편집자주 : 웹사이트를 활용할 때 ’해당 웹 사이트의 쿠키 정책에 동의하십니까?’ 라는 문구가 적힌 배너를 본 적이 있나요? 해당 배너에서 ‘동의하지 않음’ 버튼을 찾아보다 보이지 않아서 ‘동의’버튼을 누른적은요? 전자통신에서 메타데이터는 민감한 개인정보로 간주될 만큼 중요한 정보로, 온라인에서의 개인의 행적을 추적할 수 있는 정보입니다. 그래서 e프라이버시 규정(ePrivacy Regulation)은 전자통신을 활용할 때 서비스 제공자가 쿠키를 함부로 수집할 수 없도록 하는 규정을 만들었습니다. 그런데 유럽 이사회가 이런 흐름에 역행하는 제안서를 만들면서 문제가 되었습니다. 전자통신의 활용이 그 어느 때보다 높아지는 시기, 유럽이사회의 이런 행보는 유럽시민 전체의 e프라이버시를 위협하는 것이라 할 수 있습니다. 이와 관련 유럽 시민사회단체인 EDRi의 글을 소개하고자 합니다.
번역오류는 mirulee 골뱅이 jinbo.net 으로 알려주세요.
제목 : 유럽 이사회가 e프라이버시를 약화시키려 한다
원문 : EU Council considers undermining ePrivacy
작성 : 2018년 07월 25일, EDRi
유럽 이사회가 e프라이버시를 약화시키려 한다
2017년 10월 19일, 유럽 의회의 LIBE 위원회(Civil liberties, Justice and Home affairs Committee 시민자유, 사법, 내무위원회, 이하 ‘LIBE 위원회’)는 e프라이버시 규정에 관한 보고서를 채택했다. 해당 개정안은 전자 통신 서비스의 기밀성 요구조건, 즉 온라인 추적에 동의하거나 거부 하는 법적 구속력있는 표시인 트래킹월(tracking wall)에 대한 금지 및 웹 브라우저와 앱에 대한 ‘프라이버시 중심 설계(Privacy by design)’요구 조건을 강화함으로써 제안서 초안을 개선하였다.
3자 회담[1]을 진행하기 앞서, 유럽 연합 이사회(가입국들의 정부)는 반드시 자신의 일반적인 입장을 채택해야 한다. 이 과정은 지금까지도 계속 진행되고 있으며 끝날 기미가 보이지 않는다. 지금까지 이사회 문서 상에서 제시된 개정안의 분석내용으로 비추어 보면, 집행위원회의 제안은 물론이고 특히 LIBE의 보고서와 비교했을 때 이사회의 계획이 e프라이버시 내용을 심각하게 약화시키고 있음을 알 수 있다.
전자통신에 있어서 메타데이터는 GDPR 제9조에서 언급하는 것 처럼 반드시 민감한 개인정보로 간주되어야 한다. e프라이버시 지침(현재 법 체계) 하에서 메타데이터는 이용 요금 및 접속료의 청구를 목적으로, 그리고 사용자의 동의가 있다면 부가서비스 목적으로 처리 될 수 있다. 국내법상 데이터 보관(data retention) 요구 조건에 부합하는 경우를 제외하고는 그 어떤 처리도 허락하지 않고 있다. e프라이버시 규정에서 집행위원회의 개정안과 LIBE 조문 모두 전자 통신의 메타데이터를 처리하기 위해서는 원칙적으로 법에 명시된 특정한 경우에 한정하도록 하거나 최종 사용자의 동의를 기반으로 할 것을 요구하고 있다. 새로운 특정 목적으로, 서비스 품질(QoS) 요구조선의 모니터링과 전자통신 네트워크의 가용성을 유지하기 위한 처리는 동의 없이 허용된다.
이사회의 제안은 전자 통신 서비스(Electronic communications service, 이하 ‘ECS’) 제공자가 동의 없이 메타데이터를 처리 할 수 있게 하는 범위를 상당히 확대시켰다. 청구 및 연결 목적을 “최종사용자가 당사자인 계약의 실행을 위해” 필요한 경우를 포함하도록 확장했다. 이는 ECS 제공자가 최종사용자와의 계약서 조항을 통해 직접적으로 청구와 관련이 없어도 메타데이터를 처리 할 수 있도록 허락하는 것이다. ECS 제공 업체의 서비스는 일반적으로 정액제 기반의 단순한 요금제로 옮겨가고 있고, 이는 청구목적을 위해 메타데이터를 처리하고 축적할 필요성이 낮아짐을 의미한다. 이사회가 제안한 조문에 따르면, 이러한 프라이버시 이점이 사라지게 된다.
