대한민국 방문 조사 결과 보고서 (2021)
Mission to the Republic of Korea (2021)
/ 배포일 2022. 7. 8.
I. 서론
I. Introduction
A. 들어가는 글
A. Starting off
1. 이 보고서는 2019년 7월 15일부터 26일까지 대한민국에서 실시된 현장 회의를 통해 얻은 예비 결과를 평가하고, 이를 후속 연구 및 현재까지의 발전 사항과 대조한 후 2021년 겨울에 최종 확정되었다. 이 보고서에 사용된 기준에는 유엔 프라이버시권 특별보고관 조셉 A. 카나타치 교수(Joseph A. Cannataci)가 발표한 프라이버시 지표 (metrics)가 포함되어 있다 1 ) .
1. This report was finalised in winter 2021 after evaluating the preliminary results of the country visit via meetings held on-site in the Republic of Korea during the period 15-26 July 2019, and cross-checking these with follow-up research and developments to date. The benchmarks used for this report include the privacy metrics document released by the UN Special Rapporteur for Privacy, Professor Joseph A. Cannataci (“the Special Rapporteur”). 1 )
2. 이 보고서의 일부 내용은 2019년 7월 2 ) 에 발표된 임무 종료 보고서에서 이미 발표된 발견을 반영하고 이를 바탕으로 하며, 2021년 4월 6일에 추가적으로 검증된 내용이다. 또한 2019년 8월 이후 한국 상황을 면밀히 모니터링하면서 수집된 중요한 최신 정보도 포함되어 있다.
2. Some of the content of this report reflects and builds upon findings already published in the end-of-mission statement published in Jul9 2019 2 ) as further validated to 06 April 2021. It also contains important up-dates gathered during close monitoring of the situation in Korea since August 2019.
3. 특별보고관은 또한 대한민국 정부와 다양한 문제에 대해 건설적인 대화를 지속해왔으며, 가장 최근에는 코로나 19와 프라이버시에 대해 논의했다(2020년 11월).
3. The mandate has also continued a healthy dialogue with the Government of the Republic of Korea over various matters, most latterly that of COVID-19 and privacy (November 2020).
B. 감사와 인정
B. Acknowledgement and thanks
4. 특별보고관은 자신을 열린 마음으로 맞아주고 방문을 원활하게 지원해준 한국 정부에 감사를 표한다. 정부 관계자와의 논의는 화기애애하고 솔직하며 생산적인 분위기에서 이루어졌다.
4. The Special Rapporteur thanks the Korean Government for the open way in which it greeted him and facilitated his visits. Discussions with Government officials were held in a cordial, candid and productive atmosphere.
5. 특별보고관은 또한 자신에게 상세한 문서를 제공하고 상세한 브리핑을 해준 시민사회, 법 집행 및 정보 커뮤니티의 구성원, 정부 관계자 및 기타 이해관계자에게도 감사를 표한다.
5. The Special Rapporteur likewise thanks Civil Society, members of the Law Enforcement and intelligence communities, governmental officials and other stakeholders who presented him with detailed documentation and provided detailed briefings.
6. 특별보고관은 자신과 만나 질문에 답변해주고, 프라이버시와 관련된 주요 문제에 대하여 더 잘 이해할 수 있도록 도와준 한국 국회의원, 제주도 지방정부 관계자 및 직원에게 감사를 표한다.
6. The Special Rapporteur thanks those members of the Korean Parliament, the local Government in JeJu Province and their staff who met with him and answered questions, providing insights into issues of primary concern regarding privacy.
II. 프라이버시에 대한 헌법 및 기타 법적 보호
II. Constitutional and other legal protections of privacy
7. 한국에서는 헌법에서 다음 세 개의 조항과 같이 프라이버시 및 관련 권리를 명시하여 보호하고 있다:
7. Korea’s jurisprudence reflects a Constitution which explicitly protects privacy and related rights in at least three sections:
제16조
Article 16
모든 국민은 주거의 자유를 침해받지 아니한다. 주거에 대한 압수나 수색을 할 때에는 검사의 신청에 의하여 법관이 발부한 영장을 제시하여야 한다.
All citizens shall be free from intrusion into their place of residence. In case of search or seizure in a residence, a warrant issued by a judge upon request of a prosecutor shall be presented.
제17조
Article 17
모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다.
The privacy of no citizen shall be infringed.
제18조
Article 18
모든 국민은 통신의 비밀을 침해받지 아니한다.
The privacy of correspondence of no citizen shall be infringed
8. 인격의 자유로운 발현권(the right to free development of personality)은 세계인권선언(Universal Declaration of Human Rights) 제22조와 제29조에 의해 보호되고 유엔 인권이사회(UN Human Rights Council) 3 ) 에 의해 프라이버시와 명시적으로 연관되어 있지만, 한국 법에서는 명시적으로 규정되어 있지 않다.
8. The right to free development of personality as protected by the Universal Declaration of Human Rights in Articles 22 and 29 and as explicitly linked to privacy by the UN Human Rights Council 3 ) is not explicitly articulated in Korean law.
A. 감시
A. Surveillance
9. 특별보고관은 경찰 기관과 정보 기관의 활동을 조사하여, 프라이버시를 침해하는 행동, 특히 감시 조치가 법에 의해 규정되어 있고 민주 사회적인 측면에서 필요성과 타당성을 검토했다. 국내 시민 사회로부터 받은 정보, 공개적으로 이용 가능한 정보, 또는 독자적으로 입수한 정보 등 경찰과 국가정보원의 남용 행위에 대한 방대한 증거를 기반으로 수행하였다.
9. The Special Rapporteur has examined the activities of police agencies and intelligence services in order to determine whether any privacy-intrusive actions, and especially surveillance measures, are provided for by law and are necessary and proportionate in a democratic society. There is copious evidence, either received from civil society in the country, or available in the public domain or otherwise procured independently, of abusive behaviour by both the Police and the National Intelligence Service.
10. 특별보고관이 만난 경찰청 고위 관계자들은 현재 재판 중인 특정 사건에 대해 언급하지 않았으나, 과거의 남용을 부인하지도 않았다. 더 나아가, 그들은 과거의 실수를 만회하고 재발을 방지하기 위해 모든 노력을 기울이겠다고 약속했다. 이러한 노력에는 시민 단체에 대한 경찰 감시를 금지하는 새로운 규정을 포함하고, 정보 요원의 활동의 정당성을 모니터링하는 새로운 준법 감시팀을 설립하는 것이 포함된다.
10. The senior officials of the National Police Agency whom the Rapporteur met did not comment on specific cases currently sub judice, but neither did they deny past abuses. Moreover, they undertook to make all efforts to make up for and prevent any past mistakes from being committed again in future. Efforts include new regulations to prohibit police surveillance against civil organizations and setting up a new compliance team which monitors the legitimacy of activities of intelligence officers.
11. 국가정보원(NIS)도 특별보고관과 만났으며, 그는 고위 관계자들과 매우 개방적이고 솔직한 논의를 진행한 것에 대해 기뻐했다. 이에 따라 특별보고관은 국가정보원에게 그들의 입장을 제시하고 과거의 실수가 다시 발생하지 않도록 방지할 방안을 들을 수 있었다. 특별보고관은 서훈 신임 원장이 최근 내부 개혁을 대폭 단행했다는 언론 보도가 사실이며, 그 이후로 인권 보호에 있어 상당한 진전이 이루어졌다는 결론을 내렸다. 국가정보원은 2016년까지 제기된 여러 혐의를 입증하는 증거를 “겸허히 수용(humbly accepted)”했으며, 유사한 프라이버시 침해가 재발하지 않도록 보장하기 위한 방안들에 대해 매우 개방적으로 논의했다.
11. The National Intelligence Service also met the Special Rapporteur and he was pleased to carry out very open and frank discussions with senior officials. The mandate therefore, was able to give the NIS the opportunity to present their side of the story and to hear how it proposes to prevent past mistakes from being committed in future. The Special Rapporteur concludes that media reports about significant recent internal reforms by incoming Director Dr. Suh Hoon are correct and that significant progress has been achieved since with regard to human rights protection. The NIS “humbly accepted” the evidence, which proves the multiple allegations brought against it for the period up to 2016 and was very open to discuss options which would help ensure that no similar infringements of privacy would re-occur.
12. 특별보고관은 시민사회가 제시한 매우 상세한 증거와 헌법재판소, 대법원, 국가인권위원회의 조사 결과, 결정 및 권고, 그리고 지난 20년간 정부가 또는 정부를 대신하여 수행한 다양한 공식 조사 결과 발표에 주목했다. 이번 방문에서 직접 수집한 증거와 함께 종합해 보면, 2016년 말부터 2017년 상반기까지 경찰청과 국가정보원에 의해 조직적이고 다발적으로 프라이버시권이 심각하게 침해되었음을 알 수 있었다.
12. The Special Rapporteur has taken note of the very detailed evidence presented by civil society as well as the published results of the findings, decisions and recommendations of the Constitutional Court, the Supreme Court, the National Human Rights Commission and various official inquiries undertaken by the Government or on its behalf over the past two decades. When taken together with the evidence collected in person during this visit, these elements point to systemic and multiple serious infringements of the right to privacy by both the National Police Agency and the National Intelligence Service up to the period of late 2016 and possibly the first half of 2017.
13. 국가정보원은 2017년 6월부터 신임 원장이 주도하는 여러 조치를 통해 대대적인 개혁에 착수했다:
13. The National Intelligence Service has commenced its reform in a significant manner since June 2017 with a number of measures initiated by its new Director:
(a) 국내 정보 수집 기능 폐지;
(a) the abolition of its domestic intelligence collection function;
(b) 각 정부 부처에 파견된 정보 요원의 철수;
(b) the removal of intelligence officers embedded in various areas of government;
(c) 다수의 신규 직원 채용을 통한 법률 부서 강화;
(c) the reinforcement of its legal unit through recruitment of considerable numbers of new staff;
(d) 각 부서에 법률 준수 책임자 임명;
(d) appointing legal compliance officers in each division;
(e) 주요 변호사, 학자, 시민사회 인사들이 외부에서 참여하는 개혁위원회 설립;
(e) creating a Reform Committee with external participation of leading lawyers, academics and members of civil society;
(f) 과거 부정행위에 대한 내부 조사 실시;
(f) Creating internal inquiries about past misdeeds;
(g) RCS 등 여러 프라이버시 침해 기술 사용 중단;
(g) Suspending use of a number of privacy-intrusive technologies including RCS;
(h) 신입 및 정규직 교육 과정 모두에서 인권 및 법률 준수 교육을 강화했다.
(h) Reinforced human rights and legal compliance training in both induction and regular in-service courses.
14. 또한 대한민국 국회는 특히 국가정보원에서 발생하는 남용과 책임 문제를 잘 인식하고 있었으며, 2020년 5월에는 국가정보원을 철저히 개혁하기 위한 16개의 법안 초안을 마련하였다고 보고하였다. 이들 법안 초안은 2020년 5월 국회의 임기 만료로 폐기되었다. 국회는 2020년 12월 13일 국가정보원을 개혁하기 위해 개정된 국가정보원법을 통과시켰으며, 이 개정안은 2021년 1월 1일부터 시행되었다.
14. It is also clear that the National Assembly of Korea is well aware of the problems of abuse and accountability, especially in the National Intelligence Service and at May 2020 reported the existence of up to sixteen (16) pieces of draft legislation intended to thoroughly reform the NIS. These draft laws were abolished by the expiration of the National Assembly in May 2020. The National Assembly passed the revised National Intelligence Service Act on 13 December 2020, to reform the Service and the amendment came into effect since 1 January 2021
15. 특별보고관은 활동가, 시위자 또는 사회운동가들이 여러 차례 경찰에 의해 불필요하거나 과도한 감시를 받았다는 점에 우려를 표명했다. 활동가와 인권 옹호자들에 대한 자의적인 감시는 새로운 일이 아니다. 2013년에 인권 옹호자 상황 특별보고관인 마가렛 세카기야(Margaret Sekaggya)는 정부에 인권 옹호자에 대한 모든 감시 혐의에 대해 신속하고 공정한 조사를 실시하고, 가해자에게 책임을 물을 것을 요청했다(A/HRC/25/55/Add.1).
