지역
통신자료 무단수집 공동대응 1차 집계결과
국무회의 통과한 개인영상정보보호법제정안 우려스럽다
위헌적인 통합관제시스템 운영의 “양성화” 로 목적 외 이용금지 원칙 훼손 등
지난 12월 19일 <개인영상정보보호 등에 관한 법률> 제정안(이하, ‘개인영상정보보호법안’)이 국무회의를 통과했다. 행안부는 보도자료를 통해, 개인영상정보 촬영과 유통 등에 대한 관리기준이 강화되었다며, 이번 법률안은 개인영상정보 침해를 예방하고 안전한 관리를 위한 각종 필수조치 사항을 법제화하였다고 밝히고 있다.
그러나 이번 국무회의를 통과한 법률안은 우려스럽다. 이미 지난 10월 참여연대 등 시민사회는 행안부의 입법예고안에 대해 전면재검토 또는 폐기를 요구한 바 있다. 그 주요 이유는 영상정보만 특별히 별도 입법을 하여 다른 개인정보와 차등을 둘 합리적 이유가 없으며, 기술발전에 따른 새로운 영상기기에 대한 규범 미비는 현행 기준이 되는 개인정보보호법 개정으로 가능하고, 위헌 위법 논란이 있을 뿐 아니라 그 목적실현이 검증된 바 없는 통합관제시스템 설치를 합법화하는 것에 지나지 않아 보이며, 무엇보다개인정보보호의 일관성, 효율성을 침해한다는 것 등이었다. 특히 문제가 되는 것으로 ▶사전 동의 예외 확대, ▶영상정보주체의 권리가 현행 개인정보보호법에서보다 후퇴한 점, ▶목적 외 이용 및 제3자 제공 요건 확대, ▶위헌 및 법적 논란이 있는 통합관제시스템 허용, ▶행정안전부 장관의 권한을 신설하여 현행 개인정보호법에 따라 설치된 개인정보보호위원회의 독립된 감독 권한을 축소하다는 점을 문제로 지적하였다.
이번에 국무회의를 통과한 법률안은 입법예고 원안보다는 다소 개선되었다고는 하나 이와 같은 문제를 완전히 해소했다고 보기 어렵다. 법률안은 개인정보보호법과 다수의 조항이 유사하거나 중복되고 있어 여전히 일반규범인 개인정보보호법과 별도 법률제정을 통해 그동안 영상정보기기의 오남용 문제를 개선하겠다는 목적을 달성할 만큼의 입법 필요성이 있는지 의문이다.
특히 영상정보는 다른 개인정보보호보다 더 엄격한 요건과 절차에 따라 수집, 이용되지 않는다면 오남용 되었을 경우 기본권 침해 정도가 더 크고 지속될 수 있다. 이에 현행 개인정보보호법에서 허용하고 있는 ‘범죄의 예방 및 수사를 위하여 필요한 경우’ 영상정보기기 설치 허용 예외 조항은 오히려 더욱 명확하게 적법절차 원리에 따라 강화되어야 한다는 요청이 컸음에도 법률안은 이를 아무런 개선없이 그대로 원용하고 있다.
새롭게 규정된 이동형영상정보기기의 경우 촬영의 사전 동의 예외사항으로 정보주체가 아닌 정보처리자의 자의적 판단에 따라 가능할 수 있도록 “합리적인 범위를 초과하지 않는 범위”라고 단서를 달기는 하였으나 “정보주체의 권리를 부당하게 침해할 우려가 없고”라고 포괄적 규정함으로써 목적 외 수집금지 원칙을 완화하고 있다. 놀랍게도 가장 입법필요성을 강변할 수 있는 새로운 기술발전으로 규범력이 미치지 못할 가능성이 큰 ‘그밖의 영상처리기기’에 대해서는 아무런 관리 감독 기준이 없다.
