 한 사람의 신체의 자유를 제약하는 것은 비례성에 어긋난다. 민사 손해배상으로 한정되어야 한다. 더욱이 명예훼손이 형사처벌의 형태로 존재하면 기소와 압수수색만으로도 피의자들의 삶을 피폐화할 수 있는 검찰은 쉽게 권력 연장의 도구가 될 수 있다.

역사의 희극은 더 이상 종북몰이가 먹히지 않는다는 점이다. 우리 민중은 완전히 승리하지 못했지만 어느 정도 승리했다. 역사는 항상 그런 것이다. 그런데 역사의 비극, 즉 분단사회에서 진보 인사들이 받은 핍박에만 매몰되어 종북 발언, 공산주의자 발언을 형사처벌까지 하려고 든다면 그 역사의 다른 면에 갇힐 수밖에 없게 된다. 이 항소심 판결이 대법원에서도 유지된다면 이제 문재인 정권을 ‘독재’라고 불러도 나를 포함한 문재인 정권 지지자들은 할 말이 없게 된다. 더욱 중요한 것은 이제 ‘공산주의’를 포함한 다른 진보적인 사상들, 즉 사회주의 등등은 우리 사회가 절대로 언급해서는 안 되는 극악의 지표로 남게 될 것이다. 이런 의미에서 이번 판결을 절대로 진보적인 판결이라고 받아들이기 어려운 이유이다.

명예훼손으로 법정 구속된 종편 출신 송아무개 기자 사건도 마찬가지이다. 지금 송에게 쏟아지는 비난의 수위는 송의 디지털스토킹이 불러왔을 피해자에 대한 비난의 수위를 압도하고도 남는다. 피해자가 송의 ‘만행’을 먼저 알렸다면 피해를 막지 못했을까? 혹시 알리지 못한 이유는 거꾸로 송으로부터 명예훼손 고소를 당할 위험 때문 아니었을까? 우리가 피해자가 겪은 비극으로부터 배우려는 자세에만 매몰되어 형사처벌을 통한 검열에만 심취한다면, 소비자들의 이용후기가 위축되는 것은 물론 죄 없는 기업들의 블랙컨슈머리즘에 대한 고발도 같이 위축될 것이다. 역사로부터 배운다는 말은 항상 반만 옳다.

이 글은 한겨레에 기고한 글입니다. (2020.09.03.)

오픈블로그, 표현의 자유

금, 2020/09/04- 21:10

IT운동

공익적 정보처리 및 언론과 개인정보보호법

이 글은 2020. 11. 5.(목) 오후 2시, 국회의원회관 제4 간담회실에서 ‘공익제보와 개인정보 심포지엄’에서 발표된 발제문의 요약문입니다. https://opennet.or.kr/18973

개인정보보호법은, 사회가 복잡해지면서 자신에 대한 정보를 제공해야만 생활과 행복추구에 긴요한 서비스나 재화를 받을 수 있는 경우가 늘어나는 상황에서, 자신에 대한 정보의 향후 이용이나 제3자제공을 미리 제한할 협상력이 없을 정도로 개인정보처리자와의 힘의 비대칭에 놓인 정보주체를 ‘정보감시’ 또는 정보감시의 가능성으로부터 오는 ‘위축효과’로부터 보호하기 위해 고안된 법제로서 정보주체에게 자신에 대한 모든 정보에 대해 소유권과 유사한 통제권을 부여하는 것을 골짜로 하고 있다.

한편 법이 원래의 목적에 부합하게 기능하도록 하기 위해서는, 모든 개인정보처리가 정보주체의 통제권 하에 놓여지면 도리어 힘없는 개인정보주체들이 표현의 자유나 알 권리를 통해 행사할 수 있는 저항권이 제한되므로 정보주체의 통제권을 정교하게 재단할 필요가 있다. 이를 위해 대부분의 개인정보보호법제들은 첫째 GDPR 및 GDPR이행입법들의 상당수는 공익 및 정당한 이익을 위해 정보주체의 동의가 없는 정보수집 및 제3자 정보제공을 허용하고 둘째 단순히 제도권 언론의 취재보도만을 면책시키는 것이 아니라 언론 “목적”의 정보처리에 대해서 예외를 허용하고 있다. 제3자가 언론에 제보하는 행위도 예외에 포함되는 것이다.

우리나라의 개인정보보호법은 특히 공익제보가 활발히 이루어질 수 있도록 제3자제공, 언론목적 정보처리, 개인정보처리자의 해석 등에 있어서 국제기준에 비추어 개정해야할 필요가 있다.

	우리법 수집이용	우리법 3자제공	GDPR (수집, 이용, 3자제공)
타법률	O	O	O (4c)
공공기관업무	O	O	O (4f)
계약이행	O	X	O (4b)
정보주체보호	O	O	O (4d)
정보처리자의 정당한 이익	O	X	O (4f)
공익보호	X	X	O (4e)

개인정보보호법 제58조(적용의 일부 제외) ① 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다. . . . .4. 언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거 입후보자 추천 등 고유목적을 달성하기 위하여 수집·이용하는 개인정보

GDPR의 경우 다음과 같이 주체를 한정하지 않고 “언론 목적의. . 처리(processing for journalistic purposes)”에 대해 표현의 자유 및 정보의 자유와의 화합을 도모하도록 개별국가가 법제화를 하도록 의무화하고(“shall”) 있음.

Article 85 Processing and freedom of expression and information

1. Member States shall by law reconcile the right to the protection of personal data pursuant to this Regulation with the right to freedom of expression and information, including processing for journalistic purposes and the purposes of academic, artistic or literary expression.

오픈블로그, 표현의 자유, 프라이버시

수, 2020/11/18- 02:43