관련 게시물 바로가기 – [논평] 구글에 대한 개인정보 열람권 소송 대법원 판결을 환영한다
APC 기고글 바로가기 – PROTECTING CIVIL RIGHTS AGAINST CORPORATE SURVEILLANCE IN SOUTH KOREA
지난 4월 13일 대법원은 한국의 인권 활동가들이 구글을 상대로 개인정보 및 서비스 이용내역의 제3자 제공현황을 제공할 것을 청구한 사안에서, 원고의 열람권을 보장하라는 판결을 내린 바 있다.
특히 이번 대법원 판결은 1, 2심에서 ‘미국 법령에서 비공개의무가 있는 것으로 규정한 사항에 대해서는 공개할 의무가 없다’고 한 것을 뒤집어, 외국 법령이 있음에도 불구하고 비공개 해야할 정당한 사유가 없거나 비공개 사유가 종료되었을 경우에는 해당 정보를 열람, 제공해야 한다고 보았다.
구글은 이제 대법원 판결에 따라 한국 인권활동가들의 이메일 등 개인정보를 미국의 정보수사기관에 제공한 바가 있는지 여부 및 그 내역을 제공해야 한다.
다음은 이 소송에 원고로 참여한 진보네트워크센터 오병일 대표가 소송 관련 내용에 대해 APC에 기고한 컬럼이다.
2013년 6월, 에드워드 스노든은 미국의 정보기관인 NSA가 다양한 감시 시스템을 통해 인터넷을 통해 이루어지는 전 세계인의 소통을 저인망식으로 감시하고 있다는 것을 폭로했다. 구글, 페이스북, MS 등 글로벌 초국적 기업들도 프리즘(PRISM)을 통해 이용자의 개인정보를 제공하는 방식으로 NSA에 협력하였다. 미국 정부는 해외정보감시법(Foreign Intelligence Surveillance Act) 제702조에 근거하여 법원의 허가를 얻어 적법하게 정보를 수집한 것이며 미국 국민을 감시 대상으로 삼지 않겠다고 밝혔다. 그렇다면, 무고한 다른 국가의 시민들은 감시의 대상이 되어도 좋은가?
한국의 인권 활동가들은 미국을 비롯한 전 세계의 활동가들과 이메일을 통해 소통하고 있다. 우리의 개인정보 역시 초국적 기업을 통해 미국의 정보기관에 제공되었을 수 있다. 우리는 어떻게 우리의 개인정보가 미국의 정보기관에 제공되었는지 확인하고 우리의 권리를 구제받을 수 있을까? 한국의 인권활동가들은 개인정보에 대한 정보주체의 권리를 보호하기 위한 제도가 감시에 저항하는 하나의 방법이 될 수 있다고 생각했다.
2014년 2월 10일, 진보네트워크센터, 경실련, 함께하는시민행동, 국제앰네스티 한국지부 소속 활동가 6명은 구글본사와 구글코리아에 자신들이 사용하고 있는 구글 계정과 관련된 개인정보 제공 현황의 공개를 요청하였다. 즉, 자신들의 개인정보 또는 Gmail서비스 이용정보(메일 착발신 대상, 메일내용 등)를 미국 국가안전보장국(NSA) 등 제3자에게 제공했는지 알려달라는 것이다. 그러나 구글은 자신들은 단지 법령이 정하는 바에 따라 개인정보를 정부기관에 제공할 뿐 개별 이용자들의 요청에 의하여 개인정보 이용여부 및 그 내역을 공개할 수는 없다는 취지의 원론적인 답변을 하였을 뿐, 우리의 요구에 대한 구체적인 정보를 제공하지는 않았다. 이에 2014년 7월 23일, 우리는 구글본사와 구글코리아를 상대로 개인정보 및 서비스 이용내역을 제3자에게 제공한 현황을 공개할 것을 요구하는 소송을 제기하였다. 2015년에 1심 판결이, 2017년에 2심 판결이, 그리고 소송을 제기한 지 9년만인 2023년에 대법원 판결이 내려졌다.
