「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률안」에 대한 의견
1. 정부는 지난 8월 8일 경제관계장관회의에서 30개 민생법안을 선정하고, 그 조속한 처리를 위해 26일 최경환 경제부총리가 대국민 호소문, 29일에는 정홍원 국무총리가 대국민담화문을 발표했습니다.
2. 우리 단체들은 소위 민생법안으로 포장된 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률안」(정부안, 이하 클라우드컴퓨팅법안)에 관하여 다음과 같은 우려사항을 밝힙니다.
(1) 이용자 개인정보 보호 규정 미비
위 법안은 "이용자 정보"에 대한 규정만 담았을 뿐, "이용자 개인정보"와 그에 대한 "보호"에 대해서는 아무런 규정이 없습니다. 개인정보 유출 통지를 규정하고 있는 점에서 위 법안의 "이용자 정보"가 "이용자 개인정보"를 포함하는 것으로 볼 수도 있으나 위 법안은 그에 대해 명확하게 규정하고 있지 않습니다. 이는 우리 사회가 오랜 합의를 거쳐 수립해온 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 및 「개인정보 보호법」의 개인정보 보호 관련 규제들을 완화하는 부작용을 발생시킬 수 있습니다.
카드3사 개인정보 유출 사고 이후 우리사회는 영역별 개인정보 보호보다 「개인정보 보호법」을 중심으로 개인정보 보호 규제를 강화하는 방향으로 합의해 가고 있으며, 정부도 이러한 원칙을 천명한 바 있습니다. 지난 7월 31일 범정부적으로 수립한 <개인정보보호 정상화 대책>에서 발표된 원칙들, 즉 △ 개인정보보호법을 기준으로 제재수준 정비 △ 개인정보보호위를 통해 상시적으로 관련 법령간 정합성을 유지하는 체계를 구축하도록 한 점은 위 법안에도 동일하게 적용되어야 마땅합니다. 따라서 이 법안의 "이용자 개인정보" 및 이에 대한 "보호" 규정은 이러한 원칙에 부합하게 명시되어야 할 것입니다.
(2) 제3자 제공 및 목적외 용도 이용에 대한 이용자 보호 규정 미비
이용자 개인정보를 제외한 "이용자 정보"에 대하여 이용자 동의를 받거나 다른 법률개정을 통해 "특별한 경우"(제21조)를 늘려나가는 등으로 제3자 제공과 서비스 제공 목적 외의 용도로 이용할 수 있는 근거 규정을 두는 것 역시 신중할 필요가 있습니다. 알다시피 최근 개인정보 관련 법률에서 이용자 동의권이 제대로 행사되고 있지 않다는 지적이 나오는 것은, 현실적으로 이용자가 서비스를 이용하기 시작할 때 약관에 대한 동의가 사실상 포괄적으로 강제되기 때문입니다. 그런데 현재와 같이 약관 등으로 제3자 제공 및 목적 외 용도 이용에 대한 동의를 사실상 포괄적으로 강제한다면, 이용자가 클라우드 서비스에 올려놓은 파일이 제3자에게 제공되는 것이 가능해 질 수 있습니다. 따라서 이용자 정보가 제3자 제공과 서비스 제공 목적 외의 용도로 이용되는 경우를 보다 엄격하게 규정하여 이용자가 자신의 동의권을 실질적으로 행사할 수 있도록 강력하게 규제할 필요가 있습니다.
(3) 상충되는 이해관계 조정을 위한 주무부처 간 견제와 균형의 원리 실종
위 법안이 클라우드컴퓨팅에서 산업발전과 진흥 뿐만 아니라 이용자와 이용자 정보의 보호를 주무하는 기관으로 미래창조과학부를 규정하고 있는 것은 재고되어야 합니다. 산업 진흥을 주무하는 미래부가 이용자와 이용자 정보 보호까지 담당할 경우 후자가 약화될 가능성이 크기 때문입니다. 우리는 산업진흥과 이용자 보호의 주무부처를 분리하여 미래부-방송통신위원회 이원체계를 도입한 것이 이 정부의 정부조직 개편에서 주요한 취지였다는 점을 상기할 필요가 있습니다. 클라우드컴퓨팅에서의 이용자 및 이용자 정보 보호는 대통령 산하 개인정보보호위원회, 혹은 정보통신망에서의 개인정보 보호를 주무하는 방송통신위원회에서 규율하는 것이 관련 정부조직체계와 법률체계 면에서 일관성을 가지는 한편, 주무부처간 경제와 균형의 원리를 찾을 수 있을 것으로 보입니다.