가장 우려스러운 것 중 하나는, 개인정보보호의 기본원칙인 목적 외 수집금지를 정면으로 위반한다는 지적을 받아온 통합관제 시스템 설치를 아무런 통제장치 없이 허용하고 있다는 점이다. 개인정보 영향평가를 하고 그 결과를 제출하기만 하면 운영할 수 있도록 함으로써 이를 정보주체가 감시 또는 통제할 방법이 전무하다. 법률안이 현재의 불법적 상황을 ‘양성화’하는 역할 외에 시민적 통제가 없고 자기정보결정권을 무력화한다는 지적을 받는 이유다. 또한 영상정보주체의 권리 측면에서도 법률안은 우려스럽다. 열람권 행사를 정보주체 외에 ‘정당한 이해관계가 있는 자’로 확대하는 등 정보주체의 동의나 법률적 근거 없이 수사기관이나 민간보험회사 등이 무분별하게 열람할 수 있는 근거를 두었다. 정부가 오늘 통과된 법률안을 국회에 곧 제출하겠다고 밝힌 만큼 참여연대는 이 같은 문제점을 국회 입법과정에서 바로잡을 수 있도록 필요한 활동을 할 것이다.
논평원문[보기/다운로드]
목, 2017/12/21- 13:35
165
0
요약문:
시민사회단체는 테러방지법 제정 반대 필리버스터에 참여했던 박영선, 서영교, 신경민, 안민석, 오제세, 유승희, 이언주, 이학영, 진선미, 홍익표(이상 더불어민주당), 김관영, 권은희, 주승용(이상 국민의당), 심상정(정의당)(제20대 당선자 중심으로) 등 14명의 국회의원과 함께 5월 2일(월) 오전 10시 국회 본청 정론관에서 테러방지법 시행령(안) 독소조항 폐기를 촉구하는 기자회견을 진행할 예정입니다
발표일자:
2016/05/01
일, 2016/05/01- 14:38
163
0
수사기관의 무분별한 통신수사 남용에 대한 헌법불합치 결정을 환영한다
– 시대적 요청에 역행하는 대법원은 반성해야
6월 28일 헌법재판소는 실시간 위치추적과 기지국 수사 남용의 근거가 되어 왔던 통신비밀보호법 제13조가 헌법에 위반된다고 하면서, 2020. 3. 31.까지 개정할 것을 명하는 헌법불합치 결정을 내렸다. 사단법인 오픈넷은 수사기관의 무분별한 통신수사 남용 관행에 제동을 건 이번 헌법불합치 결정을 크게 환영하며, 이러한 시대적 흐름에 역행하는 최근 대법원의 통신자료 제공요청서 제출명령 재항고 기각 결정에 대해 유감을 표시하는 바이다.
현행 통신비밀보호법 제13조는 검사 또는 사법경찰관이 수사를 위하여 필요한 경우 이통사 등 전기통신사업자에게 기지국이나 휴대폰의 실시간 위치추적자료 등을 포함하는 통신사실 확인자료를 요청할 수 있게 하고 있다. 헌재는 동 조항이 정보주체의 개인정보자기결정권과 통신의 자유를 과잉금지 원칙에 반하여 침해하고 있다고 판단했다. 그 이유로는 “① 수사기관은 위치정보 추적자료를 통해 특정 시간대 정보주체의 위치 및 이동상황에 대한 정보를 취득할 수 있으므로, 위치정보 추적자료는 충분한 보호가 필요한 민감한 정보에 해당되는 점, ② 그럼에도 이 사건 요청조항은 수사기관의 광범위한 위치정보 추적자료 제공요청을 허용하여 정보주체의 기본권을 과도하게 제한하고 있는 점, ③ 위치정보 추적자료의 제공요청과 관련하여서는 실시간 위치추적 또는 불특정 다수에 대한 위치추적의 경우 보충성 요건을 추가하거나, 대상범죄의 경중에 따라 보충성 요건을 차등적으로 적용함으로써 수사에 지장을 초래하지 않으면서도 정보주체의 기본권을 덜 침해하는 수단이 존재하는 점, ④ 수사기관의 위치정보 추적자료 제공요청에 대해 법원의 허가를 거치도록 규정하고 있으나 ‘수사의 필요성’만을 그 요건으로 하고 있어 절차적 통제마저도 제대로 이루어지기 어려운 현실인 점” 등을 들었다.
