테러방지법(이철우 의원 대표발의 및 주호영 의원 수정안)은 “UN이 지정한 테러단체”의 조직원 또는 “테러예비·음모·선전·선동을 하였거나 하였다고 의심할 상당한 이유가 있는 자”(이하 “테러위험인물”)에 대한 처벌과 원활한 조사를 위한 법이다. 한편 이 법에 따르면 “테러”는 ’정부, 지자체, 외국정부, 국제기구
모든 민주주의 국가에서는 국민은 재판을 통해 죄가 입증되기 전까지는 무죄추정의 원칙으로 보호를 받되, 범죄연루의 개연성을 수사진행에 이해관계를 가지지 않은 공직자, 즉 판사가 서면으로 확인한 경우(영장)에만 감청, 압수수색 등 국민의 프라이버시를 침해하는 조사를 할 수 있도록 되어 있다. 그러나 테러방지법 하에서는 판사의 영장을 통하지 않고 그런 조사를 받을 위험이 존재한다.
테러방지법 제9조 제3항에서는 “국가정보원장은 테러위험인물에 대한 개인정보(…‘민감정보’ 포함…)와 위치정보를…‘개인정보처리자’와…‘위치정보사업자’에게 요구할 수 있다”라고 되어 있는데 영장 등 아무런 절차적 제한이 없다. 특히 여기서 개인정보나 위치정보의 범위에 아무런 제한이 없어 통신의 내용, 비밀리에 보관된 정보도 모두 포함되는 것으로 보인다.
“사업자에게. . .요구할 수 있다”라고만 되어 있을 뿐 사업자들이 정보를 “제공해야 한다”라고 되어 있지 않아 일견 강제성이 없다는 이유로 방만하게 조문화된 것으로 보인다. 그러나 형사소송법 제199조제2항(“. . .요구할 수 있다”)와 전기통신사업법 제83조제3항(“. . .제공할 수 있다”)도 제9조제3항과 비슷하게 조문화되어 있지만, 관련 정보처리자들은 수사기관이 요구한 정보를 거의 100% 제공하고 있어 강제적인 조항이 있는 것과 결과적으로 다를 바가 없다. 이동통신사들이 의무조항이 아닌데도 매년 1천만 건 이상의 통신자료를 수사기관 등에 대부분 제공하고 있는 상황을 보면 (최원식 의원 2015년 8월27일 보도자료, “2012~2014년 한해 평균 1천14만568건) 국정원의 요청 역시 기계적으로 모두 응할 가능성이 높고, 이때 범죄와 무관한 사람들의 정보가 무차별적으로 수사기관에 넘겨지게 될 것이다.
위 현상의 문제점은 반복적으로 지적되어 왔으며, 오픈넷은 정청래 의원과 함께 공공기관이 임의로 개인정보를 수사기관에 제공하는 경우 통지해야 한다는 내용의 개정안을 발의한 바 있다. 또한 통신자료제공에 대해서도 참여연대 공익법센터와 함께 ’이통사에게 물어보기 캠페인‘을 진행해서 수천 건의 통신자료제공 사례를 밝혀낸 바 있으며, 작년 11월 UN인권위원회는 전기통신사업법 조항에 대해서는 폐지를 권고한 바 있다. 특히 이용자 식별정보에만 한정된 통신자료제공과 달리 테러방지법 제9조제3항은 통신의 내용도 포함할 수 있어 더욱 심각하다.
물론 같은 법 제9조 제1항이 ”. . .정보의 수집에 있어서는 「출입국관리법」, 「관세법」, 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」, 「통신비밀보호법」의 절차에 따른다”고 되어 있지만 이는 강제적인 수집을 할 때에 적용되는 것이고 제9조 제3항은 사업자들의 자발적인 협조를 얻어 정보를 수집하는 제2의 통로를 뚫은 것으로 봐야 한다.
또 동 조항의 제4항에서는 국가정보원장이 “대테러 활동에 필요한 정보나 자료를 수집하기 위하여 대테러 조사 및 테러위험인물에 대한 추적을 할 수 있다”라고 적시하고 있다. 이 역시 “추적”의 의미가 매우 불분명하며 기간, 장소, 방법에 아무런 제한이 없어 해킹팀 RCS까지 포함할 것인지 궁금할 정도이다. 제3항과 제4항 모두 그 흔한 대통령령으로의 위임도 없어 구체적으로 절차나 범위가 제한될 가능성도 없다.
물론, 외국의 테러방지법들도 ’테러’라는 범죄에 대해서 일부 영장주의를 완화하기도 한다. 그러나 우리 국정원은 다른 해외정보기관들과 달리 사이버심리전 수행 권한과 정부 전체의 정보보안사무 권한을 가지고 있는데, 이를 바탕으로 2012년 대선 댓글 개입 및 2015년 밝혀진 해킹팀 RCS 이용도 가능하였다. 또 통신내용의 취득이 영장 없이 대규모로 이루어지는 사례를 찾아보기는 힘든데 바로 그런 위험이 있는 것이다. 스노우든이 폭로한 프리즘 수사도 미국법원의 영장에 의해 집행되었다.
우리나라와 같이 국가후견주의가 강한 나라에서는 ”합법적인 요구”와 ”강제적인 요구”가 잘 구분이 되지 않고 있으며, 관의 ”합법적인 요구”는 반드시 따라야 한다는 오해가 지배적이다. 개인정보처리자는 국정원이 제9조제3항을 언급하며 요구하는 정보제공에 대해 별다른 고민 없이 응할 가능성이 높은데, ”합법적인 요구”는 반드시 따를 의무가 없으니 사업자들은 정보제공이 필요한지에 대해 스스로 면밀히 판단하여 고객들의 프라이버시 보호에 만전을 기해야 할 것이다. 영장주의라는 민주사회의 프라이버시 보호체제를 무시하는, 수사기관의 영장 없는 개인정보제공 요구 시 개인정보처리자는 정보제공 판단에 신중을 기해야 할 것이다.
2016년 3월 7일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, master@
참여연대, 오픈넷 공동주최
위 캠페인이 진행된 이후 이통사들이 정책을 바꿔 응대를 하고 있습니다. 여러분들의 노력이 결실을 맺고 있습니다! 아래에서는 이통사별로 수사기관에 내 통신자료를 제공한 사실이 있는지(!) 확인하는 방법을 안내드립니다.
통신자료 제공내역을 받으시면 저희 오픈넷 사무국 02-581-1643, [email protected] 을 통해 편하신 방법으로 자료를 전달해주세요.
[2016년 3월 최신 업데이트]
1. 홈페이지(www.tworld.co.kr) 로그인을 합니다.
2. 페이지 하단 <이용내역조회> 클릭합니다.
3. 개인정보이용내역조회 클릭합니다.
4. 7.통신자료제공사실열람요청합니다.
5. 본인인증(이동전화 선택이 용이)을 합니다.
6. 개인정보수집동의 및 안내사항 확인후 통신자료제공사실 확인서를 요청합니다.
이렇게 신청하면 신청한 메일 주소로 7일 뒤 결과가 온다고 합니다.
메일로 전송된 PDF파일을 클릭하고, 비밀번호(생년월일 6자리)를 입력하면 확인해볼 수 있습니다.
1. 홈페이지(https://help.olleh.com/custom/custom.do) 들어가서 로그인을 합니다.
2. 홈페이지 하단에 <주요안내란>을 클릭합니다.
3. 통신자료 제공내역을 클릭합니다. (화살표를 클릭해 우측으로 이동해야 이 메뉴가 보입니다)
4. 본인인증을 받습니다.
5. 정보 수정(통신자료 제공내역 열람신청)을 합니다.
그로부터 1~2일 뒤, 신청한 이메일로 내역 발송 회신 옵니다.
1. 홈페이지(LGU+ http://www.uplus.co.kr/) 접속해서 로그인합니다.
2. 하단에 ‘개인정보이용내역’을 클릭합니다.
3. 통신자료 제공사실 열람 신청을 합니다.
4. 인증절차를 기입합니다.
5. 개인정보를 입력합니다.
6. 신청 완료하면 일주일 뒤에 회신이 옵니다.
