참여연대, 진보넷 등 6개 시민단체는 지난 2월 20일 법무부에 제3차 국가인권정책기본계획(NAP)의 디지털프라이버시권 분야에 대한 시민사회 의견서를 제출했습니다.
의견서 전문은 아래와 같습니다.
유엔인권최고대표는 국가인권정책기본계획(NAP) 개발에 있어 △ 시민사회 및 국민과 함께 하는 절차와 결과가 중요하고 △ 보편적 인권기준을 수용해야 하며 △ 국제인권 의무사항을 이행하고 △ 인권의 상호의존성 및 불가분성을 보장해야 하며 △ 실천지향적이고 △ 대중적으로 널리 공표되고 △ 모니터링과 평가를 받아야 하며 △ 계획수립과 이행이 지속적이고 △ 구체적인 이행 방법을 책임져야 하며 △ 국제적 차원에서 수립되어야 한다는 원칙을 확인한 바 있습니다(국가인권정책기본계획 안내서, 2002). 특히 유엔은 국가인권정책기본계획 개발 과정에 국가인권기구는 물론 시민사회가 참여하는 것이 중요하다는 점을 강조하고 있습니다.
그러나 지난 10년간 한국 국가인권정책기본계획은 그 절차와 내용 모두에서 국제규범에 부합하지 못했다는 비판적 평가를 받고 있습니다. 문재인 정부는 국민 앞에 약속한 인권 공약은 물론, 국제인권규범을 구체적으로 이행할 수 있는 국가 인권정책을 수립할 것을 요구받고 있습니다.
특히 제3차 국가인권정책기본계획은 빅데이터, 인공지능 등 새로운기술이 빠른 속도로 도입되고 있는 디지털 사회에서 국민들의 정보인권을 실질적으로 증진시킬 수 있는 국가계획이 되어야 할 것입니다. 이에 한국 시민사회는 디지털 프라이버시권 분야에서 국가인권정책기본계획에 대한 의견을 다음과 같이 제시합니다.
국민의 일상생활이 디지털 네트워크 및 모바일 환경에 크게 의존하고 있지만 디지털 프라이버시권이 충분히 보장받고 있다고 보기 어렵습니다. 특히 한국 시민사회는 최근 몇년 간 한국 사회에서 다음과 같은 논란이 크게 불거진 데 대하여 문제의식을 갖고 있습니다.
한국에서 인터넷을 통한 대규모 개인정보 유출이 계속하여 매우 심각한 문제로 불거지고 있으나 개인정보보호체계는 아직 미비합니다.
개인정보 유출 사건의 직접적인 원인은 해킹, 내부자 유출 등 범죄행위로 인한 것이지만, 그 배경에는 정부가 주민등록번호 등 인권침해적인 제도적 관행에 몰인식하고 인터넷 실명제 등의 정책으로 그 문제점을 악화시킨 데 따른 문제가 있습니다. 특히 국민은 출생시 부여받는 주민등록번호를 공공, 보건의료, 금융, 통신 등 일상생활에서 광범위하게 제출할 것을 요구받고 있는데 유출 사고로 정신적, 물질적 침해를 입어도 주민등록번호의 변경조차 쉽지 않습니다. 헌법재판소는 2012년 인터넷실명제와 2015년 주민등록번호 변경불허에 대하여 각각 위헌과 헌법불합치를 결정하였으나 사회 전체적으로 주민등록번호 의존 정책이 크게 변화하지 않았으며, 임의번호 도입 등 후속조치와 국민의 기본권 보장이 아직 미비합니다.
특히 한국의 독립적이고 전문적인 개인정보 감독체계는 국제기준에 비해 매우 미비합니다. 2014년 카드3사에서 1억4백만 건의 개인금융정보가 유출된 후 정부는 「개인정보보호 정상화 대책」을 통해 개인정보보호위원회 기능강화를 약속했으나 부분적인 데 그쳤습니다.
정보수사기관이 발전된 통신감시기술을 이용하여 국민의 통신비밀을 침해하는 데 따른 논란도 계속 커지고 있습니다.
경찰은 2011년 희망버스 행진과 2013년 철도노동조합 파업 당시 많은 인권활동가, 노동조합활동가에 대해 휴대전화 실시간 위치추적을 광범위하게 실시하였으며 이때 초등학생 등 미성년 국민도 활동가의 가족이라는 이유만으로 추적되었습니다. 또 2012년 경찰 및 검찰이 정당 집회 참석자를 확인하기 위하여 참석자 및 기자 들에 대하여 광범위한 기지국수사를 실시한 사실이 드러났습니다. 이 사건들에 대해서는 헌법소원이 제기되어 현재 심사 중입니다.
한국에서 집행되는 대부분의 감청을 비밀정보기관인 국가정보원이 실시하고 있으며(국가통계 중 98% 이상), 그중 일부는 인터넷 회선 전체에 대하여 집행되는 패킷 감청(Deep Packet Inspection)입니다. 그러나 한국에서 국가정보원의 감청에 대해서는 민주적인 통제가 전혀 이루어지고 있지 못하며, 지난 2015년 국가정보원이 이탈리아에서 해킹프로그램(RCS)을 수입·운용해왔다는 사실이 드러났을 때도 법원이나 국회조차 그 사실에 대해 전혀 모르고 있었습니다. 국가정보원의 패킷 감청에 대해서는 2차례에 걸친 헌법소원이 제기되어 현재 심사 중입니다.
지난 2016년 제정된 테러방지법으로 인해 국가정보원의 통신 및 사이버공간 감시에 대한 국민의 우려가 증폭되기도 하였습니다.
모바일 환경이 확산됨에 따라 많은 국민이 휴대전화를 통해 의사소통을 하고 있지만 수사기관에 대한 자료 제공이 과도하고 충분히 통제받고 있지 않습니다. 경찰은 2014년 이후 세월호 참사에 항의하는 국민들의 불법 집회를 수사한다는 이유로 카카오톡 등 모바일 플랫폼 회사는 물론 휴대전화 그 자체에 대해서도 광범위한 압수수색을 집행 하였습니다. 법원의 영장에 따른 집행이라고는 하지만 수사 대상과 같은 단체카톡방에 속했다는 이유만으로 많은 국민들의 개인정보가 수사기관에 제공되었으며 그 사실에 대한 사후 통지도 이루어지지 않았습니다. 2016년에는 국정원, 경찰 등 정보수사기관이 국내 이동통신사에 대하여 법원의 영장도 없이 통신가입자의 이름, 주민등록번호 등 광범위한 통신자료를 제공받아온 관행이 국민적 지탄을 받았습니다. 국가통계에서 통신자료 제공이 연간 1천만 건을 넘어서는 것으로 집계되고 있습니다. 이 사건들에 대해서도 헌법소원이 제기되어 현재 심사 중입니다.
최근 빅데이터 분석 기술이 발전하고 이를 통해 경제적 가치를 창출하려는 욕구가 증가하면서 개인정보 매매 등 그에 대한 상업적 이용이 증가하고 있지만, 개인정보에 대한 국민들의 결정권은 보장되고 있지 못합니다.
2011년부터 2014년까지 대형마트 홈플러스는 자사 온라인 회원 및 경품응모자들의 개인정보 2천 4백만 건을 10개 보험사에 판매하여 수백억 원의 수익을 올렸지만 당사자 정보주체는 그 사실을 전혀 알지 못했습니다. 또 다른 대형마트 및 보험사에서도 이런 매매 관행이 일반화되어 있었다는 사실이 확인되었습니다.
미국 빅데이터업체인 IMS헬스가 2011년부터 2014년까지 국내 약국 및 병원에서 우리 국민 4천 4백만 명 50억 건에 달하는 처방전을 구입하여 전세계를 대상으로 가공 판매하고 있습니다. 우리 국민들은 민감한 건강정보의 유출 사실에 대하여 전혀 알지 못했으며 정부는 유출된 처방전을 회수하려는 노력도 하고 있지 않습니다. 시민사회는 최근 정부가 추진하는 보건의료 빅데이터 정책이 이와 마찬가지의 결과를 낳게 될지 모른다는 사실을 우려하고 있습니다.
