유엔 프라이버시 특별보고관 아나 브리안(Ana Brian Nougrères) 발표문

디지털 기술이 우리 삶의 모든 영역에 스며드는 시대에, 개인정보 보호는 그 어느 때보다도 시급한 문제입니다. 프라이버시는 시민적 및 정치적 권리에 관한 국제규약(ICCPR) 제17조에 명시된 기본적 인권입니다. 이는 개인의 자율성, 존엄성, 그리고 표현의 자유를 보호합니다. 이 권리의 핵심 요소는 익명성으로, 이를 통해 개인들 — 특히 언론인, 활동가, 그리고 내부고발자들 — 은 감시나 보복에 대한 두려움 없이 자유롭게 소통할 수 있습니다.

불필요한 감시 없이 소통할 자유는는 개방된 사회에 필수적이며, 이러한 권리의 제한은 심각한 인권 침해로 이어질 수 있습니다. 그러나 광범위한 메타데이터 수집으로 인해 익명성의 침식이 가속화되고 있습니다. 콘텐츠 데이터와 달리, 메타데이터는 통신의 실질적 내용을 드러내지는 않지만 누가 누구와, 언제, 어디서 소통했는지에 대한 정보를 제공합니다.

메타데이터 수집은 사생활 침해가 덜하다는 주장이 있지만, 메타데이터 분석은 개인의 삶, 네트워크, 이동 정보에 대한 정교한 세부사항을 드러낼 수 있습니다. 정부가 대규모로 메타데이터를 수집하고 분석할 때, 개인의 활동, 신념, 그리고 인간 관계에 대한 광범위한 프로파일을 구축합니다. 이는 개인의 자유와 민주주의 자체에 대한 심각한 우려를 불러일으킵니다. 통제되지 않은 메타데이터 수집집은 심각한 위험을 초래합니다. 이를 통해 당국은 사회적, 직업적 네트워크를 파악악하고, 이동을 추적하며, 행동을 예측할 수 있습니다. 메타데이터의 잠재적 영향은 종종 과소평가되지만, 대량으로 분석될 경우 개인의 습관, 정치적 견해, 심지어 사적인 관계까지 추론할 수 있습니다.

언론인들에게 이는 정보원의 기밀성과 언론의 자유를 위협합니다. 탐사 보도는 안전한 통신에 의존하며, 언론인들이 정보원에게 익명성을 보장할 수 없다면 중요한 이야기들은 결코 세상에 알려지지 못할 것입니다. 언론에 대한 위축 효과는 대중의 알 권리를 위협하고, 정부와 기업 내 책임성 메커니즘을 약화시킵니다.

인권 옹호자와 활동가들에 대한 감시가 증가하고 있고, 이는 그들의 활동 및 조직화 능력을 제한합니다. 많은 활동가들이 동원과 중요 정보 공유를 위해 안전한 디지털 공간에 의존하고 있습니다. 만약 그들의 활동이 감시된다면, 협박이나 억압에 직면할 수 있으며, 이는 그들이 수행하는 필수적인 활동을 방해할 수 있습니다. 더 넓은 맥락에서, 영장 없는 메타데이터 수집이 일상화되면 대규모 감시로 인해 자유로운 발언과 민주적 참여가 저해됩니다. 모든 통화, 메시지, 위치가 추적될 수 있다는 인식은 사람들로 하여금 자기검열을 하게 만들어, 개방적 담론을 제한하고 민주적 참여를 제약합니다.

메타데이터는 정치적, 경제적 목적으로 악용될 수 있습니다. 정부들은 메타데이터를 이용해 정치적 반대파를 추적하고, 반대 캠페인을 방해하며, 반대 의견을 억압해왔습니다. 일부 경우에는 메타데이터 분석이 시위 조직자들을 식별하는 데 악용되어, 당국이 사전에 활동가들을 구금하고 운동이 탄력을 받기 전에 해체할 수 있게 했습니다.

