국제인권법상의 통신감시원칙
**이것은 협의체의 공식번역은 아니고 오픈넷 박경신 이사의 번역입니다.
2013년7월13일
기술이 국가의 통신감시를 발전시키면서, 국가는 통신감시 관련 법령들이 국제인권을 준수하는지 그리고 사생활의 비밀과 표현의 자유를 충분히 보호하는지 보장하지 못하고 있다. 이 문서는 특히 최근의 통신감시기술 및 기법의 증대와 변화에 비추어, 국제인권법이 현재의 디지털환경에 어떻게 적용되는지를 해설하고자 한다. 이 원칙들은 시민사회단체, 기업, 국가 등에게 현행 감시법령과 관행이나 앞으로 제안될 법령 및 관행이 인권에 부합하는지 평가할 수 있는 틀을 제공한다.
이 원칙들은 시민사회단체들, 기업들 그리고 통신감시법령, 정책, 기술 전문가들의 전세계적 협의의 결과물이다.
전문
사생활의 비밀은 근본적인 인권이며 민주사회의 유지에 중추적이다. 인간의 존엄성에 필수적이며 표현의 자유, 정보의 자유, 결사의 자유와 같은 권리들을 강화하며 국제인권법 상에서 인정받고 있다. [1] 통신감시처럼 사생활의 비밀을 제한하는 활동들은 법률에 의해 규정되고 정당한 목적을 수행함에 필수적이고 그 목적에 비례성이 있을 때만 정당화된다. [2]
대중이 인터넷을 수용하기 전에는, 확고한 법원칙과 통신감시활동에 내재하는 실행상의 부담은 국가에 의한 통신감시에 대해 한계로 작용했다. 최근 수십년 동안 감시에 대한 실행상의 장애는 축소되어왔고 새로운 기술적 맥락에서의 법원칙의 적용은 불명확해졌다. 디지털통신의 내용과 통신에 대한 정보(“통신사실정보(communication metadata)” 즉 개인의 통신 또는 통신기기의 이용에 대한 정보)의 폭증, 대량 데이터셋 저장 및 탐색 비용의 하락, 제3자를 통한 개별통신내용의 제공은 전대미문 규모의 국가감시를 가능하게 하였다. [3] 한편 기존의 인권법 개념들은 현대의 변화하는 국가통신감시능력이나 서로 다른 감시기법에서 얻은 정보를 통합하고 조직하는 국가의 능력 또는 접근가능한 정보들의 고도화되는 민감성에 부응하지 못하였다.
국가가 통신내용과 통신사실정보에 접근을 시도하는 빈도는 충분한 감독이 이루어지지 않는 상태에서 급격하게 늘고 있다. [4] 통신사실정보도 우선 취득되고 분석되면 건강상태, 정치적 종교적 관점, 유대관계, 대인관계와 관심사를 포함하여, 통신내용에서 인지될 수 있는 정도 또는 그 이상으로 자세하게 개인의 삶에 대한 프로파일을 구성할 수 있다. [5] 개인의 삶에 대한 침투의 가능성과 정치적 또는 기타 유대관계에 대한 위축효과에도 불구하고, 법률 및 정책문헌들은 통신사실정보를 더 낮게 보호하며 통신사실정보가 국가기관들에 의해 어떻게 추후이용되는가 즉 데이터마이닝되고 공유되고 저장되는가에 대해 충분한 제한을 하고 있지 못하다.
국가가 통신감시와 관련된 국제인권상의 의무를 준수하기 위해서는 아래 명기된 원칙을 준수해야 한다. 이 원칙은 국내 또는 국외에서 행해지는 감시에 모두 적용된다. 이 원칙들은 감시의 목적이 사법, 국가안보 또는 다른 규제목적이라고 할지라도 적용된다. 이 원칙들은 국가가 개인의 권리를 존중하고 충족할 의무 그리고 국가가 기업체들을 포함한 비국가기구들의 비행으로부터 개인을 보호할 의무에도 적용된다. [6] 민간부문도 인권을 존중할 똑 같은 의무를 지며, 특히 기술을 설계, 개발, 전파하고, 통신을 가능하게 하고 제공하며, 또 강제될 때는 국가감시활동에 협조해야 하는 등의 핵심역할을 고려하면 더욱 그러하다. 그러나, 이번 원칙의 적용범위는 국가의 의무에 한정되어 있다.
