주요 콘텐츠로 건너뛰기

[오픈넷 포럼 요약문] 빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

지역

[오픈넷 포럼 요약문] 빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

익명 (미확인) | 목, 2016/03/24- 13:11

[오픈넷 포럼 요약문]

빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

- 빅데이터와 사물인터넷 시대에 개인정보는 어떻게 보호되어야 할까요? (2016.03.21. 개최)

 

* 참조(발제문 및 토론문): http://opennet.or.kr/11312

빅데이터와 사물인터넷 시대에 개인정보는 어떤 범위에서 얼마나 보호되어야 할까요? 최근 가장 논란이 되고 있는 것은 과연 비식별화 정보가 개인정보인가?입니다. 요즘 주목받고 있는 빅데이터, 사물인터넷 사업을 하기 위해서는 개인정보를 활용하는 것이 필요합니다. 이때 비식별화 정보는 개인정보가 아니므로 제한없이 자유롭게 이용할 수 있어야 할지, 비식별화정보라 하더라도 개인정보보호 위반의 문제가 발생하므로 여전히 보호가 필요한 것인지에 대해 의견이 분분합니다. 이번 오픈넷 포럼에서는 개인정보의 비식별화 관련된 쟁점들을 살펴보고 개인정보를 보호하면서도 산업 발전에 이용할 수 있도록 하는 방향의 해결책을 함께 모색해보고자 합니다.

 

Ⅰ. 발제

개인정보 비식별화 또는 익명화 쟁점 (심우민 | 국회입법조사처 입법조사관)

발제를 진행한 심우민 입법조사관은 세계적으로 개인정보보호입법과 관련해서 어떠한 쟁점이 있는지를 설명한 후 방송통신위원회에서 2014년 발표한 「빅데이터 개인정보보호 가이드라인」을 비판적으로 검토하고, 개인정보보호 관련 입법 시 고려해야 할 요소가 무엇인지 설명하였습니다. 그리고 개인정보보호법제의 패러다임 변화가 필요하다는 점을 강조하였습니다.

먼저 개인정보 보호입법 개선논의는 급격한 정보화를 겪고 있는 대부분 국가들의 문제라고 하며, 우리나라 개인정보 개념정의 규정이 매우 포괄적이어서 문제가 있다는 지적이 있지만, 실제 각국의 개인정보 보호법제의 개념정의 규정들과 비교해보면 우리나라보다 포괄적인 경우도 존재한다고 지적하였습니다. 물론 형사제재의 경우에는 과도하다는 문제가 있다고 합니다.

개인정보 보호법제를 둘러싼 논란은 결국 빅데이터, 사물인터넷과 같은 새로운 정보통신 환경의 변화로부터 기인하였으며, 근원적인 이유 중 하나는 개인정보 또는 프라이버시 보호법제의 ‘패러다임 교착현상’ 때문이라고 합니다. 프라이버시와 같은 개념은 모호하고 추상적입니다. 그런데 이러한 프라이버시를 보호하기 위해 세계각국의 현행 법제들과 법원은 개인정보자기결정권이라는 권리 개념을 만들어서 식별성을 전제한 개인정보를 보호하고 있습니다. 그러나 식별성이 전제되지 않은 프라이버시 개념이든, 식별성이 전제된 개인정보든 결국 법원의 해석을 요구한다는 것입니다.

예전에는 정보와 결합해서 개인정보가 식별성을 가지는 경우가 많지 않았으므로 개인정보자기결정권을 정의하는 것이 용이하였으나, 빅데이터 등이 등장하는 현재의 기술적 발전상황에서는 결국 법원의 해석 여지가 더욱 넓어지고 개인 식별 가능성을 중심으로 한 현행 개인정보보호법제는 한계에 이르게 됩니다. 그 결과 식별 가능성을 전제로 정보주체의 개인정보자기결정권의 실현방식을 동의권을 중심으로 규정하고 있는 현행 법제 또한 한계에 봉착하게 되는 것입니다.