15. The Special Rapporteur noted with concern that, on several occasions, activists, protesters or members of social movements have been subjected to surveillance by the police that was either unnecessary and/or disproportionate. The arbitrary surveillance of activists and human rights defenders is not new: in 2013, the Special Rapporteur on the situation of human rights defenders, Margaret Sekaggya, asked the Government to conduct prompt and impartial investigations of all allegations of surveillance against human rights defenders and hold perpetrators accountable (A/HRC/25/55/Add.1).
16. 특별보고관이 목격한 가장 설득력 있는 사례는 4 ) 2014년 4월 16일 304명이 사망하고 5명이 실종된 세월호 참사 희생자 가족들의 사례로, 대부분 학생이었다. 이 사고는 법원에 의해 당국과 여객선 소유 회사의 과실로 인한 것으로 밝혀졌다. 선장 역시 중과실로 징역 36년형을 선고받았다. 그러나 피해자 가족들이 진상 규명을 요구하고 보상을 받기 위해 조직적으로 투쟁하자 정부는 진전을 심각하게 방해했고, 국군 기무사령부(한군대의 한 부대)는 피해자 가족에 대한 감시를 자행했다. 보고관은 이 사건과 다른 사건에서 국방경비사령부의 과도한 권한으로 인해 해당 국군 부대가 대대적인 개혁을 거쳐 재편되고 국내 감시에 대한 권한이 박탈되었음을 긍정적으로 평가했다. 지금까지 제시된 증거에 따르면 국방보안사령부는 생존자 가족을 근거 없이 북한 정부의 동조자로 분류하고 대량의 개인 자료(온라인 쇼핑 정보 포함)를 불법적으로 수집한 것으로 보였다. 또한 가족을 미행하고 피해자 가족으로 위장하여 가족을 감시하기도 했다. 보고관은 피해자 가족 중 한 명을 만나 대한민국 역사상 최악의 참사의 희생자들이 국가의 불법적인 감시와 괴롭힘으로 또다시 고통스러운 희생을 당한 것을 보고 경악을 금치 못했다. 그 어려운 순간에 국가로부터 위로와 보호, 보상을 받았어야 할 사람들이 오히려 국가의 적으로 간주되었다. 이들에게 가해진 인권 침해에 대한 책임을 철저히 규명하고 책임자는 반드시 처벌받아야 한다.
16. Perhaps the most compelling case witnessed by the Special Rapporteur 4 ) was that of the families of victims of the SEWOL ferry disaster on 16 April 2014, where 304 persons died and 5 went missing, most of them school children. The accident was found by the courts to be the result of negligence by authorities and the company who owned the ferry. The captain was also sentenced to 36 years in prison for gross negligence. However, when families of the victims initially organized themselves to demand an investigation and fight for compensation, the Government severely obstructed any progress and the Defense Security Commands (a body of the Korean Armed Forces) carried out surveillance on the victims’ families. The Rapporteur positively notes that, due to the excesses of the Defense Security Command in this and other cases, that branch of the Armed Forces has been subjected to deep reform, rebranded and stripped of their competencies on domestic surveillance. The evidence presented so far seems to indicate that the Defense Security Command unfoundedly labelled the families of survivors as sympathizers of the DPRK Government, and illegally collected large amounts of personal data (including online shopping information). They also followed family members and disguised themselves as victims’ families in order to spy on them. The Rapporteur met with one of the family members and was appalled to see that the victims of the worst disasters in the country’s recent history were, again, painfully victimized through illegal surveillance and harassment by the State. Those who should have been consoled, protected and compensated by the State in such a difficult moment, were instead seen as its enemies. The responsibility of the violations inflicted on them must be fully clarified and those found responsible must be held accountable.
17. 특별보고관은 또한 대구와 밀양에서 미사일 방어 기지 건설과 송전선로 건설에 반대하는 사회운동가들을 만났다. 국가 및/또는 준정부기관은 대화와 협상에 참여하는 대신, 때로는 과도한 경찰의 대치와 시위대에 대한 집중적인 감시(야간에 노인 시위대의 개인 주거지에 대한 물리적 감시 포함)를 통해, 심지어 평화적인 방식으로 집회의 자유를 합법적으로 행사하고 안보 위협이 거의 없는 사람들에 대해서도 대결과 강제력을 선택한 것으로 보인다. 보고관은 미사일 방어 시스템과 중요 전력선의 전략적 중요성은 이해할 수 있지만, 법을 위반하고 안보에 심각한 위협을 가하는 시위대에 대해서만 경찰의 조사가 이루어져야 한다. 자의적인 감시와 경찰의 괴롭힘을 통해 시위자들을 억제하려는 시도는 이들의 프라이버시 권리뿐만 아니라 표현의 자유와 집회의 자유도 침해한다. 특별보고관은 국가경찰청 인권침해 진상조사위원회를 통해 이 사건을 조사하려는 정부의 노력을 환영한다.
17. The Special Rapporteur also met with members of social movements in Daegu and Miryang who have opposed the construction of an anti-missile defence site and of electricity lines. Instead of engaging in dialogue and negotiation, it seems that the State and/or parastatal agencies opted for confrontation and imposition, sometimes through a disproportionate police presence and the intensive surveillance of protesters (including physical surveillance of the private domiciles of elderly protesters at night), even of those who have legitimately exercised their freedom of assembly in a peaceful manner and could hardly pose a security threat. While the Rapporteur can understand the strategic importance of anti-missile defence systems and vital power lines, only those protesters who break the law and pose a serious threat to security should be investigated by the police. Attempts to dissuade protesters through arbitrary surveillance and police harassment violate not only their right to privacy but also their right to freedom of expression and assembly. The Rapporteur welcomes the efforts of the Government to investigate the case through the Truth Commission on Human Rights Violations of the National Police Agency.
B. 법 집행 목적의 감시 - CCTV
B. Surveillance for purposes of law enforcement - CCTV
18. 안면 인식 기술을 영구적으로 도입할 계획은 없는 것으로 보이며, 경찰청을 포함한 정부 기관에서도 가까운 시일 내에 공공 장소에 이러한 시스템을 도입할 계획이 없다고 밝혔다.
18. There does not appear to be any permanent deployment of facial recognition technology and none of the Government agencies, including the National Police Agency, reported any intention to introduce such systems into public spaces in the near future.
19. 특별보고관은 전국의 지방 자치 CCTV 시스템을 통합하는 국가 센터 설립을 위한 적절한 법적 근거를 마련하는 법률을 도입하라는 한국 국가인권위원회의 권고를 지지한다.
19. The Special Rapporteur endorses the recommendations made by the Korean National Human Rights Commission to introduce legislation that would provide a proper legal basis for the creation of a national centre integrating CCTV surveillance from all over municipal CCTV systems across Korea.
C. 감시를 수행하는 기관에 대한 감독
C. Oversight of agencies carrying out surveillance
20. 특별보고관은 많은 국회의원과 한국 시민사회가 제기한 많은 개혁 요청에 공감하지 않을 수 없다. 그는 특히 한국에 존재하는 감시 및 수사 권한에 대한 효과적인 독립적 감독의 부재에 대해 심각하게 우려하고 있다.
20. The Special Rapporteur cannot but echo many of the requests for reform made by many members of the National Assembly as well as those of Korean civil society. He is seriously concerned, in particular, about the lack of effective independent oversight of surveillance and investigatory powers that apparently exists in the country.
21. 보고관은 한국의 국회 정보위원회(Intelligence Committee of the National Assembly of Korea)가 수행하는 중요한 업무에 감독을 위한 기본적인 필수 요소 중 하나가 이미 존재하고 있음을 인정한다. 그러나 정보위원회는 특정 사건의 수행을 심층적으로 감사할 수 있는 법적 권한이나 자원을 보유하고 있지 않으며, 사건 파일의 내용을 완전히 자유롭게 접근할 수 있는 권한도 없다. 정보위원회는 국정원의 조직과 직무에 관한 법안의 제정과 개정, 예산과 결산을 검토할 수 있는 법적 권한이 있다. 또한 위원회는 국정원에 심사, 감사, 검사에 필요한 자료 및 정보의 제출을 요구할 수 있는 감독 권한도 가지고 있다. 2021년 1월 1일부터 시행된 개정 국가정보원법에 따라 국정원에 보고를 요청할 수 있는 법적 근거가 마련되는 등 위원회의 감독 권한이 더욱 강화되었다.
21. The Rapporteur acknowledges that one basic essential element of oversight already exists in the important work carried out by the Intelligence Committee of the National Assembly of Korea. That, however, is insufficient insofar that the Committee does not possess either the legal authority or the resources to fully audit, in-depth, the conduct of a specific case, and does not have full unfettered access to the contents of a case file. The Committee does however have the legal authority to review the enactment and amendment of the bills on the organization and duties of NIS as well as its budget and settlement. The Committee also has supervisory authority to request NIS to submit data and information necessary for the review, audit and inspection. In accordance with the amended National Intelligence Service Act in effect since January 1, 2021, the Committee's supervisory power has been further strengthened with more legal causes to request for reports from NIS.
D. 아동과 프라이버시
D. Privacy and Children
22. 특별보고관은 점점 사라지는 추세이기는 하지만, 일부 초등학생들이 여전히 자신의 글쓰기 능력을 향상시키기 위해 개인 일기를 쓰도록 권장받고 있으며, 일부는 이를 담임교사에게 정기적으로 보여주도록 강요받고 있음을 주목했다. 이 경우, 특별보고관은 일기 쓰기 관행을 유지하되, 어린이들이 일기의 내용이 교사에 의해 검토될 수 있고 검토될 것임을 정확히 알고 있어야 하며, 예를 들어 아동 학대와 관련된 민감한 정보가 포함된 경우 교사가 이에 대해 조치를 취할 의무가 있음을 어린이들에게 알리는 것이 바람직하다고 조언한다.
22. The Special Rapporteur noted that, although it is a fading trend, some elementary school children are still encouraged to keep a personal diary for the improvement of their written expression. Some of them are forced to show it regularly to the class teacher. In this instance, the Rapporteur would advise that the practice of keeping a diary can be preserved as long as the children are accurately informed of the fact that the content of the diary can and will be examined by the teacher and should it contain sensitive information related, for example to child abuse, the teacher has a duty to act upon it.
23. 보고관이 증언을 받은 또 다른 우려 사항은 보육시설 내 CCTV 설치 의무화와 관련된 것이었다. 보고관은 CCTV 영상 열람 방법과 관련하여 현재 마련되어 있는 안전장치가 적절하다고 평가한다. 요청의 수는 매우 적다. 예를 들어, 대구에서는 120개의 교육기관 중 2개 기관에서 6개월 동안 단 2건의 요청이 승인되었다.
23. Another concern on which the Rapporteur received testimony, was related to the mandatory installation of CCTVs in child-care centres. He assesses that the current safeguards in place related to how the CCTV footage can be examined, are adequate. The number of requests granted is very small. For example, in Daegu only 2 requests have been granted in 6 months for 2 educational units out of 120.
24. 특별보고관은 수사 과정에서 CCTV 영상이 피해자의 이름, 나이, 주소, 학교명과 함께 언론에 유출된 사례도 있었다는 불만도 접수했다. 언론중재위원회 (Press Arbitration Commission)는 개인의 프라이버시를 침해하는 유출 사건의 경우 ‘권고제도(recommendation system)’를 활용해 보도 후 내용을 검토한 후 비강제적 권고문을 작성해 위원회 홈페이지에 게재하고 있다. 언론중재위원회에서는 언론의 개인정보 공개와 관련된 기준도 발표했다. 또한 방송통신심의위원회는 방송사의 위반 가능성을 평가하여 방송통신위원회가 과징금, 정보 삭제 또는 시정 명령 등 구속력 있는 조치를 취할 수 있다. 프라이버시권 특별보고관의 임기는 현 특별보고관의 후임자가 동의하는 경우, 특히 코로나19 이후 어느 정도 정상화가 이루어진 후에 언론중재위원회의 권고 내용이 충분한 억지력(sufficient deterrence value)을 갖는지 검토할 것이다. 또한, 현재의 체계가 적시에 제재를 가하는지, 그리고 기존의 권고사항이 강제적이어야 하는지 여부를 고려할 것이다. 언론 매체에 대한 엄격한 벌금 부과와의 관계도 추가적으로 평가되어야 한다 5 ) .
