[팩플] 코로나 시대, 개인정보는 안녕하십니까?

팩플레터 10호, 2020. 08. 25 

안녕하세요, 구독자님. 미래를 검증하는 팩플레터입니다. 안전하게 잘 지내고 계신가요?
오늘 레터에선 ‘코로나19 시대의 감시기술과 공권력’ 문제를 살펴보려 합니다. 여러분은 ‘방역을 위해 지난 주말 동선을 정부에 제출하라, 혹은 공개하라’는 요구를 받는다면 어떻게 하시겠어요? 방역과 프라이버시, 내 일이 되면 답하기 쉽지 않습니다.

지난 8월 15일 서울 광화문 집회 이후, 보건당국과 경찰은 집회장소 인근의 통신사 기지국 접속 정보를 통신사로부터 제출 받았습니다. 행사 전부터 코로나19 확산 우려가 있던만큼 확진자와 감염병 의심자를 확인하기 위해서라고 합니다. 앞서 5월 이태원 클럽발 확진 때도 같은 방식으로 이태원 방문자 1만명의 기지국 접속 정보(이름, 주소, 위치정보 포함)를 공권력은 확보했습니다. 통신사엔 그런 정보를 수집할 기술이 있고, 특정 지역 방문자들은 감염병 의심 대상자로 분류된 거죠. 개인들에게 정보제공 동의를 구하는 절차는 없었습니다.

그런데 일부 단체*가 이 문제로 헌법소원 심판을 청구했습니다. 보건복지부와 서울시 등 방역 당국이 특정기간 이태원 방문자의 통신 기지국 접속정보를 수집ㆍ처리한 행위가 헌법이 보장한 권리(사생활 및 통신의 비밀과 자유 등)를 침해했는지 판단해달라는 겁니다. 청구인들은 현행 법엔 개인의 통신 기지국 접속정보를 방역 당국이 처리할 근거가 없다고 맞섭니다.
*민주사회를 위한 변호사모임 디지털정보위원회, 사단법인 오픈넷, 사단법인 정보인권연구소, 진보네트워크센터, 참여연대

여러분 생각은 어떠신가요. 공권력이 정보기술을 활용해 개인정보를 폭넓게 수집하고 활용하는 방식, 우리의 뉴노멀이 돼도 괜찮을까요? 거스를 수 없는 흐름이라면, 우린 지금 뭘 챙겨야할까요?

1. 시민단체 : 공권력의 개인 감시 안 돼
민변, 참여연대, 오픈넷 등. 특정 기간 해당 장소를 방문했단 이유로 감염병 의심 대상으로 볼 법적 근거가 없다고 주장. 공권력의 과도한 개인 감시와 추적에 브레이크 걸려 함.
2. 박능후 : 국가 위기 극복이 최우선
보건복지부 장관이자 중앙재난안전대책본부장. 코로나19 방역을 위한 위치정보 수집은 불가피한 데다, 법적 근거(감염병예방관리법 34조의2, 76조의2)도 있다는 입장. 수집한 정보는 역학조사에만 쓰고 폐기하겠다고.
3. 통신3사 : 딱히 협조 안 할 이유라도?
SKT, KT, LGU+. 정부가 요청한 기지국 접속 정보를 신속하게 제공함. 감염병예방법에 따른 것이니 부담은 없다. 정부에 협조하고, 통신 기술의 역할도 보여줄 기회인 셈.
4. 윤종인 : 정보 보호와 정보 활용?난 둘 다!
8월초 출범한 개인정보보호위원회 위원장(장관급). 정부 개인정보 컨트롤타워의 수장으로, 개인정보 침해 시엔 조사・처분할 권한이 있다. 한편으론 정부가 ‘한국형 뉴딜’에서 강조한 데이터산업화를 위해, 정보 활용도 신경써야 한다.

1. 이게 왜 중요해
2. K방역, 뭘 시험하나  
3. 코로나 프라이버시 : 세가지 변수
  ① 기업이 가진 데이터  
  ② 방역으로 뭉친 기업・정부  
  ③ 정부의 선의, 믿어도 되나
4. 해외에선 어때
5. 한국은 브레이크 있나
6. 데이터 거버넌스, 앞으로는 

