http://www.peoplepower21.org/files/attach/images/37219/601/677/001/034f3... style="width:800px;height:600px;" />

 

국민 4천3백만 의료정보 유출·판매한 한국IMS헬스 사건

무죄판결에 대한 긴급좌담회

일시·장소 : 2020.2.25.(화) 14:00, 참여연대 2층 아름드리홀

 

배경 및 취지

• 지난 2/14 서울중앙지방법원은 '약학정보원(대한약사회 산하 재단법인)·한국IMS헬스·지누스'의 개인정보보호법 위반 혐의에 대해 형사재판 1심에서 무죄 선고를 내렸습니다. 


• 2015년 검찰은 약학정보원과 병원 청구소프트웨어 개발업체 지누스가 처방전, 진료기록에 담긴 개인의료정보를 불법수집하여 의료통계업체인 한국IMS헬스에 판매한 사건에 대하여, 약학정보원 전 원장 김대업(현 대한약사회장), 허경화 IMS헬스 전 대표 등 관계자들을 개인정보보호법 위반 혐의로 불구속 기소한 바 있습니다. 이들 업체는 정보주체의 동의 없이 4300만 명의 처방전, 수십 억 건에 달하는 개인의료정보를 무단으로 수집·판매하여 많게는 100억 원의 이익을 취했지만, 6년 여간 진행된 형사재판 끝에 재판부는 ‘개인의료정보의 보호’가 아니라 ‘기업의 이윤’에 손을 들어줬습니다.


• 지난 1/9 개인정보보호법이 국회를 통과하여 보건·건강정보를 정보주체의 동의 없이 상업적 활용이 가능하게 된 데 이어, 개인의료정보의 유출·판매에 대한 무죄판결이 이어짐으로써 개인의료정보의 상업화와 정보인권의 후퇴가 가속화될 가능성이 더욱 높아졌습니다. 이에 이번 판결의 의미와 한계, 의료정보 상업화와 개인정보보호법 개악이 초래할 문제들을 검토하고, 개인의료정보 보호를 위한 과제를 모색하기 위한 긴급좌담회를 진행합니다.

개요 

• 제목 : 국민 4천3백만 의료정보 유출·판매한 한국IMS헬스 사건 무죄판결에 대한 긴급좌담회


• 일시 : 2020.2.25(화) 오후 2시


• 장소 : 참여연대 2층 아름드리홀


• 공동주최 : 민주사회를 위한 변호사모임 디지털정보위원회, 보건의료단체연합, 진보네트워크센터, 참여연대


• 프로그램
  
  • 사회 : 이찬진 (참여연대 사회복지위원회 실행위원, 변호사)
  
  
  • 개인의료정보 유출·판매 사건발생 개요 : 오병일 (진보네트워크센터 대표)
  
  
  • 판결의 의미와 한계_서채완 (민변 디지털정보위원회 변호사)
  
  
  • 의료정보 상업화와 개인정보보호법 개악이 초래할 문제들_전진한 (보건의료단체연합 정책국장)
  
  


• 문의 : 참여연대 (02-723-5036, [email protected])

개악 개인정보보호법 후속 과제에 대한 시민사회 의견서 행정안전부에 제출

분야별 가이드라인 등 개인정보보호의 내용적 지침은 개인정보보호위원회 주도, 가명처리의 수준, 과학적연구 범위 등 모호한 규정에 대한 즉각 재개정 논의착수 등 개악된 법의 개인정보침해 위험 최소화하기 위해 방법 강구할 것 요구

 

오늘(2월 17일) 금융정의연대, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 보건의료단체연합, 서울YMCA 시청자시민운동본부, 연구공동체 건강과대안, 전국민주노동조합총연맹, 전국사무금융노동조합연맹, 진보네트워크센터 , 참여연대 등 10개 시민사회단체는 행정안전부(장관 진영)에 지난 1월 9일 국회를 통과한 개인정보보호법에 대한 의견서를 전달했다. 

 

우선 단체들은, 헌법적 권리인 개인정보자기결정권을 희생하여 정보주체 동의없이도 개인정보를 기업의 돈벌이 수단으로 판매할 수 있게 한 이번 개정 개인정보보호법에 반대함을 분명히 밝히고 개악된 법을 개정하기 위한 투쟁을 이어갈 것임을 천명하였다. 다만, 그동안 지적해 온 정보인권 침해가 가시화될 법시행일인 8월 5일 전에 가능한 선에서나마 개인정보 침해 위험을 최소화하기 위한 방안을 제시하기 위한 의견서를 행안부에 제출한다고 밝혔다. 

 

붙임1 : 개악 개인정보보호법 후속 과제에 대한 시민사회 의견서

보도자료 http://bit.ly/2P0EhbB" rel="nofollow">원문보기/다운로드

 

<개악 개인정보보호법 후속 과제에 대한 시민사회 의견서>

 

개인정보 주체의 권리 보호 장치 없애고 개인정보를 기업의 돈벌이 수단으로 전락시킨 개악 개인정보법은 반드시 재개정되어야 함

법 재개정 전 개인정보 피해 최소화하기 위한 의견

 

우선 시민사회의 반대에도 불구하고 충분한 토론 없이 국회에서 개인정보 3법이 졸속 통과된 것에 대해 심각한 유감을 표합니다. 우리는 이 법들의 재개정을 위해 투쟁할 것입니다. 다만, 개악된 법을 제대로 개정하기 전이라도 개인정보 침해 위험을 최소화하고 올바른 방향으로 개인정보보호법을 재개정하기 위하여 아래와 같이 의견을 제출합니다. 

 

1. 보호위원회는 기본권의 수호자로서 독립적으로 운영되어야 함 

○ 개정법에 따라 개인정보 보호위원회(이하 보호위원회)가 인사권 및 예산권을 갖는 독립적인 중앙행정기관으로 다시 설립될 예정임. 독립된 개인정보 보호위원회의 설립은 개인정보보호법 제정 이전부터 일관된 시민사회의 요구였음. 국제인권규범에서도 1990년 <유엔 전산처리된 개인정보파일의 규제 지침> 이래로 개인정보 감독기구들의 독립성을 요구하고 있음. 이는 독립적이고 전문적인 개인정보 감독기구야말로 개인정보 처리자로부터 정보주체인 국민과 소비자의 기본권을 보호할 수 있기 때문임. 갈수록 개인정보의 빅데이터 처리와 자동화된 의사결정으로 국민의 정보인권이 침해될 위험성이 커지는 시대에 권한이 강화된 보호위원회가 국민을 위해 자신의 존재 가치를 입증해야 할 때임. 

 

○ 국민들의 방대한 개인정보를 처리하고 있는 개인정보처리자로서의 공공기관 및 막강한 시장 권력을 가지고 있는 기업 등 민간의 개인정보처리자를 제대로 감독하기 위해서는 개인정보 감독기구의 독립성이 무엇보다 중요함. 독립적인 감독기구의 중요성은 개인정보보호법 개정 과정에서도 드러났음. 국가인권위원회가 개인정보보호법 개정안이 정보주체의 권리를 충분히 보호하지 못한다는 점을 지적하며 개선을 요구한 반면, 보호위원회는 개정안에 대한 개선 의견을 내지 못한 채 정부부처에 종속적인 모습을 보여주었음. 개정된 개인정보보호법에서 보호위원회의 독립성과 권한을 강화하였다고 하나, 보호위원회의 소속을 국무총리 산하로 격하하고 대부분의 업무에서 국무총리의 행정감독권(정부조직법 제18조)을 배제하지 않았다는 점에서 보호위원회의 독립성이 ‘실질적으로’ 보장될 수 있을지 시민사회는 우려하고 있음. 이러한 우려를 불식하고 보호위원회가 개인정보처리자들로부터 독립적인, 기본권의 수호자가 될 수 있도록 보호위원회의 모든 조직 구성원의 자각을 촉구함. 

 

○ 개인정보 보호위원회가 독립성과 전문성을 갖고 제 역할을 할 수 있기 위해서는 위원 구성이 매우 중요함. 개정안에서 위원회가 현직 공무원 위원을 포함할 수 있도록 하고 정보주체를 대변하는 시민사회단체 또는 소비자단체 추천 몫을 삭제한 것에 대해 시민사회는 우려를 표명한 바 있으며, 이에 대해 정부는 시민사회단체를 배제한 것이 아니고 ‘단체’에 포함된다고 설명해 왔음. 정부와 국회는 개인정보 보호에 대한 전문성과 신념을 가진 인사를 개인정보 보호위원으로 선임할 것을 촉구함. 더불어, 보호위원회는 상임위원 증원과 독임제 행정부처의 역할까지 갖추게 되었지만 합의제 위원회로서 국민을 대표하는 비상임위원들의 심의 의결권을 충분히 보장해야 함. 

 

○  이번 개정으로 개인정보 감독권한이 보호위원회로 일정하게 통합되었음에도 불구하고, 신용정보에 대한 감독은 여전히 금융위원회가 담당하고 있음. 개시인정보보호법과 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’) 간의 중복과 혼란 역 완전히 해소되지는 않았음. 시민사회 단체는 금융위원회의 개인정보 감독권한이 보호위원회로 조속히 통합할 수 있도록 보호위원회가 부처간 협의를 진행하고 제도를 정비할 것을 촉구함. 

 

2. 하위 법령 제정에 대한 의견 

 

(1) 내용적 지침은 보호위원회가 제정해야 함. 

 

○ 지난 2020년 1월 22일, 정부는 관계기관 합동 보도자료를 통해 “올 2월까지 시행령 개정안을 마련하고, 3월까지 고시 등 행정 규칙 개정안을 마련하며, 법 시행 시점에 분야별 가이드라인과 해설서 개정안을 발간”할 계획임을 밝혔음. 이는 중요한 내용적 지침들을 보호위원회의 설립 전에 기존의 정부부처가 정하는 것으로 보호위원회를 처음부터 무력화하는 것이나 다름없음. 

 

○ 시민사회는 행정안전부, 금융위원회, 방송통신위원회 등 기존 정부부처가 개인정보 보호에 대한 인식없이 개인정보 활용에만 매몰되어 왔다고 평가하고 있으며, 따라서 기존 정부부처가 만든 가이드라인을 신뢰할 수 없음. 관계 부처의 역할은 보호위원회 설립을 위한 시행령 제정에 한정되어야 하며, 분야별 가이드라인이나 해설서 등 구체적인 지침은 새로 설립되는 보호위원회가 국민들의 의견을 수렴하여 만드는 것이 바람직함. 

 

○ EU와의 GDPR 적정성 평가의 추진도 지금까지 독립적인 감독기구의 부재가 가장 큰 걸림돌이었던 만큼, 새롭게 구성된 보호위원회가 주체가 되어 추진하는 것이 바람직할 것임. 

 

(2) 보호위원회의 투명성 

 

○ 보호위원회는 투명하고 민주적으로 운영되어야 함. 이를 위한 조건으로 보호위원회의 회의록은 특별한 사유가 없는 한 홈페이지를 통해 공개해야 하며, 관심이 있는 사람은 누구나 회의를 참관할 수 있도록 보장되어야 함. 

 

(3) 가명처리의 수준  

 

○ 가명처리와 관련한 가장 큰 우려는 여전히 재식별의 위험성이 큼에도 불구하고 일부 직접 식별자만을 제거하는 정도의 개인정보 처리를 가명처리로 인정하는 것임. “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보”는 이미 개인정보의 정의에 포함되어 있고, 가명처리된 정보를 “원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”로 별도 규정한 만큼, 가명처리한 개인정보처리자가 아닌 제3자의 입장에서는 익명정보에 가깝도록 처리되어야 함. 

 

 1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

    가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

    나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.

    다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 ”가명정보”라 한다)

  1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.

 

○ 시행령 역시 기술중립적으로 작성되어야 하며 특정한 기술적인 방법을 시행령에 포함해서는 안됨. 

 

○ 한편 시민사회단체들은 여전히 개정 개인정보보호법 등이 가명처리만 하면 개인정보를 목적 외로 폭넓게 활용할 수 있는 반면, 정보주체의 권리를 전면 배제하고 있기 때문에 개인정보 보호의 관점에서 여전히 문제가 있다는 입장이며, 이는 가명처리의 기술적 수준과는 별개의 문제임. 즉, 안전조치로서 가명처리가 의미가 있기 위해서 관련 시행령에서 이를 규정하는 것과 별개로, 개정 개인정보보호법 등 개정 법률이 가진 근본적 하자를 치유하기 위해서는 법률이 재개정되어야 함. 

 

(4) 과학적 연구의 범위 

 

○ 개정 개인정보보호법 제2항 8호는 다음과 같이 과학적 연구를 정의하고 있지만, 그 범위는 명확하지 않음. 

 

8. “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다.

 

○ 특히 개정 개인정보보호법의 제안 이유에서 “새로운 기술, 제품, 서비스의 개발 등 산업적 목적을 포함하는 과학적 연구”라고 했기 때문에 시민사회는 기업 내부적인 상업적 연구까지 포괄하는 것에 대해 비판해왔음. 이에 대해 행정안전부는 과학적 연구가 기업에서 수행하는 모든 종류의 연구를 포함하는 것은 아니며, 또한 기업 간에 가명정보의 ‘판매’는 허용하지 않을 것이라고 공언해왔음. 