지난 박근혜 정부는 정부 차원에서 개인정보에 대한 상업적 이용을 활성화하기 위한 정책을 추진했습니다. 특히 국민의 개인정보를 보유한 기업이 그 개인정보에 대해 정부가 권장하는 비식별화 조치를 취한 경우 이를 ‘개인정보가 아닌’ 것으로 추정하고 개인정보 보호법제의 적용을 배제하여 자유롭게 이용하도록 한 정책(범정부 비식별조치 가이드라인, 2016)에 대해서는 많은 시민사회가 그 적법성의 문제를 지적해 왔습니다.
문재인 정부는 대통령 후보 시절 시민 사회 앞에 ㅇ개인정보의 목적외 이용 규제 및 로직 설명 요구권리, 프로파일링 거부권, 생체정보 보호 ㅇ개인정보 유상판매에 대한 정보주체 알권리와 동의권 보장 ㅇ비식별조치 가이드라인 재검토를 약속하였으며,
공식 공약으로 △ 개인정보 보호 체계 효율화, 개인정보보호위원회의 위상 강화 △ 무더기 정보 이용 동의(일괄 동의)를 통한 무분별한 신용정보 활용 금지 △ 목적 외, 그룹 내 무단 정보 사용에 대한 제재 강화를 국민들에게 약속하였습니다.
또 문재인 정부는 출범후 국정과제로 “2018년부터 개인정보 보호 거버넌스 강화 및 개인정보 보호 체계 효율화, 무분별한 개인정보 이용에 대한 제재 강화”를 제시하였습니다.
유엔 국제인권기구에서 디지털 프라이버시권 분야에서 한국 정부에 대해 이루어진 주요 권고로는 다음과 같은 것이 있습니다.
사생활 보호를 위해 주민등록제도 재검토 및 주민등록번호를 공공서비스 제공을 위해 엄격히 필요한 경우로 제한할 것 (2008년 1차 UPR),영장 없는 통신자료 제공, 집회 참가자를 특정하기 위한 기지국 수사, 국가정보원의 폭넓은 감청과 이들에 대한 불충분한 감독에 대해 우려를 밝히고 모든 감시가 국제인권규약에 부합하도록 보호하는 내용으로 법을 개정할 것 (2015년 유엔 자유권위원회)
그밖에 유엔은 다음과 같은 국제 규범을 가지고 있습니다.
독립적인 권한이 보장되는 개인정보감독기구를 수립ㆍ유지할 것 : 유엔은 각국 정부에 여러 차례 개인정보 감독기구의 독립성과 권한 보장을 권고해 왔습니다. 일찌기 1990년 총회에서 “모든 국가들은 열거된 원칙들의 준수를 감독할 기관을 국내법에 따라 설치한다. 이 기관은 개인정보 처리를 담당하는 개인 혹은 기관에 대해 불편부당성, 독립성, 기술적 역량을 제공해야 한다.”고 선언하고(UN 컴퓨터화된 개인 정보파일의 규율에 관한 지침), 다시금 2013년 총회에서 “통신감시, 감청, 개인정보 수집 등 국가감시의 투명성 및 책임성을 보장할 수 있는 독립적이고, 효과적인 국내적 감독 체제를 수립 혹은 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다. (디지털시대 프라이버시권 결의안) 2017년 유엔인권이사회는 “국가의 통신 감시, 감청, 개인정보 수집에 대해 투명성과 책임성을 적절하게 보장하기 위한, 독립적이고 효과적이며 적정하게 자원이 할당되고 불편부당한 사법적, 행정적, 혹은 의회의 국내 감독 체제를 수립하거나 유지할 것”을 권고하였습니다. (디지털시대 프라이버시권 결의안)
정보주체의 동의 없이 판매, 재판매 , 기업 간 공유되는 피해 대응을 위한 규제, 예방조치 등을 개발하고 유지할 것
: 빅데이터 환경이 등장하면서 2017년 유엔 인권이사회는 “디지털시대 민감정보 등 개인정보의 수집, 처리, 공유가 상당히 증가함에 따라, 개인들이 자신의 개인정보를 재사용, 판매, 다목적 재판매하는 데 대해 자유롭고 명시적이며 충분한 설명을 들은 후 동의하고 있지 못하다”고 우려하면서 “개인의 자유롭고, 명시적이고, 충분한 설명에 따른 동의 없이 개인정보가 판매되고, 다목적으로 재판매되며 타기업에 공유되는 피해에 대응하는 규제, 예방 조치와 구제대책을 개발하고 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다. (디지털시대 프라이버시권 결의안)
각국 정보기관의 대량통신감시 증가에 대한 국제인권기준을 준수한 절차, 입법 등 수립 요구: 유엔은 정보기관의 대량통신감시 증가에 대해 크게 우려하고 있습니다. 유엔은 디지털시대 프라이버시권에 대한 총회 결의안(2013년 총회), 유엔인권최고대표 보고서(2014년), 유엔인권이사회 결의안(2017년)을 통해 각국 정부에 “감시·감청·수집 등 통신 감시, 감청, 개인정보 수집에 관한 절차, 관행, 입법을 검토”하고, 국가와 기업이 이를 집행할 때 국제인권기준을 준수할 것을 계속 요구하고 있습니다. 유엔은 프라이버시 특별보고관 제도를 신설하였으며, 2018년 초대 프라이버시 특별보고관의 한국방문조사가 예정되어 있습니다.
디지털 프라이버시권과 관련하여 국가인권위원회 또한 다음과 같이 권고한 바 있습니다.
독립성과 전문성이 확보된 개인정보보호위원회를 설치할 것(2003. 11. 13. 등 다수 권고)
주민등록번호 제도 개선 권고(2014. 8.) : 주민등록번호를 주민등록 관련 행정업무와 사법행정업무에 한정하여 사용할 것, 다른 공공영역에 대하여는 목적별 자기식별번호 체계를 도입할 것, 민간영역에서 주민등록번호 사용을 허용하고 있는 법령을 재정비하여 주민등록번호 사용을 최소화할 것, 임의번호로 구성된 새로운 주민등록 번호체계를 채택할 것, 주민등록번호 변경절차를 마련할 것, 주민등록번호의 목적 외 사용을 금지할 것
통신자료, 실시간 위치추적 및 통신사실확인자료 제공제도 개선 권고(2014. 4.) : 통신자료를 통신비밀보호법에서 통합 규율할 것, 통신사실확인자료 제공요건을 강화할 것, 실시간위치추적 요건을 강화할 것
비식별 정보 입법안 개선 권고(2016. 10. 신용정보보호법 개정안) : 비식별 정보를 신용정보주체의 동의 없이 목적 외로 이용하거나 제3자에게 제공할 수 있도록 함으로써 개인정보 자기결정권을 침해할 우려가 있음
개인정보보호위원회는 다음과 같이 권고하였습니다.
‘비식별’은 ‘익명’과 ‘가명’을 혼용하여 개인정보 여부가 불명확하고 국제적 통용성도 갖추고 있지 않은 개념으로 개인정보 보호법에 부합하게 규율할 것(2017. 1. 등 다수 권고)
국가인권위원회는 제1차(2007-2011) 계획에 대하여
정보인권 분야의 현황으로
△개인정보 데이터베이스가 증가하고 개인정보 자동수집기술이나 생체인식기술이 발전하여 프라이버시권 침해증가
△공공기관 및 민간영역에서 주민등록번호를 비롯한 개인정보를 과도하게 수집하고 유출 피해 증가
△개인정보 보호를 위한 법적 제도적 장치가 미흡
△개인정보를 보호하고 이용을 관리 감독할 독립적이며 전문적인 개인정보보호기구 부재
△CCTV 설치 운영에 국회가 제정한 법률에 따른 통제 미비
등의 문제를 지적하였습니다.
이에 핵심 추진과제로
▲개인정보보호기본법 제정 및 관련 법령 정비로 개인정보 보호 원칙을 확립하고 개인정보 보호정책 수립 개인정보 수집자에 대한 일상적 감독, 개인정보 침해 구제 등을 담당하는 독립적이고 전문적인 개인정보보호기구 설립
▲개인정보 침해 위험이 많은 공공 및 민간사업 추진시 프라이버시 침해 위험이 없는 다른 대안을 검토하도록 의무화하고 개인에게 프라이버시를 침해당하지 않는 다른 방법을 선택할 수 있는 선택권 부여
▲공공기관 및 민간 영역의 주민등록번호 수집 제한과 오남용 방지, 국민의 자기정보통제권을 보장하는 방향으로 주민등록제도 개선
▲프라이버시 보호의 관점에서 CCTV의 설치기준 및 보관자료의 처리기준 등을 마련하고 주무기관을 지정하여 관리의 효율성 제고 등을 권고하였습니다.
