헌법의 가치보다 기업의 이익을 우선시 하는
<보건복지부 건강정보 빅데이터 활용에 대한 경실련 입장>
복지부 건강정보 빅데이터 시범사업, 법제도 정비 선행하라
– 시범사업은 공중보건을 위한 사회정책연구에 한정해야 –
지난 2017년 12월 보건복지부는 보건의료 정보 활용을 위한 ‘보건의료 빅데이터 플랫폼 시범사업 추진계획’(이하 시범사업)을 발표했다. 보건복지부는 보건의료 빅데이터 플랫폼 구축사업 일방적 추진과 건강보험심사평가원이 보험상품 개발을 위해 민간보험사에 총 6,420만 명의 진료기록 정보를 팔아넘기며 사회적 비난이 커지자 뒤늦게 국민 의견을 수렴하겠다고 시범사업을 발표한 것이다. 보건복지부는 3월 30일까지 국민 의견을 수렴하고 있다. 이에 경실련은 지난 28일 발표한 <보건의료 빅데이터 활용에 대한 시민사회노동단체의 입장>을 지지하면서, 시범사업에 대한 일부 이견 또는 보충의견을 다음과 같이 밝힌다.
1. 개인(건강)정보의 보호와 활용을 위한 법제도 정비에 대한 의견
개인 건강정보에 규정은 일반법인 「개인정보보호법」과 의료 분야의 「의료법」, 「생명윤리법」, 공공분야의 「공공데이터의 제공 및 이용 활성화에 관한 법률」 등에 다양한 법률에 혼재되어 있다.
의료법은 ”환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게 하거나 그 사본을 내주는 등 내용을 확인할 수 있게 하여서는 아니 된다“라고 규정되어 있다. 원칙적으로 환자 정보는 제3자 제공이 금지되어 있다. 그럼에도 건강보험업무처리를 위한 것이라는 한정적 목적을 위하여 의료법은 예외조항을 두고 있고, 그 결과 의료기관에서 생산된 다양한 환자 정보가 심평원이나 건강보험공단에 제공되고 있다.
이러한 상황에서 심평원이나 건강보험공단이 보유한 건강정보 빅데이터를 활용한 시범사업은 개인정보 자기결정권 침해와 위법성 논란에서 벗어날 수 없다. 따라서 우선 독립적인 감독기구가 제 역할을 할 수 있는 법적 장치가 마련되어야 하며, 이에 근거하여 건강정보, 환자에 대한 정보의 규정, 개인정보 간의 위계관계를 법적으로 정비해야 한다.
2. 연구, 학술, 통계 목적 처리에 대한 정보 주체의 선택권
현행 개인정보보호법에는 개인정보 처리를 위해서는 정보 주체의 동의가 필요하다. 통계작성 및 학술 연구목적이라도 특정 개인을 알아볼 수 없는 익명 형태로 처리해야 하고, 그렇지 않으면 정보 주체 또는 환자의 동의 없이 연구, 학술, 통계 목적 처리가 불가능하다.
따라서 정부는 환자의 자기결정권이 실질적으로 보장될 수 있도록, 다양한 동의 받는 방법을 개발해야 한다. 이와 더불어 사후에 정보처리를 거부할 수 있도록 옵트아웃(Opt-out) 권한도 함께 부여해야 한다.
3. 연구목적의 제한
보건복지부는 시범사업은 공공의 목적에 한정되어 진행하겠다고 밝혔다. 그러나 시범사업 추진계획안에 명시된 데이터셋 예시 중 의약품 정보 내용만 봐도 원외 처방 약제 통계자료, 의약품 상위 성분 청구현황으로 제약회사에 필요한 것으로 공공의 목적에 해당하는 것인지도 명확하지 않다. 따라서 시범사업 전체가 공공의 목적에 부합하는지에 대한 재검토가 되어야 하고, 시범사업은 기술개발이 아닌, 공중보건과 관련된 사회 정책적 목표를 달성하기 위한 연구로 한정해야 한다.
개인정보 보호체계 개선없는 빅데이터 활성화 동의할 수 없다.
– 정부부처 이기주의로 개인정보보호 난맥상… 제 머리는 깎지 않는 정부부처
– 마이데이터(MyData) 사업은 개인 건강검진 기록의 민간 공유를 담고 있어 우려
– 개인정보 감독기구를 독립적인 개인정보보호위원회로 일원화하라
6월 26일, 대통령직속 4차 산업혁명위원회는 「데이터 산업 활성화 전략」 을 심의, 의결하였다. 이 전략은 마이데이터 시범사업 실시, 빅데이터 전문센터 육성, 개방형 데이터 거래 기반 구축, 빅데이터 선도기술 확보 등을 내용으로 하고 있다. 이와 함께, 헬스케어 6대 프로젝트 추진 현황도 보고되었다. 한편, 6월 27일에는 대통령 주재의 제2차 규제개혁 점검회의가 예정되어 있었다. 준비 미흡으로 취소되었다고 하지만, 이 회의에서는 ‘빅데이터 활성화를 위한 개인정보 보호 분야 규제’가 논의될 예정이었다.
