통신자료 무단 수집 정보·수사기관 상대
손해배상청구 소송 및 행정소송 제기 기자설명회 개최
민간보험사에 국민건강정보 팔아넘긴 심평원을 규탄한다!
건강보험심사평가원(이하 심평원)이 지난 2014년 7월부터 2017년 8월까지 민간보험사 8곳을 비롯한 민간보험연구기관 2곳이 보험료 산출 및 보험상품 개발 등을 위해 요청한 ‘표본 데이터셋’을 건당 30만원의 수수료를 받고 총 52건, 6,420만 명분의 진료기록 정보를 팔아넘긴 것으로 확인됐다. 표본 데이터셋의 구성자료는 입원환자와 소아청소년환자, 고령환자 및 입원환자에 대한 진료 및 질환정보를 담은 상병내역과 진료내역, 원외처방내역 그리고 환자의 개인정보를 담은 일반내역을 포함하고 있다. 심평원으로부터 사들인 진료기록정보를 민간보험사들은 보험상품 연구 및 개발과 위험률 산출 등을 위해 환자들의 정보를 분석하여 영업 및 마케팅에 활용해 온 것이다.
심평원은 「국민건강보험법」제62조에 따라 “요양급여비용을 심사하고 요양급여의 적정성을 평가하기 위하여” 설립됐고, 이러한 근거에 따라 “주민등록·출입국관리·진료기록·의약품공급 등의 자료”를 수집 및 집적할 수 있다(동법 제96조). 그럼에도 불구하고 심평원은 공공의 기능을 수행하는 정부기관임을 망각하고 국민의 건강정보를 민간보험사의 이익창출을 위한 도구로 제공했으며, 민간보험사는 정부기관을 정보수집수단으로 이용했다. 정부기관이 공적인 목적을 위해 수집한 국민들의 개인정보를 상업적 목적을 위한 민간기업에 돈을 받고 팔았다는 사실에 국민으로써 분노하지 않을 수 없으며 정부에 대한 배신감과 불신으로 국민의 건강권과 복지증진을 위한다는 말은 더 이상 믿을 수가 없다.
심평원이 민간보험사에 제공한 정보는 진료행위와 처방의약품에 대한 내용을 비롯해 주/부상병에 대한 정보까지 전부 제공했으니 국민건강정보 모두를 제공한 것이나 다름없다. 민간보험사가 이러한 건강정보 빅데이터를 입수하기를 원하는 것은 궁극적으로 보험가입자의 건강정보를 파악해 보험가입 및 보험금 지급거절을 하기 위한 것이다. 그러므로 보험사가 이러한 빅데이터를 영업목적으로 위해 활용하게 되면 보험가입을 원하거나 이미 가입된 국민들에게 피해를 줄 수 있으며 건강권을 침해 할 수 있는 여지가 충분하다. 결과적으로 심평원의 이러한 행위는 보험사의 이윤만 보장해 주는 격이지 국민의 건강권 향상에는 전혀 이로운 점은 없다. 특히나, 진료내역에 희귀질환과 같이 재식별이 아주 용이한 질병정보까지 포함하고 있어 가장 민감한 개인질병정보를 민간보험사가 집적하고 있다는 사실은 위험한 일이 아닐 수 없다.