대한민국 정부는 최종 제1차 국가인권정책기본계획(2007-2011)에서 CCTV 등 감시장비로부터의 프라이버시 보호 방안 마련을 위해
△공공기관 CCTV 설치·운영 관리 강화
△민간부분 CCTV 개인영상정보 보호
△사업장 내 근로자 감시 설비 설치 노사협의 도입
주민등록번호의 사용 제한 및 제도 개선을 위해
△주민등록번호 도용 처벌 강화
△공공기관 법정서식 개선
△인터넷 상 주민등록번호 대체수단 활성화를 밝혔으며
개인정보보호기본법 제정 및 관련법령 정비
개인정보영향평가제도의 제도화 추진
개인 건강정보에 대한 보호의 강화
등의 계획을 밝혔습니다.
국가인권위원회는 제2차(2012-2016) 계획에 대하여
제1차 계획 및 이행의 평가 측면에서 「개인정보 보호법」의 제정 및 시행으로 개인정보 보호를 강화하기 위한 제도적 노력은 긍정적으로 평가할 수 있으나 개인정보 보호위원회의 독립성은 미흡하며, 기업들의 주민등록번호 수집 오ㆍ남용과 개인정보의 유출 사고, 급격하게 늘어나는 CCTV의 관리 능력 부재 등으로 개인정보 보호를 위한 이행 노력은 미흡하였다고 평가하였습니다.
이에 제2차 계획으로는 인터넷 본인확인제 기반 위에서 효율성ㆍ경제성ㆍ편의성에 바탕을 두고 무분별하게 수집ㆍ이용ㆍ제공되고 있는 개인정보 처리 관행을 정보인권 시각에서 개선 조치하고 관련 법령을 일제 정비하기 위한 방향 속에서 실명제 기반 개인정보 처리 관행 등을 개선할 것을 권고하였음. 특히
△ 주민등록번호 시스템의 폐기 또는 재정비(재권고)
△ 행정정보공유시스템, 형사사법정보시스템 등 행정기관의 정보공유 체계에 대한 개선
△ 「개인정보 보호법」중 개인정보의 목적 외 이용ㆍ제공 규정 개선을 권고하였습니다.
대한민국 정부는 최종 제2차 국가인권정책기본계획(2012-2016)에서 개인정보의 대량 유출로 주민등록번호의 도용 및 오·남용 우려가 증가하고 이에 따라 주민등록번호 변경 요구와 함께 주민등록번호 시스템 폐기 문제까지 제기되고 있어 주민등록번호 수집·이용을 제한하고 주민등록번호 도용 및 오·남용을 방지할 대책이 필요하고, 2011년 9월「개인정보 보호법」시행에 따라 영상정보처리기기(CCTV)의 설치 운영 제한, 안내판 설치, 안전성 확보 조치 등 의무규정이 준수될 수 있도록 관리·감독이 필요한 현황을 인정하고,추진과제로서
▲ 주민등록번호 개선을 위해 주민등록번호 오·남용 방지를 위한 발행번호 도입, 주민등록번호의 민간 사용 단계적 제한 방안 마련
▲ 인터넷 상 주민등록번호 대체수단(I-PIN) 활성화
▲ 민간 웹사이트에서 영리 목적의 주민등록번호 수집·이용 제한
▲ 「개인정보 보호법」시행에 따른 CCTV 관리·감독 등의 계획을 밝혔습니다.
국가인권위원회는 제3차(2017-2021) 계획에 대하여 제2차 계획 및 이행의 평가 측면에서
△ 주민등록증 발행번호 도입은 완료되지 않았고,
△ 주민등록번호 대체수단 활성화는 주민등록번호로 발생했던 문제들을 해결하지 못했고, ‘주민등록번호만 아니면 된다’는 식의 관행이 형성되어 오히려 불필요한 본인확인이 증가하는 등의 문제점이 나타났으며,
△ 민간 웹사이트에서 영리목적의 주민등록번호 수집・이용 제한은 본인확인 대체수단의 확산으로 실질적인 목적을 달성하지 못했고,
△ 반복적으로 제기되는 CCTV 관리・감독 문제 또한 제대로 이루어졌다고 보기 어렵다고 평가하였습니다.
이에 제3차 계획으로는 고도 정보화 사회에서 ICT 기술의 오・남용을 방지하면서 기술진보에 능동적으로 대처하여 정보인권을 보장할 수 있도록 하기 위한 목표 속에서 핵심 추진과제로
△ 개인의 통신데이터에 대한 광범위한 수집(압수・수색 및 감청, 기지국수사 및 위치정보 수집 등)으로 인한 인권침해의 소지를 최소화하기 위한 법령 정비
△ 실명제, 인터넷 내용규제, 사이버 명예훼손 등 네트워크 관련 규제의 종합적 검토(재권고)
△ 개인정보 유출, 각종 DB의 통합 등 정보인권 관련문제의 핵심 요소인 주민등록번호 시스템의 재정비
△ 녹음기기(스마트폰) 및 촬영기기(CCTV)의 기술혁신과 가격하락으로 인해 발생하고 있는 보편적 사생활 침해에 대한 법적 기준 마련(재권고)
△ 빅데이터의 통합에 따른 공기관이나 사인에 의한 정보인권침해 문제에 대한 대책마련
△ 정보주체의 통제미비, 내밀한 프라이버시 정보의 유출가능성 등 사물인터넷, 웨어러블 기술의 문제점에 대한 개인정보보호법 점검 등
△ 생체정보의 수집‧처리 및 오남용 방지, 정보주체의 권리 보호를 위한 대책 마련 등을 권고하였습니다.
우선 국내 현황으로 빅데이터, 클라우드 등 전세계적 DB 실현과 사물인터넷 등 무선센서 네트워크 시대 개막에 따라 신기술에 대응하는 개인정보보호가 요청됨
IT 기술 발전으로 인해 대량의 개인정보가 광범위하게 수집·이용되고 있으며, 현재에도 매년 15만건 이상의 개인정보 침해신고 상담이 이루어지고 있는 등 기술의 발전에 따른 개인정보 보호 필요성이 크게 대두됨 (다만, 개인정보보호의 문제는 그 방법이나 범위와 관련, 정보기술발전에 중점을 두는 견해와 정보주체 보호에 중점을 두는 견해가 대립되고 있음)
다양한 영역에서 본인 확인 수단으로 활용되던 주민등록번호 제도는 개인정보 유출에 따른 피해증가를 이유로 폐지나 대체수단 마련 등의 제도개선 요구가 있었으나, 제도개선 시 초래될 사회적 비용 문제로 현행 주민등록번호체계를 유지하되 주민등록변경 제도 도입(주민등록법 개정, ’16. 5.)
신원확인 및 본인 인증을 위한 지문․홍채․정맥 등 생체정보의 활용이 확산되고 있음에 따라 유일성․불가변성․일신전속성 등의 특성을 갖는 생체정보의 유출 및 오남용 대책 마련 필요
등으로 파악하고 제2차의 이행경과에 대하여 주민등록번호 변경제도 도입 등 주민등록번호 개선
인터넷상 주민등록번호 대체수단 활성화 및 민간 웹사이트에서 영리 목적의 주민등록번호 수집 이용 제한
개인정보보호법 시행에 따른 CCTV 관리감독에 대하여 긍정적으로 평가하고 제3차 추진과제 및 이행방안으로서 주민등록번호 시스템의 정비 (행정자치부) : 주민등록번호 제도 개선으로서 ’16. 5. 신설된 주민등록번호 변경제도 시행을 위한「주민등록번호 변경 등에 관한 규정」(대통령령) 및「주민등록번호 변경 등에 관한 규정 시행규칙」제정, 친족관계에 의한 성폭력범죄자의 주민등록표의 열람, 등본· 초본의 교부신청
녹음기기(스마트폰) 및 촬영기기(CCTV)의 기술혁신과 가격하락으로 인해 발생하고 있는 보편적 사생활 침해에 대한 법적 기준마련 (행정자치부)
: 영상정보처리기기 다양화(드론, 블랙박스 등) 및 CCTV 증가로 인한 사생활 침해에 대응하기 위해 법제 정비
정보주체의 통제 미비, 내밀한 프라이버시 정보의 유출가능성 등 사물인터넷, 웨어러블 기술의 문제점에 대한 개인정보보호법 점검 (행정자치부)
: 사물인터넷, 웨어러블 기술 등 발달에 따른 환경 변화에 대응하여 지속적으로 개인정보보호법을 점검
생체정보의 수집·처리 및 오남용 방지, 정보주체의 권리 보호를 위한 대책 마련 (행정자치부·방송통신위원회)
: 생체정보를 이용하는 기술발전에 대응, 개인정보보호 대책을 지속적으로 검토
등을 제시하였습니다.
