국가사이버안보법안에 대한 의견표명

Ⅰ. 검토 배경 현재 국회에는 김병기 국회의원이 2021. 11. 4. 대표발의한 「국가사이버안 보법안」(의안번호 13145, 이하 “사이버안보법안”이라 한다)이 계류되어 있 는바, 이 법안은 국가정보원을 중심으로 정부와 안보 관련 기업이 협력하여 사이버안보 위협을 능동적으로 확인·대처할 수 있도록 구체적 수단과 절차 를 마련하고, 사이버안보 정책의 집행력을 강화하는 등의 목적으로 제안되 었다. 국가인권위원회는 사이버안보법안의 입법 취지 등을 충분히 고려하더라 도 일부 조항은 개인정보자기결정권 및 통신의 비밀 등 국민의 기본권을 과도하게 제약할 우려가 있다고 판단하여 「국가인권위원회법」제19조 제1 호 및 제25조 제1항에 따라 검토하였다. Ⅱ. 판단 및 참고기준 「대한민국헌법」제17조 및 제18조를 판단 기준으로 하고, 「개인정보 보호 법」 및 「통신비밀보호법」, 유럽연합 「개인정보보호법」(EU General Data Protection Regulation; GDPR), 헌법재판소 2005. 5. 26. 99헌마513·2004헌마 190(병합) 결정 및 2012. 8. 23. 2010헌마439 결정 등을 참고 기준으로 하였 다. Ⅲ. 사이버안보법안에 대한 검토 1. 전기통신 당사자의 임의 제공(안 제19조 제2항 및 제3항) 가. 관련 규정 사이버안보법안 제19조(전기통신 당사자의 임의 제공) 제2항은 “국가정보 원장은 사이버안보 정보수집에 필요한 조사{「국가정보원법」제5조(국가기관 등 에 대한 협조 요청 등) 제2항에 따른 조사를 포함한다}를 실시하는 경우, 사이버 안보위협디지털정보 중 통신사실확인자료 또는 송·수신이 완료된 전기통신 내 용을 제공하여 줄 것을 전기통신 당사자(일방 또는 쌍방을 말한다)에게 요청할 수 있다”고 규정하고, 같은 조 제3항은 “요청을 받은 전기통신 당사자는 「통신비 밀보호법」제3조(통신 및 대화비밀의 보호) 제1항 본문의 규정에도 불구하고 해당 통신사실확인자료 또는 전기통신 내용을 국가정보원장에게 제공할 수 있 다”고 규정한다. 나. 검토의견 사이버안보법안 제19조 제2항 및 제3항과 관련하여서는 정보주체 당사자의 진정한 동의에 따라 통신사실확인자료 등이 제공되는지 여부, 이러한 임의제공 규정이 영장주의 원칙을 회피하는데 남용될 수 있는지 여부, 다른 전기통신 당사 자의 권리를 침해할 가능성이 있는지 여부가 문제될 수 있다. 첫 번째로, 개인정보를 수집하거나 제3자에게 제공하기 위해서는 정보주체 당사자의 동의나 허락이 있어야 한다는 것이 일반적인 원칙이다. 여기서 당사자 의 동의란 단지 외형적인 동의의 표시만 있으면 되는 것이 아니라, 당사자가 개인정보 처리의 목적 등을 명확히 설명받은 후, 완전한 자유의사에 기하여 동의 한 경우에만 진정한 동의라고 할 수 있다. 우리나라의 대법원 판결이나 유럽연합 「개인정보보호법」(GDPR) 등은 이러한 동의의 기준을 명확히 제시하고 있다. 그런데 이와 관련하여 사이버안보법안 제19조 제3항을 보면 전기통신 당사 자는 국가정보원의 요청을 받은 경우 통신사실확인자료나 송·수신이 완료된 전 기통신 내용을 “제공할 수 있다”고 규정하는바, 조문의 외형으로는 전기통신 당사자가 통신사실확인자료 등의 정보를 제공할지 여부를 자유롭게 결정할 수 있는 것처럼 보인다. 그러나 현실적으로는 국가정보원이 "사이버안보 정보수집 에 필요한 조사"를 이유로 개인에 불과한 전기통신 당사자에게 정보의 제공을 요청한 경우, 전기통신 당사자가 전적으로 자유로운 의사에 기해 제공 여부를 결정하는 것은 쉽지 않다. 오히려 내심의 진정한 의사보다는 국가정보원의 요청 을 거부했을 경우의 불이익을 우려하거나, 혹은 관계의 비대칭성이나 무형적인 위세로 인하여 동의가 강제되는 상황에 처해질 가능성을 부인하기 어렵다. 