UN 사이버범죄 협약 관련 UN에 보내는 시민사회 서한(연명 요청)

사단법인 오픈넷, 진보네트워크센터, 휴먼라이츠워치, Access Now, 아티클19, EFF 등 국내외 인권단체들이 UN이 만드는 새로운 사이버범죄협약이 국제인권기준을 충족할 것을 요구하는 공동서한을 보내오니 국내 시민사회단체 및 개인들의 연명을 요청합니다. 

2004년 발효된 유럽평의회(Council of Europe)의 부다페스트 사이버범죄 협약은 몇몇 특정 범죄들에 대해서는 국가간 정보공유를 수월하게 하여 사이버범죄에 대한 수사가 원활히 이루어지는 것을 목표로 하고 있습니다. 이미 부다페스트 사이버범죄 협약에 대해서도 각 국민의 프라이버시가 쉽게 침해될 수 있다는 점을 비판하며 인권단체들은 축소 적용을 요구해왔었고 대한민국 역시 국내 통신비밀보호법, 개인정보보호법 등 국내법과의 충돌 문제로 가입을 유보해왔습니다.

그런데 2019년 10월 러시아, 중국, 북한, 미얀마, 베네주엘라 등의 국가들이 사이버범죄의 범위를 ‘정보통신설비를 이용하여 저지르는 범죄’로 폭넓게 정의하는 협약초안을 예시로 들면서 새로운 UN 사이버범죄 협약의 제정을 제안했고 미국, EU 등의 반대에도 불구하고 UN 총회는 이 결의안을 통과시켰습니다. 예를 들어 “가짜뉴스”나 폭력선동도 사이버범죄로 해석되어 이 조항들을 바탕으로 온라인 상의 정치적 표현이나 집회시위 조직에 대한 각국 수사기관들의 정보공유가 이루어질 수가 있습니다. 이미 2013년 스노든의 폭로로 국가감시의 위험성이 널리 알려졌음에도 불구하고 프라이버시 보호에 대한 협약이 만들어지기는커녕 그런 감시체제를 초국경적으로 확대하고 합법화할 위험이 발생하는 것입니다. 게다가 새로운 사이버범죄 협약의 제정에 반대했던 미국은 결의안이 통과되자 협약안을 입안하는 임시위원회(Ad hoc committee)에 부의장으로 참여하고 있습니다.    

2022년 1월 17일부터 협약안을 입안하는 임시위원회가 열립니다. 이에 국내외 시민단체들은 이 협약이 국제인권을 충족시킬 것을 요구하는 긴급공동서한(국/영문, 아래)을 보내고자 합니다. 참가를 원하는 분들은 1월 11일 자정 12시까지 george@eff.org에 직접 이메일로 “request to sign the joint letter to the Ad Hoc Committee on Comprehensive International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes“의 제목으로 단체나 개인의 영문이름을 넣어서 보내주시면 됩니다. 개인의 경우, 주제 관련성이 있는 영문직함을 넣어주시면 감사하겠습니다.

더 궁금하신 점이 있으시면 오픈넷 박경신 이사 kyungsinpark@korea.ac.kr, 진보넷 오병일 대표 antiropy@gmail.com로 연락주시면 감사하겠습니다. 

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

H.E. Ms Faouzia Boumaiza Mebarki 

정보통신기술의 범죄 목적 사용 방지에 관한 포괄적인 국제 협약 제정을 위한 임시 위원회 의장 귀하, 

아래 서명한 우리 단체들은 온라인과 오프라인에서 인권을 보호하고 증진하기 위해 노력하고 있습니다. 우리는 사이버 범죄를 해결하려는 노력에 관심을 갖고 있습니다. 사이버 범죄가 인권과 생계에 위협이 될 뿐만 아니라, 사이버 범죄 법률, 정책 및 이니셔티브가 현재 사람들의 권리를 훼손하는 데 사용되고 있기 때문입니다. 따라서 우리는 임시 위원회가 작업을 수행하는 과정이 협약의 개발 및 초안 작성의 모든 단계에 걸쳐 강력한 시민 사회 참여를 포함해야 하며, 제안된 협약은 실체적 및 절차적 규정 모두에 적용되는 인권 보호 장치를 포함할 것을 요구합니다. 

