1. 정부와 지방자치단체는 최근 감염병 예방이라는 명목 아래 자가격리 이탈자 등에 대한 엄벌주의 원칙 수립, 생계지원금 환수 및 지급 배제 등의 강경 대응 정책을 수립하고 있다. 그 중 하나로 최근 전자 팔찌의 도입이 논란이 되고 있다. 김강립 보건복지부 차관이 지난 2020. 4. 6. 정례브리핑을 통해 자가격리 대상자에 대한 전자 팔찌 부착이 이탈을 막는 효과적인 수단일 수 있다는 입장을 밝힌 이래 전자 팔찌의 도입이 적극적으로 검토되기 시작했다. 전자 팔찌의 구체적 도입 방안은 정세균 국무총리가 2020. 4. 7. 주재한 비공개 관계 장관 회의에서 주요 의제로서 논의되기도 했다. 그리고 김강립 보건복지부차관은 2020. 4. 8. 정례브리핑을 통해 정부가 전자 팔찌의 도입에 결론을 내지는 못했지만 부처와 국민의 의견을 수렴한 뒤 최종적 결정을 내릴 것이라는 공식 입장을 발표했다.

인권단체들은 소수의 자가격리 이탈자의 지침 미준수를 근거로 모든 자가격리 대상자와 감염 피해자에 대한 낙인과 혐오를 부추기고 나아가 사회구성원 전체의 자발성과 기본적 인권을 훼손하는 전자 팔찌의 도입 검토, 처벌강화 등 정부와 지방자치단체의 강경대응대책 추진에 유감을 표한다.

2. 복수의 언론 보도에 따르면 정부가 도입을 검토하고 있는 전자 팔찌는 신체에 부착하는 형태의 기기로 휴대폰에 설치된 자가격리 앱과 연결되어 착용자의 위치 정보를 방역당국에 실시간으로 공유한다. 전자 팔찌를 착용하는 자가격리 대상자가 앱이 설치된 휴대폰으로부터 20m 이상 떨어지면 전자 팔찌는 경보음을 울리며, 자가격리 대상자는 그 즉시 격리 이탈자로서 조사를 받게 된다. 이처럼 정부가 도입하려는 전자 팔찌는 자가격리 대상자를 핸드폰으로부터 20m라는 좁은 공간에 구속하고, 실시간으로 감시함으로써 자가격리 대상자가 가지는 신체의 자유, 이동의 자유 및 사생활의 권리에 대한 중대한 제한을 예정하고 있다.

정부는 자가격리 대상자의 동의를 받아 전자 팔찌를 부착하는 방식을 검토하고 있다며 초래되는 기본권 제한을 정당화하려 한다. 하지만 신체의 자유, 이동의 자유 및 사생활의 권리의 중대한 제한을 동의가 가능한 대상으로 보기는 어렵다. 특히 정부는 전자 팔찌의 부착을 거부하는 자가격리 대상자에 대해 입국거부 등의 불이익을 예정하고 있으므로, 부착에 대한 동의를 자발적 동의라 평가하기도 어렵다. 이처럼 전자 팔찌의 부착은 동의 여부와 관계없이 강제적 성격을 가진 수단일 수밖에 없다.

3. 전자 팔찌의 도입은 그 본질이 신체를 구속하고, 이동을 제한하며, 사생활을 감시하는 것으로서 그 기본권 침해의 광범위성과 중대성으로 인해 원칙적으로 허용될 수 없다. 다만 예외적으로 그 필요성이 객관적으로 인정되는 경우, 법률이 규정하는 엄격한 요건 아래 비례적인 제한이 이루어질 수 있는 경우에 한하여 허용될 수 있을 뿐이다. 그러나 정부가 검토하고 있는 전자 팔찌의 도입은 이러한 예외에 해당하기 위한 최소한의 요건조차 갖추지 못하고 있다.

4. 먼저 전자 팔찌 도입에 관한 법적 근거가 없다. 「감염병의 예방 및 관리에 관한 법률」 제42조 제2항 제2호는 감염병의 증상 유무 확인을 위한 기기의 이용만을 허용하고 있을 뿐, 기기를 이용한 격리의 이탈 등의 조사 및 감시를 허용하지 않고 있다. 즉 전자 팔찌의 도입은 법률상 근거 없는 기본권 제한 행위이고, 이는 모든 자유와 권리의 제한은 법률에 근거하는 경우에만 허용된다는 대한민국 헌법 제37조 제2항에 명백히 위배된다.

정부는 자가격리 대상자의 무단이탈이 지속적으로 발생하고 있다며 전자 팔찌 도입 의 필요성을 강조했다. 그러나 전국 3만 7,248명의 자가격리 대상자 중 무단이탈로 적발된 사람은 총 137명으로(2020. 4. 4. 기준) 그 이탈률은 0.36%에 불과하다. 이처럼 대부분의 자가격리자가 지침을 지키고 있는 상황을 고려했을 때, 무단이탈이 발생하고 있다는 정부의 주장만으로는 전자 팔찌를 도입해야 할 객관적 필요성을 인정하기는 어렵다.

더불어 전자 팔찌가 자가격리 대상자들의 이탈을 방지하는 실효적 수단이라 보기도 어렵다. 정기·불시 점검 등 대체 수단을 통해 소규모 무단이탈을 충분히 방지할 수 있기 때문이다. 오히려 전자 팔찌의 오작동으로 인한 선의의 피해자가 발생하는 등의 문제점도 발생할 수 있을 것이다. 따라서 모든 자가격리 대상자들에게 일률적으로 전자 팔찌를 부착하여 감시하는 것은 실효성 없는 수단을 통해 불필요한 기본권 침해를 초래하는 것으로서 비례성의 원칙에도 어긋난다.