===============================================
* 아래는 구 버전(2015.02.27.)입니다. 위의 최신 업데이트 방법으로 통신자료제공내역을 확인해주세요.
- SKT의 경우(전화신청 및 1회방문):
1. 본인 휴대폰으로 114에 전화해 상담사 연결해서 ‘통신자료 제공내역 확인’ 요청하면 본인확인 후 구두로 ‘통신자료 제공내역 확인’ 신청할 수 있음.
*영업일 3일 후에 특정 지점에 내방하라고 안내받음. 여기서 “지점”은 전국에 40여개밖에 없는 것으로 400여개가 있는 “직영점”과 다름.
2. 신분증 지참 후 114에서 안내받은 점포로 안내된 시간(영업일 3일)이 지난 후 방문하여 통신자료 제공내역 수령함 (지점에서 수령 직전에 기록보관용을 확인요청서 작성을 요청해올 수 있는데 응해줘도 될 듯)
3. 통신자료 제공내역을 오픈넷에 전달 → 오픈넷에서 검토 후 개별 연락
*실제 제공 내역이 없어도 알려주시면 감사하겠습니다.
※ ‘지점’ 찾기: http://www.tworld.co.kr/normal.do?serviceId=S_CMIS0001&viewId=V_CENT0099#sthash.75peCkaz.dpuf
- KT의 경우(2회 방문 필요):
1. 휴대폰으로 114에 전화해 상담사 연결해서 ‘통신자료 제공내역 확인’이 가능한 올레플라자 지점 안내 요청
2. 가까운 올레플라자 지점 방문해 “통신자료 제공내역 확인신청서” 작성해서 제출(처리기간 3~4일 정도 소요), 담당자 이름과 연락처 알아두기
3. 신청서 제출 후, 올레플라자에서 연락이 오면 신분증 지참 후 통신자료 제공내역 수령
4. 통신자료 제공내역을 오픈넷에 전달 → 오픈넷에서 검토 후 개별 연락
5. 올레플라자에서 연락이 오지 않을 경우, 담당자에게 독촉하여 통신자료 제공내역 받기
※ ‘올레플라자’ 찾기: http://help.olleh.com/plaza/KtStoreSearch.do#sthash.75peCkaz.dpuf
- LGU+의 경우(2회 방문 필요):
1. 휴대폰으로 114에 전화해 상담사 연결해서 ‘통신자료 제공내역 확인’이 가능한 LGU+ 직영점 안내 요청
2. 가까운 직영점 방문해 “통신자료 제공내역 확인 신청서” 작성해서 제출(처리기간 3~4일 정도 소요), 담당자 이름과 연락처 알아두기
3. 신청서 제출 후, LGU+ 직영점에서 연락이 오면 신분증 지참 후 통신자료 제공내역 수령
4. 통신자료 제공내역을 오픈넷에 전달 → 오픈넷에서 검토 후 개별 연락
5. LGU+ 직영점에서 연락이 오지 않을 경우, 담당자에게 독촉하여 통신자료 제공내역 받기
※ 직영점 찾기: LGU+고객센터(114)로 문의
- 공통유의사항
*’통신자료제공 확인 요청을 할 때 ‘통신자료제공이 된 적이 있다면 통신자료제공 요청을 한 수사기관의 담당부서, 담당수사관, 자료제공요청서 번호도 포함하여 알려달라’고 요청해둘 것. 실제로 통신자료제공이 있었다고 결과가 나오면 이 정보를 이용해서 수사기관에 전화해서 왜 해당 수사기관이 내 신원정보를 가져갔는지 물어볼 수 있음.
*현재 신청일 기준으로 1년이 넘는 통신자료제공 사실은 제공하지 않고 있음. 법해석을 달리해서 그런 것인데 “1년이라는 기간은 정부보고를 위해 대장을 만들어두라는 기간이고 여튼 돈을 내는 고객의 개인정보를 허락없이 외부에 유출했다면 이것은 고객에게 피해를 끼친 기록인데 시간이 지났다고 폐기할 수 있는가”라고 항의해보길 독려함.
- 용어설명
통신자료제공: 수사기관이 수사를 하는 도중 신원미상자가 특정 전화번호를 통해 수사대상 홈페이지에 접속하거나 수사대상자의 전화번호와 교신한 기록이 나왔을 때 그 사람의 신원을 확인하기 위해 해당 전화번호의 가입자정보를 가져가는 것. 결국 수사기관은 통신자료제공요청을 통해 “X라는 사람이 A라는 홈페이지 또는 전화번호와 통화했다”는 사적인 사안을 영장을 통하지 않고 알게되는 것임. 통신사실확인자료는 특정 전화번호가 특정 기간 동안 접속한 홈페이지주소나 전화번호를 법원허가에 따라 모두 가져오는 것이므로 구별되며 감청이나 전기통신압수수색은 통신의 내용을 수사기관이 법원허가나 영장에 따라 받아보는 것이며 3가지 모두 국가가 사후적으로 가입자에게 통지를 하도록 되어 있음. (이 통지를 받은 사람은 오픈넷의 별도 캠페인에 참여할 수 있으므로 역시 연락바람.)
내방하셔서 통신자료 제공내역을 받으시면 저희 오픈넷 사무국 02-581-1643, [email protected] 을 통해 편하신 방법으로 자료를 전달해주세요.
오픈넷이 확인하는 즉시 연락을 드리겠습니다.
바쁜 생활 중에 직영점에 직접 찾아가는 일이 결코 쉽지 않으시겠지만, 여러분의 참여가 고객 정보를 무단으로 제공하는 이통사의 관행을 근절하는 데 큰 도움이 될 것입니다.
번거로우시더라도 시간 나실 때 이통사 지점 방문하셔서 캠페인에 끝까지 동참해주시기 바랍니다.
감사합니다.
오픈넷 사무국 02-581-1643, [email protected]
신원불상변사자 디엔에이데이터베이스의 구축 및 디엔에이신원확인정보의 보호에 관한 법률안(의안번호 : 16932)에 관한 의견
오늘 대법원 민사4부는, 이동통신사나 포털 등과 같은 전기통신사업자들이 수사기관에게 이용자 신원정보를 제공해온 관행에 대하여, 전기통신사업자들은 전기통신사업법 제83조 제3항(구 전기통신사업법 제54조 제3항) 상의 통신자료제공 요청을 받을 때 그 요청을 실질적으로 심사할 의무를 ‘일반적으로’ 가지고 있지 않다고 판시하였다. 그 취지로는 수사기관의 권한 남용에 대한 통제는 국가나 해당 수사기관에 대하여 직접 이루어져 하는 것이지 통신자료제공 요청의 적절성에 대한 판단의 부담을 사인에게 전가할 수 없다는 것이다.
이 사건은 공인인 유인촌 당시 문화부 장관이 ‘연아 회피 동영상’ 게시물을 인터넷에 게시한 네티즌들을 명예훼손으로 형사고소하였고, 사건 담당 경찰서장이 이 사건을 수사하기 위하여 이 게시물을 매개한 포털에게 성명, 주민등록번호, 주소, 전화번호, 아이디 등 이용자에 관한 통신자료를 요청하였고 해당 포털이 수사기관에 통신자료를 제공함으로써 불거진 사건이다. 이후 명예훼손으로 형사고소당하고 또한 자신의 통신자료가 포털에 의해 수사기관에 제공된 이용자는 포털을 상대로 손해배상을 구하는 민사소송을 제기하였다. 제2심을 담당한 서울고등법원은2012. 10. 18. 손해배상을 인정함으로써, 2012년 10월의 서울고등법원 판결 이전까지 전기통신사업자가 거의 모든 통신자료제공요청에 대하여 아무런 심사 없이 기계적으로 제공해온 관행에 경종을 울렸었다. 하지만 대법원은 포털의 손해배상책임을 인정하지 않는 취지의 판결을 내린 것이다.
개인정보 보호 내지 통신비밀 보호와 관련되는 이 사건에서 대법원의 판결이 던지는 메시지를 곡해해서는 안 되고 정확하게 읽어야 한다.