두 번째로, 「통신비밀보호법」은 수사기관 및 정보수사기관은 법원의 허가 를 통하여 전기통신 내용을 지득하거나 통신사실확인자료를 제공받도록 규정하 고 있다. 이와 관련하여 대법원은 「통신비밀보호법」상의 감청은 전기통신의 송·수신과 동시에 이루어지는 경우만을 의미하고 이미 수신이 완료된 전기통신 의 내용을 지득하는 행위는 포함되지 않으므로, 송·수신이 완료된 문자메시지 등은 「통신비밀보호법」에 따른 절차로 제공받을 수 없다고 판시한 바 있다(대법 원 2012. 10. 25. 선고 2012도4644 판결 및 대법원 2016. 10. 13. 선고 2016도8137 판결). 그런데 사이버안보법안 제19조 제2항은 "송·수신이 완료된 전기통신 내용" 을 전기통신 당사자에게 임의 제공하도록 요청할 수 있다고 규정하고 있으므로, 결과적으로 국가정보원이 법원의 허가 절차를 회피하고 전기통신 당사자에게 직접 요청하는 방식으로 송·수신이 완료된 전기통신 내용을 지득할 수 있는 길을 열어줄 우려가 있다. 세 번째로, "통신"이란 일반적으로 송신자와 수신자가 상호 의사소통을 하는 것을 말하며, 헌법 제18조 통신의 비밀 또한 "개인 상호간의 의사소통"을 보호하 기 위한 권리라고 설명된다. 「통신비밀보호법」에 따른 통신사실확인자료에 상 대방과의 전기통신개시·종료시간, 상대방의 가입자번호 등이 포함되는 것이 그 예이다. 이러한 면을 고려할 때, 만약 국가정보원이 사이버안보법안 제19조 제2 항에 따라 전기통신 당사자 일방에 대해서 정보를 요청하여 제공받았다 하더라 도 결과적으로는 통신 상대방에 대한 통신사실확인자료나 전기통신 내용도 같 이 제공될 수밖에 없다. 이는 국가정보원의 요청과 전기통신 당사자 일방의 동의 에 의해 정보가 제공되었더라도 결과적으로 전기통신 상대방의 내적인 사생활 이나 통신의 비밀을 예기치 않게 침해할 위험이 있다. 이상의 내용을 종합하면, 사이버안보법안 제19조 제2항 및 제3항은 국가정 보원의 요청에 따라 전기통신 당사자의 동의가 사실상 강제될 수 있고, 국가정보 원이 「통신비밀보호법」에 따른 법원의 허가 절차를 회피하여 송·수신이 완료된 전기통신 내용을 지득하는 수단으로 이용될 소지가 있으며, 전기통신 상대방의 정보나 통신 내용까지 예기치 않게 제공될 우려가 있다. 따라서 이는 해당 조항 의 실제 운영 과정에서 헌법 제17조로부터 파생된 기본권인 개인정보자기결정 권 및 헌법 제18조 통신의 비밀을 과도하게 침해하게 될 우려가 있다고 판단된 다. 따라서 사이버안보법안 제19조 제2항 및 제3항은 삭제하고, 영장주의 원칙에 따라 국가정보원이 사이버안보위협디지털정보를 취득하도록 함이 바람직하다. 2. 국가안보를 위한 디지털정보확인조치(안 제20조) 가. 관련 규정 사이버안보법안 제20조(국가안보를 위한 디지털정보확인조치) 제1항은 “국 가정보원장은 사이버안보 위협행위에 직접적으로 관련되고 국내디지털정보보 관자가 보관하고 있는 사이버안보위협디지털정보에 대한 정보수집이 필요한 경우로서 다른 방법으로는 수집이 어려운 경우에 한정하여 고등법원 수석판사 의 허가를 받아 디지털정보확인조치를 할 수 있다”고 규정한다. 이와 관련하여 사이버안보법안 제2조(정의) 제9호는 “디지털정보확인조치 란 법원의 허가를 얻어 국내디지털정보보관자가 보관중인 사이버안보위협디지 털정보를 열람 또는 취득하는 조치를 말한다”고 규정하고 있다. 나. 검토의견 사이버안보법안 제20조와 관련하여서는 국가정보원이 디지털정보확인조 치를 하기 위한 보충적·제한적 요건이 적절한지 여부, 디지털정보확인조치가 적용되는 기간이 불분명한 점, 긴급 디지털정보확인조치 위반에 대한 벌칙조항 누락이 문제될 수 있다. 첫 번째, 사이버안보법안 제20조가 정하는 국가안보를 위한 디지털정보확 인조치는 국내디지털정보보관자가 보관하고 있는 사이버안보위협디지털정보 에 대해, 국가정보원이 해당 전기통신 당사자 등의 의사에 반하여 이를 지득하는 강제처분이라고 볼 수 있다. 