구글, 마이크로소프트, 야후를 대상으로 실시한 GNI 독립평가 보고서

GNI는 회원을 대상으로 ‘GNI 원칙(The GNI Principles)’의 준수여부에 대한 독립 평가를 실시한다. 이는 GNI 원칙과 세부 실행가이드의 이행 여부를 평가하는 것으로써, GNI 이사회로부터 승인을 받은 평가자에 의해 GNI 회원사를 대상으로 진행된다.
본문에서는 지난 2013년에 Google(구글), Microsoft(마이크로소프트), Yahoo(야후)를 대상으로 실시한 GNI의 독립평가 보고서1 (2014년 1월 발간)를 통해 구체적인 평가절차 및 방법, 평가 결과 등에 대해 살펴보고자 한다.

1. 개요

GNI는 정부와 여러 이해관계자와 함께 표현의 자유와 개인정보 보호를 위한 협력방안을 모색하고자 노력하고 있다. GNI 회원사에 대한 정부의 이용자 정보제공 요청 등이 있을 때, GNI 원칙과 실행 가이드라인은 회원사에게 지침을 제공함으로써 이를 활용하여 대응하도록 하고, 나아가 이용자 표현의 자유와 프라이버시 보호를 위한 책임을 부여하기 위해 GNI 원칙 준수여부에 대한 독립적인 평가를 실시한다.

이 보고서는 첫 번째 독립평가에 대한 결과물로써, 표현의 자유와 프라이버시에 영향을 미치는 정부 요청에 대한 회원사의 대응 방식을 관찰하였으며, 평가 대상은 GNI 설립 멤버인 구글과 마이크로소프트, 야후 등 3개 회사이다.

이 평가를 통해 발견한 가장 중요한 사실은, 국가나 정부에서 이용자 정보를 요청하는 경우, 회사 측에서는 자사의 원칙에 따라 이용자의 권리을 보호할 의무가 있기 때문에 국가의 법적 요구에 따라 해당 정보를 제공하는 데에는 상당한 어려움이 있고, 정보 제공 시 정부와 사업자간 이견이 발생한다는 점이다.

GNI의 회원 가운데 ICT 회사를 중심으로 논의 한 결과, 회사는 이용자의 표현의 자유와 프라이버시 보호에 관해 정부의 요청으로부터 이용자의 개인정보를 보호해야 할 것인지, 아니면 정부 요구를 수용하고 요청받은 정보를 제공해야 할 것인지에 대해 큰 부담을 갖는다는 사실을 확인했다. 지난 2013년 6월, 미국을 비롯한 여러 민주주의 국가에서 국가의 감시에 대한 정도가 심각하다는 사실이 알려졌고 이에 대한 이슈가 전 세계적으로 재조명되어 공공의 논의로 이어졌으며, 나아가 많은 지역에서 정책 개혁이 필요 하다는 점이 부각되었다.
GNI는 회원사 및 여러 이해관계자와 협력하여 미국뿐만 아니라 전 세계적인 정부 감시에 대해 투명하게 운영하고 정부 요청에 대한 낡은 관습을 개선하도록 요청하고 있다.

 

2. 평가 절차

이 평가는 GNI 회원사의 동의하에 실시되었으며, 평가 절차는 아래와 같이 3단계로 구성된다.

1단계는 회원의 자율보고에 대한 평가로 진행되며, 이번 평가 대상인 GNI 설립 회원 3개사(구글, 마이크로소프트, 야후)의 자율 보고서 상세 내용은 2010년도 GNI 연간보고서를 통해 확인 가능하다.
2단계는 GNI 원칙을 이행하기 위해 필요한 정책, 시스템, 절차를 자체적으로 수립하였는지에 관해 평가하는 것으로써 2011년도의 활동 내역을 살펴본다. GNI 원칙을 준수하기 위한 회사 내 절차에 대한 상세한 내용은 2011년도 GNI 연간보고서를 통해 확인 할 수 있다.
3단계는 GNI 원칙과 세부 실행가이드를 성실히 준수하고 있는지 확인하기 위해 다량의 특정 사례를 검토하는데, 이 보고서에서는 평가 대상 3개사의 2011부터 2013년까지 2년간 발생한 사례를 살펴본다.

