PC 시대의 원조 IT 공룡이었지만 스마트폰 시대에 고전을 면치 못했던 MS(마이크로소프트)가 PC뿐만 아니라 스마트폰ㆍ태블릿ㆍ콘솔 등 모든 기기에 호환성을 갖춘 획기적이고 새로운 운영체제를 개발하였으니 이게 바로 '윈도 10'이다. 윈도 10은 7월 29일 출시될 예정이며, 보안 기능을 강화한 윈도 디펜더, 생체정보 인증기술인 윈도 헬로우, 음성비서 코타나 등의 새로운 기능뿐만 아니라 기존 윈도 7이나 8.1 이용자에 대한 무료 업그레이드까지 제공하고 있지만, 가장 큰 화제는 새로운 웹브라우저인 '엣지(Edge)'이다. 윈도 하면 인터넷 익스플로러(IE)를 떠올리지만 윈도 10에서는 인터넷 익스플로러가 아닌 엣지가 기본 장착되어 출시될 예정이다. 인터넷 익스플로러에서 엣지로 단순히 웹브라우저 하나 바뀌는 것이었지만 국내 금융계나 전자상거래계 등은 일대 혼란에 빠졌다. 엣지에서는 더 이상 액티브엑스(active X)를 지원하지 않아 금융거래ㆍ전자상거래가 불가능하기 때문이었다. 액티브엑스는 사용자가 기존 응용 프로그램으로 작성한 문서 등을 인터넷과 연결시켜 그대로 사용할 수 있는 기술로서, 예컨대 인터넷으로 금융사이트를 이용하기 위해서는 금융거래 및 보안프로그램 등이 사전에 PC에 설치되어야 하는데 이러한 프로그램을 PC에 설치할 수 있도록 하는 기술이다. 이처럼 웹브라우저의 기능을 확장해 주는 프로그램을 플러그인이라 하는데, 대표적으로 액티브엑스, NPAPI, 플래시, 실버라이트 등이 있다. 플러그인이 웹브라우저의 기능을 확장해 주긴 하였지만 악성코드 유포의 통로로 이용되면서 보안 문제가 끊임없이 제기되자, MS는 엣지를 통해 플러그인의 퇴출을 시도하였고 구글이나 모질라 재단도 이에 적극 동참하였다. 하지만 그동안 공인인증서나 액티브엑스에 전적으로 의존해 왔고, MS나 구글의 예고에도 불구하고 아무런 준비를 하지 못한 대한민국은 사면초가 상태에 놓이게 되었다. 흐름을 읽는 발빠른 IT 정책 수립이 아쉬운 대목이다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2015. 7. 13.) 기고.

1998년 스탠포드대 박사 과정에 있던 공동창업자 세르게이 브린(Sergey Brin)과 래리 페이지(Larry Page)는 캘리포니아주 먼로파크에 있는 친구 수잔 보이치키의 '주차장'에서 위대한 기업 구글을 창조했고, 얼마 후 이 회사는 가장 창의적인 인터넷 기업이 되었다. 그보다 20여년 전인 1976년 스티브 잡스(Steve Jobs)와 스티브 워즈니악(Steve Wozniak)은 캘리포니아주 로스앨토스에 있는 잡스 부모의 '주차장'에서 첫 개인용 컴퓨터(PC)인 '애플1'을 생산하였고, 얼마 후 이 회사는 혁신을 대표하는 기업으로 성장하였다. 시대를 이끌고 인류를 혁신시킨 이 시대의 가장 위대한 두 기업은 우연하게도 어둡고 기름 냄새 가득한 '주차장'에서 탄생했다. '주차장'은 우리나라 상황에서는 익숙한 개념이 아니다. 우리나라에서 주차장 있는 집이면 그래도 넉넉한 형편일 것이기에, 우리나라 방식으로 표현하면 '옥탑방' 정도가 되지 않을까. 우리나라 상황에서, 명문대 학생이(명문대 학생이 아니라도 마찬가지이겠지만) 대기업이나 공직에 들어가지 않고 창업을 하겠다고 하면, 그것도 옥탑방에서 창업을 하겠다고 하면, 모든 사람들이 반대할 것이다. 왜 편한 길을 두고 힘든 길을 가냐고 걱정할 것이다. 얼마 전 모교를 방문해 후배 고등학생을 대상으로 앞으로 '창업'을 하려는 사람이 있냐고 물었더니 아무도 손을 들지 않았다. 그들 머리에는 래리 페이지나 스티브 잡스가 존재하지 않음을 알 수 있었다. 이들이 우리나라 상황에서는 옳은 판단을 하고 있을지 모른다. 하지만 젊은 세대들이 창업을 두려워하고 옥탑방에서 기적을 창조하려는 것을 꺼리는 것은 우리의 미래에 좋은 징조가 아니다. 이들이 창업과 옥탑방 대신에 대기업 적성시험ㆍ고시나 독서실에 몰입하는 것은 기성세대의 잘못이고, 이런 현상을 그대로 두는 것은 바람직하지 않다. 틀에 박힌 전통보다는 창업과 도전으로 기회를 쟁취할 수 있는 열린 미래의 가능성을 물려주었으면 좋겠다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2015. 7. 6.) 기고.

2014년 4월, 미국 연방통신위원회(Federal Communications Commission)는 사실상 망중립성(network neutrality, 네트워크 망 안에서는 모든 콘텐츠가 평등하기에 차별 받지 않는 원칙)을 포기하는 내용의 정책을 발표하였다. 망사업자들이 추가적인 과금을 통해 초고속 프리미엄 서비스(fast lane)를 제공할 수 있도록 하는 내용이었다. 이 정책이 최종적인 것은 아니지만 기존의 열린 인터넷(Open Internet)과 망중립성을 지지하던 연방통신위원회의 입장에서 반대쪽으로 나간 점이 있어, 많은 콘텐츠 사업자들의 반대와 더불어 커다란 논란을 일으켰다. 이렇게 미국 연방통신위원회가 망중립성 원칙을 새로이 설계한 것은 2014년 1월에 있었던 연방항소법원의 Verizon v. FCC 결정이 원인이었다. 연방항소법원은 연방통신위원회가 정보서비스사업자로 분류되어 있는 버라이존(Verizon)에 대하여 차별금지 및 차단금지 의무를 부과하는 것은 권한 밖이라고 판시하였기 때문이었다. 이 결정 이후 연방통신위원회는 상고 대신에 새로운 망중립성 규칙을 만들겠다고 선언했다. 2014년 5월 미국 연방위원회는 규정안 제안 공고(Notice Of Proposed Rulemaking, NPRM)를 발표하여 망중립성에 대한 2가지 옵션을 제시하였다. 첫 번째는 빠른 망과 느린 망의 2단의 인터넷을 허용하는 방안이고, 두 번째는 망사업자를 정보서비스사업자가 아닌 정보에 대한 선별 없는 망통과 의무 즉 커먼캐리어(common carrier) 의무를 부담하는 기간통신사업자로 분류하겠다는 것이다. 미국과 달리 우리나라 망사업자들은 기간통신사업자로 분류되어 있어 미국의 직접적인 영향을 받을 것으로 보이지는 않는다. 어쨌든, 망중립성의 훼손시 망 차별에 따른 모든 부담이 결국 소비자들에게 전가될 것이고, 시작부터 열세인 스타트업 기업이나 중소기업에게 불리하게 작용할 것이기에, 그 기본적인 원칙은 반드시 준수되어야 할 것이다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2014. 5. 26.) 기고.

