민간보험사 등에 개인정보 팔아 넘긴 심평원 규탄하며, 공론화 없는 보건의료 빅데이터 사업 중단하라

심평원이 민간보험회사에게 영리목적으로 정보를 활용할 수 있도록 개인정보 팔아 넘겨

개인정보 활용 문제 개선 없이 민감정보인 건강정보 활용 계획은 어불성설

보건의료 빅데이터 사업 추진 목적과 현황 국민들에게 공개해야

어제 10/24(월) 정춘숙 의원실은 건강보험심사평가원(이하 심평원)이 민간보험기관 등에 6,420만 명의 건강정보 등이 포함된 데이터를 제공했다고 발표했다. 문제는 민간보험사가 영리목적으로 정보를 활용한다는 것을 알고 있었음에도 불구하고 2014년 7월부터 올해 8월까지 비식별화된 정보를 제공한 것이다. 더욱이 정부의 개인정보 불법 사용 문제가 있음에도 민감 정보에 속하는 보건의료 부문의 빅데이터 활용 계획을 추진하고 있다는 점이다. 또한 추진 과정이 공개되고 있지 않아 정책추진 투명성도 의심된다. 이에 참여연대 사회복지위원회는 국가기관인 심평원이 민감정보에 속하는 건강정보를 민간보험회사에 팔아 넘긴 행위를 규탄한다. 또한 현재 비공개로 추진하고 있는 보건의료 빅데이터 사업을 중단하고, 국민에게 공개하여 사회적 합의를 바탕으로 사업을 추진할 것을 주장하는 바이다. 

2011년부터 2014년까지 약학정보원은 미국의 빅데이터 업체 IMS헬스에 우리나라 국민의 약 4천만 명, 약 50억 건의 처방전 정보를 팔고, IMS는 우리나라 국민의 정보를 전 세계에 되팔았다. 우리나라 건강정보 보호의 허술함을 단적으로 보여주는 사건이다. 그뿐만이 아니다. 지난 10월 추혜선 의원실에 따르면, 박근혜 정부가 추진했던 ‘개인정보 비식별 조치 가이드라인’에 따라 약 3억 4000만 건의 개인정보가 공공기관을 통해 기업들에 제공되었다고 발표했다. 가이드라인은 법적 근거가 없는 행정규칙일 뿐, 상위법의 위임 하에 있지 않음에도 불구하고 정부는 법률적 근거 없이 '비식별 조치가 된 정보는 개인정보가 아닌 것으로 추정된다'고 자의적으로 해석하여 개인정보를 일반 기업에 제공한 것이다. 이처럼 건강정보를 포함한 개인정보가 비일비재하게 유출되고 있고 대안 마련이 필요함에도 불구하고 박근혜 정부는 개인의 건강정보를 활용한 보건의료 빅데이터 사업 등을 적극 추진한바 있다. 건강정보 활용은 오래전부터 민간보험회사, 제약회사, 의료기기 회사 등 영리를 추구하는 기업이 요구한 사항이기도 하다.

문제는 새정부가 제4차 산업혁명과 일자리 창출을 위한다는 미명 하에 개인정보유출에 대한 보안 없이 박근혜 정부의 보건의료 빅데이터 사업을 적극 추진하고 있다는 점이다. 또한 보건의료 빅데이터 사업의 목적과 추진 현황을 국민들에게 공개하지 않고 있다. 실제로 영국 빅데이터  Care. data 사업의 경우, 개인의 건강정보의 상업적 사용으로 시민들의 신뢰를 잃어 2016년 중단된 바 있다. 보건의료 빅데이터 사업은 개인정보 중 가장 민감한 정보에 속하는 건강정보를 활용하는 사업이다. 그렇기 때문에 보건의료 빅데이터 사업은 투명한 논의와 사회적 합의가 전제되어야 안전하고 실효성 있는 정책이 될 수 있다. 더구나 보건의료 부문의 빅데이터 활용의 효과는 아직 충분히 검증되지 않아 기술적, 사회적으로 아직 미완의 상태다.

