정보기본권 근간 훼손하는 데이터 자본의 논리에 굴복한 청와대

개인정보보호 후퇴시켜 자본의 이익만 극대화하는 데이터 정책

“안전한” 활용 이전에 활용에 대한 정보주체의 “선택권” 보장해야

오늘(8/31) 문재인 대통령은 데이터경제 활성화를 위한 규제혁신방안을 발표했다. 그러나 온갖 미사여구와 장밋빛 전망이 동원된 정책방안에서 가장 중요한 사실이 빠져있다. 데이터경제 활성화는 전국민의 정보주체로서의 권리를 빼앗아 그 통제권을 데이터 자본에 넘겨주는 일이라는 사실이다. 개인정보를 활용한 데이터 산업을 활성화하기 위해 개인정보 보호는 후퇴할 수밖에 없다. 오늘 발표된 청와대 입장은 개인정보를 활용하는 데 방해되지 않을 정도로만 개인정보를 보호하겠다는 것이다. 청와대는 데이터 자본의 논리와 이익을 위해 복무하겠다는 것인가.

청와대는 데이터를 “안전하게” 활용하겠다고 한다. 그러나 활용여부에 대한 선택권이 보장되지 않은 이상 그것을 안전하게 활용하든 위험하게 활용하든 기본권은 이미 침해된 것이다. 정보기본권은 정보주체의 자기결정과 자기통제권을 인정하는 게 핵심이다. 데이터산업 활성화를 이유로 정보주체의 “동의 없이” 기업들이 개인정보를 활용하게 하고 더 많은 개인정보를 축적하고 결합하여 유통시킨다면 국민의 정보기본권 침해는 매우 중대할 뿐 아니라 회복불가능한 것이 된다. 문재인 정부는 개헌안에 정보기본권을 신설한다고 해놓고 정작 정보기본권의 근간을 뒤흔드는 데이터 자본의 논리에 굴복하고 만 것이다. 

대통령의 발표 이면에는 개인정보 활용을 통해 불로소득을 얻으려는 데이터 자본과 그 자본에 부역하는 관료들이 있다. 개인정보 보호수준을 후퇴시키고 개인정보 활용을 손쉽게 하도록 허용하는 것만으로도 데이터를 보유한 산업자본이 앉은 자리에서 수 조원의 이익을 얻게 된다. 그런데도 청와대는 규제완화로 데이터자본에게 막대한 이익을 보장해주고 국민들은 그 댓가로 일자리 몇 개나 조금의 서비스 혜택으로 만족하라는 것이다. 참담한 일이 아닐 수 없다. 이에 참여연대는 이러한 청와대의 데이터산업 활성화 정책을 강력히 규탄하며, 앞으로 개인정보 보호원칙과 정보기본권의 본질을 훼손하는 이러한 정책이 현실화되지 않도록 모든 노력을 다할 것임을 분명히 밝혀둔다. 

[원문보기/다운로드]

여전한 ‘회사앱’ 직원감시 논란 (데일리한국)

진보네트워크의 설명에 따르면 노동감시는 근로자의 감시 시스템을 이용한 개인, 노동행태, 노동자에 대한 정보수집 및 관리를 의미한다. 이와 같은 감시시스템에 사용되는 도구로는 영상시스템(CCTV, 몰래카메라 등), 위치추적시스템(GPS, 핸드폰 위치추적 등), 전자카드(IC칩 카드, 액티브 배지 등), 생체인식기(지문, 홍채, 정맥 인식기 등) 등이 있다.

근로 감시에 고충을 토로하는 직원들의 상담은 시민단체를 통해 이어지고 있다. 특히 노동조합이 없는 회사 직원들의 고민은 더더욱 크다. 장여경 활동가는 “제약회사 영업사원 등 외부 활동이 많은 직원들에게 앱 설치를 요구하는 사례가 많다. 이들은 자신의 개인 정보가 회사에 어디까지 공개될지 몰라 혼란을 겪고 있다”고 설명했다. 

