위법한 보건의료빅데이터시범사업 중단해야 한다
국민의 민감정보 동의없이 결합해 민간에 제공할 법적 근거 없어
보건의료 빅데이터 활용 관련 법적 정비와 사회적 공론화 필요
건강보험공단, 건강보험심사평가원 등 4개 공공기관이 수집, 보유하고 있는 국민의 보건의료정보를 법적 근거 없이 결합하여 민간에 제공하는 “보건의료빅데이터 시범사업”이 현재 진행 중이다. 참여연대 공익법센터(소장 양홍석 변호사)는 국민의 민감정보를 법적 근거나 정보주체 동의도 없이 결합하여 민간에 제공하는 불법적인 보건의료빅데이터 시범사업을 당장 중단할 것을 요구한다.
이 사업은 지난 박근혜 정부 당시 법적 근거 없는 ‘비식별조치 가이드라인’에 기대어 빅데이터를 활용한 의료산업을 활성화하겠다는 명분으로 시작되었다. 초기 단계부터 많은 보건의료단체와 시민사회단체들은 법적 근거 미비, 공론화 부재, 민감정보 유출과 재식별 위험성, 건강정보의 영리적 활용과 불평등 심화 우려 등을 주장하며 강력히 반대해왔다. 이에 보건복지부는 데이터 활용 목적과 범위를 조정하거나 시민사회를 일부 참여시키는 거버넌스 구축 등을 추진하고 있지만, 법적 근거가 없다는 가장 근본적인 문제점은 무시한 채 계속 사업을 강행하고 있다.
시범사업에서 연계하려는 정보들은 대부분 ‘건강에 관한 정보’로서 개인정보보호법 제23조가 ‘민감정보’로 규정하여 그 처리를 매우 엄격히 제한하고 있는 정보이다. 특히 전국민 강제가입 단일의료보험체계와 주민등록번호제도에 의해 한국 정부는 엄청난 양과 밀도, 연계성을 지닌 국민보건의료정보를 집적하고 있다. 전세계 어느 나라보다 많은 개인정보가 수집, 축적되는 현실을 고려하면 개인정보 활용에 있어서도 더욱 엄격한 요건과 절차를 마련하지 않으면 안된다. 특히 보건의료정보의 민감성, 유출시 피해, 악용가능성에 대한 문제제기가 있는 만큼 법제 정비가 우선되어야 한다.
개인정보보호법 제23조에 따르면 이러한 민감정보를 처리할 수 있는 경우는 정보주체의 별도 동의가 있거나 ‘법령에서 민감정보의 처리를 요구하거나 허용하는 경우’로 엄격히 제한된다. 그런데 보건의료 빅데이터 시범사업은 수십억 건의 민감정보를 동의 없이 결합하고 제3자에 제공하는 것을 내용으로 하고 있음에도, 이를 허용하는 법령상 근거가 전혀 없다. 보건복지부는 최초에는 박근혜 정부에서 만들어진 ‘비식별조치 가이드라인’에 기대어 동의 없이 민감정보를 활용하려 했다. 그러다 비식별조치 가이드라인의 불법성 지적이 계속되고 사실상 사회적으로 해당 가이드라인이 유효성을 상실하자, 이제 ‘보건의료기술진흥법’ 제26조를 정당화 근거로 내세우고 있다. 보건의료기술진흥법 제26조는 한국보건의료연구원이 연구를 위해 공공기관으로부터 자료제출을 요청해 자료를 통합할 수 있다는 내용을 담고 있다. 그러나 이 조항만으로는 보건의료빅데이터시범사업을 정당화할 수 없다.
개인정보보호법 제23조에서 말하는 “법령에서 민감정보의 처리를 요구하거나 허용하는 경우”란 민감정보의 처리가 필요한 사무와 민감정보의 종류를 명시적으로 열거하고 민감정보의 처리를 요구하거나 허용하는 경우로 제한되는 것이다(법제처의 유권해석이나 행정안전부의 개인정보보호법 해설서도 이를 명확히 밝히고 있다). 그런데 보건의료기술진흥법 제26조는 민감정보의 처리가 필요한 사무를 그저 “연구를 위하여”라고 광범위하게 규정하고 있고, 민감정보의 종류도 전혀 열거하지 않은 채 그저 모든 국가기관과 대통령령으로 정하는 공공기관이 보유한 “자료”라고만 추상적으로 규정하고 있다. ‘연구’를 위한 ‘자료’ 통합이 가능하다는 추상적 규정 하나로 수십 종류, 수십억 건의 민감정보 처리를 정당화하는 것은 불가능하다. 하위법규에도 이 자료통합과 관련된 범위나 절차, 방법, 안전조치 등을 구체화하는 내용이 전혀 존재하지 않는다. 이 조항은 애초에 민감정보의 처리를 정당화하기에 불충분하다.