이번 사건을 두고 심평원은 빅데이터 제공근거로 「공공데이터의 제공 및 이용 활성화에 관한 법률」제3조의 4항 을 언급했다. 그러나 동법 제28조에 의하면 공공데이터의 제공중단사유로 ‘공공데이터의 이용이 제3자의 권리를 현저하게 침해하는 경우’를 명시하고 있으며, 국민건강보험공단도 민간보험사에 빅데이터를 제공하는 행위가 이에 해당한다고 보고 있다. 또한 「개인정보보호법」에서 규정하고 있는 ‘개인정보’에 대한 정의를 보면 해당 정보만으로 개인을 특정할 수 없더라도 다른 정보와 결합하여 쉽게 식별할 수 있는 정보도 개인정보로 보고 있다. 그러므로 보험사들이 그 동안 집적한 국민의 건강정보에 대한 데이터와 심평원에 제공한 빅데이터(특히 질병정보까지 포함)를 결합하여 가공처리 및 분석할 경우 재식별이 충분히 가능하다는 것은 분명하다. 게다가 현재 비식별조치 가이드라인은 개인정보에 대한 익명화가 아니라 가명정보까지 포함한 개념으로 쓰고 있고 충분히 추론 및 연계하여 식별이 가능하다. 이런 느슨한 제도적 상황에서 민간보험사에 대한 빅데이터 제공을 두고 ‘이용권의 보편적 확대’라는 어설픈 변명을 하는 심평원이 암호화 조치 등 충분한 비식별 조치를 했을지는 의문이다.
국민의 건강권 증진이라는 공적인 목적과 역할을 수행해야 할 심평원이 민간보험사에 건강정보 빅데이터를 팔아넘김으로써 민간보험사의 이윤창출의 조력자 역할을 하고, 국민의 건강정보보호에 대한 책임을 방기한 심평원의 행태는 규탄 받아 마땅하며, 보험사를 비롯한 민간기업에 국민의 건강정보를 제공하는 짓은 변명할 여지가 없는 중범죄임을 인식해야 한다. 심평원의 상위기관인 보건복지부가 이번 사건의 심각성을 인지하고 국민의 개인건강정보보호를 위해 제도적 조치마련을 위한 노력을 다해줄 것을 요구한다.
<공동성명>
최근 더민주당 변재일 의원은 국내 서버 설치를 의무화하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’) 일부개정법률안을 대표발의했다. 본 개정안은 정보통신서비스 제공자 중 일정 기준에 해당하는 자에게 이용자가 정보통신서비스를 안정적으로 이용할 수 있도록 국내에 서버를 설치하는 등 기술적 조치를 할 의무를 지우고, 이를 위반할 경우 방송통신위원회가 해당 정보통신서비스 제공자에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 하고 있다. 이러한 국내 서버 설치 의무법은 결국 중국과 러시아 등에서 실시하고 있는 데이터 현지화 또는 국지화(data localization) 제도와 유사하면서도 더 광범위하고 세계적으로도 유례가 없는 ‘트래픽 현지화’ 제도를 창조하는 것으로 문제가 매우 심각하다.
변재일 의원은 제안이유로 “망 사용료 분담과 관련된 분쟁 과정에서, 글로벌 콘텐츠 사업자가 일방적으로 이용자의 콘텐츠에 대한 접속 경로를 변경하여 이용자들이 서비스 속도 저하 등 불편을 겪는 사례가 발생”한 바 있고, “이러한 상황이 심화될 경우 국내 사업자와 글로벌 사업자 간의 역차별 이슈가 지속적으로 제기될 가능성”이 높으므로 글로벌 콘텐츠 사업자에게 국내에 서버를 설치하게 해서 이용자에게 안정적인 서비스를 제공할 수 있도록 해야 한다고 주장하고 있다. 여기서 언급한 사례는 방송통신위원회가 지난 3월 과징금을 부과한 페이스북 접속 경로 임의변경 건인데, 그 대응책으로 페이스북, 구글, 넷플릭스 등과 같은 글로벌 CP(콘텐츠 사업자, Content Providers)들에게 무조건 국내에 서버를 설치하게 하자는 것이다.
