한국인터넷진흥원법제분석팀권현준팀장 (olddongja@kisa.or.kr) 한국인터넷진흥원법제분석팀강이석선임연구원 (kis@kisa.or.kr) I. II. III. IV. 국내입법동향해외입법동향판례및사례국외이슈및단신 Law & Case 의내용은집필자개인의견해로서한국인터넷진흥원의공식입장과는무관합니다.
C O N T E N T S I. 국내입법동향 1. 국회통과된법률안 통신비밀보호법 일부개정법률안 ( 12. 2. 3 국회제출, 새누리당박민식의원대표발의 ) 정보통신망이용촉진및정보보호등에관한법률 일부개정법률안 ( 12. 2. 3 국회제출, 새누리당정옥임의원대표발의 ) 정보통신망이용촉진및정보보호등에관한법률 일부개정법률안 ( 12. 2. 29 국회제출, 새누리당김소남의원대표발의 ) 개인정보보호법 일부개정법률안 ( 12. 2. 29 국회제출, 새누리당김소남의원대표발의 ) II. 해외입법동향 미국 백악관, 소비자정보프라이버시보호 가이드라인발표 ( 12. 2. 23) 사이버범죄보호법안, S.2111 상원발의 ( 12. 2. 15) 44
III. 판례및사례 독일 정보보호위원회, 인터넷감청소프트웨어인 트로이언 설치는위법 ( 12. 1. 31) 아일랜드 시민단체, 통신부장관을상대로개정 통신법 에대한소송제기 ( 12. 2. 4) IV. 국외이슈및단신 미국 변호사협회, 법무부가제안한 인터넷통신정보확보와보관정보요청을보장하기위한법률안 거부 ( 12. 1) 법무부, 통신정보보관 대신 통신정보의신속한보존명령 도입이필요하다고주장 ( 12. 1. 27) 프랑스 정보자유위원회 (CNIL), 의원의정활동평가사이트운영자에게알권리, 개인정보보호를고려한자료게재요청 45
I 국내입법동향 1. 국회통과된법률안 1 통신비밀보호법 일부개정법률안 ( 12. 2. 3 국회제출 ) 소관부처 : 법무부 추진현황 12. 2. 3 : 국회제출 ( 새누리당박민식의원대표발의 ) 12. 2. 6 : 문화체육관광방송통신위원회회부 제안이유 학교폭력을사전에감지하여학교폭력을방지하기위하여전기통신사업자에게부모가동의를한경우학생의휴대폰에학교폭력과관련된용어 ( 예 : 맞을래, 죽을래등 ) 가등장할때마다해당문자메시지만발췌하여부모의휴대폰에통보하는시스템 (Mobile Guardian System) 을구축하도록하기위함 주요내용 19세미만청소년의친권자및법정대리인은자녀의범죄피해예방을위해범죄와관련된것으로의심되는통신자료를전기통신사업자로부터제공받을수있음 ( 안제4조의 2 신설 ) - 전기통신사업자는 19세미만청소년의친권자및법정대리인의통신자료요구에협조할의무가있음 출처 : 국회 (http://www.assembly.go.kr) 46
2 정보통신망이용촉진및정보보호등에관한법률 일부개정법률안 ( 12. 2. 3 국회제출 ) 소관부처 : 방송통신위원회 추진현황 12. 2. 3 : 국회제출 ( 새누리당정옥임의원대표발의 ) 12. 2. 6 : 문화체육관광방송통신위원회회부 제안이유 불법스팸문자발송에따른재산상이익에비해형량이지나치게낮아범죄억제효과가미약 ( 관련조항 ) 정보통신망법 제 76 조제 1 항 : 3 천만원이하과태료부과 주요내용 범죄행위로생긴수익과범죄수익에서유래한재산상의이익은몰수하고, 이를몰수할수없을때 그가액을추징 ( 안제 74 조제 3 항및제 4 항신설 ) 출처 : 국회 (http://www.assembly.go.kr) 3 정보통신망이용촉진및정보보호등에관한법률 일부개정법률안 ( 12. 2. 3 국회제출 ) 소관부처 : 방송통신위원회 추진현황 12. 2. 29 : 국회제출 ( 새누리당김소남의원대표발의 ) 12. 3. 2 : 문화체육관광방송통신위원회회부 제안이유 최근정보통신의급속한발전에따라해킹등의침해사고가빈번하게이루어지고있음에도현행법은침해사고로정의한해킹에대한설명이불명확하여해킹의다양한침해행위에대한대응이미약 47
