Skip to main content

통신자료 제공제도 개선에 대한 의견

By 2023-01-271월 30th, 2023알림

사단법인 정보인권연구소와 진보네트워크센터는 2023. 1. 26. 국회 과학기술정보방송통신위원회에서 통신자료 제공제도 개선을 위하여 심사 중인 전기통신사업법 개정안에 대하여 다음과 같은 의견을 제출하였습니다.


전기통신사업법 개정안에 대한 의견

2023. 1. 26.
사단법인 정보인권연구소
진보네트워크센터

1. 통신자료 헌법불합치 결정의 배경

○ 전기통신사업법 제83조에 규정되어 있는 ‘통신자료’는 법원, 검사 또는 수사관서의 장, 정보수사기관의 장(이하 ‘정보·수사기관’)이 요청하면 전기통신사업자가 제공할 수 있는 전기통신 가입 이용자의 개인정보로서 ①성명 ②주민등록번호 ③주소 ④전화번호 ⑤아이디 ⑥가입일 또는 해지일을 의미함. 이 규정은 온라인과 오프라인 디지털 통합이 지금처럼 고도화되기 전인 지난 2000년 신설된 후 큰 변화 없이 현재에 이름.

○ ‘통신자료’의 제공은 “재판, 수사, 형의 집행 또는 국가안전보장에 대한 위해를 방지하기 위한 정보수집” 이외 특별한 요건을 요구하지 않음. 제공 절차 또한 요청사유, 해당 이용자와의 연관성, 필요한 자료의 범위를 기재한 ‘서면’으로만 하면 될 뿐이며, 그조차 서면으로 요청할 수 없는 긴급한 사유가 있을 때에는 구두 등의 서면 외 방법으로 요청할 수 있음(다만 그 사유가 없어지면 지체 없이 전기통신사업자에게 자료제공요청서를 제출하여야 한다고 규정되어 있지만, 이에 대한 점검이 이루어진 바 없음). 이는 정보·수사기관이 통신비밀보호법에 규정한 ‘통신사실확인자료’를 요청할 때에는 ‘수사 또는 형의 집행을 위하여 필요한 경우’여야 하고, 2005년 이후 법원의 허가를 받도록 한 것과 큰 차이를 보임.

○ 최근 10년(2012~2021)간 통신자료로 제공된 전화번호건수는 평균 7,827,102건에 달함. 이를 동기간 우리나라 평균 인구(51,556,550명, KOSIS 국가통계 기준)와 비교해 보면 평균적으로 국민 15%의 통신자료가 매년 제공되고 있음.

<표> 최근 10년 통신자료 제공건수

연도 문서건수 전화번호수 연도 문서건수 전화번호수
2012 820,800 7,879,588 2017 989,751 6,304,985
2013 944,927 9,574,659 2018 974,481 6,141,107
2014 1,001,013 12,967,456 2019 1,003,399 6,028,268
2015 1,124,874 10,577,079 2020 992,782 5,484,917
2016* 1,109,614 8,272,504 2021 987,767 5,040,456
*5백인 헌법소원 제기 평균 994,941 7,827,102

○ 국가인권위원회는 “수사기관 입장에서는 법원의 허가 없이도 결재권자의 결재만으로 수집이 가능하고, 초동 수사시 용의자를 좁혀 나가는 수사기법으로 통신자료를 활용하고 있다 보니, 범죄와 관련성 없는 사람들의 인적사항까지 요청하고 있는 실정”이라고 지적한 바 있음[1].

○ 2016년 뚜렷한 범죄 혐의가 없는 언론인, 정치인, 노동·시민단체 활동가들이 경찰, 검찰, 국가정보원 등에 통신자료가 제공된 사실이 알려지면서 사찰 논란이 불거짐. 2016년 시민사회단체와 5백 인의 국민이 헌법소원을 청구함. 2021년 12월, 고위공직자범죄수사처(공수처)가 언론인과 정치인의 통신자료를 무분별하게 수집하여 논란이 된 사건이 또다시 불거짐.