세월호 침몰의 아픈 기억 때문에 온 국민의 가슴은 멍이 들었고 눈에는 참을 수 없는 슬픔을 담게 되었다. 구조 활동을 통하여 한 사람이라도 살아 돌아왔다면 얼마나 좋을까 하는 마음이 가득하지만, 현실은 그렇지 못하였다. 선장이나 선사의 행동에 대하여 국민은 분개하고 있지만, 다른 한편으로 재난 구조 시스템이 작동하지 않은 것에 대하여 국가에 대한 원망이 적지 않다. 그동안 기업이나 국가나 할 것 없이 성장 위주의 투자나 정책 때문에 안전이 뒷전으로 밀려 있었던 것이 우리의 현실이다. 성장이란 것은 쌓아 올리는 것이기도 하지만 또한 잃지 않아야 달성되는 것이다. 열심히 쌓아 온 문명이 자연의 재난으로, 인적 재난으로, 테러로 순식간에 사라지는 것을 허용하는 사회라면, 모래 위에 성을 쌓은 것과 다를 바 없다. 세월호의 뼈아픈 경험을 통하여 재난에 대한 예방과 사후 대처 미비가 우리 사회의 단점이라는 것이 밝혀졌고, 이러한 안전에 대한 단점을 보강해야 한다는 것이 명확해졌다. 재난이라는 것은 오프라인 세상에만 있는 것은 아니다. 경시되고 있지만 온라인 사이버 세상에서의 재난이 오히려 더 빈번하다. 우리는 금년 1월에 무려 1억건이 넘는 신용정보가 유출된 재난을 겪었다. 작년에도 방송국, 언론사, 은행 등에 침투한 악성 코드 때문에 전 국민이 사이버 재난을 겪은 적이 있다. 최근 S사의 경우 데이터센터에 화재가 발생하였는데, 이로 인하여 오프라인적 손해와 온라인적 손해가 동시에 발생하기도 하였다. 세월호 사고의 문제점으로 재난에 대한 컨트롤타워의 부재가 지적되었고, 국가재난처의 신설이 논의되고 있다. 작년 사이버 테러의 경우에도 정보보안 컨트롤타워 부재의 문제점이 지적되었고, 국가정보원, 청와대, 미래부 등이 컨트롤타워로 거론되기도 하였다. 그러다가 흐지부지되었다. 이번에는 확실하게 해결을 하고 가야 하지 않을까. 더불어 해결하지 못한 사이버 재난에 대하여도 같이 해결이 되어야 하지 않을까. 더 이상 미룰 일이 아니다. * 법무법인 민후 김경환 대표변호사, 법률신문(2014. 5. 12.) 기고.

법률시장의 불황에 더하여 법률시장 개방으로 인한 거대 외국로펌의 대거 유입으로 국내로펌은 이중고를 겪고 있는데, 특히 외국로펌과의 규제 비형평성 문제, 역차별 문제는 국내로펌의 경쟁력을 저하시키는 데 기여를 하고 있다. 4월 15일자 법률신문의 '[법률시장 완전개방 긴급진단] ③ 3중고 빠진 국내로펌'의 기사에 따르면, 전관예우 방지규정이 적용되는 국내로펌은 외국로펌에 비하여 전관의 영입 제한, 영입 이후의 업무내역 신고의무 등의 역차별을 받고 있으며, 이뿐만 아니라 공공기관이 수임료 책정을 할 때 공개입찰방식을 취하면서 수임단가를 후려치는 반면 외국로펌의 경우에는 수의계약방식을 취하면서 제대로 된 수임료를 지불하고 있다고 한다. 시장 개방으로 인하여 같은 운동장에서 국내 선수와 외국 선수가 뛰고 있는데, 공정해야 할 심판이 국내 선수와 외국 선수에 대하여 각각 다른 룰을 적용하고 있는 것이다. 법률시장에서 이제야 부각되고 있는 국내로펌의 역차별 문제는, 인터넷 등으로 이미 오래 전부터 국경이 철폐된 IT 시장에서는 훨씬 더 오래 전부터, 더 큰 규모로 발생해 왔다. 예컨대 국내 기업에게만 적용되는 공인인증서 사용 의무, 무차별적인 대기업의 공공 IT 사업 참여 제한, 인터넷 실명제, 인터넷 검색 개선 권고안, 영상물ㆍ게임물 등급분류 제도 등등. 과도한 규제도 문제이지만 이런 차별적인 규제 때문에 국내 IT 기업은 막대한 규제비용을 쏟아 붓고 있지만, 외국 IT 기업은 무풍지대에서 아무런 노력 없이 반사적 이익을 챙기고 있다. 규제의 역차별 문제는 시장의 글로벌화에 따른 반사적인 작용이라고도 할 수 있지만, 시장의 글로벌화는 일시적인 현상이 아니고 앞으로 누구도 거스를 수 없는 흐름이라는 점을 고려하면 단순한 반작용이라 치부하지 말고 반드시 개선을 해야 할 부분이라 생각한다. 법률시장이나 IT 시장이나 공히 공정한 게임룰이 절실하다. 그래야만 국내로펌이나 국내 IT 기업들에게 주어지는 기회가 늘어날 것이다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2014. 4. 21.) 기고.

인터넷하면 떠오르는 단어이자 웹서핑에 필수적인 월드와이드웹(WWW, world wide web)이 3월 12일, 25번째 생일을 맞았다. 월드와이드웹은 대규모 정보를 쉽게 공유하기 위하여 1989년 3월 12일 유럽입자물리공동연구소(CERN) 연구원이었던 팀 버너스 리에 의하여 창시되었고, 1993년 CERN이 저작권의 주장이나 사용료의 요구없이 그 기술을 전세계의 사람들에게 무료로 공개함으로 인하여 세계 50억명을 하나로 묶는 기적에 가까운 업적을 남겼다. 인터넷의 역사는 월드와이드웹의 역사라 해도 과언이 아니다. 초기에는 단순한 문자, 이미지의 전송이었지만 시간이 지나면서 동영상 등을 비롯한 멀티미디어까지 품게 되었고, 그래픽 기반의 웹브라우저인 넷스케이프나 인터넷 익스플로어의 출현으로 이용인구의 급증을 낳았으며, 그 후 전자상거래라는 이커머스(e-Commerce) 시장을 형성하는 데 큰 공헌을 하였고, 온라인 게임까지도 출현하게 하였다. 최근에는 HTML5라는 새로운 표준으로 또 한 번의 전기를 맞고 있다. 인터넷 주도권이 모바일로 넘어가면서 단순한 정보 검색 기능의 웹 대신에 정보 큐레이터라 할 수 있는 앱이 대중화되면서 웹의 비중은 떨어질 것이라는 추측이 있었지만, 그럼에도 여전히 웹은 우리 생활에 필수적인 요소가 되고 있다. 사람과 사람을 연결하던 월드와이드웹은 이제 사물과 사물을 연결하는 사물인터넷(Internet of Things)으로 발전하면서 또 하나의 신기원을 이루어가고 있다. 월드와이드웹 25주년을 맞이하여 영국 텔레그래프지는 25인의 웹스타를 뽑았는데, 그 중의 첫 번째는 당연 팀 버너스 리였다. 그러나 법적인 관점에서의 최고의 웹스타는 따로 있다. 바로 저작권을 포기하고 WWW 기술을 전세계에 무료로 공개한 CERN이다. CERN의 기부가 없었다면 인류의 역사는 많이 달랐을 것이다. 권리보장은 법의 포기할 수 없는 목적이지만, 그렇다면 그 권리보장의 목적은 무엇인지를 생각해보게 하는 장면이다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2014. 3. 17.) 기고.

새정부는 창조경제의 핵심을 ICT 산업 진흥 및 융합의 활성화에 있다고 생각하고, 이를 법제적으로 실현하기 위하여 '정보통신 진흥 및 융합 활성화 등에 관한 특별법(줄여서 ICT 특별법)'을 제정하여 그 시행을 기다리고 있다. ICT 특별법은 규제 대상만을 명시하고 그 외의 사항은 모두 허용하는 '네거티브(negative)규제방식'을 기본 원칙으로 삼고 있으며, 사물인터넷·빅데이터, 클라우드 등 ICT 신종사업을 육성·지원함으로써, 스마트 혁명과 소프트웨어 중심의 ICT 생태계 재편에 제대로 대처하지 못하고 기존 하드웨어·기기 중심의 산업구조에 머물러 있는 우리 ICT 산업계의 체질 개선에 주력하고 있다. 특히 정보통신 간 또는 정보통신과 다른 산업 간에 기술 또는 서비스의 결합 또는 복합을 통하여 새로운 사회적·시장적 가치를 창출하는 창의적이고 혁신적인 활동 및 현상인 '정보통신융햡(ICT융합)'산업의 발전에 공을 들이고 있다. 'ICT 융합', '디지털 융합' 또는 '스마트 융햡'이 이 시대의 경쟁력이자 트렌드이므로, 이를 창조 경제의 기반으로 삼아, 혁신·고용창출·경제성장의 기초로 삼겠다는 새정부의 의지를 보인 것이다. 융합(convergence)이라는 단어와 개념은 우리에게 매우 익숙하고, 많은 사람이 융합의 필요성을 느끼고 있다. 융합의 범위는 확장하고 있고 이제는 과학기술뿐만 아니라 인문, 사회과학 분야와 예술 영역까지를 포함하면서, 범학문적 변화와 개혁을 지향한다. 하지만 융합의 결과보다도 중요한 것은 융합의 방향이다. ICT를 중심으로 법률서비스를 결합·복합하는 ICT융합이 아니라, 법조가 중심이 되어 ICT를 결합·복합하는 것도 얼마든지 가능하다. 경험상 누가 주체가 되어 융햡을 하느냐에 따라 결론에 큰 차이가 났었다. 외부적인 융합을 수동적으로 받아들이기보다는 법조가 중심이 되어 외부 영역으로의 융햡을 현실화하는 것. 경쟁력 제고 및 올바른 법리의 전파로서 절실하다. * 법무법인 민후 김경환 대표변호사 작성, 법률신문(2013. 8. 26.), 블로그(2013. 8. 27.) 기고.

