[해외정보인권] 기본권을 증진하고 안전한 디지털 생태계를 지원하는 EU 디지털 보안 아젠다 수립을 촉구하는 공동 서한

존경하는 장관님들께,

우리는 아래에 서명한 전문직 단체, 언론 및 인권 단체, 노동조합, 기술 기업으로서, 정의와 책임성, 기본권 존중을 보장하고 동시에 안전한 디지털 생태계의 발전을 지원하는 EU 디지털 보안 아젠다의 필요성을 강조하고자 이 서한을 드립니다.

이와 관련하여 우리는 효과적인 법 집행을 위한 데이터 접근에 대해 고위급 전문가 그룹(HLG)이 제안한 권고안과 보고서에 대해 우려를 표하고자 합니다.

HLG의 전반적인 목표가 법 집행 기관에게 가능한 최대한의 개인정보 접근을 부여하려는 데 있는 점을 고려할 때 이러한 권고안이 향후 EU 정책 및 입법의 기초가 된다면 대규모 감시의 위험뿐만 아니라 중대한 보안 및 프라이버시 위협이 초래될 수 있다고 우리는 판단합니다.

따라서 우리는 귀하께서 이 분야의 EU 정책 우선순위를 설정하실 때 다음과 같은 권고사항들을 신중히 고려해주시기를 촉구합니다.

기본권을 존중하고 디지털 공간의 보안과 기밀성을 보장해야 합니다

우리는 법 집행 기관에 무제한적인 권한을 부여하는 것이 대규모 감시로 이어지고 기본권을 침해할 수 있다는 점에 대해 경고하고자 합니다.

특히 우리는 고위급 전문가 그룹(HLG)이 지지하고 있는 “디자인 단계에서부터 합법적 접근(lawful access by design)”이라는 개념에 대해 심각한 우려를 표합니다. 이 개념은 모든 기술 개발 과정에서 법 집행 기관의 데이터 접근을 표준화하려는 것이며, 실질적으로는 암호화를 포함한 모든 디지털 보안 시스템을 체계적으로 약화시키는 것을 의미합니다. 이는 전자 데이터와 통신의 보안 및 기밀성을 훼손하고, 모든 사람의 안전을 위협하며 기본권을 심각하게 침해하게 될 것입니다. 이러한 개념은 인권 단체, 개인정보 보호 및 사이버보안 전문가들, 유럽인권재판소(ECtHR)의 판례에서 오랫동안 강조되어온 권고와 정면으로 배치됩니다.

따라서 우리는 암호화에 의해 보장되는 보호 장치를 우회하거나 약화시킬 수 있는 모든 조치를 폐기할 것을 권고합니다. 이러한 조치는 수백만 명의 시민과 공공기관에 보안 및 프라이버시 위협을 초래하고, 디지털 정보 생태계 전반에 심각한 피해를 줄 것입니다.

또한 우리는 향후 EU 차원의 데이터 보존 및 접근에 관한 통합 규제가 마련될 경우, 이는 반드시 EU 법과 유럽사법재판소(CJEU), 유럽인권재판소(ECtHR)의 확립된 판례에서 요구하는 필요성과 비례성 원칙을 준수해야 한다는 점을 상기시키고자 합니다. 이와 관련하여, 사물인터넷 및 인터넷 기반 서비스를 포함한 거의 모든 정보사회 서비스를 대상으로 데이터 보존 의무를 확대하자는 제안은 특히 심각한 문제입니다. 이는 목표를 특정하지 않고 개인 데이터를 무차별적으로 장기간 보존하게 하며, 시민들에게 그들의 사생활이 상시 감시당하고 있다는 인식을 심어줄 것입니다. 이러한 광범위하고 일반적인 감시는 앞서 언급한 법적 요구사항을 충족한다고 볼 수 없습니다.

프라이버시 권리와 보호된 정보의 불가침성을 보장해야 합니다

프라이버시 및 통신의 기밀성에 대한 권리가 절대적인 것은 아니지만, 기본권에 대한 어떠한 제한도 반드시 법적 근거, 엄격한 필요성, 비례성 원칙을 충족해야 합니다. 개인에 대한 상세한 프로파일 작성을 가능하게 하거나, 모든 사적 통신의 보안을 약화시키는 일반적이고 무차별적인 개인정보 보존 조치는 이러한 원칙을 만족시키지 못합니다.

이러한 일반적이고 무차별적인 조치는 특히 전문직 기밀보호가 요구되는 사람들—예컨대 의사와 환자, 언론인과 정보원, 변호사, 사회복지사와 의뢰인 간의 통신—에게까지 영향을 미칩니다. 이들 간의 통신에 법적으로 부여된 보호는 공정한 재판을 받을 권리, 변호받을 권리, 표현과 언론의 자유, 사상과 종교의 자유, 집회 및 결사의 자유, 사회보장 및 보건의 권리 등 다른 기본권을 실질적으로 행사하기 위한 전제 조건입니다.

우리는 법 집행기관이 데이터에 광범위하게 접근하도록 허용하는 계획이 보호된 통신의 기밀성과 이와 관련된 기본권을 침해할 수 있다는 점을 우려합니다. 이러한 조치는 언론인, 인권운동가, 변호사, 사회운동가, 정치적 반대자 등을 겨냥해 남용될 위험이 있습니다.

EU는 법률상 직업적 비밀(legal professional privilege) 또는 직업상 비밀 보호 원칙에 해당하는 데이터와 기타 증거에 대해 불가침성을 반드시 보장해야 합니다.