우리 시민사회단체들은 빅데이터 산업 활성화를 명분으로 한 개인정보 규제 완화는 서두르면서 개인정보 보호를 위한 제도적 환경 구축은 외면하고 있는 정부의 움직임을 우려하지 않을 수 없다. 「데이터 산업 활성화 전략」은 ‘데이터를 가장 안전하게 잘 쓰는 나라’를 비전으로 하고 있지만, 안전한 활용을 위해 필수적인 개인정보 감독체계의 개선 문제는 포함하고 있지 않다. 제2차 규제개혁 점검회의에서도 개인정보 활용을 위한 규제 완화만을 다룰 예정이었고, 개인정보 감독체계 개선 문제는 의제에 포함되어 있지 않았다고 한다.
‘개인정보 보호체계 효율화’는 문재인 대통령의 주요 국정과제였다. 그러나 정부부처들은 빅데이터 활성화를 위한 개인정보의 활용만을 얘기할 뿐, 정작 개인정보 감독체계의 효율화는 뒷전으로 밀어두고 있다. 이는 자신의 권한을 빼앗기지 않으려는 부처 이기주의 때문이다.
우리 시민사회단체들은 빅데이터 시대 개인정보의 안전한 활용의 전제 조건으로 개인정보 보호법제와 감독기구의 일원화가 선행되어야 한다고 거듭 촉구한 바 있다. 국내 개인정보 보호법제는 개인정보보호법을 비롯하여 정보통신망법, 신용정보법 등으로 분산되어 있고 다수의 중복, 유사 조항을 포함하고 있어 수범자들의 혼란과 중복규제를 야기하고 있기 때문이다. 또한, 감독기구 역시 개인정보보호위원회, 행정안전부, 방송통신위원회, 금융위원회 등으로 분산되어 있고 개인정보를 실효성 있게 보호하기 위한 효율적인 감독이 이루어지지 않고 있기 때문이다.
개인정보 보호를 위한 환경이 정비되지 않은 상황에서, 「데이터 산업 활성화 전략」에서 제시하는 바와 같이 개인정보의 거래를 활성화하겠다는 것은 무척 위험한 발상이다. 국민 개인의 건강검진 기록을 기업과 민간이 활용하도록 허용하는 마이데이터 사업은 이명박, 박근혜 정부를 거쳐 추진된 의료민영화의 핵심 내용중 하나인 개인질병정보의 민간 공유 및 활용, 건강관리서비스 민영화 정책과 맥을 같이 하고 있다. 또한 정보주체의 자기정보통제권을 실질적으로 보장하기 보다는 사실상 개인정보 브로커를 양성화하는 수단이 될 수 있다. 민간‧공공을 연계한 개방형 데이터 거래 기반 사업은 시민사회의 반대에도 불구하고 결국 데이터 연계 정책을 밀어붙이려는 것은 아닌지 우려스럽다.
우리는 국민의 정보인권에 대한 고려 없이 산업 활성화만을 밀어붙이던 박근혜 정부의 실책(규제프리존법과 개인정보 비식별조치 가이드라인 등)을 문재인 정부가 되풀이하지 않기 바란다. 이를 위해서는 청와대가 중심을 잡고 각 정부부처의 이기주의를 통제하면서 조정역할을 해야한다.
시민사회단체는 현재 행정안전부, 방송통신위원회, 금융위원회 등으로 분산된 개인정보 감독권한을 개인정보보호위원회로 일원화하고 개인정보보호위원회의 독립성을 강화하는 방향으로 개선되지 않는 한, 개인정보의 활용을 위한 어떠한 계획도 동의할 수 없다. 개인정보보호위원회의 독립성과 권한 강화 없이 ‘개인정보의 안전한 활용’이란 말장난에 불과하기 때문이다. 제2차 규제개혁 점검회의가 다시 열린다면, 개인정보 보호체계 효율화가 핵심적인 의제가 되어야 한다.<끝>
건강과대안, 건강권실현을위한보건의료단체연합 (건강사회를위한약사회 건강사회를위한치과의사회 노동건강연대 인도주의실천의사협의회 참의료실현청년한의사회), 건강세상네트워크, 경실련, 서울 YMCA, 소비자시민모임, 언론개혁시민연대, 의료민영화저지와 무상의료 실현을 위한 운동본부, 진보네트워크센터, 한국소비자연맹, 함께하는시민행동
“국회는 규제완화 말고 민생개혁입법에 나서라”
참여연대, 2018 정기국회 개혁 입법⋅정책 과제 제안
29개과제 중 국가기관권한남용 방지와 표현의 자유를 위한 입법·정책과제
과제 1. 수사기관의 통신자료 무단 수집 방지 「전기통신사업법」 개정
과제 2. 개인정보감독체계 개선 위한 「개인정보보호법」 개정
과제 3. 다수 피해자 구제, 동일 불법행위 방지 위한 「집단소송법」 도입
과제 4. 다양한 불법행위 포괄하도록 「징벌적손해배상제」 확대
① 개인정보보호법, 정보통신망법, 신용정보법으로 분산된 개인정보 관련규정 통합
② 개인정보보호위원회로 감독기능 통합하고 위상과 독립성 강화
2018 정기국회 개혁 입법⋅정책 과제 >> 전체 보기
자료집 [원문보기/다운로드]
2019. 1. 31. 국제사이버법연구회가 개최한 ‘4차 산업혁명 시대, 개인정보보호법 개정안에 대한 특별세미나’에서 오픈넷 김가연 변호사가 종합토론에 참여했다.
