편집자 주 : 전자교통카드는 버스나 지하철, 최근에는 택시에 이르기까지 매우 편리한 교통요금 지불수단입니다. 우리 생활에서 어느덧 신체의 일부처럼 정착하였죠. 그러나 모든 사람의 모든 이동경로가 기록된다는 점에서 이 거대한 정보시스템과 정보인권의 관계에 대하여 생각해볼 가치가 있습니다. 최근 교통카드 시스템을 도입하는 덴마크에서 일어난 정보인권 논쟁을 살펴보았습니다.
번역오류는 della 골뱅이 jinbo.net 으로 알려주세요.
제목 : 덴마크 교통카드 시스템은 프라이버시에 대한 위협이다
원문 : Danish ticketing system a threat to privacy
작성 : 2016년 5월 18일, Guest author
다른 나라들에서처럼 덴마크도 대중교통수단의 종이승차권을 전자승차권으로 대체하고 있다. “라이스코트”(교통카드)라고 불리는 덴마크 시스템은 영국 오이스터카드나 네덜란드 OV칩카르트와 유사한 비접촉식 전자칩이다.
승객은 여정을 시작할때 탑승 카드리더기 앞에 카드를 댄다. 다른 교통수단(기차, 전철, 버스)으로 환승할 때 같은 절차가 반복된다. 여정의 끝에서 승객이 하차 카드리더기 앞에 카드를 대면 교통요금이 계산되어 카드잔액에서 요금이 빠진다. 탑승/하차 카드리더기는 모든 기차와 전철역, 버스 안에 설치되어 있다.
승객들에게 전자칩카드는 편리함을 제공한다. 덴마크내 대부분의 공공교통수단에서 이용할 수 있고 승객들은 복잡한 요금 구조를 알아야 할 필요가 없다. 예를 들어 코펜하겐 광역권에서는 탑승 노선에 따라 8가지 요금제가 있고 어떤 경우에는 여정을 시작하는 곳과 끝나는 곳 사이에서 노선이 달라질 수 있다.
라이스코트 카드는 개인화와 익명화 버전이 있다. 익명 카드는 익명 라이스코트라 불린다. 개인화카드는 은행계좌를 개설할 때처럼 본인인증을 요구하고, 폭넓은 요금할인, 신용카드 자동이체, 라이스코트 분실이나 도난시 잔액 이전 등 우대서비스를 제공한다. 비개인화 라이스코트라는 이름에도 불구하고 익명 라이스코트는 진정한 익명이 아니다. 모든 카드 칩이 고유번호를 가지고 있고 그에 따른 모든 여정이 라이스코트 회사의 백엔드 시스템에 기록되기 때문이다. 승객들은 물론 프라이버시 보호를 위해 정기적으로 새로운 비개인화카드를 구할 수 있지만 그럴 경우 카드 비용이 10유로쯤 소요되고 구카드의 잔액은 사라진다.
프라이버시 관점에서 보았을 때, 덴마크 라이스코트는 재앙이다. 왜냐하면 카드 고유번호가 모든 승객들과 연결되어 있기 때문이다. 모든 카드 소지자의 여정은 중앙 데이터베이스에 등록되고 이 정보는 현재로부터 주민등록번호(개인화카드의 경우)와 함께 5년간 보관된다. 기차, 버스 등 공공 대중교통수단이 과거 상대적으로 높은 정도의 익명성을 보장했던 것에 비해(만연한 CCTV 감시카메라로부터도 비교적 안전하다), 이제는 여객이름기록(PNR)이라 불리는 시스템으로 모든 여정을 기록하는 항공시스템과 비슷해지고 있다. 비행기 여행과 다르게, 좀더 비싼 종이승차권에서는 익명 여행의 선택권이 여전히 존재한다.
라이스코트 시스템의 개인정보 보관 관행에 대한 대중적인 토론과 비판이 있었다. 공기업인 교통카드회사의 반응은 라이스코트가 지불카드(지불능력이 공공교통수단으로 한정된)이기 때문에 덴마크 회계법과 (EU법에 따른) 돈세탁방지법에 의해 모든 여정의 모든 거래에 대한 정보를 5년간 보관할 의무가 있다는 것이다. 나아가 다양한 부정승차에 대한 적발 목적에서 모든 승객의 교통 경로가 분석된다. 라이스코트는 보안이 부실한 [필립스사 제조] 마이페어 클래식 카드 설계에 기반해 있다. 그러나 카드 해킹은 라이스코트 회사에게 문제로 여겨지지 않는다. 왜냐하면 회사는 모든 부정승차 시도가 백엔드 시스템에서 탐지될 수 있다고 믿고 있기 때문이다. 보기에 따라서는 승객 교통 경로에 대한 감시가 카드칩의 부실한 보안에 대한 보완책인 셈이다.