2017년 12월, 이사회는 유럽 연합 혹은 회원국의 법에 기반하여 과학적 연구 혹은 통계 목적의 경우, 동의 없는 메타데이터의 추가적인 처리를 제안 했다. 암호화와 가명처리를 포함하는 세이프가드를 의무화하고 있음에도 불구하고, 다른 경우라면 삭제되거나 익명화 될 엄청난 양의 메타데이터가 식별 가능한 형태로 유지되고 저장될 것을 고려하면 이는 매우 문제적인 조항이라 할 수 있다. 해당 개정 조항으로 인해 데이터 보호와 관련해 발생 할 수 있는 가장 대표적인 두 가지 위협은 정보 유출 및 법집행기관의 접근(law enforcement access)이라고 할 수 있다.
오스트리아 의장(이사회 문건 10975/18)의 가장 최신 문서는 GDPR 제6조(4)와 유사하게, 메타 데이터를 추가로 처리하기 위한 새로운 일반 규정을 제안하면서 앞서 얘기 한 문건(이사회 문건)보다 더 나갔다고 할 수 있다. 이는 ECS 제공자에 의한 메타데이터 처리의 법적 근거로서 ‘정당한 이익’을 도입하는 것과 마찬가지인데, 전자 통신의 메타데이터가 유럽사법재판소(CJEU)의 판례법에 따라 민감한 정보에 준하기 때문에 이전에는 제외 된 바 있다. GDPR 제9조는 정당한 이익을 민감 정보 처리와 법적 근거로 허용하지 않고 있다. 2018년 3월, 전 불가리아 의장은 해당 정보의 민감성을 고려할 때, 허용되는 처리에 대한 일반 조항이 CJEU의 판례법에 일치하는지 매우 의문스럽다고 특별히 지적한 바 있다.
LIBE 위원회는 데이터가 전송되는 동안, 그리고 그 이후 콘텐츠가 ECS 제공자에 의해 저장되는 경우 전자통신 콘텐츠를 e프라이버시 규정하에 보호 할 수 있도록 하는 개정안을 채택했다. 전자통신 콘텐츠의 저장은 웹메일이나 메신저 서비스 같은 현대 전자 통신 서비스에 있어서 필수적인 과정이기 때문에 위원회의 결정은 매우 중요하다. 하지만, 이사회의 개정안은 아주 잠깐 동안이라도 통신 전송에 대한 e프라이버시 규정의 보호를 제한 할 수 있다. 메시지를 전송받은 후에는, 그 처리는 GDPR의 적용을 받게 되는데, 이에 따라 이용자의 동의보다는 정당한 이익에 기반한 전자통신 콘텐츠 내의 개인정보 처리(이메일 메시지 탐색과 같은)가 허용 될 수 있다. 메시지를 받은 후에, 그 처리는 전자 통신 콘텐츠(이메일 메시지 탐색 같은)의 개인정보 처리 허가와 관련 된 GDPR의 처리 영역이 되며, 이는 최종 사용자의 동의 보다는 정당한 이해를 기반으로한다. 이사회 제안서의 서설(recital)에서 제안된 바와 같이 최종 사용자는 메시지를 수신하고 이를 삭제함으로써 이를(개인정보 처리를) 피할 수 있으나, 이는 전반적으로 현대 전자 통신 서비스의 목적을 무너뜨리는 것이 될 수 있다.
e프라이버시 규정 초안의 제8조에서 LIBE 위원회가 채택한 안은 트래킹 월(tracking wall)을 금지하는 것이다. 이는 최종사용자가 요청한 웹 사이트의 서비스를 제공하는데 필수적이지 않은 쿠키(또는 장치 지문) 추적을 통해, 개인 정보 처리에 대한 최종사용자의 동의에 기반하여 웹사이트에 접근하는 관행을 말한다. 이런 관행은 현재 널리 퍼져있는데 대부분의 웹사이트들이 ‘수락’ 혹은 ‘동의’ 버튼만 있는 쿠키 동의 배너를 띄우고 있기 때문이다.
이사회 문서는 서설에서 제안된 문구와는 반대 방향으로 진행되고 있는데, 이 문서는 특히 지불 옵션이 단말 장치에 대한 접근 없이 이용 가능할 경우(예: 쿠키 추적)에 트래킹 월(tracking wall)을 허가하고 있다. 이는 기본권의 상품화나 마찬가지인데, 유럽 시민들은 웹사이트에 접근 하기위해 돈을 지불하거나, 혹은 개인정보 보호의 기본권을 포기하고 프로파일링 및 추적의 대상이 되든지 선택하도록 강요당하기 때문이다. 이는 GDPR 제7조4항이 추구하고자 하는 바와 달리 개인정보 처리에 대한 동의가 웹사이트에 대한 접근을 저해하는 작용을 할 수 있기 때문에 본질적으로 GDPR에 모순된다고 할 수 있다.