첫째, 국가인권정책기본계획이 국제인권기구의 권고에 대하여 아무런 이행계획을 포함하고 있지 않은 것은 큰 문제입니다
심지어 법무부가 평가하고 있는 국제인권기구의 관련 권고(2015년 자유권규약위원회)에 대하여조차 아무런 계획이 없습니다.
다음과 같은 유엔의 권고 항목에 대한 계획이 포함되어야 합니다.
주민등록번호 사용제한
통신자료 제공제도 개선
기지국수사 제도 개선
국가정보원 감청제도 개선
개인정보보호위원회 독립성 강화
개인의 자유롭고, 명시적이고, 충분한 설명에 따른 동의 없이 개인정보가 판매되고, 다목적으로 재판매되며 타기업에 공유되는 피해에 대응하는 규제, 예방 조치와 구제대책 개발,국가 및 기업이 집행하는 감시·감청·수집 등 통신 감시, 감청, 개인정보 수집에 관한 절차, 관행, 입법 검토
둘째, 문재인 정부의 관련 인권 공약에 대해서는 구체적인 이행 계획으로 반영되어야 합니다.
개인정보 보호 체계 효율화 : 정보통신망법 등으로 흩어져있는 개인정보 보호법제를 개인정보보호법으로 일원화
개인정보보호위원회의 위상 강화
개인정보에 대한 목적 외, 무분별한 활용에 대한 제한
셋째, 국가인권위원회의 권고, 특히 반복적인 권고에 대해서는 반드시 포함해야 합니다.
개인의 통신데이터에 대한 광범위한 수집(압수・수색 및 감청, 기지국수사 및 위치정보 수집 등)으로 인한 인권침해의 소지를 최소화하기 위한 법령 정비,임의번호 도입 등 주민등록번호 시스템의 재정비
영상 등 디지털기록기기, 빅데이터, 사물인터넷, 생체정보 처리로부터 보호를 위한 법적 보호장치 마련
넷째, 관련부처의 자의적인 평가와 부처 편의에 따른 계획 수립 절차를 전면 재고해야 합니다.
관련 법률 정비는 관련부처의 소관사항 확보를 위한 차원이 아니라 국민의 정보인권 보장을 위해 수립되어야 합니다.
주민등록번호 개선 현황에 대한 긍정적 평가는 주무부처인 행정안전부의 이해관계에 따른 것으로, 국가인권위원회 및 시민사회의 비판적 평가와 차이가 있습니다. 이런 평가의 한계는 추가적인 개선 계획을 수립함에 있어서도 미흡한 결과를 낳을 수 밖에 없습니다.
행정안전부가 추진하고 있는 영상정보 보호법 제정안에 대해서는 이미 개인정보보호위원회가 제정 반대 의견을 밝힌 바 있는데(제2017-01-07호) 행정안전부의 관점만을 국가계획에 포함하는 것은 일부 정부부처에 편향적이라는 비판을 받을 수 밖에 없습니다. 영상기기에 따른 사생활 침해를 방지하기 위한 법제 개선은 필요하지만, 이는 개인정보보호위원회가 권고한 바와 같이 개인정보보호법 개정을 통해 이루어져야 합니다.
국가인권정책기본계획에 “개인정보보호의 문제는 그 방법이나 범위와 관련, 정보기술 정보기술 발전에 중점을 두는 견해와 정보주체 보호에 중점을 두는 견해가 대립되고 있음”이라는 단서를 명기하는 것은 매우 부적절합니다. 정보기술의 발전과 정보주체의 보호가 대립관계에 있는 것도 아닐 뿐더러, 정보기술이나 산업 발전을 위해 개인정보 보호를 완화할 수 있음을 시사하는 것은 인권정책이 취할 태도가 아닙니다.
개인정보 관련 국가계획에 대해서는 개인정보 보호위원회와 협의가 반드시 필요합니다.
2018. 2. 20
경실련, 다산인권센터, 서울YMCA 시청자시민운동본부, 인권운동사랑방, 진보네트워크센터, 참여연대
의견서원문 [보기/다운로드]
사이버사찰긴급행동 성명
테러방지법은 '정보괴물'!
테러는 그 배경과 맥락을 이해하고 예방을 위한
국제정치·외교적 노력을 경주하는 것이 최선입니다.
변혜진 | 연구공동체 건강과대안 상임연구원
결국 예산안이 통과됐다. 시민사회단체의 강력한 반대로 본 사업이 아니라 ‘시범사업’ 으로 제한되었고, 일부 미미한 삭감은 있었지만 ‘보건의료 빅데이터 플랫폼 구축’ 사업은 이제 그 시행을 앞두고 있다.
시민사회단체가 예산안 통과를 강력하게 반대한 핵심적 이유 중 하나는 보건의료 빅데이터 사업 자체가 기업의 이해를 우선하며 현행법 위반이라는 조건 하에서 추진되기 때문이다. 현재 개인 의료 정보와 진료기록이 포함된 다른 정보를 ‘연계’ 하는 것은 개인정보보호법 및 의료법 위반으로 매우 엄격하게 법률적 제한을 받는다. 개인의 의료 및 건강정보는 개인정보 중에서도 매우 민감한 정보에 해당되며, 관련 정보가 만에 하나 사적인 목적으로 이용되거나 유출되었을 시 한 개인이 겪게 될 혹은 그 가족이 겪게 될 피해는 매우 크기 때문이다.
그럼에도 불구하고 복지부가 사업 추진 주체로서 내 놓은 보건의료 빅데이터 사업에는 공적으로 집적한 정보를 민간 기업이 가진 정보와도 연계하고 이를 민간 기업에게 제공하는 식의 상업적 활용이 포함되어 있었다. 이러한 내용은 기업 민원 처리의 대가로 공공의 자원을 사유화한 박근혜 정부가 추진하던 내용과 전혀 다를 바가 없었다. 대통령은 바뀌었지만 박근혜가 대통령의 권력으로 추진했던 사업들은 여전히 국정 과제 일부로 남아 있는 셈이다.
시민사회단체의 강력한 반대에 부딪힌 복지부는 예산 통과를 위해 공적인 목적 외 상업적 활용에 대해서는 추후 다시 검토하겠다는 입장으로 선회했다, 하지만 이전 정부의 막무가내식 행정 독재로 추진된 ‘비식별 가이드라인’ 조치 등이 그대로 남아 있는 상태에서 추진되는 이 사업은, 기업이 기업 마음대로 정부는 또 정부 마음대로 관련 내용에 대한 해석을 두고 의견이 분분해 이후 시범사업의 설계와 추진 그리고 그에 대한 평가가 매우 중요한 과제로 남게 됐다.
보건의료 빅데이터 플랫폼 예산을 둘러싼 논쟁이 한창이던 지난 11월 건강과대안, 참여연대, 인도주의실천의사협의회 등 시민사회단체는, 공개적인 토론회 한 차례 없이 추진되는 보건의료 빅데이터 사업에 대한 공개 토론회를 요구했고 결국 국회에서 관련 토론회가 처음으로 개최되었다. 이 토론회에서 시민사회는 복지부가 예산안 통과를 요구하며 내 놓은 추진 전략이 박근혜가 추진했던 의료민영화와 ‘창조경제’의 뒤를 이은 조치들 중 하나로, 의료 공공성의 마지막 보루인 개인 질병정보와 건강정보에 대한 민영화에 해당된다고 지적했다. 건강보험공단과 건강보험심사평가원(이하 심평원)이 모은 공적인 국민 개인 진료기록 및 건강보험 정보를 기업의 요구에 부응해 돈벌이 재료로 제공한다는 문제제기였다. 이러한 사업들은 그동안 강력한 드라이브로 추진되던 의료민영화로부터 국내 의료제도를 보호하는 핵심 축이었던 국민 개인 질병정보 관리의 보호막을 일거에 제거해 버리는 조치가 될 수 있다는 것이다.