판단기준형은 개념형과 달리 개인정보에 대한 판단기준을 정의규정에서 명시적으로 제공하고 있는데, 이 점에서 개념형 또는 개념서술형과는 근본적으로 차이가 있다. 대표적으로 판단기준형을 취하고 있는 영국의 법조문을 살펴보면, 1) 당해 데이터, 2) 당해 개인정보처리자가 보유하고 있는 데이터, 3) 당해 개인정보처리자가 보유할 수 있는 데이터를 근거로 특정 개인을 식별할 수 있다면 이를 개인정보로 보고 있다. 위 영국의 판단기준은 매우 간명하다는 장점이 있다. 1) 당해 데이터로 특정 개인을 식별할 수 있다면 당해 데이터는 개인정보에 해당하고, 2) 당해 데이터로 특정 개인을 식별할 수 없더라도 당해 개인정보처리자가 보유하고 있는 다른 데이터를 통하여 특정 개인을 식별할 수 있다면 당해 데이터는 개인정보에 해당하며, 3) 현재 당해 개인정보처리자가 보유하고 있지 않더라도 당해 개인정보처리자가 보유할 수 있는 가능성이 있는 데이터로부터 특정 개인을 식별할 수 있다면 당해 데이터는 개인정보에 해당한다는 것이다. 여기서 우리나라 개인정보 정의규정과 중요한 차이가 나타나는데, 우리나라 개인정보 규정은 결합가능성의 주체를 당해 개인정보처리자로 보지 않아도 되게끔 기술되어 있는 반면, 영국법은 다른 데이터의 보유가능성의 주체를 당해 개인정보처리자로 명시적으로 제한하고 있다는 점이다. 즉 우리나라 법의 개인정보 정의규정은 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함’이라고 하여 결합을 하는 사람을 당해 개인정보처리자에 한정하지 않음으로써, 당해 개인정보처리자는 보유하거나 보유할 가능성이 없더라도 다른 사람이 보유하거나 보유할 가능성이 있는 정보가 있고 그 정보와 결합을 하여 식별가능성이 생기면 당해 데이터(‘해당 정보’)를 개인정보로 보고 있다. 반면, 영국법은 ‘from those data and other information which is in the possession of, or is likely to come into the possession of, the data controller’라고 하여 다른 데이터의 보유가능성의 주체를 당해 개인정보처리자로 제한하고 있다. 판단기준형을 취하고 있는 나라 역시 적지 않다. 그 구체적인 국가들을 살펴보면 아래와 같다. 혼합형은 우리나라와 같이 개념을 기술하고 그 다음에 판단기준을 제시하는 방식이기에 한국형이라 칭하기로 한다. <개인정보보호법 제2조 제1호> "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. <정보통신망법 제2조 제1항 제6호> "개인정보"란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다. 위 규정에서 괄호 밖의 본문 규정은 개념에 대한 서술이고, 괄호 안의 단서 규정은 판단기준에 관한 서술이다. 우리나라 개인정보보호법의 조문을 좀 더 구조적으로 살펴보기로 한다. ‘살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보’는 개념형과 동일한 내용을 담고 있음을 알 수 있다. 다만 ‘살아 있는 개인에 관한 정보’와 ‘개인을 알아볼 수 있는 정보’ 사이에 <성명, 주민등록번호 및 영상 등을 통하여>란 문구가 중간에 삽입되어 있음을 알 수 있는데, 중간에 삽입된 <성명, 주민등록번호 및 영상 등을 통하여>란 문구는 개념서술형의 영향을 받았음을 알 수 있다. 즉 괄호 밖의 본문은 개념형과 개념서술형을 섞어 놓은 형태를 띠고 있다. 한편 괄호 안의 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다’라는 문구는 판단기준을 제시하고 있기에 영국의 영향을 받은 것으로 보인다. 정리하면 괄호 밖의 본문 내용은 개념형과 개념서술형의 결합이고, 괄호 안의 단서 내용은 영국형을 참조하여 담은 것으로서, 가장 광범위하게 이용되는 3가지의 모든 개인정보 정의규정의 유형이 우리나라 법에 모두 포함되어 있다. 문제는 이렇게 혼합함으로써 앞서 살펴본 3가지 유형보다 개선된 개인정보의 정의규정이 된 것이라고 볼 수 없다는 점인데, 구체적인 문제점은 아래와 같다. 첫째, 괄호 밖의 본문과 괄호 안의 단서의 정합성이 부족해 보인다. 괄호 밖의 본문에서는 ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보’라고 기술하고 있는데, 성명, 주민등록번호 및 영상 등을 통할 경우 어떤 정보라도 개인을 식별할 수 있기 때문에 사실상 모든 개인에 관한 정보는 개인정보가 될 수 있다. 그럼에도 다시 괄호 안의 단서에는 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도’라고 전제하는바, 사실상 괄호 밖의 본문 내용에 어떤 정보를 대입하면 특정 개인을 식별할 수 없는 정보는 없음에도 불구하고, 이와 모순되게 ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수’ 없는 정보가 존재한다는 것을 전제로 법문언이 구성되어 있다. 이렇게 모순되게 보이는 것은 괄호 밖의 본문은 개인정보의 개념이고 괄호 안의 단서는 개인정보의 판단기준인데, 개념과 판단기준이 혼재되어 있어서 발생하는 문제이다. 특히 a라는 하나의 특정 정보가, 괄호 밖의 본문에 따르면 개인정보가 되지만(성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 없는 정보는 사실상 거의 없기 때문이다), 괄호 안의 단서를 적용하면 개인정보가 아닐 수 있는(a만으로는 개인을 알아볼 수 없고, 성명, 주민등록번호 및 영상을 포함한 다른 정보와 쉽게 결합하여 알아볼 수 없는 경우가 있을 수 있기 때문이다) 불합리한 현상이 발생하게 된다. 즉 개인정보의 개념에는 속하지만 개인정보의 법적 판단기준 내지 법적 보호범위는 충족하지 못하는 정보가 있을 수 있는바, 개념과 판단기준을 개념과 판단기준을 명확하게 분리하여 기술하는 것이 필요하다. 둘째, 괄호 밖의 본문 내용은 개념서술형을 참조하긴 했으나 그 원형인 EU 규정처럼 직접 또는 간접 개인정보를 포함한다는 명확한 의미를 전달하지 못하고 있다. 즉 EU의 경우는 1) 이름, 식별번호, 위치정보, 온라인 식별자와 같은 식별자(identifier)와 2) 그 사람의 물리적ㆍ심리적ㆍ유전적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적인 정체성(identity)에 특정된 하나 이상의 요소를 나누어 기술하고 있는데, 우리나라 조문에 있는 ‘성명, 주민등록번호 및 영상’은 EU의 1)만을 의미하는 것처럼 보여, 2)에 관한 내용은 어디에 있는 것인지 의문이 간다. 셋째, 더 큰 문제점은 괄호 안의 단서 내용인데, 괄호 안의 내용의 원형인 영국의 규정은 당해 개인정보처리자의 보유 가능성을 기준으로 식별성을 부여하고 있는데, 우리나라의 괄호 안의 내용은 보유의 주체로서 ‘당해 개인정보처리자’란 말을 빼놓고 기재함으로써 결합가능성의 주체를 당해 개인정보처리자 외의 사람까지 광범위하게 인정할 수 있게끔 하고 있다. 때문에 이 방식이라면 이 세상에서 개인정보 아닌 것이 없다는 비판까지 나오게 되었다. 넷째, ‘쉽게 결합’이란 단어의 모호성이다. 이미 살펴보았듯이 EU 규정은 ‘결합’이라는 용어를 쓰지 않고 ‘보유’라는 단어를 쓰고 있다. 참고로 싱가폴은 ‘보유’라는 단어 대신에 ‘접근’이라는 단어를 쓰고 있다. ‘보유’나 ‘접근’이라는 개념은 이해하기 쉽고 판단이 용이하며 그 안에 개인정보처리자의 입수나 열람이라는 뜻이 내포되어 있지만, ‘결합’이라는 개념은 이해가 쉽지 않으며 판단도 용이하지 않고 결합이라는 단어로써 개인정보처리자의 입수나 열람을 추출하기는 쉽지 않다. 