마지막으로, 가장 최근의 오스트리아 의장 문건은 프라이버시 설정에 대한 제10조(Article 10)를 완전히 삭제할 것을 제안하고 있다. 제10조는 웹브라우저와 소프트웨어가 전자 통신 제공시에 제3자가 단말 장치의 정보에 접근하거나 저장하는 행위를 막기 위해 프라이버시 설정을 제공할 것과 소프트웨어 설치 시에 최종사용자에게 그들의 프라이버시 설정에 관해 공지하도록 요구하고 있다. 일례로, 웹브라우저에서 제3자의 쿠키를 차단하는 옵션을 들 수 있다. 이런 프라이버시 설정은 원치 않는 제3자에게 개인정보가 새는 것을 막을 수 있고 트래킹월(tracking wall)을 통해 추적에 동의할 것이 강제 되는 경우 최종 사용자의 프라이버시를 보호 할 수 있도록 하는 필수적인 조치이다. 최근의 캠브리지 에널리티카 사태[2]는 EU회원국 정부를 포함한 모두에게, 누군지 알 수 없는 제3자에게 데이터가 공개되었을 때 매우 바람직하지 못한 결과가 초래된다는 것을 상기시킨다. EU 가입국들을 포함한 모두에게 최근의 케임브리지 에널리티카 스캔들을 상기시켜 모르는 제3자에게 데이터가 공개 됐을때 매우 비이상적인 결과가 발생 할 수 있음을 알려야 한다.
만약 제10조가 삭제 될 경우, 개인이 제3자의 데이터 접근을 차단 할 수 있는 프라이버시 친화적 옵션을 선택함으로써 설정을 변경수 있는 기능도 없이 설계 단계 부터 개인을 추적하거나 민감한 통화 내용 등에 침투하는 것을 가능하게 하는 소프트웨어 개발이 가능해진다. 이런 방향은 LIBE 보고서가 제시 했던 것과는 완전히 반대 방향으로 가는 것인데, 해당 보고서의 경우 기본 설정 단계에서 제3자의 접근을 차단할 것을 요구하고 있으며 설치 단계에서 최종사용자에게 해당 설정을 확정 할 것인지 다른 옵션(프라이버시가 다소 약하더라도)을 선택할 것인지 물어보도록 함으로써 프라이버시 중심 설계를 강화하는 개정안을 담고있다.
오스트리아 의장은 제10조의 삭제 근거로 소프트웨어 판매자의 부담과 최종사용자가 동의절차에 의해 느낄 피로감을 들었다. 후자의 근거는 다소 모순적인데, 프라이버시 중심 설계 및 DNT(Do Not Track) 기준 의무화같은 동의 및 거부와 관련한 혁신적인 기술적 해결책은 온라인 환경에서 수 많은 동의 요청 건 수를 줄여주는데 필요한 것이기 때문이다. 제8조와 10조에 대한 이사회 개정안은 수 많은 웹사이트들이 오직 ‘수락’버튼만 제공하는 쿠키 배너 때문에 최종 사용자에게 근본적으로 아무 의미없는 추적 동의 절차를 밟게 하는 현 상황을 약화시킬 수 있다.
10975/18 및 이전 이사회 문건의 e프라이버시 개정안이 일반적인 접근 방식으로 채택된다면, 이사회는 GDPR보다 강력한 보호를 제공하는 모든 규정을 완화함으로써 e프라이버시 규정을 완전히 저해하는 입장에서 3자 협상에 참여하게 된다. 이는 유럽 연합 시민의 프라이버시권을 보호해야 할 유럽의회 협상가에게 강한 압박이 될 것이다. 현재 e프라이버시 지침의 강력한 보호를 누리고 있는 통신 서비스의 경우 EU 회원국들이 지원하고 있는 의무적 데이터 보관 정책이라는 복병을 고려하기 전에, 부분적으로는 e프라이버시 규정의 개정을 통해 더 낮은 프라이버시 문제가 특히 심각해질 것이다.
[1] 3자 협의(trialogue negotiation) : 이견이 있는 법안에 대해 유럽의회, 유럽연합집행위원회, 유럽연합이사회(Parliament, the Council and the Commission)가 모여서 협의하는 것 ㅣ ☞ 본문으로
[2] 케임브리지 애날리티카라는 데이터 분석 업체가 페이스북 이용자의 정보를 대량으로 빼돌려 미국 대선에서 도널드 트럼프 후보를 도왔던 사건. 페이스북은 그 사실을 알고도 유출을 막지 않아 더 큰 비난을 받았다. ㅣ ☞ 본문으로
