업데이트: 2021년 10월, Proton은 이메일 서비스가 통신 제공업체가 아니라는 스위스 법원의 판결을 받았습니다. 결과적으로 이메일 서비스는 통신 제공업체에 부과되는 데이터 보존 요건의 적용을 받지 않으며 스위스 법적 명령에 따라 특정 사용자 데이터를 넘겨주는 것에서 면제됩니다. 더 알아보기

최근 형사 혐의로 프랑스 경찰에 체포된 기후 활동가 사건과 관련하여 중요한 해명을 드리고자 합니다. 저희 또한 이 사건에 대해 깊이 우려하고 있으며 심각한 범죄를 위한 법적 도구가 이런 방식으로 사용되고 있는 것에 대해 개탄을 금치 못합니다. 투명성을 위해 추가적인 맥락을 제공하고자 합니다.

이 경우 Proton은 스위스 당국으로부터 법적 구속력이 있는 명령을 받았으며 이를 준수할 의무가 있습니다. 이 특정 요청에 대해 항소할 가능성은 없었습니다.

투명성 보고서(새 창), 공개된 위협 모델, 그리고 개인정보취급방침(새 창)에 자세히 설명된 바와 같이, 스위스 법에 따라 Proton은 스위스 형사 수사를 받고 있는 사용자의 계정 정보를 수집하도록 강요받을 수 있습니다. 이는 분명히 기본적으로 수행되는 것이 아니라 Proton이 특정 계정에 대한 법적 명령을 받은 경우에만 수행됩니다.

다음과 같은 해명을 드리고자 합니다:

  1. 어떤 상황에서도 암호화를 우회할 수 없으며, 이는 이메일, 첨부 파일, 캘린더, 파일 등이 법적 명령에 의해 유출될 수 없음을 의미합니다.
  2. Proton Mail은 외국 정부에 데이터를 제공하지 않습니다. 이는 스위스 형법 제271조에 따라 불법입니다. 저희는 스위스 당국의 법적 구속력이 있는 명령만 준수합니다.
  3. 스위스 당국은 스위스 법적 기준을 충족하는 요청만 승인합니다(중요한 유일한 법은 스위스 법입니다)
  4. 사용자 커뮤니티와의 투명성은 저희에게 매우 중요합니다. 2015년부터 저희는 스위스 법 집행 요청을 처리하는 방법을 공개하는 투명성 보고서를 게시해 왔습니다: https://proton.me/legal/transparency(새 창)
  5. 스위스 법에 따르면 제3자가 개인 데이터를 요청하고 해당 데이터가 형사 소송 절차에 사용될 경우 사용자에게 반드시 통지해야 합니다. 더 자세한 정보는 여기에서 확인할 수 있습니다.
  6. 현행 스위스 법에 따라 이메일과 VPN은 다르게 취급되며, Proton VPN은 사용자 데이터를 로그로 기록하도록 강요받을 수 없습니다
  7. Proton의 엄격한 개인정보 보호로 인해 저희는 사용자의 신원을 알지 못하며, 대상 사용자가 기후 활동가라는 사실을 전혀 인지하지 못했습니다. 단지 스위스 정부의 데이터 명령이 일반적으로 중범죄에 사용되는 채널을 통해 왔다는 사실만 알고 있습니다. 
  8. 이 특정 요청에 저항하거나 맞서 싸울 법적 가능성은 없었습니다.

설계된 대로 작동한 Proton Mail

이 사례는 Proton Mail이 설계된 대로 작동한다는 것을 보여줍니다. 활동가의 신원과 위치는 이미 프랑스 당국에 알려져 있었습니다(이들은 무단 점거로 이미 한 번 퇴거당한 적이 있으며, 무단 점거의 특성상 위치가 알려지게 됩니다). 따라서 당국은 더 많은 유죄 증거를 제공할 수 있는 이메일 내용을 목표로 삼았을 가능성이 높습니다. 법적 명령에도 불구하고 Proton Mail이 메시지를 넘겨줄 수 없었다는 사실은 저희의 암호화가 작동한다는 것을 증명하며, 이 경우 활동가에게 큰 도움이 될 가능성이 높습니다. 다른 이메일 제공 업체를 사용했다면 결과는 매우 달랐을 것입니다.

