brunch

You can make anything
by writing

C.S.Lewis

by kakaoprivacy Apr 11. 2016

RightsCon 2016을 다녀왔습니다(2)

[해외동향] RightsCon 2016 (2016.3.30~4.1)

1부에 이어서, RightsCon 2016의 세션별 주요 내용을 공유드립니다.

* 이미지 출처: www.rightscon.org


1. 잊힐 권리 세션 (The Right to be Forgotten: Remembering Freedom of Expression)

* 배경: 최근 구글은 EU에서 접근할 수 있는 모든 도메인의 검색 결과에서 목록 삭제할 것임을 발표했음. 최근 EU의 새로운 정보보호규칙(GDPR)은 구글 스페인 판결을 넘는 내용을 담고 있음. 한국/러시아/멕시코/브라질 등에서 잊힐 권리 관련 법규가 채택되었거나 채택될 전망임.  

* 쟁점: 잊힐 권리의 의미/정의, 공공 정보는 잊힐 권리 범위에 해당되는지, 데이터 보호법에서의 표현의 자유 보호, 콘텐츠 제공자는 잊힐 권리 요구의 통지와 요구를 받아야 하는지, 정보보호기구 등이 잊힐 권리를 제대로 평가할 수 있는지/표현의 자유를 적절히 고려할 수 있는지 등.  

* 패널 주요 발언
- 공공의 이익및 관심을 고려해야 함. 구글은 유럽 판결 이후 여러 기준을 마련했고 방대한 요청을 검토하느라 힘들었음. 다른 기업들은 어떻게 감당할 수 있을지.
- 잊힐 권리는 프라이버시 이슈가 아니며 관련성(relevance)이 핵심임. 누가 삭제를 결정해야 하는지, 아웃 소싱하는데 반대함.
- 국가마다 어떤 콘텐츠가 검색/호스팅에서 삭제되어야 하는가에 대한 기준/전제가 다를 것임
- 기업의 불만처리/이용자 구제 시스템에서 잊힐 권리가 어떻게 다뤄질 것인지, 프라이버시를 공공기록의 차원에서 어떻게 다뤄야 하는지, 표현의 자유 측면에서 신중해야 함.
- 구글 같은 민간기업에게 삭제에 대한 판단을 하게 하는 것은 문제이고 공공기관이 해야 함. EU를 벗어나서 다른 국가에게도 이 권리를 채택하도록 압력이 가고 있는데 신중해야 함.
- 검색 결과 삭제는 역사를 새로 쓰는 것 아니가. 정보에 대한 접근, 아카이브 차원에서 표현의 자유 존중되어야 함. 
- 일개 기업이 정보의 순서를 결정하는 것은 정당하지 않음. 
- 약 5년 전만 해도 ‘통지 후 삭제’(notice-and-takedown)가 해법으로 받아들여졌음. 잊힐 권리는 프라이버시가 아닌 공개 정보에 대한 것으로 범주가 다름.
<사진> RightsCon 2016 잊힐권리 세션 (직접 촬영)


2. 관할권 세션 (Jurisdiction and Extraterritoriality in a Connected World)

* 배경: 점차 연결되는 온라인 세상에서, 포스트-베스트팔렌 패러다임인 영토에 기반한 관할권 개념이 논란이 되고 있음.   

* 쟁점: 일 국가의 국내법에 의해 전 세계적인 콘텐츠 삭제 명령 이슈를 다룸. 통상 법원이 정보 매개자에게 이용자 게시 콘텐츠를 삭제하라는 명령을 내리는데, 종종 다른 나라의 표현의 자유 법과 충돌을 빚음. 프랑스 정보보호기구와 캐나다 법원은 구글에게 검색 결과를 전 세계적으로 삭제하라는 명령을 내렸고 현재 진행 중인 이슈임. 적절한 대응은 무엇일까?  