주요내용 침해사고의정의중해킹과함께최근발생한화면해킹등다른사람의컴퓨터시스템을훼손하는 행위를포함 ( 안제 2 조제 7 호 ) 출처 : 국회 (http://www.assembly.go.kr) 4 개인정보보호법 일부개정법률안 ( 12. 2. 29 국회제출 ) 소관부처 : 방송통신위원회 추진현황 12. 2. 29 : 국회제출 ( 새누리당김소남의원대표발의 ) 12. 3. 2 : 행정안전위원회회부 제안이유 최근개인컴퓨터화면해킹을통한중요개인정보의노출로금융피해사건이자주발생함에따라개인정보에대한안전성확보가시급한실정 주요내용 개인정보처리자는컴퓨터화면해킹등신종유형의방법을통해정보통신망을이용하여, 개인정보가분실 도난 유출 변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등안정성확보를위한기술적 관리적 물리적보호조치를취하여야함 ( 안제29조제1항 ) 출처 : 국회 (http://www.assembly.go.kr) 48
II 해외입법동향 1 美백악관, 소비자정보프라이버시보호 가이드라인발표 ( 12. 2. 23) 배경및경과 백악관은인터넷이용자들의개인정보유출을예방할목적으로 소비자정보프라이버시보호 1) 가이드라인발표 ( 12. 2. 23) 성격 : 정부, 소비자단체, 인터넷업체등의자발적합의로법적강제력은없음 주요내용 가이드라인은 Google, MS, Yahoo 등온라인광고업자들에게자사웹페이지에 추적금지 (Do Not Track) 버튼 을만들도록권고 - 인터넷이용자들이 추적금지 (Do Not Track) 버튼 을클릭하면온라인광고업자들은이용자개인정보수집불가 미국사업자및개인정보관련시민단체의반응 Google, Yahoo 등이회원사로있는 디지털광고연합 (DAA 2) ) 은향후 9개월내에 추적금지 (Do Not Track) 시스템을도입하겠다며오바마행정부방침에호응 개인정보보호단체인 민주주의와기술센터 (CDT 3) ) 의 Jeff Chester 대표는미국은향후무역협상에서온라인개인정보보호에관한자국의시스템을인정받으려할것이라면서유럽의엄격한기준과비교하면훨씬못미친다고논평 민주주의와기술센터 : 개방 혁신 자유인터넷을증진시키기위한비영리공공이익단체 유럽개인정보관련시민단체들의반응 오픈라이츠그룹 (ORG 4) ) 의 Jim Killock 집행이사는 유럽은개인정보보호문제에대하여미국이제시한가이드라인보다엄격하고분명한시각을견지 한다고강조 오픈라이츠그룹 : 인터넷권리와자유신장을목표로활동하는영국의시민단체 1) Consumer Data Privacy in a networked World : A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy 2) Digital Advertising Association 3) Center for Democracy and Technology 4) Open Rights Group 49
- 추적금지 (Do Not Track) 시스템 도입을포함하고있는美정부가제시한가이드라인의합리성이입증된다면유럽도영향을받을것이라고논평 프로몬터리 (Promontory) 의 Simon McDougall 운영이사는 개인정보보호에관한금번美정부의가이드라인은 EU 국가들을만족시키지못하겠지만기타지역에서는영향력을미칠수있을것 이라고논평 프로몬터리 : 기업을대상으로프라이버시컨설팅을수행하는영국회사 - 아시아의일부국가는유럽식으로엄격한개인정보보호방침을채택하고있으나 ( 아시아의 ) 다른국가들은금번미국의가이드라인의영향을받을수있음을지적 출처 : http://www.whitehouse.gov/sites/default/files/privacy-final.pdf http://www.govtech.com/policy-management/white-house-releases-privacy-bill-of-rights-for-consumers.html http://www.fiercegovernmentit.com/story/white-house-consumer-privacy-bill-rights-step-toward-do-not-track-legislati/2012-02-23 http://www.whitehouse.gov/the-press-office/2012/02/23/fact-sheet-plan-protect-privacy-internet-age-adopting-consumer-privacy-b 50