코로나19로, 대부분은 동의하게 됐다. 방역을 위해서라면 공권력이 개인의 위치・통신 데이터를 어느 정도는 수집・추적해도 된다고 말이다. 문제는 이게 반복되며 ‘뉴 노멀’이 될 수 있다는 것. 코로나19가 완전히 종식하지 않은 ‘위드(with) 코로나’ 시대인데, 공권력은 계속 개인정보를 쓴다는 걸까? 내 데이터를 쥔 기업과 그걸 제공받는 정부에게, 개인은 최소한 무엇을 요구해야 할까.
● 헌법소원을 낸 단체들은 정부가  팬데믹 관련해 시민의 정보를 수집・활용하는 과정이 ‘투명’해야 하고,  ‘새로운 규칙’도 마련해야 한다고 주장한다. 정부・기업의 선의에만 기댈 순 없다는 것. (보도자료) 신혜경 서울대 미학과 교수는 "예외적인 사태에 우리가 ‘자발적으로’ 내어준 자유와 권리는 그러한 비상한 순간이 지나간 이후에도 쉽사리 우리에게 되돌아오지 않으며, 평범한 일상이 되어 우리를 옭아맬 수 있다"고 했다.(한국연구재단).
● 디지털 감시는 더 강화될 수 있다. 글렌 코헨 하버드대 보건법정책 교수는 "경제 회복과 거리두기 완화를 위해서는 디지털 모니터링 강화가 필수”라며 “(여론은) 프라이버시를 다소 포기하더라도 경제 정상화를 원할 수 있다"고 했다.(조지타운대)
● 국내 여론도 ‘개인정보보호 보다는 방역’ 쪽이다.  8・15 광화문 집회 이후 감염자가 급증하자, 여론은 더 기울었다. 보건 당국과 경찰이 집회참석자 파악을 위해 기지국 접속정보를 통신3사에게 제출받았는데, 개인정보 보호 차원의 비판이나 우려는 거의 없었다.

K방역의 한 축은 ‘디지털 방역’이다. 한국은 2015년 메르스(중동호흡기증후군) 이후 법적 근거가 마련됐다. 확진자와 감염 의심자의 이동경로와 접촉자를 감시・추적할 수 있고(감염병예방법 76조), ‘공공 안전’을 위해 긴급히 일시적으로 처리되는 개인정보는 각종 보호에서 제외된다(개인정보보호법 58조). 그럼에도 따져봐야할 것들은.

① 광범위한 위치 추적의 일상화
이동통신 3사는 지난 5월 이태원에 이어 이번 광복절집회 직후에도 경찰·방역당국의 요청에 따라, 주변 기지국 접속자의 이름, 휴대전화번호, 주소 정보를 넘겼다. 클럽에 들어가거나 집회에 참석하지 않았어도 휴대폰을 지닌 채 근처에 30분 이상 머물렀다면 정보 제공 대상이다.
● 디지털 방역엔 민간 기업의 기술이 활용됐다. 출입기록용 QR코드, 열감지 화상카메라 등을 만든 기업들은 코로나19 특수를 누렸다. 이들에 대한 방역 의존도는 앞으로도 높을 전망.
● 강여정 정보인권연구소 이사는 "공공부문에 민간 시스템이 많이 들어갔다"며 "주민등록번호같은 정밀한 개인정보 추적은 (민간이 아닌 사회가) 제어해야 한다"고 했다.

②  디지털 감시체계
한국의 디지털 방역은 촘촘하다. ▶QR코드 ▶통신정보 ▶신용카드 사용내역 ▶전자팔찌 ▶유동인구 분석▶위치추적 앱  등을 활용해 역학조사를 지원한다.
● 래리 다이이아몬드 스탠포드대 사회정치학 교수는 "한국과 대만은 민주주의 체제에서 확진자를 신속하게 격리하고 추적했다"면서도 "이런 장치가 반대세력을 감시하고 인권을 침해하는 수단이 될 수 있다"고 했다(8월 16일 동아시아연구원 세미나).
● 한병철 베를린예술대 교수는 "아시아 사회에는 정부의 코로나19 디지털 감시에 대한 비판적 인식이 없다"고 했다(2020년 3월 독일 벨트지 기고).

방역이 국력인 시대다. 김재형 서울대 아시아연구소 선임연구원은 "경제지표 뿐 아니라, 확진자나 사망자 수, 검사자・회복자 수 등 코로나19 지표가 각국을 평가하는 기준이 됐다"고 말했다. 각 정부가 방역을 위해 기술기업과 손 잡는 배경이다. 그러나 공짜는 없다.