5. 무엇보다 전자 팔찌의 도입은 감염병에 대한 위험과 공포를 자가격리 대상자에 대한 편견과 혐오로 변화시키는 매개가 될 수 있다. 전자 팔찌의 도입은 자가격리 대상자를 감염병으로부터 보호받아야 할 시민이 아닌 통제되어야 할 잠재적 위험으로 취급하는 것을 전제한다. 즉 본인의 의사와 관계없이 자가격리된 사람들을 범죄를 저지를 사람으로 간주하는 것이다. 이러한 관점에서 전자 팔찌의 도입은 자가격리 대상자들에 대한 편견과 혐오를 부추길 수 있고, 이는 또한 감염 피해자들에 대한 더욱 큰 공포와 혐오로 이어질 수 있다. 그리고 자가격리 대상자와 감염인에 대한 혐오는 감염 사실과 접촉사실을 숨기게 만든다는 점에서 방역에도 도움이 되지 않는다. 그럼에도 정부가 전자 팔찌를 도입한다면, 정부는 자가격리자 및 감염피해자들에 대한 대한 불필요한 낙인과 혐오를 주도했다는 오명을 벗지 못할 것이다.

지금까지 정부는 성범죄자 사후 감시 등을 이유로 개인에 대한 전자기기 부착을 합리화해왔다. 그러나 이는 오히려 젠더기반 폭력을 가능하게 한 문화에는 대응하지 않으며 성범죄자 개인에만 집중하는 방식으로 작동해왔다. 자가격리 대상자에 대한 전자 팔찌 도입 역시 감염병 확산의 원인과 책임을 오로지 개인에게만 전가할 여지가 크다는 점을 우리는 우려한다. 전자 기기의 부착은 원칙적으로 과거 삼청교육대, 현재의 보호관찰 등과 더불어 자의적, 이중적 처벌의 위험을 갖는 제도로서 결코 남용되어서는 안 된다. 인신 구속·통제가 대내외에 마치 선진적인 정책인 것처럼 홍보되고 있는 현 시점에서 방역의 효율성 그 이상으로 위 흐름이 가져올 수 있는 개인의 인권침해 상황이 방대할 수 있다는 점을 경계해야 할 것이다.

6. 이상과 같이 정부가 검토하고 있는 전자 팔찌의 도입은 그 법적 근거가 부재하고, 초래되는 신체의 자유 등 기본권 침해가 비례적이지 못하며 그 침해를 정당화할 객관적 필요성을 인정하기 어렵다. 따라서 정부는 전자 팔찌의 도입을 더 이상 추진해서는 안 될 것이다.

7. 정부와 지방자치단체가 최근 감염병 예방이라는 명목아래 수립하고 있는 강경대응 대책은 본질적으로 자가격리 대상자에 대한 감시와 통제 등 기본권의 제약에 중심을 두고 있다. 이러한 강경대응 정책의 추진은 감염병 상황의 피해자이기도 한 자가격리 대상자를 사회에서 배제하는 것으로 절박한 상황에서도 우리사회가 반드시 지켜내야 할 기본적 인권의 가치를 훼손하는 것이다.

따라서 인권단체들은 앞서 살펴본 정부의 전자 팔찌 도입 검토를 비롯하여 최근 정부와 지방자치단체가 감시와 처벌을 강화하는 기조 아래 정책을 추진하는 것에 큰 우려를 표명한다. 정부와 지방자치단체가 정책의 수립 시 감염병 상황에서 시민들의 기본권을 어떻게 제한할지가 아닌 어떻게 보장할지를 고민하길 바란다.

2020년 4월 10일

연명단체
국제민주연대, 건강사회를위한약사회, 난민인권센터, 노동건강연대, 대학·청년성소수자모임연대 QUV, 대한불교 조계종 사회노동위원, 무지개예수, 민주주의법학연구회, 성별이분법에저항하는사람들의모임 여행자, 성적권리와재생산정의를 위한 센터 SHARE, 언니네트워크, 움직이는청소년센터EXIT, 울산인권운동연대, 원불교인권위, 인도주의실천의사협의회, 인천인권영화제, 전라북도성소수자모임 열린문, 제주평화인권연구소 왓, 참의료실현청년한의사회, 참여연대, 천주교인권위원회, 청소년성소수자위기지원센터 띵동, 청소년자립팸 이상한나라, 트랜스해방전선, 한국청소년청년감염인커뮤니티 알, 한국비정규노동센터, 한국성적소수자문화인권센터, 행동하는성소수자인권연대

코로나19 인권대응네트워크
(공익인권변호사모임 희망을 만드는 법, 공익인권법재단 공감, 광주인권지기활짝, 다산인권센터, 민주사회를 위한 변호사 모임, 빈곤과 차별에 저항하는 인권운동연대, 서울인권영화제, 성적소수문화인권연대 연분홍치마, 연구공동체 건강과 대안, 언론개혁시민연대, 인권운동공간 활, 인권운동네트워크 바람, 인권운동사랑방, 인권중심사람, 장애여성공감, 전국장애인차별철폐연대, 전북평화와인권연대, 진보네트워크센터, 한국게이인권운동단체 친구사이, HIV/AIDS인권활동가네트워크)

환자들이 병원에 가서 진료 과정에서 내밀한 얘기를 의사에게 털어놓을 수 있는 까닭은 의사가, 병원이 자신의 정보를 잘 보호해 줄 것이라고 믿기 때문이다. 그런데 이 믿음이 깨어지면? 의사-환자 관계의 신뢰 붕괴로 제대로 된 진료가 이루어질 수 없을 것이다.