영국의 Care. date의 경우를 통해 확인할 수 있듯이 건강정보의 활용은 국가와 개인정보 주체간의 신뢰가 매우 중요하다. 그러나 국가기관인 심평원이 공익목적 외에 민간보험회사가 보험상품 연구 등의 이유로 자료를 요청했음에도 불구하고 자료를 제공한 것은 신뢰를 버린 부당한 행위이다. 또한 개인정보의 유출이 비일비재하게 발생함에도 정부는 이에 대한 대안을 마련하기는 커녕 건강정보를 활용하는 정책을 비공개로 추진하는 것은 납득이 어렵다. 심평원이 건강정보를 민간보험사 등에 팔아넘긴 행위에 대해 처벌이 이루어져야 하며, 정부는 사회적 논의와 합의 없이 추진되는 보건의료 빅데이터 사업을 중단하고, 사업의 추진근거를 국민들에게 명확히 밝혀 투명성과 신뢰성을 확보하여야 한다. 
 

[원문보기/다운로드]

민간보험사에 개인정보 팔아넘긴 심평원 규탄 및 보건의료 빅데이터 사업 추진 중단 요구

[기자회견 개요] 

 - 사    회 : 김재헌(무상의료운동본부 사무국장)
 - 여는말 : 김경자(무상의료운동본부 집행위원장, 민주노총 부위원장)
 - 발  언1 : 정형준(무상의료운동본부 정책위원장)
 - 발  언2 : 조창호(국민건강보험공단노동조합 정책기획실장)
 - 발  언3 : 김진현(사회진보연대 정책교육국장)
 - 발  언4 : 변혜진(건강과대안 상임연구원)
 

[기자회견문] 

개인정보 팔아넘긴 건강보험심사평가원 규탄한다!

국민건강정보 활용하는 보건의료 빅데이터 사업 즉시 공개하고 추진 중단하라!

- 심평원은 심사평가 기능 외 빅데이터 산업화등에서 손떼야

- 공공데이터의 영리적 이용은 원천적으로 금지되어야

- ‘개인정보 비식별조치 가이드라인’도 즉각 폐기되어야

- 현재 추진되는 빅데이터 사업은 박근혜 정부 ‘적폐’

- 이후 추진과정은 공개되고, 개인정보에 대한 민주적 참여권리가 보장되어야

 

지난 10/24(화) 더불어민주당 정춘숙 의원은 건강보험심사평가원(이하 심평원)이 2014년 7월부터 2017년 8월까지 8개 민간보험사 및 2개 민간보험연구기관에게 보험료 산출 과 보험상품개발 등을 위해 요청한 ‘표본 데이터셋’을 판매했다고 밝혔다. 이는 횟수로는 총 52건, 대상자는 무려 6,420만 명분에 해당하는 양이다.

 

여기에는 상병내역, 진료내역, 처방내역등이 모두 포함되어 있었고, 민간보험사는 공식적으로 이 데이터를 참고해 각종 질병에 대한 위험요율을 계산하여 보험상품을 개발, 막대한 이익을 얻었다. 문제는 심평원이 민간보험사의 영리적 목적 이용을 알고 있음에도 데이터를 제공했다는 사실이며, 나아가 민간보험사 등이 이 자료를 다시 재조합,  비식별화하여 다른 정보와 결합 유용했을 가능성을 배제할 수 없다는 것이다. 그리고 관련 정보는 민간보험사의 리적 건강관리서비스 등의 기반이 되었을 가능성도 크다.

 

더불어민주당 진선미 의원에 따르면, 지난 1년간 정보제공자의 동의 없이 결합한 데이터는 개인정보 1억 7,000만 건이라고 한다. SCI평가정보, 한화생명, 한화손해보험, 삼성생명, 삼성카드, KB국민카드 등 민간보험사 등이 다수 포함되어 있다. 또한 이러한 결합 및 정보이용은 작년 6월 박근혜 정부가 만든 ‘개인정보 비식별조치 가이드라인’에 따라 제공되어 제대로 비식별화 되었는지 확인한 공적기관조차 없다.

