주요 콘텐츠로 건너뛰기

[기자회견문]개인정보 팔아넘긴 건강보험심사평가원 규탄한다

지역

[기자회견문]개인정보 팔아넘긴 건강보험심사평가원 규탄한다

익명 (미확인) | 월, 2017/10/30- 16:53

 

[기자회견문]

 

 

개인정보 팔아넘긴 건강보험심사평가원 규탄한다!

국민건강정보 활용하는 보건의료 빅데이터 사업

즉시 공개하고 추진 중단하라!

 

심평원은 심사평가 기능 외 빅데이터 산업화 등에서 손떼야

공공데이터의 영리적 이용은 원천적으로 금지되어야

-‘개인정보 비식별조치 가이드라인도 즉각 폐기되어야

현재 추진되는 빅데이터 사업은 박근혜 정부적폐

이후 추진과정은 공개되고개인정보에 대한 민주적 참여권리가 보장되어야

 

 

지난 10/24(더불어민주당 정춘숙 의원은 건강보험심사평가원(이하 심평원)이 2014년 7월부터 2017년 8월까지 8개 민간보험사 및 2개 민간보험연구기관에게 보험료 산출 과 보험상품개발 등을 위해 요청한 표본 데이터셋을 판매했다고 밝혔다이는 횟수로는 총 52대상자는 무려 6,420만 명분에 해당하는 양이다.

 

여기에는 상병내역진료내역처방내역 등이 모두 포함되어 있었고민간보험사는 공식적으로 이 데이터를 참고해 각종 질병에 대한 위험료율을 계산하여 보험상품을 개발막대한 이익을 얻었다문제는 심평원이 민간보험사의 영리적 목적 이용을 알고 있음에도 데이터를 제공했다는 사실이며나아가 민간보험사 등이 이 자료를 다시 재조합비식별화하여 다른 정보와 결합 유용했을 가능성을 배제할 수 없다는 것이다그리고 관련 정보는 민간보험사의 영리적 건강관리서비스 등의 기반이 되었을 가능성도 크다.

 

더불어민주당 진선미 의원에 따르면지난 1년간 정보 제공자의 동의 없이 결합한 데이터는 개인정보 1억 7,000만 건이라고 한다. SCI평가정보한화생명한화손해보험삼성생명삼성카드, KB국민카드 등 민간보험사 등이 다수 포함되어 있다또한 이러한 결합 및 정보이용은 작년 6월 박근혜 정부가 만든 개인정보 비식별 조치 가이드라인에 따라 제공되어 제대로 비식별화 되었는지 확인한 공적기관조차 없다.

 

법률이나 행정입법이 아닌 가이드라인으로 국민들의 개인정보를 팔아넘기는 경우는 전 세계적으로 유례가 없다결국 심사평가원의 개인건강정보 유출각종 개인정보의 결합조치 등은 매우 심각한 사안이다이는 보건의료 빅데이터 사업의 미명 하에 각종 공공기관을 동원한 박근혜 정부의 무차별 규제완화책이 배경이었다이에 시민사회노동단체는 개인건강정보를 유출한 심평원을 규탄하고 보건의료 빅데이터 사업의 원점 재검토를 요구한다.

 

 

 

1. 심평원은 공공기관으로서 자신의 책무에 집중하고빅데이터 등 의료 산업화를 중단하라.

 

심평원의 역할은 건강보험의 적정화를 평가하고앞으로 국민건강보험제도 발전에 이바지하는 것이다다시 말해 심평원이 가지고 있는 막대한 데이터와 업무는 공적보험인 국민건강보험의 운영과 발전을 위한 것이 되어야 한다그러나 사실상 건강보험을 보완하거나 대체하려 하는 민간보험에 공적데이터를 넘긴 것이다또한 국민들과 의료인들은 심평원에 적정한 심사평가를 위해 건강정보를 제공한 것일 뿐자신의 정보를 데이터로 만들어 판매하는 것에 동의한 바 없다따라서 심평원이 개인정보 데이터셋을 만든 행위는 불법이다.

 

이명박박근혜 정부를 거치며 심평원은 각종 의료 산업화 역할을 했다대표적으로 민간보험사의 심사평가대행 도입 논의였고또 다른 하나는 영리적 빅데이터 사업에 참여한 일이다민간보험사의 이익을 위해 심사평가를 하려고 한 것도 문제이지만이들 보험사에 데이터를 넘긴 것도 비슷한 문제다심평원을 영리기업들의 도구로 전락시키려 한 행위가 지난 10년간의 적폐다따라서 이제라도 본연의 목적대로 건강보험 심사평가에 국한된 본연의 모습으로 돌아가야 한다이를 위해 이번 데이터셋 판매에 대해서는 심평원과 그 책임자들에게 엄중한 문책이 있어야 한다.

 

 

 

2. 개인건강정보 비식별화 가이드라인은 즉각 폐기되어야 한다.

