Proton은 왜 스위스에 본사를 두고 있을까요? 스위스 개인정보 보호법 분석

전 세계 어디에 거주하든, 권위주의 정부 치하에 있든 빅테크의 감시에서 벗어나고자 하든, Proton을 사용하면 귀하의 데이터는 스위스 개인정보 보호법의 보호를 받게 됩니다. 저희는 종종 왜 Proton(새 창)이 스위스에 본사를 두고 있는지, 스위스 기업이 되는 것이 실제로 장점이 있는지 질문을 받습니다.

이 기사에서는 다음과 같은 주요 혜택을 포함하여 스위스 기업으로서 갖는 주요 개인정보 보호 이점을 설명합니다.

미국 및 EU 사법권 밖: 스위스 기업은 형사 처벌 하에 외국 법 집행 기관과 정보를 공유하는 것이 허용되지 않습니다.
정치적 중립: 스위스는 오랜 중립 역사를 가지고 있어 외국 정부의 압력으로부터 저희를 보호합니다.
강력한 개인정보 보호: 스위스는 헌법으로 개인정보 보호 권리를 보장하며 엄격한 데이터 보호법을 가지고 있습니다. 다른 국가의 기업들과 달리, Proton은 외국이나 스위스 당국에 의해 대량 감시에 참여하도록 강요받을 수 없습니다.
선진 인프라: 강력한 개인정보 보호법을 가진 다른 많은 국가들은 Proton과 같은 주요 기술 기업을 안정적으로 운영하는 데 필요한 IT 인프라와 인재 풀이 부족합니다. 스위스는 최고의 개인정보 보호, 인프라, 그리고 세계적인 수준의 인적 자원을 보유하고 있습니다.

스위스는 웹과 Proton이 탄생한 곳입니다

Proton의 뿌리(새 창)는 Proton Mail(새 창)에 있으며, 이는 스위스 제네바의 유럽 입자 물리 연구소(CERN)에서 시작되었습니다. 이곳에서 저희 초기 팀원 중 다수가 입자 물리학 실험을 위해 함께 일했습니다. CERN은 또한 1991년 팀 버너스 리 경이 월드 와이드 웹을 발명하여 우리가 아는 인터넷으로 이어진 연구 센터이기도 합니다(팀 경은 현재 Proton 자문 위원회의 일원입니다).

스위스 사법권의 혜택을 받으려면 그곳에 우편함만 있는 것으로는 충분하지 않습니다. 기업에 실질적인 사법권을 행사하는 정부는 조직의 활동 중심지가 있는 곳의 정부이기 때문입니다. 스위스는 저희가 법인을 설립한 곳일 뿐만 아니라 본사, Proton 경영진 및 이사회 구성원의 대다수, 주요 데이터 센터가 위치한 곳이며 가장 많은 직원이 근무하는 국가입니다. 이는 중요한데, 만약 회사가 법적으로는 스위스에 설립되었지만 직원의 대다수가 미국에 있다면, 미국 정부가 사실상 그 회사를 통제하게 되기 때문입니다. Proton에게 스위스는 단순한 법적 사법권이 아니라 실질적인 사법권이 미치는 곳입니다.

중립성과 강력한 개인 권리의 문화

스위스의 중립성, 신중함, 개인의 자유에 대한 정치적 문화는 개인정보 보호에 적합합니다.

공해상의 배에 서버를 호스팅하지 않는 한, 반드시 어딘가의 법적 사법권 하에 있어야 합니다. Lavabit 사례(새 창)가 보여주듯이 현지 법률은 서비스의 존립에 영향을 미칠 수 있으므로 사법권을 선택하는 것은 특히 중요합니다. Lavabit의 경우 미국 사법권이 치명적이었습니다.

전 세계의 매우 민감한 개인정보 및 보안 요구 사항을 가진 사람들에게 서비스를 제공한다는 점을 고려할 때, 스위스는 미국, EU 및 NATO 사법권 밖의 중립 지역이라는 이점이 있습니다. 스위스의 중립성은 스위스가 파이브 아이즈(Five Eyes), 나인 아이즈(Nine Eyes) 또는 포틴 아이즈(Fourteen Eyes) 협정(새 창)이나 NATO 정보 프로그램(새 창)과 같은 구속력 있는 정보 공유 협정의 당사자가 아님을 의미합니다.

스위스와 다른 국가 간의 법적 차이점

스위스는 개인 권리에 대한 강력한 법적 보호를 제공하며, 실제로 스위스 연방 헌법(새 창)은 개인정보 보호에 대한 헌법적 권리를 명시적으로 확립하고 있습니다. (미국에서는 이 권리가 단지 암시될 뿐입니다.) 구체적으로 제13조는 개인 또는 가정생활 및 주거 내의 개인정보를 보호하며, 스위스 민법(새 창)은 제28조에서 이 권리를 제정법으로 명시하고 있습니다.