○ 헌법재판소는 2022년 7월 21일 통신자료 제공제도 조항에 대하여 헌법불합치 결정을 내리고, 입법자에 대하여 2023년 12월 31일까지 개선입법을 요구함(2022. 7. 21. 2016헌마388 등).

2. 통신자료의 특성

○ 통신자료는 그 가입자에 관한 개인정보로서 통신 ‘내용’이 아니지만, 통신 내용은 물론 공공기관 및 민간기업이 보유한 개인정보를 연결하는 키로 사용되어 그 대상을 파악할 수 있다는 점에서 매우 중요한 개인정보에 해당함.

○ 국가인권위원회는 헌법재판소에 제출한 의견에서 이용자의 성명, 주민등록번호, 전화번호 등 통신자료가 그 자체로 보호되어야 하는 개인정보에 해당함은 물론, 특히 “주민등록번호는 그 자체로도 개인정보를 포함할 뿐만 아니라 다른 개인정보와 결합되는 강력한 연결자(Key Data)로서 기능하며, 이러한 주민등록번호와 전화번호, 인터넷 포탈사이트 아이디 등은 다른 정보와 결합하여 개인의 행동과 신상에 관한 각종 정보를 취득할 수 있는 촉매제가 될 수 있다”고 지적한 바 있음[2].

○ 공공과 민간의 여러 개인정보에 대한 연결자 역할을 했던 주민등록번호는 잇따른 대규모 유출 사고 이후 그 처리가 제한되었으나[3], 수사기관은 주민등록번호와 1:1로 대응하는 온라인 주민등록번호 CI(연계정보) 및 주민등록번호와 웹사이트 정보를 결합한 DI(중복가입확인정보)를 활용하여 국내 온라인 사이트에서 국민 식별과 추적을 계속하여 옴. 특히 제20대 국회 국정감사에 따르면 경찰이 CI 및 DI의 제공을 요청할 때 영장에 의하는 경우도 있지만, 관행적으로 ‘통신자료’ 제공 요구서를 통해 요청하기도 하며, 아예 경찰청(사이버수사포털시스템)과 CI 및 DI를 발급하는 민간신용정보회사 NICE 시스템을 온라인으로 직접 연결하여 2010. 1. 19. 부터 무제한적인 DI 온라인 조회가 이루어져 옴[4].

○ 이처럼 사회 전반의 디지털 통합이 가속화되고 개인정보는 물론 주민등록번호에 대한 보호가 강화되어 왔음에도 ‘통신자료’ 조항은 지난 2000년 신설 후 큰 변화 없이 운영되어 옴. 이로 인하여 정보·수사기관이 온라인과 오프라인에서 방대한 개인정보를 대규모로 결합하여 대상을 식별 및 추적할 뿐 아니라 프로파일링[5]할 수 있는 첨단 기술 기반이 갖추어졌음에도, 이러한 환경에서 국민을 보호할 수 있는 통제장치는 충분히 마련되지 못하여 정보·수사기관의 수사권 오남용 논란이 그치지 않음.

○ 한편, 해외 주요 국가는 최근 통신자료(‘커뮤니케이션 데이터’ 또는 ‘메타데이터’)가 비록 통신 내용이 아니지만 민감하다는 점을 인정하고 보호를 강화하였음. 유럽인권재판소 빅브라더왓치 외 v. 영국 사건에서 영국 정부는 가입자 정보 등 커뮤니케이션 데이터가 통신 내용에 비하여 보호 필요성이 낮다고 주장하였으나 받아들여지지 않았음. 인권재판소는 2018년 커뮤니케이션 데이터에 대한 침해를 인정하고 그 보호를 강화할 것을 요구하였음.

