Google에서 정부의 사용자 정보 요청을 처리하는 방법
전 세계 정부 기관에서는 Google에 사용자 정보 공개를 요청합니다. Google에서는 각 요청이 관련 법규를 준수하는지를 신중하게 검토합니다. 지나치게 많은 정보의 공개를 요청하는 경우 공개 범위를 좁히고자 노력하며, 정보 공개를 일절 거부하는 경우도 있습니다. Google은 투명성 보고서에 정부로부터 받은 요청의 건수와 유형에 관한 정보를 공유합니다.
사용자의 Google 서비스 제공업체에 따라 Google에서 요청에 대응하는 방식이 달라집니다. 대부분의 Google 서비스는 미국 법규에 따라 운영되는 미국 기업인 Google LLC 또는 아일랜드 법규에 따라 운영되는 아일랜드 기업인 Google Ireland Limited에서 제공합니다. 어느 기업에서 서비스가 제공되는지 확인하려면 Google 서비스 약관을 살펴보거나 조직에서 Google 계정을 관리하는 경우, 계정 관리자에게 문의하시기 바랍니다.
Google에서는 정부 기관으로부터 요청을 받은 후 정보를 공개하기 전 사용자 계정으로 이메일을 전송합니다. 조직에서 관리하는 계정인 경우 계정 관리자에게 고지합니다.
요청 조항에 따라 법적으로 금지되어 있을 시 사용자에게 고지하지 않습니다. 대신 법규에 명시되었거나 법원 명령에 따른 금지 기간이 만료되는 등 법적 금지 조치가 풀리면 고지를 제공합니다.
계정이 사용 중지되었거나 도용된 경우에는 고지하지 않을 수도 있습니다. 또한 아동 안전 또는 누군가의 생명에 대한 위협이 있을 경우 등 응급 상황 발생 시에는 고지하지 않을 수 있으며, 이 경우 응급 상황이 해소되면 사용자에게 알립니다.
민사, 행정, 형사 사건과 관련된 미국 정부 기관의 요청
미국 수정 헌법 제4조 및 전자통신비밀보호법(ECPA, Electronic Communications Privacy Act)은 정부가 서비스 제공업체에 사용자의 정보를 공개하도록 강요할 능력을 제한합니다. 미국 정부 기관은 아래 나열된 최소 요구사항을 충족해야 합니다.
- 모든 사건: 기본 구독자 등록 정보 및 특정 IP 주소의 공개를 강요하려면 소환장을 발부해야 합니다.
- 형사 사건
- 이메일의 받는사람, 보낸사람, 참조, 숨은참조, 타임스탬프 필드와 같이 콘텐츠가 아닌 기록의 공개를 강요하려면 법원 명령을 받아야 합니다.
- 이메일 메시지, 문서, 사진과 같은 커뮤니케이션 내용의 공개를 강요하려면 수색 영장을 받아야 합니다.
국가 안보 사건과 관련된 미국 정부의 요청
국가 안보와 관련된 조사인 경우 미국 정부가 국가 안보 목적의 신원 확인 요청서(NSL, National Security Letter)를 사용하거나 정부 기관이 외국첩보감시법(FISA, Foreign Intelligence Surveillance Act)에 따라 부여된 권한으로 Google에 사용자 정보를 제공하도록 강요할 수 있습니다.
- NSL의 발행에는 사법기관의 승인이 필요하지 않으며 Google에 구독자와 관련된 제한적인 정보의 제공을 강요할 때에만 사용될 수 있습니다.
- FISA 명령 및 승인을 사용하면 Gmail, 드라이브, 포토와 같은 서비스의 콘텐츠를 비롯해 저장된 데이터를 대상으로 한 전자감독 및 공개를 강요할 수 있습니다.
미국 외 국가의 정부 기관 요청
Google LLC에서는 미국이 아닌 국가의 정부 기관으로부터 데이터 공개 요청을 받기도 합니다. 이러한 요청을 받은 경우 요청에 응하는 것이 다음의 모든 항목을 준수할 시 사용자 정보를 제공할 수 있습니다.
- 미국 법규: 정보의 액세스 및 공개가 전자통신비밀보호법(ECPA)과 같은 관련 미국 법규에서 허용됨을 의미합니다.
- 요청한 국가의 법규: 유사한 서비스를 제공하는 현지 제공업체를 대상으로 데이터 공개를 요청할 경우 적용될 수 있는 것과 동일한 정당한 법적 절차 및 현지 법규를 준수해 달라고 Google에서 정부 기관에 요구함을 의미합니다.
- 국제 규범: Global Network Initiative의 표현의 자유 및 개인정보 보호 원칙(Principles on Freedom of Expression and Privacy)과 실행 가이드라인을 충족하는 요청에만 데이터를 제공함을 의미합니다.
- Google 정책: 모든 관련 서비스 약관 및 개인정보처리방침과 더불어 표현의 자유 보호와 관련된 정책이 포함됩니다.
Google Ireland는 유럽 경제 지역 및 스위스에서 대부분의 Google 서비스를 제공할 책임이 있기 때문에 사용자 정보 관련 요청도 받게 됩니다.
아일랜드 정부 기관의 요청
Google Ireland는 아일랜드 정부 기관의 사용자 정보 요청을 평가할 때 아일랜드 법규를 고려합니다. 아일랜드 법에서는 아일랜드 법 집행 기관에서 Google Ireland에 사용자 정보 제공을 강요할 때 사법기관에서 승인한 명령을 받을 것을 요구합니다.
아일랜드 외 국가의 정부 기관 요청
Google Ireland에서는 유럽 경제 지역 및 스위스 사용자에게 서비스를 제공하며, 아일랜드가 아닌 국가의 정부 기관으로부터 데이터 공개 요청을 받기도 합니다. 이 경우 요청에 응하는 것이 다음의 모든 항목을 준수할 시 사용자 데이터를 제공할 수 있습니다.
- 아일랜드 법규: 액세스 및 공개가 아일랜드 형사사법(Irish Criminal Justice Act)과 같은 관련 아일랜드 법규에서 허용됨을 의미합니다.
- 아일랜드에서 적용되는 유럽 연합(EU) 법규: 개인정보 보호법(GDPR, General Data Protection Regulation)을 포함해 아일랜드에서 적용되는 모든 EU 법규를 의미합니다.
- 요청한 국가의 법규: 유사한 서비스를 제공하는 현지 제공업체를 대상으로 데이터 공개를 요청할 경우 적용될 수 있는 것과 동일한 정당한 법적 절차 및 현지 법규를 준수해 달라고 Google에서 정부 기관에 요구함을 의미합니다.
- 국제 규범: Global Network Initiative의 표현의 자유 및 개인정보 보호 원칙(Principles on Freedom of Expression and Privacy)과 실행 가이드라인을 충족하는 요청에만 데이터를 제공함을 의미합니다.
- Google 정책: 모든 관련 서비스 약관 및 개인정보처리방침과 더불어 표현의 자유 보호와 관련된 정책이 포함됩니다.
누군가를 사망 또는 심각한 신체적 위험으로부터 구할 수 있다는 가능성이 명확히 있는 경우 Google은 정부 기관에 정보를 제공할 수 있습니다. 폭탄 테러 위협, 학교 총기 난사, 납치, 자살 방지, 행방불명 사건 등이 여기에 해당합니다. 하지만 이러한 요청을 받은 경우에도 Google에서는 관련 법규 및 Google 정책을 고려합니다.