그런데 의료 정보화가 심화되면서 이러한 민감하고 소중한 환자의 의료 정보 유출 위험이 커지고 있다. 이전에 아날로그 형태로, 문서 형태로 존재하던 개인 의료정보가 디지털 형태로, 전자화된 파일 형태로 바뀌어 정보 보안 및 보호를 위한 환경이 바뀌었다. 환경 변화에 따라 환자 의료 정보를 다루는 주체의 수도 늘었다. 수가 늘면 내부에서 유출될 위험도 커진다. 이전에는 의사와 병원만 주의하면 되었으나, 이제는 병원 전자의무기록 프로그램을 제공하는 프로그램업체, 병원 의무기록 관리를 담당하는 외주업체, 약국 처방전 관리 프로그램을 제공하는 프로그램업체, 병원에서 약국으로 전자처방전을 발행할시 그것을 대행해주는 대행업체, 건강보험 행정 업무를 위해 환자 정보를 모으는 건강보험공단과 건강보험심사평가원 등 환자 의료 정보를 다루는 주체가 너무 많아져서 이들 모두에게 동일한 수준의 정보 보안과 보호 수준을 유지하도록 규제하는 것이 쉽지 않다.

병원에서 진료과정 중에 수집되는 정보만이 문제가 아니다. 사실 개인의 건강에 대한 정보는 병원 외에도 학교, 직장 등에서 학생 및 직원의 건강관리 목적으로 수집되기도 하고, 메르스나 콜레라 같은 감염병 관리를 위해 질병관리본부 등 국가기관이 수집하기도 한다.

최근에는 기술 발달로 핸드폰 같은 모바일 기기의 어플리케이션으로, 혹은 핏빗, 애플 워치, 삼성 기어 같은 스마트 워치 등 개인 건강관리 제품을 통해 수집되는 건강 관련 정보 양도 방대하다. 향후 원격의료가 활성화된다면 원격의료 기기를 통해 수집되는 건강 관련 정보, 다양한 민간 건강관리서비스업체가 제공하는 기기의 사물인터넷을 통해 수집되는 건강 관련 정보도 상당할 것으로 예상되고 있다.

하지만 건강 관련 정보 환경의 변화와 기술 발전 속도는 매우 빠른데 반해, 민감하고 소중한 개인 건강 정보를 보호하고 관리하기 위한 정부의 법제도 및 행정의 대응 속도는 더디기만 하다. 더 큰 문제는 범정부 차원에서는 개인 건강 정보 보호보다는 오히려 상업적 활용 및 규제 완화에 더 큰 중점이 두어져 있다는 사실이다.

이러한 상황에서 우려할 만한 일들이 벌어지고 있다. 개인정보범죄 정부합동수사단은 지난 2015년 7월 23일 환자 개인정보 및 질병정보를 병원과 약국으로부터 불법 수집해 판매한 ‘SK텔레콤’, ‘지누스’, ‘약학정보원’, ‘IMS헬스코리아’ 네 곳의 관계자 24명을 기소했다고 밝혔다. 검찰 발표에 따르면, 이들 네 곳은 약 4,400만 명, 약 47억 건에 달하는 환자 개인정보 및 질병정보를 병원과 약국으로부터 불법으로 수집해 판매함으로써 122억 3천만 원의 이익을 챙겼다고 한다. 이 업체들은 모두 병원에서 약국으로 환자 진료 정보가 전송되는 과정에 개입된 업체들이다. 위에서도 언급했듯이 환자-병원-건강보험공단으로 이어지는 환자 진료 정보 전송 흐름에 개입되는 주체가 많아짐에 따라 그 사이에서 환자 정보로 상업적 이득을 취하려는 이들이 생겨나고 있는 것이다.

상대적으로 공론화되지는 않았지만 매년 병원에 대한 환자 정보 해킹 사례가 발생하고 있고, 일부 대형병원의 경우 자신들의 환자 정보를 가지고 상업적 이용 가능성을 평가하기 위한 다양한 프로젝트를 진행하고 있는 것으로 알려져 있다. 한편 시중에는 병원 혹은 건강보험공단에서 유출된 환자 의료 정보가 ‘정보 브로커’들에 의해 고가에 거래되고 있다는 언론 기사도 나오고 있는 실정이다.

이런 상황에서 정부는 의료 정보의 보안과 보호를 강화하기 위한 노력과는 별개로 ‘빅데이터’산업 활성화라는 명목으로 국민건강보험공단 등에 집적되어 있는 기존 환자 의료 정보의 활용도를 높이려는 정책을 추진하고 있다. 보건복지부는 2015년 7월 29일부터 ‘보건의료 빅데이터 개방 시스템’을 통해 ‘진료정보’ 등 7개 분야 18개 DB와 함께 2007년부터 누적된 약 3,258억건에 달하는 방대한 데이터를 전면 개방하였다. 환자의 주민등록번호, 이름, 성별 등 개인정보를 알아볼 수 없는 방식으로 ‘비식별 처리’한 상태이긴 하지만 환자들이 병원에서 가서 진료받은 기록을 바탕으로 한 정보를 불특정 다수에게 오픈하여 상업적 활용도 가능하게 만든 것이다. 한편, 보건복지부, 국민건강보험공단, 건강보험심사평가원은 9월부터 ‘(가칭)건강보험 빅데이터 활용 협의체’를 출범하고, 데이터 분석‧처리가 가능한 빅데이터 분석센터 총 16개소를 본격 운영한다고 밝혔다. 이는 빅데이터 활용이라는 명목으로 국민의 개인 의료/질병 정보를 돈벌이 수단으로 삼겠다는 정부의 의지를 본격화하고 있는 것이다.

정보통신 기술의 빠른 발전 속도를 고려하면, 병원에 가서 진료 중에 수집, 생성, 집적되는 의료 정보 외에 모바일 기기, 사물 인터넷 등을 통해 부지불식간에 수집되는 건강 정보 및 생체 정보의 보안 및 보호와 관련된 논의가 시급하다. 그런데 정부는 원격의료, 상업적 민간 건강관리서비스업의 활성화에 사활을 걸고 있어, 이러한 영역에서의 건강정보 보호 방안에 대해 미지근한 태도를 보이고 있다. 건강정보 보호와 관련된 논의가 이러한 산업에 ‘규제’로 작용할 수 있다는 산업계의 우려에 발목 잡힌 것이다. 하지만 이는 근시안적인 접근이다. 모바일 기기 및 사물인터넷을 통한 건강정보 수집, 생성, 처리에 대한 기준이 지금처럼 모호한 채로 남아 있다면 이는 관련 산업 발전에도 악영향을 끼칠 수밖에 없기 때문이다. 관련 산업의 확산 및 성공 모델 구축에 정보 안전성 및 보안 문제는 필수불가결한 조건이다. 대중에게 정보 보안에 대한 신뢰를 주지 못한다면 관련 산업도 성공 모델을 만들기 힘들다.

