2020년 1월 9일은 정보인권 사망의 날, 인간성의 일부인 개인정보를 기업의 돈벌이 수단으로 넘겨버린 날로 기억될 것이다. 국회가 기어이 개인정보 3법(개인정보보호법, 신용정보법, 정보통신망법_소위 데이터 3법)을 시민사회의 우려와 비판에도 불구하고 제대로 된 보호장치 없이 그대로 통과시켰다. 이제 기업이 이윤추구를 위해 제대로 된 통제장치 없이 개인의 가장 은밀한 신용정보, 질병정보 등에 전례없이 광범위하게 접근하고 관리하도록 길을 터주었다. 헌법 제10조에서 도출되고 17조로 보장받는 개인정보자기결정권이 국회의 입법으로 사실상 부정된 것이다. ‘개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다’는 개인정보보호법의 목적 조항은 이제 법조문 속의 한줄 장식품으로 전락할 위기에 처했다. 국회를 규탄하지 않을 수 없다.

경제 논리는 인권에 우선할 수 없다. 게다가 경제적 기대효과는 추정만 난무하지 실체도 없다. 무엇보다 국회는 국민의 대표기관이다. 법률을 제개정함으로써 국민 개개인의 기본권 보호라는 책무을 실현해야 한다. 그런데 이런 국회의 입법권을 오히려 국민 인권을 침해하는데 쓴다면, 존재이유가 없지 않은가. 이번 개인정보 3법 개악은 20대 국회 최악의 입법 중 하나로 기록될 것이다.

사실상 정부가 주도한 개인정보보호법, 신용정보법, 정보통신망법 개정안들은 2011년 제정이래 유지되어 왔던 개인정보보호의 기본 체계를 뒤흔드는 법안이다. 국가 개인정보보호의 체계를 근본적으로 바꾸는 중대한 사안임에도 그동안 정부는 제대로 된 사회적 논의를 진행하지 않았다. 아니 일부러 회피한 것으로 보인다. 기업측의 요구를 일방적으로 수용하여 정보주체의 동의 및 목적명확성의 원칙, 최소수집의 원칙이라는 기본 전제들을 와해시키는데 주저하지 않았다. 이제 기업은 현대인들의 삶의 터전이라는 인터넷의 모든 곳을 관리하고 거기서 만들어지는 흔적인 ‘데이터’를 자신들의 이익을 위해 얼마든지 결합하고 공유하고 판매할 수 있게 되었다. 80%가 넘는 국민들이 개인정보보호법이 개정된다는 사실조차 알지 못하는 사이 그야말로 새로운 데이터환경, 정보환경으로 바꾸어 놓았다. 가명정보라고 해도 기업이 동의없이 이용, 판매하는데 반대한다는 국민 다수의 의견은 안중에도 없이 최후의 보루로 남겨두었어야 할 명시적 동의 요건을 삭제하고 가명처리만으로 마음대로 사고 팔고, 집적할 수 있도록 해 주었다. 무엇을 위해서인가? 정부가 그토록 주창하는 혁신경제를 위해서인가? 실체도 없이 장미빛 전망으로만 포장되어온 4차산업혁명을 위해서인가? 누누히 지적해왔듯이 저 70년대 개발독재식 논리와 무엇이 다른가. 박근혜 정부 때 야당으로서 한 목소리를 내어 정보인권을 주창했던 더불어민주당은 인권에 대한 철학도 신념도 없었다는 말인가?

데이터산업이 커지면 그동안에도 고객 정보를 수집하고 집적해 온 금융기업 등 일부 관련 기업들은 환호할 것이고 데이터산업의 부가가치는 일부 기업에 집중될 것이다. 그러나 정보주체인 국민들은 개인정보 권리 침해, 데이터 관련 범죄 증가, 국가와 기업의 국민 감시 및 차별 심화 등 그 피해를 고스란히 떠안게 될 것이다. 가장 사적이고 민감하여 보호받아야 할 각종 질병 정보, 가족력이나 유전병 정보 등 건강 정보에 의료 관련 기업은 물론이고 의료와 관계 없는 온갖 영리기업들도 접근할 수 있게 된다. 이 뿐인가? SNS에 올린 정보들도 신용평가에 활용될 것이며 기업들은 이렇게 수집하고 축적한 고객 정보들을 결합·가공해 팔아 수익을 내거나, 고용이나 보험금 지급 등에 활용할 것이다. “나에 대해 몇 가지 정보를 아는 사람은 나를 약간 통제할 수 있고, 나에 대해 모든 것을 아는 사람은 나를 거의 대부분 통제할 수 있다.”라는 말이 현실이 될 것이다. 기업은 이제 그 어느 때보다도 손쉽게 고객을 통제할 수 있게 되는 것이다. 정보 주체인 국민은 이런 기업에 대응할 법률적 수단이 사실상 없다.

법률은 일단 한번 개정되면 되돌리기는 쉽지 않다. 오늘 통과된 개인정보 3법은 정보인권침해 3법, 개인정보도둑 3법이라 불릴 것이다. 또한 법개악에 반대해온 우리 시민사회노동건강소비자운동단체들은 헌법소원과 국민캠페인 등 가능한 모든 수단을 동원하여 잘못 개정된 정보인권침해 3법의 재개정에 매진할 것이다. 끝.

2020.1.10.
건강과 대안·경제정의실천시민연합·금융정의연대·무상의료운동본부·민변 디지털정보위원회·민주노동조합총연맹·보건의료단체연합·서울YMCA·소비사시민모임·전국사무금융서비스노동조합·의료연대본부·진보네트워크센터·참여연대·한국소비자연맹·함께하는시민행동

민주당 인재근 의원은 국민의 개인 의료·건강정보를 기업에게 팔아먹는 개인정보 보호법 개정안을 철회하라!

- 민주주의와 인권의 이름으로 개인정보 보호 규제 완화를 반대한다.

- 우리 의료기록은 정부와 병원 소유물이 아니다. 의료기록 거래를 중단하라!

박근혜 정부에 이어 문재인 정부가 의료 민영화 정책을 가감없이 추진하겠다고 발표하는 것과 발맞추어, 정부 여당은 ‘개인정보 보호법 전면 개정안’을 국회에 상정, 통과를 요구하고 있다. 인재근 의원이 대표발의한 개인정보 보호법 개정안은 국민 개인들의 정보를 기업의 돈벌이로 활용하는 안을 담고 있으면서도, 정보 주체인 개인들의 의견 수렴 과정도, 최소한의 동의 절차도, 공식적인 국회 토론회 한 차례도 없이 일사천리로 진행 중이다. 정부 청부법안인 인재근 의원 안은 현재 행정안전위원회 법안심사소위에 계류돼 있다.

시민사회단체들은 인재근 의원 안이 국회 상정되었을 당시 개인정보 보호 운동단체들과 함께 법안의 심각한 문제점을 지적하며 국회 상정을 반대한 바 있다. 그러나 여러 시민사회단체들의 우려에도 불구하고 법안은 강행 추진되고 있다. 더욱이 지난 5월 ‘촛불 정권’이라고 더는 부를 수 없을 정도로 쏟아진 문재인 정부의 의료 민영화 및 빅데이터 정책들은 모두 인재근 의원안의 통과를 전제하고 있다. 결국 인재근 의원 안이 가장 핵심적으로 노리는 것이 무엇인지를 너무도 명확하게 보여준 것이다.

우리는 지난 수십 년 간 의료 민영화 반대 투쟁을 하면서, 현재 법 제도 상 의료 민영화의 쓰나미를 막는 방파제 역할을 개인정보 보호법이 해 왔다는 것을 잘 알고 있다. 이 때문에 민간보험사들과 제약회사, 대형병원, 통신재벌들은 기회만 되면 개인정보 보호법을 규제완화하려 시도해 왔다. 병원에 축적된 환자들의 의료기록과 데이터, 건강보험공단과 심평원 등에 축적된 국민의 개인 의료정보와 건강정보를 사고팔 수 있고, 자신들의 상품 개발과 서비스 판매에 이용할 수 있게 되기 때문이다. 삼성이 오랫동안 건강보험공단에 있는 개인정보를 민간과 공유해야 한다고 일관되게 요구해 온 것은 이런 이유다.

인재근 의원 안대로 개인정보 보호법이 개악된다면, 국민의 소중한 의료정보와 건강정보의 주권과 소유권은 이제 기업과 병원들에게 넘어가게 된다. 지금도 대형병원들이 진료 목적으로 제공한 환자들의 개인 의료정보가 병원 소유라고 주장하는 어처구니없는 상황에서 이러한 개악안의 통과는 국민 개인의 사생활 침해는 물론이거니와 환자와 의사 간 근본적인 신뢰 붕괴, 사회적 배제와 낙인의 증가, 사회 불평등 심화와 민주주의 위기로 이어질 것이다.

우리는 의료가 가져야 할 환자 정보 보호의 가장 기본적이고 우선적인 원칙을 훼손하고, 의료 민영화 쓰나미로 파국의 문을 여는 인재근 의원이 발의한 개인정보 보호법 개악 법안의 철회를 다음과 같이 요구한다.

첫째, 인재근 의원 개정안은 국민 건강정보에 대한 자기결정권을 심각하게 침해하는 법안이다. 개정안은 개인정보 보호 중 예외 조항으로 ‘가명정보’라는 새로운 개념을 만들어, 가명정보의 경우 개인의 동의 없이도 이용할 수 있도록 허용하는 안이다. 개정안에서 정의하고 있는 ‘가명정보’는 특정 기술적 방법으로 개인을 쉽게 알아볼 수 없게 처리한 정보라고 하지만, 정부도 합의한 가명정보의 개념은 익명정보와 달리, 다른 정보와 결합되면 쉽게 개인이 식별될 수 있는 엄연한 개인정보다.

무엇보다도 국민들이 병원을 방문해 진료 목적으로 제공한 건강정보와 처방, 복약 정보 등이 포함된 의료·건강정보는 다른 정보와 결합될 경우 그가 누구인지 찾아내기가 너무 쉬운 민감한 개인정보에 해당한다. 따라서 개인의 의료·건강정보는 가명처리가 된다 해도 개인정보 보호 기준에 따라야 한다. 가명처리가 된 개인 의료·건강정보 역시 진료 목적이 아닌 기업의 사용 시에는 반드시 환자 등 정보 주체의 동의를 받아야 한다.