 

○ 따라서 개정 개인정보보호법이 의도한 ‘과학적 연구’의 범위는 구체적으로 어디까지인지, 개인정보처리자가 ‘연구’라고 주장하면 무조건 허용되는 것인지, 적절한 과학적 연구 여부에 대한 판단이 필요한지, 필요하다면 누가하는 것이 좋을 지 등에 대해 구체적인 지침을 제공할 필요가 있음. 

 

○ 특히, 서로 다른 개인정보처리자 사이에 가명정보를 제공할 경우에는 특정 개인정보처리자 내부에서 과학적 연구 및 통계 목적으로 처리하는 것보다 개인정보 침해 위험성이 커지는 바, 이 경우에는 보다 엄격한 조건이 필요함. 행정안전부는 기업 간에 가명정보의 판매는 허용하지 않겠다고 했는데 이를 어떻게 규율하겠다는 것인지 구체적으로 설명할 필요가 있음. 

 

○ 국가인권위원회 역시 2019년 11월 13일 "｢개인정보 보호법 일부개정법률안｣ 등 일명 ‘데이터 3법’ 개정에 대해 정보주체의 권리가 충분히 보호될 수 있도록 국회에서 신중을 기하여 논의할 것"을 권고하면서 "가명 개인정보의 활용범위를 보다 구체적이고 명확하게 규정"해야 한다는 의견을 표명한 바 있음. 

 

○ 시민사회는 비록 가명처리되었다고 하더라도 가명정보 역시 개인정보이므로 (가명처리된) 개인정보의 애초 수집 목적 외 이용은 정보주체의 권리를 일정하게 제한하게 되는 바, 과학적 연구가 정보주체의 권리 제한 이상의 사회적인 가치를 가져야 하며 따라서 “학술 연구”로 제한할 것을 제안한 바 있음. 비록 개정 개인정보보호법에서는 ‘과학적 연구’라는 개념을 사용하고 있으나  시민사회가 제안하는 취지를 고려한다면, 그 결과물이 사회에 공개, 공유되어 사회 전체의 지식 기반을 확대하는 데 기여하는 연구로 과학적 연구의 범위를 구체화할 필요가 있음. 

 

○ 한편 개정 신용정보법은 제32조 제1항 제9의2호에서 개인정보보호법과 달리 ‘과학적 연구’ 대신 ‘연구’라는 개념을 사용하고 있으며, “통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함”시키고 있음. 이러한 법률 조항의 내용은 그 자체로서 정당화되기 어려울 뿐만 아니라 개인정보보호법과의 일관성도 저해하는 만큼, 해당 조항을 뒷받침하는 방식으로 신용정보법에 대한 시행령이 제정되어서는 안 될 것임. 시민사회단체는 시행령 제정에 앞서 개정 신용정보법의 재개정을 우선적으로 고려할 것을 촉구함. 

 

(5) 합리적으로 관련된 범위와 관련된 고려사항 

 

○ 개정 개인정보보호법 제15조 3항 및 제17조 4항은 합리적으로 관련된 범위 내에서 정보주체의 동의 없이 개인정보를 이용 혹은 제공할 경우의 고려 사항으로 법에서는 ‘정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부’만을 언급하고 있으며 보다 구체적인 내용은 대통령령에 위임하고 있음. 

 

제15조(개인정보의 수집·이용)

③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.

 

 제17조(개인정보의 제공)

④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다. 

 

○ 참고로 EU GDPR의 경우에는 제6조 4항 양립가능한 처리의 고려사항으로 (a) 수집 목적과 의도된 추가처리 목적 간의 연관성; (b) 특히 정보주체와 정보처리자 관계의 맥락에서 개인정보가 수집된 상황; (c) 특히 개인정보의 성격이 제9조의 특정 범주의 개인정보의 처리 여부, 또는 제10조의 범죄경력 및 범죄행위와 관련한 개인정보의 처리 여부; (d) 의도된 추가처리가 정보주체에 초래할 수 있는 결과; (e) 암호처리(encryption) 및 가명처리(pseudonymisation) 등 적절한 보호수단의 유무를 제시하고 있음. 

 

○ 이 조항은 자칫하면 정보주체에게 동의를 받는 노력을 회피하는 데 악용될 우려가 있음. 따라서 해당 조항의 ‘수집 목적과 합리적으로 관련된 범위 내’는 매우 좁은 범위에서, 즉 정보주체가 납득할 수 있는 범위 내에서 엄격하게 해석되어야 함. 제정될 시행령은  분명하고 구체적인 기준을 규정해야 할 것임

 

○ 나아가 시민사회단체들은 근본적으로 위와 같은 조항이 정보 주체에게 초래할 위험을 충분히 고려하여 도입된 것인지 의문을 가지고 있음. 따라서 위 조항들이 시행령이 아닌 법률의 차원에서 재논의되기를 기대함. 

 

(6) 가명정보에 대한 안전조치

 

제28조의4(가명정보에 대한 안전조치의무 등) ① 개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관·관리하는 등 해당 정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 대통령령이 정하는 바에 따라 안전성 확보에 필요한 기술적․관리적 및 물리적 조치를 하여야 한다.

  ② 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위해 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 한다.

 

제28조의7(적용범위) 가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.

 

○ 제28조의4 1항은 가명처리되기 이전의 원래의 개인정보처리자만을 대상으로 한 것으로 해석될 수도 있는데(왜냐하면 “원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관·관리하는 등”이라는 문구가 있기 때문에), 가명정보를 제공받은 제3자 역시 개인정보처리자이고 당연히 안전조치를 취해야할 것임. 시행령에서 제3자의 안전조치 의무와 책임 역시 명시할 필요가 있음. 

 

○ 제28조의4 2항은 단지 ‘관련 기록의 작성 및 보관’ 의무만을 규정하고 있는데, 이 기록은 개인정보처리방침을 통해 공개되어야 함. 그래야 정보주체가 자신의 개인정보가 가명처리가 되었는지 여부 및 가명처리된 개인정보가 어떻게 이용, 제공되는지 알 수 있고, 이에 따라 자신의 권리를 행사할 수 있을 것임. 참고로 개인정보보호법 제30조 및 시행령 제31조에서 개인정보처리방침에 수록될 사항을 규정하고 있는데, 가명처리 역시 개인정보의 처리이므로 이에 포함되는 것임.. 

 

○ 제28조의7은 가명정보에 대해 제21조(개인정보의 파기)를 배제하도록 하고 있는데, 그 의미가 모호함. 과학적 연구 및 통계 등을 위해 가명정보가 이용될 경우 애초 수집 목적에 필요한 기간 이상으로 보관될 수는 있지만, 해당 과학적 연구 및 통계 작성이 완료되면 당연히 폐기되어야 함. 그렇지 않고 가명정보라고 해서 무한대로 보관할 수 있도록 한다면 정보주체의 권리가 침해될 위험성이 매우 커질 것임. 제28조의7에서 제21조를 배제한다는 의미가 모호한만큼, 시행령을 통해서라도 보다 명확하게 규정할 필요가 있음. 

 

(7) 가명정보의 결합 

 

○ 시민사회는 제28조의3 가명정보의 결합 조항에 반대해왔음. 이는 우선 과학적 연구의 범위가 지나치게 폭넓게 규정이 되어 영리적인 목적의 가명정보 결합까지 허용을 하고 있기 때문으로 사실상 2016년 박근혜 정부 당시 <개인정보 비식별조치 가이드라인>과 다를 바 없다고 보았기 때문임. 실제로 전 세계적으로 공공기관이 기업들 사이의 개인정보 결합을 지원하고 결합된 가명정보를 원 개인정보처리자에게 다시 제공하는 사례는 찾아볼 수 없음. 다만, 공공기관이 보유하고 있는 개인정보를 가명처리 및 결합하여 제한적으로 학술 연구자에게 제공하는 경우는 있으며 시민사회가 이에 대해서까지 반대하는 것은 아님. 따라서 비록 개인정보보호법에 제28조의3이 포함되었지만, 가명정보의 결합에 따른 개인정보 침해 위험을 최소화하기 위해 매우 엄격한 조건에서 시행되어야 함. 

 

제28조의3(가명정보의 결합 제한) ① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.

  ② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.

  ③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정 및 지정취소 기준·절차, 관리·감독, 제2항에 따른 반출 및 승인 기준・절차 등 필요한 사항은 대통령령으로 정한다.

 

○ 결합된 가명정보로부터의 재식별 위험성을 막기 위해, 가명정보의 결합에 관여하는 원 개인정보처리자들, 결합에 사용될 연계키의 제공자, 결합된 가명정보를 연구자에게 제공하는 기관이 서로 분리되어 있어야 함.  신뢰할 수 있는 제3자(Trusted Third Party)를 통한 연계 방식이 이를 위한 하나의 방법이 될 수 있음. 

 

○ 결합된 가명정보에는 폐쇄적인 안전시설 내에서만 접근 가능해야 하며, 가명정보 형태로 외부에 반출되어서는 안됨. 

 

○ 전문기관은 결합된 가명정보에 접근하는 연구자가 개인정보 보호에 대한 충분한 교육 및 훈련을 받을 수 있는 제도적 방안을 마련해야 함. 

 

 

○ 전문기관은 연구평가위원회를 구성하여 가명정보 결합의 목적이 과학적 가치가 있는지, 과도한 개인정보 침해의 위험성이 없는지, 해당 연구자가 개인정보보호에 대한 훈련을 받았는지에 대해 검토를 해서 허용 여부를 판단해야 함. 

 

○ 결합된 가명정보는 과학적 연구, 통계 작성 등 해당 목적을 달성한 후에 안전하게 폐기해야 함. 

 

○ 관련 기관 간의 데이터 전송 과정에서부터 안전시설 내의 데이터 보관까지 모든 과정에서 충분한 보안 조치가 취해져야 함. 

 

○ 가명정보 결합과 관련한 사실은 기록되고 정보주체가 알 수 있도록 공개되어야 함. (결합/연구의 목적, 원 데이터 보유기관, 결합 건수, 연구 기간, 연구 책임자 등 해당 연구와 관련된 정보 일체)

 

○ 보호위원회는 전문기관을 통한 가명정보 결합 과정에서 개인정보 침해 위험은 없는지  전문기관을 자문하고 감독해야 함. 

 

 

3. 개인정보보호법의 개정 필요성 

 

다음과 같은 측면에서 개인정보보호법의 재개정을 준비해야 함. 

 

(1) 법 해석상의 혼란 해소

 

○ 그동안 개인정보보호법, 정보통신망법, 신용정보법 등 개인정보 보호법제가 분산되어 있고 중복, 유사 규정으로 수범자의 혼란을 초래하고 있는 점에 대해 비판이 제기되어 왔음. 이번 개정을 통해 정보통신망법의 개인정보 규정은 개인정보보호법으로 통합되었음에도 불구하고, 여전히 이러한 혼란은 정리되지 않고 있음. 

 

○ 개인정보보호법은 기존의 정보통신망법 상의 유사규정을 개인정보보호법 내 관련 조항으로 통합하지 못하고 ‘정보통신서비스 제공자 등의 개인정보 처리 등 특례’로 처리함으로써 유사 조항 사이의 혼란은 해결하지 못하였음. 

 

○ 개인정보보호법과 신용정보법은 함께 개정되었음에도 불구하고 서로 다른 개념을 사용하고 있음. 예를 들어, 개인정보보호법은 ‘과학적 연구’라는 용어를 사용하고 있는 반면, 신용정보법은 ‘연구’라는 용어를 사용하고 있고 그 정의 조항이 없음. 또한, 신용정보법은 개인정보보호법과 달리 ‘익명처리’ 개념을 정의하고 있음. 함께 처리되었음에도 이러한 혼란을 해결하지 못한 것은 이 법들이 졸속적으로 통과되었음을 방증하는 것이라 할 수 있음. 어쨌든 서로 다른 법률 사이의 이와 같은 혼란을 조속히 해결할 필요가 있음. 

 

(2) 민감정보에의 적용 여부 명확화

 

○ 개정안의 ‘제3절 가명정보의 처리에 관한 특례’가 민감정보에도 적용되는지에 대해서도 논란이 있을 수 있음. 정부는 지금까지 민감정보는 특별한 보호를 필요로 하는 정보로서 제23조에 근거해서만 민감정보를 처리할 수 있도록 해석해 왔음. 예를 들어, 2016년 12월 발간된 <개인정보보호법 해설서>에서는 "제23조는 개인정보 처리에 관하여 특별한 규정이므로 제15조, 제17조 및 제18조 등 개인정보 처리에 관한 규정에 우선하여 적용된다. 따라서 민감정보의 경우에는 제23조 제1항 각호에서 정하는 예외 사유가 존재하는 경우에 한하여 처리할 수 있다."고 하고 있음. 가명처리도 처리의 하나이므로 민감정보에 대한 기존의 처리 원칙, 즉 23조에 근거해서만 처리한다는 원칙이 적용됨. 