우선, 대법원이 던진 메시지는 수사기관의 통신자료 제공 요청을 받을 때 그 요청을 ‘실질적’으로 심사할 의무를 전기통신사업자가 ‘일반적으로’ 가지고 있지 않다는 것이다. 이러한 메시지의 이면에는 전기통신사업자에 대해서 실질적 심사에 대한 물리적‧경제적 기대가능성을 인정하기가 쉽지 않다는 점을 고려한 것으로 보인다. 하지만 대법원의 메시지를 실질적 심사의무를 ‘전혀’ 가지고 있지 않다는 의미로 오해해서는 안 된다. 따라서 구 전기통신사업법 제54조 제3항이 규정하고 있는 요건이나 절차 위반 등(예컨대 통신자료 제공요청권자, 통신자료 제공요청서 등의 법정요건과 절차 위반이 있는 경우, 통신자료 제공요청서 자체에 명백한 오류가 있는 경우 등)의 위법성이 명백함에도 불구하고 통신자료를 제공한 경우라든지 혹은 수사기관이 자신의 수사권한을 오‧남용하기 위해 요청하는 것이 객관적으로 명백함에도 불구하고 통신자료를 제공한 경우에는 여전히 전기통신사업자는 수사기관의 통신자료 제공요청을 거부해야 한다. 이러한 경우까지 전기통신사업자에게 면책을 부여한 것으로 곡해해서는 안 된다.
다음으로, 대법원이 던진 메시지는 통신자료 제공제도를 둘러싼 문제점, 예컨대 개인정보자기결정권에 대한 침해 우려, 통신비밀보호라는 헌법적 가치에 대한 위해 등의 문제를 법원이 개입해서 판단할 것이 아니라 입법적으로 해결하라는 취지이다. 그동안 전기통신사업법상의 통신자료 제공제도에 대해서는 헌법상의 기본권인 통신비밀보호와 개인정보자기결정권을 침해하고, 영장주의와 적법절차원칙에 반하는 잘못된 제도라는 주장이 줄기차게 제기되어 왔다. 따라서 이번 대법원 판결을 계기로 하여 국회는 전기통신사업법상의 통신자료 제공제도에 대해서 통신비밀보호법과 마찬가지의 수준으로 영장주의를 적용하고, 적법절차원칙에 부합하는 방향으로 전기통신사업법을 신속하게 개정해야 할 것이다.
특히 대법원은 신원정보의 제공은 프라이버시를 깊게 침해하지 않는 것으로 보았는데, 이용자 신원정보는 특정 익명의 통신을 한 이용자의 신원정보이다. 통신자료제공은 익명의 통신의 내용을 특정인에게 연계시키기 때문에 특정인의 내밀한 통신의 내용을 취득하는 수사 즉 압수수색이나 감청과 효과 면에서 다를 것이 없음을 국회는 직시해야 할 것이다.
마지막으로 전기통신사업자들은 이번 판결을 근거로 잘못된 판단을 내려서는 안 될 것이다. 대법원의 판결이 이렇다고 하더라도 소비자들의 프라이버시를 경시하는 관행에 대해서는 시장에서, 그리고 계속된 법정에서 논란을 계속 낳을 수밖에 없다. 오픈넷은 이 판결과 관계없이 통신사업자들에게 통신자료제공이 되었는지를 확인하는 캠페인을 계속 벌일 것이며 통신자료제공이 확인 되는대로 그것이 올바른 제공이었는지 법정이나 여론 등 공론의 장으로 끌어오는 작업을 계속할 것이다.
특히 테러방지법 제9조제3항도 “국정원장이 개인정보처리자에게 개인정보 제공을 요구할 수 있다”라고 되어 있어 임의수사처럼 되어 있는데, 오픈넷은 이 조항이 우리나라 사업자들이 관의 ‘합법적’ 요구는 무조건 들어주어 왔던 관행과 결합한다면 엄청난 프라이버시 침해를 발생시킬 수 있음을 지적한 바 있다. (관련 논평: http://opennet.or.kr/11217) 테러방지법은 특히 통신의 내용에 대한 제공요청도 포함하고 국정원장이 요청건수를 공개할 필요도 없기 때문에 그 위험은 매우 크다. 이런 위험으로 번지지 않도록 아무런 검토 없이 개인정보를 제공하는 관행은 중단해야 한다.
2016년 3월 11일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
‘테러방지
발표일자:
2016/03/14
글 | 박경신(오픈넷 이사, 고려대 법학전문대학원 교수)
애플과 미국 수사기관의 공방이 계속되고 있다. 미국의 수사 기관이 수사를 위해 용의자가 가진 아이폰을 잠금 해제해달라고 명령하고 애플은 이에 반박하고 있다. 이 공방과 관련해 알려진 사례는 크게 두 가지가 있다.
캘리포니아 연방지방법원 동부지원의 셰리 핌 판사는 미국 연방수사국(FBI)이 2015년 12월 미국 샌버나디노 장애인시설 총기 난사 용의자의 아이폰[1]에 담긴 정보에 접근하기 위해 애플이 기술 지원을 해야 한다고 명령했다.
애플은 명령 반대 메시지를 담아 고객에게 보내는 편지까지 공개하며 반대하고 있다. 2016년 2월 25일 결정 취소 청구를 했으며 3월 22일 재판이 열릴 예정이다. 애플은 청구 취소 절차 외에도 항소장까지 제출했다.
FBI와 마약단속국(DEA)은 마약 거래상의 아이폰[2]을 압수했지만 잠금 해제를 풀 수가 없었다. 그래서 애플에 잠금 해제를 우회하도록 도와달라는 요청을 했다.
2016년 2월 29일 뉴욕의 연방지방법원의 제임스 오렌스틴 행정판사는 FBI와 DEA의 협조 요청을 기각했다. 이에 미국 법무부는 항소 의사를 밝혔다.
많은 사람이 이를 두고 개인정보와 프라이버시, 국가안보가 부딪히는 사례라고 파악한다. 하지만 이건 프라이버시보다 표현의 자유 문제로 볼 수도 있다. 코딩(프로그래밍)은 물리적 행위가 아니라 지적 행위이기 때문이다.
다시 말해 애플에 아이폰 1대를 위한 운영체제를 새로 만들어달라는 요구는 금고회사에 금고를 여는 키를 만들어달라는 것과는 다르다. 운영체제 개발은 물리적 행위가 아니다. 금고의 열쇠를 새로 제작하도록 강제하는 것과 알리바바에게 “열려라 참깨”라고 말하도록 강제하는 것은 다르다.
피카소에게 스페인의 독재자 프랑코를 찬양하는 그림을 그려달라고 강요할 수 있을까? 이 경우는 프라이버시를 침해할 수 있는 내용을 담은 소프트웨어 제작이니 더욱 말할 것도 없다.
물론 증언 거부로 감옥에 가는 사람들도 있다. 법원이라는 ‘공론의 장에서의 진실추구’라는 공익이 ‘증인의 말하지 않을 자유’보다 중요하게 여겨지는 경우들이 있기 때문이다. 하지만 전문가 증인(expert witness)에게 사건을 분석하고 의견을 말하도록 하라는 명령을 내리는 경우는 없다.
그렇다면 코딩이 연설, 작곡, 조각, 회화 또는 저술과 같은 행위인가 아니면 닫힌 금고를 열어주거나 법정에서 자신이 이미 아는 사실을 말하는 정도의 행위인가?
만약, 전자라면[3] 절대로 애플에 강제되어서는 안될 문제이다. 정부의 공익이 아무리 지대해도 그 공권력의 행사를 수동적으로 수용할 수 있을 뿐 코딩이나 운영체제 개발과 같은 창조적 행위를 강제할 수는 없다.
폴크스바겐 배기가스 조작 소프트웨어 같은 걸 만들어달라는 정부의 요구를 프로그래머들은 윤리적인 이유로 언제라도 거부할 수 있어야 한다. 정부는 애플에 ‘부탁’해야지 애플에 ‘강제’해서는 안 된다. 애플의 거부는 일종의 ‘프로그래머 윤리 선언’으로 칭찬받아야 한다.