나아가 메타데이터를 수집할 수 있는 기업들은 상업적 목적으로 침해적인 프로파일링을 수행할 수 있으며, 이는 조작적 광고와 차별적 비즈니스 관행으로 이어집니다.

권위주의 체제에서 메타데이터 수집은 시민의 자유에 대한 광범위한 탄압을 용이하게 했습니다. 여러 국가들이 메타데이터 분석에 크게 의존하여 시민을 감시하고, 잠재적 위협을 식별하며, 인권 활동을 억압하는 광범위한 감시 프로그램을 실행해왔습니다. 통제되지 않은 메타데이터의 수집과 사용은 국가 권력이 합리적 한계를 넘어 확장되는 환경을 조성하여, 민주적 구조를 약화시키고 권위주의적 통제를 강화합니다.

메타데이터가 오용될 수 있는 잠재성은 정부에만 해당하지 않습니다. 사이버 범죄자들과 악의적 행위자들 또한 메타데이터를 가로채 개인을 추적하고, 신원을 도용하며, 표적 사이버 공격을 감행할 수 있습니다. 강력한 법적, 기술적 보호장치 없이는 메타데이터는 디지털 착취를 위한 취약한 진입점으로 남게 됩니다.

국제적으로, 법원과 인권 기구들은 메타데이터가 개인에 대한 방대한 개인정보를 드러낼 수 있는 고도의 민감 정보임을 인정해왔습니다. 유럽인권법원은 여러 사건에서 엄격한 사법적 감독 없는 메타데이터 수집이 유럽인권협약 제8조의 프라이버시권을 위반한다고 판결했습니다. 마찬가지로 캐나다 대법원은 IP 주소와 통신 기록과 같은 기본적인 가입자 정보조차도 합리적인 프라이버시 기대를 수반하며, 수집에 있어 사법적 승인이 필요하다고 강조했습니다.

법원의 판결을 넘어, 국제 인권 메커니즘을 통해 메타데이터 보호의 중요성이 지속적으로 인정되어 왔습니다. UN 표현의 자유에 관한 특별보고관은 이전 보고서에서 암호화와 익명성이 디지털 프라이버시를 보호하고 정보의 자유로운 흐름을 보장하는 필수적인 도구라고 강조했습니다. 특히 반대 의견이 억압되는 환경에서 이러한 중요성이 더욱 두드러집니다. 그는 암호화가 제한되어서는 안 되며 오히려 널리 장려되어야 하고, 메타데이터 수집집은 남용을 방지하기 위해 엄격히 규제되어야 한다고 주장했습니다.

메타데이터 수집을 효과적으로 규제하지 못하면 국가들이 국제법상 인권 의무를 위반할 위험에 처하게 됩니다. 정부가 필요한 보호장치 없이 무제한 감시를 수행하는 것은 시민적 및 정치적 권리에 관한 국제규약(ICCPR)과 지역 인권 협약 위반입니다. UN 인권위원회는 지속적으로 국가들에게 감독 장치 없는 과도한 데이터 수집이 민주주의 원칙을 훼손하고 사적 통신에 대한 자의적인 국가 통제로 이어진다고 경고해왔습니다.

더 나아가 유럽 데이터 보호 위원회와 미주인권법원과 같은 기관들은 메타데이터 수집 및 보관에 대해 엄격한 제한을 요구하며, 적합성과 비례성이 준수되어야 함을 강조했습니다. 이러한 국제적 법적 선례와 전문가 의견들은 메타데이터가 콘텐츠 데이터와 동일한 수준의 보호를 받아야 하며, 기본적 권리를 보호하기 위해 사법적 정밀 조사, 명확한 법적 제한, 그리고 책임성 메커니즘이 요구된다는 주장을 강화합니다.

우리가 전화를 사용하고, 메시지를 보내고, 인터넷을 탐색하거나 온라인 서비스를 사용할 때마다 메타데이터가 생성됩니다. 이메일의 실제 내용이나 전화 통화의 음성과 같은 통신의 실질적 내용인 콘텐츠 데이터와 달리, 메타데이터는 이러한 통신의 맥락을 설명합니다.