실제로 지난 수십 년 간 보험업계는 보험업법이나 의료법 개정안 등을 통해 건강보험공단과 심평원이 독점적으로 보유하고 있는 국민 개인 건강정보와 기록에 대한 민간 공유를 요구해 왔다. 그리고 관련 법안이 국회에 상정될 때마다 막아왔던 시민사회단체의 이러한 주장은 매우 타당한 것이었다. 전체 병상 수에 10%에도 못 미치는 공공 의료기관을 보유한 국내 의료가 그나마 공공성을 가지고 버티는 가장 큰 이유는 국민건강보험 제도라고 해도 과언이 아니기 때문이다. 이 제도를 무너뜨리기 위한 보험업계의 요구는 정권이 바뀔 때마다 강력하게 이뤄졌고, 정액형 보험 상품 판매, 실손 의료보험 상품 판매와 최근 보험 상품과 건강관리서비스 상품을 연계한 판매까지 꾸준하고 줄기차게 이뤄지고 있다. 그러나 이런 요구는 매번 강력한 반대운동에 부딪혔고, 의료민영화 논란으로 막혀 왔던 것이 사실이다. 보험업계 입장에서는 민간보험 지급률(손실률)을 보전하고 보험 상품 및 위험률을 ’맞춤‘으로 설계해, 더 많은 사람들이 건강보험보다 민간의료보험에 의존할 수 있도록 하기 위해서 전 국민의 개인 질병정보를 손에 넣는 것이 간절할 수밖에 없다. 한 사람의 가족력과 유전병 정보와 병력 정보는 보험 가입에서부터 보험금 지급 사유까지 만들어 낼 수 있는, 그야말로 보험 상품 설계, 유통, 판매, 지급 등을 해결하는 ’21세기 금광‘과도 같다. 최근 이런 논란이 가중되자, 복지부는 ‘박근혜표’ 추진전략을 대폭 수정·축소해, 시범 사업에서는 기업 정보와의 연계 활용 여부를 추후 고려하겠다는 입장을 내 놓았으나, 완전하게 기업 경영과 마케팅 활용 자체를 배제할 수는 없다는 입장은 고수하고 있다.
또한 최근 언론보도에 따르면,1) 산업통상자원부도 내년 복지부와 유사한 방식으로 데이터를 제공하는데, “복지부가 연구기관을 대상으로 공공 보건의료 빅데이터를 제공한다면 산업부는 병원 내 의료 정보를 표준화해서 민간에 공유”한다고 발표했다. “국내 6개 병원을 우선 선정해 데이터를 표준화하고. 병원 내 전자의무기록(EMR) 데이터, 유전체 데이터. 유전체 정보까지 민간에게 제공“하겠다는 것이다. 이러한 언론보도의 이중 플레이는 ‘눈 가리고 아웅’하는 꼴이다. 복지부에 제기된 문제들을 산업부로 넘겨 기업 민원 해결을 추진하겠다는 것과 다를 바 없다. 오히려 공익적 목적을 고려할 수 밖에 없는 복지부의 손을 떠나 산업적 이해를 대변하는 산업부로의 이관은 한층 더 우려스러운 일이다.
말이 안 되는 방식으로 각 부처 마음대로 추진계획을 내고 있는 보건의료 빅데이터 산업화 방안은 그 자체가 내재하고 있는 문제점이 있다. 국내 빅데이터 산업화 자체가 그 목적을 경제 성장 동력으로 삼고 있다는 점이다. 이윤을 위한 개인 정보 거래를 전제하고 있으며, 다른 나라와 달리 이에 따르는 유출 위험이나 상업적 이용에 대해서는 법제도적 보호가 아닌 ‘비식별화’ 라는 기술적 방식으로만 우격다짐으로 밀어붙이고 있다는 점이다.
공단과 심평원에 모인 개인 정보의 상업적 활용에 대해 지금 어느 누가 동의했는가? 정부가 추진하는 방식 자체가 비민주적인 것은 개인 정보 이용권의 동의 절차가 생략되었다는 점에서도 큰 문제지만, 이런 상업적 이용을 통해 기업은 수익을 올리는 반면 그에 따르는 위험은 개인의 몫이고, 이는 사회 전체로 향해 있다.
복지부는 현재 개인 정보 연계 활용 사업이 불법이라는 점을 누구보다도 잘 알고 있다. 박근혜 정부 하에서 자체 법률 자문을 통해서 진료 정보나 건강보험공단 정보의 연계가 현행법과 어긋난다는 자문을 이미 받은 바 있기 때문이다. 그럼에도 불구하고 복지부는 법률적 정당성을 갖지 못한 사업을 멈추지 않은 채 그냥 밀어붙이고 있는 것이다. 지난 정부의 적폐를 계승하는 것은 아니냐는 지적은 이래서 나온다. 예상해보건대, 이전 정부 하에서 이미 여러 이해관계자들 간 내부 약속과 거래가 있었을 수 있다. 시민사회단체가 우선 폐기를 요구하는 ‘비식별 가이드라인’ 조치로 이미 많은 기업들이 개인 정보를 이용해 마케팅에 활용하고 있는 상황이기도 하다. 대통령이 바뀌어도 행정 관료는 그대로인 상황에서 관련 공무원들은 관례상 현행법의 효력을 가지는 예산안 통과에 그렇게 목숨을 걸었을 것이다.
이 때문에 앞으로 진행될 시범사업의 설계와 방향 설정은 매우 중요하다. 공익적 목적을 위한 것이 아닌 상업적 이용이 우선되는 정책은 ‘플랫폼’ 사업의 특성 상 그 시범사업만으로도 위험하기 때문이다. 또한 시범사업이 제대로 된 원칙을 기반으로 시행되려면 지난 정권 하에 ‘자신이 곧 법’ 이라는 박근혜식 행정 가이드라인을 폐지하는 것이 우선이다. 지난 정권은 법률 위반이 분명한 사안일 경우 행정 가이드라인을 제정하는 편법을 통해 문제를 해결해왔기 때문이다. 이 비식별 가이드라인은 헌법에 기초한 국가의 개인 정보 보호의 가치보다 기업의 이익과 관련 산업의 발전을 우선한다는 인식으로부터 나온 조치다. 이 조치가 살아 있는 한 기업들 마음대로 개인 정보 사유화를 허용하는 것이라는 그 해석상의 잠재적 문제들이 지속될 것이다.
<사진=참여연대>
기업이 이익을 그 무엇보다도 우선하는 방식으로 개인 정보를 활용하는 것은 결국 사회 경제적으로 불평등한 조건에 있는 계층에게 더욱 불리하고 불평등한 문제를 야기할 수 있다. 공익적 목적이 아닌 개인정보의 상업적 활용에는 건강정보를 매개로 감시와 차별, 배제, 낙인 등의 문제가 발생할 위험이 상존한다.
빅데이터가 차별과 배제의 알고리즘의 위험에 노출돼 있다는 지적은 여러 곳에서 제기되고 있다. 빅데이터의 활용을 전제하고 있는 오바마 행정부조차 자체 과학기술자문위원회의 이름을 통해, ‘빅데이터 활용을 위한 여러 기회를 포착해야 하지만 빅데이터 도구가 개인의 사적인 상세정보를 노출할 수 있음’을 경고하고 이를 보완할 법 제도적 조치를 우선할 것을 권고한 바 있다.2) 빅데이터 기술이 오랜 시간 축적된 방대한 사회적 데이터를 기반으로 오로지 알고리즘에 따라 분석이 수행되기 때문에 분석자의 주관이나 편견 없이 객관적으로 분석한다는 믿음은 틀렸다는 것을 지적하는 것이다. 과학기술자문위원회는 이러한 점을 ‘데이터 근본주의’라고 지적하고 오류가 있을 수밖에 없음을 설명하고 있다.3) 특정 알고리즘을 입력하며 이 데이터에 반영되지 못한 이들이 소외되는 결과가 발생하고, 이러한 데이터가 반복·누적되면 사실상 현실에 존재하는 한 개인의 삶이 왜곡되는 일이 발생할 수 있다는 것이다.