헌재는 또한 통신사실 확인자료 제공의 통지에 대해 규정하고 있는 제13조의3에 대해서도 수사가 장기간 진행되거나 기소중지결정이 있는 경우에는 정보주체에게 통지할 의무를 규정하지 아니하고, 그 밖의 경우에 그 제공사유가 통지되지 아니하며, 수사목적을 달성한 이후 해당 자료가 파기되었는지 여부도 확인할 수 없게 되어 있어, 정보주체로서는 위치정보 추적자료와 관련된 수사기관의 권한 남용에 대해 적절한 대응을 할 수 없게 되어 있어 헌법상 적법절차 원칙에 위배된다고 판단했다. 이 조항에 대해서도 헌법불합치 결정을 내리고 2020. 3. 31.까지 개정을 명하였다. 이와 관련하여 오픈넷은 감청 및 통신사실확인자료 취득에 대한 당사자 통지가 기소 이후 시점 등으로 지연되는 현행 조항을 개정하는 안을 국회에 제출한 바 있다.
이번 결정의 가장 중요한 의의는 통신사실 확인자료가 충분한 보호가 필요한 민감한 정보에 해당됨을 명확히 한 부분이다. 스마트폰 등으로 이동통신이나 인터넷을 이용할 때 당연히 발생하는 통신사실 확인자료는 과거에는 통신내용보다는 덜 민감한 정보로 상대적으로 보호를 적게 받는 것이 당연시 되어 왔다. 하지만 정보통신사회에서 실시간 위치정보 등 통신사실 확인자료는 제3자에 의하여 광범위하게 수집·보관·처리·이용되고 있으며 다른 정보와의 결합 및 분석을 통해 한 개인을 프로파일링하고 통신내용에서 보다 더 많은 사실들을 알아내는 것이 가능해졌다. 이런 현실에서 비내용적 통신정보에 대한 보호 강화는 시대적 요청이었다.
이러한 헌재의 입장과 달리 6월 22일 대법원은 오픈넷이 영장 없이 시민들의 개인정보를 취득한 수사기관을 상대로 진행중인 국가배상 청구 소송에서 수사기관의 통신자료 제공요청서를 제출하라는 서울중앙지방법원의 문서제출명령을 취소하는 재항고 기각 결정을 내렸다. 전기통신사업법 제83조 제3항에서 규정하고 있는 통신자료 제공 제도는 법률상 법원의 통제절차나 통지 조항이 아예 없어 통신사실 확인자료 제공 제도보다 훨씬 위헌적이다. 정보주체는 자신의 개인정보가 수사기관에 왜 제공되었는지 알 길이 전혀 없는 것이다. 최근 수원지방법원 성남지원에서는 KT 이용자에게 KT가 수사기관으로부터 받은 통신자료 제공요청서를 공개하라는 판결을 내리기도 했다. 이런 상황에서 대법원의 재항고 기각 결정은 정보주체의 권리 보호 강화라는 시대적 요청에 역행하는 것으로 비난받아야 마땅하다.
국가의 무분별한 통신수사 남용에 대해 엄중히 경고한 이번 결정이 통신수사 관련 법제 개선 의무를 지고 있는 국회의 조속한 입법 노력을 이끌어내고 현재 진행중인 통신수사 관련 사건에서 법원이 올바른 사법적 판단을 내리는 계기가 되기를 간절히 희망한다.