 

○ 또한, 헌법재판소는 <건강보험 요양급여내역 제공 요청 및 제공 행위 등 위헌확인> 결정(2018. 8. 30. 2014헌마368_에서 "개인정보처리자가 민감정보를 제공하기 위해서는 개인정보 보호법 제23조 제1항에서 규정한 요건뿐만 아니라, 같은 법 제18조 제2항에서 규정한 요건까지 충족하여야 한다"고 보았음. 재판관 서기석은 별개의견으로 "민감정보의 처리에 관하여 규정한 ‘개인정보 보호법’ 제23조 제1항은 일반적인 개인정보의 제3자 제공에 관하여 규정한 같은 법 제18조 제2항의 특별규정이다. 따라서 개인정보처리자가 민감정보를 제공하기 위해서는 ‘개인정보 보호법’ 제23조 제1항에서 규정한 요건만 충족하면 족하고, 같은 법 제18조 제2항에서 규정한 요건까지 충족할 필요는 없다."고 해석하였음. 어떤 해석이든 헌법재판소 역시 민감정보는 제23조 제1항의 요건을 충족해야 한다고 보고 있음.  

 

○ 만일 제3절 가명정보의 처리에 관한 특례가 민감정보에도 적용된다면, 이는 민감정보에 대한 특별한 보호를 근거없이 완화한 것이 되며 이는 해외 사례에 비추어보아도 그 보호수준이 낮다고 할 수 있음. 대표적인 민감정보가 건강정보, 의료정보일 텐데 해외에서는 의료/건강정보의 연구목적 활용에 대해 별도의 법적 근거를 두고 있는 경우가 많음. 

 

○ 예를 들어, GDPR에서는 9조 특별범주의 개인정보처리(민감정보)에서 이를 별도로 규정하고 있고 회원국의 법에 근거가 있어야 한다고 규정하고 있음. 영국의 경우 보건의료 개인정보의 연구 목적의 이용을 위해 ‘국가보건서비스법(NHS Act 2006)’의

Section 251에 근거 규정을 두고 있음. 아이슬란드의 경우 건강분야 과학적 연구에 관한 법률(the Act on Scientific Research in the Health Sector, no. 44/2014)을 별도로 두고 있으며, 아일랜드의 경우 건강연구규정 2018(Health Research Regulation 2018)에서 건강연구와 관련된 거버넌스 및 안전조치 등을 구체적으로 규정하고 있음. 물론 건강연구에 대해서는 일반적인 과학적 연구에 비해 더욱 엄격한 안전조치를 요구하고 있음. 

 

○ 이와 같은 논리라면 우리나라도 23조에서 민감정보를 과학적 연구, 통계작성 목적으로 처리할 수 있다는 조항을 별도로 두고 의료법 등에서 건강정보를 과학적 연구 목적으로 활용할 경우의 구체적인 거버넌스나 안전조치 등을 규정하는 방안을 고려할 수 있을 것임. 만일 개인정보보호법에서 이를 명확하게 규정하지 않고 가명처리를 통한 의료정보의 활용을 강행할 경우에는 법적 분쟁을 야기할 가능성이 큼. 따라서 소모적인 논쟁을 방지하기 위해서는 개인정보보호법 및 의료법 등에서 건강정보의 과학적 연구 및 통계 목적 활용을 위한 구체적인 거버넌스 체제를 명확하게 규정하여야 할 것임. 

 

(3) 인공지능 등 신기술 환경에서 개인정보처리자의 책임성 강화 

 

○ 개정법 발의 전부터 정부가 공언해온 것처럼, 개인정보처리자의 책임성 강화 조항(예를 들어, 개인정보영향평가, Privacy by Design/by Default, DPO 제도 등), 프로파일링 등 정보주체의 권리 강화, 생체인식정보의 민감정보 포함 등 추가적인 개정이 필요함. 

 

○ 개인정보보호법은 반드시 재개정되어야 하고 개인정보보호법 개정안은 보호위원회 혹은 소수 전문가가 주도하는 것이 아니라 주요 이슈를 개방적으로 토론하고, 시민사회와 정보주체를 포함한  다양한 의견을 수렴하는 과정이 되어야 함. 끝.

 

2020년 2월  17일 

 

금융정의연대, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 보건의료단체연합, 서울YMCA 시청자시민운동본부, 연구공동체 건강과대안, 전국민주노동조합총연맹, 전국사무금융노동조합연맹, 진보네트워크센터 , 참여연대 

 

 

국회는 보험업법안, 신용정보법안,인터넷전문은행법안 처리 중단하라

정무위 개악 법안 처리 중단 촉구 기자회견

 

https://www.flickr.com/photos/pspd1994/49097911863/in/dateposted-public/" title="20191121_3개법안 처리중단촉구 기자회견" rel="nofollow">https://live.staticflickr.com/65535/49097911863_26ffc8f894_c.jpg" width="800" />

 

1. 취지 

 

내일(11/21) 정무위원회 법안심사 1소위에서는 보험업법 개정안, 신용정보법 개정안, 인터넷전문은행법 개정안을 논의하고 처리할 예정임. 그러나 보험업법 개정안은 개인이 사적으로 부담하는 보험료에 기초한 민간실손보험을 강화하는 내용으로 공적 건강보험 보장성 강화에 역행하는 것이며, 신용정보보호법 개정안은 개인신용정보를 정보주체의 동의 없이 기업의 돈벌이 수단으로 마음대로 사고팔겠다는 것임. 또한 인터넷전문은행법 개정안은 공정거래법 위반 등 범죄 전력이 있는 산업자본을 은행 대주주로 만들겠다는 내용을 골자로 하고 있음. 이에 참여연대는 국민의 기본권을 침해하는 내용의 법안 논의와 처리의 중단을 촉구하는 기자회견을 정의당(대변인실) 소개로 개최하고자 함.  

 

2. 개요

 

• 
  

  일시 : 2019. 11. 21. 목 13:30

  
  


• 
  

  장소 : 국회 정론관 

  
  


• 
  

  주최 : 참여연대

  
  


• 
  

  참가자
  - 소개 : 오현주 (정의당 부대변인)

  
  - 사회 : 이재근 (참여연대 권력감시국장)
  - 취지 : 박정은 (참여연대 사무처장)
  - 신용정보보호법안 등 데이터3법 개정 반대 이유 : 한상희 (참여연대 정보인권사업단장, 건국대 법학전문대학원 교수)
  - 인터넷전문은행법 문제점 : 김은정 (참여연대 경제노동팀장)
  - 보험업법 문제점 : 이경민 (참여연대 사회복지위원회 선임간사)


• 
  

  문의 : 참여연대 이경민 간사 (010-7266-7727 [email protected])

  
  

 

 

팩트체크 “데이터 3법, 왜 개인정보 도둑 법인가?”

개인정보보호법,신용정보법 개정안에 반대하나

일시 장소 : 2019. 12. 04.(수) 오전 10시, 참여연대2층아름드리홀

 

1. 취지와 목적

• 현재 국회 법제사법위원회에 계류되어 있는 개인정보보호법안, 신용정보보호법안과 국회 과학기술정보방송통신위원회에 계류되어 있는 정보통신망법(이하 개인정보3법안)에 대해 그동안 기업들은, 다른 나라에 비해 우리나라 개인정보보호규제가 너무 강해서 데이터산업이 활성화되지 못한다, AI 등 신기술 발전을 위해 개인정보를 마음대로 써야 하는데 규제가 완화가 안되어 이대로 가다간 데이터후진국이 된다, 가명처리하여 사용하므로 안전하다라고 주장하면서 법안 통과를 압박해 왔습니다.


• 그러나 기업들의 이와 같은 주장에 맞서 노동시민사회단체들은 이들 개인정보3법은, 가명정보라는 개념을 도입하여 정보주체의 동의없이 기업들이 활용할 수 있도록 하고 있는데, 가명정보는 언제든 다른 데이터와 결합하면 누구의 정보인지 식별이 되는 정보이므로 정보주체의 권리보호 등 안전장치가 반드시 필요하다 주장하고 있음. 개인정보3법 개정안들은 정보주체의 권리를 대폭 축소하고 있어 법안들이 이대로 국회에서 통과되면 안된다는 입장을 밝혀왔습니다. 


• 유감스럽게도 그동안 기업 측의 주장과 시민사회의 주장에 대해 제대로 된 토론의 과정이 없었음. 정부나 국회는 이 법안들이 통과되면 개인정보보호에 어떤 변화가 일어날 것인지, 어떤 대안이 가능한지 등등에 대해 사회적 논의를 한 바가 없었습니다.


• 두차례에 걸친 이른바 ‘해커톤’을 마치 기업과 시민사회와의 합의 과정인양 홍보하지만 실상은 기업측의 입장을 대변하는 전문가들 일색에 구색맞추기로 시민사회 몇 명을 끼워 넣은 것이란 비판을 받아왔음. 또한 그동안 언론보도도 기업측의 주장에 좀더 힘을 실어주는 기사가 대부분이었습니다.


• 이에 개인정보3법의 개악에 반대하며, 법안심사를 중단하고 지금부터라도 찬반의 입장을 경청하는 사회적 논의를 시작해 개인정보와 데이터활용의 균형을 맞추는 노력을 해야 한다고 주장해 온 노동시민사회는 아래와 같이 긴급 기자브리핑을 개최하여 그동안 기업측의 규제완화와 그 주장의 근거에 대해 시민사회의 입장을 밝히려고 합니다.

 

   2. 개요

• 제목 : [긴급기자브리핑] 팩트체크 “데이터 3법, 왜 개인정보 도둑 법인가?” 
  
  우리는 왜 개인정보보호법,신용정보법 개정안에 반대하나
  
   


• 일시 장소 : 2019. 12. 4(수) 오전10시-11시/ 참여연대 2층아름드리홀


• 주최 : 건강과 대안, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대


• 주요 순서
  
  • 참가자 소개 / 인사말
  
  
  • 개인정보 3법 개정에 대한 노동시민사회단체 입장 요약 발표
  
  
  • 개인정보 3법 개정 관련 기업 등의 주요 주장에 대한 팩트체크
  
  
  • 질의 응답
    
    
    * 팩트체크 항목은 기자브리핑 당일날 배포합니다.
    
     
  
  


• 문의 : 참여연대 정보인권사업단(이지은 간사  02-723-0666/이경민 간사 02-723-5056) 
  
  
   

원문https://drive.google.com/open?id=1f9lsLJyL44taiNrtkhaR58SbUHERIPxTZPEMlF... rel="nofollow">보기/다운로드

“개인정보3법 통과 이대로 안된다”

 

국회가 패스트트랙법안 중 검경수사권 조정과 관련된 법안들을 처리하기 위해 본회의를 9일 개최하면서 민생법안들도 함께 처리하겠다고 하였다. 이 민생법안들과 함께 법제사법위원회에 계류되어 있는 개인정보3법(이른바 데이터3법)도 통과시키겠다고 알려지고 있다. 

 

그동안 정보인권을 현행보다도 대폭 후퇴시키는 개인정보보호법·정보통신망법·신용정보법 개정안 등 개인정보3법안에 반대해 온 시민사회노동보건소비자운동단체들은 보호조치도 없이 오로지 정보활용에만 초점이 맞춰져 있는 입법에 강력한 우려의 의견을 제시하고 사회적 논의를 시작하자고 수차례 요청했다. 이대로 개인정보 3법이 통과된다면 지금과는 비교도 할 수 없는 규모와 유형의 데이터범죄, 정보유출 등의 피해가 국민들에게 돌아올 것이다. 

 

국회의 입법권은 국민을 위해 사용되어야 하는데 기업의 이윤을 위해 충분한 안전장치도 없이 정보주체의 권리를 일방적으로 희생할 것을 요구하는 것은 국민의 대표기관이 할 일이 아니다. 이에 시민사회노동건강소비자운동단체들은 국회 정론관에서 개인정보3법안의 처리 중단을 요구하고 최소한의 보호조치를 마련한 후 다시 논의할 것을 요구하는 긴급기자회견을 아래와 같이 개최하였다. 

 

이번 기자회견은 개인정보3법안이 정보활용과 정보인권의 조화를 이루는 방향으로 개정되어야 한다고 주장하며 입법활동을 해 온 바른미래당 채이배 국회의원의 소개로 진행되었다. 

