사건 이후 회사는 사용자 기반에 대한 법적 의무를 명확히 하기 위해 웹사이트와 개인정보 보호정책을 업데이트했습니다.
스위스에 본사를 둔 보안 이메일 제공업체인 ProtonMail은 스위스 당국의 법적 구속력이 있는 요청으로 인해 고객 중 한 명인 기후 운동가의 IP 주소를 법 집행 기관과 공유하도록 강요받은 후 일부 논란의 중심에 있었습니다.
TechCrunch에 따르면 이야기를 깨뜨린 것은, 프랑스 법 집행 당국은 Europol을 통해 스위스 경찰에 요청을 보내 ProtonMail의 서비스를 사용하고 있던 프랑스 활동가의 IP 주소를 얻을 수 있었습니다.
“이 경우 Proton은 스위스 당국으로부터 우리가 준수해야 하는 법적 구속력이 있는 명령을 받았습니다. 이 특정 요청에 대해 항소할 가능성은 없었습니다. 우리의 세부 사항에 따라 투명성 보고서, 우리의 공개된 위협 모델, 그리고 우리의 개인 정보 보호 정책, 스위스 법률에 따라 Proton은 스위스 범죄 수사를 받고 있는 사용자의 계정에 대한 정보를 수집해야 할 수 있습니다. 이것은 분명히 기본적으로 수행되지는 않지만 Proton이 특정 계정에 대한 법적 명령을 받은 경우에만 수행됩니다.”라고 Proton CEO Andy Yen은 말했습니다. 블로그 게시물 사건의 경위를 설명합니다.
이 폭로는 회사 사용자층으로부터 비판을 받았습니다. Etienne라는 이름을 가진 한 사용자는 ProtonMail이 익명 이메일 계정과 연결될 수 있는 IP 로그를 보관하지 않는다는 주장이 무엇을 의미하는지 의문을 제기했습니다.
물론 Protonmail은 스위스 법률을 준수해야 하지만 "보안 이메일 계정을 만드는 데 개인 정보가 필요하지 않습니다"라는 말은 이것이 의미하는 바입니다. 기본적으로 당사는 귀하의 익명 이메일 계정에 연결될 수 있는 IP 로그를 보관하지 않습니다. 귀하의 개인 정보 보호가 최우선입니다.”
— 에티엔 – 텍(@tenacioustek) 2021 년 9 월 5 일
이후 회사는 웹사이트에서 해당 주장을 삭제하고 개인정보 보호정책을 개정한 것으로 보입니다. Yen은 자신의 블로그에서 많은 일을 할 것이라고 말했습니다. 이메일 제공업체는 형사 기소 사건과 관련하여 법적 의무를 더 밝히기 위해 웹사이트를 업데이트하고 스위스 법률에 따른 의무를 명확히 하기 위해 개인정보 보호정책을 업데이트할 것이라고 말했습니다.
그러나 그는 ProtonMail의 암호화는 우회될 수 없으며 회사가 외국 정부에 데이터를 제공하지 않으며 "스위스 당국의 법적 구속력이 있는 명령"만을 준수한다는 점을 강조했습니다. 또한 이메일 제공업체는 엄격한 개인정보 보호 조치로 인해 사용자의 신원을 알 수 없다고 주장합니다.
Yen은 개발이 우려된다는 점을 인정했지만 회사가 사용자를 위해 싸우고 있음을 강조했습니다. “이 사실을 아는 사람은 거의 없지만(투명성 보고서에 있음) 우리는 실제로 700년에만 2020건이 넘는 사건과 싸웠습니다. 가능할 때마다 우리는 요청에 맞서 싸울 것이지만 항상 가능한 것은 아닙니다.”
출처: https://www.welivesecurity.com/2021/09/07/protonmail-log-users-ip-address/