거기에 ‘쉽게’까지 추가되어 있으니 더더욱 이러한 문제점은 가중될 수밖에 없다. 이런 이유로 많은 해석상 난점을 내포하고 있고, 해석하는 사람에 따라 개인정보 포섭범위에 있어 천차만별의 결론이 나오고 있다. 나아가 ‘쉽게 결합’ 등을 포함한 개인정보 정의규정의 모호함은 빅데이터 등 산업에도 악영향을 주고 있다. 개인정보나 식별정보의 범위를 손쉽게 획정할 수 없기 때문에 기업들은 보수적인 해석론에 따라 개인정보나 식별정보의 범위를 넓게 해석하고 있고, 그 결과, 정보의 이용에 대하여 소극적일 수밖에 없게 되었다. 다섯째, ‘통하여’와 ‘결합하여’의 모호성에 대하여 지적하지 않을 수 없다. 우리법은 ‘성명, 주민등록번호 및 영상 등을 통하여’와 ‘다른 정보와 쉽게 결합하여’라고 규정하고 있는바, 문언적으로는 이 둘의 차이점이 있어 보이지만 실제로 그 차이점을 명확하게 결론내리기 어려울 정도로 모호하다. 괄호 밖에 있는 ‘통하여’는 개념서술형으로부터 기원한 것이고, 괄호 안에 있는 ‘결합하여’는 영국형으로부터 기원한 것이지만, 문언적으로 보면 전자가 후자보다 훨씬 더 모호하고 광범위해 보인다. 여섯째, ‘결합하여’는 해석상 결합‘가능성’을 의미하는데, 법조문의 문언은 그렇게 읽히지 않는다는 점이다. 마치 당연히 결합을 ‘전제로’ 하는 것처럼 보이는바, 결합‘가능성’을 따져야 함을 명확하게 법조문에 밝힐 필요가 있다. 혼합형(한국형)을 취하고 있는 나라는 많지 않다. 우리나라, 일본, 중국, 필리핀 정도에 불과하다. 지금까지 전세계 100여개 국가의 개인정보 정의규정을 살펴보았다. 글로벌 표준은 개념형 또는 개념서술형이라 할 수 있는 반면, 우리나라는 개념과 판단기준이 섞여 있는 형태를 보이고 있다. 이것 자체를 문제점이라 하기는 어렵지만, 개념과 판단기준을 명확하게 또는 정합적으로 규정하고 있지 않아 해석상 문제점이 많다는 것은 지적할 수 있다. 개인정보보호법이 시행된 지 이제 5년째가 되어 가고 있다. 그 동안의 문제점을 한번 떨고 가야 할 때가 된 것 같다. 특히 개인정보 정의규정은 수많은 비판을 받아 왔고 그로 인하여 다른 개인정보보호 규정도 규범력이 손상되고 있는 실정이다. 따라서 개인정보 정의규정부터 개선작업을 시작해야 할 것이며, 이 개선작업은 빅데이터의 활용 등 신산업과 연관시켜서 진행함으로써, 사회적 합의 하에 보호와 활용의 균형을 맞추기 위한 유기적인 법정비가 이루어지도록 해야 할 것이다. * 법무법인 민후 김경환 대표변호사, 최주선 변호사 작성, 디지털데일리(2016. 3. 22.), 리걸인사이트(2016. 3. 24.) 기고.

‘개념서술형’은 개인정보에 대한 상세한 개념을 제시하되, 직접적으로 개인을 식별할 수 있는 정보와 간접적으로 개인을 식별할 수 있는 정보로 양분하면서 그 개념을 제공하고 있는 유형이다. 대표적으로 EU의 GDPR(General Data Protection Regulation)이 이러한 형태를 취하고 있는바, 개념형의 기술에 덧붙여 직접 또는 간접으로 개인을 식별할 수 있다는 내용을 담고 있다. 즉 ‘개인정보는 식별자 또는 정체성에 관한 하나 이상의 요소를 참조하여 식별할 수 있는 개인에 관한 정보를 의미하며, 식별은 직접적으로 또는 간접적으로 이루어질 수 있음’을 기술하고 있다. 위 정의규정은 개인정보를 먼저 정의하고 그 다음에 정보주체를 정의함으로써 개인정보에 관한 정의를 완성하고 있다.다만 GDPR 최종안과 달리 GDPR 초안에서는 특이하게 정보주체를 먼저 정의하고 그 다음에 개인정보를 정의하는 형식을 취하였는데, 최종안에는 그 순서가 다시 평범하게 역전되었다. 참고로 GDPR 이전의 EU의 개인정보 지침(95/46/EC)에서는 식별자에 관하여 ‘식별번호’만을 언급하였는데, GDPR 초안에서는 식별자가 ‘식별번호, 위치정보, 온라인 식별자’로 확장되었다가, GDPR 최종안에서는 ‘이름’이 추가로 기술되었다. 어쨌든 위 정의규정은 개인정보에 관하여 직접적으로(directly) 개인을 식별할 수 있는 정보와 간접적으로(indirectly) 개인을 식별할 수 있는 정보로 구별하고 있다. 직접적으로 개인을 식별할 수 있는 정보는 정보가 ‘정보주체’ 자체에 관한 직접적인 정보 이면서 식별성이 있는 정보 또는 곧바로 특정 개인을 다른 사람과 구별할 수 있는 식별자 정보인 경우로서, 예컨대 어떤 제한된 모임에서의 특정인의 이름은 그 사람 자체에 관한 직접적인 정보인 동시에 식별성을 부여하는 정보이므로 직접적으로 개인을 식별할 수 있는 정보라 할 수 있다(‘직접 정보 → 식별 정보’의 2단계 판단 구조임). 이러한 직접적으로 개인을 식별할 수 있는 정보를 검토할 때 주의할 점은, 특정인의 이름은 무조건 식별성을 가지는 정보로서 개인정보인 것은 아니라는 것이다. 특정인의 이름이 개인을 식별할 수 있는 정보가 되는지는 상황에 따라 다를 수 있는바, 동명이인이 있는 경우에는 특정인의 이름이라도 개인을 식별할 수 있는 정보가 되지 않을 수 있다. 간접적으로 개인을 식별할 수 있는 정보는 정보주체 자체에 관한 직접적인 정보는 아니지만 정보주체를 식별할 수 있는 정보로 쓰일 수 있는 경우를 의미한다. 예컨대 휴대폰 전화번호는 기기에 관한 정보이지 정보주체(사람) 자체에 관한 정보가 아니기에 직접적으로 개인을 식별할 수 있는 정보는 아니지만 경우에 따라서는 정보주체에 대한 식별성을 부여할 수 있으며, 이런 경우 휴대폰 전화번호는 간접적으로 개인을 식별할 수 있는 정보가 된다. 또 다른 예로 곧바로 특정 개인을 다른 사람과 구별할 수 있는 식별자 정보는 아니지만 여러 조각을 모으면 특정 개인을 구별할 수 있게 되는 경우가 있는데 이 경우 역시 간접적으로 개인을 식별할 수 있는 정보라 한다. 예컨대 1학년 3반에서‘키 큰 아이’라고 하면 그 자체로 식별성을 가지고 있지 않지만 여기에 ‘남자, 여드름 많은 아이’ 등의 정보가 결합되면 그 조각의 모음으로 특정 개인을 구별해 낼 수 있는 식별성을 띠게 되며, 이 때 이러한 정보의 모음도 간접 식별정보라 한다. 한편 EU GDPR의 개인정보 정의규정에서는 ‘이름, 식별번호, 위치정보, 온라인 식별자와 같은 식별자(identifier) 또는 그 사람의 물리적ㆍ심리적ㆍ유전적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적인 정체성(identity)에 특정된 하나 이상의 요소를 참조하여 직접 또는 간접으로(directly or indirectly) 식별될 수 있는’이라고 기술하고 있는데, 그 의미를 살펴볼 필요가 있다. 위 문구는 특정 정보가 개인을 식별할 수 없는 정보일 때 의미가 있다. 예컨대 ‘키 175cm라는 사람’이라는 정보가 있을 때 이 정도 정보로는 특정 개인을 식별할 수 없다. 하지만 이를 개인정보가 아니라 단정할 수 없는바, ‘이름, 식별번호, 위치정보, 온라인 식별자와 같은 식별자(identifier)’를 참조하면 특정 개인을 식별할 수 있기에 개인정보가 될 수 있다. 또는 ‘그 사람의 물리적ㆍ심리적ㆍ유전적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적인 정체성(identity)에 특정된 하나 이상의 요소를 참조하면’, 예컨대 ‘주소’ 또는 ‘전화번호’ 등의 정보를 참조하면 특정 개인을 식별할 수 있기에 능히 개인정보가 될 수 있다. 즉 이 세상에서 특정 개인에 관한 정보이면 개인정보가 되는 것이고, 이것이 바로 개인정보의 개념이다. 사실상 인간에게 의미있는 상당수의 정보는 개인들과 조금이라도 관련된 정보일 수밖에 없기 때문에, 이러한 관점에서 생각하면 개인정보의 개념은 매우 넓게 설정되어 있다고 볼 수 있다. 특정 정보 하나만으로는 특정 개인을 식별할 수 없더라도 그 정보의 출처가 개인인 이상 그것은 개인에 관한 정보로서 개인정보의 개념에 포섭되는 것이다. 