따라서 국가안보를 위한 디지털정보확인조치는 전 기통신 당사자의 개인정보 자기결정권 및 통신의 비밀 등 기본적 권리가 과도하 게 제약되지 않도록 그 요청 사유와 절차 등을 엄격히 제한할 필요성이 있다. 이와 관련하여, 헌법재판소는 범인의 발견이나 범죄사실의 입증에 기여할 개연 성만 있다면 모든 범죄에 대하여 피의자, 피내사자 뿐만 아니라 관련자들에 대한 위치정보 추적자료를 수사기관이 제공요청할 수 있도록 규정한, 舊 「통신비밀 보호법」에 대해 정보주체의 기본권을 과도하게 제한한다고 결정한 바 있다(헌법 재판소 2018. 6. 28. 2012헌마191 결정). 그런데 사이버안보법안 제20조 제1항은 “사이버안보 위협행위에 직접적으 로 관련되고 정보수집이 필요한 경우로서 다른 방법으로는 수집이 어려운 경우” 디지털정보확인조치를 할 수 있도록 하는바, 이는 사이버안보 대응에 요구되는 위험성, 급박성 등의 보충성 요건이 명확하게 나타나 있다고 보기는 어려우며, 단지 사이버안보 위협행위와 관련되었다는 개연성이 있다면 디지털정보확인조 치를 할 수 있도록 폭넓게 허용하는 것으로 보여진다. 특히나 사이버안보 위협행 위에 대한 대응은 구체적인 범죄행위에 대한 수사와는 달리 사이버 공간의 취약 점 수집·관리·제거, 예방능력 강화, 사이버공격 원인분석과 공격자 규명 등을 포함하는 폭넓은 개념이므로, 사이버안보 위협행위에 대한 대응을 이유로 하는 디지털정보확인조치는 그 요청 요건과 대상, 범위 등이 과도하게 확장될 위험성 을 늘 경계할 필요가 있다고 사료된다. 참고로 「통신비밀보호법」제7조(국가안보를 위한 통신제한조치)는 국가안 보를 위한 통신제한조치와 관련하여 “국가안전보장에 상당한 위험이 예상되는 경우 또는 「국민보호와 공공안전을 위한 테러방지법」제2조(정의) 제6호의 대테 러활동에 필요한 경우에 한하여 그 위해를 방지하기 위하여 이에 관한 정보수집 이 특히 필요한 때” 통신제한조치를 할 수 있다고 규정하고, 같은 법 제13조(범죄 수사를 위한 통신사실 확인자료제공의 절차) 제2항의 실시간 추적자료 등에 대 한 제공 요청은 “다른 방법으로는 범죄의 실행을 저지하기 어렵거나 범인의 발견·확보 또는 증거의 수집·보전이 어려운 경우에만”에만 해당 자료의 열람이 나 제출을 요청할 수 있다고 규정하는 등 그 보충성 요건을 엄격히 제한하고 있음을 참고할 필요가 있다. 두 번째, 디지털정보확인조치와 같은 강제처분은 그 요청 기관의 필요에 따라 자의적으로 장기간 이루어질 위험성이 상존하므로, 이를 방지하기 위해서 는 이러한 조치가 허용되는 기간의 상한을 명시적으로 제한할 필요가 있다. 헌법 재판소는 「통신비밀보호법」에 따른 통신제한조치 기간은 헌법상 무죄추정의 원칙과 통신의 비밀보호에 비추어 인정되는 불감청수사원칙의 예외로 설정된 기간이라고 결정하여 이러한 원칙을 명확히 한 바 있다(헌법재판소 2010. 12. 28. 2009헌가30 결정). 그런데 사이버안보법안 제20조 제3항은 디지털정보확인조치 청구서의 기 재 항목에 “유효기간”을 포함하고는 있으나, 이 유효기간이 디지털정보확인조 치에 착수하여야 하는 기간인지 아니면 디지털정보확인조치가 허용되는 유효기 간인지 불명확하다. 더 나아가 사이버안보법안은 최대 어느 정도의 기간까지 디지털정보확인조치를 허용하는지에 대해서는 아예 규정을 두지 않고 있다. 참 고로 「통신비밀보호법」제6조(범죄수사를 위한 통신제한조치의 허가절차) 제2 항은 각각 범죄수사를 위한 통신제한조치는 원칙적으로 2개월, 같은 법 제7조(국 가안보를 위한 통신제한조치) 제2항은 국가안보를 위한 통신제한조치를 원칙적 으로 4개월을 초과하지 못하도록 규정하고 있다. 