표현의 자유 측면을 보지 않고 프라이버시 측면만 본다면 애플의 입장을 수긍하기 어렵다. 프라이버시를 보호해야 하는 대상이 실제로 테러를 저지른 사람이기 때문에 보통 범죄수사에 있어서 프라이버시 보호기능을 하는 영장주의의 요건을 훨씬 충족하고 남는다. 여기에 ‘미래의 테러방지’라는 중요한 공익도 있다.
아이폰 1대 운영체제를 바꾼다고 해서 그 코드가 유출되거나 기억될 수 있다는 논리도 애플이 이미 그럴 능력을 갖추고 있음을 생각하면 설득력에 한계가 있다. 즉, 지금도 애플은 지금도 백도어를 만들 능력을 갖추고 있지만, 만들지 않고 있을 뿐이다.
테러범이 이용한 아이폰(5C)의 운영체제에는 암호를 여러 번 틀리면 점점 더 오랜 시간을 기다려야만 다시 입력할 수 있는 기능과 사용자 설정에 따라 더 많은 횟수를 틀리면 아이폰 내의 정보가 몽땅 삭제되도록 하는 기능이 들어있다.
FBI는 애플에 이와 같은 기능이 없는 운영체제(iOS 10)를 만들어달라고 요청했다. 그 ‘두 가지 기능이 빠진 iOS’로 아이폰을 업데이트한 후 무차별 공격(brute force) 등 여러 방법을 동원해 잠금 해제 암호를 직접 찾아보겠다는 것이다. 이때 iOS 업데이트를 하려면 애플의 승인을 거쳐야 하기 때문에 사실 애플이 업데이트한다고 보는 것이 맞다.
여기서 재미있는 질문은 이렇다:
‘애초에 왜 애플이 잠금 해제 없이도 iOS 업데이트가 가능하도록 해놓았는가?’
만약 그렇지 않았다면, FBI의 요청에 대해 애플은 그냥 ‘불가능하다’고 답하면 그만이었을 것이기 때문이다. 또는 만약 애플이 iOS 업데이트와 무관하게 작동하는 암호보호 소프트웨어를 내장시켰다면 어땠을까?
실제로 이후 버전의 아이폰에는 보안 엔클레이브(Security Enclave)라는 프로세서[4]가 있어서 어떤 종류의 iOS가 업데이트되더라도 암호를 풀기는 실질적으로 불가능해졌다. 즉 새 버전의 아이폰은 이용자가 암호를 알려주지 않으면 그 정보는 영원히 폰 안에 잠기게 되어 지금과 같은 공방이 애초에 발생하지 않는 것이다.
그렇다면, 애플이 실제로 고객 프라이버시만을 생각했다면 왜 예전 버전에서는 이용자 동의 없이 애플이 iOS 업데이트를 할 수 있게 설계했을까? 고객이 암호를 잃어버렸을 때 그 안의 중요한 정보를 빼주기 위해서? 그런 목적이었을 리는 없다. 애플은 이미 용의자의 클라우드 계정에 있는 정보를 FBI에게 넘겨줬다.
만약 고객의 중요 정보를 빼낼 목적이었다면 FBI가 요청한 업데이트도 안 해줄 명분이 없다. 애플이 클라우드 정보는 제공하면서 아이폰 내의 정보 취득을 돕지 않는 이유는 고객의 프라이버시 때문만이 아니라 바로 프로그램을 새로 만들어야 하기 때문이다.
애플을 비난하려는 것이 아니다. 각 기기의 보안기준은 사회규범을 통해 정해진 것이 아니라 각자 프로그래머들이 자유롭게 정하는 것이고 전 세계 시민단체 중에 누구도 애플에 왜 보안 엔클레이브를 미리 설치하지 않았느냐고 비난한 적이 없고 비난해서도 안 된다. 그럴 수 있다면 모든 안드로이드에 대해서 불매운동을 벌여야 할 것이다.
즉, 아이폰을 완전히 침투 불가능하게 만들 수도 있고 부분적으로 침투할 수 있게 만들 수도 있는 자유를 이미 애플의 프로그래머들이 향유하고 있는 상황에서 ‘iOS 10 하나만 만들어도 그 코드가 확산할 수 있다’는 주장은 그 자체만으로는 협조를 거부하기에 충분한 반론이 아니다.
결국, 더 강한 반론은 프로그래머들에게 코딩을 강요할 수 있다는 논거가 더해질 때 비로소 얻을 수 있다. 특히 ‘나쁜 선례를 만든다’는 주장도 그 선례가 이용자 협조 없이 정보를 취득할 수 있게 해주는 선례일 뿐 아니라 프로그램을 새로 만들어달라는 정부 요구를 수용하는 선례임을 이해할 때 의미를 얻는다. 혹자는 프로그래밍(코딩)의 자유를 표현의 자유와 동일시하면 프로그래밍에 대한 규제를 하기 어렵게 된다고 말한다. 나도 원칙적으로 이런 견해에 반대하지는 않는다.
FBI가 마약범죄 수사에서 애플에 백도어를 만들어달라는 요청을 했는데 기각된 건을 살펴보자. 이 건에서의 핵심 논리는 “수사대상 범죄에 관여하지도 않은 사기업에 그 수사를 도와주는 소프트웨어를 만들어달라는 부담을 줄 수 없다”는 것이다.
판사는 특히 애플의 부담을 논하면서“애플이 이용자들에게 약속한 보안이 지켜지는가는 애플의 매출에만 영향을 주는 것이 아니라 애플이 어떤 회사가 되려고 열망하는가에도 영향을 준다”[5]고 논하는 대목에서는 코드에 영혼을 담는 프로그래머들의 모습이 그려지기도 한다.
참고로 이 결정을 내린 제임스 오렌스틴 판사는 오랫동안 친(親)프라이버시 결정을 내려온 판사다. 임기제 판사[6]라서 연방판사[7]보다 영향력은 떨어지지만, 압수수색, 감청, 통신사실확인과 관련해서는 임기제 판사들이 결정을 많이 내리기 때문에 다른 임기제 판사들에게 영향을 줄 것으로 본다.
==============================
[1] 아이폰 5C
[2] 아이폰 5
[3] 참고로 나는 비개발자다.
[4] 보안 엔클레이브는 애플 A7 이상 버전의 A 시리즈 프로세서에 내장된 보조 프로세서. 애플 문서를 따르면 응용 프로그램 프로세서와는 별개인 자체 보안 부팅과 개인화된 소프트웨어 업데이트를 사용한다. 또한, 데이터 보호 키 관리를 위한 모든 암호화 작업을 제공하며 커널이 손상된 경우에도 데이터 보호의 무결성을 유지한다.
[5] It is entirely appropriate to take into account the extent to which the compromise of privacy and data security that Apple promises its customers affects not only its financial bottom line, but also its decisions about the kind of corporation it aspires to be.
[6] magistrate
[7] district judge. 종신제
* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.03.14.)
2016. 3. 21.(월) 저녁 7시 30분 ~ 9시 30분
스타트업얼라이언스 앤스페이스
빅데이터와 사물인터넷 시대에 개인정보는 어떻게 보호되어야 할까요?
방송통신위원회는 2016년 업무계획에서 빅데이터 시대를 대비하여 비식별화와 익명화 조치 근거를 만들어 선사용-후동의(opt-out) 방식의 개인정보 활용 산업을 활성화하겠다고 밝힌 바 있습니다. 이 같은 움직임은 이익형량의 고려가 부족한 사전 동의(opt-in) 방식의 현행 개인정보보호 법령이 기업들의 개인정보를 활용한 서비스를 부당하게 제한하고 있다는 인식에 근거하고 있습니다.
그러나 비식별화 및 익명화 처리에 대한 이해와 방법론이 불분명한 상황에서 옵트아웃 제도의 도입은 개인정보 자기결정권을 사실상 무력화시킬 수 있다는 우려와 비판의 목소리가 큽니다. 논의의 전제인 사전동의 방식의 개인정보 보호 효과에서부터 비식별화와 익명화의 개념정의, 국내외 개인정보보호 법령의 해석 등 많은 부분에서 주장이 엇갈리고 있는 것도 사실입니다.
