캐나다 법안 C-22, 캐나다인의 대규모 메타데이터 감시를 의무화

 (michaelgeist.ca)
1P by GN⁺ 15시간전 | ★ favorite | 댓글 1개
  • 캐나다 정부가 ‘합법적 접근법(Lawful Access Act)’인 법안 C-22를 도입하며, 통신사업자와 인터넷 서비스 제공자(ISP)에 대한 감시·감청 협력 의무를 강화함
  • 새 법안은 영장 없는 정보 접근 권한을 대폭 축소했지만, 통신망 감시 인프라 구축과 메타데이터 보존 의무를 포함해 여전히 심각한 사생활 침해 위험을 내포함
  • 법안은 두 부분으로 구성되어 있으며, 첫 절반은 데이터 접근 절차 개선, 후반부는 ‘공인 정보 접근 지원법(SAAIA)’ 을 통해 감시 기술 요건을 규정함
  • SAAIA는 ‘전자 서비스 제공자(ESP)’ 개념을 새로 도입해, Google·Meta 등 글로벌 플랫폼까지 규제 범위에 포함하고, 최대 1년간 메타데이터 보존을 요구함
  • 정부가 영장 없는 접근을 일부 제한했음에도, 감시 역량 강화와 비밀 유지 조항으로 인해 네트워크 보안 약화와 시민 자유 침해 우려가 지속됨

법안 C-22 개요

  • 법안 C-22(Lawful Access Act) 는 캐나다 정부가 새롭게 제안한 감시 관련 입법으로, 과거 법안 C-2의 논란을 수정한 형태
    • C-2는 영장 없는 개인정보 접근을 허용해 헌법적 논란을 불러일으켰음
    • 정부는 이에 따라 C-2의 접근 조항을 삭제하고, 별도의 법안으로 C-22를 제시함
  • C-22는 두 가지 핵심 영역을 다룸
    • 통신사업자(ISP, 무선통신사 등)가 보유한 개인정보에 대한 법집행기관 접근 절차
    • 캐나다 내 통신망의 감시·모니터링 역량 구축

데이터 접근 절차의 변화

  • 새 법안은 과거의 광범위한 영장 없는 정보 요구권을 폐지하고, ‘서비스 확인 요청권(confirmation of service)’ 으로 대체
    • 경찰은 특정 인물이 해당 통신사 고객인지 여부만 요청 가능
    • 추가 개인정보 접근은 법원의 승인(생산명령) 을 받아야 함
  • 이러한 변경은 영장 없는 정보 요구 범위를 통신사로 한정하고, 개인정보 접근에는 사법적 감독을 요구함
  • 법안에는 자발적 정보 제공, 긴급 상황, 외국 기관 요청 등에 대한 별도 규정도 포함
    • 다만, ‘합리적 의심(reasonable grounds to suspect)’ 이라는 낮은 기준이 여전히 우려로 지적됨

SAAIA(공인 정보 접근 지원법)의 주요 내용

  • 법안의 두 번째 절반인 SAAIA는 통신사업자에게 감시·모니터링 역량 구축 의무를 부과
    • 정부와 법집행기관이 통신망 접근 및 감청 기능을 시험할 수 있도록 협력해야 함
    • 모든 요청은 비밀 유지 의무가 적용됨
  • ‘전자 서비스 제공자(ESP)’ 라는 새로운 정의를 도입
    • 캐나다 내 서비스를 제공하거나 사업을 수행하는 모든 전자 서비스 제공자를 포함
    • Google, Meta 등 글로벌 플랫폼도 포함될 수 있음
  • 핵심 제공자(core providers) 로 지정된 사업자는 추가 의무를 가짐
    • 감시 기능 구축·유지, 장비 설치·운영, 정부 통보, 최대 1년간 메타데이터 보존

메타데이터 보존 및 예외 규정

  • 메타데이터 보존 의무는 C-2에는 없던 조항으로, C-22에서 새로 추가됨
    • 단, 보존 대상에서 통신 내용, 웹 브라우징 기록, 소셜미디어 활동은 제외
  • 시스템 취약점(systemic vulnerability) 관련 예외 조항 존재
    • 감시 기능이 보안 취약점을 초래하거나 수정 방해 시, 사업자는 해당 규정을 따르지 않아도 됨
  • 그러나 이러한 예외가 보안 약화 방지에 충분하지 않다는 우려가 제기됨
    • 변경 사항이 공개되지 않고 비밀리에 시행될 가능성도 지적됨

감시·보안·국제 데이터 공유 우려

  • SAAIA는 네트워크 보안 취약성, 비밀성, 비용, 감독 체계 등 다수의 문제를 야기
  • 일부 규정은 부다페스트 협약 제2추가의정서(2AP)미국 CLOUD Act와의 국제 정보 공유 협력을 염두에 둔 것으로 분석됨
  • 결과적으로, 법안 C-22는 영장 없는 접근은 제한했지만, 감시 인프라 강화와 대규모 메타데이터 수집으로 인해
    프라이버시와 시민 자유 침해 위험이 여전히 크다는 평가임
GN⁺ 15시간전  [-]
Hacker News 의견들

  • 정치인들이 프라이버시를 침해하는 법안을 반복적으로 내놓는 상황을 막기 위해, 새 법안이 제출되면 즉시 의원들과 야당에 자동으로 알림을 보내는 모니터링 에이전트를 만들면 어떨까 하는 생각을 함