24. The Special Rapporteur also received complaints that there were cases in which the CCTV footage was leaked to the media during investigations together with the victim’s name, age, address and school name. In the case of a leakage that infringes on the individual’s privacy, the Press Arbitration Commission using the “recommendation system” reviews the content post publication and issues a non-compulsory recommendation that is published on the homepage of the Commission. The Press Arbitration Commission has also issued a set of standards related to the disclosure of personal information in the media. In addition, the Korea Communications Standards Commission can assess possible violations by broadcasters, which can lead to binding measures by the Korea Communications Commission, such as monetary penalties and orders to remove or correct information. The mandate of the Special Rapporteur on the right to Privacy shall, if so agreed by the successor to the current holder of the mandate and especially after a degree of post-COVID normalcy is restored, be considering the extent to which the content of recommendations by the Press Arbitration Commission is of sufficient deterrence value. The mandate should also be considering the extent to which the current framework results in sanctions which are timely and whether any existing recommendations should be made compulsory. The relationship to the imposition of severe fines to media outlets should also be further assessed 5 ) .
25. 특별보고관은 다수의 학교에서 학생들 간의 교제를 제재하고 처벌을 부과하는 지침이 존재한다는 시민사회의 불만을 평가했다. 일부 불만의 근거가 된 일부 자료(2009~2013년)가 너무 오래되었고 그 이후 문제가 대부분 해결되었을 수 있기 때문에 사실관계는 아직 확인 중이다. 2013년부터 교육부는 학생이 징계를 받을 수 있는 상황과 이러한 경우 취해야 할 조치에 대한 일련의 공식 지침을 도입했다. 특별보고관에게 보고된 바에 따르면, 이 매뉴얼에 상세히 명시된 절차는 학생의 성적 취향 및/또는 연애 활동과 관련될 수 있는 자의적인 징계 조치를 방지하는 데 기여했다.
25. The Special Rapporteur has assessed complaints from civil society that in a number of schools there exist guidelines, which sanction and impose punishments for dating between school students. The facts of the matter are still being verified since it would appear that some of the data on which some of the complaints relied (2009-2013) may be too dated and the problem may have since been largely resolved. Since 2013 the Ministry of Education has introduced a set of official guidelines on the circumstances in which students can be disciplined and the steps which need to be taken in these cases. It has been reported to the Special Rapporteur that the procedures detailed in the manual have contributed to preventing the taking of arbitrary disciplinary measures which may have been related to the student’s sexual preferences and/or dating activities.
E. 건강 관련 자료 등 정부 주도 감시와 직접 관련이 없는 프라이버시 문제 및 법률
E. Privacy issues and laws not directly concerned with government-led surveillance including Health-related data
일반 데이터 보호법
Generic Data Protection Law
26. 개인정보보호법(PIPA)은 비교적 엄격하며 많은 경우 EU의 일반 개인정보보호법(GDPR)에 근접한 기준을 따르고 있다. 그러나 개인정보보호위원회(PIPC)가 감독하는 정부 부처와 독립적으로 자체 직원을 채용할 수 있는 법적 권한과 별도의 예산이 보장되지 않아 실질적인 독립성 문제가 우려의 대상으로 제기되었 있다.
26. The law on Data Protection (PIPA) is relatively strict and follows standards which, in many cases, come close to those of the EU’s GDPR. However, the issue of the true independence of the Personal Information Protection Commission (PIPC) has been raised as a matter of concern since it does not receive its own assured separate line budget with a statutory authority to recruit its own staff independently of the Government departments, which it oversees.
27. 2019년 7월 특별보고관의 방문 이후 다수의 관련 법률의 긍정적인 개정이 이루어졌다 6 ) .
27. Since the Special Rapporteur’s visit in July 2019 a number of mostly positive reforms of relevant laws have taken place 6 ) .
한국의 프라이버시와 성평등에 관한 모범 사례
Good practices in Korea regarding privacy and gender
28. 보고관은 한국에서 시민사회와 정부가 온라인 젠더 기반 폭력 분야에서 매우 긍정적인 모범사례를 개발해 온 것을 높이 평가한다. 특히, 시민사회 영역에서는 ‘사이버 성폭력’을 주로 다루는 한국사이버성폭력대응센터(KSCVR)가 주목할 만한 하다. 사이버 성폭력은 온라인 성폭력의 한 형태로, 프라이버시권을 포함한 다양한 권리를 침해한다. 온라인 공간에서 여성의 프라이버시 권리는 부정적인 영향을 받는다. 온라인에서 불법 동영상이 유포되는 경우, 피해자는 해당 동영상이 인터넷에서 삭제되지 않는 한 지속적으로 고통을 겪어야 한다. 따라서 삭제 지원은 피해자의 피해 회복을 위해 매우 중요하다.
28. The Rapporteur commends the very positive good practices developed in Korea by both civil society and the Government in the area of on-line gender based violence. Of particular note in the civil society sphere is The Korea Cyber Sexual Violence Response Centre (KSCVR) which mainly focuses on “cyber sexual violence”. Cyber Sexual violence is a form of online gender-based violence, which violates numerous rights, the right to privacy included. Women’s right to privacy is adversely affected in online spaces. In the case of illicit videos circulating online, victims are forced to continuously suffer unless those videos are removed from the Internet. Therefore, deletion support is critical for the recovery of victims.
29. 한국 정부는 한국성폭력상담소(KSCVR)가 제공하는 서비스를 보완하는 차원에서 기존 성폭력 피해자 상담소가 제공하는 지원이 디지털 성범죄 피해자의 요구를 충족시키지 못하고 있다는 점을 인식했다. 따라서 디지털 성범죄 피해자를 전문적으로 지원할 수 있는 국가 주도의 별도 지원 기관이 필요했다. 이에 정부는 2018년 4월 30일 맞춤형 상담, 삭제 및 수사 지원, 법률-의료 지원 등 종합적인 서비스를 제공하는 ‘디지털 성범죄 피해자 지원센터(Digital Sex Crime Victim Support Centre)’를 개소했다.
29. In a move which complements the services provided by KSCVR, the Korean Government recognised that the assistance provided by the existing counselling centres for sexual violence victims is not meeting the needs of digital sex crime victims. Therefore, a separate state-led supportive organization was needed to provide specialized support for victims of digital sex crimes. To this end, the Korean Government opened the Digital Sex Crime Victim Support Centre on April 30, 2018, which provides comprehensive services such customized counselling, deletion and investigation support, and legal and medical assistance.
30. 정부는 2017년 9월 ‘디지털 성범죄 피해방지 종합대책(Comprehensive Measures against Digital Sex Crimes)’을 수립했다. 종합대책을 위해 정부와 국회는 가해자 범위 확대, 처벌 강화, 신속한 삭제를 위한 법적 기반 마련을 위해 5개 법률을 개정했다.
30. The Korean Government formulated the Comprehensive Measures against Digital Sex Crimes in September 2017. For the comprehensive measures, the Government and the National Assembly revised five acts so as to expand the scope of offenders, introduce stricter punishment, and lay the legal foundation for prompt deletion
군대 내 성소수자(LGBTI) 인권
LGBTI rights in the Armed Forces
31. 특별보고관은 대한민국 군대에서 성소수자(LGBTI)들이 폭력과 차별을 당하고 프라이버시권을 침해당하고 있다는 보고를 받았다. 한국에서 동성 간 성관계는 범죄로 간주되지 않지만, 군형법 제92조의6은 남성 간의 성관계를 금지하고 있다. 그 결과, 군대 내에서는 성적 지향, 성생활, 심지어 성 파트너의 신원을 묻는 위협과 협박 속에 조사를 받는 경우가 있다고 보고되었으며, 이는 프라이버시 권리 침해에 해당한다. 군 당국은 또한 2017년 조사에서 남성 군인들이 다른 남성과 성관계를 가진 것을 확인하기 위해 데이팅 앱을 잘못 사용한 사실을 인정했으며, 이들 중 일부에게 성 파트너의 신원을 확인하기 위해 휴대전화를 넘기도록 협박한 사실도 드러났다. 국방부는 국가인권위원회의 권고에 따라 군대 내 조사 절차를 덜 침해적이고 덜 위협적으로 개선했다고 밝혔다. 특별보고관은 성소수자(LGBTI)들이 폭력과 괴롭힘에 대한 두려움 없이 군 복무를 할 수 없으며, 일부 상급자들이 때때로 사생활에 대한 모욕적인 질문을 할 수 있는데 이는 국가가 관여해서는 안 되는 문제이기에 더 깊은 우려를 표하고 있다. 특별보고관은 대한민국의 모든 남성에게 군 복무가 의무화되어 있다는 사실을 고려할 때, 사실상 모든 이성애자가 아닌 남성이 최소 21개월 동안 이러한 공포의 체제를 견뎌야 한다는 사실에 경악했다. 성적 지향에 따른 모든 차별은 대한민국의 인권 의무에 위배되므로, 예외적인 상황에서 군인의 사적 영역에 제한을 가할 필요가 있다면 이는 이성애와 동성 관계에 동등하게 적용되어야 한다.
31. The Special Rapporteur received reports that LGBTI persons are subjected to violence, discrimination and to violations of their right to privacy in the Armed Forces of the Republic of Korea. While same-sex relations do not constitute a criminal offence in the country, article 92-6 of the Military Criminal Act, prohibits sex between men. As a result, it has been reported to the Rapporteur that members of the armed forces are questioned, sometimes under threats and intimidation, about their sexual orientation, sex life, and even the identity of their sex partners, which constitutes a violation of their right to privacy. The Armed Forces have also confirmed wrongly using dating apps to identify male military personnel who had had sexual intercourse with other male members of the Armed Forces during investigations in 2017 35 individuals, and attempted to intimidate some of them to hand over their mobile phones in order to identify their sex partners. The Ministry of National Defense stated that, following also the recommendations of the National Human Rights Commission, the investigatory procedures within the Armed Forces have been reviewed in order to make them less intrusive and less intimidating. The Special Rapporteur is concerned that LGBTI individuals cannot serve in the Armed Forces without fear of violence and harassment, and that some of their superiors may occasionally subject them to degrading questionings on their intimate life, which should be of no concern of the State. Considering the fact that the military service is compulsory for all men in the Republic of Korea, the Special Rapporteur was appalled to learn that virtually every non-heterosexual man will have to endure such a regime of fear for a minimum of 21 months of their life. If there is a need to impose restrictions in the private sphere of members of the Armed Forces in certain exceptional circumstances, those should be applied equally to heterosexual and same-sex relations, as all discrimination based on sexual orientation is contrary to the human rights obligations of the Republic of Korea.
프라이버시와 스마트시티 - 제주도의 새로운 경제 활동과 스마트시티
Privacy and Smart Cities - New economic activities and Smart City in Jeju province
32. 제주특별자치도를 방문한 특별보고관은 도청 미래전략국 관계자를 만났다. 그는 드론, 전기차, 블록체인, 암호화폐 등에 대한 정부의 혁신 프로젝트에 대해 접하게 되었다. 이러한 프로젝트 중 일부는 중앙 정부의 “규제 샌드박스(regulatory sandbox)”의 일부로, 일환으로, 기업들이 혁신을 촉진하기 위해 법률 준수에 유연성을 부여받을 수 있도록 하는 이니셔티브이다.
32. During his visit to Jeju Special Self-Governing Province, the Special Rapporteur met with the Provincial Government’s Future Strategy Bureau. He learnt about the Government’s innovative projects on drones, electric vehicles, blockchain, cryptocurrencies, etc. Some of these projects form part of the central Government’s “regulatory sandbox”, an initiative that allows companies for flexibility in their compliance with legislation in order to foster innovation.
33. 혁신을 촉진하고 제주(및 대한민국) 경제를 활성화하려는 시도는 칭찬할 만하지만, 특별보고관은 제주도의 계획에 시행 전 프라이버시 영향 평가(Privacy Impact Assessments, PIA)가 포함되지 않은 것에 대하여 우려를 표명했다. 특별보고관은 제주도의 판단에 따라 해당 계획이 법에서 정한 기준인 5만 명 이상의 자료에 영향을 미치지 않기 때문에 프라이버시 영향 평가를 실시하지 않은 것으로 이해하였다. 이러한 고려 사항에도 불구하고, 일부 프로젝트가 프라이버시권에 미칠 수 있는 중대한 잠재적 영향을 고려할 때, 현재 법으로 의무화되어 있지 않더라도 프로젝트가 시행 단계에 들어가기 전에 가능한 한 신속하게, 그리고 어떤 경우에도 프라이버시 영향평가는 반드시 수행되어야 한다. 각 프라이버시 영향평가는 해당 프로젝트가 ‘프라이버시 중심설계(privacy by design)’ 및 ‘프라이버시 기본설정(privacy by default)’의 원칙을 존중하고 포함하도록 해야 한다.