메타데이터에는 다음과 같은 정보가 포함됩니다: · 누구와 소통하는지 (통화 기록, 수신자 주소, 메시지 타임스탬프). · 현재 위치 (GPS 좌표, 셀 타워 연결, IP 주소). · 언제 그리고 얼마나 자주 소통하는지 (이메일 타임스탬프, 통화 시간, 온라인 활동 빈도). · 어떤 장치나 네트워크를 사용하는지 (휴대폰 모델, SIM 카드 세부 정보, 인터넷 서비스 제공자 정보).

이러한 유형의 데이터는 개인의 정보를 매우 많이 노출합니다. 단일 메타데이터 조각은 특별히 침해적으로 보이지 않을 수 있지만, 대량으로 분석될 경우 개인의 삶에 대한 놀랍도록 상세한 프로파일링이 가능합니다. 이는 통신 내용을 수집하는 것보다 더 침해적일 수 있습니다.

많은 정부와 기관들은 메타데이터가 직접적인 내용을 포함하지 않기 때문에 전화 통화를 감청하거나 이메일을 읽는 것과는 다르게 메타데이터 수집이 프라이버시권을 침해하지 않는다고 주장해왔습니다. 하지만 이러한 주장은 메타데이터의 힘을 과소평가하는 것입니다. 메타데이터 수집으로 다음과 같은 일이 가능합니다:

• 개인 및 직업적 네트워크 매핑: 메타데이터 수집으로 당국이 전체 사회적, 직업적 네트워크를 파악할 수 있습니다. 누가 누구에게 얼마나 자주, 언제 전화하는지를 분석함으로써 정보기관은 누가 함께 일하고 있는지, 누가 언론인의 정보원인지, 누가 활동가인지, 그리고 누가 국경을 넘어 소통하고 있는지를 파악할 수 있습니다.
• 이동과 행동 추적: 메타데이터가 위치와 타임스탬프를 기록하기 때문에, 개인의 이동을 매우 정확하게 추적할 수 있습니다. 메타데이터 수집을 통해 여러 국가에서 개인의 사적 메시지를 열람하지 않고도 활동가, 정치적 반체제인사, 그리고 언론인을 추적하는 데 사용되어 왔습니다.
• 미래 행동 예측: 기계학습과 빅데이터 분석을 통해 메타데이터는 미래 행동을 예측하는 데 사용될 수 있습니다. 온라인 검색, 전화 통화, 구매 패턴은 개인의 건강, 정치적 성향, 종교적 신념, 심지어 개인적 약점을 드러냅니다。

한국의 사례를 살펴보면, 가입자 정보 수집에 대한 사법적 보호장치 부재로 인해 메타데이터 수집집에 대한 우려가 심화되었음을 알 수 있습니다. 전기통신사업법에 따라 통신사업자들은 법원 영장 없이 법집행기관과 정보기관에 가입자 메타데이터를 제공해야 했습니다.

이러한 관행은 다음과 같은 결과를 초래했습니다:

1. 대규모 데이터 수집 – 2023년에만 한국의 3대 통신사에 대해 850,000건 이상의 가입자 정보 요청이 있었습니다.
2. 언론인 및 반체제인사 표적 감시 – 정부를 비판하는 언론인들에 대한 수사의 일환으로 3,000명 이상의 전화 사용자의 가입자 정보가 수집되었음이 밝혀졌습니다.
3. 투명성 및 책임성 부재 – 최근 개정 전까지, 개인들은 자신의 메타데이터가 제공되었을 때 이를 통보받지 못했으며, 이는 감시가 비밀리에 이루어지는 시스템을 만들었습니다.

한국 헌법재판소는 2022년 판결에서 영장 없는 메타데이터 수집의 위험성을 인정했으며, 사후 통지 제도의 부재가 헌법에 위반된다고 판단했습니다. 이에 대응하여 2023년 전기통신사업법이 개정되었고、국가안보 관련 일부 예외를 두고 30일 이내 사용자 통지 제도가 규정되었습니다. 이는 진전이지만, 수집 이전의 사법적 감독이라는 핵심 문제를 해결하지는 못합니다.