변경되는 사항

형사 기소 시 Proton Mail의 의무를 더 명확히 하기 위해 웹사이트를 업데이트할 예정이며, 이 부분이 명확하지 않았다면 사과드립니다. 스위스 회사로서 저희는 스위스 법을 따라야 합니다. 또한 개인정보 보호 필요성이 높은 사용자에게는 onion 사이트(세부사항 아래 참조) 사용을 적극 권장한다는 점을 명확히 할 것입니다. 마지막으로, 스위스 법에 따른 법적 의무를 더 명확히 하기 위해 개인정보취급방침도 업데이트할 예정입니다.

Proton Mail을 사용하는 활동가에게 이것은 무엇을 의미하나요?

여러분의 우려를 이해하며 여러분과 함께합니다. 저희도 활동가입니다. 몇 가지 공유하고 싶은 사항이 있습니다.

Proton은 사용자를 위해 싸웁니다

다른 제공 업체와 달리 저희는 사용자를 대신하여 싸웁니다. 아는 사람은 거의 없지만(투명성 보고서에 나와 있습니다), 저희는 실제로 2022년에만 1,038건 이상의 사건과 싸웠습니다. 가능할 때마다 요청에 맞서 싸우겠지만 항상 가능한 것은 아닙니다.

익명 접근을 위해 Tor 사용

보안/개인정보 보호와 익명성에는 차이가 있습니다. (2014년에 게시된) 공개된 위협 모델에서 썼듯이, “인터넷은 일반적으로 익명이 아니며, 스위스 법을 위반하는 경우 Proton Mail과 같은 준법 기업은 법적으로 IP 주소를 로그로 기록하도록 강요받을 수 있습니다.” 이는 인터넷 작동 방식으로 인해 변경할 수 없습니다. 하지만 특정 위협 모델을 가진 개인에게 이것이 우려되는 일이라는 점을 이해하므로, 2017년부터 익명 접근을 위한 onion 사이트도 제공하고 있습니다(이를 지원하는 유일한 이메일 제공 업체 중 하나입니다).

스위스 법은 여전히 대부분보다 낫습니다

어떤 서비스를 사용하든, 공해상 15마일 떨어진 곳에 본사를 두고 있지 않는 한 회사는 법을 준수해야 합니다. 스위스 법률 시스템은 완벽하지는 않지만 많은 견제와 균형을 제공하며, 이 경우에도 2개국 3개 당국의 승인이 필요했다는 점은 주목할 가치가 있습니다. 이는 시스템의 남용을 대부분(물론 전부는 아니지만) 방지하는 상당히 높은 기준입니다. 또한 스위스 법에 따라 피의자에게 데이터가 요청되었음을 통지해야 하는데, 이는 대부분의 국가에서는 해당되지 않습니다. 마지막으로, 스위스는 일반적으로 공정한 사법 시스템이 없는 국가의 기소를 지원하지 않습니다.

우리는 무엇을 해야 할까요?

청년 활동가를 도와야 하지만, Proton Mail이 법을 어기고 법원 명령을 무시하면서까지 그렇게 할 수는 없습니다. 저희는 여러분의 편이며, 우리가 공유하는 싸움은 당국 및 저희가 수년 동안 반대 캠페인을 벌여온 부당한 법률과의 싸움입니다. 이 특정 사건의 기소는 매우 공격적이었습니다. 불행히도 이는 최근 몇 년 동안 전 세계적으로 점점 더 많이 목격되는 패턴입니다(예: 테러법이 부적절하게 사용되는 프랑스).

저희는 그러한 법과 남용에 반대하는 캠페인을 계속할 것이며, 가능할 때마다 부당한 정부 요청에 계속 이의를 제기할 것입니다.