2 美, 사이버범죄보호법안 (Cyber Crime Protection Security Act 상원발의 ( 12. 2. 15) 배경및경과 Patrick Leahy( 민주당, 버몬트州 ) 상원의원은 ID 도용, 프라이버시침해등에대한처벌을강화시키기위하여 사이버범죄보호법안 (Cyber Crime Protection Security Act, S.2111) 발의( 12. 2. 15) 주요내용 최소 5,000 달러이상의벌금과 20년이하의징역부과등사이버사기에대한벌칙강화 인터넷이용자비밀번호의불법거래를사이버범죄로규정 법안의구성 Sec. 105 Sec. 1 Title Ⅰ 의목적에부합하는조치들 (Actions taken consistent with the purposes of this title) 법명 (Short Title) 개인식별정보에대한권한없는접근과관련된조직범죄활동 Sec. 2 Sec. 3 Sec. 4 Sec. 5 (ORGANIZED CRIMINAL ACTIVITY IN CONNECTION WITH UNAUTHORIZED ACCESS TO PERSONALLY IDENTIFIABLE INFORMATION) 컴퓨터사기에대한벌칙 (PENALTIES FOR FRAUD AND RELATED ACTIVITY IN CONNECTION WITH COMPUTERS) 비밀번호의불법거래 (TRAFFICKING IN PASSWORDS) 컴퓨터사기범죄의음모및기도 (CONSPIRACY AND ATTEMPTED COMPUTER FRAUD OFFENSES) 컴퓨터사기로취득한재산에대한민 형사상몰수 Sec. 6 Sec. 7 Sec. 8 (CRIMINAL AND CIVIL FORFEITURE FOR FRAUD AND RELATED ACTIVITY IN CONNECTION WITH COMPUTERS) 주요컴퓨터기반시설에대한피해 (DAMAGE TO CRITICAL INFRASTRUCTURE COMPUTERS) 권한없는이용행위의제한 (LIMITATION ON ACTIONS INVOLVING UNAUTHORIZED USE) 출처 : http://thomas.loc.gov/cgi-bin/query/z?c112:s.2111: 51
III 판례및사례 1 獨연방정보보호위원회, 인터넷감청소프트웨어인 트로이목마 의설치는위법하다고결정 ( 12. 1. 31) 배경및경과 최근암호화된통신의증가로전기통신감청이어려워짐에따라수사기관 ( 연방범죄수사청 (BKA), 세관, 경찰 ) 들은 전기통신소스감청 을통해감청수행 전기통신소스감청 : 감청대상자의컴퓨터에특정프로그램 ( 연방트로이목마 (Bundes trojaner)) 을온라인상으로설치하여통신내용이암호화되기이전에감청하여수사기관에게전달하는통신수사기법 연방정부는소스감청시전기통신만이감청되고대상자의다른정보는수집되지않는다고하였지만소스감청의전기통신감청관련법 ( 형사소송법, 경찰법 ) 위반과대상자기본권침해여부에대하여지속적논란 - 카오스컴퓨터클럽 (Chaos Computer Club) 은소스감청프로그램인 연방트로이목마 를분석한결과그성능은전화감청수준을초과한다고폭로하면서연방정보보호위원회 (BfDI 5) ) 에민원제기 ( 11. 10. 8) 카오스컴퓨터클럽 : 모든사람이자유롭게컴퓨터등 IT 기반기술을활용하는권리를가질수있도록활동하는독일의해커그룹 연방트로이목마 는인터넷이용자로하여금임의의프로그램을다운로드하게하고모니터스크린샷을저장하거나키보드입력정보도낚아챔 연방정보보호위원회는연방정부의소스감청프로그램인 연방트로이목마 의설치는 연방정보보호법 (BDSG 6) ) 상기술적 관리적조치 ( 제9조 ) 와 연방범죄수사청법 (BKA-G) 상정보기술시스템의비밀침입 ( 제20k조 ) 위반이라고결정 ( 12. 1. 31) 연방정보보호위원회가 연방트로이목마 의설치가위법하다고결정한이유 소스감청시수반되는데이터의비암호화, 감청과정에참여한자와시스템이확인되지않아 연방정보보호법 상기술적 관리적조치 ( 제9조 ) 위반 소스감청과정에서획득한정보를열람하는경우대상자의전기통신외에모니터스크린샷등감청대상컴퓨터의다른데이터들이함께획득되는데이에대한법적근거가부재 5) Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 6) Bundesdatenschutzgesetz 52