* 패널 주요 발언
- 국경을 기반으로 한 플랫폼/서비스가 새로운 국면을 맞고 있음. 콘텐츠 삭제는 관할권의 문제와 관련 있음. 점점 더 많은 국가들이 해외 서비스가 들어올 때 더 많은 요구를 하기 시작함. 글로벌로 연결된 인터넷에서 누가 원칙을 정할 것인가, 영토 기반 관할권 입장에선 정부가 영토 내 법을 정하고 있음.
- 프랑스/캐나다에서도 구글의 잊힐 권리를 적용하려는 조치들이 있음. 구글은 터키에서 정부 요청에 따른 콘텐츠 차단을 광범위하게 하고 있음.
- 캐나다에서 특정 도메인/사이트에 대한 접근 차단이 이루어짐. 구글 삭제요청은 google.ca에 대한 명령임.
- 프랑스는 구글/MS/야후와 같이 16개 링크를 삭제했는데 이는 저작권 이슈였고 검색엔진과 ISP에게 내려진 명령임. EU저작권 법은 잊힐 권리도 해당되는 이슈임.
- Q> VPN나 proxy는 법적으로 관할권을 벗어난 사례인가?
   A> 원칙적으로 VPN은 금지해야 하지만, 2011년 원칙은 데이터 국외이전은 해당 국가의 결정이라고 규정했음 / 캐나다는 지리적으로 VPN을 차단함
- Q> 해외 정부로부터 삭제 요청을 받을 때, 법적 근거가 부족한 경우 기업은 어떤 조치를 취해야 하는가?     A> 기업은 이용약관을 만드는 등 나름의 기준/절차를 만드는 노력을 해오고 있음. 상대적으로 작은 기업들은 이런 요구를 어떻게 다뤄야 할지 힘듦. / 시민단체의 역할은 정부와 대화/설득하는 것임. / 작은 기업들이 정부와 싸우는 것은 위험이 큼 
. Q> 다른 나라의 규제에 대해서 한 국가의 법적 절차를 적용할 수 있는가?
  A> 데이터를 자국 내에 두려는 시도들이 국가별 프라이버시 보호법에서 시도되고 있음 / 데이터 국지화, 즉 서버의 위치를 규정하는 것은 국경을 넘는 서비스들에는 어려운 문제임.


3-1. 투명성 세션 (What Do Privacy and Transparency Mean to You? Perspectives from the Global North and South)

* 배경: EFF는 매년 주요 기업별 정부의 이용자 정보 요구에 대한 투명성/프라이버시 관행을 평가하는 “Who Has Your Back”을 발간함. 이를 많은 남미 국가들(멕시코/콜롬비아/페루/브라질) 정보인권 그룹에서 채택하고 있음. 시티즌 랩은 캐나다에서 법적 요구에 의한 개인의 정보제공 내역을 알 수 있는 “Access My Info(AMI)”프로젝트를 진행하고 있음. 시티즌랩은 최근 AMI를 아시아(인도네이사/말레이시아/한국/홍콩)에 적용하기 위한 워킹그룹을 만들었고 추후 결과보고서를 내놓을 계획임.  
* 쟁점: 프라이버시와 투명성은 각 국가/지역별로 어떻게 이해되는가.

* 패널 주요 발언
- 콜롬비아는 5개 ISP에 대한 투명성 보고서를 냈음. 현 정권의 슬로건은 Democratic Security임. 역사적으로 프라이버시보다 보안을 더 중요시해옴
- Ranking Digital Rights 기업책임지수는, 기업들에게 프라이버시 등에 대한 정책/공약을 발표할 것을 권고함. 기업들에게 투명성 보고서를 내놓도록 요구하는 것도 중요함. 
- 투명성보고서는 정부의 이용자 정보 수집을 확인하고 이를 통해서 이용자를 감시하고 있는지를 확인할 수 있음. 
- 각 기업들마다 투명성보고서를 내놓게 하고 그것들을 비교함으로써 표준이 만들어질 수 있음.


3-2. 투명성 세션 2 (Reporting and beyond: why company and government transparency is essential for human rights online)

* 배경: 정부와 기업 간의 투명성에 대한 중요한 진전이 이루어지고 있음. 한국/홍콩/대만의 정부 투명성보고서가 발간되고 있음.  