많은 사람들이 기술의 중립성을 상상하거나 신뢰한다. 이 때문에 빅데이터 기술 역시 숫자에 기반해 분석자의 주관이나 편견과 상관없이 객관적 분석을 한다는 믿음이 있는 것이다. 그러나 하버드 대학에서 나온 연구에서 구글에 “아프리카계 미국인스러운” 이름을 넣어 검색하면 범죄자 정보를 찾아주는 회사 광고가 뜰 가능성이 높다는 사실이 밝혀졌고, 페이스북은 유색인종과 장애인의 글을 블로킹하는 알고리즘이 생성되었다는 사실이 밝혀진 바 있으며, 여성이 일자리를 검색하면 더 적은 임금의 일자리만이 더 많이 검색된다는 사실도 나타난 바 있다. 결국 알고리즘 설계자의 주관에 따라 편견은 개입된다는 것이다. 이러한 정보는 누적되고 반복되며 결국 그것이 진실이 되기도 한다.
개인의 건강과 관련된 정보들은 그 자체에 불평등의 결과가 내제해 있을 수밖에 없다. 건강을 결정하는 사회·경제적 결정 요인들을 고려할 때 저소득 계층일수록, 안정적 일자리가 없을수록, 차별을 심각하게 경험하는 사람일수록 건강상태는 더 안 좋을 수 있기 때문이다. 젠더 불평등에 기인한 건강 불평등 문제도 그러하며, 소득차이에 의한 주거환경에 따른 실질적 기대여명의 차이가 이를 증명한다.
또한 사회 취약계층의 경우 입력할 데이터가 아예 비어 있는 경우도 있으며, 어떤 데이터는 그 자체가 과잉돼 있는 경우도 있을 수 있다. 따라서 특정 알고리즘으로 설계될 때 관련 데이터에 반영되지 못한 이들은 소외되는 결과가 발생하고 이러한 빅데이터가 반복되고 누적되면, 애초에 데이터에서 배제되거나 왜곡된 이들은 사실상 ‘존재하지 않는 사람들’이 되거나 왜곡된 데이터가 실재하는 인간을 대신하는 결과를 야기할 수 있다.
더 큰 문제는 이런 배제와 차별의 알고리즘 문제를 발견, 인식하게 된다 하더라도 이미 그것이 빅데이터가 되어 한 사람을 설명하는 상징이 되었을 때, 이를 교정할 수 있을지 여부도 불투명하다는 것이다. 이 때문에 실체가 아닌 데이터 축적기술에 지나치게 의존한 보건·복지는 빅데이터 기술이 만드는 또 다른 ‘복지 사각지대’로 이어질 수 있다. 관료 행정에 의해 사각지대로 내몰린 사람들을 다시 온정 없는 데이터셋에 가두는 결과를 가져올 수도 있는 것이다. 이것이 복지부가 내세우고 있는 복지 사각지대 해소를 위한 보건의료 빅데이터 효용 방안이 보다 신중해야 하는 이유다. 개인 정보 빅데이터를 통해 업무의 효율화를 이룰 수 있을지는 몰라도, 사람보다 데이터가 우선되는 방식의 일방적 제도설계는 특정 집단의 데이터셋이 ‘건강 블랙리스트’로 활용될 우려를 배제할 수 없다.
이러한 이유로 유럽 개인정보보호 감독관(EDPS)은 ‘빅데이터 문제 해결에 관한 의견서(Meeting the challenges of big data)’4)를 통해 알고리즘 설계와 분석의 문제점을 제기하고 이에 대한 개인 정보 이용 동의 절차에 대한 행정기관의 역할을 전제한 바 있다. 즉, 개인 정보를 이용하고자 하는 기관들이 그 정보 주체에게 제공하고 동의 받아야 할 내용을 전제하고 있는데, “개인에 대해 관찰되고 추론된 개인정보가 무엇인지, 어떠한 개인정보가 처리되었는지에 대한 명확한 정보를 해당 개인에게 제공해야 하며, 개인정보의 사용 목적과 방법에 대해 보다 확실하게 고지해야 한다.”는 내용을 담고 있다. 또한 개인들에게 고지해야 할 내용에는 “개인 정보 수집과 활용의 목적, 방법에 대한 가정과 예상을 결정하는 알고리즘의 논리(logic)도 포함된다”고 명시하고 있다. 유럽 개인정보보호 감독관의 의견은 알고리즘에 따라 수집되고 분석된 데이터의 내용은 언제든지 그 설계기관이나 개인의 주관에 따라 달라질 수 있다는 점을 고려한 것이다.
개인 정보 보호 조치가 상대적으로 강력하다고 하는 유럽국가들 뿐만 아니라 보건의료 데이터를 활용해야 한다고 주장하는 OECD조차도 지난 1월 ‘보건의료 데이터 거버넌스에 대한 권고(Recommendation of OECD Council on Health Data Governance)’안을 발표했다. 권고에서 “건강관련 데이터는 본질적으로 민감하고, 데이터 공유와 사용 확대는 데이터의 손실 위험을 증가시키거나 유출 및 오남용 위험을 야기해서 개인에게 개인적, 사회적, 재정적인 위해를 끼칠 수 있고, 보건의료서비스 제공자와 정부에 대한 대중의 신뢰를 떨어뜨릴 수 있다”5)고 지적하며, 각국 보건 부처 장관 회의를 통해, 개인 정보 제공자에게 충분한 설명 후 동의를 구하는(informed consent) 적절한 절차를 제시한 바 있다.6)
보건의료 데이터의 경우 개인정보 중 가장 민감한 정보에 해당되기 때문에 그 사용에 앞서 충분한 설명이 전제된 ‘동의 절차’ 가 전제되어야 하며, 공공의 목적과 부합하지 않을 경우에는 또 다른 적합한 대안 및 예외가 있어야 하며, 그에 따른 보호 조치가 뒤 따라야 함을 지적한 것이다. 또한 이러한 개인 건강정보 처리에 대한 동의는 충분한 설명이 전제되고 자유로운 의사 결정이 전제된 상황에서만 유효하다고 강조한다. 이런 국제적 기준을 볼 때 복지부가 공단이나 심평원, 질병관리본부 등을 통해 집적한 개인 정보를 연계·활용하기 위해서는 국민의 동의를 얻어야 하고, 이를 어떻게 이용할 것인지, 어떤 처리과정을 거치고 어떤 법적 보호 조치를 할 것인지에 대해 명확하게 밝히는 일이 선행되어야함이 명확해진다.
복지부 보건의료 빅데이터 사업은 현재 텍스트 데이터라 볼 수 있는 건강보험공단, 심사평가원, 질병관리본부, 유전자 검사 결과 등의 연계이지만, 이것이 보건의료 플랫폼 구축을 통해 모바일 어플이나 IoT등으로 음성적 형태로 수집되고 있는 개인 신체·바이오정보·생활정보가 결합 될 수 있으며, 이는 개인의 과거와 현재 그리고 일상의 모든 정보가 결합되는 것과 다르지 않다. 이러한 빅데이터 사업이 공익적 목적으로 활용된다 해도 동의 절차가 필요하다. 하물며 민간 활용을 전제한다는 방침이 완전하게 폐지되지 않은 이상, 이를 위한 시범사업의 위험성은 너무 클 수밖에 없다. 복지부가 보건의료 빅데이터 플랫폼 시범 사업을 진행하기 위해서는 이러한 개인정보의 밀집과 연계 집적 처리가 낳을 위험에 대한 보호 조치를 강구하고 이를 사회적 장치로 어떻게 마련할 것인가에 대한 논의가 동시에 진행되어야 한다. 그리고 이러한 사회적 조치 마련이 전제되지 않은 상태에서 시범사업은 시작되어선 안 된다. 플랫폼 사업의 특성 상 관련 틀을 만드는 것 자체가 문제가 될 수 있으며, 문제가 제기되어서 이를 중단한다고 해도 이미 쓸모없는 세금 낭비가 될 것이기 때문이다.
사실상 복지부가 주무부처로서 우선 해야할 일은 현재 기업이 만든 각종 인터넷 사이트와 어플을 통해 무작위 수집되고 있는 개인의 신체·건강 정보 데이터를 어떻게 관리하고 규제할 것인가에 대한 논의다. 박근혜표 비식별 가이드라인의 목적은 이미 이런 음성적인 데이터 수집을 합법화해주는 것임을 고려할 때 지금도 무방비로 수집되고 있는 포괄적 개인 건강·신체 정보를 어떻게 정의하고, 어떻게 법 안에서 보호할 것인가에 대한 정부 방침을 마련하는 것이 우선되어야 한다.