2018년 7월 3일
사단법인 오픈넷
문의: 오픈넷 02-581-1643, master@op
화, 2018/07/03- 10:30
161
0
통제 없는 패킷감청 위헌, 당연한 결론
방대하고 포괄적인 정보수집 가능해 남용 위험성 높다고 판단
통비법 개정 통해 집행과정에 대한 통제장치 마련해야
오늘(8/30) 헌법재판소는 인터넷회선을 통해 오가는 모든 정보를 포괄적으로 감청하는 소위 ‘패킷감청’이 수집하는 정보가 광범위하고 권한남용의 위험성이 매우 높음에도 불구하고 기본권 침해를 방지할 수 있는 통제장치도 없이 허용하는 것이 헌법에 합치되지 않는다고 결정했다. 2011년 제기한 첫번째 패킷감청 헌법소원은 5년 가까이 심리가 미뤄지는 사이 청구인이 사망하여 심판절차가 종료되었고, 2016년 3월 다른 피해자가 다시 헌법소원을 제기하고서도 2년 반만이다. 헌법재판소의 판단이 늦어지는 동안 패킷감청은 사법기관의 실질적 통제 없이 비밀의 장막 뒤에서 국가정보원에 의해 무차별적으로 행해졌고, 기본권 침해가 오랫동안 반복되었다. 늦었지만 이제라도 패킷감청의 위헌성을 명확하게 인정한 것은 당연한 결과이다. 국가정보원은 그 동안 통제 없이 패킷감청을 남용해온 행태를 반성하고, 무분별한 패킷감청을 중단해야 한다. 국정원감시네트워크는 이번 결정을 계기로 국가정보원이 국회와 사법기관의 통제 속에 기본권을 보장하는 기관으로 환골탈태하길 촉구한다.
패킷감청은 전송 중인 패킷 그 자체로는 내용을 확인할 수 없기 때문에 일단 회선을 통해 오가는 패킷을 모두 수집하여 국가정보원이 자신의 서버에서 재조합한 후에야 내용을 확인한다. 따라서 감청대상자와 동일한 회선을 이용하는 불특정 다수의 통신내용도 수사기관이 수집, 저장하게 되고, 회선을 통해 오가는 정보가 실제 감청사유와 관련된 것인지 불문하고 일단 광범위하게 모든 통신내용을 감청할 수밖에 없다. 더욱이 인터넷을 통해 삶의 대부분이 영위되는 현실에서 이메일, 메신저를 통한 의사소통 뿐 아니라 뉴스검색, 인터넷쇼핑, 영화감상 등 사생활 전반이 수사기관에 의해 파악될 수 있다. 이 사건 대리인으로 공개변론을 수행한 참여연대 공익법센터는 패킷감청이 기존의 통신감청과는 질적으로 다른 위험성을 지녔다는 점을 공개변론 과정에서 특히 강조한 바 있다.
오늘 헌법재판소는 패킷감청이 지닌 이러한 특징에 주목하여 실제 집행과정에서 수사기관의 권한남용과 사생활 침해의 위험성이 매우 높다고 보았다. 법원의 허가범위를 넘어 수사기관이 취득하는 자료가 무한히 확대될 가능성이 농후하므로 기본권 침해를 최소화하기 위한 감독 내지 통제장치가 강하게 요구됨에도, 별다른 통제장치를 마련하지 않은 것이 위헌이라는 것이다. 실제로 국가정보원의 감청집행과정을 외부에서 조금이라도 알 수 있거나 통제할 방법은 없었다. 수개월에서 길게는 수년에 걸친 패킷감청을 하고도 감청대상자로부터 어떤 내용을 수집했는지, 어떻게 수사에 활용했는지 재판과정에서도 드러나지 않았으며, 관련된 서류가 제대로 만들어지거나 보관되지도 않았다. 이제 헌법재판소 결정에 따라 통신비밀보호법 개정을 통해 충분하고 엄격한 통제장치가 마련되어야 할 것이다.