국제사회는 메타데이터 수집이 콘텐츠 데이터와 동일한 법적 보호를 받아야 한다는 점을 점점 더 인식하고 있습니다. 이를 보여주는 몇 가지 주요 판결과 프레임워크는 다음과 같습니다:

• 유럽인권법원(ECHR) – 여러 사건에서 ECHR은 충분한 보호장치 없는 대규모 메타데이터 수집이 유럽인권협약상 프라이버시권을 위반한다고 판결했습니다.
• 캐나다 대법원(R v. Spencer, 2014) – 법원은 가입자 정보가 사적이며 법집행기관이 영장 없이 수집 할 수 없다고 판결했습니다.
• UN 인권위원회(시민적 및 정치적 권리에 관한 국제규약 제17조에 대한 일반논평 No. 16) – 위원회는 메타데이터 수집을 포함한 프라이버시에 대한 모든 간섭이 필요하고, 비례적이며, 사법적 감독을 받아야 한다고 명시적으로 언급했습니다.

그러나 한국을 포함한 많은 관할권에서 메타데이터는 여전히 그 광범위한 결과에도 불구하고 하위 수준의 데이터로 취급됩니다. 통제되지 않은 메타데이터 수집집은 개인 프라이버시만을 위협하는 것이 아니라 자유로운 발언, 언론의 자유, 그리고 민주적 참여에 위축 효과를 미칩니다.

마지막으로 다음과 같은 영향을 미칩니다:

1. 언론인 및 내부고발자 침묵: 언론인이 자신의 통신이 메타데이터를 통해 추적될 수 있음을 알게 되면, 민감한 주제를 조사하거나 익명의 정보원에 접촉하기를 주저하게 됩니다. 이는 노출과 보복에 대한 두려움으로 비판적 보도를 저해하는 자기검열의 환경을 조성합니다.
2. 정치적 반대 위협: 활동가와 야권 인사들은 시위를 조직하고, 정책 변화를 요구하며, 국제기구와 소통하기 위해 안전한 통신 채널에 의존합니다. 메타데이터 수집집이 제한 없이 이루어질 때, 정부는 핵심 인물을 식별하고 표적으로 삼아 선제적으로 운동을 억압할 수 있습니다.
3. 대규모 감시의 정상화: 영장 없는 메타데이터 수집이 정상화되면, 이는 감시 문화를 정당화하는 선례를 만들어 프라이버시에 대한 법적 보호를 약화시킵니다.

이미 언급했듯이, 한국이 국제 인권 기준 부합를 위해 더 강력한 법적 안전장치를 구현해야 합니다. 몇 가지 제안은 다음과 같습니다:

1. 의무적 사법 심사: 필요성과 비례성을 보장하기 위해 메타데이서 수집에 있어서도 사법 심사를 도입해야 합니다. 남용을 방지하고 감시 조치가 정당화되도록 하는 사법 심사 절차가 필수적입니다. 법원은 메타데이터 수집이 엄격히 정당한 법 집행 목적에만 허용되도록 엄격한 검토를 수행할 권한을 가져야 합니다.
2. 투명성 강화: 정부는 데이터 제공 요청에 대해 명확한 공개 보고를 제공해야 하며, 정보주체에 늦지 않게 통보해야 합니다. 투명성 없이는 메타데이터 수집은 비밀리에 운영되어 시민과 국가 간의 신뢰를 약화시킵니다. 정부는 메타데이터 제공 요청의 수와 성격, 그 정당성 및 결과를 상세히 기재한 연간 보고서를 발간해야 합니다.
3. 입법 개혁: 전기통신사업법은 더 엄격한 데이터 수집 기준과 규정 위반에 대한 처벌 규정을 갖추도록 개정되어야 합니다. 개정안은 메타데이터 수집의 한계를 정의하고 위반에 대한 책임성 조치를 도입해야 합니다. 여기에는 메타데이터 제공공 요청에 대한 명시적 법적 임계값 도입, 데이터 수집이 정당화되는 범죄 유형 명시, 수집된 데이터가 엄격한 보유 제한 및 삭제 프로토콜의 적용을 받도록 보장하는 것이 포함됩니다.