세 번째, 사이버안보법안 제20조 제8항은 고등법원 수석판사의 허가 없는 긴급 디지털정보확인조치를 규정하면서, 그 조치의 집행 후 지체 없이 고등법원 수석판사에 허가청구를 하여야 하고, 36시간 이내에 고등법원 수석판사의 허가 를 받지 못한 때에는 열람 또는 취득한 정보를 지체 없이 폐기하도록 규정하고 있으나, 이의 위반에 대한 벌칙 규정은 확인되지 아니한다. 「통신비밀보호법」 제8조(긴급통신제한조치)에서 긴급통신제한조치에 대해 36시간 이내에 법원의 허가를 받지 못한 때에는 즉시 이를 중지하도록 하고, 같은 법 제17조(벌칙) 제2항 제2호에서 긴급통신제한조치를 즉시 중지하지 아니한 자에게 벌칙을 규 정하는 것과 비교하여 볼 때, 사이버안보법안에 긴급 디지털정보확인조치의 허 가를 받지 못한 경우 열람 또는 취득한 정보를 폐기하지 아니한 행위에 대해서도 벌칙을 부과하도록 보완하는 것이 필요하다. 이상의 내용을 종합하면, 사이버안보법안 제20조는 국가안보를 위한 디지 털정보확인조치에 대해 위험성, 급박성 등의 보충성 요건이 명확하게 나타나 있지 않고, 디지털정보확인조치가 허용되는 기간의 상한도 명시적으로 규정하 고 있지 않으며, 긴급 디지털정보확인조치에 따른 열람·취득 미폐기에 대한 벌칙 규정도 마련되어 있지 않아, 결과적으로 개인정보자기결정권 및 통신의 비밀을 과도하게 침해할 우려가 있다고 판단된다. 따라서 사이버안보법안 제20조에 국 가안보를 위한 디지털정보확인조치의 요청 사유와 필요성 등을 보다 구체적으 로 제한하고, 디지털정보확인조치가 허용되는 최대한의 기간을 명시적으로 보 완하며, 긴급 디지털정보확인조치에 따른 열람·취득 정보 미폐기에 대한 벌칙 규정을 보완하는 것이 바람직하다. 3. 다른 법률과의 관계(안 제4조) 가. 관련 규정 사이버안보법안 제4조(다른 법률과의 관계)는 다른 법률과의 관계에 대하 여, “사이버 안보에 관하여는 다른 법률에 우선하여 이 법을 적용한다”고 규정한 다. 나. 검토의견 우리나라에는 개인정보나 기타 정보통신 관련 정보의 수집, 제공, 활용 등에 대해 다양한 법률 및 여러 소관 중앙행정기관이 존재하고 있고, 어떤 법률을 우선적으로 적용할지 여부에 대해서도 논란이 지속되고 있다. 따라서 개인정보 나 정보통신 관련 정보를 규율하는 법률은 우선적용 여부와 다른 법률과의 상호 관계를 면밀히 다룰 필요성이 있다. 특히 「개인정보 보호법」은 개인정보보호 일반 원칙, 정보주체의 권리, 안전성 확보에 필요한 조치, 개인정보 보관과 파기 등에 관한 기준을 제시하는 일반법으로서, 개인정보와 관련한 다른 법률에 특별 한 규정이 없을 때에는 「개인정보 보호법」이 정하는 원칙에 따라 처리하도록 하는 경우가 많다. 사이버안보법안에 따른 디지털정보확인조치 등은 넓게 보면 개인정보의 수집·이용, 제3자 제공 등에 해당하므로, 사이버안보법안에서 사이버안보에 필 요하여 별도로 정하는 사항 이외에는 일반적인 개인정보보호 기준에 따르도록 함이 옳다. 그러나 사이버안보법안 제4조는 어떠한 예외도 없이 「개인정보 보호 법」등 다른 법률의 적용을 일체 배제하고 사이버안보에 관하여 이 법만을 적용 하도록 규정하고 있으므로 이는 앞서 언급한 개인정보보호의 일반적 원칙과 취지를 고려할 때 적절치 않다. 윤영찬 국회의원(더불어민주당)이 2021. 12. 2. 대표 발의한 「사이버보안 기본법안」제4조(다른 법률과의 관계)에서 “사이버보 안에 관하여 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다”고 규정하는 것도 참고가 될 수 있다. 따라서 사이버안보법안 제4조를 “사이버안보나 개인정보 보호 등과 관련하 여 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법을 적용한다”와 같이 보완하는 것이 바람직하다. Ⅳ. 결론 이상과 같은 이유로 「국가인권위원회법」제19조 제1호 및 제25조 제1항에 따라 주문과 같이 의견을 표명한다.