통신사는 개인정보를 못 지운다

Study논문

개인정보보호 담당자가 하는 일이라고 하면 대개 비슷한 그림이 떠오른다. 동의서 손보고, 처리방침 고치고, 위탁사 점검하고, 사고 나면 신고하고. 업종이 달라도 뼈대는 크게 안 바뀐다.

그런데 이동통신사는 여기에 하나가 더 붙는다. 수사기관에서 오는 자료 제공 요청을 처리하는 일이다. 알뜰폰 사업자도 예외가 아니다. 이 업무의 법적 구조를 정면으로 다룬 논문이 있어서(박희영, 형사법연구 35권 1호) 읽어봤는데, 생각보다 복잡했다.

통신사실확인자료가 뭔가

통신비밀보호법 제2조 제11호에 일곱 가지가 한정적으로 열거돼 있다. 가입자의 전기통신일시, 개시·종료시간, 발·착신 통신번호, 사용도수, 컴퓨터통신·인터넷 로그기록, 발신기지국 위치추적자료, 접속지 추적자료.

통화 내용이 아니다. 누가 언제 누구와 얼마나 통신했고 어디서 접속했는지에 관한 자료다. 흔히 '메타데이터'라고 부르는 것. 헌법재판소는 2018년 결정(2012헌마538)에서 이 자료를 비내용적 정보이긴 하지만 통신의 자유를 구성하는 본질적 요소라고 봤다.

수사기관은 통비법 제13조에 따라 이 자료의 제공을 요청할 수 있고, 전기통신사업자는 제15조의2에 따라 협조해야 한다. 시행령 제41조 제2항은 보관기간을 정하는데, 자료 종류에 따라 3개월·6개월·12개월 '이상'이다.

파기 의무와 보관 의무가 정면으로 부딪힌다

여기가 개인정보보호 담당자한테 흥미로운 지점이다.

개인정보 보호법 제21조 제1항은 보유기간이 지나거나 처리 목적이 달성돼서 개인정보가 불필요해지면 지체 없이 파기하라고 한다. 통신 데이터도 마찬가지다. 통화가 끝나고 요금 정산이 끝나면 그 통신 기록은 원래 지워야 하는 데이터다.

그런데 통비법 시행령이 이걸 3개월, 6개월, 12개월씩 보관하라고 한다. 개보법 제21조 제1항 단서는 다른 법령에 따라 보존해야 하는 경우 파기하지 말라고 하고, 제3항은 그렇게 보존하는 개인정보는 다른 개인정보와 분리해서 저장·관리하라고 한다.

논문의 핵심 주장이 여기서 나온다. 통비법에는 "보관하라"는 명시적 문언이 없다. 협조의무와 보관기간만 있을 뿐이다. 그래서 저자는 보관의 법적 근거를 개보법 제21조 제3항(분리 저장·관리 의무)과 그 과태료 규정, 그리고 통비법 제15조의2와 시행령 제41조의 결합에서 끌어낸다. 두 법을 붙여야 비로소 보관의무가 성립한다는 것. 그리고 벌칙이 붙어 있으니 이건 임의규정이 아니라 강행규정이라고 본다.

담당자 입장에서 번역하면 이렇다. 지우는 게 원칙인데 못 지우는 데이터가 있고, 그건 따로 떼어놓고 관리해야 하며, 안 하면 과태료를 맞는다. 그리고 수사기관이 요청하면 내줘야 한다. 이 제공도 개보법 제18조 제2항의 목적 외 제공에 해당하고, 논문은 이것 역시 법적 의무라고 본다.

알뜰폰도 대상이다

통비법의 '전기통신사업자'는 기간통신사업자와 부가통신사업자를 모두 포함한다. 논문은 카카오톡 서비스 제공자도 통확자료 보관 주체가 된다는 점을 짚으면서, 독일보다 우리 범위가 훨씬 넓다고 지적한다. 독일은 전기통신법 수범자로 좁게 한정하고 텔레미디어서비스 제공자는 제외한다.

알뜰폰 사업자(MVNO)도 전기통신사업자로 등록돼 있으니 이 구조 안에 들어온다. 다만 망을 빌려주는 기간통신사업자가 보유하는 자료와 알뜰폰 사업자가 자체 보유하는 자료의 경계, 그리고 실제 요청이 어느 쪽으로 가는지는 사업 구조마다 다를 수 있어서 이건 따로 확인이 필요한 부분이다.

이 제도가 흔들릴 수도 있다

논문의 진짜 주제는 위헌성이다.

유럽사법재판소가 2022년 독일 전기통신법의 트래픽데이터 보관조항이 EU 기본권헌장 제7조(사생활·통신비밀), 제8조(개인정보보호), 제11조(표현의 자유), 제52조 제1항에 위반된다고 판결했다(C-793/19, C-794/19). 범죄혐의가 없는 모든 국민의 통신 기록을 구분 없이 일정 기간 보관하는 것은 절대적 필요성의 한계를 넘는다는 것. 그런 보관은 민주주의 사회에서 예외여야지 원칙이 되어서는 안 된다고 했다.

재판소가 허용한 예외는 두 가지다. 대상 특정 보관(targeted retention)과 신속보관명령(expedited retention, 이른바 quick freeze). 전자는 객관적 기준으로 대상을 좁혀서 보관하는 것, 후자는 법원 통제 아래 사업자가 보유 중인 자료를 신속히 보존하도록 명령하는 것이다.

저자는 이 법리를 우리 규정에 대보면 같은 결론이 나올 가능성이 있다고 한다. 우리도 범죄혐의 없이 전 국민의 통확자료를 체계적으로 보관하고 있고, 게다가 독일처럼 '특별히 중대한 범죄'로 제한하지 않고 모든 범죄를 대상으로 하며, 보관 대상에 부가통신 서비스 관련 데이터까지 들어간다. 기본권 침해 가능성이 오히려 더 높다는 것.

당장 제도가 바뀌지는 않겠지만, 통신사 담당자라면 이 논의가 어디로 흘러가는지는 알고 있어야 할 것 같다.

논문 이후 바뀐 것

읽으면서 걸린 게 하나 있다.

논문은 동의 없는 통신 데이터 수집의 근거로 옛 개인정보 보호법 제39조의3 제2항(정보통신서비스 제공자 특례)을 여러 번 인용한다. 그런데 이 논문은 2023년 3월에 게재됐고, 바로 그 시점에 개보법이 개정되면서 제6장 정보통신서비스 제공자 특례가 통째로 삭제됐다(2023.3.14. 개정).

여기서 좀 고약한 건 삭제로 끝난 게 아니라는 점이다. 같은 개정에서 제6장을 들어내면서 그 번호를 손해배상 소송 관련 조문으로 다시 채웠다. 그래서 지금 제39조의3을 찾아보면 '자료의 제출'이라는 전혀 다른 조문이 나온다. 조문 표기도 '본조신설'이 아니라 '전문개정'이다. 번호는 그대로인데 내용이 통째로 갈린 셈이라, 옛 문헌의 인용을 그대로 따라가면 엉뚱한 조문에 도착한다.

계약 이행을 위한 동의 없는 수집은 이제 제15조 일반규정으로 통합됐다. 논문의 결론(보관의 근거는 제21조 제3항과 통비법의 결합) 자체는 제21조가 일반규정이라 그대로 살아 있다. 다만 인용할 때 조문 번호는 갱신해야 한다. 법령 인용은 게재 시점의 스냅샷이라는 걸 새삼 확인했다.


출처