변화하는 기술과 정의
“통신감시”는 현대환경에서 개인의 과거, 현재, 미래의 통신을 포함 또는 반영하는 또는 그 통신으로부터 발생한 또는 그 통신에 대한 정보를 감시, 중간취득(interception), 수집, 분석, 사용, 보존, 저장, 방해, 접근하는 것을 말한다. “통신”은 전자매체를 통해 매개되는 활동, 상호작용 또는 거래를 포함하며, 통신내용, 통신자의 신원, 위치추적정보(IP주소 포함), 통신의 시점과 시간, 통신기기의 식별정보를 포함한다.
전통적으로 통신감시의 침투성은 인위적이고 형식적인 구분에 기초하여 평가되어 왔다. 현행 법령체제는 “내용”과 “비내용”, “이용자정보”와 “통신사실정보”, 저장된 정보와 전송중인 정보, 자신이 집에 보관한 정보와 제3자가 점유한 정보를 구분한다. [7] 그러나, 이 개념의 구별들은 통신감시가 개인의 사생활과 유대관계에 가하는 침투의 정도를 측정하기에 더 이상 적합하지 않다. 통신내용은 민감한 정보를 유출할 수 있기 때문에 법적으로 현저한 보호를 받을 자격이 있다는 오랜 합의에도 불구하고, 통신에서 발생하는 다른 정보들 – 통신사실정보 및 다른 비내용정보 – 도 통신내용 보다 더 많이 개인을 노출시킬 수도 있어 동등한 보호를 받아야 한다는 것이 이제 명백해졌다. 오늘날 이 모든 정보유형은 홀로 또는 동시에 분석될 때 개인의 신원, 행태, 유대, 신체적 의료적 상태, 인종, 피부색, 성적 취향, 원국적, 관점을 노출할 수 있고, 개인의 위치, 이동 및 대인활동의 통시적 매핑(mapping) 뿐 아니라 [8] 공공집회나 다른 정치행사와 같이 특정장소에 모인 모든 사람들에 대한 매핑을 가능하게 한다. 결과적으로 개인의 통신을 포함 또는 반영하는 또는 그 통신으로부터 발생한 또는 그 통신에 대한 모든 정보로서 공중에게 용이하게 제공되지 않고 쉽게 접근가능하지 않은 정보들은 모두 “보호정보”로 간주되어야 하며 법이 정하는 최고의 보호를 받아야 한다.
국가통신감시의 침투성을 평가할 때, 보호정보를 취득할 가능성과 국가가 그 정보를 요구하는 목적을 모두 감안해야 한다. 통신감시는, 피감시자를 사법수사, 차별 또는 인권침해의 위험에 놓이게 할 수 있는 보호정보를 취득할 가능성이 높은 경우, 개인의 사생활의 비밀에 대한 권리에 대한 심대한 침해를 구성하며 표현의 자유, 결사의 자유, 참정권 등의 다른 근본적인 권리들의 향유를 방해한다. 이 권리들은 사람들이 정부감시의 위축효과로부터 자유롭게 상호소통할 것을 요구하기 때문이다. 그러므로 개별상황에서 정보의 성격과 잠재적 이용가능성에 대한 인식이 필요하다.
새로운 통신감시기법을 채택하거나 기존 기법의 범위를 확대할 때, 국가는 이를 통해 취득될 정보가 “보호정보”의 범위에 포함되는가를 사전에 판단하여 사법부나 다른 민주적 통제수단의 감독을 받아야 한다. 통신감시를 통해 취득되는 정보가 “보호정보”인지를 판단할 때, 감시의 형식, 범위 및 지속기간도 고려대상이다. 항시적이고 체계적인 감시는 그 편린이 노출하는 사적인 정보 이상의 정보를 노출하기 대문에, 비보호정보의 감시라고 할지라도 강력한 보호를 요구할 정도로 침투성을 증폭시킨다.[9]
국가는 다음의 원칙에 부합할 때만 보호정보와 관련된 통신감시를 할 수 있다.