 

법률이나 행정입법이 아닌 가이드라인으로 국민들의 개인정보를 팔는 경우는 전 세계적으로 유례가 없다. 결국 심사평가원의 개인건강정보유출, 각종 개인정보의 결합조치 등은 매우 심각한 사안이다. 이는 보건의료 빅데이터 사업의 미명하에 각종 공공기관을 동원한 박근혜 정부의 무차별 규제완화책이 배경이었다. 이에 시민사회노동단체는 개인건강정보를 유출한 심평원을 규탄하고 보건의료 빅데이터 사업의 원점 재검토를 요구한다.

 

1. 심평원은 공공기관으로써 자신의 책무에 집중하고, 빅데이터등 의료산업화을 중단하라.

심평원의 역할은 건강보험의 적정화를 평가하고, 앞으로 국민건강보험제도 발전에 이바지하는 것이다. 다시말해 심평원이 가지고 있는 막대한 데이터와 업무는 공적보험인 국민건강보험의 운영과 발전을 위한 것이 되어야 한다. 그러나 사실상 건강보험을 보완하거나 대체하려 하는 민간보험에 공적데이터를 넘긴 것이다. 또한 국민들과 의료인들은 심평원에 적정한 심사평가를 위해 건강정보를 제공한 것 일뿐, 자신의 정보를 데이터로 만들어 판매에 동의한 바 없다. 따라서 심평원이 개인정 데이터셋을 만든 행위는 불법이다.

 

이명박,박근혜 정부를 거치며 심평원은 각종 의료산업화의 역할을 하기로 하였다. 대표적으로 민간보험사의 심사평가대행 도입논의였고, 또 다른 하나는 영리적 빅데이터 사업에 참여한 일이다. 민간보험사의 이익을 위해 심사평가를 하려고 한 것도 문제이지만, 이들 보험사에 데이터를 넘긴 것도 비슷한 문제다. 심평원을 영리기업들의 도구로 전락시키려 한 행위가 지난 10년간의 적폐다. 따라서 이제라도 본연의 목적대로 건강보험 심사평가에 국한된 본연의 모습으로 돌아가야 한다. 이를 위해 이번 데이터셋 판매에 대해서는 심평원과 그 책임자들에게 엄중한 문책이 있어야 한다. 

 

2. 개인건강정보 비식별화 가이드라인은 즉각 폐기되어야 한다.

이번 심평원의 개인건강정보셋 유출건을 보면, 심평원이 자체적으로 개인건강정보셋을 비식별화하여 판매한 것으로 되어있다. 원래 비식별화란 향후 데이터 등을 재조합하더라도 개인식별이 안되도록 해야 제대로 되었다고 할 수 있다. 때문에 전세계적으로 비식별화를 데이터 확보한 기관에서 하는 경우는 거의 없다. 즉 데이터를 생성축적하는 곳과 비식별화를 하는 기관이 다르고, 비식별화를 하는 기관은 제3의 공공기관이다. 무엇보다 제대로 된 비식별화가 되었는지를 누군가 확인하고 이후 발생할 문제를 처리하기 위한 제도와 기관도 필요하다. 때문에 비식별화에 대한 기준과 방향은 최소한 행정입법수준에서 사회적 합의를 통해 만들어지는 것이 정상이다.

 

하지만 지금 공공기관은 물론 민간기관에서 기준으로 활용하는 2016년 6월 ‘개인정보 비식별화 가이드라인’은 말이 되지 않는다. 가이드라인에 따르면 고작 3명 이상이 각종 비식별화 확인을 수행하고, 데이터 축적기관이 직접 비식별화를 추진하는 것도 열어두었다. 이 가이드라인조차 제대로된 공청회나 의견청취도 받지 않았다. 결국 박근혜 정부의 무차별 규제완화의 일환인 가이드라인으로 국민들의 개인건강정보는 규제도 받지 않고 쉽게 팔리게 된 것이다. 이번 심평원 사건도 가이드라인이 부추긴 부수적 효과이기도 하다. 또한 이 가이드라인으로는 민간보험사가 심평원에서 받은 데이터를 결합해 ‘비식별화’ 했다는 이유만으로 다른 기업에 결합 유출할 수도 있고 처벌하지 못한다. 따라서 개인건강정보 비식별화 가이드라인은 즉각 폐기되어야 한다.