배경 

UN 인권기구가 전 세계 사이버범죄법의 남용에 대한 경각심을 제기하는 것과 동시에, 포괄적인 “정보통신기술의 범죄 목적 사용방지에 관한 국제협약”을 제정하자는 제안이 제기되고 있습니다. 2019 보고서에서, 평화적 집회와 결사의 자유의 권리에 관한 유엔 특별 보고관 Clément Nyaletsossi Voule은 “사이버 범죄 퇴치를 위한 입법과 정책의 급증이 전 세계 많은 국가에서 활동가와 시위대를 처벌하고 감시하기 위한 문을 열었습니다”라고 말했습니다. 2019년 그리고 올해 다시 한 번, 유엔 총회는 사이버 범죄 법률이 국제법에 위배되는 방식으로, 인권 옹호자를 표적으로 삼거나 그들의 업무를 방해하고 그들의 안전을 위협하는데 남용되고 있다고 심각한 우려를 표명했습니다. 이는 지나치게 광범위한 사이버 범죄법에서 비롯된 인권 침해에 대해  지난 수년 간의 보고해 온 비정부 기구에 따른 것입니다. 

협약이 처음 제안되었을 때, 이 서한에 서명한 많은 서명자를 포함하여 40개 이상의 주요 디지털 권리 및 인권 단체와 전문가들은, 제안된 협약이 인권에 위협이 된다고 경고하면서   대표단에 이 결의안에 반대 투표할 것을 촉구했습니다. 

임시 위원회의 첫 번째 회의에 앞서, 우리는 이러한 우려를 거듭 강조합니다. 사이버 범죄에 관한 유엔 협약이 계속 진행된다면, 그 목표는 이 협약이 보호하고자 하는 사람들의 기본권을  위험에 빠뜨리지 않으면서, 범죄 목적으로 정보통신기술을 사용하는 것을 방지하여 사람들이 온라인 및 오프라인에서 자신의 권리를 자유롭게 향유하고 행사할 수 있도록 하는 것이 되어야 합니다. 제안된 모든 협약에는 명확하고 강력한 인권 보호 장치가 포함되어야 합니다. 그러한 보호 장치가 없거나 국가의 인권 의무를 약화시키는 협약은 개인을 위험에 빠뜨리고 우리의 디지털 존재를 더욱 불안정하게 만들며 기본권을 위협할 것입니다. 임시 위원회가 앞으로 몇 달 안에 협약 초안 작업을 시작할 때, 제안된 문안이 표현의 자유를 억압하고 사생활 및 개인정보를 침해하며, 위험에 처한 개인과 공동체를 위태롭게 하는 도구로 사용되지 않도록 인권 기반 접근 방식을 적용하는 것이 매우 중요합니다. 사이버 범죄에 맞서기 위한 중요한 작업은 세계 인권 선언(UDHR), 시민적 및 정치적 권리에 관한 국제 규약(ICCPR), 기타 국제 인권 기구 및 표준에 명시된 국가의 인권 의무를 준수해야 합니다. 즉, 사이버 범죄에 맞서는 노력은 인권을 침해하는 것이 아니라 보호해야 합니다. 우리는 개인이 오프라인에서 갖는 것과 동일한 권리가 온라인에서도 보호되어야 함을 정부에 상기하고자 합니다. 