 

이번 심평원의 개인건강정보셋 유출 건을 보면심평원이 자체적으로 개인건강정보셋을 비식별화하여 판매한 것으로 되어있다원래 비식별화란 향후 데이터 등을 재조합하더라도 개인식별이 안되도록 해야 제대로 되었다고 할 수 있다때문에 전세계적으로 비식별화를 데이터 확보한 기관에서 하는 경우는 거의 없다즉 데이터를 생성축적하는 곳과 비식별화를 하는 기관이 다르고비식별화를 하는 기관은 제3의 공공기관이다무엇보다 제대로 된 비식별화가 되었는지를 누군가 확인하고 이후 발생할 문제를 처리하기 위한 제도와 기관도 필요하다때문에 비식별화에 대한 기준과 방향은 최소한 행정입법 수준에서 사회적 합의를 통해 만들어지는 것이 정상이다.

 

하지만 지금 공공기관은 물론 민간기관에서 기준으로 활용하는 2016년 6월 개인정보 비식별화 가이드라인은 말이 되지 않는다가이드라인에 따르면 고작 3명 이상이 각종 비식별화 확인을 수행하고데이터 축적기관이 직접 비식별화를 추진하는 것도 열어두었다이 가이드라인조차 제대로 된 공청회나 의견 청취도 하지 않았다결국 박근혜 정부의 무차별 규제완화의 일환인 가이드라인으로 국민들의 개인건강정보는 규제도 받지 않고 쉽게 팔리게 된 것이다이번 심평원 사건도 가이드라인이 부추긴 부수적 효과이기도 하다또한 이 가이드라인으로는 민간보험사가 심평원에서 받은 데이터를 결합해 비식별화’ 했다는 이유만으로 다른 기업에 결합 유출할 수도 있고 처벌하지 못한다따라서 개인건강정보 비식별화 가이드라인은 즉각 폐기되어야 한다.

 

 

 

3. 보건의료 빅데이터 사업은 전면 재검토되고 공개되어야 한다.

 

심평원의 데이터셋 판매 건은 박근혜 정부가 추진한 빅데이터 사업의 일환이다박근혜 정부는 창조경제라는 명목 하에 보건의료 빅데이터 사업을 주장하고이를 위해 각종 규제완화를 시작했다집권 1년차부터 빅데이터 개인정보 보호 가이드라인를 발표했고개인정보 보호위원회 등의 반대에도 불구하고 2014년 이를 강행했다박근혜 정부는 공공 개인건강정보 데이터도 제약회사의 신약개발유전자치료제 개발정밀의료발전 등의 명분으로 마구잡이로 빅데이터 사업에 집어 넣었다또한 비식별화 문제는 앞서 밝힌 대로 가이드라인으로 처리했다.

 

사실 민간기업이 제품판매로 얻은 개인정보의 빅데이터화도 큰 문제이지만공공데이터의 영리적 이용은 더 큰 문제다공공데이터는 대부분 사회서비스나 행정서비스 등의 편의성과 효율성을 위해 국민 개개인이 제공한 정보이다이들 정보 제공 시에 민간기업 등 경우처럼 정보제공 동의도 거의 받지 않고정보제공자도 국가와 공적기구의 비영리성을 신뢰하여 이런 문제를 특별히 제기하지 않기 때문이다.

 

특히 국민건강보험 하에서 만들어진 정보는 애초부터 건강보험청구와 심사공공이익 등을 위해 만들어진 것들이다쉽게 말해 이들 정보를 만드는데 참여한 환자와 의료인들은 애초부터 민간기업의 신약개발 등에 모든 진료정보 등이 사용되도록 동의한 바가 없다이를 위해서는 임상시험 참여의 동의수준에 해당되는 절차가 필요했다여기다 개개인의 동의를 받지 않은 것은 물론이고이런 빅데이터 사업을 추진하는 과정 자체도 시민사회 등과 공개적으로 상의한 바도 없다.

 

박근혜 정부는 개인건강정보 문제에 대한 시민사회의 문제제기를 무시하고 이를 강행하였다개인동의도 없는 보건의 빅데이터 사업은 지금에서라도 원점에서 재검토되어야 한다.

 

우리는 이번 심평원의 어처구니없는 정보유출 건이 빙산의 일각일 것으로 판단한다또한 지난 수년 간 막무가내로 진행된 보건의료 빅데이터 사업으로 인한 폐해도 아직 제대로 드러나지 않았다정보 불평등과 정보 유출의 폐해가 드러나는 것은 수십 년이 지나서일 수도 있다다만 한국의 개인정보는 이미 수차례 기업들의 부주의로 해킹되었고이름주민번호전화번호주소 등이 지금도 암암리에 팔리고 있다여기에 결합되어 식별화 혹은 암호 해독이 될 가능성이 높은 개인정보가 결합되면 어떻게 될지 걱정이다.

 

단순히 민간보험사의 보험료 인상제약회사의 과도한 특허신약의 문제뿐 아니라향후 채용결혼인사고과 등 모든 부분에 개인건강정보가 유용될 수도 있다는 우려도 있다이는 누구도 바라지 않는 디스토피아일 것이다때문에 영국과 같이 국가의료제도(NHS)로 어느 곳보다 표준화된 데이터 축적이 손쉬운 곳에서도 작년부터 빅데이터 사업인 케어닷데이터(care.date)을 중지하고 재검토하고 있다.