 

https://www.flickr.com/photos/pspd1994/49354413283/in/dateposted-public/" title="SW20200109_기자회견_데이터3법논의중단촉구 (3)" rel="nofollow">https://live.staticflickr.com/65535/49354413283_96549d41e5_c.jpg" width="800" />

데이터 3법 처리중단을 요구하는 시민사회노동단체, 채이배 의원 <출처 : 참여연대>

 

<개요> 

• 제목 : “개인정보3법 통과 이대로 안된다” 시민사회노동건강소비자운동단체 긴급 기자회견 


• 일시 장소 : 2020. 01. 09(목) 9시 / 국회 정론관 


• 주최 :건강과 대안·경제정의실천시민연합·무상의료운동본부·민변 디지털정보위원회 민주노총 사무금융노조·서울YMCA·소비자시민모임·의료연대본부 진보네트워크센터·참여연대·한국소비자연맹·함께하는시민행동


• 소개 : 바른미래당 채이배 국회의원


• 참가자 
  
  이재진 위원장 (민주노총 사무금융노조)
  
  한상희 정보인권사업단장 (참여연대)
  
  전진한 정책국장 (보건의료단체연합)
  
  정지연 사무총장 (한국소비자연맹)
  
  김보라미 소비자정의센터 운영위원 (경실련)


• 문의 :  경실련 윤철환 정책실장 010-3459-1109, 진보네트워크센터 희우 활동가 02-774-4551, 무상의료운동본부 김재헌 국장 010-7726-2792, 참여연대 정보인권사업단 이경민 간사 02-723-5056, 이지은 선임간사 02-6712-5285, 보건의료단체연합 전진한 정책국장 010-9699-8840 
  

   

  
  

국민기본권 침해하는 개인정보 3법 처리 중단하라

개인정보(데이터) 3법은 민생법안이 아니라 ‘개인정보 도둑법’이다

동의 없는 개인정보 활용과 개인정보 거래허용

안전장치 부재, 반쪽 개인감독기구

 

오늘(1/9) 국회 본회의에서 검경 수사권 조정 법안과 민생법안 처리될 예정이다. 이에 앞서 본회의 상정을 위해 법사위를 열어 개인정보 3법(개인정보보호법·정보통신망법·신용정보법 개정안_산업계와 정부 여당은 데이터 3법이라 부르고 있지만 개인정보 처리에 관련된 법률들로 개인정보 3법으로 불러야 마땅하다)을 처리할 예정이다. 지난 7일 이인영 더불어민주당 원내대표는 “데이터 3법은 산업 현장의 요구가 절박하다”며 법사위에 계류 중인 민생법안을 강조하며 개인정보 3법 처리를 압박했다. 그동안 정부와 국회는 개인정보 3법을 4차 산업혁명과 경제혁신을 위해 반드시 통과되어야 한다며, 민생법안으로 포장해 국민과 언론을 속여왔다.

 

우리 사회는 주민번호를 중심으로 금융, 의료, 건강, 통신, 유통 등 서로 다른 개인정보가 촘촘하게 연계되어 개인을 감시하고 추적해 왔다. 이로 인해 인권침해와 끊이지 않는 대규모 개인정보 유출, 불법 스팸, 보이스피싱 등 국민의 피해는 심각했다. 반면 개인의 권리를 지킬 집단소송법 등 피해구제 제도 부재와 국민을 지켜야 할 사법부의 판단은 기대 이하였다.

 

개인정보 3법이 본회의를 통과하면 개인정보 수집 처리 이용에 대한 전반적인 변화와 정보 주체인 국민의 권리 축소는 불가피하다. 개인정보 3법은 '상품구매나 서비스 이용’이 아닌 ‘개인정보 거래’가 목적이 되는 개인정보 체계의 근간을 바꾸는 중대한 사안임에도 사회적 합의 없이 일방적으로 기업측 요구에 호응하며 추진되어 왔다. 이제 얼마 남지 않은 20대 국회에서 마치 민생 법안인양 국민을 호도하며 통과를 서두르고 있다.

 

개인정보 3법의 내용을 보면 정보 주체인 국민 동의 없는 개인정보 상업적 활용과 서로 다른 기업 간의 개인정보 결합, 개인정보 거래허용 등 정보활용에 초점이 맞춰져 있다. 기업들이 가명처리된 고객정보를 정보주체의 동의 없이 판매, 공유, 결합할 수 있도록 제한 없이 허용함을 물론, 정부가 나서서 개인 신용정보 및 공개된 소셜미디어 정보들의 거래를 허용하고 활성화해 새로운 시장을 만들겠다는 발상은 세계에서 유래를 찾아볼 수도 없다.

 

반면 안전장치는 거의 전무하고 개인정보 감독기구의 역할은 반쪽에 불과하다. 유럽연합(EU)의 개인정보보호규정(GDDR)을 차용하면서도 GDPR에서 보호의 장치로 마련된 프로파일링에 대한 영향평가 의무나, 프로파일링에 대하여 개인이 행사할 수 있는 권리도 대부분 빠져있다. 개인정보 감독기구인 개인정보보호위원회가 금융위의 개인 신용정보, 복지부의 개인 의료정보 등은 권한을 제대로 미치지 못한다.

 

개인정보 3법은 기업의 이익을 위해 국민기본권을 침해하고, 민생법안으로 포장한 채 우리 사회가 지켜야 할 최소한의 기준과 원칙마저 경제적 논리로 훼손하는 ‘국민기본권 제한법’이자 ‘개인정보 도둑법’에 불과하다. 그동안 우리 시민사회단체들은 개인정보 규제 완화를 하더라도 보호조치가 없는 입법에 강력한 우려의 의견을 제시한 바 있다. 이대로 개인정보 3법이 통과되어 정보활용만이 중요한 가치로 인식된다면, 개인정보보호에 대한 사회적 혼란은 더 극심할 것이다. 우리 국민 주민번호는 전 세계 '공공재'라는 자조섞인 평가를 잊었는가? 이번 개인정보 3법 통과는 이후 또 다른 불필요한 사회적 비용과 혼란을 초래할 것임은 자명하다. 개인정보 3법이 통과되더라도 정부가 예상하는 것과 같은 신성장 기술·서비스 개발에 큰 보탬이 될지는 불분명하다.

 

국회의 입법권은 국민을 위해 사용되어야 한다. 사기업의 이윤을 위해, 그것도 충분한 안전장치도 없이 정보주체의 권리를 일방적으로 희생할 것을 요구하는 것은 국민의 대표기관이 할 일이 아니다. 적어도 정보인권과 정보활용의 균형을 맞추는 노력은 해야 하지 않겠는가?. 문재인 정부와 국회는 개인정보 3법 처리 시도를 즉각 중단하고, 최소한의 보호 규정이라도 마련한 후 입법화하여야 할 것이다. 국민들의 정보인권을 보호하는 역할을 정부와 국회가 포기하지 않기를 희망한다.

  

2020년 1월 9일

건강과 대안·경제정의실천시민연합·무상의료운동본부·민변 디지털정보위원회·민주노총 사무금융노조·서울YMCA·소비자시민모임·의료연대본부·진보네트워크센터·참여연대·한국소비자연맹·함께하는시민행동

국회에서 개인의 건강정보를 동의없이 사용할 수 있도록 하는 개인정보보호법 개정안, 건강보험 보장성 강화에 역행하는 보험업법 개정안, 영리병원을 법적으로 허용하는 보건의료기술진흥법 개정안이 논의될 예정입니다. 문제는 관련 법안이 의료를 영리화 하는 것이며, 여야 이견이 없어 통과될 가능성이 크다는 것입니다.

 

이에 오늘(11/12) 무상의료운동본부는 국회 앞에서 문재인 정부가 추진하고자 하는 의료영리화법 반대 기자회견을 열었습니다. 시민 여러분의 관심을 부탁드립니다. 

 

https://www.flickr.com/photos/pspd1994/49053037661/in/dateposted-public/" rel="nofollow" title="SW20191112_기자회견_의료영리화법반대 (2)">https://live.staticflickr.com/65535/49053037661_0841ed8cc0_c.jpg" width="800" />

 

[기자회견문] 

개인의료정보 기업에 팔아넘기고 의료비 폭등시킬,

20대 국회 막바지 의료민영화 법안 대거 통과 시도 중단하라

개인의 민감한 의료정보 등 기업에 팔아넘기려는 개인정보보호법 개악 중단하라

실손보험사에 환자 의료정보를 손쉽게 넘기려는 보험업법 개악 중단하라

전국의 병원을 '영리병원'화 할 보건의료기술진흥법 개악안 폐기하라

생명, 안전 파괴 의약품, 의료기기 규제완화 대전, 충북 규제자유특구 지정 중단하라

 

 

국민들이 오랫동안 반대해왔던 의료민영화 정책들이 국회 통과를 앞두고 있다. 개인의 건강, 의료정보를 기업에 넘기는 개인정보보호법 개악안은 불과 이틀 후인 14일 행정안전위원회 법안심사소위 통과 가능성이 높다고 알려진다. 환자 의료정보를 민간보험회사에 손쉽게 넘기는 보험업법 개악안도 19일 정무위원회에서 다뤄질 예정이다. 전국의 병원을 영리병원으로 만드는 보건의료기술진흥법 개악안도 이 달 보건복지위원회에서 다시 추진될 것으로 우려되고 있다.

 

환자 개인건강정보를 보험사 등 민간기업 돈벌이를 위해 팔아넘기고 병원을 영리병원으로 만드는 데에 문재인 정부와 더불어민주당, 자유한국당, 바른미래당이 이견이 없다는 게 문제다. 이 중 가장 적극적인 것은 정부다. 대통령 자신이 지난 시정연설에서 4차 산업혁명의 핵심이라며 '데이터'와 '바이오헬스' 규제완화를 지시했고, 홍남기 부총리, 김상조 청와대 정책실장, 박영선 중소벤처기업부 장관 등이 모두 나서 개인정보 규제개악을 요구하고 있다. '혁신'이나 '4차 산업혁명'으로 포장하고 있지만, 박근혜 적폐 개인정보 규제완화 시도와 판박이다. 병원에 영리자회사를 만드는 정책도 마찬가지로 박근혜 정부가 추진했던 대표적 의료민영화다. 그 내용이 담긴 보건의료기술진흥법 개정안은 자유한국당 의원들이 공동발의했지만 정부가 '바이오헬스 산업 혁신전략' 핵심으로 내세우고 있을 정도다. 보수양당들을 중심으로 의료 민영화에 여야가 없다.

 

그뿐인가? 오늘 이낙연 국무총리 주재 특구위원회에서 대전과 충남 규제자유특구 지정 결과를 발표한다. 의료기기와 의약품 규제를 완화해 환자에 대한 안전장치를 없애고 돈벌이를 시켜달라는 기업들의 요구에 정부가 화답할 예정이다. 지난 해 국회에서 박근혜 적폐라던 국민안전 파괴 '규제프리존법'(현 규제샌드박스)을 통과시켜 이를 활용해 원격의료를 추진하고, 의료기기, 의약품 규제완화를 추진하고 있는 게 현 정부와 더불어민주당이다.

우리 노동, 시민사회단체들은 의료민영화가 결단코 통과될 수 없음을 국민들의 힘을 모아 또다시 보여줄 것이다. 우리는 이 자리에서 국회가 개인정보보호법 개악을 비롯한 의료민영화 법안들 모두를 전면 폐기할 것을 촉구한다.

 

첫째, 개인의 민감한 의료정보 등 기업에 팔아넘기려는 개인정보보호법 개악 중단하라.

 

정부가 개인정보보호법을 개정하려는 이유는 지난 5월 '바이오헬스 산업 혁신전략'에서 직접 밝힌 바 있다. 기업들을 위해 "공공기관(건강보험공단‧심사평가원 등)이 보유한 의료 빅데이터를 가명처리 후 개방‧활용"시켜주기 위해서라고 한다. '가명처리' 한다고 하지만 방법이 대통령령으로 위임돼 그 구체적 수준을 담보하지 못하고 있다. 게다가 어떤 방식의 가명처리를 한다 해도 의료정보와 건강정보는 다른 정보와 결합 시 그 개인이 누군지 알기 쉬운 정보다. 법은 기업에게 이런 정보를 개인들 동의도 없이 상업적 목적으로까지 활용할 수 있게 한다.

 

우리는 이미 비슷한 일을 목도한 바 있다. 2014년~2017년 공공기관인 심사평가원이 3년간 KB생명보험 등 8개 민간보험사 등에 누적 6420만 명분의 국민 진료데이터를 데이터셋 건당 30만 원에 팔아넘긴 것이 폭로돼 분노를 샀다. 그런데 개악 법안은 아예 이것을 합법화해주겠다는 것이다. 당시 민간보험사가 개인 의료정보를 원하는 이유는 분명했다. 심평원은 민간보험사 "위험률 개발과 보험상품 연구 및 개발"을 위해 이 정보들을 내줬다고 밝혔다. 보험사는 수익률이 낮을 것으로 예상되는 환자의 신규 보험 가입이나 계약 연장을 거부하고, 개인의 건강ﾷ의료 기왕력 등을 내세워 보험금 지급을 거절할 목적으로 진료정보들을 사들인 것이다.

 

정부는 최근에 민간보험사가 직접 나서 의료행위를 할 수 있는 의료민영화인 건강관리서비스를 허용했는데, 보험사는 이런 정보를 이용해 국민들의 호주머니를 노리는 상품을 만드는 데도 활용할 수 있다. 보험사뿐 아니다. 아산병원은 진료 목적으로 제공된 환자 정보를 이용해 의료정보회사를 세우겠다고 발표했다. 박능후 복지부 장관은 이를 규제하겠다고 했지만, 실제 개인정보보호법이 정부 뜻 대로 개악되면 규제는커녕 이를 합법화하게 될 것이다. 이것이 바로 개인정보 규제완화의 실체, 의료영리화를 위한 개인정보인권 보호법제 파괴다.