의료 정보 혹은 건강 정보의 보안과 보호가 중요한 까닭은 이러한 정보가 유출되었을 때 그 피해는 막대하고 돌이킬 수 없기 때문이다. 피해는 단지 개인에 국한되지 않고 사회 전체에 미칠 수 있다는 점도 심각한 문제다.

개인의 의료/건강 정보는 가장 가까운 사람에게조차 숨기고 싶은 사생활의 영역이다. 민감정보 중에 민감정보인 것이다. 민간보험회사가 특정 개인의 질병력을 알게 된다면 특정 개인의 보험 가업을 거부하거나 보험료를 올려 받을 근거로 악용될 수 있다. 성매개 감염병 치료에 대한 정보, 정신질환 치료에 대한 정보, 여성의 임신, 낙태 경험 등에 대한 정보가 공개됨으로써 가족이나 직장 동료 등에게 알려지면, 그로 인한 개인의 피해는 막대할 수 있다. 특히 이러한 의료/건강 정보일수록 사회적 낙인이나 배제 효과를 동반하는 경우가 많아, 정보 노출로 개인이 고용상의 불이익이나 집단적 왕따, 사회적 평판의 저하를 당할 수 있다는 점에서 치명적이다. 최악의 경우 이러한 정보가 이러한 정보 취득을 이유로 협박 등을 행하는 범죄 혹은 사기에 이용될 수도 있다.

환자의 동의 없이 유출되거나 제공된 정보로 상업적 이득을 취하는 업체나 개인이 많아질 것이라는 점도 문제다. 이는 개인에게 권리가 있는 의료/질병 정보를 개인의 동의 없이 활용한다는 점에서 강탈이고 도둑질이다.

정부가 빅데이터 활용이라는 명목으로 추진하고 있는 건강보험 데이터 공개는 더 큰 문제를 낳을 수 있다. 한국은 의료/질병 정보 보호 측면에서 각별한 주의가 필요한 나라이다. 한국처럼 국민 모두에게 주민등록번호라는 고유식별정보가 존재하고, 대량의 데이터 유출 사고로 인해 개인 정보 데이터를 어떠한 형태로든 쉽게 얻을 수 있는 사회에서 건강보험 데이터의 공개는 매우 심각한 결과를 낳을 수 있다. 한국은 전국민이 건강보험에 가입되어 있고, 개인의 진료정보, 약물사용 자료, 건강검진 자료 등이 국민건강보험공단에 대규모로 집적되어 있는 나라다. 국민건강보험공단에는 건강보험 적용 및 이용을 위한 행정적 목적으로 이러한 의료/건강 정보 외에도 개인의 소득, 주소, 직장 등 방대한 양의 개인정보가 집적되어 있다. 이러한 조건에서는 공개된 건강보험 데이터와 다른 개인정보 데이터를 융합, 재가공하여 얼마든지 개인 의료/건강 정보를 알아낼 수 있다.

개인 의료/건강 정보 보안에 대한 신뢰 붕괴는 의료 시스템 전반을 위협할 수 있다는 점에서 이는 큰 사회 문제다. 진료 과정에서 환자와 의사간 솔직한 정보 교환은 효과적 의료를 위한 기본 전제다. 환자는 내가 내밀한 얘기를 해도 이 정보가 노출되지 않을 것이라는 확신이 있기 때문에 의사에게 많은 정보를 털어놓는다. 그런데 이러한 정보가 쉽게 유출될 수 있다고 생각하거나 제3자에게 제공될 수 있다고 생각하면 어떻게 될까? 의사-환자간의 신뢰 관계가 무너지고 진료실 안에서 진실한 정보를 얻기 힘들어질 수 있다. 이는 신뢰를 기반으로 하는 의료 시스템의 총체적 붕괴로 이어질 수 있다.

환자와 보건의료인이 진료 과정에서 수집된 환자의 의료/건강 정보를 건강보험공단 및 심평원에 제공한 이유는 단지 건강보험 행정을 위한 것이다. 이 목적만을 위해서 환자의 개인 정보를 활용하고 정보 보안과 프라이버시 보호에 최선을 다하겠다는 전제가 깔려있음은 물론이다. 그런데 건강보험공단과 심평원은 지난 시기 환자 정보 보안과 프라이버시 보호와 관련하여 신뢰나 믿음을 주지 못했다. 조직 내부에서 환자 정보 유출 사고나 범죄가 빈발했다. 외부 해킹으로부터 안전한지 여부도 의심스러운 상황이다. 국민들은 건강보험공단이나 심평원이 자신의 의료/건강 정보를 제대로 관리하고 있는지 의심스러운 눈으로 보고 있다. 이러한 상황에서 공단과 심평원이 나서서 환자 개인 정보를 기업과 개인에게 내주겠다고 하면, 이는 공보험인 국민건강보험 행정에 대한 총체적 신뢰 붕괴로 이어질 수도 있다.

이와 같이 개인의 건강에 대한 정보는 매우 민감하고 소중하기 때문에 현재 한국의 개인정보 보호법상에서도 이는 ‘민감 정보’로 규정하여 철저하게 규제하고 있다. 건강정보를 비롯한 민감정보는 개인에게 별도로 동의를 받거나 법으로 이에 대한 처리를 요구하거나 허용하는 경우를 제외하고는 처리하지 못하도록 하고 있다. 그런데 정부는 산업계의 요구를 받아들여 다양한 방식으로 이러한 법 규정을 무력화하려 하고 있다.