원칙
합법성: 사생활의 비밀에 대한 제한은 법률로 규정되어야 한다. 국가는 기존에 널리 공유되어 개인들이 그 적용을 예측할 수 있을 정도로 충분히 명확하고 정확한 법률이 없는 상태에서는 사생활의 비밀을 저해하는 조치를 채택하거나 취할 수 없다. 기술변화의 속도에 비추어, 사생활의 비밀을 제한하는 법은 참여적인 입법적 또는 행정적 절차를 통해 주기적으로 재평가되어야 한다.
목적의 정당성: 법률은, 민주사회에서 필수불가결한, 압도적으로 중대한 법익에 해당하는 정당한 목적을 위한 통신감시 만을 특정된 국가기관에게 허용해야 한다. 어떠한 조치도 인종, 피부색, 성별, 언어, 종교, 정치관등의 견해, 원국적 또는 사회적 연원, 재산, 출생, 및 기타 지위에 따라 차별적으로 적용되서는 아니된다.
필요성: 국가통신감시를 허용하는 법은, 정당한 목적을 성취하기에 엄격하고 입증가능하게 필수불가결한 정도로 감시를 제한해야 한다. 통신감시는 정당한 목적을 성취할 유일한 방법일 경우에만 또는 여러 방법이 있다면 인권을 가장 덜 침해하는 방법일 경우에만 집행되어야 한다. 감시의 필요성을 사법적 또는 입법적 과정에서 입증할 책임은 국가가 진다.
적정성: 법이 허용하는 모든 통신감시행위는 명시된 구체적인 정당한 목적을 충족하기에 적절해야 한다.
비례성: 통신감시는 사생활의 비밀, 견해의 자유, 표현의 자유를 방해하는 고도의 침투적인 행위로서 민주사회의 근간을 위협하는 행위로 간주되어야 한다. 통신감시에 대한 결정은 이를 통해 얻는 혜택을 개인의 권리나 다른 경합하는 이익에 가해지는 해악과 견주어서 내려져야 하며 해당정보의 민감성과 사생활의 비밀 침해의 심각성을 고려해야 한다.
구체적으로, 국가가 범죄수사의 맥락에서의 통신감시를 통해 정보를 취득 및 이용할 때는 권능있고 독립적이며 중립적인 사법기구 앞에서 다음을 입증해야 한다.
1. 중대한 범죄가 저질러졌거나 저질러질 개연성이 높다
2. 그러한 범죄의 증거가 보호정보에 접근함으로써 취득될 수 있다
3. 덜 침투적인 다른 기법들은 소진되었다
4. 접근되는 정보는 거론된 범죄에 합리적으로 연관된 범위 내로 한정될 것이며 이를 초과하는 정보는 즉시 폐기되거나 반환될 것이다
5. 정보는 특정기구에 의해서만 접근될 것이며 허락받는 용도로만 이용될 것이다
국가가 개인에 대해 범죄기소, 범죄수사, 차별 또는 인권침해의 위험을 수반하지 않는 목표로 이루어진 통신감시를 통해 보호정보를 취득할 때는 국가는 독립적이고 중립적이며 권능있는 기구 앞에서 다음을 입증해야 한다.
1. 덜 침투적인 다른 기법들은 소진되었다
2. 접근되는 정보는 거론된 범죄에 합리적으로 연관된 범위 내로 한정될 것이며 이를 초과하는 정보는 즉시 폐기되거나 해당 개인에게 반환될 것이다
3. 정보는 특정기구에 의해서만 접근될 것이며 허락받는 용도로만 이용될 것이다
권능있는 사법기구: 통신감시에 대한 결정은 중립적이고 독립적인 권능있는 사법기구에 의해 내려져야 한다. 이 기구는 다음과 같아야 한다.