 

3. 보건의료 빅데이터 사업은 전면 재검토되고 공개되어야 한다.

심평원의 데이터셋 판매 건은 박근혜 정부가 추진한 빅데이터사업의 일환다. 박근혜 정부는 창조경제라는 명목하에 보건의료 빅데이터 사업을 주장하고, 이를 위해 각종 규제완화를 시작했다. 집권1년차부터 ‘빅데이터 개인정보보호 가이드라인’를 발표했고, 개인정보보호위원회 등의 반대에도 불구하고 2014년 이를 강행했다. 박근혜 정부는 공공 개인건강정보 데이터도 제약회사의 신약개발, 유전자치료제 개발, 정밀의료발전 등의 명분으로 마구잡이로 빅데이터 사업에 집어 넣었다. 또한 비식별화 문제는 앞서 밝힌대로 가이드라인으로 처리했다.

 

사실 민간기업이 제품판매로 얻은 개인정보의 빅데이터화도 큰 문제이지만, 공공데이터의 영리적 이용은 더 큰 문제다. 공공데이터는 대부분 사회서비스나 행정서비스등의 편의성과 효율성을 위해 국민개개인이 제공한 정보이다. 이들 정보 제공시에 민간기업 등 경우처럼 정보제공 동의도 거의 받지 않고, 정보제공자도 국가와 공적기구의 비영리성을 신뢰하여 이런 문제를 특별히 제기하지 않기 때문이다.

 

특히 국민건강보험하에서 만들어진 정보는 애초부터 건강보험청구와 심사, 공공이익 등을 위해 만들어진 것들이다. 쉽게 말해 이들 정보를 만드는데 참여한 환자와 의료인들은 애초부터 민간기업의 신약개발 등에 모든 진료정보 등이 사용토록 동의한 바가 없다. 이를 위해서는 임상시험 참여의 동의수준에 해당되는 절차가 필요했다. 여기다 개개인의 동의를 받지 않은 것은 물론이고, 이런 빅데이터 사업을 추진하는 과정자체도 시민사회 및 공개적으로 상의한 바도 없다.
박근혜 정부는 개인건강정보 문제에 대한 시민사회의 문제제기를 무시하고 이를 강행하였다. 개인동의도 없는 보건의 빅데이터 사업은 지금에서라도 원점에서 재검토되어야 한다.

 

우리는 이번 심평원의 어처구니 없는 정보유출건이 빙산의 일각일 것으로 판단한다. 또한 지난 수년간 막무가내로 진행된 보건의료 빅데이터 사업으로 인한 폐해도 아직 제대로 드러나지 않았다. 정보 불평등과 정보 유출의 폐해가 드러나는 것은 수십년이 지나서일 수도 있다. 다만 한국의 개인정보는 이미 수차례 기업들의 부주의로 해킹되었고, 이름, 주민번호, 전화번호, 주소 등이 지금도 암암리에 팔리는 나라다. 여기에 결합되어 식별화 혹은 암호해독이 될 가능성이 높은 개인정보가 결합되면 어떻게 될지 걱정다.

 

단순히 민간보험사의 보험료인상, 제약회사의 과도한 특허신약의 문제뿐 아니라, 향후 채용, 결혼, 인사고과 등 모든 부분에 개인건강정보가 유용 될 수도 있다는 우려도 있다. 이는 누구도 바라지 않는 디스토피아일 것이다. 때문에 영국과 같이 국가의료제도(NHS)로 어느 곳보다 표준화된 데이터축적이 손쉬운 곳에서도 작년부터 빅데이터사업인 케어닷데이터(care.date)을 중지하고 재검토하고 있다.

 

4차 산업혁명이라는 미명하에 개인건강정보를 집적화하여 큰 발전을 이룩할 수 있다는 가설도 아직 입증된 바 없다. 이는 신중히 준비해서 근거를 마련해가야할 산업분야이며, 보건의료 빅데이터도 연구과제일 뿐이다. 이런 연구과제를 위해 무차별 규제완화를 감행한 박근혜정부는 이제 촛불항쟁으로 사라졌다. 따라서 박근혜정부가 사라진 것처럼, 보건의료 빅데이터에 대한 맹목적인 환상도 사라져야 한다. 또한 보건의료 빅데이터 사업은 타당성부터 안전성, 효용성까지 전면 재검토가 이루어져야 한다.