아래 주소에서 기사 전문을 확인하실 수 있습니다

출처 http://daily.hankooki.com/lpage/ittech/201609/dh20160903083126138270.htm

위법한 보건의료빅데이터시범사업 중단해야 한다

국민의 민감정보 동의없이 결합해 민간에 제공할 법적 근거 없어

보건의료 빅데이터 활용 관련 법적 정비와 사회적 공론화 필요 

건강보험공단, 건강보험심사평가원 등 4개 공공기관이 수집, 보유하고 있는 국민의 보건의료정보를 법적 근거 없이 결합하여 민간에 제공하는 “보건의료빅데이터 시범사업”이 현재 진행 중이다. 참여연대 공익법센터(소장 양홍석 변호사)는 국민의 민감정보를 법적 근거나 정보주체 동의도 없이 결합하여 민간에 제공하는 불법적인 보건의료빅데이터 시범사업을 당장 중단할 것을 요구한다. 

이 사업은 지난 박근혜 정부 당시 법적 근거 없는 ‘비식별조치 가이드라인’에 기대어 빅데이터를 활용한 의료산업을 활성화하겠다는 명분으로 시작되었다. 초기 단계부터 많은 보건의료단체와 시민사회단체들은 법적 근거 미비, 공론화 부재, 민감정보 유출과 재식별 위험성, 건강정보의 영리적 활용과 불평등 심화 우려 등을 주장하며 강력히 반대해왔다. 이에 보건복지부는 데이터 활용 목적과 범위를 조정하거나 시민사회를 일부 참여시키는 거버넌스 구축 등을 추진하고 있지만, 법적 근거가 없다는 가장 근본적인 문제점은 무시한 채 계속 사업을 강행하고 있다.

시범사업에서 연계하려는 정보들은 대부분 ‘건강에 관한 정보’로서 개인정보보호법 제23조가 ‘민감정보’로 규정하여 그 처리를 매우 엄격히 제한하고 있는 정보이다. 특히 전국민 강제가입 단일의료보험체계와 주민등록번호제도에 의해 한국 정부는 엄청난 양과 밀도, 연계성을 지닌 국민보건의료정보를 집적하고 있다. 전세계 어느 나라보다 많은 개인정보가 수집, 축적되는 현실을 고려하면 개인정보 활용에 있어서도 더욱 엄격한 요건과 절차를 마련하지 않으면 안된다. 특히 보건의료정보의 민감성, 유출시 피해, 악용가능성에 대한 문제제기가 있는 만큼 법제 정비가 우선되어야 한다.

개인정보보호법 제23조에 따르면 이러한 민감정보를 처리할 수 있는 경우는 정보주체의 별도 동의가 있거나 ‘법령에서 민감정보의 처리를 요구하거나 허용하는 경우’로 엄격히 제한된다. 그런데 보건의료 빅데이터 시범사업은 수십억 건의 민감정보를 동의 없이 결합하고 제3자에 제공하는 것을 내용으로 하고 있음에도, 이를 허용하는 법령상 근거가 전혀 없다. 보건복지부는 최초에는 박근혜 정부에서 만들어진 ‘비식별조치 가이드라인’에 기대어 동의 없이 민감정보를 활용하려 했다. 그러다 비식별조치 가이드라인의 불법성 지적이 계속되고 사실상 사회적으로 해당 가이드라인이 유효성을 상실하자, 이제 ‘보건의료기술진흥법’ 제26조를 정당화 근거로 내세우고 있다. 보건의료기술진흥법 제26조는 한국보건의료연구원이 연구를 위해 공공기관으로부터 자료제출을 요청해 자료를 통합할 수 있다는 내용을 담고 있다. 그러나 이 조항만으로는 보건의료빅데이터시범사업을 정당화할 수 없다. 

개인정보보호법 제23조에서 말하는 “법령에서 민감정보의 처리를 요구하거나 허용하는 경우”란 민감정보의 처리가 필요한 사무와 민감정보의 종류를 명시적으로 열거하고 민감정보의 처리를 요구하거나 허용하는 경우로 제한되는 것이다(법제처의 유권해석이나 행정안전부의 개인정보보호법 해설서도 이를 명확히 밝히고 있다). 그런데 보건의료기술진흥법 제26조는 민감정보의 처리가 필요한 사무를 그저 “연구를 위하여”라고 광범위하게 규정하고 있고, 민감정보의 종류도 전혀 열거하지 않은 채 그저 모든 국가기관과 대통령령으로 정하는 공공기관이 보유한 “자료”라고만 추상적으로 규정하고 있다. ‘연구’를 위한 ‘자료’ 통합이 가능하다는 추상적 규정 하나로 수십 종류, 수십억 건의 민감정보 처리를 정당화하는 것은 불가능하다. 하위법규에도 이 자료통합과 관련된 범위나 절차, 방법, 안전조치 등을 구체화하는 내용이 전혀 존재하지 않는다. 이 조항은 애초에 민감정보의 처리를 정당화하기에 불충분하다.