 

4차 산업혁명이라는 미명 하에 개인건강정보를 집적화하여 큰 발전을 이룩할 수 있다는 가설도 아직 입증된 바 없다이는 신중히 준비해서 근거를 마련해가야 할 산업분야이며보건의료 빅데이터도 연구과제일 뿐이다이런 연구과제를 위해 무차별 규제완화를 감행한 박근혜 정부는 이제 촛불항쟁으로 사라졌다따라서 박근혜 정부가 사라진 것처럼보건의료 빅데이터에 대한 맹목적인 환상도 사라져야 한다또한 보건의료 빅데이터 사업은 타당성부터 안전성효용성까지 전면 재검토가 이루어져야 한다.

 

 

 

2017년 10월 30

 

건강과대안 · 인도주의실천의사협의회 · 참여연대

의료민영화 저지와 무상의료 실현을 위한 운동본부

시민들의 의견

댓글 달기

Plain text

  • 웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
  • 줄과 단락은 자동으로 분리됩니다.
  • 사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>
이미지
무제한 수의 파일을 이 필드에 업로드할 수 있습니다.
50 MB 한계입니다.
허용된 유형: png gif jpg jpeg.
Enter the YouTube URL. Valid URL formats include: http://www.youtube.com/watch?v=1SqBdS0XkV4 and http://youtu.be/1SqBdS0XkV4.
CAPTCHA
스펨 사용자 차단 질문

안전하기 때문에 위험한 아이폰X의 ‘안면인식’

글 | 박경신(오픈넷 이사, 고려대 법학전문대학원 교수)

 

1.

우리는 일상적으로 안면인식을 한다. 사람의 얼굴을 보고 그 사람을 식별하는 행위는 지극히 자연스러운 행위일 뿐이 아니라 인류 진화의 한 단계였다. 우리가 자외선이 나 초미세먼지를 두려워하면서도 옷으로 몸은 가려도 얼굴은 내놓고 다니는 것은 다 이유가 있다. 신분증에 사진을 붙이고 신분증을 통해 신원확인하는 것도 다 안면인식을 용이하게 하기 위한 것이다. 공공장소의 CCTV를 통해 범죄나 비리를 예방하거나 조사하는 것 역시 기초적인 수준의 안면인식을 필요로 한다.

2.

그러나 아이폰X를 통해 만든 안면인식정보 즉 한 사람이 몇 분 정도 시간을 들여 특수한 기계를 통해서 자신의 신체로부터 자발적으로 추출한 정보는 다르다. 이 정보는 내가 공공장소에 나갔을 때 CCTV에 찍혀서 생성되는 정보 즉 암묵적으로 타인이 취득할 것에 동의한 정보와는 완전히 다른데 정확도와 같은 양적 차이뿐 아니라 자신이 동의한 절차를 통해서만 생성될 수 있다는 차원에서 법적으로 다르다. 패스워드, DNA, 지문처럼 프라이버시로 완벽히 보호되어야 한다.

3.

단 지문인식기능과 특별히 다른 것처럼 호들갑을 떨 이유도 없다. 두 가지 다 신체의 일부를 본인확인 용도로 이용한다는 면에서 다를 바가 없다. 다르다면, 안면인식기능은 데이터포인트가 3차원적이고 훨씬 많기 때문에 지문인식기능보다 수십배 안전하다. (긴 패스워드가 짧은 패스워드보다 안전한 것도 한 자 더할 때마다 경우의 수가 수십 개씩 늘어나는 원리와 마찬가지이다.) 지문은 2차원적이라서 이용자가 책상이나 유리에 남긴 지문을 제3자가 채취해서 이용자의 아이폰을 몰래 열어볼 수 있지만 얼굴은 이것이 불가능하다. ‘Mission Impossible’ 영화에 나오는 것처럼 마스크를 만드는 경우도 생각해볼 수 있지만 아이폰은 반사광을 분석하여 인체피부와 같은 재질이 아닌 경우도 밝혀낸다고 한다.

4.

하지만 이렇게 안전하기 때문에 유출되었을 때의 위험은 더 크다. 해당 정보만 가지고 있으면 신원위조를 완벽하게 해낼 수 있기 때문이다. 그래서 더 주의할 필요가 있는데 첫째 현재는 디바이스에만 저장이 되는데 절대로 서버에 저장되지 않도록 해야 한다. 아이폰 1대를 해킹하면 1명의 안면인식정보만 취하겠지만, 서버에 저장하다 보면 여러 사람의 정보가 한꺼번에 유출될 수 있다. 해커가 하나의 서버만 공격해도 수많은 사람의 안면인식정보를 취할 수 있게 된다. 물론 우리는 패스워드도 서버에 저장하는 문화에 익숙해져 있지만 (그리고 패스워드는 서버에 저장될 수밖에 없지만) 패스워드는 유출되면 바꿀 수 있는 반면 안면인식정보는 성형을 하지 않는 한 바꿀 수 없는 영구적으로 고유한 식별자이기 때문에 유출되었을 때의 위험이 다르다.