방송통신위원회가 2014년 12월에 공표한 「빅데이터 개인정보보호 가이드라인」의 주요내용은 ①개인정보의 개념 설정과 ②동의요건의 면제입니다. 가이드라인을 살펴보면 제2조에서 비식별화 정보에 대해 설명하고 있는데 그 중 가명처리(pseudonymous)를 포함하고 있습니다. EU Directive에서는 가명처리는 적절한 익명화(또는 비식별화) 방법이 아니라고 하였는데 우리나라의 경우에는 이를 비식별화 방식으로 포함시키고 있다는 점이 특징입니다.

최근 EU의 GDPR논의에서 가명처리정보(pseudonymous data)도 개인정보의 일종으로 포함시켜 규제하기 위한 시도가 이루어지고 있다는 점도 유의할 필요가 있다고 합니다. 이 가이드라인을 법처럼 적용하려는 시도가 많습니다. 그러나 가이드라인의 경우 현행 개인정보법제와 개인정보 요건이 다르고, 동의요건을 면제하고 있으므로 기본권으로서 개인정보자기결정권 제한 가이드라인제정이 아니라 현행법을 개정해야 한다고 합니다. 참고로 EU Directive의 경우 어떤 규범력을 가지는 법적인 근거로 작용하고 있지는 않다고 합니다.

결국 심우민 입법조사관이 강조하는 것은 개인정보 보호법제의 패러다임이 변화해야 한다는 것입니다. 식별정보와 비식별정보를 구별하지 않고 모두 보호대상으로 하며, 실질적인 위험을 기반으로 하는 정보에 대해 규제 및 집행이 이루어져야 한다는 것입니다. 현재 산업계를 중심으로 보호영역을 축소해야 하고, 동의요건을 개정해야 한다는 의견이 많지만 그것이 입법에 있어서의 본질적 문제는 아니라고 합니다. 실질적인 이용자 프라이버시 보호방안에 대한 진지한 고민이 더 필요하다는 것입니다.

 

Ⅱ. 토론

1. 개인정보보호에서 비식별화의 기술적 문제점과 트렌드 (이영환 | 건국대학교 기술경영학과 교수)

이영환 교수는 우리나라의 경우 기술과 관련된 법을 만들 때 기술자와 같은 전문가에게 묻지 않고 법을 만드는 것이 문제라고 합니다. 가장 먼저 생각해야 하는 것은 알고리즘이라고 합니다. 즉 정밀한 알고리즘을 바탕으로 하여 비식별화하는 것이 맞는것인지 생각해야 한다는 것입니다.

현재 비식별화(deidentification)는 알고리즘이 정확히 나오고 있으며, 익명화(anonymisation)는 정확한 알고리즘이 나오지 않고 있다고 합니다. 현재 익명화된 정보의 다양성을 확보하도록 하여 유용성을 확보하면서도 개인정보를 추출하기 어렵도록 하는 비식별화 알고리즘이 있습니다.(K-anonymization, T-closeness) 다만 문제는 비실용적이라는 것입니다(NP-Hard). 파일 하나 익명화하는데 3,500년이 걸릴 수 있다고 합니다.

이때 제일 좋지 않은 방향은 비식별화를 전제로 유통화를 하자고 하는 것이라고 합니다. 전혀 쓸모없는 정보를 유통시키자고 하는 것과 같다는 것입니다. 물론 개인정보를 보호하는 것은 좋습니다. 그러나 이런 식으로 데이터 유통을 막아서 가장 손해를 많이 보는 개인은 서민들입니다. 예를 들어 저축은행의 대출을 받는 사람의 50%가 30%대의 금리에 시달립니다. 이들은 대부분 중금리층 서민, 청년들입니다. 약탈적 금융에 시달리는 것입니다. 이러한 금리 양극화를 해소하기 위해서는 데이터가 유통되어야 한다고 합니다. 데이터가 없다보니 부실 비율이 높아지고, 대부업체들이 영세해지는 것입니다. 개인정보가 유통되지 못하게 막는 것이 좋은 것은 아니라는 것입니다.