정부는 빅데이터 활용이라는 명목으로 환자들이 병원에 가서 진료 받은 정보를 환자 개개인에게 어떠한 동의도 받지 않고 제3자에게, 그것도 영리기업이나 상업적 목적으로 활용하려는 개인에게 제공하고 있다.

정부는 현재 제공되고 있는 정보가 건강보험 사업을 운영하는 과정에서 수집‧취득한 정보를 ‘비식별 처리’한 것이기 때문에 개인정보 보호법상 개인 정보가 아니고 그러기에 법 적용 대상이 아니라는 입장이다. 하지만 이는 개인정보 보호법을 자의적으로 해석한 것일 뿐 법 취지에 어긋난다. 현행 개인정보 보호법상 “개인정보”란 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”고 정의돼 있다. 단서 조항에 명시되어 있는 바, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보는 개인정보 보호법상 개인정보이고 당연히 개인정보 보호법의 법 적용 대상이다. 개인화된 데이터는 주민등록번호, 나이, 이름 등을 기술적으로 알아볼 수 없게 처리했다고 하여도 여러 가지 다른 자료를 조합하면 얼마든지 개인을 알아볼 수 있는 형태로 재조합할 수 있다. SNS에 공개된 몇 가지 자료만으로도 개인의 ‘신상털이’가 쉽게 가능한 사회에서 정부의 기술적인 ‘비식별 조치’가 안전할 것이라고 생각하는 사람들이 과연 몇이나 될까.

공공 데이터를 개방하여 국민들의 알 권리를 충족시키고 다양한 활용이 가능하도록 하는 것은 중요하다. 정보통신기술을 의료와 접목하여 환자의 건강을 보호하고, 건강한 사람들의 건강을 더 증진시키는 데 도움이 되도록 하는 것도 중요하다. 하지만 그 과정에서 부정적 영향이 있는지 충분히 검토하며 관련 정책을 추진해야 한다. 관련 정책 추진의 부작용과 부정적 영향을 시뮬레이션하고 모니터링해서 이를 최소화하는 방향으로 정책이 추진되어야 한다. 의료/건강 정보의 특성상 그 부정적 영향이 개인과 사회, 의료 시스템 전반에 미치는 영향이 적지 않으므로 특히 주의가 필요하다.

그런 점에서 현재 환자-병원/약국-건강보험공단으로 이어지는 환자 의료 정보 흐름 속에서 환자 의료 정보 보안을 강화시킬 방안이 강구되어야 한다. 건강보험정보를 빅데이터 산업 육성이라는 명목으로 개인이나 기업에게 제공하는 것에 신중해야 한다. 공공적 목적에 부합하는 용도에 국한하여 매우 제한적으로 가능하도록 규제의 틀을 만들어야 한다. 빠르게 변화하는 관련 기술의 특성상 규제가 모호한 상태로 남아 있는 모바일 기기 및 사물인터넷을 통한 건강정보 수집 및 처리에 대한 규제가 명확해져야 한다.

이상윤(연구공동체 건강과대안 책임연구위원) / 복지동향 2016년 10월호

이와 같은 사태는 충분히 예견되던 것이다. 이명박, 박근혜 정부가 신성장 동력으로 정보통신산업과 의료 혹은 건강산업과의 융합을 거론한 이후, 이와 관련된 시장은 빠르게 커져 갔고 부작용을 막기 위한 관련 규제는 더디거나 뒷걸음질 쳐 왔다. 의료와 정보통신기술의 융합이 국민들에게 해만 끼치는 것은 아니다. 하지만 적절히 규제되지 않을 경우 크나큰 손실과 해악이 있을 수 있다. 가장 대표적인 것이 관련 서비스의 안전성, 개인의 질병/건강 정보 유출로 인한 개인의 프라이버시 침해, 정보의 상업적 오남용이다. 제대로 된 정부라면 이런 부분을 우선적으로 검토하며 정책을 추진해야 한다. 그런데 현 정부는 관련 산업을 키우는 데에만 혈안이 되어있고, 개인 질병/건강 정보 보호보다는 활용에 중점을 둔 정책이 추진되고 있다. 그 결과 SK 텔레콤 등의 불법적 개인 질병/건강 정보 활용 사건이 발생했다. 향후 재발 방지와 근본적 문제 해결을 위해서는 의료와 정보통신기술의 융합의 경제적 측면에 대한 고려에 앞서, 개인의 프라이버시와 인권, 안전을 먼저 고려하여야 한다.

질병/건강 정보 활용의 아킬레스 건, 정보 보안, 프라이버시 침해 문제

의료와 정보통신기술의 융합을 통해 환자의 건강을 향상시키고 의료 현장의 편의를 도모하며 비용도 절감할 수 있다면 그 방법을 마다할 이유는 없다. 하지만 이러한 시도가 거품에 불과할 뿐, 의료적 효용은 별로 없고 일부 관련 업체의 이윤만을 위한 것이라면 그것은 문제다. 그 과정에서 개인의 질병/건강 정보가 유출되어 프라이버시가 침해되고 본인의 의사와 상관없이 상업적으로 악용된다면 그 피해는 개인적으로나 사회적으로도 엄청나다.

의료와 정보통신기술의 융합에 의해 만들어지는 개인 질병/건강 정보는 매우 민감한 정보들인 경우가 많다. 예를 들어 환자 낙상을 예방하기 위해 가정에 설치된 센서는 환자가 개인적으로 행하는 가정생활 모두를 감시하고 관련 정보를 전송하게 된다. 환자와 가족과의 관계, 환자의 내밀한 내면생활 등이 여과 없이 기록되고 전송되는 것이다. 이러한 정보가 환자의 개인 정보 보호의 의무를 지고 있는 의료기관이 아니라 제3자, 심지어 상업적 이득을 목적으로 하는 회사에 전송된다고 생각해 보자. 이로 인한 부작용이 만만치 않을 것임은 쉽게 미루어 짐작할 수 있다.