5.

둘째 “신뢰성의 패러독스”에 빠지지 않도록 조심해야 한다. 즉 주민등록번호도 1960년대에 처음 나오자마자 국가에서 통제하는 것이니 안전하다는 이유로 각종 기업이나 기관에서 본인확인용으로 이용을 했고 결과적으로 매우 위험한 본인확인수단이 되어 버렸다. 예를 들어, 아이폰X의 안면인식정보를 금융기관이나 다른 기업도 직접 이용하는 일 등은 절대로 벌어져서는 안된다. (물론 위의 “디바이스 저장 원칙”만 지켜진다면 이 위험은 없다) 이용하고 싶다면 지금처럼 디바이스를 자신의 서비스에 등록시켜 그 디바이스에서 결제를 하려면 반드시 애플의 안면인식절차를 거치도록 하면 된다. 즉 애플 안면인식정보는 안면 소유자의 디바이스에만 저장되어야 할 뿐 아니라 디바이스를 언락하는 하나의 기능만을 수행해야지 “기능확대(function creep)”가 이루어져서는 안 된다. 주민등록번호와 마찬가지다.

6.

노파심에 한마디. 우리가 기억해야 할 것은 타인의 안면이나 지문을 강제로 들이밀어 아이폰을 언락하는 것은 신체의 자유 침해이자 프라이버시 침해라는 것이다. 그러므로 수사기관이 국민의 아이폰을 언락하고 싶다면 이용자에 대해서 압수수색영장을 반드시 받아야 한다.(체포영장으로는 불충분하다. 압수수색영장은 특정 정보를 채취하기 위해 다양한 수단을 이용할 수 있게 하므로 이것이 필요하다. 이게 왜 중요하냐면 긴급체포 즉 영장 없는 체포는 간혹 허용되지만 ‘긴급압수수색’이라는 것은 없기 때문이다.)

* 이 글은 필자의 페이스북에 실린 글입니다. 

 

* 이 글은 허프포스트코리아에 기고했습니다. (2017.09.18.)

월, 2017/09/18- 14:24
157
0

홈플러스 소송 시민단체 공동보고대회 개최

– 경제정의실천시민연합, 안산소비자단체협의회, 진보네트워크센터,
참여연대, 한국소비자단체협의회 –
– 2017년 12월 19일(화) 오전 10시, 은행연합회관 제2층 국제회의실 –

 
□ 홈플러스 소송 시민단체 공동보고대회 개요
  ■ 사회 : 조순열 변호사 (경실련 시민권익센터)
  ■ 안산 소협 1심 판결문 취지 설명
     : 서치원 변호사 (안산소비자단체협의회)
  ■ 공정거래위원회 홈플러스 과징금 부과건 소개 (「표시광고법」 위반을 중심으로)
     : 성춘일 변호사 (참여연대)
  ■ 홈플러스 소송을 통해 바라본 입법개선의 과제
     : 좌혜선 사무국장 (한국소비자단체협의회 자율분쟁조정위원회, 변호사)
  ■ 개인정보정책 개선의 과제
     : 이은우 변호사 (정보인권연구소 이사)
 
 

 
경제정의실천시민연합과 안산소비자단체협의회, 진보네트워크센터, 참여연대, 한국소비단체협의회는 오늘(19일) 은행연합회관 제2층 국제회의실에서 홈플러스 소송 시민단체 공동보고대회를 개최했다.

이 날 공동보고대회는 조순열 경실련 시민권익센터 운영위원이 사회를 맡은 가운데, 서치원 안산소비자단체협의회 변호사가 ‘안산소협 1심 판결문 취지 설명’을 발표하고, 성춘일 참여연대 변호사가 ‘공정거래위원회 홈플러스 과징금 부과 건’을 발표했다. 이어서 좌혜선 한국소비자단체협의회 자율분쟁조정위원회 사무국장이 ‘홈플러스 소송을 통해 바라본 입법개선의 과제’를 발표하고, 이은우 정보인권연구소 이사가 ‘홈플러스 개인정보 불법매매사건을 통해 본 개인정보보호법의 문제점과 개선방안’를 발표, 마지막으로 심정순 안산 소비자교육중앙회 회장이 ‘안산소비자단체협의회의 소송 과정과 개인정보의 중요성’을 발표했다.

첫 번째 순서로 발표에 나선 서치원 안산소비자단체협의회 변호사는 안산소협 1심 판결문 취지를 설명했다. 서치원 변호사는 홈플러스의 개인정보 불법 수집 및 불법 매매로 인한 안산소협의 소송 경과를 설명하며, 이번 사건의 쟁점을 ① 경품응모자들에 대해선 ▲명확하게 인지할 수 있도록 알리고 동의 받아야 하나 ‘유상판매’임을 알리지 않은 점, ▲최소한으로 수집하고, 동의하지 않는다고 불이익을 주어서는 안되는 점, ▲소비자를 오인시키는 기만적 광고인 점, ▲개인정보 파기규정과 안전조치의무 위반한 점, ② 패밀리카드 회원들의 경우 ▲정보주체의 동의 없이 또는 동의 목적을 초과하여 제3자에게 개인정보 제공한 점, ▲동의 시 알려야 할 사항을 알리지 않고 동의 받음·동의 없는 제공·기만적인 방법으로 동의 취득한 점 등으로 설명했다. 이에 재판부는 ①패밀리카드 회원이자 경품응모자인 피해자 73명에게 1인당 12만원, ②경품응모자인 피해자 75명에게 1인당 10만원, ③패밀리카드 회원이자 개인정보 제3자 미동의한 피해자 136명에게 1인당 5만원을 지급하라는 판결했음을 설명했다.