또한 해당 조항은 연구의 주체, 자료제출 요청이나 자료통합의 주체로 ‘한국보건의료연구원’을 명시하고 있기 때문에 한국보건의료연구원이 주체가 된 연구가 아니라면 당연히 데이터 결합이나 이용이 불가능함이 명확하다. 그런데 보건복지부가 추진하는 보건의료빅데이터 플랫폼은 그 이용자를 중앙행정기관, 지방자치단체, 공공기관, 지방공공기관, 국내 의료기관, 학계, 연구기관으로 상정하고 있다. 즉 플랫폼을 통해 연계된 보건의료정보를 제공받아 연구에 활용하는 주체는 한국보건의료연구원이 아닌 민간연구기관을 포함한 다양한 제3자다. 현재 시범사업의 하나로 추진 중인 ‘보건의료 빅데이터 연계·활용 강화연구’ R&D 과제도 한국보건의료연구원이 아닌 다양한 국내 의료기관과 대학 소속 연구진들이 수행하는 것으로, 공모에 선정된 이들이 데이터를 제공받아 활용할 예정이다. 연구과제를 발주하면서 “연구과제 수행시 ‘한국보건의료연구원’과 협력체계를 구축하여 관리할 예정”이라는 문구를 삽입하였지만, 그런 문구를 넣는다고 그 연구가 한국보건의료연구원이 수행하는 연구가 되는 것도 아니다. 이는 어떻게든 보건의료기술진흥법 제26조를 정당화의 근거로 만들어보고자 하는 보건복지부의 꼼수에 불과하다.
이처럼 보건의료빅데이터 시범사업은 그 법적 근거를 전혀 갖추지 못한 채로 추진되고 있다. 보건복지부가 현재 거버넌스 체계를 구축하거나, 시민사회 등 각계의 다양한 목소리를 정책수립과 집행에 반영하려는 시도를 하고 있지만, 중요한 것은 그러한 거버넌스에 시민사회가 참여한다고 하여, 명백한 불법성이 치유될 수는 없다는 점이다. 보건복지부는 거버넌스를 불법적인 사업을 합리화하는 도구로 이용해서는 안된다. 법적 근거도 정보주체의 동의도 없이 민감정보를 대량으로 연계해 민간이 이용하도록 하는 것은 불법이라는 점은 달라지지 않는다.
무엇보다 우리는 이 사업이 보건의료 빅데이터의 산업적, 상업적 활용 요구를 배경으로 추진되고 있다는 것에 주목한다. 건강보험심사평가원은 영리 목적에 활용될 것을 알면서도 수년간 민간보험회사에 6천만 건이 넘는 국민의 건강정보 데이터를 비식별화를 거쳤다며 제공했고, 약학정보원은 미국의 빅데이터 업체인 IMS헬스에 50억 건에 달하는 처방전 정보를 판매했다가 재판을 받고 있다. 이처럼 보건의료정보는 영리적, 산업적 활용을 위해 그 개방의 요구가 거세고, 위법 논란을 감수하면서까지 활용이 추진되고 있다. 보건의료 빅데이터를 공공적 연구에 활용할 때 일정한 사회적 가치가 발생할 가능성이 있겠지만, 수천만 국민의 보건의료정보에 대한 통제권을 후퇴시키면서까지 데이터 연계 및 제공에 나서야만 하는 절박한 상황이라고 보기는 어려울 것이다.
정부는 빅데이터가 가져올 것이라는 장밋빛 전망에 기대어 보호해야 할 전국민의 민감한 의료정보를 쉽게 내어주는 것은 아닌지 점검해야 한다. 보건의료 빅데이터 연구 문제는 앞으로 더 많은 사회적 공론화의 과정을 거쳐야 하고 법적 보호체계도 정비되어야 한다. 정부는 불법적인 정책을 추진할 것이 아니라, 적어도 법적 근거가 제대로 마련되기 전까지 현재의 보건의료빅데이터 시범사업을 중단해야 한다. 보건복지부는 법적 근거 마련을 위한 연구용역을 이번 7월에 발주하고 입법개선을 추진하겠다고 하는데, 그것이 완비되기 전에는 아무리 시범사업이라 해도 데이터를 연계하거나 제공해서는 안 된다.
<참고> 보건의료기술진흥법 제26조
보건의료기술진흥법 제26조(자료의 제공) ① 한국보건의료연구원은 연구에 필요한 정보 수집을 위하여 국가기관 및 대통령령으로 정하는 공공기관에 대하여 자료를 제출하도록 요청할 수 있다. 이 경우 그 요청을 받은 기관은 특별한 사유가 없으면 그에 따라야 한다. ② 한국보건의료연구원은 제1항에 따라 자료를 요청할 경우 「개인정보 보호법」 제23조에 따른 민감정보 및 같은 법 제24조에 따른 고유식별정보 등의 개인정보가 포함된 자료의 제출을 요청할 수 있다. 이 경우 해당 국가기관 및 공공기관은 개인식별이 가능한 부분을 삭제한 후 제출하여야 한다. ③ 제2항에도 불구하고 한국보건의료연구원은 연구를 위하여 두 개 이상의 국가기관 및 공공기관이 보유한 자료를 통합하여 분석할 필요가 있는 경우에는 국가기관 및 공공기관으로부터 개인식별이 가능한 부분을 포함한 자료를 제출받아 자료의 통합작업을 수행할 수 있다. 이 경우 자료를 통합한 후에는 반드시 개인식별이 가능한 부분을 삭제하여야 한다. ④제1항부터 제3항까지의 규정에 따라 제공된 자료는 연구목적 외에는 사용할 수 없다. |