 

의료와 관계 없는 온갖 영리기업들도 임신, 분만, 유산, 성폭력 피해, 정신질환 치료정보, 가족력이나 유전병 등 민감한 정보에 접근할 수 있게 된다. 기업들은 이 정보들을 결합ﾷ가공해 팔아 수익을 내거나, 고용 상 불이익을 줄 수 있고 예측하기 어려운 여러 방식으로 활용할 수 있다. 정보들은 보이스피싱 등 사기에 활용될 수도 있다. 누군가에게는 '혁신적'인 돈벌이 창출이 되겠지만 국민들은 우리의 모든 민감정보를 쥔 돈벌이 기업의 손바닥 위에서 놀아나게 될 것이다.

 

이런 개인정보 인권 침해가 국회에서 버젓이 추진된다는 사실을 국민들 다수가 제대로 안다면 경악하며 반대할 것이 분명하다. 국회는 당장 개인정보보호법 개악을 멈춰야 한다.

 

둘째, 실손보험사에 환자 의료정보를 손쉽게 넘기려는 보험업법 개악을 중단하라.

 

이 법은 가입자들의 편의 증진으로 소액보험료 청구율을 높이기 위해 추진되는 것이 아니다. 그렇다면 실손보험사들이 왜 찬성하겠는가? 보험사가 의료기관의 환자 정보를 더 자세히, 대량으로, 전산 형태로 전송받는 것이 목적이다. 법은 의료기관이 실손보험사에 제출할 정보 전송방식은 전자적 형태로 강제하면서도 구체적 정보에 대해서는 "금융위원회가 정하여 고시하는 서류"(고용진의원 안)라고 하거나, "대통령령으로 정한다"(전재수의원 안)며 위임하고 있다. 민감정보인 환자 개인 건강정보ﾷ질병정보 일체가 손쉽게 넘어갈 길이 열릴 수 있다.

 

보험사가 환자 정보를 더 구체적으로 확보하려는 것은 앞서 밝혔듯 가입거절이나 지급거부 등에 활용하기 위해서다. 보험사가 환자 자료를 축적해 분석하면 가입자에게는 기본적인 위험분산 기능도 거의 없는 기업 수익성만이 극대화된 상품만을 설계해 내놓을 수도 있다. 국민들에게 결코 이익이 아니다. 게다가 전자전송 방식은 해킹과 유출 위험에도 취약한 방식이다.

 

고용진의원 안은 심평원이 전자전송 업무를 담당하도록 하는데, 대부분의 예산이 국민의 건강보험료로 운영되는 공공기관의 기능이 민간보험 이익을 위해 활용되는 것은 매우 부적절하다. 전재수의원 안처럼 심평원이 아닌 제 3의 중계기관이 업무를 수행하게 해도 신뢰를 담보하기 어렵고 악용 위험이 있다는 점에서 우려는 마찬가지다. 법안에 중계기관의 자격 조건도 명확하지가 않다는 점이 이 법이 환자 정보보호에 관심이 없다는 것을 보여주고 있다.

 

셋째, 전국의 병원을 '영리병원'화 할 보건의료기술진흥법 개악안 폐기하라.

 

법안의 핵심은 비영리병원에 주식회사인 기술지주회사와 영리회사인 자회사를 설립하도록 허용하는 것이다. 영리자회사가 외부 투자를 받고 이익 배당을 하면 병원은 영리병원과 다름없게 된다. 그래서 2007년에 삼성경제연구소가 영리자회사 설립이 "영리의료법인 허용의 전단계"라고 쓴 것이다. 외부 투자자가 기술지주회사 주식의 50%까지 보유하고, 영리자회사 주식 80%까지 보유할 수 있게 하겠다고 한다. 외부 투자자는 삼성, 현대, LG같은 재벌도 가능하고 사모펀드 같은 단기수익성 투기자본도 가능하다. 재벌과 자본에 의해 의료가 지배되는 것이다.

 

이런 자회사는 '연구중심병원'에 허용되는데, 연구중심병원은 현재 빅5 병원 중 4개인 삼성서울병원, 서울아산병원, 세브란스병원, 서울대병원 등이 포함된다. 현재는 10개 병원만이 지정돼 있지만 이 법이 통과되면 연구중심병원은 인증제로 전환돼 대폭 늘어나게 된다. 즉 삼성, 아산 재벌병원 등 대형병원을 중심으로 전국의 모든 병원을 영리병원화 할 수 있게 된다.

 

게다가 이 법은 환자ﾷ공공의 이익과 의학연구자, 임상의사 개인의 사적 이해관계가 서로 충돌하는 '이해상충'을 구조화한다. 법이 통과되면 병원이 영리회사인 기술지주회사, 자회사의 수익을 배당받아 연구자에게는 별도로 금전적 보상을 할 수 있게 되고, 병원 직원은 기술지주회사와 자회사 대표나 임직원을 겸직할 수도 있게 된다. 병원의 의료진이나 연구자가 사실상 자회사를 설립, 운영하면서 이윤을 배당받게 하는 것이다. 이는 의사들이 임상시험 결과를 왜곡, 상품화해 수익 창출을 하려는 동기를 갖게 하고, 임상시험 과정에서 피험자 생명과 건강이 위협받게 한다. 의사가 자회사에서 만든 제품을 사용할수록 경제적 이익을 얻으므로 과잉진료가 횡행해 환자들은 불필요한 검사와 치료로 피해를 겪고 의료비도 폭등하게 될 것이다.

 

넷째, 생명, 안전 파괴 의약품, 의료기기 규제완화 대전, 충북 규제자유특구 지정 중단하라.

 

대전시가 신청한 체외진단기기 신의료기술평가 유예는 환자에게 위험하다. 정부는 체외진단기기는 안전하다는 말을 되풀이하며 규제를 완화해 왔는데, 이는 국민을 완전히 우롱하는 것이다. 제대로 평가받지 않고 도입된 진단기기가 오진을 일으킬 수 있는데 어떻게 환자가 안전하다는 말인가? 대전시가 한 술 더 떠 정부 방침보다도 더 쉽게 평가 없이 진단기기를 병원에 도입하겠다는 것은 분노할 일이다.

 

충청북도가 NK세포 치료제를 임상 1상만으로 통과시켜달라고 신청한 것도 눈을 의심하게 만든다. NK세포는 전 세계적으로 허가 사례가 없는 치료제인데, 소수의 건강한 사람을 대상으로 기본적인 안전성과 내약성 정도를 검증하는 임상 1상만으로 허가하는 것이 말이 되는가? 대전과 충북의 더불어민주당 지자체장과 이런 정책 추진의 원조인 문재인 정부는 환자를 '마루타'로 생각하고 있는 것인가?

 

이낙연 총리가 주재하는 특구위원회는 오늘 오후 대전과 충북의 생명, 안전파괴 특구신청을 탈락시키는 상식적 판단을 내려야 한다. 규제자유특구법으로 강원도에 원격의료 시범사업을 허용한 것과 같은 잘못을 또다시 반복한다면 국민들의 강한 비판에 직면할 것이다.

 

또 문재인 정부는 스스로 박근혜 적폐라고 불렀던 규제프리존법의 다른 이름일 뿐인 규제샌드박스 규제완화 법안들을 즉각 폐기해야 한다. 생명ﾷ안전과 무관하다던 기존 주장과 달리 버젓이 환자 안전을 위협하는 의료민영화 정책의 통로가 되고 있다.

 

이 정부가 추진하고 있는 개인정보 민영화와 병원 영리화, 의료기기, 의약품 안전규제 완화는 박근혜 정부 의료민영화와 다를 바 없이 그야말로 내용이 똑같다. '창조경제' 대신에 '혁신성장'이라는 이름표를 붙였다는 것과, 더불어민주당이 야당이었을 때는 의료민영화라며 반대했지만 지금은 자유한국당 등과 뜻을 함께하며 통과에 앞장선다는 차이만이 있을 뿐이다.

 

기업으로서는 국민들이 돈이 없어도 반드시 이용할 수밖에 없는 필수적 재화인 의료를 활용하고, 환자들이 전문적 지식이 부족하다는 점을 악용해 돈벌이를 하려는 부당한 동기를 가질 수 있다. 하지만 정부는 이를 규제하고 국민의 안전을 지켜야 하지 않을까? 아직 많은 국민들이 정부가 이런 역할을 하기를 바라고 있을 것이다. 반대로 정부가 정치적 프레임과 미사여구를 동원해 기업 민원수리와 규제완화에만 앞장서고 있다는 사실이 제대로 알려진다면, 이 정부의 폭주를 내버려 둘 국민은 없을 것이다. 우리는 문재인 정부 후반기 기업만을 위한 종합선물세트 의료민영화 법안을 폭로하고 끝까지 막아낼 것이다.

 

2019년 11월 12일

의료민영화 저지와 무상의료 실현을 위한 운동본부

가난한이들의 건강권확보를 위한 연대회의, 건강권실현을 위한 보건의료단체연합(건강사회를 위한 약사회, 건강사회를 위한 치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회), 건강세상네트워크, 기독청년의료인회, 광주전남보건의료단체협의회, 대전시립병원 설립운동본부, 한국의료복지사회적협동조합연합회, 건강보험하나로시민회의, 전국민주노동조합총연맹, 한국노동조합총연맹, 전국보건의료산업노동조합, 전국공공운수노조, 국민건강보험노동조합, 전국의료산업노동조합연맹, 전국농민회총연맹, 한국농업경영인중앙연합회, 전국여성농민회총연합, 전국여성연대, 빈민해방실천연대(민노련, 전철연), 전국빈민연합(전노련, 빈철련), 노점노동연대, 참여연대, 서울YMCA 시민중계실, 천주교빈민사목위원회, 참교육을 위한 전국학부모회, 평등교육 실현을 위한 전국학부모회, 사회진보연대, 노동자연대, 장애인배움터 너른마당, 일산병원노동조합, 학교급식전국네트워크, 약사의미래를준비하는모임, 성남무상의료운동본부, 건강보험심사평가원노동조합

---

 

보도자료 https://drive.google.com/file/d/16y0mA7wylLUBHREY0PWUmfxvabEvMDQN/view?u... rel="nofollow">[원문보기/다운로드]

 

노동시민사회 공동 긴급 여론조사 결과, 국민 80.3% 가명정보 동의 없이 기업간 제공 반대

국민 81.9%, 개인정보보호법 개정 추진 사실 자체를 몰라

의료·건강 등 민감정보 가명처리후 비동의 수집·활용 70.5% 반대

경제발전 명분 정보인권 포기 불가 66.7%, 2030세대는 77%

 

시민사회단체가 의뢰해 실시한 긴급 여론조사 결과 국민의 다섯 중 넷 이상이(81.9%) 개인정보보호법 개정이 추진되고 있다는 사실 자체를 잘 모르고 있는 것으로 나타났습니다. 알고 있다고 응답한 응답자는 18.1%에 불과했습니다. 오늘(11/13) 무상의료운동본부, 민주노총, 민주사회를위한변호사모임디지털정보위원회,진보네트워크센터, 참여연대 등 노동·의료·시민단체가 11월 14일 개인정보보호법안의 국회 행안위 법안심사소위 심사를 앞두고 지난 10일 긴급 실시한 여론조사 결과를 발표했습니다.  

 

이번 여론조사는 문재인 정부가 혁신경제를 내세우며 개인정보보호법안 등http://www.peoplepower21.org/PublicLaw/1663821" rel="nofollow"> 데이터3법(개인정보보호법, 정보통신망이용촉진및정보보호에관한법률, 신용정보보호법)의 개정을 적극 추진하면서도 국민일반의 여론을 살피고 동의를 구하는 과정을 거치지 않았다는 지적을 해 온 노동·의료·시민단체가 직접 국민일반의 개인정보보호법 개정에 대한 여론을 확인하기 위해 실시했습니다.

 

여론조사 결과, 포털, 통신 보험 등 기업들이 고객 정보를 제대로 보호하고 있지 않다고 답한 응답자가 전체의 59.4%로 불신이 상당함을 보여주었습니다. 또한, 데이터3법에서 가장 문제로 지적되고 있는 가명정보의 활용에 대해서도 절대다수(80.3%)가 동의없이 수집,이용하는 데 반대했습니다. 특히 질병정보, 의료정보를 포함한 민감정보를 가명처리해 동의없이 수집,이용하는 것에도 70.5%가 반대했습니다. 뿐만 아니라, 데이터산업과 경제발전을 위해 개인정보보호와 관련된 권리 일부라도 포기할 수 있느냐는 질문에는 66%가 넘는 응답자가 불가능하다고 응답했습니다. 20,30대 응답자의 77% 이상이 불가능하다고 답하는 등 특히 20,30대 응답자의 부정적 응답비율이 평균보다 월등히 높았습니다. 

 

개인정보보호법은 국가 개인정보보호의 기본 원칙을 제시하기 위해 지난 2011년 이명박 정부하에서 어렵게 제정된 이후 카드3사 고객정보대량 유출 사고 등 개인정보유출사고가 발생할 때마다 조금씩 보완하면서 현재에 이르게 되었습니다. 개인정보보호법도 시대에 맞게 개선되어야 한다는 데는 이견이 없습니다. 그러나 충분한 사회적 합의과정 없이 데이터 산업 육성에만 방점을 찍는 데이터3법이 통과된다면 이후 감당해야 할 사회적 비용과 혼란, 불신은 상상하기 어렵습니다.