- 전기통신감청을규정하고있는현행 형사소송법 (Strafprozessrecht) 제 100a 조와 세관법 제 23a 조는이와관련한규정을미포함 출처 : http://media.de.indymedia.org/media/2012/02//324945.pdf 2 아일랜드시민단체, 통신부장관을상대로개정 통신법 에대한소송제기 ( 12. 2. 4) 배경및경과 정부는전기통신사업자및 ISP가통신이용자의통신정보를일정기간저장하도록하는내용을포함한 EU의 통신정보보관지침 (Directive 2006/24/EC) 7) 을국내법에반영하기위하여 통신법 (Communication (Retention of Data) Act 2011) 을개정 ( 11. 1. 26) 시민단체인 디지털권리아일랜드 (Digital Rights Ireland) 는통신부장관을상대로개정 통신법 에대한소송을제기 ( 12. 2. 4) - 쟁점 : 어떤상황에서국가가통신사업자에게이용자통신정보를보관하도록요구할수있는지모호 최고법원 (High Court) 은다음의사항들을판단해줄것을유럽사법재판소 (ECJ, European Court of Justice) 에청구 - 전기통신사업자가유 무선전화, 인터넷전화, 전자우편, 인터넷접속정보를저장하도록한 EU의 통신정보보관지침 이이용자권리를존중하고있는지여부 - EU의 통신정보보관지침 이 EU 기본권헌장 에위배된다면이지침을반영하여개정한 통신법 을재개정해야하는지여부 또한 EU 통신정보보관지침 을반영한국내법률규정이유럽인권선언을준수하여야하는지에관한가이드라인을제공해줄것도요청함 11년개정 통신법 의주요내용 전기통신사업자및 ISP는이용자통신정보를유 무선전화의경우는 2년, 인터넷접속정보 전자우편 인터넷전화의경우는 1년동안저장 보관 7) Directive 2006/24/EC on the retention of data generated or processed in connection with the provision of publicly availabe electronic communications services or of public communications networks and amending Directive 2002/58/EC 53
- 저장 보관된통신정보는국가안전, 국민의생명보호, 중범죄로부터국민보호 ( 제6조 ) 를위해서만이용 유럽사법재판소 (ECJ) 의판단 유럽사법재판소는아일랜드최고법원의청구를다음의두가지이유로기각 - EU의 통신정보보관지침 은역내시장기능과밀접히관련되며, 수사기관들과통신사업자들간의형사공조조치수행과는무관 - EU의 통신정보보관지침 은 유럽공동체설립조약 (Treaty Establishing the European Community 제 95조를근거로제정 출처 : http://www.thejournal.ie/ecj-asked-to-rule-on-mandatory-retention-of-phone-and-internet-data-339434-jan2012/ 54