356. 재판소는 관련 커뮤니케이션 데이터의 취득이 통신 내용의 취득보다 덜 침해적이라고 생각하지 않는다. 예를 들어, 전자 통신의 내용은 암호화될 수 있으며, 해독되더라도 발신자 또는 수신자에 대한 정보가 표시되지 않을 수 있다. 반면 커뮤니케이션 데이터는 발신자와 수신자의 신원과 지리적 위치, 통신이 전송된 기기를 곧바로 드러낼 수 있다. 대량[빅데이터] 분석은 소셜 네트워크 매핑, 위치 추적, 인터넷 검색 추적, 통신 패턴 매핑 및 상호작용에 대한 파악으로 특정인의 내밀한 상을 그릴 수 있기 때문에 그 침해 정도가 더욱 크다.

- 유럽인권재판소(2018)[6]

○ 영국 정부와 의회는 이후 해당 법을 개정하여 정보·수사기관 등이 커뮤니케이션 데이터 제공을 요청하기 위해서는 원칙적으로 법관이 발부한 영장 또는 명령을 갖추도록 함[7]. 이러한 절차를 요구받는 커뮤니케이션 데이터에는 우리나라의 ‘통신자료’의 개념과 유사한 ‘가입자 정보(subscriber Information 또는 account information)’는 물론 ‘통신사실확인자료’와 유사한 ‘트래픽 데이터(Traffic Data)’ 및 ‘서비스이용정보(Service Use Information)’가 함께 포함되어 통일적으로 규율되고 있음.

○ 이보다 앞서 유럽사법재판소 역시 가입자 정보를 비롯한 커뮤니케이션 데이터가 통신 내용 만큼 민감한 정보를 제공하며, 그 보호를 강화할 필요가 있다고 판시함.

특히 해당 데이터[가입자 성명, 주소 및 주민등록번호 등 커뮤니케이션 데이터]는 관련된 개인에 대한 프로필을 형성하는 수단을 제공하여 실제 통신 내용 만큼 민감한 정보를 제공한다.

- 유럽사법재판소 (2016)[8]

3. 통신자료의 통제

○ 통신자료의 보호에서 사전과 사후 모두 통제가 필요함. 사전 통제장치로는 통신자료의 제공을 요청하는 정보·수사기관에 대한‘법원의 통제’ 제도가, 사후 통제장치로는 제공된 당사자에 대한 ‘통지’ 제도가 대표적으로 꼽힘.

○ 지금처럼 범죄와 관련성 없는 사람들의 통신자료가 광범위하게 제공되는 현실 속에서 사후 통제장치인 ‘통지’ 제도만이 도입된다면, 언론인과 정치인 등에 대한 사찰 논란이 불거져 온 정보·수사기관의 오남용 관행을 근절할 수 없다는 근본적인 한계가 있음. 무엇보다 자신이 저지르지도 않은 범죄 때문에 자신의 통신자료가 정보·수사기관에 제공되었다는 사실을 통지받는 국민 입장에서는 큰 혼란과 충격에 빠지거나 사회생활 위축이 야기될 우려가 있음.

○ 따라서 ‘통지’ 등 ‘사후 통제’ 장치는 ‘사전 통제’ 제도와 함께 실시되어야 하며, 그 이후에야 통신자료 제공 제도가 비로소 실제 수사에 꼭 필요한 개인정보가 제공되는 합리적인 제도로서 유의미하게 안착될 수 있을 것임.

○ 2014년 국가인권위원회는 현행 전기통신사업법에 규정된 ‘통신자료’에 대한 조항을 삭제하고 통신비밀보호법에 ‘가입자정보’라는 정의를 이관신설하여 그 요건과 절차에 있어 통신사실확인자료와 동일하게 규율할 것을 권고하였던 바 있음[9].

4. 소결 : 법원의 사전 통제 규정이 반드시 필요함

○ 현재 국회 과학기술정보방송통신위원회에서 검토 중인 전기통신사업법 개정안들의 경우, 박주민 의원 대표발의안(14986)을 제외하고는 법원의 허가나 사전 통제장치에 대해서 다루고 있지 않음. 그러나 앞서 살펴본대로 통신자료 제공사실의 통지에 대한 규정만이 도입된다면, 과도한 통신자료 제공에 대한 통제 효과가 미미할 뿐더러, 범죄와 무관하게 통지를 받게 될 국민들의 혼란을 야기할 우려가 있음.