 

현재 국회에서 심사 중인 데이터3법은 개인정보보호법 체계의 기본 틀을 바꾸는 중차대한 사안임에도 개정안 마련을 사실상 주도한 정부는 공청회 등 국민여론을 수렴하는 절차를 거치지 않았습니다. 정부는 물론 더불어민주당을 비롯한 여야 정당들은 데이터 3법의 국회 처리를 중단하고, 사회적 논의를 다시 시작해야 합니다.

 

▶ https://drive.google.com/file/d/1fWcscSG1SqXoGGn2hsrwpXOYLc0Q90wP/view?u... rel="nofollow">여론조사 결과보고서 보기(pdf)

▶ https://infogram.com/3-1h0n25vjwydz6pe?live" rel="nofollow">주요 결과 요약 보기(인포그래픽)

※ 이번 조사는 여론조사전문기관인 서든포스트_(주)포스트데이터에 의뢰해 전국에 거주하는 만 19세 이상 성인 남녀를 대상으로 유·무선 RDD (무작위 임의걸기) 방식에 의한 ARS 여론조사(유선 20%, 무선 80%)로 진행되었다. 인구비례에 따른 성·연령·지역별 할당 무작위 추출방식으로 1,000명의 표본을 추출, 성·연령·지역별 가중값 부여방식으로 오차를 보정했으며, 가중방법은 림가중, 신뢰수준 95%에서 최대허용오차 ±3.10%point, 응답률은 4.4%, 조사시간은 2019년 11월 10일(일) 하루이다.

---

기업이 내 동의 없이 내 정보를 가져다 쓴다?

데이터 3법, 위험하다

 

이상윤 연구공동체 건강과대안 책임 연구위원

 

문재인 대통령이 지난 10월 28일 "데이터 3법이 연내에 통과되도록 국회와 적극 협력하겠다"고 말하자 더불어민주당이 10월 30일 "데이터 3법(개인정보보호법, 신용정보법, 정보통신망법)'을 이번 정기국회에서 통과할 수 있도록 하겠다"고 밝혔다. 정부와 민주당이 말하는 법 개정의 이유는 '데이터 산업 발전'이다.

 

하지만 데이터는 데이터 저장장치에 존재하는 단순한 정보 묶음이 아니다. 이는 현실 세계에서 살아가는 개인들에 대한 정보이고 이들이 살면서 만들어 낸 삶의 이력 그 자체이다. 개인정보는 경제발전을 위한다는 명목으로 국가에 의해 동원될 수 있는 자원도 아니고 연료도 아니다. 이는 개인의 삶의 궤적이며, 역사이고, 존엄성 그 자체이다. 개인정보에 대한 권리는 정보 주체에게 있고, 개인정보를 활용하고 싶은 이들이 있다면 그게 누구이든 정보 주체의 동의를 받아야 한다.

 

정부와 민주당이 추진하는 '데이터 3법' 개정 중 특히 문제가 되는 것은 개인정보 보호법 개정안에 담긴 '가명정보'의 경우 정보 주체의 동의 없이도 개인정보를 활용할 수 있도록 한 조항이다. 개정안은 통계작성, 과학적 연구, 공익적 기록보존 등으로 그 목적을 한정하긴 하였으나, 통계, 과학적 연구를 매우 폭넓게 정의함으로써 사실상 기업, 개인의 사익 추구를 위한 통계, 연구도 정보 주체의 동의 없이 개인정보를 처리할 수 있도록 허용하고 있다. 누구든 약간의 기술적 조치만 취하면 정보 주체의 허락 없이 타인의 개인정보를 마음대로 사용할 수 있게 하겠다는 것이다.

 

정부, 여당은 '가명화'라는 형태로 개인을 알아볼 수 없게 한 정보에 한정된 것이고, '가명 정보'를 활용하여 개인을 식별하는 행위를 한 경우 무거운 과징금을 부과하도록 하였기에 우려할 필요는 없다고 한다. 하지만 이는 빅데이터 시대의 데이터 특성을 몰라도 너무 모르고 하는 소리다.

 

확률의 문제일 뿐 가명정보를 활용하여 개인을 재식별 하는 것은 불가능하지 않다. 이른 바 빅데이터 시대인 지금은 한 개인에 대한 개별적인 정보를 대량으로 포함하고 있는 데이터 집합을 사용하여 개인을 식별하는 것은 더욱 쉬워졌다. 데이터 양이 많아지면 많아질수록 가명정보를 활용한 개인 식별은 쉬워진다. 미국 국립보건원이 자신들이 가지고 있던 연구 데이터들을 가명화한 이후 온라인에서 누구나 다운 받을 수 있게 했다가 곧바로 철회한 이유도 이러한 이유 때문이었다.

 

과징금 등의 처벌 강화 조치는 사후약방문일 뿐 개인정보 재식별과 유출을 막기 위한 원천적 예방책은 아니다. 해커나 데이터 기업들이 벌금이나 과징금이 무서워 법 위반 행위를 하지 않을 것이라는 생각은 너무 순진하다. 이들은 발각될 가능성이 적기도 하지만, 발각되어 벌금이나 과징금을 내더라도 그게 더 이익이기 때문에 개인정보를 도둑질하고 유출하고 활용한다.

 

이러한 상황에서 정보 주체의 권리 제약이 정당화되려면, 이것이 합당한 공공 이익 목적을 위한 것이고, 동일한 목표에 도달하기 위해 활용할 수 있는, 상대적으로 침해나 제한의 성격이 약한 다른 수단이 존재하지 않는다는 것을 정부, 여당이 설득력 있게 입증해야 한다. 하지만 기업과 정부가 주창하는 '데이터 산업 발전'은 공공의 이익을 위한 것이라 보기 힘들다. 정보 주체의 정보인권을 존중하면서 데이터 산업을 발전시킬 다른 수단이 없는 것도 아니다. 데이터 산업을 발전시키기 위해 정보 주체의 동의 없이도 개인정보를 활용할 수 있도록 하는 것은 명백히 정보인권 침해이며 윤리적으로 정당화되기 힘들다.

 

정부, 여당의 개인정보 보호법은 인권 보장 측면뿐 아니라 윤리적으로도 큰 문제를 가지고 있다. 특히 크나큰 오욕의 역사를 가지고 있는 생명, 의학 연구 영역에서 발전해 온 생명/의학 연구 윤리의 원칙과 이 법은 정면으로 배치된다. 생명/의학 연구 윤리의 원칙 중 가장 중요한 것 중 하나는 '충분한 정보에 근거한 자발적 동의(Informed consent)'이다. 한국의 생명윤리법 제3조 제2항에서는 이를 "연구 대상자등의 자율성은 존중되어야 하며, 연구대상자등의 자발적인 동의는 충분한 정보에 근거하여야 한다"고 명시하고 있다. 이는 개인이 자신의 개인정보 및 생물학적 물질 사용에 대한 통제권을 행사할 수 있는 권리를 포함한다.

 

과학적 연구 참여에 대한 개인의 동의는 연구 수행 기관에 대한 신뢰를 기반으로 하는 경우가 많다. 그러므로 누가 동의 없이 내 개인정보를 사용하는가도 매우 중요한 고려사항이다. 민간보험회사가 연구 목적이라고 하더라도 내 의료 정보, 건강 정보를 동의 없이 사용한다고 하는데 별 문제 없다고 생각하는 이들이 얼마나 될까. 데이터 기업이 연구 목적으로 내 정치적 입장, 종교, 성적 취향 등에 대한 개인정보를 수집하여 분석한다고 하면 다수가 이를 불편하게 여기지 않겠는가. 그런데 개정안이 통과되면 내 동의 없이도 기업이 내 민감 정보를 활용할 수 있게 된다.

 

상업적 연구가 아니라 과학적 발전을 위한 연구로 한정하여 법을 적용한다고 해도 문제는 남는다. 아무리 과학적 발전을 위한 연구라 하더라도 한 개인은 자신의 윤리적 신념에 반하는 연구에 참여를 거부할 권리가 있다. 예를 들어 자신의 가족과 미래 세대에 대한 프로파일링을 위한 유전체 연구, 인종차별의 근거가 될 가능성도 존재하는 유전체 연구, 특정 집단을 차별하고 배제하는 근거로 악용될 수도 있는 건강 연구, 유전적 특질을 이용한 생물학적 무기 개발에 이용될 수도 있는 연구 등에 자신의 개인 건강정보, 유전정보가 동의 없이 사용되기를 원하지 않는 이들이 다수이다. 빅데이터를 활용한 연구는 그 최종 결과가 무엇이 될지 연구자조차 예상하기 힘든 경우도 있다. 최악의 경우 정보 주체의 동의 없이 활용한 그 개인정보로 인해 정보 주체에게 해가 되는 연구 결과가 도출될 수도 있다. 내 동의 없이 사용한 내 개인정보로 인해 내가 불이익을 받아야 하는 부조리한 상황이 벌어질 수도 있는 것이다.

 

정보 주체의 프라이버시를 침해할 가능성이 있을 뿐 아니라 연구 대상자의 자율성을 해칠 가능성이 있는 정부, 여당의 개인정보 보호법 해당 조항은 절대 원안대로 통과되어서는 안 된다. 데이터 산업 육성이라는 명목으로 기업이 정보 주체의 동의 없이 개인정보를 활용할 수 있도록 하는 것에 신중해야 한다. 공공적 목적에 부합하는 용도에 국한하여 매우 제한적으로 가능하도록 규제의 틀을 만들어야 한다. 더디게 가더라도 국민적 합의와 신뢰를 바탕으로 관련 정책을 추진하는 것이 데이터 산업 발전에도 더 좋다.

 

참여사회연구소는 2011년 10월 13일부터 '시민정치시평'이란 제목으로 <프레시안> 에 칼럼을 연재하고 있습니다. 참여사회연구소는 1996년 "시민사회 현장이 우리의 연구실입니다"라는 기치를 내걸고 출범한 참여연대 부설 연구소입니다. 지난 19년 동안 참여민주사회의 비전과 모델, 전략을 진지하게 모색해 온 참여사회연구소는 한국 사회의 현안과 쟁점을 다룬 칼럼을 통해 보다 많은 시민들과 만나고자 합니다. 참여사회연구소의 시민정치는 우리가 속한 공동체에 주체적으로 참여하고, 책임지는 정치를 말합니다. 시민정치가 이루어지는 곳은 우리 삶의 결이 담긴 모든 곳이며, 공동체의 운명에 관한 진지한 숙의와 실천이 이루어지는 모든 곳입니다. '시민정치시평'은 그 모든 곳에서 울려 퍼지는 혹은 솟아 움트는 목소리를 담아 소통하고 공론을 하는 마당이 될 것입니다. 많은 독자들의 성원을 기대합니다. 같은 내용이 프레시안에도 게시됩니다. 목록 바로가기(http://www.pressian.com/news/review_list_all.html?rvw_no=1661" rel="nofollow">클릭)

 

* 본 내용은 참여연대나 참여사회연구소의 입장과 다를 수 있습니다.

개인정보보호법 등 ‘데이터3법’ 재검토하라 

국민의 개인정보를 사고팔아 혁신경제 이루겠다는 과대망상

국회는 지금이라도 정보보호와 활용의 균형잡힌 대안 마련해야

 

오늘(11/29) 국회 법제사법위원회가 <개인정보보호법 개정안>, <신용정보법 개정안>을 아직 과학기술방송통신위원회 법안심사소위를 통과하지 못한 <정보통신망법 개정안>과 함께 처리하겠다며 법사위 전체회의에 계류시켜 본회의 처리가 유보되었다. 이른바 ‘데이터3법’으로 불리며, 4차산업혁명, 혁신경제를 위해 반드시 통과시켜야 할 비쟁점법안으로 집권여당인 더불어민주당과 자유한국당이 합의한 이들 법안들은 한마디로 정보인권을 포기하는 반헌법적 법안들이다. 오늘 법사위에서는 바른미래당 채이배 의원 등 몇몇 의원이 정보보호 방안도 함께 모색해야 한다며 통과 반대의견을 피력하는 등 재논의를 요구했다. 신용정보법 개정안도 정무위 논의과정에서 바른미래당 지상욱 의원의 정보인권에 대한 보완 요구로 일부 조항이 수정된 바 있다. 그동안 시민사회는 국민의 정보인권에 중차대한 변화를 야기할 법개악에 반대하며 사회적 논의를 충분히 거쳐야 한다고 요구해 왔다. 본회의 처리가 미뤄진 지금이라도 국민의 기본권 보호의 의무를 진 국회는 정보인권 보호를 위해 세 법안을 근본부터 재검토해야 한다.

 

누누히 지적해 왔지만 이들 법안들은 공히 가명처리만하면 국민의 개인정보를 국민 동의없이도 기업이 마음대로 사고, 팔고, 영구 보관할 수 있게 하는 법안이다. 가명정보라는 개념을 도입하여 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보, SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업의 돈벌이 수단으로 활용되는 길을 열어 주고 있다. 반면 정보주체는 동의권은 물론이고 정보열람권, 삭제요구권, 정보이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못한다. 정보주체인 국민들은 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없다. 