그러나 국내에 서버를 설치해야만 이용자에게 안정적인 서비스를 제공할 수 있다는 주장은 근거가 없을 뿐만 아니라 우리나라에만 존재하는 갈라파고스적 규제로써 역차별 해소는커녕 오히려 국내 인터넷 기업들에게만 추가적 부담을 안겨 역차별을 초래할 수 있다. 그리고 무엇보다도 개정안의 더 큰 문제는 데이터 현지화의 도입이다. 데이터 현지화는 글로벌 IT 기업에게 개인정보의 보관·처리를 위한 서버를 반드시 자국 내에 설치하도록, 즉 데이터를 국내에 보관하도록 강제하는 것을 말한다. 데이터 현지화는 국경을 초월한 정보의 자유로운 이동이라는 인터넷의 본질을 정면으로 부정하는 것으로, 온라인에 디지털 장벽을 세워 자유와 개방의 인터넷을 조각내고 파편화시켜버린다. 이로 인해 인터넷 이용자들은 카카오톡 감청 사태 때처럼 현지 정부와 기업의 감시와 검열로부터 사이버 망명을 떠날 수 있는 자유를 빼앗기게 된다.
데이터 현지화는 아주 극소수의 공산주의 국가나 동남아의 일부 국가가 도입한 제도이다. 중국이 소위 만리방화벽(great firewall)이라는 인터넷상 국경을 유지하고 있던 유일한 국가였고, 2017년부터는 네트워크 안전법을 시행해 중국에서 수집된 개인정보를 현지 서버에 저장하도록 의무화하고 수사상 필요시 제공하도록 하고 있다. 그리고 러시아가 2015년부터 연방법에 의해 러시아 국민의 개인정보를 자국 내 데이터 베이스에 저장하도록 하고 있으며(그렇다고 국외 보관이 금지된 것은 아니다), 베트남과 인도네시아에서 콘텐츠 사업자들에게 제한적인 서버 설치 의무를 지우고 있는 정도이다. EU GDPR상의 개인정보의 역외 이전 제한도 일종의 데이터 현지화라고 하지만, 국내 서버 설치 의무와는 차원이 다르다.
그런데 앞서 언급했듯 본 개정안은 단순한 데이터 현지화에서 나아가 광범위한 트랙픽 현지화를 내정하고 있다. 다른 나라의 예에서 보듯 국가안보 등의 목적이나 자국민의 개인정보로 대상을 한정한 것이 아니라, 모든 서비스 제공을 위한 서버를 국내에 두라고 하고 있기 때문이다. 이에 따라 이용자의 개인정보뿐만 아니라 서비스 이용정보를 포함한 모든 정보가 국내 서버에 저장될 것이기 때문에 결국 국가에 의한 감시와 검열이 훨씬 쉬워지게 된다. 감시와 검열을 피해 한메일을 쓰다가 지메일로 옮기거나, 카카오톡을 쓰다가 텔레그램으로 이동할 이유가 없어지는 것이다.
부차적으로는 소비자들의 서비스 선택권에도 큰 영향을 미치게 된다. 한국에 서버를 둘 계획이나 능력이 없는 정보통신서비스 제공자의 경우에는 서비스를 아예 제공하지 않거나 한국 소비자 맞춤형 서비스를 제공하지 않을 것이기 때문이다. 또한 국내 사업자의 경우도 좀 더 값싼 해외 클라우드 컴퓨팅 서비스를 이용하지 못 하게 되고, 스타트업들은 울며 겨자 먹기로 세계적으로 가장 비싼 수준인 우리나라 ISP들의 서비스를 이용할 수밖에 없다. 이러한 제약들은 결국 IT 산업의 혁신 저해로 귀결될 것이다.
이렇게 4차 산업혁명 시대에 역행하는 국내 서버 설치 의무 법안을, 그것도 정보통신부 차관 출신이며 국회 과학기술정보방송통신위원회 소속 변재일 의원이 대표발의했다는 것은 해당 산업에 대한 몰이해와 전문성 부족을 여실히 드러낸다고 하겠다. 변재일 의원은 모든 트래픽의 감시와 검열을 조장하는 정보통신망법 개정안을 당장 철회하라!