* 쟁점: 정부의 투명성을 증진시키기 위한 방안  

* 패널 주요 발언
- 홍콩은 2014년부터 투명성 보고서를 발간했음. 13개 부처의 콘텐츠 삭제 데이터를 받아서 공개함. 정부 요구는 감소 추세임. 그 이유는 페이스북에 대한 요청이 늘어나고 있기 때문임. 정보 공개에 대한 아무런 법적 의무는 없음. 정부 정보공개 운동의 일환으로 시작되었음. 유튜브 비디오 삭제 요청에 대한 이유는 상세히 밝히나 급증하는 페이스북 삭제 요구건에 대한 이유는 대답을 하지 않음.  
- 대만은 2013년부터 투명성보고서 발간했음. 대만 정부가 발표한 수치가 글로벌 기업이 발표한 수치를 합한 것과 같아서 신뢰성 의문임.
- Freedom Online Coalition은 2015년 30여 개 국가를 대상으로 한 <Privacy and Transparency Online>를 발간했음. 
- 정부-기업 간에 비공식적인 협력이 공동규제로 진화하고 있음.
- 투명성보고서가 왜 중요한가, 독자는 누구인가, 언론/학자들만의 관심이 아닌가 자문해봄.
- Open Technology Institute는 미국 42개 인터넷 기업의 투명성보고서를 분석하여 <The Transparency Reporting Toolkit>을 3.31에 발간했음. 아직 투명성 보고서 내지 않은 기업들을 위한 툴킷임. 기존에 내고 있는 기업들에게도 기준선(baseline)이 될 수 있을 것임.
- 기업들에게 투명성보고서를 내게 하는 방법은, 지지를 획득하게 하는 것임. 이용자들의 서비스 선택 기준이 되게 하는 등. 
* 이미지 출처: www.newamerica.org/oti/


4. 제로 레이팅 세션 (The political economy of the zero-rating debate in the developing world - what are the stakes?)

* 배경: 제로 레이팅은 선진국과 개도국 간에 접근방식이 다름. 개도국에서의 제로 레이팅 논쟁의 핵심은 수많은 저소득층에게 어떻게 인터넷 접속을 확대할 것인가에 대한 것이어서 제로 레이팅이 이를 위한 적절한 혹은 효과적인 방법인가 라는 것임. 많은 시민사회 그룹이 그렇지 않다고 주장해왔음에도 개도국에서 제로 레이팅 로비에 맞서는 과정에서 크게 2가지 반박에 부딪혔음. 1) 중산층인 시민단체 활동가들은 인터넷 접속을 못하는 저소득층을 대변하지 못하는 이기적인 사람이라는 감정적인 비난, 2) 망중립성이란 존재하지 않는 기술적 개념이라는 것, 왜냐하면 네트워크 관리는 결코 중립적일 수 없다는 것. 시민단체들에 의해 주장되어온 망중립성은 인권/비차별성/평등과 관련된 것으로 이 맥락에서는 잘못된 혹은 부적절하다는 것.

* 쟁점: 제로 레이팅 반대 활동은 위의 반박에 맞서 어떻게 논리를 날카롭게 만들어가야 하는가.

* 패널 주요 발언
- 인도에서의 제로 레이팅 이슈는 보편적 접속의 관점에서 다뤄졌음. 
- 제로 레이팅을 디지털 식민주의로 받아들이기도 함. 제로 레이팅은 인프라 이슈가 아님.
- 브라질은 트위터/페이스북/왓츠앱, 콜롬비아는 페이스북/왓츠앱, 나이지리아는 트위터/왓츠앱을 묶은 제로 레이팅. 
- Public Knowledge는 2015년에 5개국(칠레/인도/네덜란드/브라질/콜롬비아)의 제로 레이팅 사례를 다룬 보고서 <Exploring Zero-Rating Challenges: Views From Five Countries>를 냈음. 
- internet.org는 실수임. 정책가는 제로 레이팅을 소비자 선택이라는 방송 모델로 봐선 안되고 기업의 비즈니스 모델로 봐야 함. 정부의 역할은 건강한 공공정책을 세우는 것이며 인터넷도 전통적인 통신 모델로 보고 완전한 접속/연결을 제공해야 함. 
<사진> RightsCon 2016 제로레이팅 세션 (직접 촬영)


5. 반테러리즘 세션 (Combatting Terrorism Online)

* 배경: 지난 18개월간 전 세계에서 발생한 테러 공격으로 인해 “극단주의”로 간주되는 온라인 콘텐츠를 제한하라는 정부의 요구가 증가하고 있음. 정부들은 테러주의의 홍보, 모집 등을 금지하는 법을 통과시켰고, 공공-민간간의 투명성을 약화시키는 것이고, IT 기업들에게 테러리스트들의 기술을 활용하지 못하게 좀 더 적극적인 역할을 주문하고 있음.   

