수사기관의 역외 전자데이터 수집

Abstract

국제법상 집행관할권의 행사는 해당 국가의 영토 내에서 이루어져야 하며, 어떠한 국가도 다른 주권국가의 영토 내에서 타국의 동의 없이 집행관할권을 행사할 수 없다. 과거에 국가는 자신의 영토 내에서 특별한 문제 없이 집행관할권을 행사하였다. 특히 법집행기관의 증거수집, 범인 체포 등 수사 활동은 대부분 해당 국가의 영토 내에서 이루어졌다. 만약 범인이 해외로 도주하거나 해외에 있는 증거를 수집해야 할 필요성이 있는 경우, 집행관할권의 영토적 한계를 메우기 위하여 범죄인인도 제도나 국제형사사법공조 제도가 활용되었다. 그러나 정보통신기술의 발달은 사이버공간에 기존의 관할권 행사원칙을 적용하기 어렵게 만들고 있다. 특히 클라우드 컴퓨팅 서비스가 보편화되면서 실제 데이터가 저장되어 있는 위치를 알 수 없게 되는 위치의 상실(loss of location) 문제가 발생하고 있다. 따라서 수사기관이 클라우드에 저장되어 있는 데이터를 수집하는 경우 부지불식간에 데이터가 저장된 해외 서버에 접속하게 될 가능성이 있다. 수사기관이 일방적으로 해외, 특히 클라우드에 저장된 데이터를 수집하고자 할 때, 이러한 역외 데이터 수집이 집행관할권 행사의 영토적 한계를 벗어난 집행관할권의 역외적 행사에 해당하는지가 문제될 수 있다. 원칙적으로 일국의 수사기관은 국제형사사법공조 절차를 통해 타국의 협조를 얻어 해외에 저장된 증거를 수집하여야 하지만, 국제형사사법공조 절차가 복잡하고 장시간이 소요된다는 점에서 한계가 있다. 본 논문에서는 수사기관의 역외 데이터 수집에 대한 국제적 논의를 살펴보기 위해 유럽평의회 사이버범죄협약의 성안 배경과 주요 내용을 살펴보고 최근 초국경적 데이터 접근 문제를 해결하기 위한 추가의정서 초안을 분석하였다. 또한, 유럽연합에서 제안한 전자증거 규정 초안과 UN 차원에서 전문가그룹을 중심으로 논의된 사항을 검토하였다. 본 논문에서는 미국, 영국, 벨기에, 일본, 우리나라 다섯 국가를 선정하여 각국의 관련 입법과 법원의 실행을 분석하였다. 수사기관의 역외 데이터 수집에 대하여 주요 국가들은 공통적으로 해외에 저장된 데이터에 대하여 국가가 집행관할권을 행사할 수 있는 근거 규정을 마련하여 이를 입법적으로 해결하거나, 법원에 의한 법률의 해석을 통해 해결하고 있다. 이와 같이 역외 데이터 수집에 대한 국제법적 규율이 부재한 상황에서 국가마다 입법적으로 또는 실무적으로 일방적인 해결방식에 의존하고 있는데, 법적 안정성을 제고하고 개인의 자유와 인권을 보장하기 위해서는 궁극적으로 집행관할권 행사의 범위와 관련된 국제법적 한계를 명확하게 설정하는 것이 필요하다. 이러한 국제법적 해결방안을 모색하기 위한 선결과제로서, 국제기구와 국가의 실행을 바탕으로 논의의 방향을 올바르게 설정하는 것이 중요하다. 본 논문에서는 역외 데이터 수집에 대한 국제적 논의와 주요 국가의 실행을 분석하여 수사기관의 역외 데이터 수집의 방식을 크게 직접수집방식과 간접수집방식으로 유형화하였다. 이러한 유형화에 기반하여 집행관할권 행사의 문제에 대한 국제적 해결방안을 모색함에 있어서 고려하여야 할 요소를 제시한 후, 우리나라의 국내 입법과 실무에 있어서 바람직한 정책 방향을 제언하였다. 국가 간의 관계에서 법률 위반의 위험성을 최소화하고 개인의 기본권을 보장하기 위해서는 적법한 초국경적 데이터 접근에 대한 국제적 해결방안을 모색할 필요가 있다. 국제적 해결방안 논의에 있어서 바람직한 방향을 설정하기 위해서 국제기구 및 국가의 다양한 실행의 비교법적 분석을 토대로 한 유형화를 시도하였는데, 이러한 유형화를 통해서 여러 가지 고려요소를 추출해볼 수 있었다. 우리가 앞으로 역외 데이터 수집에 대한 집행관할권 행사의 문제를 검토하고 해결방안을 논의함에 있어서는 다음의 사항을 고려할 필요가 있다. 여기에는 데이터의 저장 위치, 데이터의 접근권한을 가진 자의 동의, 정보주체 또는 서비스제공자의 국적 또는 위치, 데이터의 수집 방법, 수사대상 범죄의 중대성 및 긴급성, 개인정보보호 법제와의 충돌 가능성 등이 포함된다. 국내에서도 실무적으로 수사기관이 역외 데이터를 수집하는 사례가 발견되고 있으나, 형사소송법 등 관련 법률에 이에 관한 명시적 근거 규정이 미비한 실정이다. 수사과정에서 지득한 접근권한을 이용하여 수사기관이 역외 데이터를 수집하는 경우, 이를 형사소송법상 압수수색의 방법으로 허용된다고 판단한 대법원 판례가 존재하나, 원격지 압수수색이나 해외 서비스제공자에 대한 데이터 제공요청에 대하여는 관련된 법적 근거가 없다. 앞으로 국제법의 틀 내에서 역외 데이터 수집을 위한 신속한 국제공조가 이루어지기 위해서는 우리나라도 사이버범죄협약에 가입하고, 미국과 행정협정을 체결할 필요가 있다. 이를 위해서 국내 절차법을 정비할 필요가 있으며, 특히 원격지 압수수색, 접근권한을 통한 역외 데이터 수집, 외국 서비스제공자에 대한 데이터 제공요청, 외국 수사기관의 요청에 의한 우리나라 기업의 데이터 제공 등에 대하여 법적 근거를 마련하여야 한다. 결국, 수사기관의 역외 데이터 수집 문제는 국제법 차원에서 국가들의 실행을 반영한 명확한 기준설정을 통해 규율되어야 한다. 이러한 국제법적 노력을 통해 법적 불확실성의 문제를 해결하고, 주권 침해의 우려를 불식시키는 동시에 디지털증거의 수집과 초국가적인 사이버범죄 대응을 위한 효과적인 국제협력을 가능하게 할 것이다.