우리나라의 경우 개인이 개인정보를 판매하는 길이 막혀 있다고 합니다. 그러나 외국의 경우 개인정보 데이터를 팔아서 돈을 법니다. 이영환 교수가 강조하는 것을 한 줄로 정리하면 “데이터는 유통되어야 한다”입니다. 개인정보 보호보다 더 중요한 것이 유통이며, 데이터 유통을 위한 새로운 비즈니스에 나서야 한다는 것입니다. 몇몇 개인의 개인정보를 보호하기 위해 산업을 그만둬야 하는 것은 아니라는 것입니다.

 

2. 비식별화된 개인정보 문제 (박경신 | 고려대 법학전문대학원 교수)

박경신 교수는 개인정보보호법에 대해 너무 어렵게 생각하는 것이 인권 차원에서든 산업 차원에서든 제대로 된 대응을 어렵게 한다고 합니다.

먼저 개인정보의 개념과 관련하여 어느 나라든 식별가능성이 개인정보의 요건이며, 식별가능성이 없으면 개인정보가 아닌 것이라고 합니다. 그런데 이러한 개인정보의 식별가능성은 누구의 기준이냐에 따라서 다르다고 합니다. 즉 개인정보는 상대성을 가진다는 것입니다. 예를 들어 이동통신사가 가지고 있는 통화기록은 고객정보를 가진 이동통신사에게는 개인정보가 됩니다. 그러나 고객정보를 가지지 않은 제3자에게는 개인정보가 아니라고 합니다.

방송통신위원회의 가이드라인에 대해 시민단체들이 반대했던 이유 중 하나는 이동통신사가 고객의 통화기록을 가지고 있는데, 이 통화기록이 이동통신사에게는 개인정보가 되지만, 이를 비식별화해서 제3자에게 넘겨주면 제3자에게는 개인정보가 되지 않는다는 점이었다고 합니다. 이 점을 어떻게 해석할 것인가? 하는 문제 때문에 분쟁이 발생하였다는 것입니다.

이동통신사가 고객통화기록을 넘겨줄 때 원본을 통째로 넘겨주는 것이 아닙니다. 복제본을 만들어서 그 복제본을 비식별화해서 넘길 것입니다. 그렇다면 비식별화한 복제본을 만들었다 하더라도 원본 데이터베이스를 가지고 있게 됩니다. 통화기록에 대해 제3자가 본래 넘긴 목적과 다른 목적의 연구를 진행할 경우 이동통신사는 그 연구결과를 통해 통화기록을 넘길 때와 다른 목적의 가공된 개인정보 데이터를 취하게 됩니다. 이것은 개인정보보호법의 취지에 반한다고 합니다.

그래서 2015. 12. GDPR 에서는 가명화 데이터에 대한 규정들을 두었다고 합니다. 제6조, 제7조가 가장 중요한 조항인데, 예외로서 암호화 및 가명화를 고려하여 수집 목적과 다른 목적으로 이용 가능하지만 가명화할 때는 실명화되지 않기 위한 기술적 조치를 요구합니다. 가명화가 익명화가 아니라고 하는 경우는 재실명화가 합리적으로 개연성이 있을 때를 말한다고 합니다. 이동통신사의 예를 들자면 원본 데이터를 가지고 있고, 데이터 복제본을 떠서 데이터 연관 회사에 넘겼을 때 원본 데이터(Key)를 가지고 있으면 몇 가지 정보를 가지고 누구의 정보에 대해 연구한 것인지 알게 됩니다. 그런 것들을 할 수 없도록 조치를 하라는 것입니다. 즉 키가 되는 데이터들을 조직 내에서 접근할 수 있는 사람을 제한하고 암호화할 것을 요구하는 것입니다.

박경신 교수는 이 문제는 매우 구체적인 문제라고 하며, 심우민 조사관이나 이영환 교수가 말한 것처럼 근본적인 가치 판단을 요구하는 복잡한 문제는 아니라고 하였습니다. GDPR에 나와 있는 가이드라인에 따라서 재실명화하는 Key에 대한 보안, 조직적 격리 조치를 통해서 비식별화한 데이터가 산업적으로 쓰일 수 있도록 하는 방법이 있지 않을까 생각한다며 토론을 마무리 지었습니다.