이번 3월 정기 오픈넷 포럼에서는 개인정보 분야의 전문가들을 모시고 개인정보 비식별화/익명화 및 옵트아웃 정책을 둘러싼 각 계의 주장을 정리해보고 개인정보 보호에 대한 합리적 정책 방향을 모색하고자 합니다.
개인정보 분야에 관심 있는 여러분들의 많은 참석 부탁드립니다. 참가신청은 오픈넷 홈페이지(http://opennet.or.kr/11312)에서 하실 수 있습니다.
일 시: 2016. 3. 21.(월) 저녁 7시 30분 ~ 9시 30분
장 소: 스타트업얼라이언스 앤스페이스
(서울시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)
발 제
심 우 민 국회입법조사처 입법조사관
토 론
박 경 신 고려대학교 법학전문대학원 교수, 오픈넷 이사
전 응 준 법무법인 유미 변호사
이 영 환 건국대학교 정보통신대학원 교수
문의: 오픈넷 사무국 02-581-1643, [email protected]
빅데이터와 사물인터넷 시대에 개인정보는 어떻게 보호되어야 할까요?
방송통신위원회는 2016년 업무계획에서 빅데이터 시대를 대비하여 비식별화와 익명화 조치 근거를 만들어 선사용-후동의(opt-out) 방식의 개인정보 활용 산업을 활성화하겠다고 밝힌 바 있습니다. 이같은 움직임은 이익형량의 고려가 부족한 사전 동의(opt-in) 방식의 현행 개인정보보호 법령이 기업들의 개인정보를 활용한 서비스를 부당하게 제한하고 있다는 인식에 근거하고 있습니다.
그러나 비식별화 및 익명화 처리에 대한 이해와 방법론이 불분명한 상황에서 옵트아웃 제도의 도입은 개인정보 자기결정권을 사실상 무력화시킬 수 있다는 우려와 비판의 목소리가 큽니다. 논의의 전제인 사전동의 방식의 개인정보 보호 효과에서부터 비식별화와 익명화의 개념정의, 국내외 개인정보보호 법령의 해석 등 많은 부분에서 주장이 엇갈리고 있는 것도 사실입니다.
이번 3월 정기 오픈넷 포럼에서는 개인정보 분야의 전문가들을 모시고 개인정보 비식별화/익명화 및 옵트아웃 정책을 둘러싼 각 계의 주장을 정리해보고 개인정보 보호에 대한 합리적 정책 방향을 모색하고자 합니다.
개인정보 분야에 관심있는 여러분들의 많은 참석 부탁드립니다.
일 시 : 2016. 3. 21.(월) 저녁 7시 30분 ~ 9시 30분
장 소 : 스타트업얼라이언스 앤스페이스
(서울시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)
- 지도: http://startupall.kr/location/
발 제
심 우 민 국회입법조사처 입법조사관
토 론
박 경 신 고려대학교 법학전문대학원 교수, 오픈넷 이사
전 응 준 법무법인 유미 변호사
이 영 환 건국대학교 정보통신대학원 교수
문의: 오픈넷 사무국 02-581-1643, [email protected]
* 참조(발제문 및 토론문): http://opennet.or.kr/11312
빅데이터와 사물인터넷 시대에 개인정보는 어떤 범위에서 얼마나 보호되어야 할까요? 최근 가장 논란이 되고 있는 것은 과연 비식별화 정보가 개인정보인가?입니다. 요즘 주목받고 있는 빅데이터, 사물인터넷 사업을 하기 위해서는 개인정보를 활용하는 것이 필요합니다. 이때 비식별화 정보는 개인정보가 아니므로 제한없이 자유롭게 이용할 수 있어야 할지, 비식별화정보라 하더라도 개인정보보호 위반의 문제가 발생하므로 여전히 보호가 필요한 것인지에 대해 의견이 분분합니다. 이번 오픈넷 포럼에서는 개인정보의 비식별화 관련된 쟁점들을 살펴보고 개인정보를 보호하면서도 산업 발전에 이용할 수 있도록 하는 방향의 해결책을 함께 모색해보고자 합니다.
발제를 진행한 심우민 입법조사관은 세계적으로 개인정보보호입법과 관련해서 어떠한 쟁점이 있는지를 설명한 후 방송통신위원회에서 2014년 발표한 「빅데이터 개인정보보호 가이드라인」을 비판적으로 검토하고, 개인정보보호 관련 입법 시 고려해야 할 요소가 무엇인지 설명하였습니다. 그리고 개인정보보호법제의 패러다임 변화가 필요하다는 점을 강조하였습니다.
먼저 개인정보 보호입법 개선논의는 급격한 정보화를 겪고 있는 대부분 국가들의 문제라고 하며, 우리나라 개인정보 개념정의 규정이 매우 포괄적이어서 문제가 있다는 지적이 있지만, 실제 각국의 개인정보 보호법제의 개념정의 규정들과 비교해보면 우리나라보다 포괄적인 경우도 존재한다고 지적하였습니다. 물론 형사제재의 경우에는 과도하다는 문제가 있다고 합니다.
개인정보 보호법제를 둘러싼 논란은 결국 빅데이터, 사물인터넷과 같은 새로운 정보통신 환경의 변화로부터 기인하였으며, 근원적인 이유 중 하나는 개인정보 또는 프라이버시 보호법제의 ‘패러다임 교착현상’ 때문이라고 합니다. 프라이버시와 같은 개념은 모호하고 추상적입니다. 그런데 이러한 프라이버시를 보호하기 위해 세계각국의 현행 법제들과 법원은 개인정보자기결정권이라는 권리 개념을 만들어서 식별성을 전제한 개인정보를 보호하고 있습니다. 그러나 식별성이 전제되지 않은 프라이버시 개념이든, 식별성이 전제된 개인정보든 결국 법원의 해석을 요구한다는 것입니다.
예전에는 정보와 결합해서 개인정보가 식별성을 가지는 경우가 많지 않았으므로 개인정보자기결정권을 정의하는 것이 용이하였으나, 빅데이터 등이 등장하는 현재의 기술적 발전상황에서는 결국 법원의 해석 여지가 더욱 넓어지고 개인 식별 가능성을 중심으로 한 현행 개인정보보호법제는 한계에 이르게 됩니다. 그 결과 식별 가능성을 전제로 정보주체의 개인정보자기결정권의 실현방식을 동의권을 중심으로 규정하고 있는 현행 법제 또한 한계에 봉착하게 되는 것입니다.
방송통신위원회가 2014년 12월에 공표한 「빅데이터 개인정보보호 가이드라인」의 주요내용은 ①개인정보의 개념 설정과 ②동의요건의 면제입니다. 가이드라인을 살펴보면 제2조에서 비식별화 정보에 대해 설명하고 있는데 그 중 가명처리(pseudonymous)를 포함하고 있습니다. EU Directive에서는 가명처리는 적절한 익명화(또는 비식별화) 방법이 아니라고 하였는데 우리나라의 경우에는 이를 비식별화 방식으로 포함시키고 있다는 점이 특징입니다.
최근 EU의 GDPR논의에서 가명처리정보(pseudonymous data)도 개인정보의 일종으로 포함시켜 규제하기 위한 시도가 이루어지고 있다는 점도 유의할 필요가 있다고 합니다. 이 가이드라인을 법처럼 적용하려는 시도가 많습니다. 그러나 가이드라인의 경우 현행 개인정보법제와 개인정보 요건이 다르고, 동의요건을 면제하고 있으므로 기본권으로서 개인정보자기결정권 제한 가이드라인제정이 아니라 현행법을 개정해야 한다고 합니다. 참고로 EU Directive의 경우 어떤 규범력을 가지는 법적인 근거로 작용하고 있지는 않다고 합니다.
결국 심우민 입법조사관이 강조하는 것은 개인정보 보호법제의 패러다임이 변화해야 한다는 것입니다. 식별정보와 비식별정보를 구별하지 않고 모두 보호대상으로 하며, 실질적인 위험을 기반으로 하는 정보에 대해 규제 및 집행이 이루어져야 한다는 것입니다. 현재 산업계를 중심으로 보호영역을 축소해야 하고, 동의요건을 개정해야 한다는 의견이 많지만 그것이 입법에 있어서의 본질적 문제는 아니라고 합니다. 실질적인 이용자 프라이버시 보호방안에 대한 진지한 고민이 더 필요하다는 것입니다.