 

기업들은 연일 법안 통과를 요구하고 호소하고 ‘협박’에 가까운 발언까지 쏟아내고 있다. 그러나 정작 정보의 주체인 국민들 절대 다수가 이들 법안이 논의되고 있다는 사실조차 모르고 있는데(http://www.peoplepower21.org/index.php?mid=PublicLaw&document_srl=166702... rel="nofollow">국민여론조사보도자료 2019.11. 14. 발표) 기업들의 요구를 그대로 수용한 법안을 사실상 발의한 정부와 국회의원들이 법제정 이후 야기될 사회적 혼란과 영향 등에 대해서 제대로 검토했는지 묻고 싶다. 실체도 불분명한 4차산업혁명과 기업의 이익을 위해 국민의 대의기관인 국회가 국민의 헌법적 권리를 포기하는 법안을 만드는 것은 참담한 일이다. 기업들은 데이터산업과 개인정보 거래로 이익을 얻을 수 있을지 모르지만, 무한대에 가까운 정보 집적, 활용에 따른 유출 위험과 이로 인한 맞춤형 보이스피싱 등 관련 범죄증가, 정보의 비대칭성으로 인한 기업의 차별적 마케팅과 서비스거절, 재식별 가능성 및 결합정보 유출로 인한 피해의 극대화, 표현의 자유 침해 등 그 피해와 부작용은 고스란히 국민이 감당해야 한다. 국회가 지금이라도 정보인권을 포기하는 반헌법적인 법안들을 근본부터 재검토하여 정보보호와 활용이 균형잡힌 대안을 만들 것을 강력하게 요구한다. 

 

원문http://bit.ly/37PBwli" rel="nofollow">보기/다운로드

http://www.peoplepower21.org/./files/attach/images/37219/287/662/001/9d0... />

 

현재 국회 법제사법위원회에는 개인정보보호법안, 신용정보보호법안이 계류 중이고 국회 과학기술정보방송통신위원회에는 정보통신망법(이하 개인정보3법안)이 계류중이다. 이법을 추진하고 있는 정부 일각과 기업들은, ‘다른 나라에 비해 우리나라 개인정보보호규제가 너무 강해서 데이터산업이 활성화되지 못한다’, ‘4차산업혁명을 위해서 개인정보를 활용해야 하는데 규제완화가 안되어 이대로 가다간 데이터후진국이 된다’, ‘가명처리하여 사용하므로 안전하다’ 등의 주장을 펴며 법안 통과를 요구해 왔다. 과연 그런가? 오늘(12월 4일) 참여연대 2층 아름드리홀에서는 개인정보3법 개악에 반대해 온 노동시민사회단체(이하 단체)들이 이 같은 정부와 기업들의 주장들에 대해 팩트체크를 중심으로 기자브리핑을 진행했다.

 

우선 단체들은 개인정보3법은, 가명정보라는 개념을 도입하여 정보주체의 동의권을 현저히 약화시키고, 기업들이 가명처리하를 하면 동의 없이 산업적, 상업적 연구에 무한대로 활용할 수 있도록 하고 있다고 지적했다. 목적제한, 최소수집 및 목적달성 후 폐기라는 개인정보처리의 가장 기본이 되는 원칙을 훼손하고 있다는 것이다. 단체들은 그동안 가명정보는 언제든 다른 데이터와 결합하면 누구의 정보인지 식별이 되는 정보이므로 정보주체의 권리보호를 위한 장치가 반드시 병행되어야 한다고 주장해 왔다. 그러나 개인정보3법이 이대로 통과된다면 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보, SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업의 돈벌이 수단으로 내주는 꼴이며 정보주체는 동의권은 물론이고 정보열람권, 삭제요구권, 정보이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못해 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없게 될 것이라고 주장했다. 그래서 개인정보3법 개정안은  “개인정보 도둑 법”이라고 불러도 무방할 것이라고 설명했다.

 

https://www.flickr.com/photos/pspd1994/49166784231/in/dateposted-public/" title="SW20191204_기자회견_데이터3법왜개인정보도둑법인가" rel="nofollow">https://live.staticflickr.com/65535/49166784231_99961a31cc_c.jpg" width="800" />

 

1) 우리나라가 다른 나라에 비해 개인정보보호 규제가 강하다는 주장

→ 기존 개인정보보호법은 최소한의 수집, 제3자 제공 및 목적 외 이용에 동의를 요하는 등 기본적인 정보주체의 통제권을 보장하고자 하였음. 동의를 하지 않을 경우 필수적인 용역, 서비스 사용을 제한하더라도 아무런 규제도 없고, 거꾸로 동의를 하였을 경우 사실상 제3자 제공과 목적 외 이용이 제한없이 가능함. 

최근 강화된 미국 캘리포니아소비자보호법(The California Consumer Privacy Act (CCPA):An implementation guide, 이하 ‘CCPA’)과 비교해 보면, 미국은 언제든 개인정보를 제3자에게 판매하지 말도록 지시할 “옵트아웃” 권리가 있고, 수집한 개인정보의 범위를 공개하고 삭제하도록 요구할 권리를 강하게 규정하고 있다. 이러한 규제는 페이스북에서 무단으로 수천만명의 개인정보를 수집한 캠브릿지 애널래티카라는 회사의 사례를 들면서, 명백히 ‘프라이버시 및 개인정보에 대한 더 많은 통제권’과 ‘투명성’을 규제 취지로 들고 있음.

유럽 일반개인정보보호규정(General Data Protection Regulation,이하 ‘GDPR’)은 과학적 연구나 통계적 처리를 위해 안전조치의 한 종류로 가명처리를 할 수 있다고 규정할 뿐이고, 개인의 동의 없이 가명처리를 할 수 있다는 근거가 아니다. 오히려 GDPR은 가명정보를 재식별이 가능한 ‘개인정보’로 인식하고 개인에게 통제권을 부여하고 있다. 

결국 우리나라가 다른 나라에 비해 개인정보보호 규제가 너무 강하여 GDPR 또는 미국 수준으로 규제를 낮추겠다는 개정안의 주장은 지나친 규제 완화로 인해 국민들을 희생양으로 만들 가능성이 있음.   

 

2) 4차산업혁명을 위해서 개인정보를 활용해야 하는데 규제완화가 안되어 이대로 가다간 데이터후진국이 된다는 주장 

→ 빅데이터 산업 발전을 위해 개인정보 규제 완화를 해야 한다면, 전 세계는 개인정보 보호를 완화하기 위한 바닥으로의 경쟁을 해야할 것임. 이는 그 자체로도 바람직한 방향이 아니지만, 실제로 세계 각 국은 빅데이터 환경에서 개인정보 보호를 강화하는 방향으로 보호 수준을 높이고 있음. 유럽의 GDPR이 그렇고, 미국의캘리포니아주 소비자프라이버시법(CCPA)이 그러함.

이는 개인정보 권리 보호를 위해서도 필요하지만, 실제 빅데이터 산업 (넓게는 인터넷 기반 비즈니스) 발전을 위해서도 개인정보에 대한 신뢰가 뒷받침되어야 함. 인터넷 기반 산업은 정보주체가 자신의 개인정보를 적극적으로 제공하는 것에 기반하고 있는데, 이에 대한 신뢰가 없다면 인터넷 경제에 적극적으로 참여하려 하지 않을 것이기 때문임.

 

3) 가명정보는 안전하다는 주장

→ “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것임. 다른 정보와 결합하면 식별의 위험성이 있는 정보이며 가명정보 역시 개인정보임.  따라서 개인정보보호법의 적용을 받아야 함. 유럽연합 GDPR도 가명정보를 개인정보로 보고 있으며, 한국 정부도 인정하고 있음.

가명정보는 가명처리되지 않은 원래의 개인정보보다는 안전함. 따라서 가능하다면 개인식별이 가능한 개인정보의 형태로 처리, 보관하는 것보다는 가명처리해서 보관하는 것이 바람직함. 그러나 가명정보는 다른 정보와 결합하여 여전히 재식별될 위험성이 있으므로, 재식별이 불가능한 익명정보보다는 위험함. 따라서 가능하다면, 익명처리해서 활용하는 것이 가장 바람직함. 재식별의 위험성은 가명처리의 방법 및 수준에 따라 달라지며, 현재 가명처리의 기술, 재식별 기술 모두 발전하고 있는 상황임.

개인식별자를 삭제하더라도 여전히 개인식별의 위험성이 있음은 이미 2016년 정부가 발표한 <개인정보 비식별조치 가이드라인>에서도 인정하는 바임. 

 

4) 영국 역시 의료빅데이터를 공유하는 사업을 국가 단위에서 추진하고 있다는 주장

→ 영국은 범국민적으로 탈퇴(opt-out)캠페인이 일어나는 등 결국 이 사업을 폐기하였고, 유럽 GDPR도 건강정보에 대해 원칙적 처리 금지를 명시함. 개인의 건강정보는 한 사람의 과거, 현재, 미래의 건강 상태의 집합이라는 점에서 보다 엄격한 동의 규정, 고지 의무 등을 법제화함. 단 ‘명시적 동의’ 혹은 ‘치료행위 및 공중보건을 위한 공공의 이익(Public interest)를 위한 경우, 학술 연구로 제한적 활용을 권고함. 또한 이러한 경우에도 자동화된 데이터 처리나 알고리즘에 의해 어떠한 의사 결정이 이루어질 때 이에 대해 환자가 알고 개입할 권리를 보장하도록 함. 자신의 건강정보 삭제를 요청할 권리 등도 이에 포함됨.

 

5) 빅데이터 기술을 활용하여 의료데이터를 분석하고 개인에 맞는 건강관리 및 치료방법을 제안하고 더 나아가 질병 또한 예측하는 서비스를 제공하는 등 데이터기반 의료서비스로 의료서비스 질이 업그레이드 되는 등 사회적 이익이 증대될 것이라는 주장 

→ ‘데이터 중심 건강관리’ 라는 데이터경제론은 근거가 없음. 넛지(nudge)이론에 근거한 개인의 행동변화를 통한 건강증진 사업은 효과가 없음이 이미 증명됨. 거꾸로 건강증진 앱은 감시, 두려움, 죄책감을 동반해 경쟁적 자아 경영을 도모하며, 앱 사용에 있어 경제적 문화적 차별을 전제하고 있다는 문제가 제기되고 있음. 결국 건강정보 규제완화는 건강을 결정하는 사회경제적 요인 문제들을 사회적 문제로 인식하지 못하도록 만들고 건강의 개인책임화를 부추기는 경제논리임. 따라서 공적인 예산들이 다수 건강증진 효과가 없다는 것이 드러난 의료상업화로 투자되고 있는 공적자금의 왜곡도 데이터경제론의 큰 문제 중 하나임.  

보건의료 빅데이터는 그 활용이 정보주체, 집단, 지역사회에 주는 해보다 큰 사회적 가치가 있는가의 여부(공공의 이익), 연구 과정과 결과가 모든 이들에게 호혜적이며 사회적 연대를 갖는가의 여부(형평성), 데이터의 질과 안전, 사용에 있어 투명하게 사용되고 있음을 증명할 수 있는가(책임성) 등에 대한 사회적 논의와 공론화가 우선되어야 함.

 

6) 신용정보법 개정안이 통과된다면 소비자에게 최적의 맞춤형 서비스를 제공하는 등 소비자-기업간 윈윈할 것이라는 주장

→ 오히려 금융서비스 공급자와 이용자 간 극단적 정보격차 상황이 발생할 것이며 이것은 금융공공성 훼손으로 귀결될 것임. 이제 금융회사들은 철저하게 가명정보의 이종 간 결합을 바탕으로 상품을 설계하고 판매 전략을 운영하게 됨. 이것은 공급자가 소비자 집단을 매우 정확한 수준에서 위험군과 비위험군으로 분류하고, 리스크가 ‘0’에 수렴하는 영업활동을 하게 된다는 의미임. 결과적으로 저신용, 저소득 계층의 금융소외는 피할 수 없음. 빅데이터와 금융의 결합이 당장 새롭고 편리한 금융서비스로 나타날 수 있지만, 머지않아 극단적인 양극화를 강화하는 촉매로 작동할 것임.

뿐만 아니라 보이스피싱 범죄 등 대표적인 금융사기범죄로 이미 불법 유출된 국민 개인정보와 신용정보가 대환사기 등 나날이 발전하는 범죄수법의 도구로 범죄자들에게 애용(?)되고 있음. 미신고 피해까지 합칠 경우 보이스피싱의 피해규모는 이미 1조 원대에 달할 것으로 보이는데, 불행히도 국내 금융보안 수준을 감안하면 가명정보 활용이 본격화 될 경우 보이스피싱 피해는 그에 비례하여 급증할 것으로 예상됨.

 

7) 현재 국회 법사위에서 체계 잣구 심사 단계인데, 이들 법안들은 다른 법률들과 법체계 문제는 없나?