마지막으로 복지부는 최근 심평원 사태에서 교훈을 찾아야 한다. 사람들이 믿고 찾아갔던 병의원에서 제공 받은 개인의 진료 기록을 공공기관이 개인의 동의 절차도 없이 30만원의 실비로 기업 돈벌이에 제공했다. 공익 목적을 위한 연구도 아니었다. 그런데 심평원은 이 사태에 대해 공식적인 별다른 문책을 받지 않았다. 누구 하나 책임을 지고 물러난 사람도 없다. 오히려 공공정보 이용에 관한 법률에 의거해 공공정보를 연구목적으로 제공했다는 말도 안 되는 변명만을 늘어놓고 있다. 환자들의 진료 기록을 심평원에 제공하는 이유는 의료인의 진료 처방 내역을 심사·평가해 제대로 된 진료를 하고 있는지 관리 감독 하라는 의미다. 그럼에도 불구하고, 자신들에게 제공된 진료기록을 ‘공공정보’ 라고 정의하고 이를 마음대로 처리·이용하는 권한을 부여받았다고 자임하고 있다. 누가 이러한 권한을, 이러한 정보 사용에 대한 권력 남용을 눈 감아 주고 있는가?
심평원 사태뿐만 아니라 지속적으로 발생하고 있는 개인질병 정보에 대한 상업적 거래는 정권차원에서 추진하고 있는 빅데이터 산업화 방침에 의해 지원받고 있다. 박근혜 정부 시기 ‘창조경제’론에서 시작된 빅데이터 산업화는 ‘4차 산업혁명’ 으로 이어졌으며 이는 문재인 정부 하에 ‘4차 산업혁명위원회 산하 헬스케어 특위’ 로 이어지고 있다. 자본 입장에서 저성장의 돌파구가 될 것이라 예견하고 있는 ‘4차 산업혁명’은 고위험·고부가가치 산업을 의미한다. 이러한 산업들이 부동자금을 투자금으로 다시 끌어올 수 있다는 판단에 따른 것이다. 그러나 자본의 빠른 투자수익률을 위한 산업 패러다임 전환을 공익이 핵심인 보건·복지 분야에 적용하는 것은 대단히 우려스러운 일이다.
고부가가치 창출은 고위험을 전제하고 있으며, 이는 곧 규제완화를 조건으로 한다는 점을 간과해서는 안 된다. 즉, 생명과 건강을 다루는 분야에 있어 필수적인 안전 장치에 대한 규제 완화를 의미한다. 이처럼 고위험 산업을 지원한다는 정부의 정책 기조는 박근혜 정부의 적폐를 이어받고 있다는 비판을 면하기 어렵다. 이러한 정책 기조 때문에 복지부는 심평원 사태뿐만 아니라 SK텔레콤, 약학정보원, IMS헬스 등 개인정보 관련 사태에 대한 해결책을 제시하고 있지 못하고 있다. 시민사회단체가 ‘박근혜식으로 추진되던 보건의료 빅데이터 사업과 문재인 정부 하 복지부의 추진 전략의 구별점이 있는가?’라고 되묻는 것은 이러한 정책적 기조가 유지되는 것에 대한 우려 때문이다.
그리고 정부는 2016년 결국 중단된 영국의 ‘care.data.NHS’ 의료 정보 공유 사업에서도 교훈을 얻어야 한다. 국민의 동의 절차를 무시하고 기업들에게 개인 의료 정보를 제공하고자 했던 영국 정부의 시도는 큰 사회적 혼란을 야기해 결국 100만 명의 옵트아웃(당사자가 자신의 정보 수집을 허용하지 않는다고 명시) 선언으로 이어지면서 보수당 정권 자체를 뒤흔드는 문제가 되었다. 국민의 동의 절차 없이, 박근혜 정부 하에서 기업 로비를 전제로 진행된 보건의료 빅데이터 추진 사업이 이제 그 목적을 분명히 하고 보다 분명한 개인 정보의 법 제도적 보호조치 하에 재논의 되어야 하는 이유다.
더불어 보건의료 빅데이터 사업의 일방적인 추진으로 인해 국민건강보험에 대한 신뢰가 흔들리게 된다면, 정부의 보건의료분야 핵심 정책인 문재인케어가 실행되는 존재기반마저 흔들릴 수 있다. 건강보험에 대한 사회적 혼란과 흔들림으로 반사 이익을 얻는 것은 민간보험사를 비롯한 의료자본이다. 이 점을 상기할 때 의료민영화 반대라는 분명한 공약 속에서 당선된 문재인 정부가 어디를 향해야 하는지는 분명해 보인다. 정부 정책은 사회적 실행을 위한 것이며, 이러한 사회적 실행의 결과가 낳을 문제들에 대해 더 많은 연구와 토론 그리고 사회적 공론화 과정이 필요하다.
또한 국회는 빅데이터 사업 예산을 통과시켰으나 시민사회단체의 눈을 의식해 본 사업이 아닌 시범사업으로 예산집행을 한정시킨 것을 성과라면 성과로 삼을 수 있겠다. 나아가 국회는 2018년 추진될 시범사업의 과정과 결과에 있어 제대로 된 감시와 평가를 진행하고 관련 내용을 제대로 공론화하는 데 그 역할을 해야 할 것이다.
1) 전자신문, 12월 19일자 ‘보건의료 빅데이터 '족쇄' 분다...국가 프로젝트 추진’http://www.etnews.com/20171218000395
2) Executive Office of the President(2016 May), Big Data: A Report on Algorithmic Systems, Opportunity, and Civil Rights
[기자회견 개요]
- 사 회 : 김재헌(무상의료운동본부 사무국장)
- 여는말 : 김경자(무상의료운동본부 집행위원장, 민주노총 부위원장)
- 발 언1 : 정형준(무상의료운동본부 정책위원장)
- 발 언2 : 조창호(국민건강보험공단노동조합 정책기획실장)
- 발 언3 : 김진현(사회진보연대 정책교육국장)
- 발 언4 : 변혜진(건강과대안 상임연구원)
[기자회견문]
개인정보 팔아넘긴 건강보험심사평가원 규탄한다!
국민건강정보 활용하는 보건의료 빅데이터 사업 즉시 공개하고 추진 중단하라!
- 심평원은 심사평가 기능 외 빅데이터 산업화등에서 손떼야
- 공공데이터의 영리적 이용은 원천적으로 금지되어야
- ‘개인정보 비식별조치 가이드라인’도 즉각 폐기되어야
- 현재 추진되는 빅데이터 사업은 박근혜 정부 ‘적폐’
- 이후 추진과정은 공개되고, 개인정보에 대한 민주적 참여권리가 보장되어야
지난 10/24(화) 더불어민주당 정춘숙 의원은 건강보험심사평가원(이하 심평원)이 2014년 7월부터 2017년 8월까지 8개 민간보험사 및 2개 민간보험연구기관에게 보험료 산출 과 보험상품개발 등을 위해 요청한 ‘표본 데이터셋’을 판매했다고 밝혔다. 이는 횟수로는 총 52건, 대상자는 무려 6,420만 명분에 해당하는 양이다.
여기에는 상병내역, 진료내역, 처방내역등이 모두 포함되어 있었고, 민간보험사는 공식적으로 이 데이터를 참고해 각종 질병에 대한 위험요율을 계산하여 보험상품을 개발, 막대한 이익을 얻었다. 문제는 심평원이 민간보험사의 영리적 목적 이용을 알고 있음에도 데이터를 제공했다는 사실이며, 나아가 민간보험사 등이 이 자료를 다시 재조합, 비식별화하여 다른 정보와 결합 유용했을 가능성을 배제할 수 없다는 것이다. 그리고 관련 정보는 민간보험사의 리적 건강관리서비스 등의 기반이 되었을 가능성도 크다.
더불어민주당 진선미 의원에 따르면, 지난 1년간 정보제공자의 동의 없이 결합한 데이터는 개인정보 1억 7,000만 건이라고 한다. SCI평가정보, 한화생명, 한화손해보험, 삼성생명, 삼성카드, KB국민카드 등 민간보험사 등이 다수 포함되어 있다. 또한 이러한 결합 및 정보이용은 작년 6월 박근혜 정부가 만든 ‘개인정보 비식별조치 가이드라인’에 따라 제공되어 제대로 비식별화 되었는지 확인한 공적기관조차 없다.