* 쟁점: 온라인상의 콘텐츠 제한이 테러주의 확산을 효과적으로 막을 수 있는가, 온라인상의 극단주의 콘텐츠 이슈에 대해 정부/기업/이해관계자들은 어떤 역할을 해야 하는가.  

* 패널 주요 발언
- 프라이버시와 국간안보간의 충돌로 비치고 있음. 비공식적인 메커니즘으로 콘텐츠에 대해 규제하는 정부가 있음. 
- 프랑스 정부는 온라인 테러리즘에 대한 규제를 하고 있음. 공공의 책임과 기업의 활동 간에 어떻게 균형을 이뤄야 하는가. 9개 통신사들이 프라이버시 원칙을 마련했음. 정부는 늘 콘텐츠 삭제를 요구하고, IP 삭제를 요구함. 통신사는 인터넷 기업과 달리 콘텐츠를 볼 수 없음. 아동보호를 위해 콘텐츠를 규제하는 것도 법에 의한 것으로 아동학대 이미지를 인식하는 것임. 
- 반기문 총장이 최근 온라인 테러리즘 규제를 강조함. IS는 소셜미디어를 갖고 있음. 모든 뉴미디어는 등장할 때마다 그 부작용/영향을 비난 받음. 극단주의자들이 미디어를 통한 선전(프로파간다)이 먹히는가가 관건임.


6. 데이터 국외이전 세션 (Data Détente: Exploring Challenges and Opportunities in Trans-Atlantic Data Flows)

* 배경: EU-미국 간 세이프 하버 협정이 무효화되고 프라이버시 쉴드가 마련되었음. EU의 개인정보보호법제(GDPR)이 마련되었음.   

* 쟁점: GDPR이 동의, 데이터 용이성, 삭제 권리, 데이터 국지화와 같은 이슈에 어떤 영향을 미칠지, 프라이버시 쉴드가 데이터 국외이전에 어떤 영향을 미칠지.

* 패널 주요 발언
- 새로운 GDPR은 제품 설계/서비스 론칭 단계에서부터 프라이버시 고려해야 함. 더 높은 수준의 기준임. 아일랜드에는 여러 미 기업들의 유럽지사가 있음. 그들과 가진 라운드테이블에서 EU에 예측 가능한 시스템을 만들어주길 요청했음. 
- 야후는 몇 년 전에 이메일 서비스에 프라이버시 강화하는 조치 즉 이전을 원하는 모든 콘텐츠를 옮겨줬음. 놀랍도록 유연한 고객 서비스임
- 기업의 약관은 복잡하고 이용자 선택의 여지가 없음. 기업들의 자율규제는 작동하지 않음. 
- Q> 세이프 하버가 작동하지 않게 된 것에 대해 어떻게 생각하는지?
  A> 미국 기업들이 유럽에 진출하면서 프라이버시에 대한 고려 없는 것은 문제임. EU 정부가 미국 정부의 보안에 대한 고려 없는 것도 문제임. 미국법이 바뀌길 기대함. 프라이버시 쉴드가 해결책은 아닐 것임. / 막스 슈렘스 개인 활동은 높이 평가함. 미국 내에서 어떤 법적 변화 시도도 성공하지 못할 것으로 생각함. / 미국 기업으로서 뭘 할 수 있는지 고객이 묻는데 사실 모르겠음. 세이프 하버는 기업에게 중요한 것이었음. 몇 년 전으로 돌아간다 해도 적절하게 프라이버시 이슈를 해결할 수 있었을까.
. Q> 미국법이 프라이버시를 위배하는 법을 만든다면 기업이 이를 거부할 수 있을까?
  A> 기업은 정부에게 검열을 중단하도록 로비해줬으면 좋겠음.
. Q> 낙관적으로 전망해본다면?
  A> 사람들은 프라이버시를 중요하게 여기고 기업들도 참여할 것이란 점 / 1995 디렉티브는 미국 기업들은 개정을 반대했으나 스노든 사태 이후 대화에 참여했음.
. GDPR은 복잡한데 큰 기업들은 현명한 전략을 세울 수 있겠지만 작은 기업들은 어려울 것임. 작은 기업들은 TRUST에 물어볼 수 있음. 