하지만 중요한 것은, 이미 살펴보았듯이, 이렇게 폭넓은 개인정보 개념 중에서 법으로 보호받는 범위를 설정함에 있어서는 별도의 기준이 적용된다는 것이다. 위 EU GDPR의 경우에는, 개인정보 정의규정에는 개인정보의 개념만 나와 있고 그 개념 중 법으로 보호받는 범위에 관한 판단기준은 제시되어 있지 않지만, GDPR의 리사이틀 또는 EU의 제29조 작업반에서 발간한 해설서(“Opinion 4/2007 on the concept of personal data”) 등에 법적 보호범위의 판단기준이 설명되어 있다. 먼저 리사이틀의 내용을 그대로 옮기면 아래와 같다. 개인정보의 판단기준에 있는 ‘식별가능’의 판단기준에서 주의할 용어는 1) all the means to be used either by the controller or by any other person(개인정보처리자 또는 제3자에 의해 사용되는 모든 수단), 2) likely reasonably(합리적으로 가능하다고 생각되는)이다. 위 내용에 대하여 위 해설서는 중요한 쟁점들을 설명하고 있다. 첫째, 식별가능하다는 것은, 그 개인을 구별해 낼 수 있다는 추상적인 가능성을 의미하는 것이 아니라, 그 개인정보처리자 또는 그 사람이 그 개인을 구별해 낼 수 있다는 구체적인 가능성을 의미한다는 것이다. 즉 그저 그 개인을 구별해 낼 가정적인 가능성만으로는 그 개인이 ‘식별할 수 있는’ 상태라고 보기에 충분하지 않다는 것을 의미한다. 이는, 만연히 추상적ㆍ관념적 식별가능성이 아니라 구체적ㆍ현실적 식별가능성이 존재해야만 식별가능성이 인정된다는 의미이다. 둘째, 특정 개인정보처리자 또는 특정인이 그 개인을 구별해 낼 구체적ㆍ현실적인 가능성이 있었는지 여부를 판단할 때에는, 그 개인정보처리자 또는 그 사람이 사용할 수 있는 모든 수단을 고려하여 판단하여야 한다는 점을 알 수 있다. 수단의 예로는, 비용, 기술, 시간, 다른 개인정보 등이 있을 수 있다. 셋째, 수단이 합리적으로 이용됨을 전제로 식별 여부를 결정하여야 한다. 즉 비용, 시간, 인력, 기술, 다른 개인정보 등이 합리적으로 이용됨을 전제로 식별 취득 여부를 결정하여야 한다. 정리하면, ‘합리적으로 식별할 수 있는’이라는 것은 1) ‘개인정보처리자’ 또는 ‘정보주체가 아닌 제3자’에 속하는 자가 2)자신이 합리적으로 가능한 모든 수단을 이용하여 3) 정보주체를 구별할 구체적인 가능성을 취득하는 경우를 가리킨다. 개념서술형(EU형)으로 분류할 수 있는 국가들은 매우 많은바, 그 구체적인 내용은 아래 표와 같다. * 법무법인 민후 김경환 대표변호사, 최주선 변호사 작성, 디지털데일리(2016. 3. 22.), 리걸인사이트(2016. 3. 24.) 기고.

이디스커버리의 대상 : ESI 이디스커버리 절차에서 증거개시의 대상은 전자적 자료(Electronical Stored Information, ESI)이다. 여기서 전자적 자료란, 디지털 형태로 생성ㆍ가공ㆍ전송ㆍ저장 또는 이용되는 정보로서, 컴퓨터나 디지털 기기 또는 소프트웨어에 사용되는 자료를 의미한다. 전자적 자료의 개념은 기술의 발전에 따라 그 범위가 달라질 수 있는 유동적 개념이다. 전자적 자료는 그 법적 취급에 따라 몇 가지로 분류하기도 한다. 첫째, 합리적으로 접근 가능한 자료와 그렇지 않은 합리적으로 접근 가능하지 않은 자료로 분류할 수 있다. 전자는 증거개시에 드는 시간과 비용이 크지 않은 전자적 자료로서 활성자료와 복사자료가 여기에 속하고, 후자는 증거개시 과정에서 과도한 부담과 비용이 들어가는 전자적 자료로서 백업자료와 잔존자료가 여기에 속한다. 여기서 활성자료란 데이터를 생성한 응용프로그램에서 곧바로 접근할 수 있는 저장매체 위에 존재하는 데이터를 의미하며, 복사자료란 컴퓨터 시스템에서 사용자가 생성하는 문서를 정기적으로 저장하여 정전ㆍ컴퓨터오동작 등의 사태에 대응하기 위해서 생성되는 자료를 의미한다. 백업자료란 저장매체 또는 데이터 손실을 방지하기 위해서 별도의 매체에 아카이빙 또는 보관하는 자료를 의미하며, 잔존자료란 삭제된 자료 중에서 재생이 가능한 자료를 의미한다. 구별의 실익은, 합리적으로 접근 가능한 자료에 대하여는 증거개시의무가 존재하지만, 합리적으로 접근 가능하지 않은 자료에 대하여는 원칙적으로 증거개시의무가 존재하지 않은 것으로 추정된다는 점이다. 둘째, 응용프로그램을 통하여 생성된 문서나 파일 그 자체의 형태인 원본데이터와 데이터에 관한 정보를 담고 있는 시스템 데이터인 메타데이터로 분류할 수 있다. 메타데이터는 원본데이터와 달리 데이터의 내용을 파악하기가 쉽지 않지만 이디스커버리 절차에서는 원본데이터와 동일하게 취급한다. 다만 메타데이터의 제출 여부가 중요하지 않은 경우에는 증거제출자는 원본데이터를 이미지하는 등의 관리 및 사용가능한 형태로 변환하여 메타데이터가 포함되지 않은 형태로 제출하는 것도 허용된다. 이디스커버리의 프로토콜 : EDRM EDRM(Electronic Discovery Reference Model)이란 법정에 제출되는 전자적 자료(ESI)의 무결성을 보장하기 위하여 개발된 전자증거개시 표준 프로토콜이다. 여기서 프로토콜이란 추상적인 법이 정한 요건과 절차를 바탕으로 이렇게 구체적인 절차를 이행하면 법이 정한 요건과 절차를 가장 잘 준수할 수 있다는 경험적인 모델로 이해하면 된다. EDRM 프로토콜은 정보관리 단계부터 시작하여 산출ㆍ공개 단계까지 9단계 또는 6단계로 진행된다. 각각의 단계를 간략하게 설명하면 다음과 같다. 1) 정보관리단계(Information Management) : 정보관리는 이디스커버리의 첫단계로서, 전자적 자료의 효율적인 관리 및 보존ㆍ유지에 중점을 두고 신속ㆍ정확한 전자적 자료의 산출을 목적으로 하는 것이다. 2) 식별단계(Identification) : 식별이란 보존의무가 있는 전자적 자료의 소재를 파악하고 전자증거개시의 목적에 비추어 활용할 수 있는 의미있는 자료를 골라내는 작업을 가리킨다. 식별의 3요소는 누가 소유ㆍ관리하는 자료인가, 자료는 어디에 있는가, 언제적 자료가 필요한가인바, 이 3요소에 의하여 자료를 식별하면 된다. 3) 보존 및 수집단계(Preservation and Collection) : 보존이란 증거의 고의적 훼손이나 파기가 되지 않도록 식별된 전자적 자료를 잘 유지하는 것을 말하고, 수집이란 보존된 전자적 자료를 본격적으로 취합하는 과정을 말한다. 4) 처리, 검토 및 분석단계(Processing, Review and Analysis) : 처리란 전자적 자료의 효과적인 검토를 위하여 색인을 작성하고 그 중에서 변호사가 검토할 자료를 추출하는 것을 말한다. 검토란 외부에 개시할 증거와 그렇지 않은 증거(면책특권증거)를 변호사 등의 법률가들이 실질적으로 구별해내는 작업을 가리킨다. 분석이란 키워드ㆍ색인ㆍ차트ㆍ그래프 등의 방법을 동원하여 검토작업의 효율성을 높이는 작업을 말한다. 5) 산출단계(Production) : 전자적 자료를 사용가능한 포맷으로 생성하는 작업을 의미하는바, 예컨대, 원본데이터 형태로 할 것인지, 아니면 메타데이터가 없는 원본에 대한 이미지데이터 형태로 할 것인지를 결정하게 된다. 6) 공개단계(Presentation) : 공개란 최종적으로 증거로서 제출하는 과정을 의미하며, EDRM 프로토콜의 마지막 단계에 해당한다. <이 글은 필자가 『2013년도 2/4분기 국제 IP분쟁 이슈보고서(한국지식재산보호협회)』에 기고한 내용을 축약ㆍ수정한 것임, 위 보고서는 http://www.ip-navi.or.kr/에서 볼 수 있음> * 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2013. 8. 8.), 블로그(2013. 9. 2.) 기고.