 

2017년 10월 30일

건강과대안 / 인도주의실천의사협의회 / 참여연대 / 의료민영화저저와무상의료실현을위한운동본부
 

[원문보기/다운로드] 

[보건의료 빅데이터 문제점 자료]

심평원 및 약학정보원 개인질병정보 판매 행위로 본

현 정부의 ‘보건의료 빅데이터’ 추진 전략의 문제점

기획의도

최근 공공기관의 개인진료 및 의료기록 판매 행위가 사회적 문제로 제기되고 있는 상황임. 약학정보원과 지누스 등의 다국적 의료정보회사인 IMS HEALTH로의 개인정보 유출은 현재 형사법 위반으로 재판 중이며, 심평원의 의료정보 판매 행위는 국민들에게 큰 충격을 주었음. 이러한 공공기관의 개인의료정보 유출 및 판매 행위는 국민건강보험에 대한 불신과 의료인과 환자가 불신을 더욱 부추기는 문제가 되고 있음.

이러한 상황에서 정부가 이를 보호하기 위한 법 제도적 조치가 아닌, 기업들의 요구에 따른 공공 정보 중 개인 의료/건강 정보를 민간기업과 공유하는 제도 변화가 추진되고 있어 시민사회의 우려가 매우 큰 상황임. 정밀의료, 맞춤형 의료 등 아직 그 효과성이 입증되지 않은 ‘미래의료산업’을 위해 국민 개인정보의 민간 기업 공유 및 사용을 허용해야 한다는 주장 등, 박근혜 정부 하에 ‘창조경제론’ 이 ‘4차산업혁명’ 으로 이름을 바꿔 주창되고 있는 것은 매우 큰 문제임.

또한 박근혜 정부 시기부터 기업 로비를 통해 진행된 관련 사업들이 국민 혈세를 낭비하는 국가 재정 투자 사업으로 통과되고 있다는 것은 더욱 큰 문제임. 개인정보의 유출이 비일비재하게 발생함에도 정부는 이에 대한 대안을 마련하기는 커녕 건강정보를 활용하는 정책을 비공개로 추진하고 있고, 정부는 2018년 보건복지예산에 ‘보건의료 빅데이타 플랫폼 구축’ 사업으로 115억 원을 편성하였음. 이에 시민사회단체는 보건의료 빅데이터 문제점을 지적하고, 관련 예산을 삭감을 요구하는 토론회를 개최하고자 함.

토론회 개요

- 일시 : 2017년 11월 27(월) 오후1시30분

- 장소 : 국회의원 회관 제8간담회실

- 주최 : 김상희 의원, 남인순 의원, 정춘숙 의원, 윤소하 의원, 건강과대안, 참여연대, 인도주의실천의사협의회, 진보네트워크센터, 무상의료운동본부, 경제정의실천시민연합

- 문의 : 참여연대 사회복지위원회 (02-723-50506)

프로그램

- 사  회: 박성용(한양여대 경영과 교수, 경실련 소비자정의센터 운영위원장)

- 발제1: 심평원 사건을 통해 본 보건의료 빅데이터 추진 전략 문제점_정형준(인도주의실천의사협의회 정책국장, 의사)

  발제2: 개인정보 비식별화의 문제점_이은우(정보인권연구소 이사, 변호사)

- 토론1: 변혜진 (건강과대안 상임연구원)

  토론2: 이찬진 (참여연대 사회복지위원회 실행위원, 변호사)

  토론3: 김병수 (성공회대학교 열림교양대학 교수)

