[헌법소원] 제2의 주민등록번호, 연계정보(CI) 헌법소원 제기

❝돈을 내지 않는다면 당신이 상품이다❞ 

“If you’re not payingfor the product, then you are the product.” – 다큐영화 <소셜딜레마> 나오는 문구

정보인권과 개인정보자기결정권

온라인 구매 많이 하고 계시죠? 코로나19 상황이 장기화되면서 이용은 더 늘어납니다. 

이뿐이 아니죠. 언제부터인가 정부나 공공기관의 전자문서까지 카카오톡, 문자, 네이버 알림 등을 통해 받으신 적이 있을 것입니다. 주민세, 건강보험납입알림, 운전면허갱신, 자동차안전점검… 종이로 받던 걸 문자나 톡으로 받으니 너무 편한 세상이죠?

편한 것의 이면에 무엇이 있는지, 무엇을 잃고 있는지 살펴보아야 합니다.

우리가 온라인을 접속해 서비스를 이용하는 그 순간! 나의 주민등록번호와 매칭해 나만의 유일한 88 byte 연계정보(CI)가 만들어지고, 그것을 기반으로 당신이 누구인지 식별할 수 있습니다. 언제, 무슨 온라인 활동을 했는지 추적해서 알 수도 있죠. 

대부분의 온라인 사업자가 주민등록번호 대신 연계정보(Connecting Information, CI)를 이미 다 사용하고 있는데 정작 정보주체인 우리들은 모르고 있었습니다.

과학기술부장관이 제2의 주민등록번호인 연계정보(CI)를 국민의 식별정보로 활용해 민간기업으로 하여금 모바일전자고시를 하도록 ‘임시허가’한 것이 사생활의 비밀과 자유, 개인정보자기결정권 등을 침해하는 위헌적 공권력 행사임을 확인해 달라고 헌법소원을 제기했습니다. 

연계정보의 성격, 그 한계 등에 대해 헌법재판소가 제대로 심판할 수 있기를 바라봅니다.


과기부장관의 제2의 주민등록번호
연계정보(CI) 생성⋅사용 ‘임시허가’에 대한 헌법소원

  • 언제 : 2021년 9월 17일(금)
  • 누가 : 민주사회를위한변호사모임 디지털정보위원회, 진보네트워크센터, 사단법인 정보인권연구소, 참여연대

 

이번 헌법소원의 청구인은, 자신이 동의하거나 미리 사전에 고지받은 적이 없음에도 이동통신사(SKT)로부터 한국교통안전공단의 자동차검사 사전안내문을 문자로 전달받았습니다. 이는 과기부장관이 지난 6/23 정보통신융합법(정보통신 진흥 및 융합 활성화 등에 관한 특별법)에 따라 SKT, 나이스평가정보(주), 코리아크레딧뷰로(주), 에스씨아이평가정보(주) 등 본인확인기관에 내준 모바일 전자고지에 대한 ‘임시허가’에 따른 것이었습니다. 이 임시허가에 따라 3개 본인확인기관과 공공기관은 이번 사건의 청구인을 포함 고지 대상자들의 주민등록번호를 연계정보로 변환한 후, SKT가 보유하고 있는 연계정보를 비교해 대상자를 식별하고, 식별된 국민의 휴대전화번호로 전자고지 문자메시지를 발송했습니다.

연계정보(Connecting Information, CI)는 88 byte로 이루어진 “정보통신서비스 제공자의 온⋅오프라인 서비스 연계를 위해 본인확인기관이 이용자의 주민등록번호와 본인확인기관간 공유비밀정보를 이용해 생성한 정보(본인확인기관 지정 등에 관한 기준)”입니다.

이에 따르면 연계정보는 주민등록번호를 해시함수를 이용해 변환하되 ‘본인확인기관간 공유 비밀정보’를 추가해 생성하고, 그 기능은 온⋅오프라인이나 서로 다른 서비스 사이의 연계를 위한 ‘동일인 인증’ 수단입니다. 그런데 이 생성과정의 특수성에 따라 연계정보는 주민등록번호와 같이 국민 개개인마다 고유하고 중복되지 않는 유일성을 가집니다. 한 번 부여되면 주민등록번호를 변경하지 않는 한 변경할 수 없어 가히 제2의 주민등록번호라고 할 수 있습니다. 이러한 특징을 이용해 연계정보는 공공·민간부문에서 ‘범용 식별정보’로 광범위하게 이용되고 있으며, 수사기관에 의해 수사대상자 식별 및 수사 목적으로도 활용되고 있습니다. 또한 이번 헌법소원의 청구대상이 된 규제 샌드박스 ‘임시허가’를 통해 공공기관의 ‘모바일 전자고지 서비스’로 그 활용이 확대되는 상황입니다. 특히 ‘모바일 전자고지 서비스’의 경우, 단순 ‘안내’에 대한 통지에 그치지 않고 교통범칙금, 과태료, 하이패스 통행료 미납통지 등 공공적인 불이익 조치 역시 예정되어 있어 이용 범위가 더욱 광범위할 것으로 보입니다.

ci 연계정보 생성 과정
ci 연계정보 발급 과정

위 자료 출처 : 2017. 7. 26. 한국인터넷진흥원 CI(연계정보)에 대한 의견수렴회 공개 자료 (pdf 크게보기)