1. 통신감시를 수행하는 기구로부터 분리되어 있어야 한다
2. 통신감시의 합법성, 이용된 기술, 인권에 대한 논점들에 숙련되어 있어야 하며 이에 대해 사법적 판단을 내릴 능력이 있어야 한다
3. 자신에게 주어진 기능을 수행할 충분한 자원이 있어야 한다
적법절차: 적법절차는, 국가가 인권침해를 제어하는 법적 절차가 법에 적절히 열거되고 일관되게 집행되고 공중에게 열려있도록 보장함으로써 개인의 인권을 존중하고 보장할 것을 요구한다. 구체적으로 인권에 대한 결정에 있어 각 개인은 법에 명시된 독립적이고, 권능있고 중립적인 판정부에 의해 합리적인 시간 내에 공정하고 공개된 청문을 받을 권리가 있다. 인명에 대한 즉각적인 위험이 있는 긴급상황에만 예외이나, 합리적으로 가능한 시간 내에 소급적 허가를 구해야 한다. 어떠한 경우에도 도망의 위험이나 증거의 인멸은 그러한 소급허가를 정당화하기에 충분하지 않다.
이용자통지: 개인들에게는 통신감시를 허용하는 결정에 대해 항소할 시간이 충분하도록 사전에 통지가 이루어져야 하며 그러한 허가를 위해 제출된 근거자료들이 제공되어야 한다. 통지의 유예는 다음의 경우에만 허용된다.
1. 통지가 감시가 허락된 목적의 수행을 위험에 빠뜨리거나 인명에 즉각적인 위험이 있거나
2. 통지유예허가가 감시허가가 주어질 때 권능있는 사법기구에 의해 주어진 경우로서
3. 그러한 위험이 소멸된 시점 또는 합리적으로 가능한 시점 중에 더 빠른 시점으로서 아무리 늦어도 통신감시가 완료되기 전까지는 해당 개인에게 통지가 이루어져야 한다. 통지를 할 의무는 국가에게 있으며 국가가 통지를 하지 않을 경우, 통신서비스제공자는 통신감시사실을 자발적으로 또는 요청이 있을 경우 그 개인에게 통지할 자유가 있어야 한다.
투명성: 국가는 통신감시의 기법과 권한의 이용과 범위에 대해 투명해야 한다. 국가는 최소한 감시허가와 허가신청기각의 총 횟수와 통신서비스제공자별 그리고 신청기관 및 신청목적별 분류된 통계를 제공해야 한다. 국가는 개인들이 통신감시를 허용하는 법의 범위, 성질 그리고 집행을 완전히 체득하기에 충분한 정보를 제공해야 한다. 국가는 통신서비스제공자가 국가통신감시에 연루될 대 따르는 절차를 공표하도록 하고 그 절차를 준수하도록 하며 국가통신감시의 통계를 공표하도록 한다.
공공감독: 구가는 독립적인 감독체계를 확립하여 통신감시의 투명성과 책임성을 보장해야 한다. [11] 감독체계에는 국가행위에 대해 모든 잠재적으로 관련있는 정보들에 접근할 권한이 있어야 하며 적절할 경우 비밀정보 또는 기밀처리된 정보에 접근할 권한도 있어야 하며, 국가가 법적 권능을 정당하게 이용하고 있는지 평가할 권한, 국가가 투명하고 정확하게 통신감시기법과 권한의 이용 및 범위에 대해 정보의 공표를 하고 있는지 평가할 권한, 통신감시와 관련된 주기적 보고와 기타 정보를 공표할 권한이 있어야 한다. 독립적인 감독체계는 정부3부 중의 다른 부에 이미 설립된 감독체계에 부가적으로 설립되어야 한다.