IV 국외이슈 / 단신 1 獨변호사협회, 법무부가제안한 인터넷통신정보확보와보관정보요청을보장하기위한법률안 거부 ( 12. 1.) 배경및경과 정부는 EU의 통신정보보관지침 (Directive 2006/24/EC) 에따라전기통신사업자및 ISP가통신이용자의통신정보를 범죄혐의 가없음에도불구하고 6개월간저장 보관하도록 형사소송법 과 전기통신법 관련규정들을개정 - 연방헌법재판소는개정 형사소송법 8) 과 전기통신법 9) 의관련규정들에대하여위헌판결 ( 10. 3. 2) 법무부는 EU의 통신정보보관지침 의국내법반영을지체했다는이유로 EU 집행위원회 (EC, European Commission) 로부터경고를받고 형사소송법 과 전기통신법 의관련규정들을개정 보완한새로운법률안제안 ( 11. 6) - 이법률안은통신이용자의 범죄혐의 를전제로일정기간동안통신정보를저장 보관하였다가수사기관들이이를이용하는것을규정 변호사협회 (DAV 10) ) 는법무부가제안한 인터넷상통신정보확보와보관정보요청을보장하기위한법률안 에대한반대입장을표명 ( 12. 1) 변호사협회가본법률안을거부하는이유 법무부가제안한법률안의규정을검토한결과다음과같은규정들이시민들의인격권을침해할소지 8) Strafprozessrecht 9) Telekommunikationsgesetz 10) Deutsche Anwaltverein 55
사실관계조사나피의자소재지파악을위하여필요한경우최대 2개월동안전기통신사업자및인터넷서비스제공자 (ISP) 는과거 현재 미래의이용자통신정보를신속히확보 ( 형사소송법 개정안제100j조 ) ( 거부이유 ) 조사 란개념은명령을내리는자의해석여부에따라그범위가확정될수있기때문에초기범죄혐의이전단계에까지사실관계가조사될위험성 전기통신사업자및 ISP는확보기간종료후통신정보를지체없이삭제하도록규정하고있으나확보기간동안이를어떻게보관할것인지에대하여미규정 사실관계조사나피의자소재지파악을위하여필요한경우전기통신사업자및 ISP는 전기통신법 에의한사용자기본정보들을제공 ( 형사소송법 개정안제100k조 ) ( 거부이유 ) 법률안의입법이유서에따르면사용자기본정보는수사기관이이미알고있는 IP 주소를전제로인터넷아동포르노척결과관련해서만제공된다고하고있으나제100k조에는이에대한명백한제한이규정되어있지않아 형법 상의타범죄에도적용될위험 ISP는 IP 주소등통신정보를범죄혐의가없음에도 7일간저장 ( 전기통신법 개정안제113a조 ) ( 거부이유 ) IP주소를통하여개인의인터넷생활및통신의내용까지도파악될위험성 통신정보저장기간인 7일이경과한후이를지체없이삭제해야한다고하고있지만, ISP들이법을위반하는경우, 수사기관이수집한정보를타용도로사용하는경우등에대하여미규정 출처 : http://www.anwaltverein.de/downloads/stellungnahmen-11/2012-01-05-stn-12012fin.pdf 11) 계약체결시이용자가제공한계약성립에관련된정보 ( 예를들어성명, 주소, 전화번호등 ) 56
2 獨법무부, 통신정보보관 대신 통신정보의신속한보존명령 도입이필요하다고주장 ( 12. 1. 27) 배경및경과 정부는 EU의 통신정보보관지침 (Directive 2006/24/EC) 에따라전기통신사업자및 ISP가통신이용자의통신정보를 범죄혐의 가없음에도불구하고 6개월간저장 보관하도록 형사소송법 과 전기통신법 관련규정들을개정 - 연방헌법재판소는개정 형사소송법 과 전기통신법 의관련규정들에대하여위헌판결 ( 10. 3. 2) 법무부는 EU의 통신정보보관지침 의국내법전환을지체했다는이유로 EU 집행위원회 (EC, European Commission) 로부터경고를받고 형사소송법 과 전기통신법 의관련규정들을개정 보완한새로운법률안제안 ( 11. 6) - 이법률안은통신이용자의 범죄혐의 를전제로일정기간동안통신정보를저장 보관하였다가수사기관들이이를이용하는것을규정 법무부는막스플랑크국제형법연구소에 EU의 통신정보보관지침 의필요성에관한연구를위탁 법무부는막스플랑크국제형법연구소위탁연구보고서결과를인용하면서현행법상 통신정보보관제도 대신 통신정보의신속한보존명령제도 도입을주장 ( 12. 1. 27) 법무부장관의주장 법무부장관은범죄혐의가없음에도불구하고해당인의모든통신정보를저장 보관할것이아니라, 범죄혐의를전제로하여해당통신정보를 7일동안보존토록하는절차인 통신정보의신속한보존명령제도 도입을주장 통신정보의신속한보존명령제도 의근거 - 사이버범죄방지조약 (Convention on Cybercrime) 제16조제1항 내용 : 회원국들은특정한컴퓨터의데이터가손실되거나변경될우려가있는경우이를신속히보존하여야함 12) Quick-Freeze-Verfahren 57