33. While attempts to promote innovation and stimulate Jeju’s (and the Republic of Korea’s) economy are commendable, the Special Rapporteur was concerned to see that none of the Jeju’s plans included Privacy Impact Assessments (PIAs) prior to their implementation. The Rapporteur understands that in these cases, PIAs were not carried out because, in the judgement of the Provincial Government of Jeju, the plans did not affect the data of more than 50,000 persons, which is the threshold established by law. These considerations notwithstanding, in view of the significant potential impact of some of these projects on the right to privacy, it is urgent that such PIAs are conducted as soon as possible, and in any case before the projects enter an implementation phase, even if currently not mandated by law. Each PIA should ensure that the projects concerned, respect and embed, the principles of “privacy by design” and “privacy by default”.
건강 및 사회 보장 자료
Health and social security data
34. 2010년 보건복지부는 여러 복지급여 제도를 하나의 전자 시스템으로 관리하기 위해 ‘사회보장정보시스템(SSIS)’을 도입했다. 특별보고관은 이 시스템이 공기업 및 유사 정부 기관으로부터 자료를 수집하는 방법, 위험 분석이 수행되는 방법, 시스템의 잠재적 수혜자에게 연락할 때 정보가 사용되는 방법 측면에서 적절한 안전장치를 포함하고 있다고 판단하고 있다.
34. In 2010 the Ministry of Health and Welfare introduced the ‘Social Security Information System’ (SSIS) for the management of multiple welfare benefit schemes through one electronic system. The Special Rapporteur considers that the system includes adequate safeguards in terms of how the data is being collected from the utility companies and similar government agencies, how the risk analysis is being done and how the information is used when reaching out to potential beneficiaries of the system.
35. 다른 국가들의 요청에도 불구하고, 한국 당국은 당분간 의료 자료를 국제 및 지역 무역 협정의 적용 범위에 포함시키지 않아야 한다는 데 동의하고 있다. 특별보고관은 민감한 의료 자료가 더 이상 상품화되는 것을 방지하는 데 기여할 수 있는 이러한 접근 방식을 전적으로 지지한다.
35. In spite of receiving requests by other countries, the Korean authorities are in agreement that, for the time being, medical data should not be considered in the scope of international and regional trade agreements. The Special Rapporteur thoroughly commends this approach, which should serve to prevent the further commodification of sensitive medical data.
36. 건강자료에 대한 접근은 매우 제한적인 경우에만 허용되며, 건강권 강화로 이어지고 적절한 안전장치가 마련된 경우에만 허용된다. 접근 요청은 프라이버시, 인권, 생명 및 윤리 전문가로 구성된 심의위원회에서 검토하며 의사 결정 과정은 투명하게 이루어진다. 특별보고관은 대한민국 정부에 이러한 민감한 개인 자료 사용 고려 시 준수해야 하는 당국의 건강자료에 관한 지침과 권고문 참고할 것을 다시 한 번 더 강조한다.
36. Access to medical data is given only in very limited cases and only when it leads to a strengthening of the right to health and proper safeguards are in place. The request for access is reviewed by the Deliberation Committee, which includes experts in privacy, human rights, life and ethics and the decision-making process is transparent. The Rapporteur here again draws the attention of the Government of the Republic of Korea to the full version of the guidelines and recommendations on health-data produced by my mandate which should be followed when considering all uses of such sensitive personal data.
HIV/AIDS 감염인의 프라이버시권
Right to privacy of HIV/AIDS-positive persons
37. 특별보고관은 HIV/AIDS 감염인의 프라이버시권 침해에 대한 보고를 받았다. 예를 들어, 1988년 후천성면역결핍증 예방법에 따라 HIV/AIDS 감염인이 자신의 HIV/AIDS 양성 상태를 알고 있음에도 불구하고 추가적인 예방 조치 없이 혈액이나 체액을 통해 다른 사람에게 바이러스를 전파할 수 있는 행위를 하면 형사처벌을 받게 된다. 구금 중인 HIV/AIDS 감염인은 수감자와 교도관이 HIV/AIDS 감염인이라는 것을 알고 있는 ‘특수 환자’라는 표현으로 공개적으로 HIV/AIDS 양성 상태가 공개되면서 프라이버시 권리를 침해당하기도 했다. 특별보고관은 법무부가 교도소 내 후천성면역결핍증 환자 관리의 오류를 인정한 점을 긍정적으로 평가한다. 법무부는 ‘특별 환자’ 현수막 사용을 중단하고, “HIV 감염에 대한 편견과 부정적 인식을 줄이기 위해 교정 공무원과 재소자를 위한 동영상”을 제작하는 등 이들의 권리 존중을 개선하기 위해 관계자들의 인식 제고에 힘쓰고 있다. 또한, HIV/AIDS에 감염된 것으로 확인된 사람은 자신의 상태에 맞는 보직을 제공하는 대신 군대에서 자동적으로 전역 처리된다. 징병 연령에 해당하는 남성도 HIV/AIDS 양성 판정을 받으면 군 복무가 금지된다.
37. The Special Rapporteur received reports of violations of the right to privacy of persons living with HIV/AIDS (PLWHA). For example, under the Prevention of Acquired Immunodeficiency Syndrome Act of 1988, persons living with HIV/AIDS are criminalized if, despite being aware of their HIV/AIDS positive status, they engage in act that could potentially spread the virus to another person through blood or body fluid without taking further precautions. PLWHAs in detention have also had their right to privacy violated when their HIV/AIDS positive status was openly disclosed as “special patients”, an expression that inmates and guards knew referred to them being HIV/AIDS positive. The Special Rapporteur notes positively that the Ministry of Justice has acknowledged errors in the management of PLWHAs in prison. It has stopped using the “special patients” banners and is working on raising awareness among its officials in order to improve the respect for their rights, including “a video for correctional officials and inmates to reduce prejudice and negative awareness against HIV infection”. Also, those found to have acquired HIV/AIDS are automatically discharged from the Armed Forces, instead of being offered a position compatible with their condition. Men at the age of conscription found to be HIV/AIDS positive are also barred from serving in the Armed Forces.
직장 내 프라이버시권
Right to privacy in the workplace
38. 특별보고관은 이번 방문에서 CCTV와 휴대전화 애플리케이션 등 전자기기를 통한 노동자 감시와 관련하여 많은 우려를 표명했다. 노동자에 대한 징계를 위해 CCTV 영상을 사용하는 것은 다양한 산업에서 문제를 제기하고 있다.
38. During his visit, the Special Rapporteur observed a lot of concern regarding the monitoring of workers through electronic devices such as CCTV and mobile phone applications. The use of CCTV footage for disciplinary actions against workers is raising problems in various industries.
39. 특별보고관은 이미 이러한 관행을 언급하며 매우 특별한 경우를 제외하고는 공개된 장소에서 영상정보처리기기의 설치 및 운영을 금지하고 있다는 점에 주목하고 있다. 국가인권위원회도 노동 감시를 위한 CCTV 사용을 금지하는 조치를 채택할 것을 요청했다.
39. The Special Rapporteur is pleased to note that PIPA already makes reference to this practice and bans the installation and operation of any visual data processing device in open places except for very specific circumstances. The National Human Rights Commission has also asked for measures to be adopted that would ban the use of CCTV for labour monitoring.
40. 한국 정부는 이러한 권고안을 받아들여 2019년 7월 16일부터 시행된 개정 근로기준법에 따라 직장 내 괴롭힘을 금지하는 제도를 도입했다. 개정된 법은 영상 장치를 통한 근로자 감시를 포함한 직장 내 괴롭힘을 금지하고, 고용주에게 직장 내 괴롭힘 예방 및 대응 시스템을 구축할 의무를 부과하고 있다.
40. These recommendations have been taken on board by the Korean government, which has now introduced a ban on workplace harassment in accordance with the revised Labour Standards Act, which took effect on July 16, 2019. The now amended legislation prohibits harassment at workplaces, which would also include the monitoring of workers through visual devices, and imposes obligations on employers to establish a system to prevent and respond to bullying in the workplace.
공중 보건 맥락에서의 프라이버시권 - 코로나 19
Right to privacy in a public health context – COVID-19
41. 한국은 2020년 한 해 동안 코로나19에 대응하는 과정에서 프라이버시를 침해하는 접근 방식에 대해 비판을 받아왔다. 일반적으로
41. Korea has been criticised, in some cases understandably so, for its privacy-intrusive approach in handling COVID-19 during 2020. Typically
“지난 3월, 정부는 대규모 검사, 데이터 집약적인 접촉자 추적, 사회적 거리두기 홍보를 통해 한국에서 코로나19 대유행의 영향을 줄이는 데 성공했다. 정부는 휴대폰 위치 자료, CCTV 카메라, 직불카드, ATM, 신용카드 추적을 통해 코로나19 확진자를 파악하고, 사람들이 바이러스 감염자와 접촉했는지 여부를 확인할 수 있는 공개 지도를 만들었다. 그러나 이러한 조치 중 일부는 프라이버시 권리를 침해하는 것이었다.
“In March, the government managed to lessen the impact of the Covid-19 pandemic in South Korea by adopting massive testing, data-intensive contact tracing, and promotion of social distancing. The government used cell phone location data, CCTV cameras, and tracking of debit, ATM, and credit cards to identify Covid-19 cases, and created a publicly available map for people to check whether they may have crossed paths with people with the virus. However, some of these measures infringed upon the right to privacy.
보건 당국은 코로나19 확진자의 나이, 성별, 격리 전 방문 장소 등 자세한 정보가 담긴 휴대전화 알림을 수많은 사람들에게 보냈다. 추적을 돕기 위해 공개된 광범위한 개인 정보로 인해 사람들은 감염자를 식별할 수 있었고, 이로 인해 대중의 괴롭힘과 “신상털기(doxing)”이 발생하기도 했다. 7 )
Health authorities sent out cell phone notifications to large numbers of people containing detailed information on confirmed Covid-19 cases, including age, gender, and places visited before being quarantined. The extensive personal information made public to assist in tracing also allowed people to identify infected persons, which led to public harassment and “doxing.” 7 )
42. 하지만 휴먼라이츠워치(Human Rights Watch)와 같은 단체들도 2020년 한 해 동안 내부 비판과 현재 진행 중인 논쟁을 정확하게 보도했다. “지난 3월, 한국 국가인권위원회는 이러한 관행에 대해 당국을 비판했다. 8 )
42. Yet organisations like Human Rights Watch also correctly reported some of the internal criticisms and on-going debate during 2020 “In March, the National Human Rights Commission of Korea criticized authorities for these practices. 8 )
43. 프라이버시권 우려 사항에 대한 위의 내용은 자주 반복되는 맥락에 배치되어야 하며, 일반적으로 다음과 같이 요약된다:
43. The above observations on privacy-related concerns should be placed in an oft-repeated context, typically summarised as follows:
“코로나19에 대한 한국의 대응은 인상적이었다. 한국은 중동호흡기증후군(MERS) 대응 경험을 바탕으로 2020년 말까지 사업장 폐쇄, 자택 대기 명령, 다른 고소득 국가들이 채택한 엄격한 조치를 시행하지 않고도 전염병 확산 곡선을 빠르게 안정화할 수 있었다. 대중을 위한 명확한 지침을 개발하고, 포괄적인 검사와 접촉자 추적을 실시하며, 격리 중인 사람들이 지침을 쉽게 준수할 수 있도록 지원함으로써 이러한 성공을 거둘 수 있었다. 한국은 3월과 8월의 발병을 성공적으로 관리했으며, 2020년 12월에는 더 크고 분산된 발병을 점진적으로 통제하기 시작했다. 전반적으로 한국은 전염병 대비 및 대응 프레임워크의 세 단계인 탐지, 격리, 치료에서 성공을 거두었다.” 9 )
“South Korea’s response to COVID-19 has been impressive. Building on its experience handling Middle East respiratory syndrome (MERS), South Korea was able to flatten the epidemic curve quickly without closing businesses, issuing stay-at-home orders, or implementing many of the stricter measures adopted by other high-income countries until late 2020. It achieved this success by developing clear guidelines for the public, conducting comprehensive testing and contact tracing, and supporting people in quarantine to make compliance easier. The country successfully managed outbreaks in March and August and gradually gained control of a larger, more dispersed outbreak in December 2020. Overall, South Korea has shown success across three phases of the epidemic preparedness and response framework: detection, containment, and treatment.” 9 )
44. 위의 평가가 정확하다고 가정할 때, ‘프라이버시 침해로 간주될 수 있는 조치 덕분에 위의 성공이 어느 정도 이루어졌는가?’라고 반문할 수 있다.