통신체계의 완결성: 통신체계의 완결성, 보안성 및 비밀성을 보장하기 위해서는 그리고 국가목적을 위한 보안성의 훼손은 일반적인 보안성도 훼손된다는 사실을 인정하여, 국가는 서비스제공자들이나 하드웨어 및 소프트웨어제공자들이 자신들의 체계에 감시기능을 장착하거나 순전히 국가감시목적으로 특정한 정보를 수집하고 보관하도록 강제해서는 아니된다. 사전적인 데이터보관 도는 수집의무는 어느 경우에도 서비스제공자에게 부과되서는 아니된다. 개인들은 자신을 익명으로 표현할 권리가 있다. 국가는 서비스제공의 조건으로서 이용자의 신원확인을 강제해서는 아니된다. [12]
국제협력을 위한 보호조치: 정보의 흐름 그리고 통신기술 및 서비스에 대한 변화에 대응하여, 국가는 외국의 서비스제공자로부터의 협조를 필요로 할 수 있다. 이에 따라 상호사법공조협약(Mutual Legal Assistance Treaties, MLATs)이나 다른 국가간 협정들은 통신감시에 하나 이상의 국가의 법이 적용될 경우 더욱 높은 수준으로 개인을 보호하는 법이 적용되도록 보장하여야 한다. 국가가 사법수사의 목적으로 협조를 구할 경우, 이중범죄의 원리가 적용되어야 한다. 국가는 사법공조절차나 외국 보호정보 제공요청을, 통신감시에 대한 국내법적 제한을 우회하는 데에 이용해서는 아니된다. 사법공조절차나 다른 협정은 명시적으로 문서화되고 공중에게 공개되어야 하고 절차적 공정성이 보장되어야 한다.
불법취득에 대한 보호조치: 국가는 공공 또는 민간에 의한 통신감시를 불법화하는 법을 제공해야 한다. 이 법은 충분하고 현저한 민형사상 제재를 포함해야 하며 내부고발자에 대한 보호와 피해자의 손해보전절차를 두어야 한다. 법은 이 원칙에 반하여 취득된 정보는 어떠한 절차에서도 증거가 될 수 없으며 이로부터 파생된 정보도 마찬가지임을 규정해야 한다. 국가는 통신감시를 통해 취득된 자료가 정보취득의 목적으로 이용된 후에는 폐기되거나 해당 개인에게 반환되도록 법을 제정해야 한다.
*현재 전세계 250여개 단체가 이 원칙을 승인하였음. 원칙의 영문판과 단체목록은 여기.
[1] Universal Declaration of Human Rights Article 12, United Nations Convention on Migrant Workers Article 14, UN Convention of the Protection of the Child Article 16, International Covenant on Civil and Political Rights, International Covenant on Civil and Political Rights Article 17; regional conventions including Article 10 of the African Charter on the Rights and Welfare of the Child, Article 11 of the American Convention on Human Rights, Article 4 of the African Union Principles on Freedom of Expression, Article 5 of the American Declaration of the Rights and Duties of Man, Article 21 of the Arab Charter on Human Rights, and Article 8 of the European Convention for the Protection of Human Rights and Fundamental Freedoms; Johannesburg Principles on National Security, Free Expression and Access to Information, Camden Principles on Freedom of Expression and Equality.
[2] Universal Declaration of Human Rights Article 29; General Comment No. 27, Adopted by The Human Rights Committee Under Article 40, Paragraph 4, Of The International Covenant On Civil And Political Rights, CCPR/C/21/Rev.1/Add.9, November 2, 1999; see also Martin Scheinin, “Report of the Special Rapporteur on the promotion and protection of human rights and fundamental freedoms while countering terrorism,” 2009, A/HRC/17/34.
[3] Communications metadata may include information about our identities (subscriber information, device information), interactions (origins and destinations of communications, especially those showing websites visited, books and other materials read, people interacted with, friends, family, acquaintances, searches conducted, resources used), and location (places and times, proximities to others); in sum, metadata provides a window into nearly every action in modern life, our mental states, interests, intentions, and our innermost thoughts.