→ 개별 법률은 특정 정보에 대하여 활용 목적을 엄격하게 제한함으로써 특별한 보호를 규정하고 있는데, 이에 대해서 개보법 개정안이나 신정법 개정안은 그 개별법과의 관계를 명확히 하지 않고 있음.

대표적으로 인간의 존엄성 등과 밀접하게 관련된 건강정보는 특별한 보호가 요청되는 정보인데, 개보법 개정안과 신정법개정안에 따르면 상업적, 영리적 목적으로 활용될 수 있음.  

의료법 제19조는 의료인 및 그 종사자 등이 알게 된 건강정보를 누설하거나 발표하지 못하도록 하고 있고, 부당한 목적으로 사용하여서는 아니된다고 규정하고 있음.

국민건강보험법 제102조는 공단, 심사평가원 및 대행청구단체에 종사하였던 사람 또는 종사하는 사람에게 비밀누설금지 및 제3자 제공을 금지하고 있음.

 

참가자들은, 현재 국회에 계류된 개인정보3법안은, ▶법률안들끼리도 개인정보의 정의 등 용어가 통일되어 있지 않고,여전히 규정 중복이 있음. 이에 상호간의 용어통일, 중복규정 정리가 필요하다는 점,  ▶가명정보 또는 가명처리된 정보의 비동의 활용범위를 산업적, 상업적 활용로 확대하지 않고  ‘학술연구’로 제한할 것▶ 전세계 유례를 찾아보기 힘든 정보집합물간 결합조항은 삭제할 것,▶ 민감정보의 가명처리 제한, ▶가명정보에 대한 삭제권, 처리정지권, 이용동의 철회권 보장 등 정보주체의 권리를 인정할 것을 제안했다. 또한 국회가 할 일은 당장 이들 3법안 심사를 중단하고 정보보호와 활용이  균형잡힌 대안을 제시하는 것이라고 강조했다. 

 

이번 기자브리핑에는 건강과 대안 변혜진 상임연구원, 민주사회를위한변호사모임 디지털정보위원회 서채완 변호사, 전국민주노동조합총연맹 백정현 사무금융노조 교육국장, 진보네트워크센터 오병일 대표, 참여연대 정보인권사업단 최종연 변호사가 참석했다. 

 

팩트체크 http://bit.ly/34NAmoq" style="background:0px 0px;color:rgb(102,153,204);" rel="nofollow">내용 전부 보기

보도자료[https://docs.google.com/document/d/1P_tHMaCWnjs6FVxSDRj6VGJ53UgO_VSaMq-k... style="background:0px 0px;color:rgb(102,153,204);" rel="nofollow">원문보기/다운로드]

국민의 정보인권 포기한 국회, 규탄한다

개인정보는 돈벌이 수단이 아니라 ‘인간성’의 일부

통과된 개인정보3법 20대 국회 최악 입법으로 기록될 것

개정법 폐기위한 헌법소원 등 후속 활동 이어갈 것

 

2020년 1월 9일은 정보인권 사망의 날, 인간성의 일부인 개인정보를 기업의 돈벌이 수단으로 넘겨버린 날로 기억될 것이다. 국회가 기어이 개인정보 3법(개인정보보호법, 신용정보법, 정보통신망법_소위 데이터 3법)을 시민사회의 우려와 비판에도 불구하고 제대로 된 보호장치 없이 그대로 통과시켰다. 이제 기업이 이윤추구를 위해 적절한 통제장치 없이 개인의 가장 은밀한 신용정보, 질병정보 등에 전례없이 광범위하게 접근하고 관리하도록 길을 터주었다. 헌법 제10조에서 도출되고 17조로 보장받는 개인정보자기결정권이 국회의 입법으로 사실상 부정된 것이다. ‘개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다’는 개인정보보호법의 목적 조항은 이제 법조문 속의 한줄 장식품으로 전락할 위기에 처했다. 국회를 규탄하지 않을 수 없다.

 

경제 논리는 인권에 우선할 수 없다. 게다가 경제적 기대효과는 추정만 난무하지 실체도 없다. 무엇보다 국회는 국민의 대표기관이다. 법률을 제개정함으로써 국민 개개인의 기본권 보호라는 책무을 실현해야 한다. 그런데 이런 국회의 입법권을 오히려 국민 인권을 침해하는데 쓴다면, 존재이유가 없지 않은가. 이번 개인정보 3법 개악은 20대 국회 최악의 입법 중 하나로 기록될 것이다.

 

사실상 정부가 주도한 개인정보보호법, 신용정보법, 정보통신망법 개정안들은 2011년 제정이래 유지되어 왔던 개인정보보호의 기본 체계를 뒤흔드는 법안이다. 국가 개인정보보호의 체계를 근본적으로 바꾸는 중대한 사안임에도 그동안 정부는 제대로 된 사회적 논의를 진행하지 않았다. 아니 일부러 회피한 것으로 보인다. 기업측의 요구를 일방적으로 수용하여 정보주체의 동의 및 목적명확성의 원칙, 최소수집의 원칙이라는 기본 전제들을 와해시키는데 주저하지 않았다. 이제 기업은 현대인들의 삶의 터전이라는 인터넷의 모든 곳을 관리하고 거기서 만들어지는 흔적인 ‘데이터’를 자신들의 이익을 위해 얼마든지 결합하고 공유하고 판매할 수 있게 되었다. 80%가 넘는 국민들이 개인정보보호법이 개정된다는 사실조차 알지 못하는 사이 그야말로 새로운 데이터환경, 정보환경으로 바꾸어 놓았다. 가명정보라고 해도 기업이 동의없이 이용, 판매하는데 반대한다는 국민 다수의 의견은 안중에도 없이 최후의 보루로 남겨두었어야 할 명시적 동의 요건을 삭제하고 가명처리만으로 마음대로 사고 팔고, 집적할 수 있도록 해 주었다. 무엇을 위해서인가? 정부가 그토록 주창하는 혁신경제를 위해서인가? 실체도 없이 장미빛 전망으로만 포장되어온 4차산업혁명을 위해서인가? 누누히 지적해왔듯이 저 70년대 개발독재식 논리와 무엇이 다른가. 박근혜 정부 때 야당으로서 한 목소리를 내어 정보인권을 주창했던 더불어민주당은 인권에 대한 철학도 신념도 없었다는 말인가?  

 

데이터산업이 커지면 그동안에도 고객 정보를 수집하고 집적해 온 금융기업 등 일부 관련 기업들은 환호할 것이고 데이터산업의 부가가치는 일부 기업에 집중될 것이다. 그러나 정보주체인 국민들은 개인정보 권리 침해, 데이터 관련 범죄 증가, 국가와 기업의 국민 감시 및 차별 심화 등 그 피해를 고스란히 떠안게 될 것이다. 가장 사적이고 민감하여 보호받아야 할 각종 질병 정보, 가족력이나 유전병 정보 등 건강 정보에 의료 관련 기업은 물론이고 의료와 관계 없는 온갖 영리기업들도 접근할 수 있게 된다. 이 뿐인가? SNS에 올린 정보들도 신용평가에 활용될 것이며 기업들은 이렇게 수집하고 축적한 고객 정보들을 결합·가공해 팔아 수익을 내거나, 고용이나 보험금 지급 등에 활용할 것이다. “나에 대해 몇 가지 정보를 아는 사람은 나를 약간 통제할 수 있고, 나에 대해 모든 것을 아는 사람은 나를 거의 대부분 통제할 수 있다.”라는 말이 현실이 될 것이다. 기업은 이제 그 어느 때보다도 손쉽게 고객을 통제할 수 있게 되는 것이다. 정보 주체인 국민은 이런 기업에 대응할 법률적 수단이 사실상 없다. 

 

법률은 일단 한번 개정되면 되돌리기는 쉽지 않다. 오늘 통과된 개인정보 3법은 정보인권침해 3법, 개인정보도둑 3법이라 불릴 것이다. 또한  법개악에 반대해온 우리 시민사회노동건강소비자운동단체들은 헌법소원과 국민캠페인 등 가능한 모든 수단을 동원하여 잘못 개정된 정보인권침해 3법의 재개정에 매진할 것이다. 

 

2020.1.10.

참여연대·건강과 대안·경제정의실천시민연합·금융정의연대·무상의료운동본부·민변 디지털정보위원회·민주노동조합총연맹·서울YMCA·소비사시민모임·전국사무금융서비스노동조합·보건의료단체연합·의료연대본부·진보네트워크센터·한국소비자연맹·함께하는시민행동

국민 건강권 훼손하는 바이오헬스 규제완화 추진 규탄한다

의료정보의 상업적 활용 가능케하고, 

국민의 건강관리서비스를 민간에 넘기는 개선방안 폐기되어야 

보건의료 규제완화 말고 건강보험 보장성 강화 적극 추진해야 

 

http://www.peoplepower21.org/./files/attach/images/37219/378/680/001/6f7... />

 

정부는 어제(1/15) 보건의료 분야의 규제를 완화하는 내용의 「바이오헬스 핵심규제 개선방안」(이하, 개선방안)을 발표하였다. 그러나 개선방안은 의료데이터와 건강관리서비스의 상업적 활용 가능, 의료기기 평가 규제 완화 등의 내용을 골자로 하고 있다. 이렇듯 국민의 건강권을 명백하게 침해하는 내용임에도 정부는 산업의 활성화 측면만을 강조하고 있다. 이에 참여연대는 산업계의 지속적인 규제완화 요구만을 반영하고 국민의 건강관리 책무를 내팽겨친 정부를 규탄하며, 지금이라도 정부가 국민의 건강권 보장을 위해 국민건강보험제도의 안정적 운영에 관한 지원과 강화에 적극 나설 것을 촉구한다. 

 

최근(1/9) 국회 본회의를 통과한 개인정보보호법은 정부가 혁신산업 육성으로 내세우고 있는 ‘의료데이터 활용’을 가능하게 했다. 그러나 개정된 개인정보보호법은 정보 주체인 국민의 동의 없이 개인의 보건의료 정보를 기업들이 상업적으로 이용할 수 있게 하는 내용을 핵심으로 하고 있다. 보건의료정보는 민감정보로 보호와 안전성에 신중을 기해야 함에도 정부는 보호조치를 전혀 마련하지 않고 기업의 이해만을 수용하여 보건의료의 규제를 대폭 완화한 것이다. 그뿐만이 아니다. 개정된 개인정보보호법은 의료법 제19조 정보누설의 금지, 국민건강보험법 제102조 정보의 유지에 정면으로 충돌하는 문제가 있다. 관련하여 시민사회단체는 보건의료 정보 규제완화로 발생할 수 있는 문제를 강력하게 제기하였지만 정부는 관련 사항의 검토 없이 무분별하게 법안을 통과시켰다. 결국 앞으로 발생하게 되는 문제는 고스란히 국민의 몫으로 남게 되었다. 

 

또한 국민의 질환예방, 건강 유지 등 건강관리의 역할을 오롯이 개인의 책임으로 떠 넘기는 내용도 포함되어 있다. 정부가 언급하고 있는 건강관리서비스의 인증제 도입은 지난 이명박, 박근혜 정부 시절 경제활성화라는 미명하에 국민의 건강관리를 민간보험사에 맡기는 정책의 연장선이다. 이는 건강보험 보장성 강화 정책에 방점을 두고 있는 현 정부의 행보와 상반되는 정책으로, 이는 건강서비스의 불평등을 초래하고, 의료 영리화를 촉진할 우려가 높다. 이외에도 보건의료에 대한 규제를 완화하는 내용들이 대체적이다. 의료기기의 안전성 및 유효성 평가 기간을 단축하여 충분한 검토 없이 시장진입을 가능하게 하였다. 새로운 의료기기에 대한 평가는 실제 환자에게 적용되기 때문에 부작용, 사망 등 부작용에 대한 면밀한 검토가 담보되어야 한다. 그럼에도 정부 발표 안에는 안전성 장치 없이 규제완화에만 초점을 맞춘 내용만 제시되고 있어, 이는 의료기기 회사의 민원 해결을 위한 것으로 밖에 볼 수 없다. 

 

헌법 제36조에 ‘모든 국민은 보건에 관하여 국가의 보호를 받는다’로 규정하고 있듯이 정부는 국민의 건강과 생명을 책임져야 하는 명백한 책임이 있다. 그럼에도 문재인 정부는  ‘바이오헬스’를 미래 주요 핵심산업으로 지목하고 보건의료 분야의 규제를 대폭완화하며 시장화를 추진하고 있다. 이처럼 산업화 활성이라는 명목하에 국민의 건강관리 책임을 시장에 떠넘기는 정부의 행태를 납득할 수 없다. 참여연대는 국민의 건강권을 침해하는 이번 개선방안을 폐기할 것을 요구한다. 나아가 국민의 건강권 증진을 위해 공적인 체계에서 국민건강관리사업을 확대하고 건강보험 보장성을 높일 수 있는 방안을 적극적으로 내놓을 것을 촉구한다. 

 

성명 https://docs.google.com/document/d/1uFMC1B9EHNrgKLAhp4FgcFVFvPQnFVEnEAWJ... target="_blank" rel="nofollow">[원문보기/다운로드]