법률이나 행정입법이 아닌 가이드라인으로 국민들의 개인정보를 팔는 경우는 전 세계적으로 유례가 없다. 결국 심사평가원의 개인건강정보유출, 각종 개인정보의 결합조치 등은 매우 심각한 사안이다. 이는 보건의료 빅데이터 사업의 미명하에 각종 공공기관을 동원한 박근혜 정부의 무차별 규제완화책이 배경이었다. 이에 시민사회노동단체는 개인건강정보를 유출한 심평원을 규탄하고 보건의료 빅데이터 사업의 원점 재검토를 요구한다.
1. 심평원은 공공기관으로써 자신의 책무에 집중하고, 빅데이터등 의료산업화을 중단하라.
심평원의 역할은 건강보험의 적정화를 평가하고, 앞으로 국민건강보험제도 발전에 이바지하는 것이다. 다시말해 심평원이 가지고 있는 막대한 데이터와 업무는 공적보험인 국민건강보험의 운영과 발전을 위한 것이 되어야 한다. 그러나 사실상 건강보험을 보완하거나 대체하려 하는 민간보험에 공적데이터를 넘긴 것이다. 또한 국민들과 의료인들은 심평원에 적정한 심사평가를 위해 건강정보를 제공한 것 일뿐, 자신의 정보를 데이터로 만들어 판매에 동의한 바 없다. 따라서 심평원이 개인정 데이터셋을 만든 행위는 불법이다.
이명박,박근혜 정부를 거치며 심평원은 각종 의료산업화의 역할을 하기로 하였다. 대표적으로 민간보험사의 심사평가대행 도입논의였고, 또 다른 하나는 영리적 빅데이터 사업에 참여한 일이다. 민간보험사의 이익을 위해 심사평가를 하려고 한 것도 문제이지만, 이들 보험사에 데이터를 넘긴 것도 비슷한 문제다. 심평원을 영리기업들의 도구로 전락시키려 한 행위가 지난 10년간의 적폐다. 따라서 이제라도 본연의 목적대로 건강보험 심사평가에 국한된 본연의 모습으로 돌아가야 한다. 이를 위해 이번 데이터셋 판매에 대해서는 심평원과 그 책임자들에게 엄중한 문책이 있어야 한다.
2. 개인건강정보 비식별화 가이드라인은 즉각 폐기되어야 한다.
이번 심평원의 개인건강정보셋 유출건을 보면, 심평원이 자체적으로 개인건강정보셋을 비식별화하여 판매한 것으로 되어있다. 원래 비식별화란 향후 데이터 등을 재조합하더라도 개인식별이 안되도록 해야 제대로 되었다고 할 수 있다. 때문에 전세계적으로 비식별화를 데이터 확보한 기관에서 하는 경우는 거의 없다. 즉 데이터를 생성축적하는 곳과 비식별화를 하는 기관이 다르고, 비식별화를 하는 기관은 제3의 공공기관이다. 무엇보다 제대로 된 비식별화가 되었는지를 누군가 확인하고 이후 발생할 문제를 처리하기 위한 제도와 기관도 필요하다. 때문에 비식별화에 대한 기준과 방향은 최소한 행정입법수준에서 사회적 합의를 통해 만들어지는 것이 정상이다.
하지만 지금 공공기관은 물론 민간기관에서 기준으로 활용하는 2016년 6월 ‘개인정보 비식별화 가이드라인’은 말이 되지 않는다. 가이드라인에 따르면 고작 3명 이상이 각종 비식별화 확인을 수행하고, 데이터 축적기관이 직접 비식별화를 추진하는 것도 열어두었다. 이 가이드라인조차 제대로된 공청회나 의견청취도 받지 않았다. 결국 박근혜 정부의 무차별 규제완화의 일환인 가이드라인으로 국민들의 개인건강정보는 규제도 받지 않고 쉽게 팔리게 된 것이다. 이번 심평원 사건도 가이드라인이 부추긴 부수적 효과이기도 하다. 또한 이 가이드라인으로는 민간보험사가 심평원에서 받은 데이터를 결합해 ‘비식별화’ 했다는 이유만으로 다른 기업에 결합 유출할 수도 있고 처벌하지 못한다. 따라서 개인건강정보 비식별화 가이드라인은 즉각 폐기되어야 한다.
3. 보건의료 빅데이터 사업은 전면 재검토되고 공개되어야 한다.
심평원의 데이터셋 판매 건은 박근혜 정부가 추진한 빅데이터사업의 일환다. 박근혜 정부는 창조경제라는 명목하에 보건의료 빅데이터 사업을 주장하고, 이를 위해 각종 규제완화를 시작했다. 집권1년차부터 ‘빅데이터 개인정보보호 가이드라인’를 발표했고, 개인정보보호위원회 등의 반대에도 불구하고 2014년 이를 강행했다. 박근혜 정부는 공공 개인건강정보 데이터도 제약회사의 신약개발, 유전자치료제 개발, 정밀의료발전 등의 명분으로 마구잡이로 빅데이터 사업에 집어 넣었다. 또한 비식별화 문제는 앞서 밝힌대로 가이드라인으로 처리했다.
사실 민간기업이 제품판매로 얻은 개인정보의 빅데이터화도 큰 문제이지만, 공공데이터의 영리적 이용은 더 큰 문제다. 공공데이터는 대부분 사회서비스나 행정서비스등의 편의성과 효율성을 위해 국민개개인이 제공한 정보이다. 이들 정보 제공시에 민간기업 등 경우처럼 정보제공 동의도 거의 받지 않고, 정보제공자도 국가와 공적기구의 비영리성을 신뢰하여 이런 문제를 특별히 제기하지 않기 때문이다.
특히 국민건강보험하에서 만들어진 정보는 애초부터 건강보험청구와 심사, 공공이익 등을 위해 만들어진 것들이다. 쉽게 말해 이들 정보를 만드는데 참여한 환자와 의료인들은 애초부터 민간기업의 신약개발 등에 모든 진료정보 등이 사용토록 동의한 바가 없다. 이를 위해서는 임상시험 참여의 동의수준에 해당되는 절차가 필요했다. 여기다 개개인의 동의를 받지 않은 것은 물론이고, 이런 빅데이터 사업을 추진하는 과정자체도 시민사회 및 공개적으로 상의한 바도 없다.
박근혜 정부는 개인건강정보 문제에 대한 시민사회의 문제제기를 무시하고 이를 강행하였다. 개인동의도 없는 보건의 빅데이터 사업은 지금에서라도 원점에서 재검토되어야 한다.
우리는 이번 심평원의 어처구니 없는 정보유출건이 빙산의 일각일 것으로 판단한다. 또한 지난 수년간 막무가내로 진행된 보건의료 빅데이터 사업으로 인한 폐해도 아직 제대로 드러나지 않았다. 정보 불평등과 정보 유출의 폐해가 드러나는 것은 수십년이 지나서일 수도 있다. 다만 한국의 개인정보는 이미 수차례 기업들의 부주의로 해킹되었고, 이름, 주민번호, 전화번호, 주소 등이 지금도 암암리에 팔리는 나라다. 여기에 결합되어 식별화 혹은 암호해독이 될 가능성이 높은 개인정보가 결합되면 어떻게 될지 걱정다.
단순히 민간보험사의 보험료인상, 제약회사의 과도한 특허신약의 문제뿐 아니라, 향후 채용, 결혼, 인사고과 등 모든 부분에 개인건강정보가 유용 될 수도 있다는 우려도 있다. 이는 누구도 바라지 않는 디스토피아일 것이다. 때문에 영국과 같이 국가의료제도(NHS)로 어느 곳보다 표준화된 데이터축적이 손쉬운 곳에서도 작년부터 빅데이터사업인 케어닷데이터(care.date)을 중지하고 재검토하고 있다.
4차 산업혁명이라는 미명하에 개인건강정보를 집적화하여 큰 발전을 이룩할 수 있다는 가설도 아직 입증된 바 없다. 이는 신중히 준비해서 근거를 마련해가야할 산업분야이며, 보건의료 빅데이터도 연구과제일 뿐이다. 이런 연구과제를 위해 무차별 규제완화를 감행한 박근혜정부는 이제 촛불항쟁으로 사라졌다. 따라서 박근혜정부가 사라진 것처럼, 보건의료 빅데이터에 대한 맹목적인 환상도 사라져야 한다. 또한 보건의료 빅데이터 사업은 타당성부터 안전성, 효용성까지 전면 재검토가 이루어져야 한다.
2017년 10월 30일
건강과대안 / 인도주의실천의사협의회 / 참여연대 / 의료민영화저저와무상의료실현을위한운동본부
시민들의 의견
댓글 달기