오늘 헌법재판소는 패킷감청의 근거규정으로 활용되고 있는 통신비밀보호법 제5조 제2항에 대해서만 위헌으로 결정했다. 실제 청구인에 대한 패킷감청 집행행위에 대해 실질적 판단을 하지 않은 부분은 아쉽다. 청구인에 대해 행해진 패킷감청은 통제절차가 미흡하다는 문제점 뿐 아니라, 감청대상자가 아닌 제3자에 대해서까지 패킷감청을 집행하였다는 점, 무려 6회에 걸쳐 12개월간이나 장기간 감청을 하여 사실상 범죄수사가 아닌 사찰행위였다는 점에서 별도로 주목할 위헌성이 있었기 때문이다. 통신비밀보호법을 개정하는 과정에서, 집행과정을 통제하기 위한 제도적 장치를 마련함과 동시에 처음부터 인터넷 회선감청이라는 수사기법을 사용할 수 있는 요건을 더욱 엄격하게 제한하고, 감청기간 축소나 재허가 요건을 강화하는 등 장기간의 사찰로 이어지지 않게 통제하는 방안도 함께 모색되어야 한다.
과학기술의 발전에 따라 국민의 통신과 사생활의 비밀은 더욱 많은 위험에 노출되고 있다. 앞으로도 또 어떤 수사기법이 개발될 지 모른다. 그러나 기술적으로 가능하다고 해서 규범적으로 허용해야 하는 것은 아니다. 기술의 한계가 아니라 항상 헌법과 법률의 테두리 내에서 기술이 활용되어야 하고 그 과정은 엄격한 절차를 따라야 한다. 민주적으로 통제되지 않는 기술과 권력의 만남은 국민의 기본권을 침해할 위험을 항상 내포하고 있기 때문이다. 국정원감시네트워크는 앞으로도 국가정보원을 비롯한 국가권력기관의 권한남용을 감시하고 통제하기 위한 노력을 계속해나갈 것이다.
목, 2018/08/30- 18:37
160
0
안전하기 때문에 위험한 아이폰X의 ‘안면인식’
글 | 박경신(오픈넷 이사, 고려대 법학전문대학원 교수)
1.
우리는 일상적으로 안면인식을 한다. 사람의 얼굴을 보고 그 사람을 식별하는 행위는 지극히 자연스러운 행위일 뿐이 아니라 인류 진화의 한 단계였다. 우리가 자외선이 나 초미세먼지를 두려워하면서도 옷으로 몸은 가려도 얼굴은 내놓고 다니는 것은 다 이유가 있다. 신분증에 사진을 붙이고 신분증을 통해 신원확인하는 것도 다 안면인식을 용이하게 하기 위한 것이다. 공공장소의 CCTV를 통해 범죄나 비리를 예방하거나 조사하는 것 역시 기초적인 수준의 안면인식을 필요로 한다.
2.
그러나 아이폰X를 통해 만든 안면인식정보 즉 한 사람이 몇 분 정도 시간을 들여 특수한 기계를 통해서 자신의 신체로부터 자발적으로 추출한 정보는 다르다. 이 정보는 내가 공공장소에 나갔을 때 CCTV에 찍혀서 생성되는 정보 즉 암묵적으로 타인이 취득할 것에 동의한 정보와는 완전히 다른데 정확도와 같은 양적 차이뿐 아니라 자신이 동의한 절차를 통해서만 생성될 수 있다는 차원에서 법적으로 다르다. 패스워드, DNA, 지문처럼 프라이버시로 완벽히 보호되어야 한다.
3.