실체적 형법 조항의 범위 

지구적 수준에서 사이버 범죄를 어떻게 해결할 것인지 또는 사이버 범죄의 구성요소에 대한 공통의 이해와 정의에 대한 합의가 없습니다. 인권의 관점에서, 사이버 범죄에 관한 협약의 범위를 좁게 유지하는 것이 필수적입니다. 범죄에 기술이 포함될 수 있다고 해서 그것이 제안된 협약에 포함될 필요가 있다는 의미는 아닙니다. 예를 들어, 광범위한 사이버 범죄 법률은 기존 범죄를 저지르는 데 컴퓨터나 장치를 사용했다는 이유로 처벌을 가중하는 경우가 많습니다. 법률은 콘텐츠 관련 범죄를 포함할 때 특히 문제가 됩니다. 잘못된 정보의 방지, 그리고 테러 및 극단주의에 대한 온라인 지원이나 미화를 방지하기 위한 목적으로 한, 모호한 단어로 된 사이버 범죄 법률은 블로거를 투옥하거나 어떤 국가에서 전체 플랫폼 차단하는 데 남용될 수 있습니다. 이런 식으로 이들은 국제 표현의 자유 기준을 준수하지 않습니다. 그러한 법률은 언론인, 활동가, 연구원, LGBTQ 커뮤니티 및 반대자를 위험에 빠뜨리고, 사회에 더 광범위한 위축 효과를 미칠 수 있습니다. 

사이버로 가능해진 범죄로 더 협소하게 초점을 맞춘 법률조차도 권리를 침해하는 데 사용됩니다. 컴퓨터 네트워크나 시스템에 대한 무단 접근을 범죄화하는 법률은 디지털 보안 연구자, 내부 고발자, 활동가 및 언론인을 대상으로 사용되고는 했습니다. 모든 사람의 안전을 유지하는 데 도움을 주는 보안 연구자가 모호한 사이버 범죄 법률에 휘말리고 보안 시스템의 결함을 식별한 혐의로 형사 고발을 당하는 경우가 너무 많습니다. 또한 일부 국가는 모든 내부 고발을 효과적으로 범죄화하기 위해 무단 접근에 관한 법률을 광범위하게 해석해 왔습니다. 이러한 해석에 따라 기업 또는 정부 정책을 위반하여 정보를 공개하는 것은 “사이버 범죄”로 취급될 수 있습니다. 협약을 제정한다면 악의적인 의도 기준을 명확하게 포함해야 하고, 기업 또는 정부의 컴퓨터 사용 정책을 형사 책임으로 전환해서는 안 되며, 명확하고 광범위한 공익 방어를 제공해야 하며, 보안 연구자가 기소의 두려움 없이 자신의 업무를 수행할 수 있도록 하는 명확한 조항을 포함해야 합니다. 

인권 및 절차상의 보호장치 

한 때 책상 서랍에 잠겨 있던 우리의 사적 정보와 개인 정보는 이제 디지털 장치와 클라우드에 있습니다. 전 세계의 경찰은 디지털 증거에 접근하기 위해 점점 더 침입적인 이련의 수사 도구 를 사용하고 있습니다. 종종 그들의 수사는 적절한 보호 장치 없이 국경을 넘어 상호 법률 지원 조약의 보호를 우회합니다. 많은 상황에서 사법적 감독이 개입되지 않고, 독립적인 개인정보보호 규제 기관의 역할이 약화됩니다. 사이버 범죄 법률을 포함한 국내법은 종종 불균형적이거나 불필요한 감시로부터 보호하기에 부적절합니다. 

모든 잠재적 협약은 그러한 협약에 따라 수행되는 범죄 수사를 규율하는 강력한 절차 및 인권 보호 장치를 상세히 규정해야 합니다. 협약은 프라이버시 권리에 대한 모든 간섭이 감시 조치에 대한 독립적인 사법 승인을 요구하는 것을 포함하여 합법성, 필요성 및 비례성 원칙을 준수하도록 보장해야 합니다. 또한 국가가 개인정보의 법 집행 목적 사용을 제한하는 추가 보호 장치를 채택하는 것을 금지해서는 안 됩니다. 또한 모든 잠재적 협약은 국가가 “프라이버시 권리를 효과적으로 보호하기 위한 보호 장치, 감독 및 구제 측면에서 국제 인권법을 준수하는, 데이터 프라이버시를 포함하여 강력하고 견고하며 포괄적인 개인 정보 보호 법안”을 채택하고 시행해야 할 필요성을 재확인해야 합니다. 

모든 국가가 제안된 유엔 사이버 범죄 협약에 서명하도록 유도하기 위해, 나쁜 인권 관행이 수용되어, 바닥을 향한 경쟁을 초래할 위험이 있습니다. 따라서 어떤 잠재적 협약이라도 인권을 보호하기 위한 절차적 안전장치를 명시적으로 강화하고 상호 지원 협정을 우회하고자 하는 지름길에 저항하는 것이 필수적입니다. 

의미있는 참여 

앞으로, 우리는 시민사회단체(디지털 보안을 다루는 단체, 취약한 공동체 및 개인을 지원하는 단체를 포함하여)를 협의에 적극적으로 포함시켜 줄 것을 임시 위원회에 요청합니다. 이러한 참여는 이 절차가 시작된 2019년 또는 그 이후에도 이루어지지 않았습니다. 

따라서 우리는 위원회에 다음과 같이 요청합니다: 

  • 관련 기술 및 학계 전문가 및 인권 관련 전문 지식을 보유하고 있지만 UN 경제사회이사회  협의적 지위가 없는 비정부 단체를 적시에 투명하게 인증하고, 서로 다른 시간대에 걸쳐 원격 참여를 할 수 있도록 참여 단체가 여러 대표자를 등록할 수 있도록 해야 합니다. 
  • 시민사회, 민간부문, 학계가 서로 다른 관점과 이해관계를 가질 수 있으므로, 참여 방식이 비정부 이해관계자의 다양성을 인정하고 각 이해관계자 그룹에 적절한 발언 시간을 제공하도록 해야 합니다. 
  • 문서에 적시에 접근하고, 통역 서비스를 제공하고, 위원회 세션(직접 및 원격)에서 발언하고, 서면 의견 및 권고를 제출할 수 있는 기회를 포함하여, 인가된 참가자의 효과적인 참여를 보장해야 합니다. 
  • 실무적 정보(인증, 시간/장소, 원격 참여에 대한 세부 정보), 조직 문서(예: 의제, 토론 문서 등), 국가 및 기타 이해관계자의 발언 및 기타 참여, 배경 문서, 작업 문서 및 결과물 초안, 회의 보고서 등 관련 정보가 포함된 최신 전용 웹페이지를 유지해야 합니다.

사이버 범죄에 대한 대응이, 협약이 영향을 미칠 삶의 기본 권리와 존엄성을 희생해서는 안 됩니다. 국가는 제안된 모든 사이버 범죄 협약이 인권 의무에 부합하는지 확인하고 이러한 의무와 일치하지 않는 제안된 협약에 반대해야 합니다. 

본 서한을 임시위원회 위원들에게 회람하고 임시위원회 웹사이트에 게시해 주시면 대단히 감사하겠습니다.

H.E. Ms Faouzia Boumaiza Mebarki 

Chairperson 

Ad Hoc Committee to Elaborate a Comprehensive International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes 

Your Excellency, 

We, the undersigned organizations, work to protect and advance human rights, online and offline. Efforts to address cybercrime are of concern to us, both because cybercrime poses a threat to human rights and livelihoods, and because cybercrime laws, policies, and initiatives are currently being used to undermine people’s rights. We therefore ask that the process through which the Ad Hoc Committee does its work includes robust civil society participation throughout all stages of the development and drafting of a convention, and that any proposed convention include human rights safeguards applicable to both its substantive and procedural provisions. 

Background 

The proposal to elaborate a comprehensive “international convention on countering the use of information and communications technologies for criminal purposes” is being put forward at the same time that UN human rights mechanisms are raising alarms about the abuse of cybercrime laws around the world. In his 2019 report, the UN special rapporteur on the rights to freedom of peaceful assembly and of association, Clément Nyaletsossi Voule, observed, “A surge in legislation and policies aimed at combating cybercrime has also opened the door to punishing and surveilling activists and protesters in many countries around the world.” In 2019 and once again this year, the UN General Assembly expressed grave concerns that cybercrime legislation is being misused to target human rights defenders or hinder their work and endanger their safety in a manner contrary to international law. This follows years of reporting from non-governmental organizations on the human rights abuses stemming from overbroad cybercrime laws. 

When the convention was first proposed, over 40 leading digital rights and human rights organizations and experts, including many signatories of this letter, urged delegations to vote against the resolution, warning thatthe proposed convention poses a threat to human rights. 

In advance of the first session of the Ad Hoc Committee, we reiterate these concerns. If a UN convention on cybercrime is to proceed, the goal should be to combat the use of information and communications technologies for criminal purposes without endangering the fundamental rights of those it seeks to protect, so people can freely enjoy and exercise their rights, online and offline. Any proposed convention should incorporate clear and robust human rights safeguards. A convention without such safeguards or that dilutes States’ human rights obligations would place individuals at risk and make our digital presence even more insecure, each threatening fundamental human rights. As the Ad Hoc Committee commences its work drafting the convention in the coming months, it is vitally important to apply a human rights-based approach to ensure that the proposed text is not used as a tool to stifle freedom of expression, infringe on privacy and data protection, or endanger individuals and communities at risk. The important work of combating cybercrime should be consistent with States’ human rights obligations set forth in the Universal Declaration of Human Rights (UDHR), the International Covenant on Civil and Political Rights (ICCPR), and other international human rights instruments and standards. In other words, efforts to combat cybercrime should also protect, not undermine, human rights. We remind States that the same rights that individuals have offline should also be protected online. 

Scope of Substantive Criminal Provisions 

There is no consensus on how to tackle cybercrime at the global level or a common understanding or definition of what constitutes cybercrime. From a human rights perspective, it is essential to keep the scope of any convention on cybercrime narrow. Just because a crime might involve technology does not mean it needs to be included in the proposed convention. For example, expansive cybercrime laws often simply add penalties due to the use of a computer or device in the commission of an existing offense. The laws are especially problematic when they include content-related crimes. Vaguely worded cybercrime laws purporting to combat misinformation and online support for or glorification of terrorism and extremism, can be misused to imprison bloggers or block entire platforms in a given country. As such, they fail to comply with international freedom of expression standards. Such laws put journalists, activists, researchers, LGBTQ communities, and dissenters in danger, and can have a chilling effect on society more broadly. 

Even laws that focus more narrowly on cyber-enabled crimes are used to undermine rights. Laws criminalizing unauthorized access to computer networks or systems have been used to target digital security researchers, whistleblowers , activists, and journalists. Too often, security researchers, who help keep everyone safe, are caught up in vague cybercrime laws and face criminal charges for identifying flaws in security systems. Some States have also interpreted unauthorized access laws so broadly as to effectively criminalize any and all whistleblowing; under these interpretations, any disclosure of information in violation of a corporate or government policy could be treated as “cybercrime.” Any potential convention should explicitly include a malicious intent standard, should not transform corporate or government computer use policies into criminal liability, should provide a clearly articulated and expansive public interest defense, and include clear provisions that allow security researchers to do their work without fear of prosecution. 

Human Rights and Procedural Safeguards 

Our private and personal information, once locked in a desk drawer, now resides on our digital devices and in the cloud. Police around the world are using an increasingly intrusive set of investigative tools to access digital evidence. Frequently, their investigations cross borders without proper safeguards and bypass the protections in mutual legal assistance treaties. In many contexts, no judicial oversight is involved, and the role of independent data protection regulators is undermined. National laws, including cybercrime legislation, are often inadequate to protect against disproportionate or unnecessary surveillance. 

Any potential convention should detail robust procedural and human rights safeguards that govern criminal investigations pursued under such a convention. It should ensure that any interference with the right to privacy complies with the principles of legality, necessity, and proportionality, including by requiring independent judicial authorization of surveillance measures. It should also not forbid States from adopting additional safeguards that limit law enforcement uses of personal data, as such a prohibition would undermine privacy and data protection. Any potential convention should also reaffirm the need for States to adopt and enforce “strong, robust and comprehensive privacy legislation, including on data privacy, that complies with international human rights law in terms of safeguards, oversight and remedies to effectively protect the right to privacy.” 

There is a real risk that, in an attempt to entice all States to sign a proposed UN cybercrime convention, bad human rights practices will be accommodated, resulting in a race to the bottom. Therefore, it is essential that any potential convention explicitly reinforces procedural safeguards to protect human rights and resists shortcuts around mutual assistance agreements. 

Meaningful Participation 

Going forward, we ask the Ad Hoc Committee to actively include civil society organizations in consultations—including those dealing with digital security and groups assisting vulnerable communities and individuals—which did not happen when this process began in 2019 or in the time since.

Accordingly, we request that the Committee: 

  • Accredit interested technological and academic experts and nongovernmental groups, including those with relevant expertise in human rights but that do not have consultative status with the Economic and Social Council of the UN, in a timely and transparent manner, and allow participating groups to register multiple representatives to accommodate the remote participation across different time zones. 
  • Ensure that modalities for participation recognize the diversity of non-governmental stakeholders, giving each stakeholder group adequate speaking time, since civil society, the private sector, and academia can have divergent views and interests. 
  • Ensure effective participation by accredited participants, including the opportunity to receive timely access to documents, provide interpretation services, speak at the Committee’s sessions (in-person and remotely), and submit written opinions and recommendations. 
  • Maintain an up-to-date, dedicated webpage with relevant information, such as practical information (details on accreditation, time/location, and remote participation), organizational documents (i.e., agendas, discussions documents, etc.), statements and other interventions by States and other stakeholders, background documents, working documents and draft outputs, and meeting reports. 

Countering cybercrime should not come at the expense of the fundamental rights and dignity of those whose lives this proposed Convention will touch. States should ensure that any proposed cybercrime convention is in line with their human rights obligations, and they should oppose any proposed convention that is inconsistent with those obligations. 

We would be highly appreciative if you could kindly circulate the present letter to the Ad Hoc Committee Members and publish it on the website of the Ad Hoc Committee.

Signatories, 

Access Now – International 
ARTICLE 19 – International 
Asociación por los Derechos Civiles (ADC) – Argentina 
Association for Progressive Communications (APC) – International 
CyberHUB-AM – Armenia 
Data Privacy Brazil Research Association – Brazil 
Derechos Digitales – America Latina 
Državljan D / Citizen D – Slovenia 
Electronic Frontier Foundation (EFF) – International
European Center For Not-For-Profit Law (ECNL) Stichting – Europe 
European Digital Rights (EDRi) – Europe 
Fundación Karisma – Colombia 
Hiperderecho – Perú 
Homo Digitalis – Greece 
Human Rights Watch – International 
El Instituto Panameño de Derecho y Nuevas Tecnologías (IPANDETEC) – Panamá 
IT-Pol – Denmark 
Open Net Association – Korea 
Panoptykon Foundation (Poland) 
Privacy International – International 
Red en Defensa de los Derechos Digitales (R3D) – México 
Southeast Asia Freedom of Expression Network (SAFEnet) 
Tecnología, Investigación y Comunidad (TEDIC) Paraguay 
Vrjischrift – Netherlands