'소프트웨어(SW) 중심사회'는 기술의 시대적 변화를 반영한 것이라 할 수 있는데, 그 개념은 SW가 혁신과 성장ㆍ가치창출의 중심이 되고 개인ㆍ기업ㆍ국가의 경쟁력을 좌우하는 사회를 의미한다. SW가 무제한의 가치와 혁신을 창출할 수 있는바 산업과 경쟁력의 중심을 SW로 옮기자는 것이다. 이와 관련하여 최근 교육부와 미래창조과학부는 'SW중심사회를 위한 인재양성 추진계획'을 발표하였는데, 이에 따르면 초등학교는 2019년부터 실과 과목에서 SW 기초교육을 17시간 이상, 중학교는 2018년부터 정보 과목의 교육을 34시간 이상 각각 1년 내에 수행해야 하고, 고등학교는 현행 심화선택 과목인 정보 과목이 2018년부터 일반선택 과목으로 변경된다. SW가 모든 IT의 기초이고 학생들의 논리적 사고를 키워줄 수 있다는 점에서 장래 IT산업과 정보산업에 긍정적인 영향을 미칠 것이라고 생각한다. 특히 SW프로그래밍을 배울 때 처음 하는 것이 각종 알고리즘 문제나 논리학 문제 푸는 것이었다는 점을 생각할 때, 교육부와 미래창조과학부의 시도는 국민의 논리적 수준을 올릴 수 있을 것이라고 기대한다. 그러나 SW 교육을 잘 할 수 있는 교육 전문 인력이 부족하고 대학생도 어려워하는 프로그래밍을 과연 학생들이 따라할 수 있을까 하는 우려도 적지 않다. 더 큰 문제점은 SW 개발자에 대한 대우가 개선되지 않는 상태에서 위 계획이 과연 근본적인 해결책이 될 수 있는지에 대한 의문이다. SW 개발자는 잦은 야근, 낮은 연봉, 빠른 정년 등 때문에 근무 환경이 좋지 않기로 이름난 직역이다. 특히 SW 개발기업의 대부분이 중소기업이어서 이런 열악한 근무 환경이 개선될 가능성은 가까운 시일 내에는 어려울 것으로 보인다. SW 산업시장은 낮은 개발 단가, 비효율적인 유통 구조, 불합리한 규제 등 때문에 신음하고 있고 그 피해는 SW 개발자에게 연결되고 있는바, 진정한 SW 중심사회 실현을 위해서는 SW 시장의 합리화와 SW 개발자 처우개선에도 관심을 기울여야 할 것이다. * 법무법인 민후 김경환 대표변호사, 법률신문(2015. 7. 27.) 기고.

지브롤터는 스페인 최남단에 위치한 영국 속령에 속하는 항구 도시다. 영국령이다 보니 영어라는 언어적 장점도 있고 법 제도적으로나 금융 시스템에서도 익숙한 점이 많기에, 인구가 3만여명임에도 불구하고 그간 많은 ICO가 행해졌다. 지브롤터의 경우, 2018년 1월부터 제3자에 속하는 가치를 저장하거나 전송하는 데 분산원장 기술을 업으로 사용하는 'DLT 제공자(DLT Provider)'는 GFSC(Gibraltar Financial Services Commission)로부터 허가를 받아야 한다는 규정을 최초로 도입했다. 예컨대 가상화폐 거래소가 여기에 해당한다. DLT 제공자는, 사업자는 플랫폼을 가지고 있어야 하고, 경영은 지브롤터 안에서 이루어져야 하고, 기술적으로 경험적으로 충분한 역량이 있어야 하는 등 9가지 원칙 요건을 갖춰야 한다. 하지만 GFSC가 밝혔듯이 DLT 제공자에 대한 규제가 곧 ICO 또는 ICO 발행자에 대한 규제를 의미하지는 않았다. 지브롤터 정부는 2018년 2월 세계 최초로 ICO에 관한 법안을 발표하겠다고 밝혔으나 아직까지는 법률안이 나오지는 않았다. 대신 2018년 3월 9일 ICO에 대한 가이드라인으로서 'Token Regulation'을 발표했기에, 그 내용을 참조하면 ICO에 대한 지브롤터 정부의 방향성을 파악할 수 있다. 이 가이드라인에 따르면, 대부분 토큰은 지브롤터 법 또는 EU 법에 의하면 증권으로 분류할 수 없고, 보유자가 미래의 네트워크에 접근하거나 미래 서비스를 소비하는 자격을 주는 상품의 선 판매(the advance sale of products)로 보고 있다. 즉 대부분 토큰은 상품이지 증권으로 볼 수 없다는 입장이다. 따라서 토큰에 대해 지브롤터의 현행 규제가 적용되지 않는다고 한다. (이를 유틸리티 토큰 또는 액세스 토큰이라고 칭함) 나아가 이 가이드라인은 새로운 법안의 내용을 예고하고 있는데, 새로운 법안의 주된 목적은 소비자 보호, 토큰의 안전한 이용이라고 밝혔다. 이를 위해서 ICO 발행자는 완전하고 정확한 정보를 제공해야 하고, 토큰 판매는 POCA(Proceeds of Crimes Act)법상의 AML/CFT 규정에 따라야 하는 등 일정한 의무가 부과될 예정이다. 나아가 토큰 발행 또는 판매는 일정한 절차에 의하여 지정된 현지 감독관(authorised sponsor)의 감독하에 진행되어야 하는바, authorised sponsor는 현지 준법감시인의 역할을 하게 된다. 현지 authorised sponsor는 실천강령(code of practice)을 마련하여 GFSC의 허가를 받는 등의 자격을 갖추어야 한다. 지브롤터에서 법인을 설립하기는 매우 쉽다. 가장 일반적인 형태의 유한책임 주식회사(Private Company limited by Shares)의 경우, 최소 자본금은 불필요하고(통상적으로는 2000파운드, 우리돈 286만원 정도 납입함), 최소 등기이사는 1인, 최소 주주 역시 1인이다. 비서(secretary)는 지정되어야 하고, 등록 대리인(registered agent) 역시 지정되어 있어야 하며, 회사 소재지는 지브롤터 내에 지정되어 있어야 한다. 법인 설립은 대체로 5일 안에 완료되며, 법인 설립을 위해서 지브롤터에 방문할 필요는 없고, 비거주 회사(non-resident companies)도 가능하다. 이사나 주주는 현지인이 아니라도 상관이 없다. 다만 은행 계좌 개설을 위해서는 현지인 이사가 있으면 많이 유리하다. 그리고 지브롤터 내의 영업이 없다면 은행 계좌 개설은 어렵다. 지브롤터의 법인세 세율은 국내 이익에 대하여만 10%로 매우 낮은 편이다. 여기에 추가적인 면세 혜택을 더하면 법인세 부담을 훨씬 더 줄일 수 있다. 특히 부가세, 양도소득세, 자본이득세, 배당세 등이 없어 세금적으로는 매우 유리하다. 스위스의 추크(Zug, 스위스 중북부의 지명) 주가 크립토 밸리(Crypto Valley)라면, 지브롤터는 크립토 하버(Crypto Harbor)라 불릴만 할 정도로 명성을 얻어가고 있다. 지브롤터가 DLT 제공자나 ICO에 대해 규정을 만들거나 만들려고 하는 이유는, 단순한 금지 목적이 아니라 퀄리티 있는 블록체인 사업자 ICO를 유치하려는 의도이며, 이는 우리 법 제도가 가야 할 방향성이 잘 나타나 있다고 볼 수 있다. * 법무법인 민후 김경환 대표변호사 작성, IT조선(2018. 5. 29.) 기고.