단 지문인식기능과 특별히 다른 것처럼 호들갑을 떨 이유도 없다. 두 가지 다 신체의 일부를 본인확인 용도로 이용한다는 면에서 다를 바가 없다. 다르다면, 안면인식기능은 데이터포인트가 3차원적이고 훨씬 많기 때문에 지문인식기능보다 수십배 안전하다. (긴 패스워드가 짧은 패스워드보다 안전한 것도 한 자 더할 때마다 경우의 수가 수십 개씩 늘어나는 원리와 마찬가지이다.) 지문은 2차원적이라서 이용자가 책상이나 유리에 남긴 지문을 제3자가 채취해서 이용자의 아이폰을 몰래 열어볼 수 있지만 얼굴은 이것이 불가능하다. ‘Mission Impossible’ 영화에 나오는 것처럼 마스크를 만드는 경우도 생각해볼 수 있지만 아이폰은 반사광을 분석하여 인체피부와 같은 재질이 아닌 경우도 밝혀낸다고 한다.
4.
하지만 이렇게 안전하기 때문에 유출되었을 때의 위험은 더 크다. 해당 정보만 가지고 있으면 신원위조를 완벽하게 해낼 수 있기 때문이다. 그래서 더 주의할 필요가 있는데 첫째 현재는 디바이스에만 저장이 되는데 절대로 서버에 저장되지 않도록 해야 한다. 아이폰 1대를 해킹하면 1명의 안면인식정보만 취하겠지만, 서버에 저장하다 보면 여러 사람의 정보가 한꺼번에 유출될 수 있다. 해커가 하나의 서버만 공격해도 수많은 사람의 안면인식정보를 취할 수 있게 된다. 물론 우리는 패스워드도 서버에 저장하는 문화에 익숙해져 있지만 (그리고 패스워드는 서버에 저장될 수밖에 없지만) 패스워드는 유출되면 바꿀 수 있는 반면 안면인식정보는 성형을 하지 않는 한 바꿀 수 없는 영구적으로 고유한 식별자이기 때문에 유출되었을 때의 위험이 다르다.
5.
둘째 “신뢰성의 패러독스”에 빠지지 않도록 조심해야 한다. 즉 주민등록번호도 1960년대에 처음 나오자마자 국가에서 통제하는 것이니 안전하다는 이유로 각종 기업이나 기관에서 본인확인용으로 이용을 했고 결과적으로 매우 위험한 본인확인수단이 되어 버렸다. 예를 들어, 아이폰X의 안면인식정보를 금융기관이나 다른 기업도 직접 이용하는 일 등은 절대로 벌어져서는 안된다. (물론 위의 “디바이스 저장 원칙”만 지켜진다면 이 위험은 없다) 이용하고 싶다면 지금처럼 디바이스를 자신의 서비스에 등록시켜 그 디바이스에서 결제를 하려면 반드시 애플의 안면인식절차를 거치도록 하면 된다. 즉 애플 안면인식정보는 안면 소유자의 디바이스에만 저장되어야 할 뿐 아니라 디바이스를 언락하는 하나의 기능만을 수행해야지 “기능확대(function creep)”가 이루어져서는 안 된다. 주민등록번호와 마찬가지다.
6.
노파심에 한마디. 우리가 기억해야 할 것은 타인의 안면이나 지문을 강제로 들이밀어 아이폰을 언락하는 것은 신체의 자유 침해이자 프라이버시 침해라는 것이다. 그러므로 수사기관이 국민의 아이폰을 언락하고 싶다면 이용자에 대해서 압수수색영장을 반드시 받아야 한다.(체포영장으로는 불충분하다. 압수수색영장은 특정 정보를 채취하기 위해 다양한 수단을 이용할 수 있게 하므로 이것이 필요하다. 이게 왜 중요하냐면 긴급체포 즉 영장 없는 체포는 간혹 허용되지만 ‘긴급압수수색’이라는 것은 없기 때문이다.)
* 이 글은 필자의 페이스북에 실린 글입니다.
* 이 글은 허프포스트코리아에 기고했습니다. (2017.09.18.)
월, 2017/09/18- 14:24
157
0
시민들의 의견
댓글 달기