7. 익명성 세션 (Privacy, Anonymity, and Warrantless Access to Subscriber Identification Data)

* 배경: 개인 간 통신에서 익명성은 중요함. 미국/영국/한국 등은 영장 없는 가입자 식별정보 접근이 가능하고 매우 대규모로 이런 감시가 이루어지고 있음.  반면 캐나다/멕시코는 이 정보에 대해서도 영장이 요구됨.

* 쟁점: 가입자 식별 정보 접근에 대한 원칙  

* 패널 주요 발언
- UN은 2015년 암호화와 익명성에 대한 보고서 <Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression>를 냈음. 왜 익명성에 더 초점을 둬야 하는가. 국제 인권법은 익명성을 규정하고 있지만, 실제는 쉽게 제한 받음. 개별 국가에서 안보와 같은 특정 이해관계에 따라 법에 의해 익명성이 제한됨. 
- 멕시코는 위치정보/전화정보 등 메타데이터에 대한 접근은 영장에 의해서만 가능함. 영장이 필요하냐에 이견이 있었으나 최근 법으로 제정됨.
- 한국은 통신자료를 영장 없이 제공함. 최근 관련 판결이 있어서 이슈화됨. 작년 말 독소조항 있는 테러방지법이 제정됨.
- 캘리포니아주는 최근 모든 전자기기/콘텐츠/위치정보/메타데이터에 대한 정부의 감시를 허용하는 법이 발의되어 우려됨. 헌법과도 충돌되는 법안임.
<사진> RightsCon 2016 익명성 세션 (직접 촬영)


8. 온디맨드 경제 인권 세션 (Respecting Human Rights in the On-Demand Economy)  

* 배경: 온디맨드 경제가 노동자들의 안정적인 임금을 확보하고 소비자들이 제품과 서비스에 접근하는 방식을 혁신하고 있음. 그러나 기존의 소비자 및 노동자 보호 법규제가 온디맨드 경제 모델과 맞지 않는 것은 명확함. 새로운 인권 차원의 위협과 기회에 대한 논의가 필요함.  

* 쟁점: 노동자와 이용자의 인권을 보호하면서 온디맨드 경제 모델의 이점을 최대화할 수 있는 방안은 무엇인지, 3가지 인권적 위협(노동 보호, 차별 및 안전)과 기존의 해결책이 위험을 효과적으로 줄일 수 있는지 평가.

* 패널 주요 발언
- 온디맨드 기업들과 계약을 맺은 노동자들의 노동이슈가 부각되고 있음. 특히 안전 이슈와 데이터 집적에 따른 프라이버시 이슈가 뜨거움.
- 노동 플랫폼과 상거래 플랫폼(이베이처럼 제품을 매매하는 플랫폼)으로 구분할 수 있음. 
- honor(미국의 홈서비스 기업): 1997년 경제 위축 이후로 노동계약에서도 변화가 있음. 자사의 서비스는 고품질의 가사도우미 서비스를 제공함. 고품질의 표준화된 서비스를 제공하는 것임. 노동자의 업무 스케줄링을 유연하게 할 수 있다는 이점이 있음.
- 집적된 데이터를 누가 소유하는가가 문제임. 어떻게 돈을 벌 것인가를 고민하다 보면 정보를 누가 소유하는가라는 질문과 관련 있음. 정보의 비대칭성도 문제임(유리창 vs 단면 거울 에 비유. 예-우버 드라이버는 고객의 취향 등 정보를 모두 알고 있으나 고객은 드라이버에 대한 정보가 제한적임)
. 온디맨드 서비스는 고객에게 가격 등 이점이 많음. 그러나 아웃소싱에 따른 책임성이 문제임. 미 저작권법(DMCA)은 정보 매개자 책임이 없다고 했는데 온디맨드 기업도 과연 그럴까? 공유경제가 낳는 부작용들이 있음.
- 온디맨드 경제의 부작용을 해결하는 데 있어 규제가 유일한 해결책으로 보일 수 있지만 산업의 변화 속도가 너무 빠름. 
<사진> RightsCon 2016 온디맨드 경제 세션 (직접 촬영)