이러한 포괄적 안전장치를 구현함으로써, 한국은 국제 인권 기준에 부합하는 개인정보 보호 프레임워크를 수립하고, 동시에 법 집행 기관이 투명하고 책임감 있는 방식으로 그들의 임무를 수행할 수 있도록 할 수 있습니다.

그 어느 때보다도 지금 행동해야 합니다.

영장 없는 메타데이터 수집과 통제되지 않은 감시는 우리의 프라이버시와 자유 사회의 근본적 요소에 심각한 위협이 됩니다. 바로 이런 이유로 저는 모든 이해관계자들—정부 관료, 입법자, 시민사회 단체, 국제 파트너들에게 다음과 같은 조치를 고려할 것을 간곡히 촉구합니다:

1. 의무적 사법 심사: 법 집행 기관이 어떤 형태의 메타데이터에 수집하기 전에 사전 영장을 획득하도록 요구하는 입법 개혁이 필요합니다. 이러한 사전 승인은 정당성과 비례성을 보장하는 엄격한 기준과 함께 이루어져야 합니다.
2. 투명성 및 책임성 강화: 개인에게 데이터 수집을 통보할 뿐만 아니라 포괄적인 공개 보고 및 독립적 감사를 제공하는 메커니즘을 구현하는 것을 의미합니다. 투명성은 남용을 방지하고 국가의 행동이 국내외 법적 기준에 부합함을 보장하는 데 필수적입니다.
3. 법적 보호장치 강화: 데이터 최소화 및 안전한 데이터 처리 기준과 같은 예방 조치를 포함하도록 전기통신사업법 및 관련 규정을 개정하고 재정의합니다. 이러한 보호장치는 감시 권력의 과도한 확장을 방지하고 데이터 오용 위험을 줄일 것입니다.
4. 국제 협력 촉진: 국제 인권 기구 및 다른 국가들과 적극적인 협의 통해 개인정보 보호 표준을 마련해야 합니다. 국가적 관행을 세계적으로 규범과 일치시킴으로써, 디지털 시대에 보안과 개인의 권리 사이의 균형에 대한 표준적 기준을 갖출 수 있습니다
5. 시민사회 역할 강화: 공개 인식 캠페인을 시작하고 시민들에게 프라이버시권과 이를 보호하기 위한 조치에 대해 알리는 교육 프로그램을 제공합니다. 효과적이고 지속가능한 개혁에는 역량있는 시민사회의 활동이 중요합니다

따라서 중요한 것은 행동입니다. 

메타데이터 수집이 통제 없이 이루어지면 우리의 프라이버시권을 침해할 뿐만 아니라 자기 검열과 억압이 만연한 환경을 조성합니다. 이러한 위험에 직면하여, 개인의 권리를 보호하고 민주주의적 가치를 지키겠다는 우리의 의지는 흔들림 없어야 합니다.

프라이버시권은 개인의 자율성과 민주적 통치의 기반입니다. 프라이버시가 없다면, 표현의 자유는 위협받고, 정치적 반대발언은 억압되며, 제도에 대한 공공의 신뢰는 약화됩니다. 대규모 감시의 확대는 민주 사회의 본질을 위협하며, 개인들이 더 이상 자유롭게 소통하고, 집회하고, 스스로를 표현할 수 없다고 느끼는 환경을 만들어냅니다. 시급하게 행동해야 합니다.

프라이버시권의 미래는 오늘 우리가 내리는 결정에 달려 있습니다. 이러한 결정들이 민주주의, 인간의 존엄성, 그리고 법치주의에 대한 우리의 헌신을 반영하도록 해야 합니다. 중요한 질문은 프라이버시를 보호해야 하는가가 아니라, 얼마나 신속하고 효과적으로 그것을 보존할 수 있는가입니다.