이영환 교수는 우리나라의 경우 기술과 관련된 법을 만들 때 기술자와 같은 전문가에게 묻지 않고 법을 만드는 것이 문제라고 합니다. 가장 먼저 생각해야 하는 것은 알고리즘이라고 합니다. 즉 정밀한 알고리즘을 바탕으로 하여 비식별화하는 것이 맞는것인지 생각해야 한다는 것입니다.
현재 비식별화(deidentification)는 알고리즘이 정확히 나오고 있으며, 익명화(anonymisation)는 정확한 알고리즘이 나오지 않고 있다고 합니다. 현재 익명화된 정보의 다양성을 확보하도록 하여 유용성을 확보하면서도 개인정보를 추출하기 어렵도록 하는 비식별화 알고리즘이 있습니다.(K-anonymization, T-closeness) 다만 문제는 비실용적이라는 것입니다(NP-Hard). 파일 하나 익명화하는데 3,500년이 걸릴 수 있다고 합니다.
이때 제일 좋지 않은 방향은 비식별화를 전제로 유통화를 하자고 하는 것이라고 합니다. 전혀 쓸모없는 정보를 유통시키자고 하는 것과 같다는 것입니다. 물론 개인정보를 보호하는 것은 좋습니다. 그러나 이런 식으로 데이터 유통을 막아서 가장 손해를 많이 보는 개인은 서민들입니다. 예를 들어 저축은행의 대출을 받는 사람의 50%가 30%대의 금리에 시달립니다. 이들은 대부분 중금리층 서민, 청년들입니다. 약탈적 금융에 시달리는 것입니다. 이러한 금리 양극화를 해소하기 위해서는 데이터가 유통되어야 한다고 합니다. 데이터가 없다보니 부실 비율이 높아지고, 대부업체들이 영세해지는 것입니다. 개인정보가 유통되지 못하게 막는 것이 좋은 것은 아니라는 것입니다.
우리나라의 경우 개인이 개인정보를 판매하는 길이 막혀 있다고 합니다. 그러나 외국의 경우 개인정보 데이터를 팔아서 돈을 법니다. 이영환 교수가 강조하는 것을 한 줄로 정리하면 “데이터는 유통되어야 한다”입니다. 개인정보 보호보다 더 중요한 것이 유통이며, 데이터 유통을 위한 새로운 비즈니스에 나서야 한다는 것입니다. 몇몇 개인의 개인정보를 보호하기 위해 산업을 그만둬야 하는 것은 아니라는 것입니다.
박경신 교수는 개인정보보호법에 대해 너무 어렵게 생각하는 것이 인권 차원에서든 산업 차원에서든 제대로 된 대응을 어렵게 한다고 합니다.
먼저 개인정보의 개념과 관련하여 어느 나라든 식별가능성이 개인정보의 요건이며, 식별가능성이 없으면 개인정보가 아닌 것이라고 합니다. 그런데 이러한 개인정보의 식별가능성은 누구의 기준이냐에 따라서 다르다고 합니다. 즉 개인정보는 상대성을 가진다는 것입니다. 예를 들어 이동통신사가 가지고 있는 통화기록은 고객정보를 가진 이동통신사에게는 개인정보가 됩니다. 그러나 고객정보를 가지지 않은 제3자에게는 개인정보가 아니라고 합니다.
방송통신위원회의 가이드라인에 대해 시민단체들이 반대했던 이유 중 하나는 이동통신사가 고객의 통화기록을 가지고 있는데, 이 통화기록이 이동통신사에게는 개인정보가 되지만, 이를 비식별화해서 제3자에게 넘겨주면 제3자에게는 개인정보가 되지 않는다는 점이었다고 합니다. 이 점을 어떻게 해석할 것인가? 하는 문제 때문에 분쟁이 발생하였다는 것입니다.
이동통신사가 고객통화기록을 넘겨줄 때 원본을 통째로 넘겨주는 것이 아닙니다. 복제본을 만들어서 그 복제본을 비식별화해서 넘길 것입니다. 그렇다면 비식별화한 복제본을 만들었다 하더라도 원본 데이터베이스를 가지고 있게 됩니다. 통화기록에 대해 제3자가 본래 넘긴 목적과 다른 목적의 연구를 진행할 경우 이동통신사는 그 연구결과를 통해 통화기록을 넘길 때와 다른 목적의 가공된 개인정보 데이터를 취하게 됩니다. 이것은 개인정보보호법의 취지에 반한다고 합니다.
그래서 2015. 12. GDPR 에서는 가명화 데이터에 대한 규정들을 두었다고 합니다. 제6조, 제7조가 가장 중요한 조항인데, 예외로서 암호화 및 가명화를 고려하여 수집 목적과 다른 목적으로 이용 가능하지만 가명화할 때는 실명화되지 않기 위한 기술적 조치를 요구합니다. 가명화가 익명화가 아니라고 하는 경우는 재실명화가 합리적으로 개연성이 있을 때를 말한다고 합니다. 이동통신사의 예를 들자면 원본 데이터를 가지고 있고, 데이터 복제본을 떠서 데이터 연관 회사에 넘겼을 때 원본 데이터(Key)를 가지고 있으면 몇 가지 정보를 가지고 누구의 정보에 대해 연구한 것인지 알게 됩니다. 그런 것들을 할 수 없도록 조치를 하라는 것입니다. 즉 키가 되는 데이터들을 조직 내에서 접근할 수 있는 사람을 제한하고 암호화할 것을 요구하는 것입니다.
박경신 교수는 이 문제는 매우 구체적인 문제라고 하며, 심우민 조사관이나 이영환 교수가 말한 것처럼 근본적인 가치 판단을 요구하는 복잡한 문제는 아니라고 하였습니다. GDPR에 나와 있는 가이드라인에 따라서 재실명화하는 Key에 대한 보안, 조직적 격리 조치를 통해서 비식별화한 데이터가 산업적으로 쓰일 수 있도록 하는 방법이 있지 않을까 생각한다며 토론을 마무리 지었습니다.
전응준 변호사는 익명화, 가명화, 비식별화라는 용어의 정의를 먼저 짚었습니다. 먼저 「익명화」(anonymisation)는 독일 연방데이터보호법에 정의가 나온다고 합니다. 주목할 것은 합리적인 비용, 시간, 노력 내에서 식별이 되지 않는다면 익명화라고 보고 있다는 점이라고 합니다. 2014년 EU 데이터보호법 핸드북에서도 같은 취지로 합리적인 노력 하에서 식별이 안되면 익명화라고 보았다고 합니다.
「가명화」(pseudonymisation)의 경우 GDPR에서는 추가적인 정보가 없고 특정인에 대해 식별이 안되는 것이라고 정의하고 있다고 합니다. 전제조건은 추가정보가 별도로 보관되고 재식별화되지 않도록 기술적 보호조치가 취해져야 한다는 것입니다. 독일 연방데이터보호법에서는 식별자를 다른 레이블로 대체한 것, 차명 또는 가명화되고 이것이 결국 실제적으로 식별이 어렵게 되었을 때(불가능해진 것이 아니라) 가명화되었다고 봅니다. 데이터보호 핸드북도 마찬가지입니다. 결과적으로 간단한 암호화에 해당합니다.
개인정보보호법의 규제의 대상이 되지 않는 경우와 대상이 되는 경우를 구별하려면 용어 구별이 필요하다고 합니다. 익명화는 원본 데이터로 회복이 불가능한 것을 말하고, 비식별화는 식별성을 완전히 제거하는 것이 아니라 리스크를 최소화하는 것을 의미한다고 합니다. 비식별화 정보는 명백하게 개인정보에 해당합니다. EU 데이터보호법 핸드북에서도 해당한다고 밝히고 있습니다. GDPR 제10조에서는 명시적으로 가명처리한 경우 면제될 수 있다고 하고 있습니다. 그 외 제32조에서는 암호화 등 데이터를 인식불가능하게 한 경우 데이터 유출 시 정보주체에게 통지를 면제하는 등의 관련 규정을 두고 있다고 합니다.