또한 해당 조항은 연구의 주체, 자료제출 요청이나 자료통합의 주체로 ‘한국보건의료연구원’을 명시하고 있기 때문에 한국보건의료연구원이 주체가 된 연구가 아니라면 당연히 데이터 결합이나 이용이 불가능함이 명확하다. 그런데 보건복지부가 추진하는 보건의료빅데이터 플랫폼은 그 이용자를 중앙행정기관, 지방자치단체, 공공기관, 지방공공기관, 국내 의료기관, 학계, 연구기관으로 상정하고 있다. 즉 플랫폼을 통해 연계된 보건의료정보를 제공받아 연구에 활용하는 주체는 한국보건의료연구원이 아닌 민간연구기관을 포함한 다양한 제3자다. 현재 시범사업의 하나로 추진 중인 ‘보건의료 빅데이터 연계·활용 강화연구’ R&D 과제도 한국보건의료연구원이 아닌 다양한 국내 의료기관과 대학 소속 연구진들이 수행하는 것으로, 공모에 선정된 이들이 데이터를 제공받아 활용할 예정이다. 연구과제를 발주하면서 “연구과제 수행시 ‘한국보건의료연구원’과 협력체계를 구축하여 관리할 예정”이라는 문구를 삽입하였지만, 그런 문구를 넣는다고 그 연구가 한국보건의료연구원이 수행하는 연구가 되는 것도 아니다. 이는 어떻게든 보건의료기술진흥법 제26조를 정당화의 근거로 만들어보고자 하는 보건복지부의 꼼수에 불과하다. 

이처럼 보건의료빅데이터 시범사업은 그 법적 근거를 전혀 갖추지 못한 채로 추진되고 있다. 보건복지부가 현재 거버넌스 체계를 구축하거나, 시민사회 등 각계의 다양한 목소리를 정책수립과 집행에 반영하려는 시도를 하고 있지만, 중요한 것은 그러한 거버넌스에 시민사회가 참여한다고 하여, 명백한 불법성이 치유될 수는 없다는 점이다. 보건복지부는 거버넌스를 불법적인 사업을 합리화하는 도구로 이용해서는 안된다. 법적 근거도 정보주체의 동의도 없이 민감정보를 대량으로 연계해 민간이 이용하도록 하는 것은 불법이라는 점은 달라지지 않는다. 

무엇보다 우리는 이 사업이 보건의료 빅데이터의 산업적, 상업적 활용 요구를 배경으로 추진되고 있다는 것에 주목한다. 건강보험심사평가원은 영리 목적에 활용될 것을 알면서도 수년간 민간보험회사에 6천만 건이 넘는 국민의 건강정보 데이터를 비식별화를 거쳤다며 제공했고, 약학정보원은 미국의 빅데이터 업체인 IMS헬스에 50억 건에 달하는 처방전 정보를 판매했다가 재판을 받고 있다. 이처럼 보건의료정보는 영리적, 산업적 활용을 위해 그 개방의 요구가 거세고, 위법 논란을 감수하면서까지 활용이 추진되고 있다. 보건의료 빅데이터를 공공적 연구에 활용할 때 일정한 사회적 가치가 발생할 가능성이 있겠지만, 수천만 국민의 보건의료정보에 대한 통제권을 후퇴시키면서까지 데이터 연계 및 제공에 나서야만 하는 절박한 상황이라고 보기는 어려울 것이다. 

정부는 빅데이터가 가져올 것이라는 장밋빛 전망에 기대어 보호해야 할 전국민의 민감한 의료정보를 쉽게 내어주는 것은 아닌지 점검해야 한다. 보건의료 빅데이터 연구 문제는 앞으로 더 많은 사회적 공론화의 과정을 거쳐야 하고 법적 보호체계도 정비되어야 한다. 정부는 불법적인 정책을 추진할 것이 아니라, 적어도 법적 근거가 제대로 마련되기 전까지 현재의 보건의료빅데이터 시범사업을 중단해야 한다. 보건복지부는 법적 근거 마련을 위한 연구용역을 이번 7월에 발주하고 입법개선을 추진하겠다고 하는데, 그것이 완비되기 전에는 아무리 시범사업이라 해도 데이터를 연계하거나 제공해서는 안 된다.

<참고> 보건의료기술진흥법 제26조