  토론4: 건강보험심사평가원

  토론5: 보건복지부

  토론6: 행정안전부

반복된 개인정보유출, 그래도 규제완화가 우선인가

국회의원이 구청의 유권자 개인정보 빼내 선거운동 활용 드러나

감독시스템 구축, 동의제도 실질화, 정보주체 통제장치 마련이 우선

과거 새누리당이 구청이 보유한 주민명부를 빼내는 등 불법적으로 유권자정보를 수집해 선거운동에 활용하는 일이 비일비재했다는 관련자 폭로가 나왔다. 2011년 서대문갑 지역 유권자 수만 명의 이름, 주소, 주민번호 앞자리, 전화번호, 휴대전화번호가 엑셀파일로 공유된 증거도 제시되었다. 백군기 현 용인시장도 지자체 공무원으로부터 관할지역 주민들의 개인정보를 넘겨받아 선거에 활용했다는 의혹을 받고 있다. 국민의 개인정보를 안전하게 보호, 관리해야 할 공무원들이 불법행위를 저지른 것이다. 이것이 현실이다. 

이는 우리 개인정보 보호시스템이 한 개인의 일탈을 막아내지 못하고 있다는 것을 의미한다. 그래서 범죄행위를 저지른 공무원 개인의 문제로 보면 해결책을 마련할 수 없다. 구조적인 문제가 있다. 개인정보 보호수준이 세계최강이라고 주장하기 전에 우리 개인정보 보호시스템의 구조적 취약점을 진단하고 이를 개선해야 했는데 이를 외면하고 미룬 결과다. 그런데도 그동안 정부, 국회, 산업계가 개인정보 보호시스템 개선이 아니라 개인정보 보호 수준을 완화할 궁리만 해 왔으니 개인정보보호가 제대로 될 리 없었다. 

국가나 공공기관은 건강정보, 전과기록, 가족관계 등 각종 민감한 정보들도 국가의 행정목적 수행을 위해 개별적 동의 없이도 장기간에 걸쳐 축적하고 있다. 개인의 내밀한 사생활이 그대로 드러날 수 있는 정보들이 유출되면 개인의 프라이버시는 한순간에 무너질 수밖에 없다. 그래서 공공영역에서 수집, 관리되는 개인정보에 대한 국민적 이해관계는 매우 강력하다 . 그런데 이번에 드러난 유권자 정보 불법유출사례는 지방자치단체의 개인정보 관리실태가 얼마나 부실한지 여실히 드러낸다. 권력에 대한 의지 앞에서 정보주체의 권리 따위는 쉽게 무시되었다. 

한국사회에서 개인정보 유출과 무단활용은 하루이틀의 일이 아니다. 약학정보원은 2011년부터 2014년 사이 전국 약국과 병원에서 수집한 국민 4천4백만 명의 진료정보, 처방 내역 등 47억 건을 동의 없이 다국적 기업인 IMS 헬스에 판매했다. 건강보험심사평가원은 2014년부터 2017년 사이 민간보험사와 민간보험연구기관에게 6,420만명 분에 해당하는 개인건강정보를 판매했다. 2016년 정부가 법적근거 없는 비식별조치가이드라인을 만들자마자 기업들은 거센 위법성 논란에도 3억 4천만 건의 개인정보를 동의 없이 과감하게 상호 결합시켰다. 이렇게 반복되는 개인정보 유출과 무단활용은 영리 목적으로 개인정보를 활용하려는 기업들의 강력한 동기가 법적 규제, 기술적 관리적 조치들까지도 쉽게 무력화시킨다는 것을 보여준다.  

개인정보의 활용에 있어 가장 중요한 전제조건인 개인정보 보호에 대한 신뢰는 이미 추락할 대로 추락했다. 이런 상황에서 산업활성화를 위해 국가가 공적 목적으로 수십년간 축적해온 개인정보를 사기업에 넘기거나 사기업의 정보와 결합하는 걸 제도화하겠다는 것은 현실을 전혀 모르거나 무시하는 것이다. 이런 데도 데이터 산업을 활성화하겠다는 미명 하에 문재인 정부는 개인정보의 실질적 보호를 위한 정책은 추진하지 않은 채 규제완화만 밀어붙이고 있다. 무모하다고 해야 할 지 무심하다고 해야 할 지 모를 일이다. 바야흐로 빅데이터 시대에 정부가 해야 할 일은 데이터를 좀더 안전하게 활용할 수 있는 환경을 조성하는 것이다. 난맥상을 보이는 개인정보에 관한 규범체계를 정비하고 실질적이고 일원화된 감독시스템을 구축하는 것이 필요하다. 또, 정보주체가 자신의 정보에 대해 실질적으로 동의권을 행사할 수 있도록 동의제도를 개선하고, 개인정보 처리여부와 과정에 대해 정보주체가 열람, 처리중지 요구 등의 통제장치를 제대로 마련하는 등 정보주체가 자기 정보를 실질적으로 통제하고 관리할 수 있는 제도를 마련해야 한다. 그런데 보호는 뒷전이고 규제만 풀어주면, 지금도 무법천지나 다름없는 데이터시장에서 합법적인 데이터거래, 유통을 조장하는 것이다. 이것이 빅데이터 산업 활성화라는 이름으로 자행되고 있다.