안전하고 신뢰할 수 있으며 다양성 있는 디지털 생태계를 지원해야 합니다

책임 있는 기기 제조업체와 서비스 제공자들은 자사 기기의 보안성과 서비스의 신뢰성을 높이기 위해 상당한 자원을 투자해 왔습니다. 이러한 혁신은 점점 더 프라이버시를 중시하는 사용자들의 요구는 물론, 사이버보안 및 데이터 보호 분야에서 높은 기준을 집행해야 하는 규제 당국의 요구에도 부응합니다. 유럽연합(EU)은 개인정보 보호 체계를 통해 세계적으로 높은 수준의 법적 기준을 제시하고 있으며, 이는 프라이버시가 지속적으로 침해받는 현실 속에서 사람들의 기본적 권리와 자유를 보호하는 데 있어 EU가 가진 고유한 강점입니다.

그러나 고위급 전문가 그룹(HLG)의 비전은 향후 유럽 시민들이 신뢰할 수 있는 디지털 도구를 선택할 수 있는 능력을 약화시킬 수 있습니다. HLG는 운영자에게 광범위하고 때로는 상충되는 의무를 부과할 것을 제안하고 있습니다. 여기에는 서비스 제공에 필요한 범위를 넘어 사용자 데이터를 수집·보존할 것을 요구하거나, 실시간 감청을 가능하게 하고, 복호화된 데이터를 법 집행기관에 제공할 것을 요구하면서도 시스템 보안은 유지하라는 요구 등이 포함됩니다. HLG는 디지털 보안을 해치려는 의도가 없다고 밝히고 있으나, 실제로 종단 간 암호화(end-to-end encryption)의 약속을 훼손하지 않고 통신 시스템의 보안을 유지할 기술적 방법은 존재하지 않습니다. 법 집행을 위한 ‘백도어’나 기타 우회 장치는 수많은 사례에서 보듯이 결국 악의적 행위자들에 의해 악용될 수 있습니다.

마지막으로, HLG는 EU의 의무나 법 집행 명령을 따르지 않는 사업자를 처벌하기 위한 과도한 집행 체계도 제안하고 있습니다. 여기에 행정 제재, 영업 금지, 형사 처벌 등이 포함되어 있습니다. 우리는 이러한 방식이 보안성 높은 서비스를 제공하는 신뢰할 수 있는 사업자—특히 소규모 사업자나 비영리 단체—를 EU 시장 밖으로 밀어내거나 폐업으로 몰고 가는 결과를 낳을 수 있다고 우려합니다. 또한 EU 내에서 활동 중인 이들이 보안 솔루션을 개발하는 것을 가로막을 수 있습니다. 이는 EU의 사이버보안 역량과 정책 목표에 중대한 악영향을 미칠 것임은 자명합니다.

우리는 법 집행기관이 디지털 시대에 적합한 수사 수단을 갖추고, 국경을 초월한 온라인 서비스로 인해 발생하는 고유한 과제들에 효과적으로 대응할 수 있어야 한다는 점에 공감합니다. 그러나 그 효율성이 기본권, 법적 보호장치, 그리고 유럽 경제를 약화시키는 대가로 이루어져서는 안 됩니다. 우리는 이러한 공익적 목표들이 대규모 감시나 핵심 보안 장치의 체계적 약화 없이도, 보다 비침해적인 방식으로 충분히 달성될 수 있다고 확신합니다.

귀하의 관심과 숙고에 미리 감사드리며, 추가적인 질문이 있으실 경우 언제든지 응답할 준비가 되어 있습니다.

감사합니다.

서명 단체 :

Access Now
ARTICLE 19, International
Association of European Journalists, Belgium (AEJ Belgium)
Bits of Freedom, Netherlands
Bolo Bhi, Pakistan
Centre for Democracy and Technology Europe (CDT Europe)
Chaos Computer Club (CCC), Germany
Civil Liberties Union for Europe (Liberties)
Committee to Protect Journalists (CPJ)
Community Media Forum Europe (CMFE)
Council of Bars and Law Societies of Europe (CCBE)
Cryptee, Estonia
D3 – Defesa dos DIreitos Digitais, Portugal
Danes je nov dan, Slovenia
Datenpunks, Germany
Deutsche Vereinigung für Datenschutz e.V. (DVD), Germany
Deutscher Anwaltverein (German Bar Association)
Digital Rights Ireland
Digitale Gesellschaft, Germany
Digitale Gesellschaft, Switzerland
eco – Verband der Internetwirtschaft e.V.
Electronic Frontier Foundation (EFF), International
Electronic Privacy Information Center (EPIC), United States of America
Element
Epicenter.works – for digital rights, Austria
Eurocadres
EuroISPA – The European Association of Internet Services Providers
European Broadcasting Union (EBU)
European Digital Rights (EDRi)
European Federation of Journalists (EFJ)
European Magazine Media Association (EMMA)
European Newspaper Publishers’ Association (ENPA)
European Publishers Council (EPC)
Global Forum for Media Development (GFMD)
Global Network Initiative (GNI)
Heartland Initiative
IFEX
Initiative für Netzfreiheit, Austria
IT-Pol, Denmark
La Quadrature du Net, France
LOAD e.V. – Association for Liberal Internet Policy
Ligue des droits humains, Belgium
Mailfence, Belgium
Malta Information Technology Law Association (MITLA)
Netzbegrünung – Verein für grüne Netzkultur e.V.
News Media Europe (NME)
Nextcloud GmbH, Germany
Panoptykon Foundation, Poland
Politiscope, Croatia
Privacy International
Proton, Switzerland
SHARE Foundation, Serbia
South East Europe Media Organisation (SEEMO)
Standing Committee of European Doctors (CPME)
Statewatch, International
Tech Global Institute
Tuta Mail, Germany
Wikimedia Foundation