  • 법안 원문을 보면 영장(warrant)이 필요하다고 되어 있음. 하지만 새로 추가된 조항을 보면 판사가 “특정 상황에서 정당하다고 판단하면” 영장 사본을 당사자에게 주지 않아도 된다고 함. 이건 시민 자유를 우회할 수 있는 주관적 허점으로 보임

    • 나는 이 조항에 큰 문제를 못 느꼼. 어쨌든 판사가 영장을 발부해야 하고, 단지 사본 전달을 지연시킬 수 있는 예외를 둔 것뿐임. 경찰이 “영장은 있는데 보여줄 필요는 없다”고 주장하는 상황은 거의 없을 것이며, 그런 경우라면 법원에서 증거로 인정되지 않을 가능성이 큼
    • 판사들이 이유 없이 허가하지는 않을 것임. 약간 법의 경계가 흐려질 수는 있지만 큰 문제는 아님. 캐나다는 유럽처럼 법과 절차 중심의 관료적 성향이 강해서 체계가 일탈할 여지는 있지만, 정치적 독재나 제도적 폭주와는 다른 차원의 문제임

  • 급한 사람들을 위한 요약: 캐나다의 Bill C‑22(2026) 은 수사기관이 디지털 데이터를 더 빠르고 명확하게 접근할 수 있도록 법을 개정하는 내용임. 통신사, 온라인 서비스 제공자, 해외 기업으로부터 가입자 정보·전송 데이터·추적 데이터를 확보할 수 있는 권한을 확대하고, 전자 서비스 제공자가 수사 협조를 지원하도록 하는 법적 프레임워크를 만듦

    • 하지만 요약에서 ‘영장 없는(warrantless)’ 부분이 빠졌음. 정부가 이런 권한을 추진하는 이유는 캐나다가 Five Eyes 국가 중 유일하게 이런 권한이 없기 때문임
    • 이건 미국의 CALEA(Communications Assistance for Law Enforcement Act)와 유사한 캐나다판으로 보임

  • Five Eyes(또는 9, 14 Eyes) 국가들의 협력은 냉전 시절부터 이어져 왔는데, 지금의 지정학적·기술적 변화에 맞게 갱신되지 않았음. 오히려 협력이 강화되는 시점에 유권자들은 미국 동맹의 미래를 의심하고 있음. 각국 지도자들이 외국의 압력에 대해 더 솔직했으면 함. 동맹국의 영향력에 대해서는 침묵하면서, 비동맹국의 영향만 비판하는 건 민주주의에 대한 위협

    • “침묵”이라고 하지만, 캐나다 총리가 미국과의 관계 변화에 대해 공개적으로 발언하고 새로운 외교적 합의를 추진한 적이 있음
    • 미국과의 관계를 끊는 건, 트럼프가 유럽과의 관계를 끊은 것만큼이나 어리석은 선택

  • 법안 원문을 보면, 다른 서방 민주국가의 보안기관이 가지는 합법적 접근 권한과 비슷해 보임. 과장된 디스토피아적 상상 없이 보면, 구체적으로 어떤 점이 문제인지 궁금함

  • 법안은 “새로운 권한을 부여하지 않는다”고 주장하지만, 실제로는 메타데이터를 최대 1년간 보관하지 않으면 벌금이나 징역형을 받을 수 있다고 명시되어 있음

  • 캐나다 시민으로서, 정부가 이미 여러 번 거부된 감시 법안을 계속 밀어붙이는 게 답답함.
    왜 국가 차원의 감시 인프라를 ISP 백본에 직접 연결하려 하는지 이해가 안 됨.
    경찰이 아무 혐의도 없이 나를 따라다니며 대화 상대와 시간을 기록하는 것과 다를 바 없음.
    게다가 이런 데이터가 민간 계약자에게 저장된다면, 유출이나 민사 소송의 위험이 커짐.
    법안에 따르면 “전자 서비스 제공자(electronic service provider)”라는 새 용어가 등장하는데, 이는 통신사뿐 아니라 Google, Meta 같은 플랫폼까지 포함하려는 의도로 보임.
    캐나다 대법원은 이미 영장 없는 개인정보 제공에 부정적 입장을 보여왔음.
    기존 수사권으로 충분한데 왜 굳이 플랫폼을 수사 보조 기관으로 만들려 하는지 의문임.
    이런 시스템은 권위주의 국가에서나 볼 법한 구조로, 남용 위험이 너무 크고 민주주의에 해로움

    • 이런 조치는 앞으로 10년 내에 등장할 비인기 정책들에 대한 대비책일 수도 있음. 대규모 반대자들을 추적하기 위한 기반을 미리 마련하는 셈임

  • 다른 나라들처럼 “아동 보호”나 “연령 인증” 같은 명분을 내세우지도 않고, 그냥 대놓고 대규모 감시 체계를 추진하는 게 캐나다 정부답게 효율적(?)임. 이런 때만큼은 관료주의 없이 빠름

  • 게시된 지 두 시간 만에 절반 가까운 댓글이 극단적 반응으로 비판받고 있음.
    “혹시 몰라서”라는 이유로 이런 감시 법안을 계속 추진하는 건 실망스러움.
    차라리 공개 콘텐츠를 호스트가 직접 모더레이션하는 방식이 낫지만, 그 역시 어떤 콘텐츠를 보고해야 하는지 등 부작용이 있음

  • 자유와 공정 절차를 자랑하던 정부들이 이제는 자국민을 가두는 감시 체제로 변해가는 것 같음

답변달기