2018년 9월 18일
사단법인 오픈넷
문의: 오픈넷 02-581-1643, [email protected]
지난 8월 12일 서울중앙지법 형사항소5부(부장판사 장일혁)는 소비자들의 개인정보를 매매한 혐의로 기소된 홈플러스와 보험회사들에 대한 검찰의 항소를 기각했습니다. 법원이 소비자의 동의도 제대로 받지 않고 개인정보를 불법매매한 기업에 대한 면죄부를 줌으로써 소비자들의 개인정보는 큰 위기에 처하게 되었습니다.
특히 법원의 판결 하루 전인 8월 11일 방송통신위원회가 롯데홈쇼핑(현 우리홈쇼핑)이 고객 정보를 당사자 동의 없이 제3자에게 불법 판매한 행위에 대해 과징금 1억 8천만원을 부과한 사실이 확인되어 소비자들에게 충격을 주었습니다.
롯데홈쇼핑은 324만여 명의 고객 정보를 롯데·한화·동부 손해보험사에 불법 판매하여 37억여 원의 부당이득을 올렸습니다. 그중 2만9천여 명의 정보는 당사자 동의 없이 판매하기도 했습니다. 롯데홈쇼핑 사건은 홈플러스 사건과 똑같은 모습을 하고 있습니다. 하지만 법원의 무책임한 무죄판결로 인해 롯데홈쇼핑 사건의 피해 소비자들이 정당한 피해구제를 요구하고 받을 수 있는지 의문입니다.
이에 그간 홈플러스 사건에 공동대응해온 시민단체들은 오는 22일(월) 오전 11시, 경실련 강당에서 홈플러스 사건을 통해 소비자들 모르게 개인정보가 판매되는 현실을 비판적으로 짚어보고, 소비자 개인정보를 부당하게 매매한 롯데홈쇼핑에 대한 검찰고발을 위한 기자간담회를 개최합니다.
시민,소비자단체들은 소비자의 개인정보가 부당하게 매매되고 있는데도 이를 규제하지 못하는 현행 개인정보보호제도의 개선을 요구하며, 소비자 개인정보 보호에 매진해야 할 정부가 최근 오히려 개인정보 보호규범을 완화하기 위해 법개정을 추진하는 데 대하여 깊은 우려를 표합니다.
개인정보 판매가 가속화되는 빅데이터 시대, 소비자 권리가 보호될 수 있도록 많은 관심과 취재를 요청드립니다.
경실련 소비자정의센터, 진보네트워크센터, 참여연대 민생희망본부
소비자교육중앙회, 한국여성소비자연합, 한국YWCA연합회, 한국소비자연맹,
소비자시민모임, 한국소비자교육원, 한국YMCA전국연맹, 녹색소비자연대,
소비자공익네트워크, 한국부인회총본부
[소비자 개인정보 보호를 위한 시민사회 공동 기자간담회 개요]
“홈플러스 항소심 무죄판결 문제제기와 롯데홈쇼핑 고발”
○ 일 시 : 2016년 8월 22일(월) 오전11시
○ 장 소 : 경실련 강당 (동숭동 소재)
○ 주 최 : 경실련 소비자정의센터, 진보네트워크센터, 참여연대 민생희망본부,
소비자교육중앙회, 한국여성소비자연합, 한국YWCA연합회, 한국소비자연맹, 소비자시민모임,
한국소비자교육원, 한국YMCA전국연맹, 녹색소비자연대, 소비자공익네트워크, 한국부인회총본부
○ 기자간담회 순서
∎ 사 회 : 최인숙 / 참여연대 민생팀장
∎ 기자간담회 개최 취지 : 고계현 / 경실련 사무총장
∎ 홈플러스 형사재판 비판 : 좌혜선 / 한국소비자단체협의회 사무국장 (변호사)
∎ 롯데홈쇼핑 형사고발 개요 : 이은우 / 정보인권연구소 이사 (변호사)
∎ 질의응답
시민들의 의견
댓글 달기