9. 스노든 좌담 세션 (Fireside Chat: Ron Deibert, Edward Snowden, Amie Stepanovich)  

* 배경: 전 세계적으로 감시 목적의 기술/무기 구매 경쟁이 진행되고 있고, 개인의 프라이버시에 대한 위협은 증가하고 있음.  

* 쟁점: 공식/비공식 정부 감시의 힘과 권한, 개혁을 위한 투명성에 대한 요구   

* 패널 주요 발언
- 스노든: 저널리즘은 정부 감시를 밝히는 역할을 할 수 있음. FBI는 의회 청문회 중계방송에서 통신 정보를 수집하지만 들여다보진 않는다고 증언했음(사실이 아님). 
- 시티즌랩: 국가안보에서 이용자를 위한 보안으로 패러다임을 바꿔야 함. 시티즌랩은 중국의 주요 서비스들의 모바일 앱/브라우저의  보안 문제를 지적했음. 3월 28일에도 텐센트의 QQ 메신저의 취약성 보고서(https://citizenlab.org/2016/03/privacy-security-issues-qq-browser/)를 냈음. 앱뿐 아니라 디바이스, 인프라 등 모든 측면에서의 암호화가 필요함. 시티즌랩은 대학 내 연구소로 한계가 있음. 예를 들어 구글 정책 프로그램/모질라 정책 프로그램 등이 나오면 유연하게 할 수 있음.
- Q> 향후 어떻게?
  A> 스노든: 나도 답을 모르지만 정부의 수많은 기밀에 대한 수백만 건의 문서들은 공개되어야 함. 시스템적인 해결책이 나와야 함. / 시티즌랩: 우린 기술전문가들이지만 법 전문가 파트너와의 협력도 중요하고 대중에게 설명하는 것은 의미 있음.
. Q> 정부 관계자로부터 테러리즘이 줄어들고 있다고 들었는데...
  A> 시티즌랩: 미국 정부는 타게팅 감시 기술이 늘었다고 말하지만 글쎄. 그것보다 중요한 것은 커뮤니티에게 신뢰를 줘야 함. 
* 이미지 출처: www.rightscon.org


10. 마닐라 원칙 세션 (Manila Principles: One Year Later)  

* 배경: 정보 매개자 책임에 대한 마닐라 원칙이 마련된지 1년이 지났음. 정보 매개자는 전 지구적인 위협에 직면했고 이용자들은 테러리즘 등의 영향으로 더 큰 위협에 처해 표현의 자유가 위축되고 있음.   

* 쟁점: 마닐라 원칙의 현재의 이용자들에게 표현의 자유를 보호할 정책적 틀이 될 수 있을지, 마닐라 원칙은 다음 버전으로 불법적 콘텐츠 통지에 대한 템플릿 초안을 만들었고, 이를 통해 정보 매개자가 이용자들과 컨택할 때 이용할 도구로 소개함.    

* 패널 주요  발언
- 혐오발언에 대해 EU도 마닐라 원칙과 비슷한 표준을 정했음. GNI의 표준은 법원 명령에 의한 저작권 삭제임.
- 마닐라 원칙 이후의 한국은 카카오 대표의 아청법 기소 등 여전히 정보 매개자에게 과도한 책임을 묻고 있음. 
- 마닐라 원칙 2차 버전으로, 콘텐츠 제한에 대한 이용자 통지에 대한 템플릿을 만들었음. 
* 이미지 출처: www.manilaprinciples.org


참고로, 2017년 RightsCon 행사는 브뤼셀에서 열릴 예정입니다.

* 이미지 출처: www.rightscon.org



매거진의 이전글 카카오, 2017 '기업책임지수' 평가서 세계 5위
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari