뉴스 인권뉴스

이익추구가 프라이버시를 위협할 때 – 중국 애플에 대해 알아야 할 다섯 가지 진실

유리창에 비친 애플스토어 로고

ⓒ Private

금주 수요일(2월 28일)이면 애플은 중국 내 아이클라우드(iCloud) 서비스의 사용자 데이터 저장 방식에 중대한 변경사항을 적용할 예정이다. 이에 따라 중국 정부가 이제는 중국 내 애플 사용자들을 자유롭게 감시할 수 있게 될 것이라는 우려가 급증하고 있다.

애플은 강력한 프라이버시 보호와 보안 유지 정책으로 이름나 있다. 애플은 기본적으로 강력하게 암호화된 서비스를 제공하며, FBI가 휴대전화의 보안을 해제할 수 있도록 허용하는 내용의 미국 법원 판결이 나오자 이에 항소하면서 각 일간지의 헤드라인을 장식하기도 했다. 애플의 최고경영자 팀 쿡은 애플의 모든 소비자들에게 프라이버시 보호의 중요성을 설명하는 편지를 개인적으로 보내기까지 했다.

그러나 중국에서는 다른 상황이 펼쳐졌다. 애플은 중국 사용자들이 ‘애플 뉴스’ 어플리케이션에 접속하는 것을 차단하고, 중국 앱스토어에서 VPN 어플리케이션을 삭제하는 등의 행보를 보이며 비판의 대상이 됐다. 이번 아이클라우드 업데이트는 중국의 억압적인 법률문화로 인해 애플이 기존 자사의 사용자 프라이버시 및 보안 정책을 유지하기 어렵게 됐음을 시사하는 가장 최근 사례다. 이러한 변경사항 적용이 의미하는 바는 무엇일까? 애플의 소비자들은 스스로를 보호하기 위해 어떤 선택을 할 수 있을까?


1. 중국의 애플 아이클라우드 서비스에 무슨 일이 일어나고 있나?

2월 28일, 애플은 중국 내 아이클라우드 서비스의 운영권을 중국 기업인 구이저우빅데이터산업발전(GCBD)에 이전한다. 이로 인해 중국 사용자들이 애플의 클라우드 기반서버에 저장한 사진, 문서, 연락처, 메시지를 비롯한 모든 사용자 데이터와 컨텐츠 역시 영향을 받게 됐다. 2017년부터 시행된 중국의 새로운 사이버보안법에 따르면 클라우드 서비스는 반드시 중국 현지 기업이 운영해야 한다. 즉 애플과 같은 기업은 중국 현지에 서버를 임대하거나, 중국 현지 기업과 합작 운영을 해야 하는 것이다.

 

2. 사용자 데이터를 중국 서버에 저장하는 것이 개인에게 어떻게 위협이 될 수 있나?

중국 국내법에 따라 중국 정부는 사생활권, 표현의 자유 등 사용자의 기본권에 대한 충분한 보호조치 없이도 중국 내에 저장된 모든 사용자 데이터를 사실상 아무런 제한 없이 열람할 수 있다. 중국 경찰은 광범위한 재량권을 행사하며, 대략적이고 모호하게 구성된 법과 규제를 이용해 ‘국가 안보’ 등 형사범죄 혐의를 들먹여 반대세력과 저항세력을 침묵하게 만들거나 정보를 검열할 수 있다. 또한 인권옹호자 등에게 괴롭힘을 가하거나 이들을 기소할 수도 있다. 이로 인해 중국의 인터넷 사용자들은 단순히 정부의 심기를 거스르는 정보와 생각을 표현하고, 소통하거나 열람하기만 해도 체포 및 구금을 당할 위험에 놓이게 된다.

게다가, 중국의 사이버보안법에 따르면 네트워크 운영자는 법집행관 및 국가정보요원에게 “기술적 협조 및 지원”을 의무적으로 제공해야 한다. 즉 중국 정부가 GCBD에 찾아와 범죄 수사 목적으로 어떤 아이클라우드 사용자의 정보를 요청한다면, 기업은 해당 정보를 제공해야 할 법적 의무가 있으며 이에 항의하거나 거부할 법적 수단이 거의 없는 것이다.

애플 최고경영자 팀 쿡이 2017년 12월 중국 우전에서 열린 세계 인터넷 컨퍼런스에서 발언하고 있다.

애플 최고경영자 팀 쿡이 2017년 12월 중국 우전에서 열린 세계 인터넷 컨퍼런스에 참석해 발언하고 있다.

 

3. 애플은 자사의 암호화 키를 직접 관리하고 있으며 백도어 침입이 불가능할 것이라고 한다. 이 정도면 중국 사용자들을 보호할 수 있지 않나?

애플이 GCBD 및 중국 정부에 아이클라우드 사용자의 암호 해제된 데이터 접근 권한을 허용할 것인지에 모든 것이 달려 있다. 사용자가 중국 내 아이클라우드 서비스 약관에 동의하면, “합법적으로 필요한 경우” 법집행기관에 자신들의 정보와 컨텐츠를 제공하도록 허용하는 데에도 동의하게 된다. 중요한 것은, 이제부터 애플은 중국 사용자들의 암호화 키를 미국이 아닌 중국에 저장한다는 점이다. 이 때문에 중국법상 합법적인 정보 제공 요청이라면 애플은 암호 해제된 데이터를 전달할 수밖에 없다.

중국의 법 조항 대부분이 사생활과 표현의 자유 등 기본권을 충분히 보호하지 못하고 있는 상황에서, 정부의 정보 요청이 중국법상 합법인가 아닌가를 단순히 확인하는 것만으로는 해당 요청으로 인해 발생할 수 있는 인권침해 문제까지 다룰 수는 없다. 애플은 정부의 정보 요청이 사용자의 인권을 침해하는지 여부를 평가할 것인지, 평가한다면 어떻게 진행할 것인지에 대해 아직 입장을 밝히지 않았다. 직접 시험대에 오르기 전까지는 애플이 어떻게 대처할 것인지는 알 수 없다. 안타깝게도 그 때가 오는 것은 아마도 시간 문제에 불과할 것이다.

“백도어”, 혹은 법집행기관 및 정부기관이 정식 요청 없이 암호 해제된 사용자 데이터에 접근할 수 있도록 허용하는 기술적인 수단에 대해서는, 그 사용을 차단하려는 애플의 노력은 감탄할 만하다. 그러나 법집행기관이 범죄 수사 목적이라는 말 한 마디만으로 쉽게 암호 해제된 사용자 정보를 입수할 수 있다면, 그러한 노력도 의미 없는 일이 될 것이다.

 

4. 중국의 아이클라우드 사용자들은 자신의 정보를 보호하기 위해 어떻게 해야 하나?

중국 정부로부터 개인적인 정보를 보호하기 위해 가장 좋은 방법은 해당 정보를 중국 내 서버에 저장하지 않는 것이다. 중국 이외의 국가에서 발행한 신용카드를 소지한 사용자는 해외 주소를 이용해 계정을 개설한 후, 아이클라우드 데이터를 중국 외부에 저장할 수 있다. 그 외에 중국 사용자들에게 남은 유일한 방법은, 아이클라우드 계정을 삭제하고 영구히 서비스에서 탈퇴하는 것이다. (애플은 이곳에서 탈퇴 절차에 대한 설명을 제공하고 있다.) 개인 사용자는 자신의 선택으로 인해 발생할 수 있는 위험에 대해 진지하게 고려해야 하지만, 애플 역시 아이클라우드 동기화 해제를 기본으로 설정하고, 사용자에게 서비스 이용으로 인해 발생할 수 있는 위험에 대해 분명하게 경고하는 등의 방법으로 중국 사용자들을 보호해야 한다.

애플은 프라이버시가 필수적인 인권이라고 생각합니다.”

애플 공식 홈페이지

 

5. 정보통신기술 기업이 중국에서 책임감 있는 운영을 하려면 어떻게 해야 하는가?

기업은 세계 어디서든 사업을 운영하는 과정에서 모든 인권을 존중해야 할 책임이 있다. 기업의 제품과 서비스를 이용하는 사용자들은 중국에서 사생활과 표현의 자유가 위협받을 가능성이 있다는 점과, 이에 대응해 기업이 어떤 조치를 취했는지에 대해 명백하고 구체적인 정보를 제공받아야 한다. 기업은 정기적으로 입증 가능한 인권영향평가를 수행하고, 인권을 존중하기 위해 관리감독 및 실사, 책무성 절차를 시행하고 있음을 공개적으로 증명해야 한다. 마지막으로, 기업은 중국 정부가 인권을 보호하고 존중하도록 영향력을 발휘하고, 정부가 인권을 위협하는 행동을 할 때는 과감히 발언하고 맞서기 위해 최선을 다해야 한다. 만약 인권침해의 높은 위험을 경감시키는 것이 불가능하다고 판단될 경우, 기업은 중국에서의 사업 운영을 하지 않기로 결정해야 할 수도 있다.

 

애플의 공식 홈페이지에서는 이렇게 선언하고 있다. “애플은 프라이버시가 필수적인 인권이라고 생각합니다.” 애플이 이 말을 행동으로 옮길 수 있을 것인지는 아직 지켜봐야 할 것이다.

When Profits Threaten Privacy – 5 Things You Need to Know about Apple in China

This Wednesday, Apple will be making some significant changes to how data is stored for users of its iCloud service in China – raising major concerns that the Chinese authorities will now be able to freely monitor Apple’s users in China.

Apple has a reputation for being a powerful advocate for privacy and security. The company uses strong encryption by default in its services and grabbed headlines when it appealed a US court order that would allow the FBI to get around the phone’s security. Apple CEO Tim Cook even sent all Apple consumers a personal letter explaining the importance of privacy.
With China, however, a different story has emerged. Apple has been criticised for blocking Chinese users’ access to the Apple News app and for removing VPN apps from the App Store in China. The changes being made to iCloud are the latest indication that China’s repressive legal environment is making it difficult for Apple to uphold its commitments to user privacy and security. What do these changes mean and what options do Apple’s customers have to protect themselves?

What is happening to Apple’s iCloud service in China?
On 28 February, Apple will transfer operation of its iCloud service for Chinese users to a Chinese company, Guizhou-Cloud Big Data Industry Development Co., Ltd (“GCBD”). The move will affect any photos, documents, contacts, messages and other user data and content that Chinese users store on Apple’s cloud-based servers. New Chinese legislation enacted in 2017 requires cloud services to be operated by Chinese companies, meaning companies like Apple must either lease server space inside China or establish joint ventures with Chinese partners.

How does storing user data in China put individuals at risk?
Domestic law gives the Chinese government virtually unfettered access to user data stored inside China without adequate protection for users’ rights to privacy, freedom of expression or other basic human rights. Chinese police enjoy sweeping discretion and use broad and ambiguously constructed laws and regulations to silence dissent, restrict or censor information and harass and prosecute human rights defenders and others in the name of “national security” and other purported criminal offences. As a result, Chinese Internet users can face arrest and imprisonment for merely expressing, communicating or accessing information and ideas that the authorities don’t like.

Furthermore, China’s Cyber Security Law requires network operators to provide “technical support and assistance” to law enforcement and state security agents. That means that when the authorities come to GCBD requesting information about an iCloud user for the purposes of a criminal investigation, the company has a legal obligation to provide it and few, if any, viable legal avenues to challenge or refuse the request.

Apple says it has control over encryption keys and that it won’t allow backdoors. Won’t that protect users in China?
It all depends on the circumstances under which the company will allow GCBD – and the Chinese authorities – access to intelligible decrypted data on iCloud users. When users accept the terms of service for iCloud in China, they agree to allow their information and content to be turned over to law enforcement “if legally required to do so”. Significantly, from now on Apple will store the encryption keys for Chinese users in China, not in the US – making it all but inevitable that the company will be forced to hand over decrypted data so long as the request complies with Chinese law.

Given that many provisions of Chinese law offer inadequate protection to privacy, freedom of expression and other rights, simply checking whether government information requests comply with Chinese law doesn’t address whether complying with the request might contribute to human rights violations. Apple hasn’t confirmed whether or how it will assess whether government information requests might violate users’ human rights. We won’t really know how Apple will respond until it’s put to the test, and unfortunately that’s probably just a matter of time.

As for “backdoors”, or technical measures that would allow law enforcement or other government agencies to access unencrypted user data without having to ask for it, Apple’s commitment to prevent their use is admirable. But the commitment is meaningless if law enforcement can get the companies to decrypt user information simply by saying that it is for a criminal investigation.

What should iCloud users inside China do to protect themselves?
The best way to protect your personal information from being accessed by the Chinese government is to avoid storing it on servers inside China. Users with a credit card and billing address outside China can use those to register their accounts and keep storing their iCloud data outside China. Otherwise, the only option available to Chinese users is to delete their iCloud accounts and permanently opt out of the service. (Apple has provided instructions for how to do so here.) Individual users should seriously consider the risks involved and come to their own decision, but Apple should protect Chinese users by switching iCloud off by default and giving users very clear warnings about the risks they may face by opting in to the service.

How can ICT companies act responsibly when operating in China?
Companies have a responsibility to respect all human rights wherever they operate in the world. Users of their products and services need to be given clear and specific information about risks they might face to their privacy and freedom of expression in China, and what action the company is taking in response. Companies should carry out regular and verifiable human rights impact assessments and demonstrate publicly that they have oversight, due diligence and accountability measures in place to ensure respect for human rights. Finally, companies should do everything they can to influence the Chinese government to protect and respect human rights and speak up and challenge government actions when they threaten human rights. If a company finds that it is unable to mitigate the high risk of human rights violations, it may be forced to decide not to operate in China.

Apple’s official website declares: “At Apple, we believe privacy is a fundamental human right.” It remains to be seen whether Apple can put its words into action.

터키: 다시 체포된 앰네스티 이사장 타네르를 석방하라
온라인액션 참여하기
세상의 부당함에 맞서 싸웁니다
후원하기