미국과 EU에서 당국은 개인이 조사받거나 감시당하고 있다는 사실을 알지 못하도록 보도 금지 명령을 내릴 수 있습니다. 이러한 유형의 명령이 스위스에도 존재하지만, 검사는 감시 대상에게 통지할 의무가 있으며 대상은 법원에 항소할 기회를 갖습니다. 스위스에는 국가 안보 서신(National Security Letters)(새 창) 같은 것이 없으며 모든 감시 요청은 법원을 거쳐야 합니다. FBI가 매년 340만 건의 검색을 수행(새 창)하는 미국과 같이 감독이 거의 없는 영장 없는 감시는 스위스에서 불법이며 허용되지 않습니다.

스위스는 또한 형사 처벌의 위협 하에 스위스 기업이 외국 법 집행을 돕는 것을 금지하는 스위스 형법 제271조(새 창)라는 독특한 법적 조항의 혜택을 받습니다. 스위스가 특정 국제 법률 지원 협정의 당사자이긴 하지만, 그러한 협정에 따른 모든 요청은 훨씬 더 엄격한 개인정보 보호 조항을 가진 스위스 법률을 준수해야 합니다. 모든 외국 요청은 스위스 정부에 의해 평가되며, 일반적으로 법치주의가 취약하거나 독립적인 사법부가 없는 국가의 요청은 지원하지 않습니다.

스위스 법에는 몇 가지 독특한 점이 더 있습니다. 첫째, 종단 간 암호화를 보존하며, 미국, 영국 또는 EU와 달리 암호화 권리를 제한하기 위해 도입되거나 고려된 법률이 없습니다. 둘째, 스위스 법은 노로그(no-logs) VPN(새 창)을 보호하므로 Proton VPN은 로그 기록 의무가 없습니다. 수많은 VPN이 노로그를 주장하지만, 대부분의 사법권에서 정부가 해당 VPN에 로그 기록을 시작하도록 요청할 수 있기 때문에 법적으로 이러한 주장은 일반적으로 성립되지 않습니다. 따라서 정부가 요청하기 전까지만 노로그인 셈입니다. 그러나 스위스에서는 법률상 정부가 Proton VPN에 로그 기록을 시작하도록 강요할 수 없습니다.

최근 법원 판결로 강화된 스위스 개인정보 보호

저희는 또한 스위스가 개인정보를 존중하고 보호하는 법적 사법권으로 남을 수 있도록 싸워왔습니다.

전 세계 거의 모든 국가에는 법 집행 목적으로 전자 통신의 합법적 감청을 규율하는 법률이 있습니다. 스위스에서 이러한 규정은 2018년 3월 18일 마지막으로 개정된 스위스 우편 및 통신 감시에 관한 연방 법률(SPTA)에 명시되어 있습니다. 2020년 5월, 저희는 통신법을 이용해 개인정보를 침해하려는 부적절한 시도라고 판단하여 스위스 정부의 결정에 이의를 제기했습니다.

2021년 10월, 스위스 연방 행정 법원은 결국 저희의 손을 들어주어 이메일 기업은 통신 제공자로 간주될 수 없다고 판결했습니다. 이는 Proton이 SPTA의 의무적 데이터 보존 규칙을 따를 필요가 없으며, Proton Mail 사용자를 식별할 완전한 의무에도 구속되지 않음을 의미합니다. 또한 스위스 기업으로서 Proton Mail은 미국이나 스위스 정보 기관을 대신하여 대량 감시에 참여하도록 강요받을 수 없습니다.

암호화를 통한 추가적인 개인정보 보호

Proton은 스위스 내에서 강력한 법적 보호의 혜택을 받지만, 종단 간 암호화 활용과 같은 감시에 대한 기술적 안전장치도 구축했습니다.

저희는 사용자의 이메일, 캘린더 이벤트, 파일, 사진, 로그인 세부정보 및 다양한 종류의 메타데이터를 복호화하는 데 필요한 키를 보유하고 있지 않습니다. Proton Mail이 아닌 계정 간의 이메일조차도 제로 액세스 암호화 사용 덕분에 저희 서버에서 복호화할 수 없습니다. 결과적으로 Proton이 모든 컴퓨터 시스템을 넘겨주도록 강요받더라도 귀하의 이메일 내용, 클라우드 저장공간의 항목, 캘린더 이벤트 및 기타 데이터는 계속 암호화된 상태로 유지됩니다.

이러한 기술적 안전장치는 국가의 법률과 달리 수학의 법칙은 변경되거나 수정될 수 없기 때문에 가장 강력한 개인정보 보호 수단입니다.