44. Assuming that the above assessment is accurate, the question is ‘To what extent was the above success thanks to any measures which may be considered to be privacy-intrusive?’.
핵심 쟁점은 한국에서 코로나19 대응을 위해 프라이버시를 침해하는 조치가 취해졌는가 하는 점이다:
The key issue is this: were privacy-intrusive measures taken in Korea to tackle COVID:
(a) 법률에 의해 규정된 경우뿐만 아니라
(a) provided for by law, as well as,
(b) 필요한 경우
(b) necessary, and
(c) 민주주의 사회적인 측면에서 적절하였나?
(c) proportionate in a democratic society?
코로나19가 프라이버시에 미치는 영향에 대한 유엔 특별보고관의 2020년 가을 보고서에는 이 질문에 답하는 데 있어 본질적인 문제점에 대해 자세히 설명되어 있다.
The autumn 2020 report by the Special Rapporteur to the General Assembly about the COVID-19 impact on privacy spells out in greater detail, some of the intrinsic problems in answering this question.
45. 확인 가능한 대부분의 경우, 대한민국 내에서 취해진 코로나19 관련 프라이버시 침해 조치는 일반적으로 법적 근거가 있었음을 언급한다. 이러한 조치들은 법에 의해 제공되었다. 따라서 이러한 조치가 민주 사회에서 필요하고 타당한 조치였는지에 대한 의문이 남는다.
45. It should be stated immediately that in most instances able to be identified, privacy intrusive measures concerning COVID-19 taken within the Republic of Korea generally did have a legal basis. They were provided for by law. The outstanding questions therefore remain were/are these measures necessary and proportionate in a democratic society?
46. 이 질문에 제대로 답하기 위해서는 한국에서 실제로 어떤 일이 일어났는지 자세히 살펴보는 것이 중요하다. 사용된 기술은 감염이 어디서 발생하고 어떻게 확산되는지 파악하는 시간을 획기적으로 단축하는 데 성공한 것은 분명해 보인다:
46. In order to properly answer this question, it is important to grapple with some of the detail of what actually happened in Korea. The technologies employed certainly seem to have been successful in drastically reducing the time of identifying where infection is taking place and how it is spreading:
“코로나19가 확산되기 시작하면서 한국 정부는 개발 중이던 ‘스마트시티’ 데이터 플랫폼을 공중보건 추적 도구로 전환하였다. 질병관리본부(이하 질본)는 보건 당국이 코로나19 확진자 추적을 위해 신속하게 데이터를 수집하고 분석할 수 있는 플랫폼인 ‘역학조사지원시스템(EISS)’을 개발했다. 이 시스템은 국내 첫 코로나19 확진자가 발생한 지 두 달 만인 2020년 3월 26일부터 가동되기 시작했다. 질병관리본부에서 코로나19 확진자가 발생하면, 국내 감염병 예방 및 관리에 관한 법률에 따라 각 기관이 시스템에 입력한 환자의 위치 자료를 EISS를 통해 요청한다. 그러면 시스템은 실시간 추적 분석을 수행하여 기존 접촉자 추적자의 인터뷰와 보완하여 신속한 접촉자 추적과 대유행 핫스팟(hot spot) 식별을 가능하게 한다.
“As COVID-19 began to spread, the South Korean government transformed the “Smart City” data platform it was developing into a public health tracking tool. The Korea Disease Control and Prevention Agency, or KDCA, developed the Epidemiological Investigation Support System, or EISS, a platform that enables public health authorities to rapidly collect and analyze data to track confirmed COVID-19 cases. The system began operating on March 26, 2020, just two months after the country’s first confirmed COVID-19 case. Using the EISS, once the KDCA confirms a COVID-19 case, authorized investigators request each patient’s location data that is entered into the system by respective entities pursuant to Korea’s Infectious Disease Prevention and Control Act. The system then performs real-time tracking analysis, which, complemented by traditional interviews by human contact tracers, enables both quick contact tracing and the identification of pandemic hot spots.
이 시스템을 통해 EISS 이전에는 하루 이상 걸리던 코로나19 확진자 추적 및 조사를 10분 이내에 완료할 수 있게 되었다. (강조 추가). 필요한 법적 권한을 가진 질병관리본부 조사관만 EISS에 접근할 수 있도록 하고, 보안 사고에 대비해 모든 시스템 접근을 기록하는 등 데이터 프라이버시 및 보안을 보장하고 있다. 개인정보 수집을 최소화하기 위해 건 별 최대 자료 수집 기간을 질병의 잠복기인 14일로 설정하고 있다. 그리고 이 시스템은 한시적이다: 코로나19 대유행이 끝나면 모든 개인정보는 파기될 것이다.” 10 )
This system has allowed tracking and investigation of confirmed COVID-19 cases in less than 10 minutes, rather than a day or more before the EISS. (emphasis added). Data privacy and security are ensured by making sure that only KDCA investigators with the necessary legal authority can access the EISS, and by logging every system access for security incidents. To minimize the collection of personal information, the maximum data collection period for each case is set at 14 days, the incubation period of the disease. And the system is temporary: At the end of the COVID-19 pandemic, all the personal information will be destroyed.” 10 )
47. 위에 설명한 EISS는 여러 기술 관련 조치 중 첫 번째 조치이다.
47. The EISS outlined above is the first of several technology-related measures.
“둘째, 한국은 코로나19 확진자, 확진자와 밀접 접촉한 사람, 해외 여행자 등 격리 또는 자가격리 중인 사람들의 준수 사항을 모니터링하기 위해 스마트폰 앱을 사용하고 있다. 대유행 기간 내내 한국은 입국하는 해외 여행객에 대해 국경을 폐쇄하지 않았다. 대신 확산 방지를 위해 14일간 자가격리와 무료 코로나19 검사를 의무화하는 특별 입국 절차를 시행하고 있다. 자가격리자 안전보호 앱은 자가격리자가 증상을 신고하고, 지정 사례관리관이 동의를 받아 GPS 기반 위치 데이터를 통해 개인의 격리 준수 여부를 모니터링할 수 있는 양방향 앱이다. 앱을 통한 격리 준수 모니터링은 강력히 권장되지만 의무 사항은 아니다. 스마트폰이 없거나 사용을 거부하고자 하는 사람은 기존 방식인 사례 관리관의 전화 통화를 통해 모니터링할 수 있다. 하지만 9월 1일 기준 앱 채택율은 91.8%에 달하며, 코로나19 확산 위험이 있는 사람들이 자가격리 조치를 준수하고 있다는 사실을 알면 한국인과 여행자 모두 안심할 수 있다.”고 말했다. 11 )
“Second, South Korea has been using a smartphone app to monitor compliance by those under isolation or quarantine—those confirmed to have COVID-19, those in close contact with a confirmed case, and international travelers. Throughout the pandemic, South Korea has not closed its borders to any international travelers entering the country. Instead, it has implemented special entry procedures mandating a 14-day self-quarantine and free COVID-19 testing to prevent spread. The Self-Quarantine Safety Protection App is a two-way app that enables the quarantined person to report any symptoms and the designated case officer to monitor the individual’s quarantine compliance via GPS-based location data with consent. While quarantine compliance monitoring via the app is strongly recommended, it is not mandatory. Those without smartphones or those who wish to opt out can be monitored via the traditional method of phone calls by a case officer. Still, the adoption rate of the app was at 91.8 percent as of Sept. 1, and both South Koreans and travelers are reassured by knowing that those at risk of spreading COVID-19 are compliant with self-quarantine measures.” 11 )
48. 다음은 특별보고관이 코로나19에 대응한다는 명목으로 특정 기간, 특히 2020년 1월부터 6월까지 대량의 개인 자료 12 ) 를 수집한 것이 필요하거나 타당하지 않다고 판단한 몇 가지 이유를 간결하게 요약한 것이다:
48. The following succinct summary explains some of the reasons why the Special Rapporteur finds that a significant amount of personal data collection in the name of combating COVID-19 was 12 ) for certain periods of time, especially in the period January-June 2020, neither necessary or proportionate:
“어디서, 언제, 얼마나 오래” 등 공개된 접촉자 추적 자료는 사람들이 감염 확진자와의 잠재적 밀접 접촉자를 스스로 식별하는 데 도움이 된다. 그러나 위치 추적 정보 공개는 개인의 중요한 장소와 일상적인 행동을 유추할 수 있기 때문에 프라이버시 위험을 초래할 수 있다. 프라이버시 위험은 주로 (예: 거주지 유형, 주변 편의시설, 사회적 거리두기 명령). 또한, 조사 결과 한국에서 공개된 접촉자 추적 자료에는 상세한 인구통계학적 정보(예: 나이, 성별, 국적), 사회적 관계(예: 부모님 집), 직장 정보(예: 회사명) 등 불필요한 정보가 포함되어 있는 경우가 많은 것으로 나타났다. 이미 신원이 확인된 사람의 이러한 개인 자료를 공개하는 것은 확진자와 밀접 접촉했을 가능성이 있는 신원이 확인되지 않은 사람을 찾는 것이 목표인 접촉자 추적에는 유용하지 않을 수 있다. 즉, 접촉자 추적 목적의 경우 확진자의 개인 프로필과 가족이나 지인 등 사회적 관계를 공개하는 것이 덜 유용할 수 있다. 직장의 상세 위치는 대부분의 경우 사내 통신망을 통해 직원들에게 쉽게 연락할 수 있으므로 생략할 수 있으며, 2차 감염으로 인한 집단 감염이 우려되는 경우 등 예외적인 경우에만 공개할 수 있다. 또한, 해외 입국자의 입국 항공편 번호, 해외 여행 목적/기간 등 (주요 결과에서 보고되지 않은) 상세한 여행 정보도 공개할 필요가 없다”고 설명했다. 13 )
“Disclosed contact trace data (e.g., “where, when, and for how long”) help people to self-identify potential close contacts with people confirmed to be infected. However, location trace disclosure may pose privacy risks because a person's significant places and routine behaviors can be inferred. Privacy risks are largely dependent on a person's mobility patterns, which are affected by several regional and policy factors (e.g., residence type, nearby amenities, and social distancing orders). In addition, the results showed that disclosed contact trace data in South Korea often include superfluous information, such as detailed demographic information (e.g., age, gender, nationality), social relationships (e.g., parents' house), and workplace information (e.g., company name). Disclosing such personal data of already identified persons may not be useful for contact tracing whose goal is to locate unidentified persons who may be in close contact with confirmed people. In other words, for contact tracing purposes, it would be less useful to disclose the personal profile of the confirmed person and their social relationships, such as family or acquaintances. The detailed location of the workplace could be omitted because, in most cases, it is easy to reach employees through internal communication networks; an exceptional case would be when there is a concern of potential group infection with secondary contagions. Likewise, it is not necessary to reveal detailed travel information of overseas entrants (which were not reported in the main results), such as the arrival flight number and purpose/duration of foreign travels.” 13 )
49. 앞서 언급한 불필요하고 타당하지 않은 개인정보 수집에 주목한 특별보고관은 코로나19 조치에도 불구하고 프라이버시를 강화하려는 한국 정부와 기관의 지속적이고 일관된 시도 또한 주의 깊게 살펴보았다.
49. Having noted the foregoing prima facie unnecessary and disproportionate collection of personal data, the Special Rapporteur also draws attention to ongoing and consistent attempts by the Korean Government and institutions at increasing privacy protection despite COVID-19 measures e.g.