이번 과기부장관의 임시허가는 법적 근거가 없는 연계정보의 생성과 사용을 전면적으로 허용하는 위헌적인 공권력 행사입니다. 임시허가의 목적이 공공기관 등이 우편물 고지로 인한 비용을 모바일 고지로 대체함으로써 절감하겠다는 경제적 목적이라면 국민의 헌법상 기본권 제한의 정당한 목적으로 보기 어렵고, 덜 침해적인 본인확인 대체수단이 있음에도 주민등록번호와 같이 유일성, 불변성의 범용 식별코드인 연계정보를 사용하는 것은 주민등록번호 사용을 최소화하기 위해 도입한 ‘대체수단’의 입법 목적에도 반합니다. 무엇보다 연계정보는 엄격한 법적 보호를 받는 주민등록번호와 달리 그 생성과 사용에 어떤 보호장치도 없습니다. 또한 과기부 장관의 임시허가의 근거가 되는 정보통신융합법에 따르면 법령정비가 완료되지 않을 경우 임시허가의 기간이 무기한으로 연장될 수도 있는 반면, 연계정보의 생성 등 처리에 대해 정보주체가 행사할 수 있는 권리는 거의 없어 법익의 균형성도 갖추지 못한 것입니다.  

 

 

본인식별 용도의 연계정보 사용은 법률적 근거 없고

공공기관의 행정비용 절감, 편의 위한 목적에 비해 

사생활 침해, 개인정보자기결정권 등 기본권 침해 과도해

 

전세계에서 유래를 찾아보기 어려운 국민 식별 번호인 주민등록번호는 사망시까지 거의 변하지 않아 공공기관과 민간기업이 온라인과 오프라인에서 누군가를 식별하고 추적하는 데 매우 유용하게 사용해 왔습니다. 주민등록번호 남용과 유출 피해가 끊이지 않자 2014년 법령상 근거가 없는 주민등록번호의 처리가 금지되고 일부 업종을 제외하고 민간의 주민등록번호 사용이 원칙적으로 금지되었습니다. 대신 정부는 정보통신망법 개정을 통해 주민등록번호를 사용하지 않고 본인을 확인할 수 있는 대체수단을 제공하도록 하고, 이를 제공하는 본인확인기관을 지정했고 본인확인기관은 본인확인정보와 중복가입확인정보를 통해 특정 사이트에서의 본인확인을 수행해왔습니다.

이보다 앞서 2010년 경 방통위는 온⋅오프라인 사업자간 서비스연계를 지원한다며 연계정보(CI)라는 새로운 식별번호를 도입해 동일인 인증 수단으로 사용하고 있었습니다.

이후 주민등록번호 수집 및 이용이 엄격히 제한되자 각 개인에 유일하고 불변하는 정보인 연계정보가 ‘인증정보’가 아닌‘식별정보’로 널리 이용된 것입니다. 그런데 연계정보는 개인 식별이 가능한 정보이기에 개인정보이며, 이를 대상으로 한 생성 및 이용 행위는 원칙적으로 개인정보자기결정권의 제한에 해당합니다. 그러나 연계정보를 도입하면서 법률적 근거를 마련하는 등 필요한 절차를 거치지 않았습니다. 정보통신망법상 ‘대체수단’의 정의에 따르면 연계정보는 “주민등록번호를 사용하지 아니하고 본인을 확인하는 방법”인 대체수단이라고 할 수 없고, 설령 대체수단의 구성요소로 본다고 하더라도 독립된 식별정보로 이용될 경우, 대체수단의 사용목적과 그 기능을 벗어난 사용목적과 이용 행위는 법적 근거가 없습니다. 

이번 헌법소원은 지난 2021년 3월 10일과 2021년 4월 30일 연계정보의 생성·발급·처리 등의 행위가 헌법 상 기본권을 침해한다는 등의 취지로 제기한 두 차례의 헌법소원이 청구기간 도과와 민간기업이 생성하기 때문에 헌법심판의 대상이 되지 않는다는 헌법재판소의 각하 결정 이후 연계정보와 관련해 세번째 제기하는 헌법소원입니다.

2017년 한 해 기준, 인터넷 이용자 수 1명당 평균 20회 이상의 본인확인서비스를 이용할 정도로 본인확인서비스 의존도는 높습니다. 특히 코로나19상황의 장기화로 온라인서비스 활용은 급증하는 상황에서 연계정보는 성명 등 별개의 개인정보 등을 연결하는 만능키 또는 연결자로서 민간부문의 각종 상거래 및 공공부문에서도 그 사용범위가 앞으로 더욱 넓어질 것으로 보입니다. 사정이 이러함에도 제2의 주민등록번호인 연계정보가 언제, 어떻게 생성되었는지 당사자인 정보주체가 전혀 알 수 없고, 알게 되더라도 정보주체로서의 기본적 권리인 삭제권, 처리정지권 등을 행사할 수 있는지조차 불분명한 현실이라면, 또한 실재하는 기본권 침해의 상황을 수정할 수 있는 제도적 장치가 전혀 없다고 한다면, 지난 2005년 헌법재판소가 명시적으로 인정한 개인정보자기결정권*은 결정문 속의 문언에 불과할 수밖에 없습니다.

보도자료 [원문보기/다운로드

*주민등록법 제17조의8 등 위헌확인 등(2005. 5. 26. 99헌마513, 2004헌마190(병합) 전원재판부) 결정요지 중 : 

개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리, 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리


이 편한 온라인 세상에, 
참여연대는 왜 이런 문제제기를 할까요?

우리는 인권이 보장되는 세상을 중요하게 생각하기 때문입니다.
집시법을 통해 오프라인에서 인권이 보장받듯이, 온라인에서도 인권은 충분히 보장받아야 합니다. 누구에게든, 어디서든 보편적인 인권이 존중받는 세상을 향해 참여연대는 정보인권 활동을 계속 이어가겠습니다. 

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입