이 세미나에서는 현재까지 발의된 개인정보보호법 개정안에 대한 분석을 바탕으로 개선방안을 찾기 위한 토론이 이루어졌다. 김가연 변호사는 개인정보 활용과 관련하여 개정안 중 어떤 안도 정보주체의 권리를 실질적으로 강화하는 방안을 제시하지 못하고 있는 점을 지적했다. 또한 개인정보 거버넌스 문제에 대해서는 개인정보 감독기구를 개인정보보호위원회로 일원화하고 위원회의 독립성을 강화하는 것에 대해서 매우 긍정적으로 평가했으며, 위원 구성을 다양화해야 함을 주장했다.
김가연 (사단법인 오픈넷 변호사)
제1세션과 제2세션 발제 모두 현재까지 발의된 개인정보의 활용 및 거버넌스에 관한 논의들을 개정안에 대한 분석을 통해 종합적으로 조망해볼 수 있는 좋은 기회였다고 생각합니다. 이용자의 입장에서 정보인권 운동을 하고 있는 활동가로서 발제자들께 몇 가지 질문을 던져보고자 합니다.
개정안들을 전반적으로 보면 GDPR의 가명정보와 익명정보의 개념을 도입하자는 데는 큰 이견이 없는 것으로 보입니다. 익명정보의 경우에는 非개인정보이며, 가명정보의 경우에는 개인정보이지만 가공된 개인정보로서 어느 정도 처리를 허용해야 한다는 발제자의 의견에 개인적으로는 공감합니다.
다만 시민사회에서는 개인정보의 범위가 GDPR에 비해 협소해지는 것이 아닌지 하는 우려가 있는데, 특히 “접근 가능성”을 어떻게 판단할 수 있을 것인지를 예시를 들어 설명해주시면 감사하겠습니다. 그리고 가명화를 허용하는 경우에도 결합정보(추가정보)의 분리 보관을 소홀히 하거나 재식별 금지 의무를 준수하지 않을 경우에는 강력하게 사후제재를 할 수 있어야 할 텐데, 여태껏 개인정보 침해 사건에서 소극적인 태도를 보여 온 법원의 입장에 비추어 볼 때 얼마나 실효성이 있을지 의문입니다. 또한 노파심에서 말씀드리면 법에서 요구하는 기술적 조치가 정부가 제시하는 특정 “기술”을 의미해서는 안 될 것입니다.
또한 어떤 안도 정보주체의 권리를 실질적으로 강화할 수 있는 방안은 제시하지 않고 있는 점은 문제라고 생각합니다. 예컨대 개인정보보호법 제35조와 제26조에 따르면 정보주체는 개인정보처리자에게 자신의 개인정보에 대한 열람을 요구할 수 있고 개인정보처리자는 지체없이 열람을 할 수 있도록 해야 하며, 열람 후 개인정보의 정정 및 삭제가 자유로워야 하는데, 실상은 그렇지 않습니다. 그리고 가장 종합적이라 할 수 있는 인재근 의원안에도 프로파일링에 대한 정보주체의 권리, 개인정보 중심 설계 및 기본 설정(Privacy by Design, Privacy by Default), 개인정보 영향평가의 확대 등 정보주체의 권리 보호에 관한 내용들이 빠져있는 것은 문제라고 생각합니다.
개인정보보호위원회를 중앙행정기관으로 격상하고 기존의 행정안전부와 방송통신위원회의 권한을 이관하는 등 개인정보 감독기구를 위원회로 통합하고 독립성을 강화하는 것은 매우 바람직한 방향이라고 생각합니다. 다만 위치정보와 신용정보 등에 있어 방통위와 금융위와 공동으로 권한을 행사하게 되어 있는 것은 아쉽습니다. 중장기적으로 완전한 통합을 이루어야 한다는 발제자의 의견에 동의합니다. 그리고 위원의 구성 관련해서는 현직 공무원이나 공공기관을 배제하고, 국회 추천을 통해 위원 구성을 다양화하는 게 합의제 위원회의 특성을 살리는 길이라고 보입니다. 이상입니다.
시민들의 의견
댓글 달기