e-Privacy Directive: Frequently Asked Questions
2016년 10월 5일, Diego Naranjo
편집자주 : 유럽 시민단체가 전자프라이버시 디렉티브 개정운동에 나섰습니다. 지난 4월 GDPR과 수사기관 개인정보보호 디렉티브가 제정되었지만 전자프라이버시 디렉티브는 2009년 시점에 머물러 있다는 문제의식입니다. 특히 모바일, 사물인터넷, 빅데이터 환경에서 기본권인 통신 비밀을 보장하기 위해 디렉티브 개정이 필요하다는 주장을 펼치고 있습니다. 스마트폰과 모바일 메신저의 통신 비밀, 나아가 사물인터넷과 빅데이터 기술로 개인 추적이 늘어날 한국에서도 검토해볼 만 합니다. 유럽 디지털권리단체인 EDRi의 주장 요지를 살펴보겠습니다.
번역오류는 della 골뱅이 jinbo.net 으로 알려주세요.
◈ 전자프라이버시 디렉티브가 뭔가요?
전자프라이버시 디렉티브는 전자통신 부문에 특화된 프라이버시 및 개인정보 보호 사안을 다루는 디렉티브(*)입니다. 이 디렉티브는 2002년 채택되고 2009년 개정되었습니다. 현재 디렉티브의 공식 문서는 다음 링크에서 참고하세요.
☞ DIRECTIVE 2002/58/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
◈ 왜 이런 법률이 필요한가요?
전자프라이버시 디렉티브는, 개인정보보호 디렉티브(95/46/EC) 혹은 개인정보보호 일반규정(GDPR) 등 주요 법적 수단에 의해 일반적인 방식으로 다루어져 온 전자통신 부문의 문제들을 “보완하고 자세히 다룸”으로써 프라이버시를 보장하고 개인정보를 보호하기 위해 만들어졌습니다. 예를 들어, 개인 기기에 보관되어 접근이 가능한 통신내용과 정보의 비밀은 전자프라이버시 디렉티브 하에서 보호됩니다. GDPR은 이런 영역에 대해 특별히 보호하는 규정이 없습니다.
통신 비밀은 매우 복잡합니다. 프라이버시 및 개인정보 보호의 권리에 대한 문제일 뿐 아니라 통신의 권리와 표현의 자유에 관련된 문제이기도 합니다. 복잡한 환경 속에서 이러한 기본권들이 무엇을 의미하는지 명확한 규정으로 법률이 제정되지 않는다면, 통신 비밀의 보호와 보안은 부족하게 예측되고 집행될 수 밖에 없을 것입니다. 정확한 규칙이 부족하면 회사들도 새롭고 혁신적인 서비스를 개발하는 것이 어려워집니다.
◈ GDPR로 충분하지 않은가요?
GDPR이 개인정보 보호와 관련한 많은 쟁점을 포함하고 있지만, 이와 별개의 기본권인 프라이버시와 통신의 권리를 직접적이고 정확하게 다루고 있지는 않습니다. 그래서 전자프라이버시 디렉티브는 GDPR에서 충분히 정확하게 포함하고 있지 않은 권리들을 예측가능하고 효과적으로 보호하기 위해 필수적인 정밀화 단계라 할 것입니다. 나아가 전자프라이버시 디렉티브는, 스팸메일이나 직접판매 등 원치않는 메시지를 발송하는 문제처럼, 개인정보 처리가 주요 쟁점이 아닌 활동에 대한 내용 또한 포함합니다. 개인 기기에 보관되어 있는 정보의 보안을 보장하기 위한 체계도 제공합니다. 전자프라이버시 디렉티브가 새로운 권리를 창조하는 것은 아니고, 개인과 기업 모두의 이익을 위해 기존 규칙을 보완하는 것임을 기억할 필요가 있습니다.
전자통신 부문에서 개인 정보의 프라이버시와 보안 문제에 대해 법을 제정해야 할 필요성이 점점더 증가해 왔습니다. 광고 목적에서 온라인 추적과 이메일 모니터링이 증가하고 있고, 통신 기업들은 위치정보 등 자신들이 보유한 고객 정보 무더기를 현금화함으로써 인터넷 기업들을 모방해 왔습니다. 게다가 문자메시지나 이메일 대신 메신저 사용이 증가하는 등 최신 기술 발달 동향에 맞추어 전자프라이버시 디렉티브를 업데이트할 필요도 있습니다.
◈ 전자프라이버시 디렉티브로 영향을 받는 기본권은 어떤 것이 있나요?
– 통신의 비밀 (유럽기본권헌장 제7조)
전자프라이버시 디렉티브를 대체하거나 개정할 새로운 법률은, 현재 전자프라이버시 디렉티브에 정의되어 있는 트래픽이나 위치정보 등 온라인 활동 및 통신 관련 데이터에 이 원칙을 완전하게 적용한다는 점을 명시적으로 규정해야만 합니다.
이 점은 나아가 위치정보, 인터넷 서핑정보, 전자책 사용패턴, 모바일앱 사용, 검색어는 물론 이런 정보들로부터 생성되는 새로운 정보 등 온라인 환경에서 생산되거나 사용되는 모든 데이터들에도 적용되어야 합니다. 또 이러한 맥락에서 새로운 법률은 프라이버시 중심 설계(privacy by design)와 기본값(default) 시행과 관련한 규정을 명시해야 합니다.
– 개인정보 보호와 표현의 자유 (유럽기본권헌장 제8조).
유럽연합 대다수 시민들에게 있어 정보에 접근할 수 있는 가장 쉬운 길은 인터넷입니다. 그 자유를 보장하기 위해, 개정 법률은 활동 추적 및 그 결과로서 발생하는 프로파일링과 자동화된 의사결정(예를 들어 웹사이트 방문 전 쿠키를 허용하는 것)에 대해 의무적으로 동의하는 것을 금지해야 합니다. 이러한 권리는 특히 민감 정보와 연계된 정보에 접근하거나 공공부문 웹사이트나 서비스에 접근할 때 중요합니다.