(a) “2020년 6월과 10월에 질병통제예방센터는 환자의 나이, 성별, 국적, 직장, 여행 이력, 거주지 등을 공개하지 말라는 지침을 발표했지만, 일부 지자체는 지침에도 불구하고 여전히 일부 개인의 여행 이력을 공개하고 있다. 개인의 성적 취향이나 사적인 관계와 같은 내밀한 정보를 드러낼 수 있는 민감한 개인 정보의 수집 및 처리와 관련된 우려는 여전히 남아 있다.” 14 )
(a) “In June and October 2020, the Center for Disease Control and Prevention issued guidance not to publish patient age, sex, nationality, workplace, travel history, or home residency location, although some local governments still disclose some individual travel histories despite being directed against it. Concerns related to the collection and processing of sensitive personal information, which can reveal intimate information like a person’s sexual orientation and private relations, remained.” 14 )
(b) 2021년 3월, 한국 정부는 코로나19 확산 방지 대책의 일환으로 식당이나 카페와 같은 장소에서 출입 기록을 작성해야 할 때 개인정보 보호를 위해 전화번호 대신 암호화된 개인 번호를 사용하도록 국민들에게 요청했다. 정부는 지난 2월부터 해당 장소 방문 시 암호화된 개인 번호를 사용할 수 있도록 하는 새로운 프라이버시 조치를 시행했는데, 암호화된 번호는 숫자 4개와 문자 2개 조합으로 구성되며 전화 통화나 문자 메시지에는 사용할 수 없다. 바이러스 관련 이유로 번호 소유자와 긴급하게 연락해야 하는 경우에만 당국에서 전환할 수 있다.” 15 )
(b) In March 2021, the South Korean Government asked the public to use their encrypted personal numbers, instead of phone numbers, to protect privacy when they have to write down entry logs at places like restaurants and cafes as part of measures to prevent the spread of COVID-19. During February 2021, the Korean government rolled out a new privacy protection measure allowing people to use encrypted private numbers for visits to such places: an encrypted number consists of a combination of four numbers and two letters, and it cannot be used for phone calls or text messaging. It can be converted by authorities only when there is an urgent need to contact the holder of the number for virus-related reasons.” 15 )
50. 특별보고관은 한국 정부가 코로나19에 대응하는 과정에서 필요하거나 타당하지 않은 프라이버시 침해적 조치를 취한 경우도 있었지만, 전부는 아니더라도 대부분의 사례에서 실수를 저질렀다는 사실을 깨닫고 시정 조치를 통해 오류를 바로잡으려 노력했다고 결론내렸다(위 사례 참조).
50. The Special Rapporteur concludes that, in its attempts at combating COVID-19, the Government of Korea took a number of privacy-intrusive measures which, in some cases, were neither necessary or proportionate but that in most, if not all of these instances, it realised that it had made a mistake and sought to rectify that error through corrective measures (see the example above).
51. 아래 그림 1은 2021년 4월 5일까지의 한국 내 코로나19 진행 상황을 재현한 차트이다.
51. The chart reproduced in Fig.1 below illustrates the progress of COVID-19 in Korea to 5 April 2021
52. 위의 그림 1에서 2020년 3월 이후 코로나19 대유행의 세 가지 파동을 확인할 수 있다. 특히 흥미로운 점은 2021년 1월 세 번째 파동 이후 크게 감소했지만 현재(2021년 3~4월)는 2020년 3월 첫 번째 파동 당시 최고조에 달했던 수준, 즉 하루 약 530건의 신규 확진자 수에 근접한 수준까지만 줄어들었다는 점이다. 사생활을 침해하지 않는 모든 안전장치를 마련했음에도 불구하고 이러한 수준의 감염이 발생한 이유는 2021년 4월 6일 이 보고서 제출 시점에는 명확하지 않다. 따라서 확실한 결과를 도출하기 위해서는 더 오랜 기간에 걸쳐 더 많은 자료가 필요하므로 현 단계에서의 결론은 미완성일 수밖에 없다. 따라서 한국이 취한 코로나19 관련 프라이버시 침해적 조치의 일부 또는 전부 필요하고 적절한 조치였는지에 대해서는 아직 판단이 내려지지 않은 상태이다. 따라서 코로나19와 관련하여 한국의 프라이버시 접근 방식에 대한 모범 사례(있다면 어떤 것이 있는지)를 찾아내기가 어렵다. 특별보고관은 12~36개월 후 상황을 재검토할 때 다음 답변의 일부 또는 전부가 관련성이 있을 수 있다는 가능성을 고려하여, 2020년 11월 대한민국 정부로부터 받은 질문에 대한 답변을 아래에 다시 게재한다. 질문과 답변은 추가적인 설명이 필요 없는 수준으로, 한국의 코로나19와 프라이버시에 관한 이 섹션에서 제공한 분석을 더욱 보완하고 확증하는 경우가 대부분이다.
52. Three waves of the COVID-19 pandemic are apparent since March 2020 in the above Figure 1. Of special interest is that though the wave dipped significantly after the third wave in January 2021, it has now (March-April 2021) only receded to a level close to what was previously that of the highest peak in the first wave in March 2020 i.e. approx. 530 new cases a day. The reasons for this level of infection despite all the privacy-intrusive safeguards in place, are not clear at the time of submission of this report on 6 April 2021. Thus, conclusions at this stage can only be preliminary since more data is required across a longer time-span for definitive findings to be established. The jury is therefore still out as to whether any or all privacy-intrusive measures regarding COVID-19 as taken by Korea were necessary and proportionate. This makes it difficult to identify which good practices, if any, one may find in the Korean approach to privacy in the context of COVID-19. Considering the possibility that, when re-visiting the situation in 12-36 months from now, some or all of the following answers may be relevant, the Special Rapporteur reproduces below, the answers provided to his questions by the Government of the Republic of Korea in November 2020. In most cases the questions and responses are self-explanatory and further complement and often corroborate the analysis provided above in this section dedicate to COVID-19 and privacy in Korea.
53. 특별보고관은 방한 후 대한민국 정부에 프라이버시 권리에 관한 질의서를 발송했다(부록 참조). 질의서에는 법과 정책(코로나19 관련 자료를 포함한 건강 목적의 자료 수집과 그 처리에 대한 현행 법적 체계 등), 전용 애플리케이션 개발, 접촉자 추적 및 긴급 경보, 관련 보안 고려 사항, 자료 기밀성 보호를 위해 기관이 채택한 기준, 데이터 수집의 법적 제한과 제한 위반 시 국민이 취할 수 있는 조치에 관한 인식 제고 방안 등이 포함 되어있다. 2020년 11월 3일 정부는 설문조사에 대해 다음과 같이 답변하였다.
53. Following his visit, the Special Rapporteur addressed a questionnaire on the right to privacy to the Government of the Republic of Korea (see appendix). The questions contained related to law and policy (such as the current legal framework for data-collection for health purposes, including data on COVID-19 and its handling); the development of dedicated applications, contact-tracing and emergency alerts, and related security considerations; standards adopted by institutions to protect the confidentiality of data; and awareness-raising measures with regard to legal limitations to data collection, and the recourse citizens have in the event of violation of limitations. The Government replied to the questionnaire on 3 November 2020.
III. 결론 및 권고사항
III. Conclusions and recommendations
A. 정보기관 감시, 보안 및 감독
A. On intelligence oversight, security and surveillance
54. 따라서 특별보고관은 상기 사항에 비추어 대한민국 정부와 국회에 다음 사안을 주목하여 긴급한 행동을 취하고 현재 초안 단계에 있는 법안을 국회에서 충분히 논의할 것을 촉구한다.
54. In the light of the above, the Special Rapporteur therefore draws the attention of both the Government of the Republic of Korea and the National Assembly to the following issues and invite them to take urgent action and maximise the opportunity afforded by upcoming debates in the National Assembly about legislation currently in draft form.
55. 2020년 12월 13일 의결된 국가정보원법 개정안은 2019년 6월 프라이버시권 특별보고관이 대한민국 정부에 권고한 내용을 전혀 이행하지 않고 있으며, 여러 가지 이유로 많은 비판 16 ) 을 받고 있다.
55. The recent changes to the National Intelligence Service Korea Actvoted into law on 13th December 2020 have been heavily criticized 16 ) on a number of grounds and in no way do they implement the recommendations made to the Government of the Republic of Korea by the Special Rapporteur on the right to privacy in June 2019.
56. 경찰청과 국가정보원의 감시에 대한 법적 근거와 규제 체계가 미흡하므로, 시급하고 포괄적인 개혁이 필요한 상황이다.
56. The legal basis and the regulatory framework for surveillance by both the National Police Agency and the National Intelligence Service is inadequate and is in need of urgent and comprehensive reform.
57. 경찰청과 국가정보원의 내부 감사 기능을 대폭 강화하기 위해 각 기관의 인권보호국장을 대표로 하는 상설 감사팀을 신설해야 한다. 이 팀들은 개인이나 부서에 대한 진정 조사 뿐만 아니라 ‘자체 조사(own initiative basis)’와 ‘무작위 표본 추출(random sampling)’을 통해 선정된 특정 사건에 대한 종합적인 감사 권한을 부여 받고 임무를 수행해야 할 것이다.
57. The internal audit functions of both the National Police Agency and the National Intelligence Service of the Republic of Korea should be significantly reinforced by the creation of standing teams including representation of the Director of Human Rights Protection of the respective agencies. These teams would be empowered and tasked with the end-to-end audit of specific cases, selected both on an “own initiative basis” and a “random sampling” basis, in addition to investigation of complaints brought against individuals or units.
58. 현재 국회 정보위원회에 법으로 부여된 권한은 너무 제한적이어서 실제로는 국가정보원에 대한 효과적인 감독을 수행하지 못하고 있다. 권한을 대폭 확대해야 한다.
58. The current powers granted by law to the Intelligence Committee of the National Assembly are too limited and, in practice, prevent it from carrying out effective oversight of the National Intelligence Service. They should be widened considerably.
59. 국가정보원은 자체적으로 개발했든 법으로 강제했든 불투명한 문화와 관행에 대해 심도 있는 검토를 진행해야 한다. 비밀로 유지해야 할 정보만 실제로 비밀로 유지한다면, 한국 사회가 국정원의 역할과 업무 방식에 대해 더 잘 이해할 수 있을 것이다. 궁극적으로는 엄격한 감독과 법 준수와 함께, 국가정보원이 한국 국민으로부터 신뢰를 얻는 데 도움이 될 것이다.
59. The National Intelligence Service should conduct an in-depth revision of its culture and practices of opacity, whether self-developed or imposed by law. Making sure that only information that needs to be kept secret is in fact secret, would allow Korean society to better understand the role and working methods of the National Intelligence Service. Ultimately, and together with strict oversight and adherence to the law, it would help the National Intelligence Service to gain trust from Korean citizens.
60. 대한민국 국회 정보위원회의 업무를 보완할 수 있는 독립적인 상설 기구인 감시 및 수사권 위원회 (Surveillance and Investigatory Powers Commission, SIPC) 를 신설해야 한다.
60. There should be created a new independent full-time body which could be called the Surveillance and Investigatory Powers Commission (SIPC) whose work should complement that of the Intelligence Committee of the National Assembly of Korea.
61. 이 새로운 독립 기관(SIPC)은 아래와 같은 업무를 수행해야 한다:
61. This new independent entity (SIPC) should:
(a) 경찰 및/또는 정보기관에서 성공적으로 근무한 경력이 있는 고위 판사(현직 및/또는 최근 은퇴), ICT 기술 직원 및 경험이 풍부한 해당 영역 전문가(다분야의 원칙)가 혼합되어 사전 및 사후 감독 업무를 담당;
(a) contain a blend of senior judges (serving and/or recently retired), ICT technical staff and experienced domain experts with a successful track record of working in the police and/or the intelligence services, (principle of multi-disciplinarity) tasked with oversight both ex ante and ex post;
(b) 적절한 수의 인력 고용(적정 인력 배치 원칙).
(b) employ people in adequate numbers (principle of adequate resourcing)
(c) 법률에 의해 규정된 모든 권한을 가진 자 (완전한 법적 근거 원칙)
(c) who would have full authority provided for by law (principle of full legal basis)
(d) 두 정보기관과 경찰 서비스에 대해 빈번하고 정기적인 (최소 월 1회) 불시 점검을 수행하여 (모든 권한과 완전하고 무제한적인 접근의 원칙)
(d) to carry out frequent and regular (at minimum once a month) snap-checks of both intelligence agencies and police services (principle of full authority and complete unfettered access) in order to
(e) 수행 중인 감시가 합법적이고 필요하며 타당한지 평가(정당성, 필요성 및 비례성의 원칙).
(e) assess whether any surveillance being carried out is legal, necessary and proportionate (principles of legitimacy, necessity and proportionality).