서치원 변호사는 ▲위법성 입증책임의 전환 및 제3자 제공 추정, ▲「표시광고법」 위반 인정, ▲개인정보 판매로 인한 손해배상을 인정한 최초의 판결, ▲개인정보 판매로 인한 위자료 산정 시 고려할 기준 구체적으로 적시, ▲소비자 보호를 위한 「개인정보보호법」 개정 등으로 판결의 의의를 설명했다. 이 사건은 재판부가 입증책임을 고객이 아닌 개인정보를 관리하는 정보관리주체인 홈플러스에게 있다고 판단, 기만적 광고행위의 위법성 인정 등으로 개인정보 판매로 인한 소비자 피해구제를 위한 리딩케이스로 자리매김할 것이라고 밝혔다.

이어 두 번째 발표는 성춘일 참여연대 변호사가 공정거래위원회 홈플러스 과징금 부과 건을 발표했다. 공정거래위원회는 2015년 5월 1일 홈플러스가 경품행사를 광고하며 개인정보 수집 및 제3자 제공 조건으로 경품을 지급한다는 사실을 숨겨 소비자를 속이는 등의 기만적 광고행위로 홈플러스㈜와 홈플러스테스코㈜에 각각 과징금 3억 2,500억원과 1억 1,000억원을 부과 했다. 이후 홈플러스는 행정소송을 제기했다. 그러나 서울고등법원이 이를 기각했고, 대법원은 “‘기만적인 광고’에 해당하는지 여부는 광고 그 자체를 대상으로 판단하면 되고, 특별한 사정이 없는 한 광고가 이뤄진 후 소비자가 알게 된 사정까지 고려해야 하는 것은 아니다”라고 판시하면서 원심 판단은 정당하고 법리를 오해한 잘못이 없다고 판결한 과정을 설명했다.

성춘일 변호사는 ▲기만성이 인정되는지 여부, ▲소비자 오인성이 인정되는지 여부, ▲공정거래 저해성 인정 여부에 대해 설명했다. 사건의 형식은 공정거래위원회가 홈플러스 등에 부과한 시정명령과 과징금이 적법하다는 것이기는 하지만, 이 행정소송 사건을 계기로 부당한 표시·광고행위로부터 소비자의 합리적인 의사결정을 보호하고자 하는 「표시광고법」의 입법목적 및 관련 법률의 입법취지가 충분히 반영된 것이므로 향후 개인정보 보호 및 소비자 보호에 상당한 기여를 할 것이라고 밝혔다.

세 번째 발표자인 좌혜선 한국소비자단체협의회 자율분쟁조정위원회 사무국장은 홈플러스 소송을 통해 바라본 입법개선 과제를 발표했다. 좌혜선 사무국장은 소비자·시민사회단체가 진행 중인 소송들의 경과와 그간의 「개인정보보호법」 개정 및 20대 국회 개정안 발의 내용들을 설명했다. 이어 이러한 다수의 소비자 피해를 신속하고 효율적으로 구제하기 위해서는 집단소송법제의 도입이 필요하다고 밝혔다.

네 번째 발표자인 이은우 정보인권연구소 이사가 홈플러스 개인정보 불법매매사건을 통해 본 개인정보보호법의 문제점과 개선방안을 발표했다. 이은우 변호사는 개인정보 보호에 대한 단일의 감독 및 집행체계가 필요하다고 밝혔다. 홈플러스 사건의 경우 「개인정보보호법」이 적용될지, 「정보통신망법」이 적용될지 알기 어렵다며, 각각의 감독기관인 행정안전부, 방송통신위원회의 감독이 어떻게 이루어질지 예상하기 어렵다고 지적했다. 따라서 전 세계적으로 「개인정보보호법」은 전자적으로 처리되는 개인정보파일의 처리를 주된 규율대상으로 하고 있어 「개인정보보호법」과 「정보통신망법」을 「개인정보보호법」으로 통합해야 한다고 주장했다.

또한, 이은우 변호사는 최근 업계를 중심으로 개인정보 수집동의의 요건을 완화해야 한다는 주장이나, 비식별화된 개인정보는 개인정보로 보지 않아야 하며, 동의를 요하지 않고 활용할 수 있도록 하여 빅데이터 활용을 허용해야 한다는 등의 주장이 지속적으로 나오고 있는 것을 우려했다. 이러한 주장은 국제적인 추세에도 반하며, 우리나라와 같이 재식별화의 위험이 높은 환경에서는 도저히 받아들여질 수 없는 주장이라고 지적했다. 특히, 개인의 민감한 쇼핑내역을 분석하고, 가공하여 활용하는 기술이 점점 발전하고 있는 상황에서 프로파일링에 대한 규율이 절대적으로 필요한 상황이라고 밝혔다.