◈ 전자프라이버시 디렉티브는 어떤 활동을 다루나요?
· 통신의 비밀과 보안
· 개인 기기에서 제공되는 트래픽과 위치정보
· 개인 기기 등을 이용한 이용자 추적 (행태광고 목적 등)
· 쿠키
· 개인 기기 보안 수단
· 상세과금
· 발신자 확인
· 공공 및 민간 주소록
· 마케팅 목적 스팸이나 원치않는 전화
· 개인정보 유출 고지 (2013/611 EU 규정에 추후 명시).
◈ 어떤 측면에서 개정이 필요한가요?
통신의 비밀과 보안, 개인 기기, 이용자 추적 등 온라인 활동과 관련 있는 전자프라이버시 디렉티브의 모든 측면이 새롭고 잠재적인 미래 기술 발달에 맞추어 개정될 필요가 있습니다. 상세과금, 이용자 주소록, 스팸 등에 대한 규칙은 재평가될 필요가 있고, 이들이 GDPR과 일치하는지 검토할 필요가 있습니다. 개인정보 유출이 어떻게 다루어져야 하는지 등 몇몇 부분은 특별한 입법이 필요하지 않으며 삭제될 수도 있습니다. 중복을 피하고 GDPR을 참조하는 것으로 해결될 수 있기 때문입니다.
◈ 쿠키 허용 공지 때문에 피곤합니다. 이런 방식이 더 많아지는건 아닐까요?
현재 전자프라이버시 디렉티브는 온라인 추적에 대해 이용자들에 약간의 통제권을 부여하고 있습니다. 그러나 다소 노골적인 방식입니다. 경험과 기술발달 측면을 고려하여 전자프라이버시 디렉티브에서 쿠키와 관련한 규제 조항은 좀 다듬어져서 동의를 표하는 데 있어 이용자 친화적인 방식을 허용해야 합니다.
우리가 지난 블로그 포스팅에 올렸듯이, 온라인을 서핑하면서 디지털 족적을 남기는 방식 중 하나는 쿠키입니다. 쿠키는 웹사이트 방문 동안 우리 기기에 자동적으로 설치되는 정보 조각입니다. 전자프라이버시 디렉티브는 쿠키 관련 규칙을 개정하여 보다 부드러운 서핑이 가능해야 합니다. 제3자를 통해 이용자나 기기를 추적하는 등 개인정보 수집 및 처리 문제와 관련이 없는 쿠키에 대해서는 동의 의무를 제거하는 방식이 될 수 있습니다. 예를 들어 이런 정책은 당사자 분석 쿠키와 같은 통계들에 적용될 수 있는데, 이는 웹사이트 어느 부분이 가장 많이 방문을 받는지에 관련하여 웹사이트 소유자가 수집한 통계로서 개인정보 처리가 불필요합니다. 일반적으로는 제29조 개인정보보호 작업반(**)이 이러한 관점에서 발간한 쿠키 가이드라인을 참조할 수 있습니다.
◈ 이 문제가 어떻게 대량감시로부터 보호와 관련 있죠?
스마트폰, 태블릿, PC 등 개인 전자 기기의 사용과, 사물인터넷 등 인터넷 접속과 관련기술이 확산될 것이라는 사실에는 의문의 여지가 없습니다. 이런 발전은 온라인 소통에 새로운 기회를 창출했지만 동시에 통신 비밀과 다른 기본권에 대한 위협도 내재하고 있습니다. 온라인 소통은 다양한 주체들과 국경을 넘나들며 이루어지지만 이용자들은 종종 이런 사실을 완전하게 인지하지 못합니다.
우리는 유럽 개인정보감독관의 의견에 동의합니다. 감독관은 트위터, 지메일 외 기타 인터넷 서비스에 대한 정부 요청의 횟수와 빈도가 공개되어야 하고, 그럼으로써 개인 이용자들은 이런 침해적 공권력이 어떻게 집행되는지 투명하게 개관할 수 있을 것이라고 말하였습니다. 공중이 정부의 집행을 인지하게 되면 정부에 책임성을 부여할 수 있는 더 유리한 입지를 점하게 됩니다. 따라서 이런 맥락에서 보다 많은 투명성은 전자통신 부문에 대한 시민들의 신뢰를 회복시키는데 기여할 수 있을 것입니다.
◈ 이 문제가 스마트폰 등 내 전자 기기의 보안과 왜 관련이 있나요?
GDPR은 개인정보를 처리할 때 보안 의무를 부여하고 있습니다. 그러나 전자프라이버시 디렉티브는 우리의 온라인 통신에 보다 더 특수하게 연관된 보안 의무를 규정하고 있습니다. 이런 보안 의무는 통신사등 전기통신사업자에만 적용되어서는 안 되고, 어플리케이션 개발자나 개인 전자 기기 공급자 등에도 적용될 수 있어야 합니다. 앱과 기기 뒤의 회사들이 항상 법률적으로 주요한 책임 행위자는 아니었습니다. 그러나 개인 통신의 보안과 비밀을 보장하는 데 있어 중요할 수 밖에 없는 그들의 역할을 생각해보면, 그들 또한 보안 요구를 따라야만 합니다. 특별히 우리는 제29조 개인정보보호 작업반이 사물인터넷에 대해 발행한 의견서(Opinion 8/2014)에서 운영체제 공급자, 기기 제조사, 다른 관련 이해당사자들에 대해 이루어진 보안과 프라이버시 요건에 대한 권고를 참조하였습니다.