①  기업이 가진 데이터
● CSIS(국제전략문제연구소)는 "코로나19를 계기로 기업의 개인정보 활용이 드러났다"며 "상업용으로 수집한 데이터의 양을 보면, 이미 전통적 프라이버시 개념을 넘어선 ‘포스트-프라이버시’ 시대가 됐다"고 진단했다.
● 국내에서 구글과 페이스북 가입시 사용자의 일괄 동의로  위치・검색 등 50개 이상 정보가 업체에 넘어간다. 이들은 내가 언제 뭘 구매하고, 클릭하고-읽고-게시하는지, 언제 잠자고 어딜 방문하고 누구와 연락하는지를 분석한다. 나의 정치 성향도 예측할 수 있다.

② 방역으로 뭉친 기업・정부
● 구글과 애플은 미국 정부와 협력해 블루투스 기반 역학감시 기술(BLE)을 개발했다. 앱 사용자가 동의하면, 주위 사람들의 정보가 익명 처리돼  정부 데이터베이스로 전송된다. 다수 국가에서 이 기술을 활용한다.
● 페이스북은 보건·연구용 질병예방 지도를제작했고, 마이크로소프트도 병원들과 보건 의료데이터를 수집한다.
● 중국 정부와 기업은 더 가깝다. 알라바바・ 텐센트는 개인 진료기록과 통신위치, 결제정보가 담긴 QR코드(건강코드)를 제작했고, 정부는 이를 활용했다. 센스타임・ 메그비  등 인공지능 기업도 정부에 얼굴인식 기술을 제공했다.

③ 정부의 선의, 믿어도 되나
판데믹 때 수집한 개인정보는 ‘보건 목적으로, 한시적으로만’ 이용하는 것이 원칙이다. 그러나 공권력이 이를 다른 곳에도 쓸 지 모른다는 우려가 나온다. 알리페이가 건강 앱 데이터를 중국 경찰과 공유하고, 미국 다코타 보건부가 방역 앱 정보를 포스퀘어・구글에 공유해 논란이 된 것처럼.
● 정부는 당초 약속과 달리, 2015년 메르스 사태 때 수집한 환자 개인정보를 폐기하지 않기로 했다. 권준욱 중앙방역대책본부 부본부장은 지난 6월 “혹시나 발생할 수 있는 합병증을 대비하려 환자 정보를 영구히 보유한다”고 했다. 정부가  "종식 시점에 폐기한다"는 코로나 관련 개인정보도, 모를 일이다.
● 선택적 아웃팅(강제 노출) 논란도 있다. 서울 은평구청은 확진자 동선 공개에 '주옥순(엄마부대 대표) 접촉'이라고 실명을 적었다. 평소엔 ‘확진자 접촉’이라고만 썼다.
● SK텔레콤은 실시간 유동인구를 5분 단위로 파악하는 지오비전의 데이터를 올해 3월부터 경북경찰청에 제공한다. ‘사회적 거리두기’를 보겠다는 건데, 집회 감시에 악용될 수 있다는 우려도 있다. 경찰청은 빅데이터와 AI도 치안에 활용할 계획. 김연수 동국대 융합보안학과 교수는 "시민 정보를 활용하는 경찰의 예측 AI 알고리즘은 공개돼야 하고, 사회적 합의도 거쳐야 한다”고 했다.
● 미국 브루킹스 연구소는 "정부와 기업이 시민의 정보를 주고받는 것이 다른 분야로 옮겨갈 수 있고, 권위주의 정부에 악용될 수 있다"고 경고한다.

① 미국의 감시테크
미국의 빅테크 기업들은 코로나19 대응에 개입했고, 특수도 누렸다. 캘리포니아를 제외한 대부분의 주에선 기업이 소비자 모르게 개인정보를 정부에 넘겨도 된다. 다만, 기술 기업은 사용자 프라이버시를 지키는 이미지가 중요하기에 정보 제공엔 보수적인 편.
● 미 백악관은 3월부터 테크 기업들과 협력 중이다. 애플과 베릴리(구글의 바이오사업부)는 환자의 증상, 여행지, 위치, 연령 등을 수집하는 디지털 검사를 수행한다.  질병통제센터CDC)는 모바일 광고회사에게 익명 위치데이터를 제공받아 시민들의 이동을 추적했다.
● 야당은 우려한다. 최근 카말라 해리스 민주당 부통령 후보와밥 메넨데즈・코리 부커 상원의원(뉴저지) 등은 애플과 베릴리의 CEO에게 "(코로나19 관련) 수집한 정보를 어떻게 사용하고 보호할지, 상업적으론 안 쓸 것인지 답하라"는 질의서를 보냈다.
● 흑인 인권 시위로 이슈는 커졌다. 공권력이 기술을 시위대 추적에 사용했기 때문. 미네소타주 미니애폴리스 경찰의 안면인식시스템 '클리어뷰'가 대표적이다.