(f) 신설 감독 기관은 새로운 국제 모범 사례에 따라 기관이 감시하는 정보기관과 경찰이 보유한 모든 데이터베이스에 완전하고 영구적이며 원격으로 전자적인 접근 권한 보유(모든 전자적 접근 원칙).
(f) In line with emerging international best practice, this new oversight body should have full and permanent remote electronic access to all databases held by the intelligence and police forces it oversees (principle of full electronic access).
(g) 행정부가 아닌 입법부에 독립적으로 보고하며, 대한민국 국회 정보위원회의 감독(행정부로부터의 독립 원칙).
(g) report independently to the legislature and not to the executive and thus also be subject to the oversight of the Intelligence Committee of the National Assembly of Korea (principle of independence from the Executive branch of Government)
(h) 국회가 승인한 연간 재정 추계에서 그 직무를 수행하기에 충분한 독립적인 예산 배정(재정 독립의 원칙).
(h) be assigned an independent line budget in the annual financial estimates approved by the National Assembly such that is amply sufficient for it to carry out its duties; (principle of financial independence)
(i) 정부가 아닌 기존 기관들이 협력하여 임명하는 비상임 위원회로 구성되며, 이 위원회는 상임 최고 집행자 (여기서는 위원장이라고 함)의 투명한 임명을 감독하고 나머지 독립 기관의 직원은 정부로부터 완전히 독립적으로 임명하는 것을 원칙(SIPC 위원장 및 직원의 임명에 대한 정부 독립 원칙).
(i) be composed of a part-time Commission appointed by a combination of existing institutions – and not by Government – which would oversee the transparent appointment of a full-time Chief Executive – for our purposes here called the Commissioner – and the remainder of the staff of the new independent entity; (principle of appointment of SIPC Commissioner and staff being carried out completely independent of Government)
(j) 한국 사회에서 정부와 정치인에 대한 신뢰가 명백히 부족하다는 점을 고려할 때, 감시 및 수사권 위원회 (SIPC)의 임명 방식 역시 세심한 주의를 기울이고 공론화 과정을 거쳐야 할 주제이다. 아래를 포함한 다양한 방안이 검토되어야 한다:
(j) The method of appointment of the SIPC is a subject which should also receive close attention and be subject to public consultation, given the apparent lack of trust in Government and politicians evident in Korean society. It is recommended that some of the options that would be explored would include that:
(k) SIPC는 다음과 같은 위원으로 구성된다:
(k) The SIPC would be composed of the following members:
(i) SIPC 위원장으로 활동할 수 있는, 헌법재판소장이 지명하는 고위 법관;
(i) A senior serving judge nominated by the President of the Constitutional Court, who would act as Chair of the SIPC;
(ii) 대법원장/대법관 행정협의회 또는 이와 유사한 기구와 협의하여 대법원장/대법관장이 지명하는 고위 법관;
(ii) A senior serving judge nominated by the Chief Justice/President of the Supreme Court in consultation with the Administrative Council of Justice/Judges or similar body which may exist in Korea;
(iii) 대한변호사협회가 대한변협 인권위원회와 협의하여 추천한 인권 관련 경험이 풍부한 변호사;
(iii) A lawyer experienced in human rights matters nominated by the Korean Bar Association in consultation with the Council of the KBA;
(iv) 대한민국 대통령이 지명한, 탄핵될 수 없을 정도의 청렴결백한 퇴직한 고위급 경찰;
(iv) A retired senior police officer of unimpeachable integrity nominated by the President of Korea;
(v) 대한민국 야당 지도자가 지명한, 탄핵될 수 없을 정도의 청렴결백한 퇴직한 정보기관 고위급 인사 (대한민국 헌법 제127조에 명시된 것과 동일한 인물)
(v) A retired senior Intelligence Office of unimpeachable integrity nominated by the leader of the Opposition of Korea (the same person as would identified by Article 127 of the Korean Constitution)
(vi) SIPC 위원들이 임명할 SIPC의 상임 최고 집행자는 탄핵될 수 없을 정도의 청렴결백한 최근 은퇴한 고위급 법관으로서 정보, 경찰, 감시 사건 처리 경험이 있는 사람이 선호됨(반드시 그럴 필요는 없음);
(vi) The full-time Chief Executive of the SIPC to be appointed by the SIPC members would preferably (but not necessarily) be a recently retired senior Judge of unimpeachable integrity, preferably with experience of dealing with intelligence, police and surveillance cases;
62. 특별보고관은 현재 경찰과 정보기관의 전화통화와 그 밖의 통신수단 메타데이터에 대한 자유로운 접근은 사법적 검토를 받아야 한다는 시민사회의 요청에 주목한다. 민감한 정보로 간주되는 메타데이터 요청은 법원의 영장이 필요하며, 연간 약 30만 건에 달한다. 그러나 민감하지 않은 것으로 간주되어 법원 영장이 필요하지 않은 메타데이터 요청은 연간 640만 건에서 930만 건에 이르는 엄청난 수치로, 이러한 자료에 대한 접근이 때로는 무심코 요청되며, 대부분의 경우 실제로 필요하지 않은 경우가 많다는 것을 시사한다. 표면적으로는 다른 민주주의 국가보다 훨씬 더 많은 수의 열람 요청이 이루어지고 있는 것으로 보인다. 무분별한 접근을 막고 현재 과도하게 이루어지고 있는 요청의 수를 줄임으로써 프라이버시 보호를 개선하기 위해서라도 이러한 요청은 사법부의 감독을 받거나 새로운 SIPC의 감독을 받는 것이 바람직할 수 있다. 그러나 현재와 같은 수치가 지속된다면, 24시간 연중무휴로 처리해야 하는 업무량(640만 건의 요청)을 감당하기 위해 500~800명의 신규 판사 또는 법률 교육을 받고 정보 문제에 대한 특별 임시 교육을 받은 판사 자격을 갖춘 사람을 채용해야 할 것으로 추정된다.
62. The Special Rapporteur has noted calls by civil society to subject to judicial overview the current unfettered access of police and intelligence services to meta-data about telephone calls and other communication means. Requests for metadata that are considered sensitive do require a court warrant, and amount to around 300,000 requests per year. The figures of metadata requests considered non-sensitive and therefore not requiring a court warrant, however, are staggering, ranging from 6.4 million to 9.3 million per annum and suggest that access to such data is sometimes requested casually and most probably in many cases without being really necessary. It would prima facie appear that the number of requests for access made is possibly much higher than in most other democracies. It may be a good idea to subject these requests to judicial oversight, or very preferably the new SIPC, even if only to improve privacy protection by discouraging casual access and cutting down the sheer number of requests currently being made. If, however, the current numbers persist, it is estimated that 500-800 new judges or persons with legal training and of judicial standing with special ad hoc training on intelligence matters, would need to be recruited in order to cope with the workload (6.4 million requests) which would tend to have to be tackled on a 24/7 basis.
B. 프라이버시와 데이터 보호
B. Privacy and data protection
63. 특별보고관은 완전히 독립적인 채용 및 인력 배치를 허용하는 법률 및 예산 조항을 통해 개인정보보호위원회(PIPC)의 자율성과 독립성을 대폭 강화할 것을 권고한다. 이러한 개혁은 대한민국이 2018년 10월 10일 서명을 위해 개방된 최신 버전에 있는 협약 108+(Convention 108+)으로 확립된 국제 표준에 훨씬 더 근접하는데 도움이 될 것이다. 현재 전 세계 55개 이상의 국가가 가입한 이 국제 표준이 제정된 협약에 한국도 가입할 것을 강력히 권고한다. 여기에 권고된 방식으로 데이터 보호 권한을 강화하면 한국이 일반 개인정보보호법(GDPR)과 관련하여 유럽연합으로부터 적정성 평가를 신속하게 받을 수 있는 가능성이 더욱 높아질 것이다. 또한, 개인정보보호위원회가 과징금을 부과하고 그 수입을 징수할 수 있도록 허용하고, 해당 기관의 글로벌 매출액의 최대 4~5%로 설정할 것을 권고한다. 대한민국은 조사권을 보유하고 있다.
63. The Special Rapporteur recommends the PIPC’s autonomy and independence be significantly reinforced through statutory and budgetary provisions, which would allow for completely independent recruitment and staffing. This reform would help the Republic of Korea move significantly closer to the international gold standard established in Convention 108+ in its latest version opened for signature on 10 October 2018. Its strongly recommended that Korea seek accession to this international standard-setting convention, which is today embraced by more than 55 countries from around the world. Reinforcing its Data Protection Authority in the manner here recommended would also doubtless further improve Korea’s chances of speedily obtaining an adequacy assessment by the European Union in relation to the GDPR. Furthermore, it is also recommended that the PIPC be allowed to impose – and collect the revenue from – administrative fines, which should be set to a maximum of 4%-5% of global turnover of the organisation concerned. republic of Korea possesses investigations.
64. 제주도는 특히 관광 산업을 중심으로 기업 투자를 유치하기 위해 스마트 시티 프로젝트를 계획하고 있다. 특별보고관은 한국을 방문하기 몇 년 전부터 스마트 시티의 위험성에 대해 자주 언급해 왔다. 스마트 센서를 설치해 도시 내 사람들의 활동을 추적하고 이미 수집된 방대한 양의 자료를 취합함으로써 스마트 시티는 주민들을 지금보다 훨씬 더 강도 높은 감시 체제에 노출시킬 수 있다는 것이다. 따라서 특별보고관은 정부가 스마트 시티 프로젝트가 시민들의 자료를 과도하게 수집하는 것을 방지하기 위해 첫째, 프라이버시 영향 평가(PIA)를 완료하여 안전장치를 개발할 것을 권고한다. 스마트 시티는 빠르게 진화하는 개념이기 때문에 이 프라이버시 영향 평가는 시민 사회, 특히 지역 사회와 협력하여 수행되어야 하며 매년 갱신되어야 한다. 다른 안전장치로는 개인에게 ‘감시 가능성’을 낮출 수 있는 선택사항을 제공하고, 자동화 프로파일링에 대한 억제책을 개발 및 채택하고, 프로젝트에 프라이버시 중심 설계 및 프라이버시 기본설계 원칙을 통합하는 것 등이 있을 수 있다. 마지막으로, 특별보고관은 이러한 맥락에서도 정부가 시민이 생산한 자료는 일차적으로 시민에게 이익이 되어야 한다는 점을 명심할 것을 권고한다. 정부는 특별보고관에게 스마트 시티의 주요 목표는 기업 투자에 매력적인 환경을 조성하는 것이지만, 그렇다고 해서 시민이 그 설계의 중심에 두는 것을 방해해서는 안 된다고 말했다. 따라서 도시 인프라와 공공 서비스의 개선과 합리화도 자료 수집의 주요 목표가 되어야 한다.
64. The Provincial Government is also planning a Smart City project in Jeju, as an attempt to favour business investment in the island, especially in its prominent tourism sector. The Special Rapporteur has, over a period of several years preceding his visit to Korea, often talked about the risks of Smart Cities. By installing smart sensors to track persons’ activities in the city and aggregating the big amounts of data already being collected from them, Smart Cities could subject its inhabitants to a regime of surveillance even more intense than the one they are already undergoing. Therefore, the Special Rapporteur would recommend that the Government develop safeguards in order to prevent its Smart City project subjecting citizens to the excessive collection of their data by, first, completing a Privacy Impact Assessment. This PIA should be done in cooperation with civil society, especially local communities, and renewed each year because the Smart City is a quickly evolving concept. Other safeguards could be giving individuals the option to be less “surveillable”; developing and adopting disincentives for automated profiling; integrating Privacy by Design and Privacy by Default principles in the project. Finally, in this context too, the Special Rapporteur recommends the Government bear in mind that data produced by citizens, should primarily benefit them. The Government informed the Special Rapporteur that the primary objective of the Smart City was to create an environment attractive to business investment, but that should not prevent citizens being at the centre of its design. Therefore, the improvement and rationalization of city infrastructure and public services should also be primary objectives of data collection.
65. 보고관은 헌법재판소의 결정이 내려지기 전이라도 정부가 앞장서서 군형법 제92조의6을 폐지하고 관련 수사를 즉각 중단할 뿐만 아니라 군대 훈련 교관들에게 성적 다양성과 프라이버시에 대한 교육을 실시하여 LGBTI가 폭력이나 차별의 두려움 없이 군 복무를 할 수 있도록 해야 한다고 권고한다.