구글은 약관에 따라 분쟁이 발생했을 경우 캘리포니아주 법률에 따른다고 이용자가 구글과 계약을 맺었기 때문에, 한국에서 소송을 제기할 수 없다고 주장하였다. 그러나 구글 서비스를 사용하는 전 세계 이용자가 캘리포니아주 법원에 소송을 제기하는 것은 현실적으로 불가능하며 따라서 자신의 권리를 구제받을 수 없게 될 것이다. 다행히 한국의 법원은 서비스 약관에서의 전속적 재판 관할에 대한 합의에도 불구하고, 소비자 계약이 체결된 경우 국제사법에 따라 그러한 합의는 무효이고 국내 법원에 소송을 제기할 수 있다고 보았다. 또한 약관에 따른 준거법 합의에도 불구하고, 소비자 보호를 위한 국내 법률(이 사안에서는 개인정보 보호를 위한 법률로서, 소송 제기 당시에는 정보통신망법이 적용되었다)이 적용된다고 보았다. 이는 전 세계 이용자를 대상으로 서비스를 제공하고 있는 빅테크로부터 각 국의 이용자들은 자국의 법에 따라 보호를 받을 수 있어야 한다는 것으로 매우 의미있는 판결이다.
특히, 이번 대법원 판결에서 주목할 점은 외국의 법령에서 개인정보 제공 내역에 대한 비공개 의무를 부여하고 있다고 하더라도, 이것이 한국법상 개인정보 제공 내역을 공개해야 할 의무의 이행을 거절하는 무조건적 근거가 되지는 않는다고 판결한 것이다. 1, 2심에서 법원은 구글이 이용자에게 개인정보 제3자 제공 내역을 제공하도록 판결하였지만, 미국에 해당 정보의 제공을 금지하는 법률이 있을 경우 예외로 할 수 있다고 보았다. 그러나 대법원은 1, 2심 판결을 뒤집었다. 무조건적으로 예외가 인정되는 것이 아니라, 외국의 법령이 대한민국 헌법과 법률에 부합하는지, 개인정보 보호 필요성에 비해 해당 외국 법령을 존중해야 할 필요성이 현저히 우월한지 등을 종합적으로 고려해야 한다는 것이다. 또한 외국 법령에 따른 비공개 의무가 인정된다고 해도, 국내 이용자의 개인정보 제공내역 공개요청에 대해 그 항목으로 구체적으로 특정하여 제한 혹은 거절 사유를 통지해야 하고, 비공개사유가 종료된 경우에는 국내 이용자의 개인정보 제공내역 공개요청에 응해야 한다고 하였다. 이는 정보주체의 권리를 제한해야할 실질적인 이유가 있는지 엄격하게 심사해야 한다는 것이다.
한국 대법원의 판결을 보면서 유럽사법재판소의 판결을 떠올리게 된다. 유럽사법재판소는 2015년에 유럽연합과 미국이 체결한 개인정보 이전 협정인 세이프하버를 무효화시킨데 이어, 2020년에는 그 후속 협정인 프라이버시 쉴드도 무효화하였다. 미국 정보기관의 개인정보 수집으로부터 유럽연합 시민의 개인정보를 충분히 보호할 수 없다는 것이 이유다.
최근 미국의 기밀 문서들이 유출된 사건이 다시 발생했는데, 그 중 미국 정보기관이 한국 정부 관료들의 대화 내용을 도청한 기록도 포함되어 있었다. 스노든 폭로 이후에도 미국을 비롯한 각 국의 정보기관은 인터넷과 통신에 대한 저인망식 감시를 지속하고 있는 것으로 보인다. 전 세계 이용자를 대상으로 서비스를 제공하고 그들의 개인정보를 방대하게 수집하고 있는 빅테크의 데이터베이스는 정보기관에게 매우 유용한 자원일 것이다. 그러나 국가안보를 명분으로 국가와 기업에 의한 자의적인 무차별 감시가 정당화될 수는 없다. 이번 대법원 판결이 그러한 감시를 저지하는 하나의 진전이 되기를 기대한다.