마지막 발표자인 심정순 안산 소비자교육중앙회 회장은 안산소비자단체협의회의 소송 과정과 개인정보의 중요성을 발표했다. 심정순 회장은 자기도 시민이자 홈플러스 고객이며, 실제 경품행사도 참여한 피해자라고 밝혔다. 소비자들은 서비스를 제공받기 위해선 많은 업체에 개인정보를 제공해야 한다. 그런데 이렇게 제공한 개인정보가 돈으로 매매되는 것을 볼 때 문제의 심각성과 개인정보의 중요성을 다시금 느끼게 되었다고 밝혔다. 지금도 개인정보가 거래되고 있을 것이라며, 우리 모두가 개인정보에 대해 경각심을 가져야 할 때라고 밝히며 발표를 마쳤다

홈플러스 사건을 공동으로 대응하는 경제정의실천시민연합과 안산소비자단체협의회, 진보네트워크센터, 참여연대, 한국소비자단체협의회는 소비자의 개인정보자기결정권을 강화하는 개인정보보호 활동과 빅데이터라는 이름으로 개인정보 보호규범을 완화하는 법 개정 시도를 적극 대응하는 활동을 지속적으로 전개할 예정이다. <끝>

첨부. 홈플러스 소송 시민단체 공동보고대회 자료집

경제정의실천시민연합, 안산소비자단체협의회
진보네트워크센터, 참여연대, 한국소비자단체협의회

화, 2017/12/19- 12:04
156
0

지난 7월 20일 대법원은 통신사가 이용자의 신원정보를 영장 없이 수사기관에 제공한 내역의 공개를 거부한 것에 대해 이용자의 '개인정보자기결정권'을 침해하였기에 손해배상해야 한다는 판결을 내렸습니다.

개인정보 보호의 중요성은 이미 두말할 필요도 없는 상식이 되어있습니다. 하지만 타인에게 맡긴 자신의 개인정보가 어떻게 활용되거나 유포되는지에 대한 개인의 권리 또한 못지않게 중요합니다. 법원의 이번 판결은 이 권리가 법으로 보장받아야함을 명시한 중요한 선례 중 하나라고 볼 수 있을 것입니다.  '개인정보자기결정권'의 가치를 법원이 어떻게 바라봤는지, 강태리 변호사가 짚었습니다.

  

이 글은 오마이뉴스와 슬로우뉴스에서도 볼 수 있습니다. 

 

나몰래 넘겨진 개인정보, '사이다' 판결이 막았다

[광장에 나온 판결] 이용자 개인정보 제공내역 공개거부한 통신사에 대한 손해배상소송 판결(서울고등법원 제1민사부 2015. 1. 1. 2014나2020811, 대법원 제2부 2018. 7. 20 2015다208856)

 

강태리 변호사, 참여연대 공익법센터 운영위원

 

미래창조과학부에서 2017년 6월 5일 발표한 내용에 따르면, 2016년 한 해 동안 전기통신사업자가 검찰과 경찰, 국정원 등 수사기관에 제공한 이용자정보(성명·주민등록번호·주소·전화번호·아이디 등)는 전화번호 수 기준으로 약 830만 건이라고 한다. 이는 대한민국 국민 6명당 1명의 통신자료가 수사기관에 제공되었다는 의미이다.

 

다른 나라들의 경우는 어떨까? 유엔 특별보고관 데이비드 케이(David Kaye)의 2017년 5월 9일 자 의견서에 따르면, 영국 국민 170명당 1명(2015년 기준), 프랑스 국민 1375명당 1명(2015년 10월 ~ 2016년 10월 기준), 미국 국민 600명당 1명(2012년 기준)의 개인정보가 수사기관에 제공되었다고 한다. 비교 자체가 무의미할 정도의 엄청난 차이이다.

 

'통신자료 제공' 6명당 1명-600명당 1명

 

그렇다면 대한민국에서 이처럼 엄청난 양의 통신자료가 수사기관에 제공되는 근본적인 원인은 무엇일까? 수사기관의 요청에 대한 제재가 없기 때문이다. 

 

일반적으로 법치국가에서는 수사기관의 권한 남용을 막기 위한 헌법적 원칙으로서 '영장주의'를 보장한다. 법관이 발부한 영장 없이는 수사기관이 강제수사를 할 수 없다는 원칙으로, 수사기관의 권한 남용을 막는 사법적 감시체계이다. 그런데 통신자료 제공요청의 근거법률인 전기통신사업법 제83조 제3항과 4항에는 영장주의에 대한 내용이 없다. 수사기관이 통신자료 제공요청을 남용할 경우 이를 막는 방법을 법에서 정하고 있지 않다는 의미이다.