② 브레이크 밟는 유럽
유럽 각국은 독립기구인 개인정보감독기구(DPA, Data Protection Authority)가 정부의 개인정보 활용에 제동을 건다. EU의 데이터보호규정(GDPR)상 ‘수집 최소화’, ‘사용 목적 제한’을 지켜야 하기 때문(2018년 5월 발효).
● 영국 정부는 연락처 추적 앱을 개발하다가 DPA의문제 제기로 중단했다. 최근엔 애플・구글과 협력을 재추진. 단, 시민단체의 요구에 따라 진단 데이터 보관 기간을 20년에서 8년으로 줄였다.
● 독일에선 보건장관에게 통신사 위치정보활용 등 권한을 부여하는 감염병보호법 개정이 제안됐지만, 연방 개인정보청의 비판으로 철회. 프랑스 정부가 제안한 '6개월 간 건강ㆍ위치 데이터 수집 허용안'도 DPA 반대로 무산됐다.
● 노르웨이는 그동안 수집해온 감염자 추적앱의 데이터를 데이터보호당국의 판단으로 일괄 삭제했다.

방역 컨트롤타워인 중대본은 개인정보에 대해 강제성 없는 '가이드라인'만을 제시하며, 이를 강제할 권한도 없다. 그래서 지자체마다 정보 공개 방식이 제각각. 방역 목적의 일시적 개인정보처리도 개인정보보호법상 권한을 넘어선다는 지적이 나온다.
● 이진규 네이버 개인정보보호책임자(CPO·DPO)는 “우리나라에선 공공 안전을 위해 긴급히 필요한 경우의 예외를 지나치게 폭넓게 인정하고, 정보주체의 권익 보호 부분을 배려하지 못하고 있다”고 했다. (한국인터넷진흥원 기고 '공익목적의 개인정보 이용은 항상 옳은가?')
● 권헌영 고려대학교 정보보호대학원 교수는 “정부는 개인 정보 수집 ·  활용 단계를 처음부터 마지막 폐기까지 투명하게 공개해야 한다”고 말했다.

국가와 기업이 데이터를 어떻게 활용하고, 개인정보를 어떻게 보호할지 규칙을 만들고 조정할 '데이터 거버넌스'(data governance) 설계가 중요하다. 8월 초 출범한 개인정보보호위원회(개보위)가 제 역할을 할 지에 달렸다.
● 개보위는 유럽 국가의 DPA와 유사한, 정부의 개인정보 보호 실태를 감독할 기관이다. 각 부처(행정안전부·방송통신위원회 등)에 흩어졌던 개인정보 업무를 가져왔다.
● OECD는 "정부는 개인정보 관련 조치를 내리기 전에 자국 DPA와 상의해야 하며, DPA는 정부가 (감염병 등) 위기가 끝나면 개인정보의 예외적 사용을 멈추도록 감독해야 한다"고 권고한다.
● 이성엽 고려대 교수(기술경영대학원)는 "개보위가 국가의 CPO(최고 프라이버시 책임자 Chief Privacy Officer) 역할을 해야 한다"고 했다.

"이동통신사가 이태원 일대(5월)와 8월 15일 광화문 인근 기지국 정보를 방역 당국에 제공했습니다. 적절했다고 보십니까?" (응답기한 만료)
👉설문 결과 분석은 '팩플언박싱' 메뉴에서 보실 수 있습니다.

1. 디코드폴리시 [COVID-19 한국 정책 및 입법 타임라인] 👉 바로보기
2. OECD의 코로나19 관련 글로벌 대응 추적 페이지 👉 보고서 보기
코로나19 관련 각국의 정책 및 대응 논의, 관련 데이터와 통계 등이 업데이트됩니다. 사회, 문화, 경제적 논의를 포함해 국가별 정책을 추적할 수 있습니다.
3. 의학학술지 란셋(THE LANCET)  디지털헬스(Digital Health) 8월호 👉 바로보기
코로나19 관련된 의료분야 최신 기술과 논의를 볼 수 있습니다. 8월호에선 코로나19에 대응하는 디지털 도구를 다뤘고, 제도와 윤리적 고민도 담았습니다.
4.비영리단체 프라이버시 인터내셔널의 코로나19 글로벌 대응 추적 👉 바로보기 
앱, 시민사회, 접촉추적, 검역 등 코로나와 관련된 최신 이슈를 항목별, 지역별(국가)로 필터링해 볼 수 있습니다. 시민사회의 진보적 논의를 읽어보고 싶다면 추천합니다.