○ 다만, 헌법재판소는 위 결정에서 통신자료 제공요청은 강제력이 개입되지 않은 임의수사에 해당한다고 보아 헌법상 영장주의에 위배되지 않는다고 본 사실이 있음. 반면 대법원은 수사기관의 요청에 따라 통신자료를 제공한 전기통신사업자에 대한 손해배상청구를 기각한 바 있음(대법원 2016. 3. 10. 선고 2012다105482 판결). 국가인권위원회(2016) 또한 “실제 전기통신사업자가 수사기관 등의 요청을 거부하기는 어렵다는 점이 확인되었다”고 지적함. 문제는 통신자료 제공이 전기통신사업자의 재량이라고 판단한 헌법재판소와 전기통신사업자의 손해배상 책임을 인정하지 않은 법원의 판단을 함께 고려하여 보았을 때, 통신자료 제공제도의 오남용에 대한 법적 책임 소재가 모호하다는 데 있음. 자신의 통신자료가 제공된 사실을 사후에 통지받은 국민이 그 피해에 대한 권리를 구제받고자 하여도 정보·수사기관에 대해서나 전기통신사업자 어느 누구에게도 법적 책임을 구하기 어려운 상황임.

○ 따라서 디지털 통합 사회에서 민감하고 다양한 개인정보의 연결자인 통신자료 제공제도의 오남용을 방지하고 국민의 기본권을 보호하기 위해서는, 사후적인 통지 제도만으로는 부족함. 주민등록번호 등 통신사실확인자료보다 그 민감성이나 중요성이 낮지 않은 통신자료가 오래전 전기통신사업법에 규정되었다는 이유로 통신비밀보호법에 규정된 통신사실확인자료의 법원 허가 제도보다 낮은 보호를 받아야 할 합리적인 이유가 없음.

○ 통신자료 규정을 국가인권위원회 권고대로 전기통신사업법으로부터 통신비밀보호법으로 이관하지 않고 존속한다면, 통신사실확인자료와 동등한 법원의 허가 규정에 의하여 보호되어야 마땅함. 통신자료에 요구되는 사전적이고 사법적인 통제가 반드시 영장주의의 형태로 적용되어야 하는 것은 아니기 때문에, 현행 통신사실확인자료에 준하는 형태로 적용한다면 기본권 보호와 수사의 필요성이라는 두 가지 가치를 조화시킬 수 있을 것임. <끝>

[각주]

[1] 국가인권위원회 2016. 12. 26. 결정. 헌법재판소 2016헌마388 사건에 대한 의견제출.

[2] 국가인권위원회(2016). 앞의 결정.

[3] 개인정보보호법 제24조의2 참조.

[4] 연합뉴스(2019. 10. 4). “경찰, 웹사이트 중복가입 확인정보 관리 허술…정보침해 우려” 및 제20대 국회 행정안전위원회 정인화 의원 국정감사 자료 참조.

[5] 프로파일링(profiling)이란 개인을 분석, 평가 및 예측하기 위하여 자동화된 방식으로 다양한 개인정보를 종합하여 처리하는 기법임. 우리나라에는 아직 이에 대응하는 법적 규정이 없으나, 유럽연합은 2016년 제정된 일반개인정보보호규정(GDPR)과 경찰 지침(Directive (EU) 2016/680)에서 ‘프로파일링’에 대한 정의를 신설하고 정보주체의 권리를 보호함.

[6] application nos. 58170/13, 62322/14 and 24969/15.

[7] “...to obtain communications data from a postal or telecommunications operator unless that power: is authorised by a warrant or order issued by a person holding judicial office...”. Home Office(2018). Communications Data Code of Practice 참조.

[8] Judgment in Joined Cases C203/15 Tele2 Sverige AB v Post-och telestyrelsen and C-698/15 Secretary of State for the Home Department v Tom Watson and Others.

[9] 국가인권위원회 2014. 4. 9. 「전기통신사업법」 통신자료제공제도와 「통신비밀보호법」 통신사실확인자료제공제도 개선권고.