 

국가기관들도, 기업들도 통신자료 제공에 대한 아무런 감시체계를 마련하지 않은 상황에서, 2013년 핸드폰 이용자 3명이 소송을 제기했다. 이들은 이동통신 3사를 상대로 "나의 통신자료가 수사기관에 제공된 현황을 공개하라. 또한 공개청구가 거부당함으로써 입은 정신적 피해를 배상하라"라고 했다. 

 

그로부터 5년 뒤인 2018년 드디어 대법원은 "이동통신사들은 통신자료 제공현황을 공개할 의무가 있다. 그리고 공개청구를 거부한 행위는 원고들의 개인정보자기결정권을 침해하는 불법행위이므로, 그로 인한 정신적 피해를 배상하라"고 최종 판단을 내렸다(대법원 2018. 7. 20 선고 2015다208856 판결).

 

그런데 '개인정보자기결정권'이란 무엇인가. 말 그대로 풀어보면 '개인정보'를 '자기'가 '결정'하는 '권리'이다. 좀 더 정확히 말하자면 자신에 대한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 이 권리는 개인의 헌법상 기본권이며 이를 토대로 자신의 개인정보 처리 여부를 확인할 권리가 보장된다. 

 

이러한 권리가 인정됨에도 불구하고 왜 위 사안에서 이동통신 3사는 통신자료 제공현황의 공개를 거부했던 것일까? 이러한 물음에 대한 복잡다단한 법리 다툼은 제쳐 두고, 필자는 개인정보자기결정권의 행사와 관련해 벌어지는 사회적 통념에서 그 답을 찾고 싶다. 

 

필자의 생각으로는, 우리 사회에 만연한 기본권 경시 풍조가 이 모든 상황의 토대가 되는 것으로 보인다.

 

"내 개인정보가 뭐 그렇게 대단한 거라고, 기본적인 건 이미 여러 군데 뿌려져 있겠지", "큰 기업에서 공개 안 해주려는 것에는 다 그만한 이유가 있겠지", "수사기관이 비밀리에 수사하려면, 개인정보를 몰래 수집하는 건 당연한 거 아냐?", "개인정보도 좀 수집되고 이용되어야, 나중에 더 발전된 사회로 진입할 수 있지 않겠어?", "내 인적사항 몇 개 알려지는 것 보다, 수사기관이 범죄에 신속히 대처하는 것이 더 중요지 않냐?" 등등.

 

법원 "수사 편의보다 개인정보자기결정권 실현"

 

이러한 막연한 생각들에 대하여, 법원은 다음과 같이 판시했다.

 

"수사기관의 수사업무에 지장이 발생할 수 있다는 막연한 사정만으로 헌법 및 정보통신망법에 의하여 법적으로 보장되어 있는 정보주체의 개인정보자기결정권을 제한할 수는 없다."

 

"수사의 밀행성 보장은 수사의 편의를 위한 것인 반면, 통신자료제공 현황의 공개는 헌법상 기본권인 개인정보자기결정권을 실현하는 것이므로 보호가치가 더 크다고 볼 수 있다." 

 

필자는 개인적으로 이 부분에서 사이다(!)를 느꼈다. "막연한 사정" 또는 "수사의 편의"를 이유로 개인의 기본권을 당연히 제한할 수는 없다는 명쾌한 선언. 

 

사실 우리는 이 복잡한 사회를 살아가면서 수도 없는 가치 충돌 상황을 목도한다. 그럴 때마다 사회구성원 모두가 어떤 가치를 더 우선해야 하는지 함께 치열하게 심사숙고해야 한다. 

 

그럼에도 불구하고 우리는 역사적으로 많은 경우, 국가, 사회, 회사, 가족과 같은 공동체가 처할 막연한 위협 또는 막연한 이익을 이유로, 개인의 행복추구 내지 권리행사를 보류하라는 요구를 받아오지 않았나? 이번 사건은 그것이 더 이상 통하지 않는다는 단순한 논리를 일깨워줘서 고맙다.

 

이번 사안을 한 문장으로 축약해보면, "수사기관에 의한 기본권 침해 가능성에 대해 국가가 아무런 감시체계를 마련해주지 않았고, 보다 못한 개인이 나서서 자신의 기본권을 지키려고 한 것"이다. 그리고 결국 대법원은 그 개인의 손을 들어줬다.

 

이제는 국가가 나서서 사법적 감시체계를 구축해줘야 할 때이다. 국회 및 법원의 아무런 감시 없이 수사기관의 자료제공요청이 이루어질 수 있는 현 법률 및 관행에 대한 근본적인 변화가, 부디 머지 않은 미래에 이루어지길 기대한다.

 

 

참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다.
주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.

목, 2018/08/09- 15:42
153
0
개인정보 보호 관련 특례 조항에 반대하는시민사회 공동의견서 제출- ‘지역전략사업육성’ 명목 ...
수, 2016/11/23- 17:42
143
0

 

민간보험사에 국민건강정보 팔아넘긴 심평원을 규탄한다!