사전규제를 완화하는 대신 사후규제나 개인정보처리자의 책임성을 강화하겠다고도 주장하지만 이는 현실성이 없다. 개인정보를 탐내는 자들이 권력을 이용해 불법행위를 저지르고도 7년이 지나서야 폭로된 것에서도 알 수 있듯이 개인정보의 무단수집, 활용은 은밀하게 이루어져 정보주체나 감독기구로서는 이를 알아채거나 적발하기 쉽지 않다. 강력한 사후규제로 늘 얘기되는 집단소송이나 징벌적 배상은 규제실패나 규제완화를 무마하기 위한 정치적 수사로 사용되고 있다. 규제를 풀기 위해서는 적절한 보호장치를 마련하는 것이 우선되어야 한다. 

 대통령은 23일 빅데이터 활성화를 위한 개인정보 규제완화 관련 내용을 발표한다고 한다. 대통령은 이미 개인정보규제를 우회하기 위한 각종 규제특례법도 조속히 처리할 것을 주문했고, 여야는 8월 임시국회에서 이를 처리하겠다고 한다. 시민사회의 우려와 분노는 커질 대로 커지고 있다. 개인정보, 특히 디지털화된 개인정보가 데이터시장에 풀리는 순간 이를 돌이킬 방법은 없다. 대책을 마련해야 한다. 이런 식으로 규제를 풀어준다고 해서 산업활성화가 되는 것이 아니다. 지금이라도 늦지 않았다. 문재인 정부가 대기업의 개인정보 장사를 위해 국민들의 개인정보 보호를 희생시킨 정권으로 기록되지 않길 바란다. 시민사회의 우려와 의견을 진지하게 받아들여 개인정보의 보호와 활용을 위한 정책 전반을 재검토할 것을 요구한다. 끝.

10년간 개인정보 60억 건 이상 무단 유출, 활용 

참여연대, 개인정보 침해사례 44건 분석 결과 이슈리포트 발표 
반복된 유출, 오남용에 대해 기업의 법적 책임은 매우 불충분
현행 개인정보 정책방향은 개인정보 침해위험과 규모 증가시킬 것

참여연대 공익법센터(소장 양홍석 변호사)는 오늘(10/1) 2007년부터 2017년 사이 한국사회에서 발생한 주요 개인정보 침해사례 44건을 분석한 이슈리포트 「 그 많은 내 개인정보는 누가 다 가져갔을까 - “2007-2017 개인정보수난사 worst 44” 」를 발표했다.

최근 정보주체의 동의 없는 개인정보의 이용과 결합 ·유통을 활성화하려는 정부의 정책방향이 프라이버시 침해 위험을 키운다는 문제제기에 대해 정부는 안전하게 활용하겠다는 것만을 강조하고 있다. 참여연대 공익법센터는 지난 10여년간 한국사회에서 개인정보가 얼마나 소홀히 다뤄져왔는지, 유출이나 오남용에 대한 법적 책임 부과나 사회적 대응은 충분했는지 살펴보고, 정부의 개인정보 정책방향에 대한 시사점을 얻기 위해 이번 이슈리포트를 기획했다.