둘째, 개정안에서는 기업이 포함된 제3자가 ‘통계작성, 과학적 연구 등을 위해서라면 정보 주체의 동의 없이 가명정보를 이용할 수 있게 허용하고 있다. 그런데 이 통계와 과학적 연구는 기업의 ‘새로운 기술·제품·서비스의 개발 등 산업적 목적을 포함하는 과학적 연구, 시장 조사 등 상업적 목적의 통계작성’ 이다. 결국 기업들이 ‘과학적 연구 방법을 도입해 새로운 상품, 서비스, 기술 등을 개발하겠다고 하면 개인 의료기록과 건강정보를 가져다 쓸 수 있게 된다. 진료 목적으로 제공된 병원 내 환자 정보와 건강보험공단과 심평원에 축적된 자료 모두를 진료 외 목적으로 사용하면서 환자들을 비롯한 정보 주체의 동의도 구하지 않겠다는 것이다.

이는 병원이 대량으로 보유하고 있는 환자의 의료기록과 건강정보가 대량으로 제약회사, 의료기기회사, 민간보험회사, 통신회사 등에 넘어갈 수 있는 길이 열리는 법이다. 환자들은 치료목적으로 제공한 자신의 내밀한 건강정보가 언제, 어떤 경로, 누구에게, 어느 정도의 가명처리로 전달되고 이용되고 전파되는지 알지도 못하게 된다.

‘과학적 연구와 시장 조사 통계작성’ 등의 모호한 범위는 매우 엄격하게 규제되어야 하며, 연구 통계 목적이라 하더라도 민감정보인 개인의 의료기록과 건강정보는 최소한의 데이터만 제공될 수 있도록 데이터 최소화의 원칙이 적용되어야 한다.

셋째, 개정안은 정부의 바이오헬스 산업화 전략을 이행하기 위해 기업들의 요구를 담아 추진하는 개인정보 규제 완화법이다. 문재인 정부는 의료 민영화의 총제적 내용을 담은 ‘바이오헬스산업 혁신전략’을 내세우며 이를 위해 국회에 개인정보 보호법 개정안이 올려져 있다고 주장했다.

민간보험사들의 숙원사업이기도 했던 ‘맞춤형 건강증진 상품’ 판매를 통해 ‘건강관리서비스업’을 허용하겠다는 정책, 마이헬스데이터 사업을 통해 CJ나 삼성화재 등이 환자들의 의료정보를 이용해 맞춤형 식자재나 보험상품으로 돈을 벌 수 있도록 하겠다는 정책 등등은, 진료 목적으로 건강보험공단과 심평원에 수집된 개인 의료정보를 상업화를 목적으로 제공하겠다는 정부 정책을 바탕으로 한다. 감옥에 간 박근혜조차도 추진하진 못해 막혀있던 내용을 문재인 대통령이 추진한다는 것이다.

데이터 중심 병원이라고 불리우는 대형병원들에 집약된 수십 년 간의 환자 의료정보를 활용하는 사업들도 마찬가지다. 우리나라 재벌병원들은 병원 하나가 그 자체로 국민들의 의료정보와 생체정보를 수집 축적해 둔 개인정보의 비밀 보호 공간이다. 이 때문에 의료인들에게는 의료법에 따라 진료 목적으로 수집한 개인정보에 대해서 엄격하게 환자 비밀유지를 지켜야 할 의무를 부과한다. 그런데 문재인 대통령은 재벌병원들이 ‘우리 병원에 수집된 개인 의료정보는 우리 것’이라고 우기는 의료정보 오우너쉽(Ownership)을 적극 지지하고 있는 것이다.

이런 말도 안되는 개인 의료정보 민영화 추진 정책들은 인재근 의원이 발의한 개인정보 보호법 개정안 통과를 통해 발판을 만들고자 한다. 원격의료 기기를 통해 수집되는 건강정보, 건강관리서비스업체가 판매하게 될 기기를 통해 수집되는 건강정보도 상당할 것으로 예상되고 있다. 인재근 안이 통과되면 이러한 개인의 건강정보가 송두리째 기업에게 넘기는 게 합법화되는 것이다.

넷째, 건강정보 영역에서 이와 같은 방식으로 기업이 가져간 개인 건강정보는 그것을 활용하여 개발한 재화, 서비스의 혜택이 환자와 국민들에게 돌아갈 가능성이 거의 없다는 점이다. 되려 특정 기업의 배만 불리게 되는 반면 정보 유출의 피해는 고스란히 환자들이 지게 된다. 민간보험회사가 특정 개인의 질병력을 익명정보가 아닌 상태로 얻게 된다면 특정 개인의 보험 가입을 거부하거나 보험료를 올려 받을 근거로 악용될 수 있다. 기업들이 의료기기와 의약품 연구 개발을 위한 거라며 ‘과학적 연구’나 ‘시장 조사’ 목적으로 개인 건강정보를 가져다 쓸 수 있게 되지만, 누군가의 성매개 감염병 치료에 대한 정보, 정신질환 치료에 대한 정보, 가족력과 유전병에 대한 정보, 여성의 임신, 낙태 경험 등에 대한 가명처리된 개인정보가 식별돼 유출될 경우 특정 개인의 피해는 막대하다. 특히 이러한 의료·건강 정보일수록 사회적 낙인이나 배제 효과를 동반하는 경우가 많아 정보 노출로 개인이 고용상의 불이익이나 집단적 왕따, 사회적 평판의 저하를 당할 수 있다는 점에서 한 개인에게 돌이킬 수 없이 치명적이다. 최악의 경우 이러한 개인정보 취득을 이유로 협박 등을 행하는 범죄 혹은 사기에 이용되어 사회적 불안과 불신은 더욱 커질 수 있다.

정부와 제약기업, 의료기기회사, 대형병원, 통신회사 들은 ‘보건의료 빅데이터’를 통해 국민 건강증진에 도움이 될 것처럼 선전 홍보하고 있지만, 이는 사실과 전혀 다르다. 이들이 제시하고 있는 다수의 사업 모델은 국민 건강증진 효과가 극히 미미하거나 거의 없다. 단지 새로운 기술을 활용하여 의료나 건강관리에 접목한다며 근거 없는 장밋빛 전망을 내세워, 자신들이 투자하는 사업에 투자자들을 모으고 새로운 이윤 창출의 도구로 시장의 변화를 노리는 거품 경제에 불과하다. 이러한 사업 모델은 국민 개인에게 그 결정권이 있고 전체 사회 측면에서 보자면 공공영역에 해당하는 국민의 의료·건강정보를 기업이 사적으로 편취하여 추가적 이윤을 획득하는 강탈 행위에 다를 바 없다. 이러한 측면에서 인재근 의원이 대표발의한 정부법안은 명백히 ‘의료 민영화/영리화’ 정책이며 ‘건강 시장화’ 정책 추진 법안이다.

우리는 개인정보 규제 완화를 대표 발의한 인재근 의원에게 묻는다. 민주주의와 인권의 이름으로 국회의원이 되었다 해도 과언이 아닌 의원이, 오롯이 한국 민주주의와 인권의 역사가 담긴 개인정보 보호법의 근간을 허무는 법안을 대표발의한 것은 대단히 실망스러운 일이다. 우리는 한국 민주주의 투쟁의 역사와 궤를 같이 한 개인정보 보호법의 원칙을 훼손시키는 개정안을 철회할 것을 요구한다. 인재근 의원은 민주주의와 인권을 침해하는 개인정보 보호법 개정안을 당장 철회하라. 20대 국회는 결코 이러한 법안을 통과시켜선 안된다, 국민의 의료기록과 건강정보를 기업들의 이윤으로 넘겨주는 이 법을 지지하는 이들을 우리는 다가오는 총선에서 그 댓가를 치르게 될 것이라는 점을 분명히 밝힌다.

2019년 7월 4일

금융정의연대, 녹색당, 무상의료운동본부, 민변 디지털정보워원회, 서울YMCA, 의료민영화저지범국민운동본부, 정치하는엄마들, 진보네트워크센터

건강과 대안, 건강권실현을 위한 보건의료단체연합(건강사회를 위한 약사회, 건강사회를 위한 치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회), 건강보험심사평가원노동조합, 건강보험하나로시민회의, 건강세상네트워크, 경제민주화2030연대, 경제정의실천시민연합, 공공병원설립운동연대, 공공의료성남시민행동, 관악주민연대, 광주전남보건의료단체협의회, 국민건강보험노동조합, 기독청년의료인회, 노동당, 노동사회과학연구소, 노동인권회관, 노동자연대, 노동자연대학생그룹, 녹색당, 변혁당, 변혁당학생위원회, 녹색연합, 농민약국, 대전시립병원설립운동본부, 민족민주열사·희생자추모단체연대회의, 민주노동자전국회의, 민주사회를위한변호사모임, 민주화를위한전국교수협의회, 민중공동행동, 반민곤빈민연대, 불교평화연대, 빈곤사회연대, 빈민해방실천연대(민주노련, 전철연), 사월혁명회, 사회적파업연대기금 사회진보연대, 새로하나, 새물결약사회, 새세상을여는천주교여성공동체, 서울YMCA시민중계실, 약사의미래를준비하는모임, 에너지기후정책연구소, 에너지정의행동, 예수살기, 우리신학연구소, 의료민영화저지와무상의료실현을위한운동본부, 의료영리화저지와의료공공성강화를위한제주도민운동본부, 일산병원노동조합, 장애인배움터너른마당, 적폐청산의열행동본부, 전국농민회총연맹, 전국민주노동조합총연맹, 전국공공운수노동조합, 전국공공운수노조 의료연대본부, 전국공공운수노조 국민연금지부, 전국공공운수노조 전국철도노동조합, 전국공무원노동조합, 전국보건의료산업노동조합, 전국빈민연합(전노련, 빈철련), 전국여성농민회총연합, 전국여성연대, 전국장애인차별철폐연대, 전국학생행진, 전태일을따르는노동대학, 전태일재단, 정의당, 조국통일범민족연합남측본부, 참교육을위한전국학부모회, 참여연대, 천주교빈민사목위원회, 천주교인권위원회, 천주교인천교구노동사목, 천주교정의구현전국연합, 청년유니온, 카톨릭농민회, 평등교육실현을위한전국학부모회, 평화와통일을여는사람들, 학교급식전국네트워크, 한국농업경영인중앙연합회, 한국민주제약노동조합, 한국비정규센터, 한국여성민우회, 한국의료복지사회적협동조합연합회, 한국진보연대, 한국청년연대, 행동하는의사회, 현장실천노동자연대, 현장실천사회변혁노동자전선, 환경운동연합, 환경정의, 21C한국대학생연합, icoop소비자활동연합회.

——————————————————————————

인재근 의원이 대표 발의한 ‘개인정보 보호법 일부개정법률안’에 대한 의견

1. 가명정보는 재식별될 수 있고, 건강정보의 경우 다른 개인정보에 비하여 재식별의 가능성이 더 큽니다.

○ 확률의 문제일 뿐 가명정보는 재식별될 수 있다는 것에 대해서는 이론의 여지가 없고, 이러한 학계의 일반적 논의에 동의하기 때문에 인재근 의원 안에서도 ‘가명정보’를 개인정보로 보고 개인정보 보호법상 규제 대상이 되는 정보로 규정하고 있습니다.

○ 특별한 기술을 이용하여 개인정보를 “가명화”하는 방식은 일반적으로 개인정보를 보호하는 데 그리 효과적이지 않음이 많은 연구를 통해 증명되고 있습니다. 특히 한 개인에 대한 개별적인(Unique) 정보를 대량으로 포함할 수 있는 빅데이터 시대에는 이러한 데이터 집합을 사용하여 개인을 식별하는 것은 더욱 쉽습니다. 예를 들어 미국의 국립보건원(NIH)는 한 때 자신의 연구비로 수행된 연구에서 획득된 유전정보 데이터베이스를 공개한 적이 있는데 곧바로 이를 철회하였습니다. 이 데이터베이스를 활용하여 이 데이터베이스에 포함된 개인을 식별할 수 있다는 것을 몇몇 연구가 증명하여 보였기 때문입니다. 가명정보라 하더라도 데이터 양이 많아지면 많아질수록, 그리고 그 안에 유니크한 정보가 많으면 많을수록 재식별의 위험은 더 커집니다.

○ 이러한 측면에서 건강정보와 유전정보는 가명정보라 하더라도 특히 더 재식별의 가능성이 큽니다. 몇 개의 유전정보를 활용하여 개인의 특성을 파악할 수 있고, 그로 유추해 보건대 개인 식별도 어렵지 않음을 시사하는 연구는 적지 않습니다. 예를 들어 한 연구에 따르면 100개 미만의 단일 염기 다형성(SNP)만으로도 개인의 DNA 기록을 구별하기에 충분하다고 합니다.

2. 건강정보와 유전정보의 경우 가명정보가 재식별되어 악용되었을 때, 그 위험은 치명적이고 되돌릴 수 없습니다.

○ 개인의 건강정보와 유전정보의 유출은 개인뿐 아니라 사회에도 막대한 피해를 입힙니다. 환자들이 병원에 가서 진료 과정에서 내밀한 얘기를 의사에게 털어놓을 수 있는 까닭은 의사와 병원이 자신의 정보를 잘 보호해줄 것이라고 믿기 때문입니다. 그런데 이 믿음이 깨지면, 의사-환자 관계의 신뢰 붕괴로 제대로 된 진료가 이루어질 수 없을 것입니다.

○ 개인의 건강정보, 유전정보는 가장 가까운 사람에게조차 숨기고 싶은 사생활의 영역입니다. 민감정보 중의 민감정보인 것입니다. 민간보험회사가 특정 개인의 질병력을 알게 된다면 특정 개인의 보험 가입을 거부하거나 보험료를 올려 받을 근거로 악용될 수 있습니다. 성 매개 감염병 치료에 대한 정보, 정신질환 치료에 대한 정보, 여성의 임신, 낙태 경험 등에 대한 정보가 공개됨으로써 가족이나 직장 동료 등에게 알려지면, 그로 인한 개인의 피해는 막대할 수 있습니다.

○ 특히 이러한 건강정보, 유전정보일수록 사회적 낙인이나 배제 효과를 동반하는 경우가 많아 정보 노출로 개인이 고용상의 불이익이나 집단적 따돌림, 사회적 평판의 저하를 당할 수 있다는 점에서 치명적입니다. 최악의 경우 이러한 정보 취득을 이유로 협박 등을 행하는 범죄 혹은 사기에 이용될 수도 있습니다.

3. 사후적 처벌 수준을 높인다고 하여 건강정보, 유전정보 유출 문제가 해결되지 않습니다.

○ 인재근 의원 안에는 가명정보의 재식별을 막고자 재식별 방지를 위한 안전조치를 취하도록 하며, 재식별 행위를 금지하고 이를 위반할 시 과징금을 부과하는 등의 보완조치가 담겨져 있으나, 이는 사후약방문일 뿐 민감정보인 건강정보와 유전정보의 유출을 막기 위한 원천적 예방책은 아닙니다.

○ 서구 여러 나라에서 사이버 범죄에 대한 처벌 수위가 높아지고 있음에도 불구하고, 사이버 범죄를 행하기 위한 각종 기술이 발달하고 범죄로 인한 경제적 이득이 증가함에 따라 사이버 범죄의 횟수와 규모가 더욱 커지고 있다는 사실은 이를 반증한다고 할 수 있습니다.

○ 유출 시 개인과 사회에 미치는 영향이 매우 큰 건강정보, 유전정보 등의 민감정보는 사전에 유출 가능성을 최소화하는 것이 가장 좋은 정책입니다.

4. 통계 작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있도록 하고 있는 인재근 의원 안 제28조의2항은 개인정보 유출의 문제뿐 아니라 다양한 윤리적 문제를 제기합니다.

○ 위에서 언급한 바 가명정보라 하더라도 개인정보이고 재식별 가능성 및 유출의 위험이 있음에도 불구하고, 가명정보 활용 시 정보주체의 동의를 생략한다는 개인의 권리 제약이 정당화되려면 “개인의 권리 제한은 합당한 공공 이익 목적을 위해서만 이루어져야 하고, 동일한 목표에 도달하기 위해 활용할 수 있는 상대적으로 침해나 제한의 성격이 약한 다른 수단이 존재하지 않아야 한다.”는 등의 원칙을 천명한 ‘시라쿠사 원칙(Siracusa Principles)’에 근거해야 합니다.

○ 논란이 있을 수 있지만, 사회정책적 목적을 위한 통계 작성, 공공의 이익을 위한 과학적 연구, 공익적 기록보존 등의 행위는 공공의 이익을 위한 것이고, 다른 수단으로 위와 같은 목적을 달성할 수 없다는 것이 반증되면, 정보주체의 동의 없이 가명정보를 활용할 수도 있다고 생각합니다.

○ 하지만 상업적 목적으로 이루어지는 통계 작성, 일부 주체에게 그 이익이 전유되는 산업계에서 이루어지는 과학적 연구 등은 공공의 이익을 위한 것이라 볼 수 없다는 점에서 인재근 의원 안은 큰 윤리적 문제를 가지고 있습니다.

○ 특히 크나큰 오욕의 역사를 가지고 있는 생명, 의학 연구 영역에서 발전해 온 생명/의학 연구 윤리의 원칙과 이 조항은 정면으로 배치됩니다.

○ 생명/의학 연구에서 윤리적 고려는 과학 발전과 개인의 존엄성 및 자율성에 대한 사회적 필요성 사이의 균형을 이루기 위한 인류 집단의 노력의 결과입니다. 예를 들어 이를 천명한 타이베이 선언에서는 “개인의 존엄성, 자율성, 사생활 및 기밀성을 존중하면서 과학 발전과 공중보건 발전을 추구해야 한다.”고 천명합니다. 이러한 권리에는 개인정보 유출로 인한 피해로부터 자유로울 권리만 포함되는 것이 아닙니다. 더 나아가 ‘개인이 자신의 개인정보 및 생물학적 물질 사용에 대한 통제권을 행사할 수 있는 권리’를 포함합니다.

○ 아무리 과학적 발전을 위한 연구라 하더라도 한 개인은 자신의 윤리적 신념에 반하는 연구에 대한 참여를 거부할 권리가 있습니다. 예를 들어 자신의 가족과 앞으로 존재할 미래 세대에 대한 프로파일링을 위한 유전체 연구, 인종차별의 근거가 될 수 있는 유전체 연구, 특정 집단을 차별하고 배제하는 근거로 사용될 수 있는 건강 연구, 유전적 특질을 이용한 생물학적 무기를 개발한기 위한 연구 등에 자신의 개인 건강정보, 유전정보가 동의 없이 사용되기를 원하지 않는 이들이 다수입니다.

○ 과학적 연구 참여에 대한 개인의 동의는 연구 수행 기관에 대한 신뢰를 기반으로 하는 경우가 많으므로 개인정보 사용과 관련된 행위자도 매우 중요한 고려사항입니다. 특히 민간보험회사, 제약회사, 의료기기회사, 민간의료기관 등 민간 기업이 행하는 과학적 연구에 대해서 과연 다수의 개인이 동의 없이 자신의 개인 건강정보, 유전정보를 활용하도록 동의할 것인지에 대해서는 확인이 필요한 민감한 쟁점입니다. 대한민국의 바이오헬스 산업 발전을 위해 내 건강정보 및 유전정보를 기업이 맘대로 써도 된다고 생각하는 대한민국 국민이 얼마나 될지 의문입니다.

5. 과학적 연구에서 기업이 주체가 되는 산업적 연구는 제외되어야 하고, 기업이 상업적 목적으로 작성하는 통계 작성 역시 제외되어야 합니다. 더불어 가명화된 건강정보, 유전정보를 활용하는 공익적 목적의 과학적 연구라 하더라도 매우 엄격한 안전 장치와 제한 장치를 두어 연구를 수행하게 하여야 합니다.

○ 건강정보, 유전정보를 활용한 생명/건강 연구의 민감성과 특수성이 존재하기에, 유럽의 여러 나라에서 건강정보 및 유전정보의 활용과 관련해서는 유럽의 GDPR과 별개로 더 엄격한 규제를 하고 있는 나라가 많습니다.

○ 유럽의 GDPR을 수용한 영국의 개인정보보호법은 scientific research에서 commercial research를 제외하고 있습니다.

○ 공익적 목적의 과학적 연구 및 사회정책적 통계 목적으로 제공할 경우에도 해당 연구 목적에 반드시 필요한 정보만 제공하도록 하고, 해당 연구가 종료되면 데이터를 폐기하도록 해야 합니다.

○ 정보주체의 권리가 무조건 제한되는 것이 아니라, 과학적 연구 및 통계 목적의 달성을 위해 정보주체 권리의 제한이 불가피하게 필요한 경우로 제한해야 합니다. 이 경우에도 정보주체에 대한 정보제공(학술 연구 및 통계 목적으로 사용된다는 것에 대한) 및 정보주체가 원하면 처리정지를 요구할 수 있는 권리를 보장해야 합니다.

○ 특히, 건강정보 및 유전정보를 공공의 이익을 위한 과학적 연구 및 사회정책적 통계 목적으로 제공할 경우에도 별도의 법적 근거가 있을 경우에 한정하도록 하고, 연구 목적 활용 시 안전조치(예를 들어, 연구 목적의 제한, 연구자의 자격 요건, 안전시설에서의 접근 등)에 대해 보다 구체적으로 규정해야 합니다.

○ 실제 아일랜드는 최근 별도의 “건강 연구 규제법”을 제정하여 건강 연구(health reseach)의 경우 일반 개인정보의 연구 목적 제공보다 훨씬 엄격한 요건을 규정하고 있습니다. (Data Protection Act 2018 Section 36, Health Research Regulations 2018)

의견서 개인정보보호법개정안

개인의료정보의 상업화 추진 중단해야

개인의료정보의 상업적 사용에 대한 논란이 본격화 됐다. 지난 8월 31일 문재인 대통령이 개인정보를 정보 주체의 동의 없이도 기업들이 활용할 수 있도록 하겠다고 공식 발표했기 때문이다. 산업자원부는 39개 대형병원에 있는 환자정보를 이용해 전국민에 해당하는 5천만 명 데이터베이스를 구축하는 사업을 추진 중이고, 과기정통부는 ‘마이데이터’ 사업을 더 확장해 건강보험공단의 국민 건강검진 기록을 민간기업이 제작한 모바일 앱으로 바로 전송받도록 하는 방식을 추진 중이다.

이에 질세라 재벌병원과 대기업들도 정부 발표에 발맞춰  ‘의료데이터’ 기업 설립을 잇따라 발표했다. 서울아산병원은 카카오인베스트먼트, 현대중공업지주와 의료데이터 합작회사인 ‘아산카카오메디컬데이터’를 설립해 새로운 의료정보 시장을 선점해 나가겠다고 했고, 네이버는 분당서울대병원, 대웅제약 등과 함께 특수목적법인을 설립하겠다고 밝혔다. 이 모든 사업들은 현행법 체계에서는 불법이거나 위법 논란이 있는 것들이다.

박근혜 정부 시기 ‘4차 산업혁명’이 규제완화와 민영화 정책에 상당한 정치적 정당성을 부여하는 레토릭으로 사용되었다면, 문재인정부의 ‘4차 산업혁명’은 그 목표를 단일화해 개인정보 규제완화와 상업화 요구를 달고 ‘혁신성장’ 으로 진화한 셈이다.

자본 입장에서 2008년 경제위기 이후 ‘저성장의 일상화’를 돌파하는 열쇠가 될 거라고 주창된 4차 산업혁명의 실질적 내용은 차지하더라도, 4차 산업혁명이 보건의료 기술을 통해 부흥될 거라 예견된 것은 문제다. 4차 산업혁명이 지향하는 ‘고 위험, 고 부가가치’ 산업들은 공공서비스 영역이자 한 사회의 사회보장제도에 해당하는 보건의료와 양립하기 어려운 가치이기 때문이다.

보건의료 분야에서 개인질병정보와 진료기록 등을 포함한 개인건강정보에 대한 보호조치들은 의료 공공성을 지키는 보루가 되어 왔다. 공공의료가 OECD 국가 중 최하위에 속하는 한국 의료가 그나마 공공성을 버티고 있는 것은 국민건강보험제도와 당연지정제 때문이라고 해도 과언이 아니다. 민간보험회사들이 공보험을 대체할 만큼 시장 확대를 하지 못하는 것은 개인의료정보에 대한 접근권이 제한돼 있기 때문이었다. 개인의료정보의 민간 공유는 의료민영화로 가는 길목을 여는 일이 될 것이다.

개인의 의료정보는 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로 개인정보보호법상 ‘민감정보’ 에 해당한다. 개인의 의료정보는 가장 가까운 사람에게조차 숨기고 싶은 사생활의 영역이다. 개인이 숨기고 싶은 질병정보가 유출되어 사회적으로 공개될 때 그로 인한 피해는 고스란히 개인이 짊어져야 하며 어떤 사회적 보상으로도 대신할 수 없다. 개인질병을 이용한 사회적 낙인과 배제는 고용상의 불이익, 집단적 왕따, 사회적 평판 등으로 이어져 한 개인에게는 회복되기 어려운 상처를 남긴다.

개인의료정보 규제완화 정책은 의료시스템 전반을 위협할 수 있다는 점에서도 큰 문제다. 개인의료정보 보안에 대한 신뢰 붕괴는 환자와 의료인간 신뢰를 무너뜨릴 수 있다. 치료 과정에서 환자와 의료인 간 솔직한 정보 교환은 효과적 의료를 위해 필수적이다. 환자는 자신의 정보가 진료 외 목적으로 사용되지 않을 것이라는 신뢰를 기반으로 의료인에게 자신의 많은 정보를 털어 놓는다. 그런데 이러한 내밀한 정보가 쉽게 유출될 수 있고 상업적으로 활용될 수 있다고 생각하면, 의사- 환자 간 신뢰 관계가 무너지고 치료를 위한 정직한 정보를 제공하기 어려울 수 있다. 신뢰를 기반으로 하는 의료시스템 전반을 위협하는 개인의료정보 규제완화는 결국 의료시스템의 총체적 붕괴로 이어질 수 있다.

개인의료정보는 사실상 식별 위험이 더 크다는 점도 간과해서는 안된다. 우리나라의 경우 국민이 건강보험에 가입돼 있고, 개인의 진료정보, 약물사용 자료, 건강검진 자료 등이 대규모로 집적돼 있고, 건강보험 적용 및 이용을 위한 행정적 목적을 이유로 의료 정보 외에도 개인의 소득, 주소, 직장 등 방대한 양의 개인정보가 집적돼 있다. 개인의료정보의 경우 아무리 가명화된 채로 사용된다 해도 이런 정보와 결합되면 개인을 쉽게 식별할 수 있는 위험성이 높다. 따라서 공익적 목적으로 제한된 연구라 할지라도 그 정보의 수집과 가공, 처리 과정에 매우 엄격한 규제와 법제도 보완이 필요하다.

시민사회는 박근혜 정부 시기 개인정보보호법을 정면으로 위반하며 내 놓은 ‘개인정보 비식별조치 가이드라인’을 청산해야 할 적폐 중 하나라고 지적해 왔다. 그러나 적폐 청산은커녕 개인정보보호법을 박근혜식으로 바꾸는 법안이 11월 정부 법안으로 국회에 상정될 예정이라고 한다. 연내 통과를 목표로 말이다. 이런 정부의 일방적인 추진 방식에는 오로지 개인정보를 활용해 기업의 돈벌이를 활성화해 주면 된다는 발상이 전제돼 있다. 그러나 위험은 사회화하고 그 부가가치는 기업이 독점하는 방식은 그것을 4차 산업혁명이라 부르던 혁신성장이라 부르던 그냥 민주주의와 공공의 보호조치를 파괴하는 신자유주의다.

정부는 결국 중단된 영국의 케어닷데이터(care.data.NHS) 의료정보 공유사업의 교훈을 명심해야 한다. 국민의 동의 절차를 무시하고 기업들에게 개인의료정보를 제공하고자 했던 영국 보수당 정부의 시도는 큰 사회적 혼란과 대규모 반대에 직면해 결국 2016년 공식 중단됐다. 이 사건은 정부가 국민의 개인의료정보를 ‘빅 데이터는 곧 빅 비즈니스’ 라는 경제성장 논리로 접근하면 안된다는 것을 단적으로 보여준다. 영국 보수당 정권을 뒤흔들 정도로 타격을 준 케어닷데이터 사태가 문재인 정부에게만 예외 일 수 없을 것이다.

모든 사람은 자신의 개인정보를 보호받을 권리가 있다. 그리고 정부는 이를 보호해야 할 의무가 있다. 개인정보보호법상 정보주체는 ‘개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리’ 가 있다. 정보 주체의 동의 없이 개인의료정보를 상업적으로 활용하는 것은 개인의 권리와 자유에 대한 명백한 침해 행위다. 우리는 지금, 문재인 정부가 내세운 혁신경제가 개인의 권리와 자유를 제약하고 침해해도 되는 사회적 가치인지를 되물어야 한다.

건강과대안 상임연구원 변혜진

* 건치신문 10월 31일자 게재

1.연구공동체 건강과대안과 보건의료단체연합은 보건복지부가 일부 시민단체와의 내부 간담회를 통해 최근 공개한 ‘보건의료 빅데이터 추진 전략’ 문서에 대해 다음과 같은 의견을 밝힌다.

2. 우선 국민 전체의 개인질병정보를 포함한 건강정보 및 일생생활정보를 연계해 민간기업과 공유하겠다는 보건의료 빅데이타 추진 전략은 박근혜 정부가 추진했던 전략과 다를 바가 없다. 지난 정부는 개인정보보호법과 의료법으로 보호돼 있는 개인질병정보와 같은 개인의 민감정보를 기업 마케팅에 이용하도록 허용해 주기 위해 행안부 가이드라인을 발표하며 비민주적으로 추진한 바 있다. 보건복지부가 추진하겠다는 전략은 ‘박근혜의 가이드라인’ 편법을 기반으로 하고 있어, 적폐 ‘청산’이 아니라 적폐 ‘계승 전략’이 되는 셈이다.

3. 우리는 여러 차례 개인질병정보와 건강정보의 민간기업 활용과 유출이 가져올 심각한 사회문제를 지적해 온 바 있다. 무엇보다도 한국 의료의 공공성을 버티고 있는 건강보험을 기반으로 한 국민 개인질병정보와 치료정보 등이 그 당사자인 국민의 동의 없이(Opt in)* 보험사나 제약사, 고용업체 등 기업으로의 제공되는 ‘전략’ 은 민간의료보험 활성화나 건강관리서비스 민영화 등 의료민영화의 가장 중요한 안전판을 제거하는 것과 다를 바가 없다. 문재인 정부는 지난 수 십년 동안 의료민영화 싸움의 핵심 쟁점이 건강보험을 기반으로 공적으로 집적된 국민개인질병정보의 민간 공유 문제였다는 걸 잊어선 안된다.

4. 또한 복지부는 ‘보건의료 빅데이터 추진전략’ 을 공개해야 한다. 일부 시민사회단체가 국민 전체를 대표하지 않는다는 상식을 떠나, 국민 개인건강정보를 빅데이타화 해 민간기업에게도 공유하겠다는 정책인 이상, 그 정보의 주인들에게 ‘당신의 개인 정보를 기업이 이용할 수 있도록 수집, 처리, 연결해 제공해도 되는지’를 묻는 절차가 필요하다. 이는 국민건강보험에 대한 신뢰 문제이자 문재인 행정부의 민주화 수준을 가늠할 문제다. 따라서 복지부는 그 추진 전략의 상세한 내용을 공개하고 이와 관련해 공개적으로 국민 의견이 접수되고 토론될 수 있는 민주적 공론화 과정을 마련해야 한다.

5. 아래 복지부 <보건의료 빅데이터 추진전략> 보고서에 대한 상세 의견서 첨부.

* 옵트인(Opt-in)은 정보 수집 및 이용 전에 정보 주체가 자신의 정보 수집 등을 동의하는 행위 절차를 말한다. 당사자 동의 없이는 당사자의 데이터 수집을 금지하는 제도이기도 하다.

—————————————————————————–

<보건의료 빅데이터 추진전략> 에 대한 의견

보건의료 부문에서 빅데이터 활용의 효과는 아직 충분히 검증되지 않았다. 치료의 질 및 효과의 향상, 질병 예방, 환자 안전 수준의 향상, 의료비 절감 등의 효과가 거론되며 세계적으로 적지 않은 논의가 이루어지고 있는 것은 사실이지만, 기술적, 사회적으로 이는 아직 미완의 상태다. 많은 논의와 장밋빛 전망에 견줘 실제 현실에서 데이터로 입증된 효과를 보이는 보건의료 빅데이터 활용 모델은 매우 적다.
오히려 정책 추진의 근거 혹은 가치가 그리 많지 않은 것에 비해 부작용과 오용에 대한 우려는 크다. 개인정보 유출에 따른 프라이버시 침해 문제 뿐 아니라, ‘빅데이터화’를 이용한 감시, 차별, 배제, 낙인의 가능성 등이 제기되고 있다. 대부분의 나라에서 보건의료 전문가들과 환자단체, 시민사회의 우려와 견제가 상존하는 이유다.
그러므로 충분한 의사소통과 공론화를 거쳐 신뢰를 바탕으로 한 거버넌스 체계로 정책 추진이 이루어지지 않는다면, 사회적 논란과 갈등만 심화시킨 채 언제든지 좌초될 수 있는 성격의 정책임을 영국의 NHS ‘Care.data’ 사업의 실패 사례가 극명하게 보여주고 있다.
한국의 경우 지난 정권에서 추진했던 ‘원격 진료’, ‘건강관리서비스’ 정책 추진의 과정을 타산지석으로 삼아야 한다. 이 정책들은 국민 건강보다는 일부 기업의 이익추구를 보장하기 위한 정책, 국민의 건강을 희생양으로 삼아 기업의 돈벌이 수단만 늘려주는 ‘의료 민영화’ 정책으로 규정되어 정책 실패로 귀결되었다. 현 정부가 지난 정부의 ‘적폐’를 청산하고 ‘비정상의 정상화’를 꾀한다면, 보건의료 빅데이터 정책 추진은 근본부터 재구성하여 첫 출발부터 다시 시작하여야 한다.

1. 보건의료 빅데이터 활용의 효과 및 전망에 대한 충분한 근거를 밝혀야 한다.

다른 영역과 달리 보건의료 부문의 기술은 안전성이 입증되지 않은 기술이나 효과가 충분히 입증되지 않은 기술이 도입되면, 그 피해가 개인의 생명과 건강과 직결된다는 특수성을 가지고 있다. 더불어 건강 관련 의사 결정은 의도 하지 않은 차별과 배제, 낙인 효과를 낳을 수 있기 때문에 더욱 신중해야 한다.
그러므로 단지 ‘예측’에 기반한, 그리고 수익성에 기반한 정책 추진을 해서는 안 된다. ‘근거’에 기반한 정책 추진이 되어야 하고, 그 근거의 수준은 전통적 의료 기술, 사업, 정책 추진시 요구되는 정도의 ‘탄탄하고 충분한’ 것이어야 한다.
가령 빅데이터에 기반한 의료 정책 혹은 사업으로 이야기 되고 있는 ‘개인 중심 맞춤형 건강정보 제공 서비스’, ‘감염성 질환에 대한 체계적인 예측·감시 시스템’, ‘사회적 취약계층 건강증진·질환관리를 위한 서비스’, ‘정밀의학’ 등이 과연 얼마나 그 효과나 사회적 효용이 있을지에 대해 아직까지 많은 논란이 있고 그 내용이 제대로 정의되지도 못했다.
우선 개인에게 많은 정보를 제공한다고 하여도 그 정보가 건강 행태의 변화나 건강 증진으로 직접적으로 이어지지 않는다는 연구가 오히려 많다. 사람은 데이터에 근거하여 본인의 행동이나 행태를 결정하는 게 아니기 때문이다. 또한 현재의 빅데이터 분석 방법이 가설을 세우고 유용한 데이터를 모아 통계적으로 엄밀한 방법에 따라 검증하는 방식이 아니라, 데이터 ‘양’이 많다는 이유로 단순한 상관 관계를 인과 관계로 치환하려 한다는 비판도 존재한다. 심지어 “쓰레기 같은 데이터를 아무리 많이 모아 잘 분석한 들 쓰레기 같은 결과만 나올 뿐이다.”라는 냉소적인 평가도 존재하는 실정이다. 이와 더불어 인구 집단의 데이터를 개인에게 적용할 때 생기는 문제도 적지 않다.
이에 더해 빅데이터를 활용하여 만든 특정 건강증진 사업 혹은 서비스 모델이 보건의료 부문에서 실제로 건강 증진 내지는 의료비 절감 효과를 낸다고 말하기에는 한국 의료제도가 가진 민간의료기관의 영리적 행위 등 중첩된 문제들이 더 많다.
그러므로 우선적으로 정부가 해야 할 일은 보건의료 부문에서 특정 서비스 혹은 모델이 빅데이터 활용으로 구체적인 효과를 낸다는 ‘탄탄하고 충분한’ 근거를 만드는 작업이어야 한다. 그 효과와 안전성 검증의 시험대를 통과하지 못한 초기 단계 기술에 국민의 혈세를 투자해서는 안 되는 이유다.

2. 건강정보를 매개로 한 감시, 차별, 배제, 낙인에 대한 정부 보호조치에 대한 사회적 기술적 방안을 공론화해야 한다.

보건의료 부문에서는 다른 어느 부분보다도 개인 정보 보호의 원칙을 최우선적으로 지켜야 한다는 것은 두말할 나위 없이 중요하다. 건강정보와 개인질병정보는 개인정보 중에서 가장 민감한 정보 중 하나이기 때문이다. 따라서 정부가 독점적으로 수집한 공적 영역의 국민 개인질병정보와 건강정보를 활용하는 것은, 엄격한 보호 정책에 대한 국민적 신뢰를 얻지 못한다면, 관련 빅데이터 정책은 한 걸음도 나아갈 수 없다.
한 개인의 건강정보가 유출되면 그에 근거한 차별이나 배제, 낙인이 이루어질 수 있다. 이는 개인의 사생활을 침해할 뿐 아니라 고용상의 불이익, 보험가입 및 급여 제공 등의 경제적 불이익 등 광범한 불이익을 낳을 수 있다. 유출된 정보에 근거해 특정 개인은 삶이 파괴될 수도 있으며 삶의 질을 떨어드리는 기업의 상업적 마케팅의 표적이 될 수도 있다.
빅데이터 분석의 ‘알고리즘’ 자체가 ‘투명성’을 결여한 상태에서 이루어지므로 특정 계층, 인종, 장애, 건강 문제 등을 가진 사람을 차별하거나 배제할 수도 있다는 것도 큰 문제다. 최근 페이스북 알고리즘의 차별과 배제 문제가 논란이 되고 있는데, 이러한 분석 알고리즘의 투명성 결여는 문제가 된 이후에야 알아차릴 수 있다는 점에서 더 큰 문제다.
그런데 지난 정부는 개인정보 보호보다는 기업의 이익과 관련 산업의 발전을 우선한다는 인식으로부터 자유롭지 못했다. 개인정보보호법과 충돌하는 행정 ‘가이드라인’을 만들어 “비식별 조치가 된 정보는 개인정보가 아닌 것으로 ‘추정된다’.”는 해괴한 행정 해석 하에 불법, 탈법을 자행하도록 부추겼다. 법률적 근거도 없이 정부가 가지고 있는 공공데이터를 연계하여 기업에 제공하려 했다. 기존 공공데이터의 연계는 개인정보보호법상 목적 외 사용 내지는 제3자 제공에 해당하는 것으로, 개인의 동의나 별도의 법률적 근거가 없으면 개인정보보호법 위반이다. 그럼에도 불구하고 건강보험공단 자료, 건강보험심사평가원 자료, 질병관리본부 자료 등을 개인 식별자를 활용하여 연계하여 제3자에게 제공하려 했고, 최근 드러난 심평원 개인의료기록 정보 판매 부당 거래는 이런 박근혜 정부의 적폐 중 하나다.
행정부의 일개 행정 해석에 근거하여 공공데이터를 연계하여 제3자에게 제공하는 행위는 명백한 개인정보보호법 위반이고 불법이다. 법 집행을 우선해야 할 정부가 불법을 자행해서는 안 된다. 적폐 청산을 약속한 문재인 정부는 당장 지난 정부의 ‘개인정보 비식별 조치 가이드라인’을 폐기하고, 사회적 논의와 합의 없이 공공데이터를 연계, 제공하려는 시도를 멈추어야 한다. 공공데이터 연계, 제공을 염두에 두고 진행하고 있는 빅데이터 플랫폼 구축 작업도 당장 멈추어야 한다.

지금까지 언급한 두 가지 요구가 받아들여지지 않는다면, 우리는 현 정부의 보건의료 빅데이터 추진전략이 지난 정부 ‘적폐’의 연장선상에 있다고 판단할 수밖에 없다. 효과도 불분명한 정책을 ‘제4차 산업혁명’이라는 이름을 앞세워, 개인의 건강정보를 이용해 돈벌이를 하려는 보험회사, 제약회사, 의료기기 회사의 민원사항을 해결해주고, 시스템 구축과 컨텐츠 개발로 활로를 모색하려는 IT기업, 통신기업의 이익만 보장하는 정책 아니냐는 우려와 불신이 확신으로 바뀔 것이다. 보건의료 빅데이터 추진전략을 국민 건강보다는 일부 기업의 먹거리를 보장하기 위한 정책, 국민의 건강을 희생양으로 삼아 기업의 돈벌이 수단만 늘려주는 ‘의료 민영화’ 정책으로 규정하고 이에 대한 반대 투쟁에 돌입할 것이다. 정부가 진정성, 투명성, 신뢰를 보여주어야 할 때다.

2017. 10. 26

건강권실현을위한 보건의료단체연합, 연구공동체 건강과대안

건강과대안 이상윤 책임연구위원이 연구책임자가 되어 수행한 국가인권위원회의 인권상황 실태조사 토론회가 2017년 1월 24일에 열렸습니다.
당일 토론회 스케치는 아래 이데일리 뉴스로 대체합니다.
향후 생체인식 정보, 유전정보, 건강관련 정보와 인권에 대한 더 많은 사회적 논의가 필요합니다.

—————————————-

얼굴인식·건강데이터, 프라이버시 침해 우려…사회적 논의 필요

이데일리 2017년 1월 24일 기사
기사 원문은 여기 링크 클릭

24일 ‘바이오정보 수집 조사결과 토론회’ 개최

우리나라 시민들은 다른 사용 목적에 비해 금융거래를 위한 생체인식기술 사용에 대해 조심스러운 태도를 보이는 것으로 나타났다.

국가인권위원회는 24일 개최한 ‘바이오 정보 수집·이용 실태조사 결과발표 토론회’에서 이 같은 내용을 발표했다.

◇국내 시민 44%, 금융거래 위한 바이오정보 수집 반대

우선 이날 토론회에서는 바이오 정보 활용에 대한 시민 인식 조사결과가 발표됐다. 조사 대상자 중 61%는 아직 생체인식기술을 사용한 경험이 없으며 특히 금융거래할 때 생체인식기술을 활용하는 것에 대해서 44%가 반대하는 것으로 나타났다. 금융거래는 자산과 관련이 있기 때문에 피해 발생 시 피해 규모와 심각성이 크다는 인식 때문이다.

이상윤 인도주의실천의사협의회 인권위원은 “생체인식기술이 다른 이용보다 금융거래 이용하는 것에 더욱 민감하게 반응했다. 이는 생체정보 수집 기관의 남용이나 보안 미흡에 따른 위변조 등의 의심 때문”이라며 “아직 생체인식기술을 사용한 경험이 보편화되지 않아 막연한 두려움일 수는 있으나 건강이나 생체정보 활용에 대해서는 규제가 필요하다는 시민의 동의가 있었다고 볼 수 있다”고 설명했다.

◇얼굴인식·건강 데이터 활용…사회적 논의 필요

생체인식정보 중 얼굴인식데이터 활용에 대한 언급도 있었다. 점차 얼굴인식 기술이 발전하면서 향후에는 CCTV 촬영 영상에 나오는 사람들과 용의자나 범죄자의 얼굴이 실시간으로 비교대조가 일어날 우려도 있다.

오병일 정보인권연구소 이사는 “얼굴 정보를 단순히 촬영하는 것과 얼굴인식 데이터를 추출해 용의자 얼굴과 비교분석을 하는 것은 다른 측면을 갖고 있다”면서 “얼굴인식데이터 활용이 특정 대상에 대한 검색인지 아니면 무차별적인 검색인지 등에 대한 논의가 필요하다”고 말했다. 이어 “전통적인 법에 따르면 구체적인 범죄 혐의가 있는 대상에 대해 법원의 허가를 받아 수사하는 것을 기반으로 하고 있는데, 무차별 검색은 범죄 혐의자가 아닌 일반인의 프라이버시를 침해하며 또한 익명 표현의 자유도 위축시킬 수 있다”고 덧붙였다.

최근 웨어러블 기기를 통해 수집되는 건강 관련 정보 수집에 대한 문제점 지적도 있었다. 웨어러블 기기를 통해 심박수, 심전도, 당뇨병 등을 측정할 수 있으며 수집된 건강 정보는 외부 의료기관에 전달된 후 의료진의 피드백을 받아 다시 사용자에게 제공하는 서비스로도 이어지고 있다.

최규진 건강과대안 연구위원은 “건강 관련 정보가 유용성이 크지 않은데 과장된 효용이 제시되고 있는 경우가 많으며 웨어러블 기기를 통해 생성된 건강 데이터가 의료적으로 활용될만큼 정확성이 있는지도 점검해볼 필요가 있다”고 했다. 실제로 CNBC 보도에 따르면 웨어러블 기기인 핏빗의 삼박동 모니터기가 매우 부정확하다는 결과가 나오기도 했다.

◇모호한 법률…사용자·사업자도 불편

마지막으로 이은우 법무법인 지향 변호사는 관련 법률에 대한 모호성에 대해 아쉬움을 토로했다. 법률에 대한 모호함은 개인정보를 제대로 보호하지 못할 뿐 아니라 사업자 입장에서도 기술개발을 보다 적극적으로 진행하지 못하게 하기 때문이다.

이 변호사는 “세계 여러나라가 생체 인식정보, 유전정보, 건강 관련 정보를 민감정보로서 특별한 보호를 규정하고 있지만 국내 법률의 규범은 다소 모호한 수준이다”라며 “특히 여러 법령에서 서로 다른 용어로 정의하고 있는 ‘생체인식 정보’의 법령용어부터 정비해야 한다”고 강조했다.

Many Mobile Health Apps Target High-Need, High-Cost Populations, But Gaps Remain

환자들이 병원에 가서 진료 과정에서 내밀한 얘기를 의사에게 털어놓을 수 있는 까닭은 의사가, 병원이 자신의 정보를 잘 보호해 줄 것이라고 믿기 때문이다. 그런데 이 믿음이 깨어지면? 의사-환자 관계의 신뢰 붕괴로 제대로 된 진료가 이루어질 수 없을 것이다.

그런데 의료 정보화가 심화되면서 이러한 민감하고 소중한 환자의 의료 정보 유출 위험이 커지고 있다. 이전에 아날로그 형태로, 문서 형태로 존재하던 개인 의료정보가 디지털 형태로, 전자화된 파일 형태로 바뀌어 정보 보안 및 보호를 위한 환경이 바뀌었다. 환경 변화에 따라 환자 의료 정보를 다루는 주체의 수도 늘었다. 수가 늘면 내부에서 유출될 위험도 커진다. 이전에는 의사와 병원만 주의하면 되었으나, 이제는 병원 전자의무기록 프로그램을 제공하는 프로그램업체, 병원 의무기록 관리를 담당하는 외주업체, 약국 처방전 관리 프로그램을 제공하는 프로그램업체, 병원에서 약국으로 전자처방전을 발행할시 그것을 대행해주는 대행업체, 건강보험 행정 업무를 위해 환자 정보를 모으는 건강보험공단과 건강보험심사평가원 등 환자 의료 정보를 다루는 주체가 너무 많아져서 이들 모두에게 동일한 수준의 정보 보안과 보호 수준을 유지하도록 규제하는 것이 쉽지 않다.

병원에서 진료과정 중에 수집되는 정보만이 문제가 아니다. 사실 개인의 건강에 대한 정보는 병원 외에도 학교, 직장 등에서 학생 및 직원의 건강관리 목적으로 수집되기도 하고, 메르스나 콜레라 같은 감염병 관리를 위해 질병관리본부 등 국가기관이 수집하기도 한다.

최근에는 기술 발달로 핸드폰 같은 모바일 기기의 어플리케이션으로, 혹은 핏빗, 애플 워치, 삼성 기어 같은 스마트 워치 등 개인 건강관리 제품을 통해 수집되는 건강 관련 정보 양도 방대하다. 향후 원격의료가 활성화된다면 원격의료 기기를 통해 수집되는 건강 관련 정보, 다양한 민간 건강관리서비스업체가 제공하는 기기의 사물인터넷을 통해 수집되는 건강 관련 정보도 상당할 것으로 예상되고 있다.

하지만 건강 관련 정보 환경의 변화와 기술 발전 속도는 매우 빠른데 반해, 민감하고 소중한 개인 건강 정보를 보호하고 관리하기 위한 정부의 법제도 및 행정의 대응 속도는 더디기만 하다. 더 큰 문제는 범정부 차원에서는 개인 건강 정보 보호보다는 오히려 상업적 활용 및 규제 완화에 더 큰 중점이 두어져 있다는 사실이다.

이러한 상황에서 우려할 만한 일들이 벌어지고 있다. 개인정보범죄 정부합동수사단은 지난 2015년 7월 23일 환자 개인정보 및 질병정보를 병원과 약국으로부터 불법 수집해 판매한 ‘SK텔레콤’, ‘지누스’, ‘약학정보원’, ‘IMS헬스코리아’ 네 곳의 관계자 24명을 기소했다고 밝혔다. 검찰 발표에 따르면, 이들 네 곳은 약 4,400만 명, 약 47억 건에 달하는 환자 개인정보 및 질병정보를 병원과 약국으로부터 불법으로 수집해 판매함으로써 122억 3천만 원의 이익을 챙겼다고 한다. 이 업체들은 모두 병원에서 약국으로 환자 진료 정보가 전송되는 과정에 개입된 업체들이다. 위에서도 언급했듯이 환자-병원-건강보험공단으로 이어지는 환자 진료 정보 전송 흐름에 개입되는 주체가 많아짐에 따라 그 사이에서 환자 정보로 상업적 이득을 취하려는 이들이 생겨나고 있는 것이다.

상대적으로 공론화되지는 않았지만 매년 병원에 대한 환자 정보 해킹 사례가 발생하고 있고, 일부 대형병원의 경우 자신들의 환자 정보를 가지고 상업적 이용 가능성을 평가하기 위한 다양한 프로젝트를 진행하고 있는 것으로 알려져 있다. 한편 시중에는 병원 혹은 건강보험공단에서 유출된 환자 의료 정보가 ‘정보 브로커’들에 의해 고가에 거래되고 있다는 언론 기사도 나오고 있는 실정이다.

이런 상황에서 정부는 의료 정보의 보안과 보호를 강화하기 위한 노력과는 별개로 ‘빅데이터’산업 활성화라는 명목으로 국민건강보험공단 등에 집적되어 있는 기존 환자 의료 정보의 활용도를 높이려는 정책을 추진하고 있다. 보건복지부는 2015년 7월 29일부터 ‘보건의료 빅데이터 개방 시스템’을 통해 ‘진료정보’ 등 7개 분야 18개 DB와 함께 2007년부터 누적된 약 3,258억건에 달하는 방대한 데이터를 전면 개방하였다. 환자의 주민등록번호, 이름, 성별 등 개인정보를 알아볼 수 없는 방식으로 ‘비식별 처리’한 상태이긴 하지만 환자들이 병원에서 가서 진료받은 기록을 바탕으로 한 정보를 불특정 다수에게 오픈하여 상업적 활용도 가능하게 만든 것이다. 한편, 보건복지부, 국민건강보험공단, 건강보험심사평가원은 9월부터 ‘(가칭)건강보험 빅데이터 활용 협의체’를 출범하고, 데이터 분석‧처리가 가능한 빅데이터 분석센터 총 16개소를 본격 운영한다고 밝혔다. 이는 빅데이터 활용이라는 명목으로 국민의 개인 의료/질병 정보를 돈벌이 수단으로 삼겠다는 정부의 의지를 본격화하고 있는 것이다.

정보통신 기술의 빠른 발전 속도를 고려하면, 병원에 가서 진료 중에 수집, 생성, 집적되는 의료 정보 외에 모바일 기기, 사물 인터넷 등을 통해 부지불식간에 수집되는 건강 정보 및 생체 정보의 보안 및 보호와 관련된 논의가 시급하다. 그런데 정부는 원격의료, 상업적 민간 건강관리서비스업의 활성화에 사활을 걸고 있어, 이러한 영역에서의 건강정보 보호 방안에 대해 미지근한 태도를 보이고 있다. 건강정보 보호와 관련된 논의가 이러한 산업에 ‘규제’로 작용할 수 있다는 산업계의 우려에 발목 잡힌 것이다. 하지만 이는 근시안적인 접근이다. 모바일 기기 및 사물인터넷을 통한 건강정보 수집, 생성, 처리에 대한 기준이 지금처럼 모호한 채로 남아 있다면 이는 관련 산업 발전에도 악영향을 끼칠 수밖에 없기 때문이다. 관련 산업의 확산 및 성공 모델 구축에 정보 안전성 및 보안 문제는 필수불가결한 조건이다. 대중에게 정보 보안에 대한 신뢰를 주지 못한다면 관련 산업도 성공 모델을 만들기 힘들다.

의료 정보 혹은 건강 정보의 보안과 보호가 중요한 까닭은 이러한 정보가 유출되었을 때 그 피해는 막대하고 돌이킬 수 없기 때문이다. 피해는 단지 개인에 국한되지 않고 사회 전체에 미칠 수 있다는 점도 심각한 문제다.

개인의 의료/건강 정보는 가장 가까운 사람에게조차 숨기고 싶은 사생활의 영역이다. 민감정보 중에 민감정보인 것이다. 민간보험회사가 특정 개인의 질병력을 알게 된다면 특정 개인의 보험 가업을 거부하거나 보험료를 올려 받을 근거로 악용될 수 있다. 성매개 감염병 치료에 대한 정보, 정신질환 치료에 대한 정보, 여성의 임신, 낙태 경험 등에 대한 정보가 공개됨으로써 가족이나 직장 동료 등에게 알려지면, 그로 인한 개인의 피해는 막대할 수 있다. 특히 이러한 의료/건강 정보일수록 사회적 낙인이나 배제 효과를 동반하는 경우가 많아, 정보 노출로 개인이 고용상의 불이익이나 집단적 왕따, 사회적 평판의 저하를 당할 수 있다는 점에서 치명적이다. 최악의 경우 이러한 정보가 이러한 정보 취득을 이유로 협박 등을 행하는 범죄 혹은 사기에 이용될 수도 있다.

환자의 동의 없이 유출되거나 제공된 정보로 상업적 이득을 취하는 업체나 개인이 많아질 것이라는 점도 문제다. 이는 개인에게 권리가 있는 의료/질병 정보를 개인의 동의 없이 활용한다는 점에서 강탈이고 도둑질이다.

정부가 빅데이터 활용이라는 명목으로 추진하고 있는 건강보험 데이터 공개는 더 큰 문제를 낳을 수 있다. 한국은 의료/질병 정보 보호 측면에서 각별한 주의가 필요한 나라이다. 한국처럼 국민 모두에게 주민등록번호라는 고유식별정보가 존재하고, 대량의 데이터 유출 사고로 인해 개인 정보 데이터를 어떠한 형태로든 쉽게 얻을 수 있는 사회에서 건강보험 데이터의 공개는 매우 심각한 결과를 낳을 수 있다. 한국은 전국민이 건강보험에 가입되어 있고, 개인의 진료정보, 약물사용 자료, 건강검진 자료 등이 국민건강보험공단에 대규모로 집적되어 있는 나라다. 국민건강보험공단에는 건강보험 적용 및 이용을 위한 행정적 목적으로 이러한 의료/건강 정보 외에도 개인의 소득, 주소, 직장 등 방대한 양의 개인정보가 집적되어 있다. 이러한 조건에서는 공개된 건강보험 데이터와 다른 개인정보 데이터를 융합, 재가공하여 얼마든지 개인 의료/건강 정보를 알아낼 수 있다.

개인 의료/건강 정보 보안에 대한 신뢰 붕괴는 의료 시스템 전반을 위협할 수 있다는 점에서 이는 큰 사회 문제다. 진료 과정에서 환자와 의사간 솔직한 정보 교환은 효과적 의료를 위한 기본 전제다. 환자는 내가 내밀한 얘기를 해도 이 정보가 노출되지 않을 것이라는 확신이 있기 때문에 의사에게 많은 정보를 털어놓는다. 그런데 이러한 정보가 쉽게 유출될 수 있다고 생각하거나 제3자에게 제공될 수 있다고 생각하면 어떻게 될까? 의사-환자간의 신뢰 관계가 무너지고 진료실 안에서 진실한 정보를 얻기 힘들어질 수 있다. 이는 신뢰를 기반으로 하는 의료 시스템의 총체적 붕괴로 이어질 수 있다.

환자와 보건의료인이 진료 과정에서 수집된 환자의 의료/건강 정보를 건강보험공단 및 심평원에 제공한 이유는 단지 건강보험 행정을 위한 것이다. 이 목적만을 위해서 환자의 개인 정보를 활용하고 정보 보안과 프라이버시 보호에 최선을 다하겠다는 전제가 깔려있음은 물론이다. 그런데 건강보험공단과 심평원은 지난 시기 환자 정보 보안과 프라이버시 보호와 관련하여 신뢰나 믿음을 주지 못했다. 조직 내부에서 환자 정보 유출 사고나 범죄가 빈발했다. 외부 해킹으로부터 안전한지 여부도 의심스러운 상황이다. 국민들은 건강보험공단이나 심평원이 자신의 의료/건강 정보를 제대로 관리하고 있는지 의심스러운 눈으로 보고 있다. 이러한 상황에서 공단과 심평원이 나서서 환자 개인 정보를 기업과 개인에게 내주겠다고 하면, 이는 공보험인 국민건강보험 행정에 대한 총체적 신뢰 붕괴로 이어질 수도 있다.

이와 같이 개인의 건강에 대한 정보는 매우 민감하고 소중하기 때문에 현재 한국의 개인정보 보호법상에서도 이는 ‘민감 정보’로 규정하여 철저하게 규제하고 있다. 건강정보를 비롯한 민감정보는 개인에게 별도로 동의를 받거나 법으로 이에 대한 처리를 요구하거나 허용하는 경우를 제외하고는 처리하지 못하도록 하고 있다. 그런데 정부는 산업계의 요구를 받아들여 다양한 방식으로 이러한 법 규정을 무력화하려 하고 있다.

정부는 빅데이터 활용이라는 명목으로 환자들이 병원에 가서 진료 받은 정보를 환자 개개인에게 어떠한 동의도 받지 않고 제3자에게, 그것도 영리기업이나 상업적 목적으로 활용하려는 개인에게 제공하고 있다.

정부는 현재 제공되고 있는 정보가 건강보험 사업을 운영하는 과정에서 수집‧취득한 정보를 ‘비식별 처리’한 것이기 때문에 개인정보 보호법상 개인 정보가 아니고 그러기에 법 적용 대상이 아니라는 입장이다. 하지만 이는 개인정보 보호법을 자의적으로 해석한 것일 뿐 법 취지에 어긋난다. 현행 개인정보 보호법상 “개인정보”란 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”고 정의돼 있다. 단서 조항에 명시되어 있는 바, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보는 개인정보 보호법상 개인정보이고 당연히 개인정보 보호법의 법 적용 대상이다. 개인화된 데이터는 주민등록번호, 나이, 이름 등을 기술적으로 알아볼 수 없게 처리했다고 하여도 여러 가지 다른 자료를 조합하면 얼마든지 개인을 알아볼 수 있는 형태로 재조합할 수 있다. SNS에 공개된 몇 가지 자료만으로도 개인의 ‘신상털이’가 쉽게 가능한 사회에서 정부의 기술적인 ‘비식별 조치’가 안전할 것이라고 생각하는 사람들이 과연 몇이나 될까.

공공 데이터를 개방하여 국민들의 알 권리를 충족시키고 다양한 활용이 가능하도록 하는 것은 중요하다. 정보통신기술을 의료와 접목하여 환자의 건강을 보호하고, 건강한 사람들의 건강을 더 증진시키는 데 도움이 되도록 하는 것도 중요하다. 하지만 그 과정에서 부정적 영향이 있는지 충분히 검토하며 관련 정책을 추진해야 한다. 관련 정책 추진의 부작용과 부정적 영향을 시뮬레이션하고 모니터링해서 이를 최소화하는 방향으로 정책이 추진되어야 한다. 의료/건강 정보의 특성상 그 부정적 영향이 개인과 사회, 의료 시스템 전반에 미치는 영향이 적지 않으므로 특히 주의가 필요하다.

그런 점에서 현재 환자-병원/약국-건강보험공단으로 이어지는 환자 의료 정보 흐름 속에서 환자 의료 정보 보안을 강화시킬 방안이 강구되어야 한다. 건강보험정보를 빅데이터 산업 육성이라는 명목으로 개인이나 기업에게 제공하는 것에 신중해야 한다. 공공적 목적에 부합하는 용도에 국한하여 매우 제한적으로 가능하도록 규제의 틀을 만들어야 한다. 빠르게 변화하는 관련 기술의 특성상 규제가 모호한 상태로 남아 있는 모바일 기기 및 사물인터넷을 통한 건강정보 수집 및 처리에 대한 규제가 명확해져야 한다.