더 큰 문제는 대부분 이와 같은 방식으로 생성된 질병/개인 정보에 대해서는 환자 개인이 그 정보에 대한 권리를 주장하기 힘들다는 점이다. 업체들이 다양하고 복잡한 약관이나 동의서의 형태로 개인의 정보 권리를 제약하기 때문이다. 그러므로 의료와 정보통신기술 융합으로 인해 새롭게 생성된 질병/건강 정보에 대한 자기 관리권이 상실될 수 있다는 큰 문제에 봉착한다.

정보의 표준화, 전송, 집적 등의 과정에서 이러한 민감한 개인 질병/건강 정보의 보안이 취약해질 수 있다는 것은 잘 알려진 사실이다. 아무리 데이터를 암호화하고 보안 수준을 높인다고 하여도 정보의 수집, 전송, 집적 과정에서 해킹의 가능성은 무궁무진하다. 소프트웨어나 하드웨어 수준에서도 가능하고 단말기를 다루는 사람을 통한 방식도 가능하다. 보안 수준이 높다는 국가의 정보기관 컴퓨터도 해킹될 수 있는 시대에 의료기관이나 관련 업체의 데이터 보안 수준으로 이러한 범죄를 100% 막을 방법은 없다.

개인 질병/건강 정보가 유출되거나 상업적으로 악용되었을 때, 그것이 개인과 사회에 미치는 영향은 지대하다. 개인의 질병/건강 정보는 가장 가까운 사람에게조차 숨기고 싶은 사생활의 영역이다. 예를 들어 성매개 감염병 치료에 대한 정보, 정신질환 치료에 대한 정보, 여성의 임신, 낙태 경험 등에 대한 정보가 노출되어 가족이나 직장 동료 등에게 알려지면, 그로 인한 개인의 피해는 막대할 수 있다. 특히 그러한 질병/건강 정보일수록 사회적 낙인이나 배제 효과를 동반하는 경우가 많아, 정보 노출로 개인이 고용상의 불이익이나 집단적 왕따를 당할 수 있다는 점에서 치명적이다. 관련 정보가 노출되어 민간의료보험 가입이나 급여 수급시 차별을 받을 가능성도 존재한다.

개인 질병/건강 정보 보안에 대한 신뢰 붕괴는 의료 시스템 전반을 위협할 수 있다는 점에서 이는 큰 사회 문제다. 진료 과정에서 환자와 의사간 솔직한 정보 교환은 효과적 의료를 위한 기본 전제다. 환자는 내가 내밀한 얘기를 해도 이 정보가 노출되지 않을 것이라는 확신이 있기 때문에 의사에게 많은 정보를 털어놓는다. 그런데 이러한 정보가 의료기관이 아닌 다른 곳에 집적되고 유출 위험에 노출되어 있다는 것을 알게 되면 어떻게 될까? 의사-환자간의 신뢰 관계가 무너지고 진료실 안에서 진실한 정보를 얻기 힘들어질 수 있다. 이는 신뢰를 기반으로 하는 의료 시스템의 총체적 붕괴로 이어질 수 있다.

개인의 동의 없이 혹은 형식화된 동의에 기반해 얻은 정보를 가공하고 이용하여 상업적 이득을 취하는 업체들이 많아질 것이라는 점도 문제다. 개인의 질병/건강 정보를 활용하여 새로운 상품을 개발하고 상품 관리의 효율을 높이려는 민간의료보험 회사, 맞춤형 의료기기나 건강관리 기기 등을 판매하려는 의료기기 회사, 건강식품이나 건강 기능 식품을 판매하려는 식품 회사 등은 이러한 정보를 활용하여 부당한 이득을 취하게 될 것이다. 이는 개인에게 속한 질병/건강 정보를 개인의 동의 없이 활용한다는 점에서 강탈이고 도둑질이다.

정부의 의료 정보화 정책은 정보 보안과 개인의 프라이버시 보호 측면에서 재검토돼야

누차 강조하다시피 의료 정보화는 긍정적 면만 있는 것이 아니다. 산업적 측면에서 긍정적 기능이 있을지 모르겠지만, 의료 측면, 인권 측면에서는 부정적인 영향이 적지 않다. 그러므로 이러한 부작용과 부정적 영향을 시뮬레이션하고 모니터링해서 이를 최소화하는 방향으로 정책이 추진되어야 한다. 질병/건강 정보의 특성상 그 부정적 영향이 개인과 사회, 의료 시스템 전반에 미치는 영향이 적지 않으므로 특히 주의가 필요하다.

그런 점에서 개인의 질병/건강 정보를 의료기관이 아닌 제3자가 생성, 취득, 저장, 활용할 수 있도록 하는 것과, 방대한 질병/건강 정보를 한 곳에 집적하려는 시도는 위험하다. 이와 같은 이유로 환자-의료인간 원격 진료 허용 정책은 재고되어야 하고, 클라우드 시스템을 활용한 의료 정보 솔루션 사용은 허용되어서는 안 된다. 기존에 존재하는 빅데이터 활용도 공공적 목적에 부합하는 용도에 국한하여 매우 제한적으로 가능하도록 규제의 틀을 만들어야 한다. 질병/건강 정보의 활용에 중점이 두어진 법제가 아니라 보호에 중점이 두어진 새로운 법제가 필요하다.