 

3. 평가 고려사항
표현의 자유 프라이버시
o 블로킹/필터링 : 키워드 기반의 콘텐츠를 필터링하는 애드호크(ad-hoc)네트워크2또는 웹사이트나 전체 페이지를 선제적으로 블로킹함으로써 일반 이용자가 콘텐츠를 확인할 수 없도록 차단하는 행위임

  • 정부(state)의 자체 기술 이용
  • 매개자 책무 : 정부가 기업의 블로킹 및 필터링을 강제함(“자기검열”)

o 게시물 삭제 요청(Takedown requests) :

정부의 보안 주체/기관/개인이 기업에 온라인 콘텐츠 삭제 요청서를 형식적 또는 비형식적으로 제출하여 요청함

  • 공식적 : 공식적으로 확인된 기관에서 관련 법률에 따라 특정 정보를 서면으로 요청하는 경우
  • 비공식적 : 구두 또는 비공식적인 서면의 형태로 불특정되고 불명확한 요청을 하는 경우

o 표현(speech) 불법화

법률은 국제 인권기준에 따라 합법화되어야하는 표현을 불법으로 취급하기도 함

입법자들은 국가보안이나 사회풍속 등을 보호해야한다고 주장함으로써 “범죄자”를 체포하고, 고문하거나 처형시키도록 압력을 행사함

o 매개자 책무

기업들은 이용자들이 게시한 콘텐츠에 대해 책임을 가져야 함

o 선택적 집행

법 집행의 목적을 이루려 하기 보다는 정치적 비판을 제한하기 위해 법 집행을 악용함. 정부는 표현의 자유를 억압하기 위한 도구로써 몇몇 그룹에 한해 법을 적용하는 것으로 보임

o 콘텐츠 감시 : 온라인 활동에 대한 포괄적인 혹은 타깃팅된 감시

  • 포괄적 : 특정 키워드, 이메일 주소 등에 대한 전체 콘텐츠 모니터링
  • 제한적/타깃팅 : 잘 알려진 온라인 이용자가 생산하거나 수집한 콘텐츠의 감시

o 이용자 정보 요구 : 정부는 익명적 표현을 제한하고 어떤 견해를 표현하는 개인을 추적하여 제재하고자 함

  • 실명제 : 개개인의 활동을 보다 쉽게 확인하기 위해 기업 웹사이트 이용 시 이용자 실명 입력을 요청할 것을 기업에게 요구함
  • 이용자 정보에 대한 공식적 요청 :

정부는 관련 법률을 인용하여 작성된 공식 문서를 통해 실명, 위치정보, 온라인 활동내역 등 이용자에 대한 고유식별 정보를 요청함

  • 이용자 정보에 대한 법적 근거가 없는 요청 : 법적 근거없이 이용자에 대한 정보를 요청하거나, 구두 상 또는 비공식적으로 어떤 정부기관으로부터 받은 요청인지 식별이 불가능한 정부 요청이 있음
  • 데이터 보관 법률 : 정부는 데이터 보관 금지기간에 회사가 특정 정보를 보유하도록 지시함. 이는 정부로 하여금 회사가 보유하고 있는 정보에 대한 접근을 용이하게 하고 감시를 수월하게 함

 

4. 평가의 수행

1. Assessment template(평가양식) : 이 템플릿은 평가자가 회사의 특정 사례를 선정하는 절차에 대해 명확한 가이드를 제공한다.
2. Reporting template(보고양식) : 이 템플릿은 평가자가 평가 결과를 GNI 이사회에 보고할 때 필요한 사항을 규정한다.
3. External reporting template(외부보고 양식) : 이 양식은 평가 보고서를 대외적으로 어떻게 공표할지에 대한 사항을 규정한다.

위 평가절차는 아래의 여러 단계를 거쳐 진행된다.

첫 번째, 회사는 평가자를 위한 정보를 준비한다. 이 때, 회사의 정책과 절차에 관한 정보를 포함하고, 평가자가 검토하도록 특정 사례의 목록을 제안한다.
두 번째, 평가자는 특정 사례를 선정한다. 평가자는 GNI 선정기준에 따라 사례를 검토하고, 선정한 사례에 대해서는 회사에 고지한다. 평가자는 선정된 사례가 GNI 기준에 부합하는지 확인한다.
세 번째, 평가자는 평가를 수행함에 있어 문서와 정책을 면밀히 검토하고 주요 직원과 인터뷰한다.
네 번째, 평가자는 회사를 위한 보고서를 준비한다. 보고서는 정해진 양식에 따라 작성하고, 결론과 권고사항을 포함한다. 회사는 사실에 대한 부정확한 정보를 수정할 기회와 기밀정보를 삭제할 기회를 갖는다.
다섯 번째, 회사는 평가 보고서를 이사회 논의 일주일전에 공유한다. 마지막으로, 회사와 평가자는 이사회 논의 시 보고서에 관한 질의내용에 대해 답변한다.

 

5. 특정 사례 추출방법

GNI 독립평가에서는 이용자의 표현의 자유와 개인정보 보호와 관련된 정부 요청에 대한 회사의 대응 방식을 가장 중점적으로 보고자 했다. 평가자는 선정된 사례가 GNI 가 제공하는 기준을 충족시키는지 살펴보고, 이 사례들은 정부가 지난 2년간 회사에 요청한 사례를 받아 검토한다. 평가자는 GNI와 회원사가 주목하고 특히 우려하고 있는 사안들을 살펴볼 수 있는 사례를 선택하기위해 노력하였다.