건강보험심사평가원(이하 심평원)이 지난 2014년 7월부터 2017년 8월까지 민간보험사 8곳을 비롯한 민간보험연구기관 2곳이 보험료 산출 및 보험상품 개발 등을 위해 요청한 ‘표본 데이터셋’을 건당 30만원의 수수료를 받고 총 52건, 6,420만 명분의 진료기록 정보를 팔아넘긴 것으로 확인됐다. 표본 데이터셋의 구성자료는 입원환자와 소아청소년환자, 고령환자 및 입원환자에 대한 진료 및 질환정보를 담은 상병내역과 진료내역, 원외처방내역 그리고 환자의 개인정보를 담은 일반내역을 포함하고 있다. 심평원으로부터 사들인 진료기록정보를 민간보험사들은 보험상품 연구 및 개발과 위험률 산출 등을 위해 환자들의 정보를 분석하여 영업 및 마케팅에 활용해 온 것이다.

심평원은 「국민건강보험법」제62조에 따라 “요양급여비용을 심사하고 요양급여의 적정성을 평가하기 위하여” 설립됐고, 이러한 근거에 따라 “주민등록·출입국관리·진료기록·의약품공급 등의 자료”를 수집 및 집적할 수 있다(동법 제96조). 그럼에도 불구하고 심평원은 공공의 기능을 수행하는 정부기관임을 망각하고 국민의 건강정보를 민간보험사의 이익창출을 위한 도구로 제공했으며, 민간보험사는 정부기관을 정보수집수단으로 이용했다. 정부기관이 공적인 목적을 위해 수집한 국민들의 개인정보를 상업적 목적을 위한 민간기업에 돈을 받고 팔았다는 사실에 국민으로써 분노하지 않을 수 없으며 정부에 대한 배신감과 불신으로 국민의 건강권과 복지증진을 위한다는 말은 더 이상 믿을 수가 없다.

심평원이 민간보험사에 제공한 정보는 진료행위와 처방의약품에 대한 내용을 비롯해 주/부상병에 대한 정보까지 전부 제공했으니 국민건강정보 모두를 제공한 것이나 다름없다. 민간보험사가 이러한 건강정보 빅데이터를 입수하기를 원하는 것은 궁극적으로 보험가입자의 건강정보를 파악해 보험가입 및 보험금 지급거절을 하기 위한 것이다. 그러므로 보험사가 이러한 빅데이터를 영업목적으로 위해 활용하게 되면 보험가입을 원하거나 이미 가입된 국민들에게 피해를 줄 수 있으며 건강권을 침해 할 수 있는 여지가 충분하다. 결과적으로 심평원의 이러한 행위는 보험사의 이윤만 보장해 주는 격이지 국민의 건강권 향상에는 전혀 이로운 점은 없다. 특히나, 진료내역에 희귀질환과 같이 재식별이 아주 용이한 질병정보까지 포함하고 있어 가장 민감한 개인질병정보를 민간보험사가 집적하고 있다는 사실은 위험한 일이 아닐 수 없다.

이번 사건을 두고 심평원은 빅데이터 제공근거로 「공공데이터의 제공 및 이용 활성화에 관한 법률」제3조의 4항 을 언급했다. 그러나 동법 제28조에 의하면 공공데이터의 제공중단사유로 ‘공공데이터의 이용이 제3자의 권리를 현저하게 침해하는 경우’를 명시하고 있으며, 국민건강보험공단도 민간보험사에 빅데이터를 제공하는 행위가 이에 해당한다고 보고 있다. 또한 「개인정보보호법」에서 규정하고 있는 ‘개인정보’에 대한 정의를 보면 해당 정보만으로 개인을 특정할 수 없더라도 다른 정보와 결합하여 쉽게 식별할 수 있는 정보도 개인정보로 보고 있다. 그러므로 보험사들이 그 동안 집적한 국민의 건강정보에 대한 데이터와 심평원에 제공한 빅데이터(특히 질병정보까지 포함)를 결합하여 가공처리 및 분석할 경우 재식별이 충분히 가능하다는 것은 분명하다. 게다가 현재 비식별조치 가이드라인은 개인정보에 대한 익명화가 아니라 가명정보까지 포함한 개념으로 쓰고 있고 충분히 추론 및 연계하여 식별이 가능하다. 이런 느슨한 제도적 상황에서 민간보험사에 대한 빅데이터 제공을 두고 ‘이용권의 보편적 확대’라는 어설픈 변명을 하는 심평원이 암호화 조치 등 충분한 비식별 조치를 했을지는 의문이다.

국민의 건강권 증진이라는 공적인 목적과 역할을 수행해야 할 심평원이 민간보험사에 건강정보 빅데이터를 팔아넘김으로써 민간보험사의 이윤창출의 조력자 역할을 하고, 국민의 건강정보보호에 대한 책임을 방기한 심평원의 행태는 규탄 받아 마땅하며, 보험사를 비롯한 민간기업에 국민의 건강정보를 제공하는 짓은 변명할 여지가 없는 중범죄임을 인식해야 한다. 심평원의 상위기관인 보건복지부가 이번 사건의 심각성을 인지하고 국민의 개인건강정보보호를 위해 제도적 조치마련을 위한 노력을 다해줄 것을 요구한다.

수, 2017/10/25- 16:43
138
0