라이스코트 요금 구조는 특히 하차 카드리더기가 버스안에 있는 버스로 이동할 때, 승객들이 하차 시점에 계산을 생략하거나 종착지에 도착하기 전에 계산할 수 있도록 우대서비스를 제공한다. 라이스코트 이용약관에 따르면 개인화카드는 계산이 적절하게 이루어지지 않았을 때 세 정류장 후에 차단될 수 있다. 이 경우 카드소지자는 블랙리스트에 올라 일년간 새로운 개인화카드 발급이 불가능해진다. 부정승차적발 시스템은 아마도 조기 하차와 같이 부분적으로는 부정승차일수 있는 미완성 여정이나 특정한 탑승 양식을 찾아볼 것이다. 탑승 양식에 대한 프로파일링은 승객 주소를 포함한 일반소비자정보를 상호참조할 것이다. 그러나 부정승차적발을 위한 프로파일링의 정확한 상세사항은 알려져 있지 않다.
대중적인 비판 때문에 덴마크 정부는 파울 슈미트 로펌에 라이스코트 회사의 정보처리 절차에 대한 조사를 의뢰하였다. 2016년 3월 29일 이 로펌의 보고서가 발간되었다. 이전에 라이스코트 시스템에 대해 평가했던 덴마크 개인정보보호 독립기구는 모든 탑승기록에 대한 5년 보관에 대하여 어떤 언급도 하지 않았다. 하지만 로펌 보고서는 법률적으로는 모든 여정에 대한 정보를 5년간 보관해야 필요가 없다고 결론을 내렸다. 이 거래가 어떤 여정에 대한 지불이라는 점에 대해 소비자가 더이상 다툴 수 없을 시점까지만 정보를 보관할 필요가 있다. 이 로펌은 덴마크에서 단순금융범죄의 공소시효에 따라 보관 기간이 3년이 될 수도 있다고 지적하였다. 프라이버시를 좀더 옹호하는 주장은 3년보다 더 짧은 보관 기간을 지지할 수도 있는데, 일반적으로 소비자가 활동이 없으면 다툴 수 있는 자신의 권리를 잃는다는 것이다. 덴마크 회계 명령의 공식 지침에서는, 오로지 청구서/지출 총액에 대한 서면만을 5년간 보관할 뿐 상세한 개인 통화내역은 보관하지 않는 전화회사 사례를 소개하고 있다. 소비자가 전화통화에 대해 더이상 다툴 수 없는 시점에서 회계서류는 청구총액만으로 충분하다. 분명, 동일한 원칙이 라이스코트 매표시스템에도 적용되어야 한다. 그러나 듣자하니 라이스코트 회사는 공식 회계 지침의 이런 상세사항을 놓쳤던 것 같다.
파울 슈미트 로펌의 두번째 권고는 소비자가 부정승차적발을 위한 개인정보처리에 동의를 해야만 한다는 것이다. 현재까지 이런 개인정보 처리에 대한 어떤 정보도 소비자에게 제공된 적이 없다. 이 권고가 좀 이상하긴 하다. 라이스코트 회사는 부정승차적발을 위해서는 정당한 이익을 위한 [동의] 예외 조항이 적용되기에 동의 없이 개인정보처리가 이루어질 수 있다고 주장했다. 무엇보다 소비자들이 (라이스코트를 원하는 한) 진정으로 거부권을 행사할 수 없으므로 개인정보처리에 대한 법적 동의가 여기서 거의 성립할 수 없다. 또 소비자 동의권이 실질적으로 의미를 지닐 수 있도록 라이스코트 회사가 충분한 정보를 제공할 것 같지도 않아 보인다. 상당히 의미심장한 사실은, 부정승차적발을 위한 개인정보처리에 대한 동의권이 강제될 수 있는지 없는지에 대해 보고서 안에서 토론이 있다는 것이다. 로펌은 동의가 자발적인 것이지만 이는 오로지 편도 종이승차권 등 라이스코트에 대한 대안이 존재하기 때문이라고 주장했다. 그러나 이런 대안은 어쨌거나 매우 비싸거나 사용하기에 까다롭다.
라이스코트 회사는 로펌의 권고를 따르겠다고 발표했다. 또한 탑승기록 중앙 데이터베이스에 접근할 수 있는 고용인수를 축소하고 개인정보처리에 대해 서면 동의를 보장하는 등 좀더 작은 쟁점에 대해서도 권고가 적용될 것이다.