The Rapporteur recommends that, even before the Constitutional Court decides on the issue, the Government should take the initiative, not only to repeal article 92-6 of the Military Criminal Act (and immediately halting all related investigations), but also training members of the Armed Forces on sexual diversity and privacy, so that LGBTI individuals can serve without fear of violence or discrimination.
C. 프라이버시와 코로나19 포함 보건 관련 데이터
C. Privacy and health-related data including COVID-19
66. 코로나19 대유행은 성찰의 기회를 제공했다. 전부는 아니더라도 착용 가능하고, 건강 기록의 전산화, 인공지능 관련 활용, 접촉자 추적 기술 적용, 대유행 상황에서도 준수해야 할 기준에서 제기된 대부분의 사안은 첨부된 설명서에 설명된 대로 특별보고관이 권고한 사안이다. 따라서 특별보고관은 2019년 10월 유엔 총회에 제출한 보건 데이터 보호에 관한 권고에 대해 한국 정부의 주의를 정중히 환기한다. 한국 정부는 코로나19 대유행 대응을 위해 사용한 응용 기술, 특히 스마트폰 앱 활용의 성공과 실패에 관하여 지속해서 숙고해야 한다.
65. The COVID-19 pandemic has provided an opportunity for reflection. Most, if not all, of the issues raised by wearables, computerisation of health records, related use of artificial intelligence, technology applications in contact-tracing and standards to be respected, even in a pandemic, are addressed by the Special Rapporteur’s recommendations on the subject as explained in the accompanying Explanatory Memorandum. The Special Rapporteur therefore respectfully draws the attention of the Korean Government to the Recommendations on the protection of Health Data presented to the General Assembly of the UN in October 2019. The Government of Korea is urged to continue to reflect on the successes – and failures – of using applied technologies, and especially smartphone apps, in attempts to fight the COVID-19 pandemic.
67. 특별보고관은 대한민국이 동 주제에 관한 3일간의 워크숍 회의를 지원하고 가능하면 공동으로 회의를 주최함으로써 대한민국이 코로나19 대응 시 개인 자료 활용으로 얻은 전문 지식을 공유할 것을 강력히 권고한다. 이를 통해 전 세계 전문가들이 대유행 대응에 적용하는 기술, 특히 스마트폰 앱 활용 경험을 공유할 수 있고, 그러한 기술이 민주 사회에서 필요하고 타당하게 사용될 수 있는 분야를 확인할 수 있다.
66. The Special Rapporteur strongly recommends that the Republic of Korea lend the expertise that it has gained in the use of personal data in fighting COVID-19 by supporting and possibly co-hosting with his mandate a three-day workshop conference about the subject. This would enable experts from all over the world to share their experience in the use of technology and especially smartphone apps in combating a pandemic and identify any possible areas where uses of such technology could be necessary and appropriate in a democratic society.
D. 젠더와 프라이버시
D. Gender and privacy
68. 방한 기간 동안에 특별보고관은 프라이버시가 사용되는 방식에서 젠더가 영향을 미칠 수 있는 사례를 관찰할 수 있었다. 따라서 특별보고관은 2020년 3월 유엔 인권이사회에 제출된 젠더와 프라이버시에 관한 조사 결과와 권고사항에 한국 정부의 주의를 환기한다. 17 ) 여기에 명시된 원칙은 면밀히 존중되고 이행되어야 한다.
67. During the course of his visit the Special Rapporteur could observe instances, when gender could impact the way that privacy is experienced. The Special Rapporteur therefore respectfully draws the attention of the Government of the Republic of Korea to his findings and Recommendations on Gender and Privacy, presented to the UN Human Rights Council in March 2020. 17 ) The principles outlined therein should be closely respected and implemented.
E. 빅 데이터 분석, 오픈 데이터, 아동 및 프라이버시
E. Big data analytics, open data, children and privacy
68. The Special Rapporteur respectfully draws the attention of the Government of the Republic of Korea to his findings and Recommendations on Big Data and Open Data presented to the UN General Assembly in October 2018 18 ) and October 2017 19 ) , as well as his findings and recommendations to the Human Rights Council on Privacy and Children 20 ) .
F. 국제 무대에서 대한민국의 역할
F. Role of the Republic of Korea on the international stage
70. 특별보고관은 위에서 설명한 모든 권고 사항을 준수한다면 한국이 아시아 내 프라이버시, 암호화 및 감시 문제에서 모범 사례를 보여주고 유럽, 미국 및 기타 전 세계 민주주의 국가들과 가교 역할을 하는 데 있어 리더십을 발휘할 수 있는 좋은 위치에 있다고 본다.
69. If it were to follow all of his recommendations as outlined above, the Special Rapporteur sees the Republic of Korea as being especially well-positioned to take a leadership role showcasing best practices in matters concerning privacy, encryption and surveillance within Asia, as well as in building bridges with Europe, the USA and other democratic countries around the world.
각주
FootNote
1)
‘Metrics for Privacy -A Starting Point’, Professor Joseph A. Cannataci, https://www.ohchr.org/Documents/Issues/Privacy/SR_Privacy/2019_HRC_Annex4_Metrics_for_Privacy.pdf 참조. 이 문서는 프라이버시 권리에 관한 유엔 특별보고관이 주로 감시에 관한 공통 기준을 최대한 많이 설정하여 각 국가의 성과를 측정할 수 있도록 하기 위해 2017-2019년 기간 동안 개발되었다. 이 문서는 여러 단계에서 수정되었으며, 2019년 3월 내부 체크리스트에서 공개 협의를 위한 문서로 그 지위가 변경되었다.
1)
See. ‘Metrics for Privacy -A Starting Point’, Professor Joseph A. Cannataci https://www.ohchr.org/Documents/Issues/Privacy/SR_Privacy/2019_HRC_Annex4_Metrics_for_Privacy.pdf This document was developed during the period 2017-2019 in order to enable the UN Special Rapporteur on the right to privacy to maximise the number of common standards primarily concerning surveillance, against which a country’s performance could be measured. It was refined at various stages and then changed its status from an internal checklist to a document released for public consultation in March 2019.
2)
2019년 7월 15일부터 26일까지 한국을 공식 방문한 유엔 프라이버시 권리 특별보고관의 언론 발표문, 2019년 7월 19일에 발표된 임무 종료 보고서, 이 두 보고서는 함께 읽어야 하며, 특히 공간과 편집상의 이유로 2019년 본문에 포함된 일부 관찰 내용이 이 버전의 보고서에서 생략되었을 수 있다.
2)
Statement to the media by the United Nations Special Rapporteur on the right to privacy, on the conclusion of his official visit to the Republic of Korea, 15-26 July 2019, Seoul 19 July 2019. The two reports should be read together, especially since, for reasons of available space and editing, some observations, available in the 2019 text, may have been omitted from this version of the report.
3)
2017년 3월 23일 유엔 인권이사회 결의 34/7.
3)
Resolution 34/7 adopted by the Human Rights Council on 23 March 2017.
4)
별도로 명시되지 않는 한, 이 보고서에서 ‘보고관’이라는 단어는 ‘특별보고관’ 또는 ‘프라이버시 권리에 관한 특별보고관’과 혼용되어 사용된다.
4)
Unless otherwise explicitly indicated in the text, the word Rapporteur is, in this report, used interchangeably with the terms Special Rapporteur or Special Rapporteur on the right to Privacy.
5)
특별보고관이 한국을 방문한 지 몇 달 만에 코로나19 대유행이 갑자기 발생하여 권고 시스템이 실제로 작동하는지 또는 너무 취약한지 여부를 공정하게 평가할 수 없었다. 따라서 지속적인 평가가 필요하다.
5)
The sudden onset of the COVID-19 pandemic within a few months of the Special Rapporteur visiting Korea has meant that it was not possible to fairly assess whether the recommendation system does in point of fact work or whether it is too weak. Hence the need for ongoing assessment.
6)
2020년 1월 한국 국회에서 가명처리 및 기타 조치에 관한 3개 개인정보보호법 개정안을 소개하는 다양한 기사 https://www.ibanet.org/Article/NewDetail.aspx?ArticleUid=0D5FD702-179C-42A1-B37D-45D12F4556DA 및 https://fpf.org/blog/south-korean-personal-information-protection-commission-announces-three-year-data-protection-policy-plan/ 에서 확인할 수 있다.
6)
See various articles introducing pseudonymisation and other measures in amendments to three privacy laws by the Korean parliament in January 2020 last accessed on 06 April 20121 and at https://www.ibanet.org/Article/NewDetail.aspx?ArticleUid=0D5FD702-179C-42A1-B37D-45D12F4556DA at https://fpf.org/blog/south-korean-personal-information-protection-commission-announces-three-year-data-protection-policy-plan/.
7)
2021년 4월 6일 케네스 로스(Kenneth Roth), 휴먼라이츠워치(Human Rights Watch) 국가보고서 https://www.hrw.org/world-report/2021/country-chapters/south-korea.
7)
Kenneth Roth, Human Rights Watch country report Last accessed on 06 April 2021 at https://www.hrw.org/world-report/2021/country-chapters/south-korea.
9)
2021년 4월 6일, 김준호, 안아름, 오승주, 오주환, 이종구 "눈에 띄는 코로나19 성공 사례: 한국은 메르스로부터 교훈을 얻었다.
9)
June-Ho Kim, Julia Ah-Reum An, SeungJu Jackie Oh, Juhwan Oh, Jong-Koo Lee “Emerging COVID-19 success story: South Korea learned the lessons of MERS” last accessed on 06 April 2021 at https://ourworldindata.org/covid-exemplar-south-korea.
10)
2021년 1월 29일 김지연과 닐 리차드(Neil Richards) “한국의 코로나19 성공은 초기 감염병 실패에서 비롯된 것”, https://slate.com/technology/2021/01/south-korea-mers-covid-united-states-democracy.html.
10)
Jiyeon Kim and Neil Richards “South Korea’s COVID Success Stems From an Earlier Infectious Disease Failure”, Jan 29, 2021, Last accessed on 06 April 2021 at https://slate.com/technology/2021/01/south-korea-mers-covid-united-states-democracy.html.
12)
2020년 6월과 10월에 발표된 일부 변경 사항으로 인해 이 섹션에 설명된 위험이 완화되었을 수 있다.
12)
Some changes announced in June and October 2020 may have mitigated risks outlined in this section.
13)
2020년 6월 18일 공중보건 프론티어스(Frontiers in Poublic Health)에 게재된 정규원, 이현수, 김아욱, 이의진 “다량의 정보: 한국에서 코로나 19 감염자에 대한 접촉자 추적 데이터 공개에 따른 프라이버시 위험 평가” 전문 https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7314957/ 및 https://www.frontiersin.org/articles/10.3389/fpubh.2020.00305/
13)
Gyuwon Jung, Hyunsoo Lee, Auk Kim, and Uichin Lee “Too Much Information: Assessing Privacy Risks of Contact Trace Data Disclosure on People With COVID-19 in South Korea” Frontiers in POublic Health, 18th June 2020 last accessed on 6th April 2021 at https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7314957/ and https://www.frontiersin.org/articles/10.3389/fpubh.2020.00305/full.
15)
2021년 4월 6일 National Herald India의 "한국은 프라이버시를 위해 암호화된 개인 번호 사용을 국민들에게 요청한다"에서 발췌 https://www.nationalheraldindia.com/international/use-encrypted-personal-number-for-privacy-south-korea-tells-public.
15)
Abstracted from “Use encrypted personal number for privacy, South Korea tells public” National Herald India, last accessed on 06 April 2021 at https://www.nationalheraldindia.com/international/use-encrypted-personal-number-for-privacy-south-korea-tells-public.
16)
2020년 12월 22일, 휴먼라이츠워치(Human Rights Watch), 한국정부: 국가정보법 개정안 다시 수정해야, https://www.hrw.org/news/2020/12/22/south-korea-revise-intelligence- act-amendments.
16)
Human Rights Watch, South Korea: Revise Intelligence Act Amendments, 22 December 2020, last accessed on 06 April 2021 at https://www.hrw.org/news/2020/12/22/south-korea-revise-intelligence-act-amendments.
참고 정보 링크 서비스
| • 일반 논평 / 권고 / 견해 |
|---|
| • 개인 통보 |
|---|
| • 최종 견해 |
|---|