전응준 변호사는 특히 참고할만한 사례로 미국 건강보험법(HIPAA, Health Insurance Portability and Accountability Act)을 들었습니다. 이 법에 따르면 의료정보기관이 관련 전문가의 개별적인 판단을 받고, 18개 식별자를 모두 제거하는 경우에는 프라이버시 규율에서 벗어날 수 있다고 합니다. 물론 이용자들의 프라이버시를 완전하게 침해하지 않는다고 할 수는 없지만 나름의 기준에 근거하여 의료정보에 대한 문제점을 체크할 수 있는 제도로 대중에 데이터를 제공할 수 있도록 하는 방법이므로 참고할 만하다고 합니다.
우리 개인정보보호법은 엄밀한 체계를 가지고 있다고 합니다. 일본법은 ‘익명가공정보’, ‘특정성 저감 데이터’ 와 같은 개념을 적용하여 그러한 데이터에 대해 개인정보보호법이 완화되는 시도를 한 바 있습니다. 이러한 개념이 없는 우리나라의 경우에는 일부 완화된 해석을 통해 할 수 있을 것이라 합니다. 즉 제한 해석하면 식별정보의 범위가 줄어들 수 있다는 것입니다. 독일법처럼 원본데이터로 돌릴 수 없는 정보 정도로 보는 해석이 유효하지 않나 생각한다고 합니다. 법을 개정하는 것보다는 해석론으로 해결하는 것이 더 용이할 것이라는 점도 덧붙였습니다.
결국 비식별 방법론 알고리즘, 통계적 연구가 절대적으로 필요하다고 합니다. 이론도 필요하지만 실제로 어느 정도로 비식별화 했을 때 안전하게 정보를 유통할 수 있는지가 선결적으로 해결되어야 한다고 합니다.
F. 개인정보보호법이 꼭 필요한 법이기는 하지만 지나친 처벌 조항이 있어 현장에서는 개인정보를 아예 수집하지말자는 분위기가 형성되어 있습니다. 즉 정보를 모아 사업화하는 것 자체를 원천봉쇄하는 것입니다. 활용에 대해 개인의 의사 결정을 존중해주는 제도가 없습니다. 개인정보보호법은 보호를 위주로 하기 때문에 그런 방면의 생각이 결여되어 있습니다. 다른 법을 활용해서라도 그런 부분을 열어야 합니다. 빅데이터 활용을 어떻게 해야 하는지, 알고리즘은 어떤 항목을 해야하는지 구체화가 필요합니다.
A. 이영환: 하나하나 데이터를 들여다 보면서 해야 하는 부분이 있습니다. 결국 관련 연구가 지속적으로 이루어질 수 있는 팀이 필요합니다. 리포트를 계속 만들어내야 합니다.
F. 결국 어떻게 해야 하는가에 대한 구체적인 답은 없는 것 같습니다. 구체적인 방법론이 제시되지 않고 있습니다.
A. 이영환: 관련 정부 부처에서도 지속적으로 무언가 해야 한다는 필요성을 느끼지만 그것이 잘 안되고 있습니다. 연구팀이 있어야 합니다. 이런 것에 대한 가이드라인을 국가적으로 제시해야 합니다.
전응준: HIPPA 이야기를 했었습니다. 의료정보의 18개의 식별자를 정해서 그게 없으면 비식별 정보이므로 유통이 가능하고, 16개만 있으면 일부 규제를 받습니다. 즉 프라이버시 룰을 정한 것입니다. 위험성이 없다고 할 수는 없지만 미국은 이러한 방법론을 제시하고 있으므로 참조할만합니다.
박경신: Key를 자기가 가지고 있어도 암호화 또는 조직 내 보관을 잘 하고 있으면 익명정보로 보아 개인정보보호법이 적용되지 않도록 하는 반면, GDPR은 가명화를 하더라도 재실명화할 수 있는 Key를 본인 또는 조직이 가지고 있으면 그 개인정보에 대해서는 몇 가지만 제외하고 다른 개인정보와 같이 봅니다. 식별자를 떼고 넘긴다는 동의를 얻어야 할 것입니다. HIPPA 방식, 제한적 비식별화시 개인정보로 보지 않는 방식, GDPR 방식을 두고 논쟁이 있어야 하는데 그러한 논쟁 없이 방송통신위원회의 가이드라인이 나와 버렸습니다.
심우민: 리스크 매니지먼트적 접근이라는 말이 모호하기는 하지만 개인정보 개념정의의 문제로 접근하면 개념적 범주가 어디에 해당하는지를 두고 논쟁할 수밖에 없습니다. 실제로 사업자가 방지하기 위한 노력을 했느냐, 위험발생시 어떤 노력을 했느냐는 측면에서 접근을 해야 사업자로서는 규제에서 벗어날 수 있습니다. 지금 너무 개념이나 범주, 방식에만 집중하다보니 실제 풀어줘야 할 규제는 풀고 있지 않습니다. 또한 개인정보 문제로 소송을 하게 되면 이용자에게 피해가 가며, 법령상에 있는 조치만 다하면 이용자에게 책임을 전가합니다. 사업자를 위해 규제를 완화할 필요도 있지만 위험 예방적인 측면도 함께 고려되어야 합니다. 또한 사업 아이템 구상의 문제인 것인지, 식별화·비식별화가 문제인 것인지 검토해볼 필요성도 있습니다.
F. 사업은 구체적이지 않으면 시작할 수 없습니다. 구체적인 이야기를 하려고 해도 될 가능성이 없으면 드러낼 수가 없는 것입니다. 행정부와 같은 곳에서 제대로 얘기를 해주지 않습니다.
A. 심우민: 결국에는 방통위에서 가이드라인을 만들었지만 규범력을 지니지 못하므로 혼선만 초래했다고 봅니다. 개인정보규제의 동의요건 때문에 사업구상을 못하는 것은 넌센스입니다. 규제개혁을 하려면 구체적인 타깃이 필요합니다. 식별성·비식별성, 동의요건 담론으로 가는 것은 문제입니다.
F. (심우민 답에 대한 반론) 우리나라는 무조건 개인정보 수집을 통제하는 데 골몰하고 있습니다. 사업을 할 때 가장 불만인 것이 불확실성입니다. 예측불가능한 경우에는 사업을 시작할 수 없습니다. 우리나라의 개인정보 정의 규정만 보면 뭐가 뭔지 모르겠고, 결합가능성 하나 때문에 되느냐 안되느냐를 고민하게 됩니다. 휴대폰 뒷자리, 유심번호 등이 개인정보라고 판단되는 현실에서 다른 생각을 하기도 어렵습니다. 모든 데이터가 개인정보가 될 수 있습니다. 내가 가지고 있는 정보에 이동통신사의 정보가 결합되면 또 개인정보가 됩니다. 정의가 지나치게 넓게 해석되고 있습니다. 그것을 줄이기 위해 정의규정이 문제라고 하는 것입니다. 업계에서 볼 때 우리나라 법제에서는 포괄적 묵시적 동의가 불가능합니다. 다른 나라에서 가능한 방식이 우리나라에서는 불가능합니다. 무엇 하나 잘못하면 형사처벌을 받게 됩니다. 이러한 상황에서 어떻게 서비스산업이 발전하겠습니까. 우리나라는 예외규정이 없어서 무조건 다 동의를 받아야 합니다. 예를 들어 119 구급대가 경찰에게 정보를 동의 없이 넘겨주지 못합니다. 그래서 집 근처를 수색하다가 결국 피해자가 범죄의 피해를 입기도 하는 사건이 있었습니다. 모든 상황에서 결합된 상태의 서비스를 하지 못하게 합니다. 그러다보니 찾은 것이 비식별화 논의입니다. 어떻게든 동의를 받아서 수집하였는데 다른 목적이 생기면 동의를 새로 받아야 합니다. 내가 가진 정보를 비식별화하면 뭔가 할 수 있는 것이 아니냐고 하는 것이 비식별화 논의입니다. 예외를 만들어보자는 것입니다. 현재 입법론이 많이 제시되고 있지만 전혀 진전이 없습니다. 빅데이터, 사물인터넷, 인공지능이 나오는 상황에서 업계에서는 방법이 없습니다.