최근 몰타는 ICO에 관한 VFAA 법률을 의회에서 통과시켰는바, 그로 인하여 전세계의 주목을 끌고 있다. 이번 글에서는 ICO의 첫단계로서 몰타에서 법인을 설립하는 절차를 같이 살펴보고자 한다. 몰타의 회사는 public limited liability company와 private limited liability company로 구분하고 있는데, 전자에 대하여는 p.l.c.가 끝에 붙여 있고, 후자에 대하여는 Ltd.가 끝에 붙어 있어야 한다. 통상적으로 후자(private LLC)가 많이 활용되므로 후자에 대하여 설명하기로 한다. 법인을 설립하기 위해서는 명칭이 있어야 하는데, 기존에 있는 회사 이름과 겹칠 수 있기 때문에 몇 개를 같이 준비하는 게 좋다. 영어가 몰타의 공식 언어이기 때문에 영어로 만들면 문제가 없다. 다만 이미 언급했듯이 private limited liability company의 경우는 Ltd.가 반드시 끝에 붙어 있어야 한다. 법인의 설립 목적 즉 업종은 미리 정해야 한다. 주주는 1인도 가능하지만 통상 2인 이상으로 하고 있다. 주주로는 개인뿐만 아니라 법인도 가능하지만, private 회사의 경우는 주주가 50인이 넘지 않아야 한다. 주주는 전부 외국인이라고 상관없다. 주주는 정관(Memorandum & Articles of Association)을 만들어야 한다. 최소 자본금은 1,164.69 유로(약 150만원)가 있어야 하는데 자본금 납입은 통상 1,200 유로로 한다. 자본금의 납입 방식은 유로 통화에 한정되지 않지만, 초기에 적어도 20%(250 유로)는 납입이 되어야 한다. 주식은 보통주, 우선주 등도 가능하지만, 무기명 주식은 허용되지 않는다. 법인의 등록주소는 반드시 몰타 안에 있어야 한다. 이사는 몰타 현지인일 필요는 없고, 법인도 이사가 될 수 있다. 이사는 1인 이상이어야 한다. 만일 법인이 이사이면 자연인 1인을 포함하여 2인의 이사가 선임되어야 한다. 몰타는 명의 이사가 허용된다. 다만 이중과세조약 적용을 받거나 또는 조세환급 차원에서 일부 이사(주주)는 현지 이사(주주)인 게 매우 유리하다. 서기(secretary)는 1인 이상이어야 하고 법인은 서기가 될 수 없다. 서기는 몰타 현지인일 필요는 없고, 이사와 같이 명의 서기가 허용된다. 법인 설립에 걸리는 시간은 2~5일 정도이다. 법인 등록수수료는 자본금의 액수에 따라 245 유로에서 1,750 유로 사이에서 결정된다. 예컨대 1,500 유로 이하 자본금인 경우에는 245 유로이고, 500 유로가 증가할 때마다 등록수수료는 약 15유로 정도가 상승된다. 몰타의 모든 회사는 매년 annual return을 의무적으로 몰타회사등록청(Malta registry of companies)에 제출해야 하고, 특히 법인 설립일로부터 42일 이내에 서기 또는 이사는 annual return을 몰타회사등록청에 제출해야 한다. 이 때 납부하는 수수료는 자본금에 따라 결정되는데, 1,500 유로 이하의 자본금인 경우는 100 유로를 납부해야 한다. 주주총회는 매년 필수적이며, 법인 설립일로부터 18개월 안에 최초의 주주총회가 열려야 하며, 그 이후의 주주총회는 그로부터 15개월 안에 열려야 한다. 등록된 회사는 매년 회계기록을 보관하고 있어야 하며, 회계감사를 받아야 한다. 법인 설립 이후 후속조치로는 은행계좌 개설, Tax registration, VAT registration 절차가 있다. 이 4가지 절차를 모두 거치면 무난한 경제활동을 할 수 있는 전제가 된다. 몰타는 이중과세조약에 가입되어 있는 나라이며, 35%에 달하는 법인세율에도 불구하고 발달된 주주에 대한 조세환급 시스템을 통해서 실질적으로 5% 이하의 세율에 의한 납부만 하면 된다. 조세환급을 받으려면 현지에 주주가 거주하는 게 유리하고, 통상 법인세 납입 또는 주주 배당일로부터 45일 이내 환급이 이루어진다. 특히 몰타는 2004년을 기점으로 외국환거래 통제 규정이 없어져서 우리나라와 같은 강력한 외국환거래 통제가 없지만, 다만 입국시에 현금 10,000 유로 이상 소지자는 신고 의무가 있다. 몰타는 본사이전(redomicilation)이 가능한 나라이다. 따라서 다른 나라에서 폐업을 하고 몰타에 본사를 새로 세울 필요 없이 그대로 본사를 몰타로 이전할 수 있는 제도가 있는 나라이다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2018. 8. 17.) 기고.

2018년 7월 21일, 22일 양일간 아르헨티나 부에노스아일레스에서 열리는 제3차 G20 재무장관회의에서 의미 있는 가상화폐나 ICO에 대한 내용이 다루어질 것으로 예상하고 있습니다. 국제규제라고 불리는 여기서의 가이드라인 또는 규제 내용에 따라 우리나라 가상화폐 규제도 영향을 받을 것이므로, 우리나라 가상화폐 관련자들은 G20 재무장관회의의 결과에 민감할 수밖에 없는데요. 한편 G20 재무장관회의는 2018년 3월 19일-20일 열린 2차 회의에서 FSB(금융안정성회의) 및 표준기구들에게 2018년 7월까지 암호자산에 대한 보고를 해줄 것을 요청했고, FSB는 7월 16일 CPMI, ISOCO, BCBS등 여러 표준기구들의 의견을 취합하여 '암호자산에 대한 보고서'를 G20 재무장관회의에 이미 보냈습니다. FSB의 보고서 내용이 G20 재무장관회의에 반영될 수 있다는 전제 하에, 여기서는 FSB의 보고서 내용을 분석하면서 G20 재무장관회의의 회의 내용 또는 가상화폐에 대한 규제 내용을 예측해 볼까 합니다. FSB의 보고서 내용을 개괄적으로 요약하면 아래와 같습니다. 1. 암호자산이 글로벌 금융시스템 안정성에 중대한 영향을 주지 않지만, 높은 가격 변동성, 시장의 성장 속도 등을 고려하면 경계적인 모니터링이 필요하므로, 암호자산 시장의 안정성에 관한 지표를 개발하고 이를 기초로 암호자산 시장의 안정성이 금융시스템 안정성에 어떻게 전달되는지를 모니터링 할 필요가 있습니다. 2. 지급결제 수단에 관하여, a) 지급수단의 새로운 혁신은 편의성을 가져다 주었지만 안전성이 희생되기도 하는데, 완전히 탈중앙화되어 있고 청구권이나 자산을 징표하지 않은 1세대 프라이빗 디지털 토큰의 경우가 그러한 예이고, b) 향후 암호자산 관련 지급결제 수단은 중앙은행이 디지털 토큰을 발행(CBDC = 중앙은행 디지털 통화)하거나 개선된 기술의 자산을 징표한 2세대 프라이빗 디지털 토큰으로 발전될 수 있습니다. 다만 CBDC의 국경간 이전 과정에서 법적 문제가 발생할 수 있습니다. 3. ICO에 관하여, a) ICO와 전통적인 증권 모집 사이에 투자자와 시장에 대한 보호에 차이가 있는바, 양자의 기준을 일치시킴으로써 투자자와 시장에 대한 보호를 할 필요가 있고, b) 현재로서는 암호자산 플랫폼은 글로벌 금융시스템 안정성에 위험을 주지 않고 있지만, 그럼에도 불구하고 소비자 또는 투자자 보호, 자금세탁 및 테러자금 등의 영역에서 중대한 우려 요소가 있고, c) 지급형 암호자산이 거래되는 플랫폼은 지급 인프라의 일부로 파악될 수 있어야 하며, 증권규제 안에 들어오는 암호자산 플랫폼에 대하여도 쟁점이 고려되어야 하고, d) 암호자산 거래소 같은 2차 시장의 경우에는 투명성, 사이버보안 및 시스템 무결성, 거래 등의 핵심 쟁점이 있으며, e) 비중개 접근형 암호자산 플랫폼의 경우는, 투자자 보호, KYC 의무 등의 문제가 발생하고, f) 인터넷을 이용한 암호자산 플랫폼은 국경간 문제가 발생할 수 있고, 이 경우 각 나라의 규정 차이로 인하여 법집행이 곤란할 수 있으므로 각국 당국은 감독과 법집행에 관하여 협력하는 것이 좋습니다. 