 

6. 평가 결과

GNI 이사회는 평가 보고서를 검토하고, 회사 및 평가자와의 토론 등을 통해 심사숙고 하여 평가 대상인 회사가 GNI 원칙을 성실하게 이행하였는지 그 여부를 투표를 통해 결정한다. GNI 이사회는 지난 2013년 11월 21일, 워싱턴 DC에서 구글, 마이크로소프트, 그리고 야후 등 3개사가 GNI 원칙을 엄수하는 것으로 결정을 내렸다.
더불어, 3개사는 GNI 실행을 위한 절차와 정책을 채택하고 공동의 원칙을 지키기 위해 노력한다는 사실을 확인하였다.

1) 구글(Google)

GNI 이사회는 구글이 GNI 원칙을 성실히 준수하고 있다고 결정했다.
구글의 경우, CEO와 구글 설립자를 포함한 상급 책임자까지 표현의 자유와 프라이버시에 대해 중요하게 인지하고 있다는 사실을 확인했다.
구글은 GNI 원칙을 이행하기 위해 상급 책임자의 수준에서 감독하고, 필요한 경우 회사 이사회에 그 내용을 보고한다. 사례를 살펴본 결과, 구글은 표현의 자유와 프라이버시에 대한 잠재적인 위협을 평가하기 위해 인권영향평가(Human Rights Impact Assessment, HRIAs)를 실시한다는 점을 확인했다. 더불어, 인권영향평가를 일관된 방법으로 수행하기 위한 도구를 개발하고, 평가절차에 대한 근거를 마련하기 위한 방법을 개발한다.
구글 법무팀(legal removals team)은 콘텐츠 삭제요청에 대한 사항을 면밀히 관찰하고 동향을 분석하는 보고서를 연 2회 발간하기 위한 준비를 하고 있다.
구글은 정부 요청에 따라 어떤 콘텐츠를 삭제할 경우, 회사가 보유하고 있는 게시자 정보를 참고하여 이메일을 통해 해당 게시물이 삭제되었다는 사실을 이용자에게 통지한다. 구글은 2010년도에 투명성 보고서를 발간하기 시작했고, 그 다음해에는 공개된 데이터의 범위와 맥락을 확장한 보고서를 발간하고 있다.

2) 마이크로소프트(Microsoft)

GNI 이사회는 마이크로소프트가 GNI 원칙을 성실히 이행하고 있다고 판단했다.
여러 사례를 살펴본 결과, 마이크로소프트가 표현의 자유 및 프라이버시와 연관된 정부 요청에 대해 면밀히 검토하는 절차를 갖추고 있음을 알 수 있었다.
마이크로소프트는 회사 이사회와 책임자가 GNI 원칙을 완벽하게 숙지하도록 탄탄한 시스템을 갖추고 있으며, 회사 부사장과 법률 자문위원의 감독 하에 GNI 원칙이 보다 잘 이행될 수 있도록 매일 관리 감독한다.

마이크로소프트는 특정 고위험 시장영역에서 사용되는 플랫폼에 특정 기능을 도입할지에 관해 의사결정을 하기 전 인권영향평가를 실시한다.
마이크로소프트는 2013년도에 처음으로 두 개의 국제 법 집행 보고서를 발간하였고,
이는 정보 요청에 대한 이용자와의 의사소통을 도모하는 중요한 첫 걸음으로 볼 수 있다.

3) 야후(Yahoo)

GNI 이사회는 마이크로소프트가 GNI 원칙을 성실히 수행하고 있다고 결정했다.
야후는 표현의 자유와 프라이버시에 대한 결정을 하는데 있어 가장 중요한 역할을 하는 두 개의 전담부서와 글로벌부서와 함께 비즈니스 인권 프로그램(Business&Human Rights Program, BHRP)을 마련했다.
야후가 제시한 여러 사례들은 GNI 원칙이 확립되어 실제 적용되는 많은 예시들을 보여주고 있으며, 정부 요청에 대한 투명성과 관련하여 중요한 진전을 보이고 있다는 점을 알 수 있다. 게다가, 야후는 정부가 이용자 정보를 요청할 경우, 이에 대응하기 위하여 야후 관련 부서에서 사용하는 글로벌 내부 정책과 절차에 GNI 원칙을 도입하여 운영하고 있다.
야후는 2013년에 첫 번째 투명성 보고서를 발간하였고, 또한 사용자 정보에 대한 정부 요청을 처리하는 과정에 대해 상세히 기술했다.

 

7. 사례의 예시

다음은 평가에 포함된 사례의 유형을 설명하기 위해 GNI 이사회에서 선택한 특정 사례들이다.

o 라틴 아메리카, 표현의 자유와 관련된 게시물 삭제 요청

한 기업이 라틴 아메리카 사법권으로부터 법원의 판결을 비판하는 내용의 이용자 게시물을 삭제할 것을 요청받은 사항이다. 해당 콘텐츠는 지역 명예훼손법률을 위반하였다는 사유로 삭제를 요청받았으며, 기업 측은 해당 내용이 법원의 명령 없이는 삭제할 수 없다고 대응했다. 회사는 게시물을 삭제하지 않는 것으로 결정했다.

o 독일의 이용자 데이터 요청

독일의 한 회사 사무실에 지방 정부기관으로부터 편지가 도착했다. 편지에는 독일 법원으로부터 발행된 형사 소송 중에 있는 이용자의 메일함을 요구하는 수색 영장이 첨부되어 있었다. 법원은 예금주가 이용하고 있는 온라인 커뮤니케이션이 범죄와 관련이 있다는 사유를 들어 해당 영장을 정당화했다. 애초 법원의 정보 요청 명령은 이용자가 범죄를 저지른 것으로 의심하는 2012년의 특정 6개월간 데이터였다. 그러나 형사사건이 시작되지 않은 이외의 기간의 문서들까지 요구했으며, 혐의를 증명하기 위한 압수 명령까지 내렸다.
법원은 범죄 사건과 무관한 정보는 조사 당국에 의해 즉각 삭제외어야 한다고 덧붙였다. 법률 집행에 대한 회신으로 해당 기업은 그 요구가 법적으로 유효한지 그리고 필요한 모든 정보 및 승인사항과 관련하여 GNI가 정한 19개 요건을 충족했는지에 대해 확인했다. 그리고 이러한 타당성 평가를 기반으로 해당 기업은 요청받은 정보를 제공하기로 결정했다.

 

8. 권고 사항

가. 표현의 자유와 프라이버시에 대한 하드웨어의 영향력 고려
– 정보를 기록하고 보관하는 장치인 하드웨어를 관리하는데 있어 중요한 인권문제를 반영하고 해결하기 위해 회사의 시스템과 정책, 절차를 새롭게 개선할 필요가 있다.

나. 내·외부 보고서의 개선
– 향후 발간되는 투명성 보고서에는 콘텐츠의 삭제 또는 수정에 관한 정부요청 사항을 포함하고, 정부가 콘텐츠 삭제를 요청하는 주요한 근거에 대해서도 자세히 다룰 필요가 있다.
– 국제 법 절차를 거쳐 수신 받은 다양한 요청에 관한 정보와 이와 같은 요청이 발생한 국가들에 대한 정보를 제공한다.
– 표현의 자유와 프라이버시와 관련된 의제에 대한 내부 보고절차를 검토한다. 인권에 대한 주제를 다루는 보고서를 연 2회 발간하는 방안을 고려해 볼 수 있으며, 해당 보고서에는 인권에 영향을 미치는 사업결정, 회사의 주요 이니셔티브, 규제와 관련된 입법 현황에 대한 평가 등이 포함되어야 한다.

다. 회사 경영진, 임원 교육
– 신임 임원과 이사회 구성원은 반드시 인권문제에 대한 특정 교육을 받도록 한다.

라. 이용자 커뮤니케이션 개선
– 합법적인 요청에 의해 회사가 정부에게 정보를 제공하는 경우, 회사는 법적으로 통지가 금지되어 있지 않는 한 온라인 서비스 이용자에게 해당 내용을 통지한다.
– 회사의 법적 가이드라인에 대한 공공 접근권을 개선하여야 한다. 다시 말해, 회사가 법적 절차에 반드시 의무적으로 따라야 하는 모든 법적 관할권에 대한 내용을 공개해야 한다.
– 법적으로 정부가 권한을 행사하여 정보 요청을 하는 경우, 회사는 제공하는 정보에 대한 범위에 대해 이용자에게 보다 상세히 설명해야 한다. 회사는 이용자 보호와 개인정보 보호에 대해 이용자가 직면할 수 있는 위험에 대해 안내하여야 한다.

————————————

  1. GNI Assessments Public Report, available: https://globalnetworkinitiative.org/content/public-report-independent-assessment-process-google-microsoft-and-yahoo (January 8, 2014.) [본문으로]
  2. 애드혹 네트워크 : 애드혹 네트워크는 영어로 “ad hoc network”라고 쓰며, 독수리 Hawk 에서 유래하였다. 독수리 처럼 날아 네트워크를 낚아챈다는 의미 [본문으로]
저자 : 고아라

한국인터넷자율정책기구 기획협력실 책임연구원. *E-mail. arako@kiso.or.kr