전망 EU 회원국및집행위원회 (EC) 에서 EU의 통신정보보관지침 의정당성에대한의문이제기되고있는가운데독일에서이지침의전환법률이최종법제화되기는어려울것으로전망 - 대신범죄혐의를전제로하는 통신정보의신속한보존명령제도 가입법화될가능성 출처 : http://beck-online.beck.de/default.aspx?vpath=bibdata%2fzeits%2fzdaktuell%2f2012%2fcont%2fzdaktuell.2012.h03.gl5.htm 3 佛정보자유위원회 (CNIL), 의원의정활동평가사이트운영자에게알권리, 개인정보보호를고려한자료게재를요청 배경및경과 최근국회의원들의의회참석률및의정활동을평가하는사이트들이증가 - 해당인터넷사이트는상 하원이제공하는의원개인정보를바탕으로의원들의의정활동을평가 게재 평가대상이되는의정활동 : 의회참석, 의회에서의구두발언, 대정부질의, 법률개정안발의, 의회보고서작성및투표등을포함 해당인터넷사이트들은의원들의의정활동통계를출석률과입법효율성기준으로분석 제공 정보자유위원회 (CNIL 13) ) 는이들사이트운영자들에게의원들의자료및개인정보를게재함에있어표현의자유, 국민의알권리및개인정보보호를다각적으로고려할것을요청 주요내용 해당웹사이트가 정보처리축적및자유에관한법률 14) 에따라의원의정치, 철학및종교에관한의견처럼 민감정보 로볼수있는자료를기초로의정활동을분석하는경우별도의고려가필요 - 웹사이트운영자들은사전에의정활동관련정보수집, 통계처리등에관한사항을해당의원에게고지하고부정확한정보에대한의원들의정정, 삭제요구권을보장 출처 : http://www.cnil.fr 11) 계약체결시이용자가제공한계약성립에관련된정보 ( 예를들어성명, 주소, 전화번호등 ) 14) Loi n 78-17 du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés 58
참고문헌 1. 국내웹사이트 [1] 국회 (http://www.assembly.go.kr) [2] 법제처 (http://inglaw.moleg.go.kr) 2. 국외웹사이트 [1] http://beck-online.beck.de/default.aspx?vpath=bibdata%2fzeits%2fzdaktuell%2f2012%2fcont%2fzd AKTUELL.2012.H03.gl5.htm [2] http://media.de.indymedia.org/media/2012/02//324945.pdf [3] http://thomas.loc.gov/cgi-bin/query/z?c112:s.2111: [4] http://www.anwaltverein.de/downloads/stellungnahmen-11/2012-01-05-stn-12012fin.pdf [5] http://www.cnil.fr [6] http://www.fiercegovernmentit.com/story/white-house-consumer-privacy-bill-rights-step-toward-do-nottrack-legislati/2012-02-23 [7] http://www.govtech.com/policy-management/white-house-releases-privacy-bill-of-rights-for-consumers.html [8] http://www.thejournal.ie/ecj-asked-to-rule-on-mandatory-retention-of-phone-and-internet-data-339434- Jan2012/ [9] http://www.whitehouse.gov/the-press-office/2012/02/23/fact-sheet-plan-protect-privacy-internet-ageadopting-consumer-privacy-b [10] http://www.whitehouse.gov/sites/default/files/privacy-final.pdf 59