이상윤(연구공동체 건강과대안 책임연구위원) / 복지동향 2016년 10월호

보건복지부, 국민건강보험공단, 건강보험심사평가원은 9월부터 ‘(가칭)건강보험 빅데이터 활용 협의체’를 출범하고, 데이터 분석‧처리가 가능한 빅데이터 분석센터 총 16개소를 본격 운영한다고 밝혔다. 이는 건강보험 빅데이터 활용이라는 명목으로 국민의 개인 의료/질병 정보를 돈벌이 수단으로 삼겠다는 정부의 의지를 본격화한 것이다. 정부가 건강보험 개인 의료/질병 정보를 돈벌이 수단으로 만들겠다는 의지를 천명한 것은 어제 오늘이 아니다. 그 결과 2015년 12월부터 ‘국가중점개방 데이터 공개’라는 명목으로 국민 개인의 진료내역, 약품처방, 건강검진 내역을 공개해 누구나 일정한 절차만 거치면 다운받아 활용할 수 있게 됐다. 그 결과 2016년 7월까지 794명이 이 자료를 다운받아 사용했다. 향후 협의체의 활동이 본격화되면 이러한 개인 의료/질병 정보의 탈법적 활용이 보다 본격화될 수 있다는 점에 사태의 심각성이 있다.

이러한 정부의 건강보험 개인 의료/질병 정보 제공 행위는 현행 법 위반 소지가 있다. 현행 개인정보 보호법에 따르면 개인의 의료/질병 정보와 같은 ‘민감 정보’는 개인에게 별도의 동의를 얻거나 다른 법률에 명시적 근거가 없으면 목적 외 사용이나 제3자 제공이 금지돼 있다. 그런데 정부와 공단, 심평원은 환자들이 병원에 가서 진료 받은 정보를 환자 개개인에게 어떠한 동의도 받지 않고 제3자에게, 그것도 영리기업이나 상업적 목적으로 활용하려는 개인에 제공하고 있다. 이것은 명백한 개인정보 보호법 위반 행위이다. 정부가 기업의 이익을 위해 현행법까지 어겨가며 국민의 소중하고 민감한 의료/질병 정보를 내어 주고 있는 것이다.

정부는 현재 제공되고 있는 정보가 건강보험 사업을 운영하는 과정에서 수집‧취득한 정보를 ‘비식별 처리’한 것이기 때문에 개인정보 보호법상 개인 정보가 아니고 그러기에 법 적용 대상이 아니라는 입장이다. 하지만 이는 개인정보 보호법을 제멋대로 해석한 것일 뿐 법 취지에 어긋난다. 현행 개인정보 보호법상 “개인정보”란 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”고 정의돼 있다. 단서 조항에 명시되어 있는 바, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보는 개인정보 보호법상 개인정보이고 당연히 개인정보 보호법의 법 적용 대상이다. 현재 제공되고 있는 정보는 개인별로 ‘코호트’도 구축할 수 있는 형태의 데이터이므로, 당연히 개인 데이터이다. 주민등록번호, 나이, 이름 등을 기술적으로 알아볼 수 없게 처리했다고 하여도 이러한 개인 데이터는 여러 가지 다른 자료를 조합하면 얼마든지 개인을 알아볼 수 있는 형태로 재조합할 수 있다. SNS에 공개된 몇 가지 자료만으로도 개인의 ‘신상털이’가 쉽게 가능한 사회에서 정부의 기술적인 ‘비식별 조치’가 안전할 것이라고 말하는 것은 억지다.

한국은 의료/질병 정보 보호 측면에서 각별한 주의가 필요한 나라이다. 한국처럼 국민 모두에게 주민등록번호라는 고유식별정보가 존재하고, 대량의 데이터 유출 사고로 인해 개인 정보 데이터를 어떠한 형태로든 쉽게 얻을 수 있는 사회에서 건강보험 데이터의 공개는 매우 심각한 결과를 낳을 수 있다. 한국은 전국민이 건강보험에 가입되어 있고, 개인의 진료정보, 약물사용 자료, 건강검진 자료 등이 국민건강보험공단에 대규모로 집적되어 있는 나라다. 국민건강보험공단에는 건강보험 적용 및 이용을 위한 행정적 목적으로 이러한 의료/건강 정보 외에도 개인의 소득, 주소, 직장 등 방대한 양의 개인정보가 집적되어 있다. 이러한 조건에서는 공개된 건강보험 데이터와 다른 개인정보 데이터를 융합, 재가공하여 얼마든지 개인 의료/질병 정보를 알아낼 수 있다.

개인의 의료/질병 정보는 가장 가까운 사람에게조차 숨기고 싶은 사생활의 영역이다. 민감정보 중에 민감정보인 것이다. 이러한 민감정보가 공개된 건강보험 데이터와 다른 데이터와의 조합으로 손쉽게 공개된다면 그 피해는 심각하고 돌이킬 수 없게 된다. 민간보험회사가 다른 자료와 건강보험 데이터를 융합하여 재가공하여 특정 개인의 질병력을 알게 된다면 특정 개인의 보험 가업을 거부하거나 보험료를 올려 받을 근거로 악용될 수 있다. 성매개 감염병 치료에 대한 정보, 정신질환 치료에 대한 정보, 여성의 임신, 낙태 경험 등에 대한 정보가 재가공되어 공개됨으로써 가족이나 직장 동료 등에게 알려지면, 그로 인한 개인의 피해는 막대할 수 있다. 특히 이러한 의료/질병 정보일수록 사회적 낙인이나 배제 효과를 동반하는 경우가 많아, 정보 노출로 개인이 고용상의 불이익이나 집단적 왕따, 사회적 평판의 저하를 당할 수 있다는 점에서 치명적이다. 최악의 경우 이러한 정보가 이러한 정보 취득을 이유로 협박 등을 행하는 범죄 혹은 사기에 이용될 수도 있다.

환자의 동의 없이 건강보험공단이나 심평원에 의해 제공된 정보로 상업적 이득을 취하는 업체나 개인이 많아질 것이라는 점도 문제다. 이는 개인에게 권리가 있는 의료/질병 정보를 개인의 동의 없이 활용한다는 점에서 강탈이고 도둑질이다.

개인 질병/건강 정보 보안에 대한 신뢰 붕괴는 의료 시스템 전반을 위협할 수 있다는 점에서 이는 큰 사회 문제다. 진료 과정에서 환자와 의사간 솔직한 정보 교환은 효과적 의료를 위한 기본 전제다. 환자는 내가 내밀한 얘기를 해도 이 정보가 노출되지 않을 것이라는 확신이 있기 때문에 의사에게 많은 정보를 털어놓는다. 그런데 이러한 정보가 건강보험공단으로 이전되었다가 건강보험공단이 민간보험회사나 개인에게조차 제공한다는 사실을 알게 되면 어떻게 될까? 의사-환자간의 신뢰 관계가 무너지고 진료실 안에서 진실한 정보를 얻기 힘들어질 수 있다. 이는 신뢰를 기반으로 하는 의료 시스템의 총체적 붕괴로 이어질 수 있다.

환자와 보건의료인이 진료 과정에서 수집된 환자의 의료/질병 정보를 건강보험공단 및 심평원에 제공한 이유는 단지 건강보험 행정을 위한 것이다. 이 목적만을 위해서 환자의 개인 정보를 활용하고 정보 보안과 프라이버시 보호에 최선을 다하겠다는 전제가 깔려있음은 물론이다. 그런데 건강보험공단과 심평원은 지난 시기 환자 정보 보안과 프라이버시 보호와 관련하여 신뢰나 믿음을 주지 못했다. 조직 내부에서 환자 정보 유출 사고나 범죄가 빈발했다. 외부 해킹으로부터 안전한지 여부도 의심스러운 상황이다. 국민들은 건강보험공단이나 심평원이 자신의 의료/질병 정보를 제대로 관리하고 있는지 의심스러운 눈으로 보고 있다. 이러한 상황에서 공단과 심평원이 나서서 환자 개인 정보를 기업과 개인에게 내주겠다고 하니, 이는 공보험인 국민건강보험 행정에 대한 총체적 신뢰 붕괴로 이어질 수도 있다.

보건의료기본법 제13조에 따라 “모든 국민은 보건의료와 관련하여 자신의 신체상·건강상의 비밀과 사생활의 비밀을 침해받지 아니할” 권리가 있다. 의료인은 의료법 제19조에 의해 환자 정보를 보호할 의무가 있다. 현행법을 넘어 환자 비밀 보호 의무는 전세계 의료인의 가장 기본적인 직업윤리이다. 이에 우리 보건의료인들은 환자의 권리를 보호하기 위해, 의료인의 의무를 다하기 위해, 환자의 동의 없이 건강보험 데이터를 제3자에게 제공하는 정부와 공단, 심평원의 행위를 모든 수단과 방법을 동원해 막을 것이다. 행정부 가이드라인에 대한 가처분 소송을 포함한 행정소송 등 법적인 조치를 강구하는 것은 물론이고, 개인정보 보호법상 보장된 국민의 권리인 “개인정보의 처리에 관한 정보를 제공받을 권리’, ‘개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리’ 등을 적극적으로 활용하여 정부의 탈법 행위에 맞서자는 국민 행동도 호소할 예정이다. 공단과 심평원이 개인 및 기업에게 제공하고 있는 건강보험 데이터에 내 의료/질병 정보가 포함되어 있는지 알려달라고 요청하는 동시에, 내 의료/질병 정보는 공개되는 건강보험 빅데이터 자료에서 삭제해달라고 요청하는 옵트아웃(OPT OUT)캠페인 등 광범위한 국민 행동을 기획하여 실천할 것이다.

2016. 9. 8

건강권실현을 위한 보건의료단체연합

(건강사회를위한약사회 건강사회를위한치과의사회 노동건강연대 인도주의실천의사협의회 참의료실현청년한의사회)

아래 CNN 기사에 실린 사례도 해커가 ‘랜섬웨어’라는 바이러스를 병원에 유포해 병원 전산 시스템을 마비시켜 병원 운영을 어렵게 만듬. 미국에서는 병원을 대상으로 한 해킹이 점점 증가하고 있다고 함.병원이 구식 사이버 보안 체계를 가지고 있는데 반해 정보화 정도는 높고 중요한 정보도 많기 때문. 기사 말미에 사이버보안 전문가가 언급하는 것처럼, 현재의 사이버보안 수준은 해커들의 공격적인 기술 혁신을 따라가기 벅찬 상황.

중요하고 민감한 정보는 한 곳에 대규모로 집적하거나 공유하면 안되고, 순간순간 백업을 받는 것이 상책. 박근혜 정부가 추진하는 의료정보화 드라이브는 이러한 최근 사이버보안 및 사이버범죄 추세에 애써 눈감거나 무지한 채 추진되는 문제 있는 정책.

http://money.cnn.com/2016/03/23/technology/hospital-ransomware/index.html?iid=hp-stack-dom