F. 방송통신위원회의 가이드라인은 개인정보자기결정권을 가이드라인을 통해 제한한다는 점에서 위헌적입니다. 다른 나라는 결합정보 해석, 정의 규정 리스크가 있음에도 결합정보는 잔존 리스크 단계에서만 판단하겠다는 스탠스를 취하고 있습니다. 그런데 그에 대한 기본적 해석이 전혀 이루어지지 않은 상태로 외국의 법제를 받아들이는 것은 문제라고 봅니다. 리스크 매니지먼트를 쉽게 말하지만 잔존리스크 논의가 빠져 있습니다. 수집·처리·폐기과정을 한 사람이 하는 것에 반대합니다. 다른 나라에는 수집·처리·폐기 단계별 리스크 관리가 있습니다. 목적 구속 원칙이 가장 강력하게 적용되는 것이 처리 단계입니다. 개인정보보호법의 취지에는 이용을 위한다는 목적도 있습니다. 정의규정을 바꿔서 문제를 해결하기보다는 정의규정이 원래 가진 의미를 파악하는 것이 더 중요하다고 생각합니다. 리스크라는 예측불가능성에 초점을 맞추지 않는 한 변하는 것이 없습니다.
A. 심우민: 사업자 입장에서 말씀해주셨는데, 어느나라든 각국에서 정의규정에 입각했을 때 누군지 알아볼 수 있다는 표현에 입각해서 명확하게 정하지 못하는 것은 우리나라의 문제만이 아닙니다. 사법부의 해석이 문제입니다. 리스크는 사법부의 해석이 높여놓은 것입니다. 입법의 영역에서 정하는 것은 입법기술상 불가능합니다. 해석의 문제를 입법의 문제로 해결하기는 어렵습니다.
F. 기본적으로 개인정보보호법을 규제하기 위한 것이라고 보니까 문제가 된다고 봅니다. 일본의 경우 개인정보보호법 제정을 한 것은 개인정보보호법 체계 내에서 예외를 만들기 위한 것입니다. 그 예외를 위한 개념이 가명처리정보입니다. 이 법이 들어온 계기나, 예외적으로 들어온 취지에 비추어보면 규제를 완화하기 위한 것이라고 봅니다. 다만 심우민 조사관님이 말씀하신 새로운 패러다임은 이해가 잘 가지 않습니다. 개인정보자기결정권은 권리이므로 동의가 없으면 위반인데 어떻게 형량이 들어갈 수 있나요? 위험성과 해악 사이의 비교형량이라면 심우민 조사관님이 제시한 표4는 문제가 있습니다.
A. 심우민: GDPR의 입법연혁을 봤을 때 가명정보와 같은 것은 규제를 위한 측면과 활용의 측면을 모두 가지고 있습니다. 표현의 문제가 있었던 것은 맞습니다. 권리의 개념이라는 것도 해석적 형량이 필요한 부분이고, 그 부분에 대해 형량이나 해석을 함에 있어서 위험에 대한 고려가 들어가는 것이 새 시대의 새로운 법적 패러다임이라고 생각합니다.
오픈넷은 3월 30일부터 4월 1일까지 미국 샌프란시스코에서 열리는 기술과 인권 국제컨퍼런스 라이츠콘(RightsCon Silicon Valley 2016, 주최 Access Now)에 참가하여 통신자료제공, 잊힐 권리, 정보매개자책임, 투명성보고, 디지털 기업의 사회적 책임, 망중립성 등 정보인권 분야의 현안에 대해 발표한다. RightsCon은 매년 5-600명의 인권운동가들, 인터넷 기업들, 과학기술전문가들, 정부관료들 등이 참여하여 인터넷의 미래에 대해 대해 토론하는 디지털 인권 분야 최대 규모의 국제회의이다.
오픈넷은 2015년 필리핀 마닐라에서 개최된 라이츠콘 2015에도 참여하였으며, 온라인 표현의 자유, 통신감시, 투명성보고 등 정보인권 주요 분야 논의에 참여하였으며, 특히 “정보매개자 책임에 대한 마닐라원칙(The Manila Principles on Intermediary Liability)” 선언에 큰 기여를 한 바 있다.
라이츠콘 2016 에서 오픈넷이 주최하거나 참여하는 세션은 아래와 같다.
[참가 세션 소개]
인권 기준에 비춘 서비스 약관 컴플라이언스 평가(Assessing Terms of Service compliance with Human Rights Standards): 정보매개자인 인터넷 기업들의 약관 내지 개인정보보호지침 상 “통지 및 동의” 모델과 개인정보 보호 정도의 상관관계에 대해 정보인권의 관점에서 논의한다.
기업 참여를 위한 증거 기반 연구와 활동 전략: 사례와 교훈(Evidence Based Research and Advocacy Strategies for Engaging Companies: Cases and Lessons): 작년 오픈넷과 시티즌랩이 공동으로 진행한 청소년 유해정보 차단 앱 스마트보안관 기술 감사 보고서 발표 배경과 그 성과, 그리고 앞으로의 대응 방향에 대해 발표한다.
망중립성(Net Neutrality Principles and Exceptions): 각 국의 망중립성 현황에 대해 논의하는 세션으로 제로레이팅(Zero rating)과 관련한 한국의 망중립성 정책 현황 및 P2P 패킷의 송수신을 차단하는 한국 이동통신사의 사례를 소개한다.
프라이버시, 익명성, 그리고 영장없는 통신자료 제공(Privacy, Anonymity and Warrantless Acess to Subscriber Identification Data): UN 특별보고관, 캘리포니아 통신비밀보호법 연구자, EFF 등과 함께 영장없는 통신자료 제공의 문제점과 세계 각국의 제도를 바꾸기 위한 캠페인 전략 등을 논의한다.
이 밖에도 오픈넷은 잊힐 권리(The Right to be Forgotten: Remembering Freedom of Expression), 기업의 사회적 책임과 인권(Beyond CSR: Promoting Strong Human Rights Performance in the Private Sector), 혐오표현(Online Hate Speech: Identification and Strategies), 검열(Censorship by Proxy – Making Intermediaries Liable for Internet Cleanse), 정보매개자 책임과 마닐라 원칙(Who is an Intermediary? Harmonizing multiple definitions, Manila Principles: One Year Later), 국가간 개인정보 요청(Cross Border Data Requests) 등에 관한 다수의 세션에서 발표한다.
한편 오픈넷과 협력하고 있는 고려대 한국인터넷투명성보고팀은 한국의 방송통신심의위원회의 통신심의 제도와 운용 현황에 비추어 본 온라인 콘텐츠의 행정검열 문제에 대하여 발표하고(Administrative Censorship Online: Necessary Evil?), 투명성보고 관련 세션(Reporting and beyond: why company and government transparency is essential for human rights online)에 참여하여 각국의 연구자들과 함께 투명성보고의 중요성과 역할에 대하여 토론할 예정이다.
이에 앞서 3월 28일, 29일에는 오픈넷 박경신 이사가 Article 19이 주최하는 ‘표현의 자유와 프라이버시의 균형 원칙’이라는 전문가회의에서 축조심의에 참가하며, 3월 29일에는 전 세계 인터넷 기업의 인권보호 정도를 평가해 기업책임지수(Corporate Accountablity Index)를 발표하는 RDR(Ranking Digital Rights)이 주최하는 비공개회의에 2015년 RDR 연구에 객원연구원으로 참여했던 김가연 변호사가 참가한다. 4월 1일에는 MLDI(Media Legal Defense Initiative가 주최하는 ‘세계의 공익임팩트소송 전략’에 참가하며 한국의 공익소송 사례들을 소개한다. 4월 4일-5일에는 뉴욕으로 자리를 옮겨 콜럼비아 대학교 세계표현의자유연구소가 주최하는 연례컨퍼런스에 참가하여 한국의 주요 표현의 자유 판례들을 소개한다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
시민들의 의견
댓글 달기