2007년부터 2017년 사이 개인정보 침해사례 44건을 분석한 결과, 60억 건이 넘는 개인정보가 유출되거나 무단 활용, 제공된 것으로 나타났다. 개인정보 침해사례는 개인정보를 대량 보유한 대기업, 특히 통신, 카드, 금융회사에서 빈번히 발생하였다. 침해사례의 유형별로 해킹에 의한 유출 23건, 직원에 의한 유출 9건, 무단사용․판매 9건, 관리 소홀로 인한 노출 3건을 분석하였는데 이중 개인정보 유출규모로는 무단사용판매가 59억 건으로 제일 큰 것으로 나타났다.

최근 빅데이터 수요 증가와 기술 발전으로 개인정보 중 식별요소의 일부를 가공한 뒤 정보주체 동의나 법적 근거 없이 대규모로 무단 사용, 판매하는 사례가 증가하고 있는데, 이러한 위법행위는 비영리재단이나 공공기관에서까지 행해진 것으로 드러났다. 약학정보원은 2011년~2014년 국민 의료정보 43억 건을 빅데이터 회사인 IMS헬스에 판매하였고, 국민의 의료정보를 엄격히 보호해야 할 건강보험심사평가원은 2017년까지 6400만명 분의 표본데이터셋을 민간보험사 등에 판매한 것으로 드러났다.

반면 개인정보 침해사고에 대한 감독기관의 과태료, 과징금 등 행정적 제재는 매우 낮은 것으로 나타났다. 대표적으로 1억 건이 넘는 개인정보가 유출된 카드3사(국민카드, 농협카드, 롯데카드)의 경우 감독기관의 행정처분은 과태료 600만 원 부과에 불과했다. 또한 일부 피해자들이 소송을 제기하더라도 피해를 구제받기 어려운 것으로 나타났다. 법원은 해킹에 의한 정보유출의 경우, 기업의 배상책임을 대부분 인정하지 않고, 무단유출 등으로 배상이 인정된다 해도 원고 1인당 10만원 내외에 불과해 결과적으로 기업은 충분한 법적 책임을 지지 않은 것으로 나타났다. 참여연대는 솜방망이 행정제재와 법원의 소극적 판결은 기업으로 하여금 개인정보 보호와 보안에 투자할 유인을 낮춘다는 점에서 결국 반복되는 개인정보 침해사고의 주요 원인이라고 주장했다.

참여연대는 지난 10년의 사례를 통해 볼 때, 개인정보의 동의 없는 결합과 집적, 유통을 대폭 확대하는 지금의 정책방향이 지속된다면, 더 많은 개인정보가 위험에 노출될 것이고 이에 대한 충분한 사회적 제재나 권리구제도 기대하기 어려울 것이라고 강조했다. 또한 빅데이터의 혜택을 강조하며 개인정보의 수집, 활용을 확대하는 방향으로만 정책을 추진할 것이 아니라, 개인정보를 필요이상으로 과도하게 수집하지 않고 충분한 보호조치를 취할 수밖에 없도록 정책을 설계해야 한다고 주장했다. 이를 위해서는 ▷개인정보 수집단계에서부터 목적구속원칙과 최소수집원칙을 담보할 수 있는 제도개선 ▷정보주체가 자신의 개인정보의 수집범위나 활용 여부를 통제할 수 있는 권리 실질화 ▷ 개인정보 보호를 위한 법제 및 감독기구 개선 ▷ 권리구제를 활성화하기 위한 집단소송제도 도입 및 징벌적 배상제도 확대 등이 이루어져야 한다고 강조했다.

최근 국회에서는 신기술 서비스를 위해 개인정보 규제를 완화하는 정보통신융합법, 산업융합법, 지역특구법이 통과되었고, 개인정보의 동의 없는 활용과 결합을 일반적으로 확대하는 개인정보보호법의 개정도 정기국회 때 주요한 쟁점이 될 예정이다. 참여연대 공익법센터는 무분별한 개인정보 규제완화의 위험성과 사회적 공론화 부재를 계속 지적하며, 정보주체의 권리를 보호하기 위한 활동을 지속할 예정이다. 

▶︎ 보도자료 [원문보기/다운로드]

▶︎ 이슈리포트 "그 많은 내 개인정보는 누가 다 가져갔을까" - 2007-2017 개인정보수난사 worst 44 [원문보기/다운로드]