위 보고서 내용을 우리나라 가상화폐 투자자 또는 사업자 입장에서 정리할 필요가 있는데, 1. FSB 보고서에는 가상화폐, 암호화폐 대신에 '암호자산(crypto-assets)'이라는 용어가 나오는데 우리에게는 다소 생소한 단어입니다만, G20 재무장관회의는 이전부터 가상화폐를 자산의 한 유형으로 보면서 가상화폐에 대하여 암호자산이라는 용어를 쓰고 있고, 따라서 FSB 보고서에서도 이 용어를 사용하고 있습니다. 명칭에는 시각이 반영될 수밖에 없습니다. 가상화폐의 다양한 기능을 인정하면서도 그 자산성을 인정하는 '긍정적'인 단어로 보입니다. 앞으로 경우에 따라서는 금융분야에서 암호자산이라는 용어가 전세계 표준이 될 수도 있어 보입니다. 2. 현재는 사기업이 지급형 암호자산을 발행하고 있지만, 향후 중앙은행이 암호자산을 발행할 것이고, 이로써 지급수단으로서 암호자산의 안전성 문제를 보완할 수 있다고 보고 있습니다. 가상화폐 기능이나 효용에 대하여 매우 긍정적으로 보고 있으며 단순한 제도권 포섭이 아니라 중앙은행의 암호자산 발행까지도 내다보고 있습니다. 제도권 포섭을 주저하고 극히 소극적인 우리 정부의 태도와는 사뭇 다른 태도라 할 수 있습니다. 3. 보고서는 금융시스템 안전성 확보를 위해서 암호자산 시장에 대한 모니터링이 필요하다고 보고 있습니다. 암호자산 시장이 전체 금융시스템에 영향을 줄 정도로 성장하였다는 것을 반증하는 것이라 볼 수 있을 것입니다. 4. ICO에 대하여도 암호자산(디지털 토큰)의 경제적 기능에 따라 그에 맞는 규율이 필요하며, 그 규율은 투자자 보호나 KYC 등이 주요 내용이 될 것입니다. 예컨대 증권형 암호자산의 경우에는 전통적인 증권 발행과 일치하는 투자자 보호를 요구하고 있습니다. 현재 우리나라 ICO 시장에서는 ICO에 대한 명확한 가이드라인을 요구하고 있으며, 그 가이드라인을 통해서 불확실성을 제거하는 것이 필요하다고 보고 있습니다. 분명 FSB 보고서의 내용은 우리나라 정부의 ICO에 대한 태도보다는 ICO에 대하여 매우 우호적인 태도를 취하고 있음을 알 수 있습니다. 이상 FSB 보고서를 통해서 G20 재무장관회의 결과 우리 가상화폐 시장이나 ICO 환경에 어떤 영향을 미칠지 살펴보았습니다. FSB 보고서의 가상화폐나 ICO에 대한 시각은 우리 정부의 시각에 비교하여 매우 긍정적인 입장임을 금방 알 수 있습니다. 우리 정부도 국제적 규제인 G20 재무장관회의 내용을 준수하는 선에서 그 동안의 연구 결과를 더해 8월 중 가상화폐 가이드라인 초안을 낼 것으로 예상하고 있습니다. 만일 FSB 보고서의 내용이 G20 재무장관회의에 반영되고, G20 재무장관회의의 내용이 우리 정부의 입장에 공식적으로 반영된다면, 가상화폐와 ICO 규제 환경은 분명 현재보다는 긍정적인 방향으로 바뀔 것이며 시장의 불명확성은 상당부분 걷힐 것이라 예측하고 있습니다. * 법무법인 민후 김경환 대표변호사 작성, 블로그(2018. 7. 21.) 기고.

2010년 12월 페이스북은 미국의 일부 이용자들에 대하여 얼굴인식 서비스를 시작했고 2011년 6월에는 그 서비스를 전 세계에 확장했다. 페이스북의 ‘얼굴인식 서비스’는 여러 사람이 등장하는 사진을 페이스북 이용자가 자신의 소셜 네트워크에 등록할 경우 그 이용자를 포함해 사진에 찍힌 사람들까지 포괄적으로 분석되어 얼굴과 이름을 식별해 친구추천 목록에 추가되는 서비스이다. 이 서비스의 문제점은 이용자의 얼굴뿐만 아니라 사진 안에 있는 다른 사람의 얼굴까지도 동의 없이 인식할 수 있다는 것이다. 현재 페이스북에는 전세계 인구의 10배에 해당하는 750억 이상의 사진이 저장되어 있는 바, 전혀 이름도 성도 모르는 타인의 얼굴을 이용하여 그 타인의 개인정보나 사생활까지 모두 파악할 수 있는 위험성이 있다. 예컨대 레스토랑 안에서 우연히 마음에 드는 이성을 발견한 경우, 몰래 그 이성의 사진을 찍어 페이스북에 올린 다음 그 사진을 추적하여 레스토랑 안에서 발견한 이성의 개인정보나 사생활을 파악할 수도 있고, 나아가 그 이성을 스토킹하고 범죄의 대상으로 삼을 수 있는 위험성도 있으며, 정부나 수사기관이 이를 이용하여 감시나 통제에 이용할 수도 있다. 이 서비스가 전 세계로 확대되자마자 유럽연합 27개국이 위법 여부를 놓고 조사에 착수했으며, 미국의 시민단체인 EPIC(전자개인정보센터), CDD(디지털민주주의센터) 등도 이 기능은 사생활 침해의 소지가 크고 페이스북은 이 기능에 대해 이용자들에게 충분한 사전 설명을 하여야 한다며 FTC(연방거래위원회)에 조사를 요청했다. 한편, 2011년 8월 4일 독일의 요하네스 카스파 함부르크 개인정보보호기구(Hamburg Commissioner for Data Protection and Freedom of Information)는 페이스북의 ‘얼굴인식 기능’ 서비스가 개인정보보호법 위반이라고 결론짓고 독일 정부 명의로 페이스북에 이 기능의 서비스를 중지할 것을 요구하는 내용을 서면 통보할 예정이라고 밝혔다. 이러한 논란 때문인지 페이스북은 초기의 동의 없는 얼굴인식 태깅 설정(opt-out 방식)에서 물러나 이용자들이 스스로 얼굴인식에 의한 태깅을 선택할 수 있도록 조치했다(opt-in 방식). 한편, 애플이나 구글 등도 얼굴인식 기술을 사용하기는 하지만 이는 직접 사진을 올린 사람에 한정하기 때문에 사생활 침해라는 혐의에서 살짝 벗어나 있다. >> 얼굴인식도 개인정보보호법의 규율대상이고 얼굴인식으로 연결되는 개인정보도 당연히 개인정보보호법의 규율대상이다. 고지나 동의 절차 없이 얼굴인식 태깅을 통하여 그 개인의 정보로 곧바로 연결된다면 이는 개인정보보호법의 위반 소지가 있다. 따라서 얼굴인식이 그 개인의 정보로 연결되는 과정에서 그 개인에 대한 고지나 그 개인의 동의 절차가 수반되어야 할 것이다(개인정보보호법 제17조, 제18조). 페이스북 개인정보 관리, 이용자 신뢰도 13%의 의미 페이스북은 IPO 전날에 개인정보에 대한 광고회사의 접근을 늘리기 위하여 프라이버시 정책을 개선하겠다고 발표했다. 투자자에게는 프라이버시의 불가피한 희생이 있더라도 광고수익을 올릴 수 있는 방안을 강구할테니 투자를 더 많이 하라는 메시지였다. 반면 이용자들에게는 프라이버시나 개인정보보호의 앞날이 험난할 것을 예고하는 메시지였다. 개인정보보호의 원리는 간단하다. 개인정보의 통제권을 기업이 아닌 개인정보 주체에게 두어야 한다는 것이다. 그러나 페이스북의 예에서 알 수 있듯이 개인정보를 보관하고 있는 기업이 이를 활용하는 과정에서 개인정보 주체의 개인정보자기결정이나 개인정보 통제를 고려하지 않는 경우가 매우 많다. 하지만 개인정보 주체의 통제권을 무시하는 기업의 개인정보 이용은 결국 그 기업의 신뢰를 약화시킬 수밖에 없다. 개인정보 관리에 대하여 페이스북을 신뢰하는 이용자들이 13%에 그치고 있는바, 이러한 불신이 페이스북의 미래에 좋은 영향을 주지 않을 것이라는 점은 어느 정도 예견 가능하다. 기업의 개인정보의 이용이 불가피하다면 그 이용방법에 대한 투자뿐만 아니라 개인정보 이용에 대한 개인정보 주체의 신뢰도 향상을 위한 투자, 예컨대 기술적 조치나 관리적 조치뿐만 아니라 근원적인 친개인정보보호적 비즈니스모델의 개발, 친프라이버시적 서비스 개발에도 마땅히 신경을 써야 할 것이다. 이러한 신뢰성 제고야말로 인터넷 기업이나 SNS 기업의 성장과 미래를 밝힐 등불이 될 것이다. * 법무법인 민후 김경환 대표변호사 작성, 로앤비(2012. 7. 23.), 보안뉴스(2012. 6. 28.) 기고.