[4] For example, in the United Kingdom alone, there are now approximately 500,000 requests for communications metadata every year, currently under a self-authorising regime for law enforcement agencies who are able to authorise their own requests for access to information held by service providers. Meanwhile, data provided by Google’s Transparency reports shows that requests for user data from the U.S. alone rose from 8888 in 2010 to 12,271 in 2011. In Korea, there were about 6 million subscriber/poster information requests every year and about 30 million requests for other forms of communications metadata every year in 2011-2012, almost of all of which were granted and executed. 2012 data available at http://www.kcc.go.kr/user.do?mode=view&page=A02060400&dc=K02060400&boardId=1030&cp=1&boardSeq=35586
[5] See as examples, a review of Sandy Petland’s work, ‘Reality Mining’, in MIT’s Technology Review, 2008, available at http://www2.technologyreview.com/article/409598/tr10-reality-mining/ and also see Alberto Escudero-Pascual and Gus Hosein, ‘Questioning lawful access to traffic data’, Communications of the ACM, Volume 47 Issue 3, March 2004, pages 77 – 82.
[6] Report of the UN Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, Frank La Rue, May 16 2011, available at http://www2.ohchr.org/english/bodies/hrcouncil/docs/17session/a.hrc.17.27_en.pdf
[7] “People disclose the phone numbers that they dial or text to their cellular providers, the URLS that they visit and the e-mail addresses with which they correspond to their Internet service providers, and the books, groceries and medications they purchase to online retailers . . . I would not assume that all information voluntarily disclosed to some member of the public for a limited purpose is, for that reason alone, disentitled to Fourth Amendment protection.” United States v. Jones, 565 U.S. ___, 132 S. Ct. 945, 957 (2012) (Sotomayor, J., concurring).
[8] “Short-term monitoring of a person’s movements on public streets accords with expectations of privacy” but “the use of longer term GPS monitoring in investigations of most offenses impinges on expectations of privacy.” United States v. Jones, 565 U.S., 132 S. Ct. 945, 964 (2012) (Alito, J. concurring).
[9] “Prolonged surveillance reveals types of information not revealed by short-term surveillance, such as what a person does repeatedly, what he does not do, and what he does ensemble. These types of information can each reveal more about a person than does any individual trip viewed in isolation. Repeated visits to a church, a gym, a bar, or a bookie tell a story not told by any single visit, as does one’s not visiting any of these places over the course of a month. The sequence of a person’s movements can reveal still more; a single trip to a gynecologist’s office tells little about a woman, but that trip followed a few weeks later by a visit to a baby supply store tells a different story.* A person who knows all of another’s travels can deduce whether he is a weekly church goer, a heavy drinker, a regular at the gym, an unfaithful husband, an outpatient receiving medical treatment, an associate of particular individuals or political groups – and not just one such fact about a person, but all such facts.” U.S. v. Maynard, 615 F.3d 544 (U.S., D.C. Circ., C.A.)p. 562; U.S. v. Jones, 565 U.S. __, (2012), Alito, J., concurring. “Moreover, public information can fall within the scope of private life where it is systematically collected and stored in files held by the authorities. That is all the truer where such information concerns a person’s distant past…In the Court’s opinion, such information, when systematically collected and stored in a file held by agents of the State, falls within the scope of ‘private life’ for the purposes of Article 8(1) of the Convention.” (Rotaru v. Romania, [2000] ECHR 28341/95, paras. 43-44.
[10] The term “due process” can be used interchangeably with “procedural fairness” and “natural justice”, and is well articulated in the European Convention for Human Rights Article 6(1) and Article 8 of the American Convention on Human Rights.
[11] The UK Interception of Communications Commissioner is an example of such an independent oversight mechanism. The ICO publishes a report that includes some aggregate data but it does not provide sufficient data to scrutinise the types of requests, the extent of each access request, the purpose of the requests, and the scrutiny applied to them. See http://www.iocco-uk.info/sections.asp?sectionID=2&type=top
[12] Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, Frank La Rue, 16 May 2011, A/HRC/17/27, para 84.