이상윤(건강과대안 연구위원) / 건치신문 2015년 8월 18일자

최근 정부는 범죄자들의 DNA를 수집해 보관하는 유전자 데이터베이스를 다시 추진하겠다고 밝혔다. 검찰과 경찰은 90년대 중반부터 범죄자 유전자 은행을 준비해왔고 지난 국회에 관련 법률을 제출했으나, 회기만료로 자동 폐기된 바 있다. 얼핏 들으면 ‘유전자’를 이용한 ‘과학수사’로 날로 증가하는 흉악범을 효과적으로 잡겠다는데, 도대체 무엇이 문제인가라고 반문할지 모른다. 그러나 ‘과학수사’나 ‘유전자’가 가지고 있는 신비한 이미지를 한 꺼풀 벗겨낸 후 여러 가지 사회적 맥락을 고려해 보면, 이 시스템을 단순한 범죄해결의 도구로 치부하기에는 위험한 요소들이 많다는 것을 알 수 있다.

신원확인 유전자 데이터베이스란

질병 검사때 활용하는 일반적인 유전자 검사와 구별해 개인 식별에 이용하는 방법을 ‘유전자 감식(DNA typing 또는 DNA profiling)’이라고 한다. 특정 개인의 전체 유전자에서 상대적으로 희귀한 위치들을 찾아 분리해내는 것이다. 유전자 감식을 통해 나온, 사람마다 고유한 패턴을 DNA 프로필(profile)이라고 이것을 데이터베이스에 저장해 검색 가능하도록 만든 것을 신원확인 유전자 데이터베이스라고 한다. 감식에 사용하는 DNA는 타액, 혈액, 정액, 머리카락, 피부 각질 등에서 추출할 수 있다. 예컨대 범죄 현장에 남아 있는 담배꽁초, 머리카락, 정액 등에서 DNA를 추출 할 수 있으며, 최근에는 범인이 사용했던 장갑, 흉기, 지문 등에서도 뽑아 낼 수 있다. 이런 기술적 특성으로 인해 유전자 감식은 친자 확인, 범인 검거, 사체 확인과 같은 신원확인 분야에서 활발히 이용되고 있다. 

데이터 베이스의 확장 가능성

유전자 감식의 개별적 활용과 달리 일단 DB가 구축되고 나면 입력 대상, 활용범위 등이 지속적으로 확장되는 경향이 있다. 우선 DB의 속성상 입력 대상의 확대와 DB의 효율성이 직접적으로 연결되어 있는 것이 중요한 이유라고 할 수 있다. DB에 저장되어 있는 대상이 많아야 효율적으로 작동한다는 것은 상식적인 것이며 정부 관계자들도 이런 특성을 부인하지 않고 있다. 과거 제안되었던 법률안은 살인에서부터 강도, 폭력, 군형법에 이르기까지 12가지 죄목을 입력 대상으로 하고 있는데, 시스템이 도입되고 이를 통한 대표적 검거 사례가 나오면 그 대상이 확장될 가능성이 높다. 외국의 상황을 보더라도 처음에는 ‘사회적 정당성’을 쉽게 얻을 수 있는 강간, 아동 성범죄 같은 흉악범에서 나중엔 사소한 절도에 이르기까지 그 대상이 확장되고 있다. 세계에서 가장 먼저 신원확인 유전자 DB를 운영하기 시작했던 영국은 전 국민을 대상으로 한 유전자 DB 구축을 제안해 논란을 일으킨 바 있다. 특히 영국은 다른 유럽 국가들에 비해 확장의 속도나 수집의 정도가 심각한 경우인데, 2004년 4월 이후부터는 체포된 모든 용의자들에게 동의를 받지 않고 강제로 DNA를 채취할 수 있고, 무죄 판결을 받더라도 유전정보와 DNA를 식별 가능하도록 영구히 보관할 수 있다. 예컨대 영국에서는 허가받지 않은 집회에 참석한 어린이의 유전자를 법률 위반 여부와 상관없이 채취해 그 아이가 죽을 때까지 보관할 수 있다.
 
입력 대상뿐만 아니라 다른 DB와의 연동이나 범인검거 이외의 용도로 활용될 가능성도 높다. 과거에 제안된 법률에 따르면 검찰과 경찰, 법원, 군법원 등이 유전정보를 이용할 수 있도록 하고 있다. 주목할 점은 변사자의 신원확인을 위해서도 이 DB를 사용할 수 있도록 했다는 점이다. 이는 범죄자 유전자 DB가 장기적으로 어떤 식으로 활용될지를 단적으로 보여주는 조항이라고 할 수 있다. 잘 알려진 것처럼, 90년대 말부터 검경은 서로 이 DB를 갖기 위해 주도권 다툼을 벌여왔다. 결국 검찰은 수형자, 경찰은 피의자 및 피해자를 대상으로 각각의 DB를 구축해 상호 검색하도록 합의를 본 것이 우리나라 DB의 특징인데 정부 스스로 확장 가능성을 보여준 것이다. 더 나아가 이미 구축된 미아 찾기 및 치매 노인 유전자 DB, 현재 논의가 진행 중인 군대 유전자 DB 그리고 한때 논의된 바 있었던 이산가족 유전자 DB가 상호 검색되거나 연동될 가능성이 있다. 만약 이번에 범죄자 유전자 DB가 설립된다면, 군대나 민간기업 등 과거부터 데이터베이스를 준비해 왔던 다른 영역의 유전자 DB 설립에 가속도가 붙을 것이다.