(4) 클라우드컴퓨팅 서비스에서 국가정보원의 과도한 개입 가능성
국가정보원은 현재 「전자정부법」, 「정보통신기반 보호법」, 「국가사이버안전관리규정」 등 관련 법령에 따라 전자정부와 공공부문 정보통신망등의 보안대책 및 조치를 담당하고 있으며, 정부부처에 민간(상용) 클라우드 서비스 사용 제한 지침을 내린 바 있습니다. 위 법안은 비록 공공기관 클라우드컴퓨팅서비스의 영역으로 한정하고는 있지만, "공공기관이 이용할 수 있는"(법안 제14조제2항) 모든 클라우드컴퓨팅서비스에서 국가정보원이 기준을 정하도록 하고 공공기관이 연계된 사고가 발생할 경우 국가정보원장에게 알리도록 하고 있습니다(법안 제19조제3항). 이는 장기적으로 국가정보원이 민간 정보통신서비스 부문에 개입할 수 있는 근거가 될 수 있다는 점에서 우려하지 않을 수 없습니다. 이후 위 법을 기초로 하여 조사권 등 차츰 국가정보원의 민간 정보통신서비스 부문에 대한 권한을 확대할 가능성이 높으며, 18대 「국가사이버위기관리법안」 및 19대 「국가 사이버테러 방지에 관한 법률안」에서 규정했던 대로 민간 부문을 포함한 사이버 영역에서 상시 지휘 체계를 국가정보원을 중심으로 수립할 가능성도 충분합니다.
3. 최근 전세계적으로 클라우드 서비스 해킹 논란이 불거지는 상황에서 비용절감과 관련 산업 진흥을 이유로 공공기관이 민간 클라우드 서비스를 이용하는 것이 반드시 바람직하다고 볼 순 없습니다. 따라서 이런 상황을 종합적으로 고려해 공공기관이 민간(상용)클라우드를 이용할 수 있는 경우와 그 구체적인 방안을 보다 상세하게 법률에 규정해야 할 것입니다.
4. 개인정보가 포함되어 있거나 보안성이 높은 공공기관의 정보에 대해서는 아예 민간(상용)클라우드 서비스를 이용하지 않도록 하면, 국민의 개인정보도 보호되고 국가정보원이 개입할 여지도 없을 것입니다. 또 정보공개의 대상이 되거나 보안등급이 낮은 대민 행정서비스만 민간(상용) 서비스를 사용하도록 한다면 그 기준 및 보고 등에 대해서 충분히 미래부와 방통위가 관장할 수 있을 것입니다.
5. 국가정보원의 국내정치 개입 사건으로 인하여 이 기관에 대한 우리 사회의 신뢰가 위기에 처하고 제도적 대책이 미비한 상황에서, 클라우드컴퓨팅 환경에 대한 국가정보원의 개입은 이 서비스에 대한 국민들의 신뢰를 저해하고 많은 우려를 낳을 것입니다. 이에 대한 명확한 대책이 수립되지 않은 상황에서 위 법안을 민생법안이라는 이름으로 급속하게 처리할 것이 아니라 사회적으로 보다 많은 토론과 합의를 이루어 나갈 필요가 있습니다.
6. 정부를 비롯해 국회에서는 우리 단체의 위와 같은 우려 사항을 반영하여 법안을 개선하거나 신중하게 심의하여 주실 것을 당부드립니다. 끝.
2014년 9월 5일
경실련 소비자정의센터, 진보네트워크센터, 참여연대, 천주교인권위원회, 함께하는시민행동
2014-09-04