 

3. 익명화, 비식별화, 개인정보에 관하여 (전응준 | 유미 법무법인 변호사)

전응준 변호사는 익명화, 가명화, 비식별화라는 용어의 정의를 먼저 짚었습니다. 먼저 「익명화」(anonymisation)는 독일 연방데이터보호법에 정의가 나온다고 합니다. 주목할 것은 합리적인 비용, 시간, 노력 내에서 식별이 되지 않는다면 익명화라고 보고 있다는 점이라고 합니다. 2014년 EU 데이터보호법 핸드북에서도 같은 취지로 합리적인 노력 하에서 식별이 안되면 익명화라고 보았다고 합니다.

「가명화」(pseudonymisation)의 경우 GDPR에서는 추가적인 정보가 없고 특정인에 대해 식별이 안되는 것이라고 정의하고 있다고 합니다. 전제조건은 추가정보가 별도로 보관되고 재식별화되지 않도록 기술적 보호조치가 취해져야 한다는 것입니다. 독일 연방데이터보호법에서는 식별자를 다른 레이블로 대체한 것, 차명 또는 가명화되고 이것이 결국 실제적으로 식별이 어렵게 되었을 때(불가능해진 것이 아니라) 가명화되었다고 봅니다. 데이터보호 핸드북도 마찬가지입니다. 결과적으로 간단한 암호화에 해당합니다.

개인정보보호법의 규제의 대상이 되지 않는 경우와 대상이 되는 경우를 구별하려면 용어 구별이 필요하다고 합니다. 익명화는 원본 데이터로 회복이 불가능한 것을 말하고, 비식별화는 식별성을 완전히 제거하는 것이 아니라 리스크를 최소화하는 것을 의미한다고 합니다. 비식별화 정보는 명백하게 개인정보에 해당합니다. EU 데이터보호법 핸드북에서도 해당한다고 밝히고 있습니다. GDPR 제10조에서는 명시적으로 가명처리한 경우 면제될 수 있다고 하고 있습니다. 그 외 제32조에서는 암호화 등 데이터를 인식불가능하게 한 경우 데이터 유출 시 정보주체에게 통지를 면제하는 등의 관련 규정을 두고 있다고 합니다.

전응준 변호사는 특히 참고할만한 사례로 미국 건강보험법(HIPAA, Health Insurance Portability and Accountability Act)을 들었습니다. 이 법에 따르면 의료정보기관이 관련 전문가의 개별적인 판단을 받고, 18개 식별자를 모두 제거하는 경우에는 프라이버시 규율에서 벗어날 수 있다고 합니다. 물론 이용자들의 프라이버시를 완전하게 침해하지 않는다고 할 수는 없지만 나름의 기준에 근거하여 의료정보에 대한 문제점을 체크할 수 있는 제도로 대중에 데이터를 제공할 수 있도록 하는 방법이므로 참고할 만하다고 합니다.

우리 개인정보보호법은 엄밀한 체계를 가지고 있다고 합니다. 일본법은 ‘익명가공정보’, ‘특정성 저감 데이터’ 와 같은 개념을 적용하여 그러한 데이터에 대해 개인정보보호법이 완화되는 시도를 한 바 있습니다. 이러한 개념이 없는 우리나라의 경우에는 일부 완화된 해석을 통해 할 수 있을 것이라 합니다. 즉 제한 해석하면 식별정보의 범위가 줄어들 수 있다는 것입니다. 독일법처럼 원본데이터로 돌릴 수 없는 정보 정도로 보는 해석이 유효하지 않나 생각한다고 합니다. 법을 개정하는 것보다는 해석론으로 해결하는 것이 더 용이할 것이라는 점도 덧붙였습니다.

결국 비식별 방법론 알고리즘, 통계적 연구가 절대적으로 필요하다고 합니다. 이론도 필요하지만 실제로 어느 정도로 비식별화 했을 때 안전하게 정보를 유통할 수 있는지가 선결적으로 해결되어야 한다고 합니다.