만연될 수사 편의주의

유전자 DB가 설립되면 유전자 감식의 개별적 활용도 더욱 탄력을 받을 것이다. 얼핏 보기에 이런 과정들이 범죄자와 같은 특정 집단에 한정된 사안인 것처럼 보이지만, 실제 상황에서는 상당히 많은 사람들이 분석이나 입력 대상이 된다. 형이 확정돼 강제적으로 저장되는 범죄자뿐만 아니라, 피해자, 현장에서 발견된 다양한 샘플, 용의자나 가족, 현장 주변 인물 등에 대한 분석이 이루어지게 된다. 그런데 이 과정에서 범죄자들뿐 아니라 일반 시민들의 인권이 침해될 소지가 높다. 수사과정에서의 유전자 채취는 범인이 아니라는 것을 증명해야 하기 때문에 동의서를 받는다고 해도 거부하기가 쉽지 않다. 또한 용의자 가족의 DNA 정보를 통해 범인을 검거하는 방식에 대해서도 문제 제기가 있을 수 있다. 예컨대 사건 현장에 있었다는 이유로 DNA 제출을 요구받을 수 있으며, 용의자가 DNA 제출을 거부 했을 때 부모가 DNA를 제출하는 상황이 우리나라에서도 발생할 수 있는 것이다. 이미 국내에서는 범죄자 색출을 목적으로 수천 명의 지역 주민의 DNA를 수사 기관이 수집한 바 있다. 유전자 DB의 도입은 일부 흉악범에게만 해당되는 사안이 아니라는 것을 명확히 이해할 필요가 있다.

유전정보는 민감하고 소중한 개인정보

일부에서는 유전자 감식 정보는 질병정보처럼 민감하지 않고, DB에도 개인 식별 유전정보만 저장되므로 문제가 없다고 주장한다. 그러나 이런 주장은 유전정보의 개념을 편협하게 이해하고 있거나 논쟁을 유리하게 이끌기 위한 수사에 불과하다. DNA 프로필에 질병 정보가 들어 있지 않더라도 개인이나 그 가족을 식별할 수 있는 개인 식별 유전정보는 그 자체로서 법적으로 보호받아야 할 매우 민감한 정보 중의 하나이다. 또한 마음만 먹으면 분석 과정이나 분석 후 남은 잔여 DNA에서 신원확인 이외의 다양한 유전정보를 추출 할 수 있다. 신원확인 목적으로 미아의 유전자를 분석하면 아이가 다운증후군이라는 유전병에 걸렸다는 사실을 알 수 있으며, 국가가 보관하고 있는 범죄현장 및 피해자의 DNA가 연구 목적으로 사용될 가능성을 배제할 수 없다. 영국에서는 신원확인 목적으로 추출한 DNA를 이용해 AIDS 검사를 진행해 물의를 일으킨바 있으며, 이미 2000년부터 국가 DNA DB를 이용한 19건 이상의 연구 프로젝트가 진행 중이다. 미국에서는 24개 주가 범죄자 DB를 이용해 의료연구를 할 수 있도록 하고 있다. 특히 DB 구축 주체가 수사기관이고, DNA 보관 특성으로 인해 외부에서의 감독 또한 쉽지 않다.

범죄자의 DNA는 국가가 죽을 때까지 관리

범죄자에 대한 강제적 DNA 채취가 정당한 것인지 대해서는 논란이 많다. 통계적으로 재범률이 높다고 해서 이미 죄 값을 치른 범죄자들의 DNA를 국가가 강제로 채취해 그 정보를 죽을 때 까지 보관하는 것이 과연 타당한 것인가? 비록 범죄자라 할지라도 자기 ‘신체 일부’를 국가권력에 의해 강제적으로 침해당할 수 있는 것은 아니라며, 이런 행위를 개인 프라이버시의 심각한 훼손으로 보는 학자들도 상당수 있다. 이 문제는 DB를 시행하고 있는 영국과 미국에서 조차 여전히 논쟁중이다. 또한 이런 행위는 범죄의 원인을 사회적 환경적 요인이 아닌 개인적(유전적) 차이로 파악하려는 시도라는 비판을 받고 있으며 실제 그런 방향으로 연구를 진행하고 있는 학자들도 있다. 영국과 미국에서는 강제적 DNA 채취에 맞서 ‘샘플 반환 소송’을 진행한 사례가 있으며 ‘양심적 DNA 거부자’까지 등장하기도 했다. 필자의 생각으로는 만약 DB가 구축되면 전과자들은 죽을 때까지 우범 지역을 지나가지 않는 것이 좋을 것 같다. 사건만 발생하면 수시로 검색될 것이며 지나가다가 머리카락 하나라도 떨어뜨렸다면 용의자로 지목돼 여러 가지 번거로운 과정들을 겪어야 할 가능성이 높기 때문이다.

우리나라는 이미 감시 사회

특히 신원확인 유전자 DB를 설립한 외국과 단순히 비교할 수 없는 우리나라의 특수한 상황도 고려해야 한다. 우리나라는 각 개인마다 고유한 식별번호인 주민등록번호와 전 국민의 지문을 전산화된 형태로 운영하고 있는 세계적으로도 보기 드문 비정상적 신원확인 시스템을 갖추고 있다. 게다가 몇 년 전부터는 성범죄자에게 전자발찌까지 채우고 있으며 그 범위가 확장되고 있다. 이렇게 특수한 제도가 있는 상황에서 개인의 유전정보까지 국가가 소유해야 하는지에 대해서는 많은 논의가 필요할 것으로 보인다.

지금 시급히 필요한 법률은 강제적 DB 구축에 관한 것이 아니라 지난 90년대 초반부터 수사과정에서 개별적으로 활용되고 있는 유전자 감식 기술에 대한 규제에 관한 것이다. 그 동안 사기관들은 아무런 법률적 기반 없이 내부지침 만으로 유전정보를 수집・활용・보관해 왔다. 유전자 DB 도입 여부는 외국의 사례뿐만 아니라 국내 범죄수사체계, 기존의 신원확인 시스템의 관계, 개인정보 이용 관행이나 보호 시스템, 관련 기관들의 사회적 신뢰 등과 같은 폭넓은 사회 문화적 맥락 속에서 신중히 결정되어야 한다. 유전자 DB는 흉악범과 같은 특정 부류의 사람들에게만 해당된다는 사회적 통념은 잘못된 것이다. 유전자 DB는 단순한 범죄 해결의 도구가 아닌 새로운 신원확인 시스템의 도입, 국가의 감시 체계 확장으로 파악해야 한다.

김병수(건강과대안 연구위원)