 

Ⅲ. 플로어 토론

F= Floor, A=Answer

 

F. 개인정보보호법이 꼭 필요한 법이기는 하지만 지나친 처벌 조항이 있어 현장에서는 개인정보를 아예 수집하지말자는 분위기가 형성되어 있습니다. 즉 정보를 모아 사업화하는 것 자체를 원천봉쇄하는 것입니다. 활용에 대해 개인의 의사 결정을 존중해주는 제도가 없습니다. 개인정보보호법은 보호를 위주로 하기 때문에 그런 방면의 생각이 결여되어 있습니다. 다른 법을 활용해서라도 그런 부분을 열어야 합니다. 빅데이터 활용을 어떻게 해야 하는지, 알고리즘은 어떤 항목을 해야하는지 구체화가 필요합니다.

A. 이영환: 하나하나 데이터를 들여다 보면서 해야 하는 부분이 있습니다. 결국 관련 연구가 지속적으로 이루어질 수 있는 팀이 필요합니다. 리포트를 계속 만들어내야 합니다.

 

F. 결국 어떻게 해야 하는가에 대한 구체적인 답은 없는 것 같습니다. 구체적인 방법론이 제시되지 않고 있습니다.

A. 이영환: 관련 정부 부처에서도 지속적으로 무언가 해야 한다는 필요성을 느끼지만 그것이 잘 안되고 있습니다. 연구팀이 있어야 합니다. 이런 것에 대한 가이드라인을 국가적으로 제시해야 합니다.

전응준: HIPPA 이야기를 했었습니다. 의료정보의 18개의 식별자를 정해서 그게 없으면 비식별 정보이므로 유통이 가능하고, 16개만 있으면 일부 규제를 받습니다. 즉 프라이버시 룰을 정한 것입니다. 위험성이 없다고 할 수는 없지만 미국은 이러한 방법론을 제시하고 있으므로 참조할만합니다.

박경신: Key를 자기가 가지고 있어도 암호화 또는 조직 내 보관을 잘 하고 있으면 익명정보로 보아 개인정보보호법이 적용되지 않도록 하는 반면, GDPR은 가명화를 하더라도 재실명화할 수 있는 Key를 본인 또는 조직이 가지고 있으면 그 개인정보에 대해서는 몇 가지만 제외하고 다른 개인정보와 같이 봅니다. 식별자를 떼고 넘긴다는 동의를 얻어야 할 것입니다. HIPPA 방식, 제한적 비식별화시 개인정보로 보지 않는 방식, GDPR 방식을 두고 논쟁이 있어야 하는데 그러한 논쟁 없이 방송통신위원회의 가이드라인이 나와 버렸습니다.

심우민: 리스크 매니지먼트적 접근이라는 말이 모호하기는 하지만 개인정보 개념정의의 문제로 접근하면 개념적 범주가 어디에 해당하는지를 두고 논쟁할 수밖에 없습니다. 실제로 사업자가 방지하기 위한 노력을 했느냐, 위험발생시 어떤 노력을 했느냐는 측면에서 접근을 해야 사업자로서는 규제에서 벗어날 수 있습니다. 지금 너무 개념이나 범주, 방식에만 집중하다보니 실제 풀어줘야 할 규제는 풀고 있지 않습니다. 또한 개인정보 문제로 소송을 하게 되면 이용자에게 피해가 가며, 법령상에 있는 조치만 다하면 이용자에게 책임을 전가합니다. 사업자를 위해 규제를 완화할 필요도 있지만 위험 예방적인 측면도 함께 고려되어야 합니다. 또한 사업 아이템 구상의 문제인 것인지, 식별화·비식별화가 문제인 것인지 검토해볼 필요성도 있습니다.

 

F. 사업은 구체적이지 않으면 시작할 수 없습니다. 구체적인 이야기를 하려고 해도 될 가능성이 없으면 드러낼 수가 없는 것입니다. 행정부와 같은 곳에서 제대로 얘기를 해주지 않습니다.

A. 심우민: 결국에는 방통위에서 가이드라인을 만들었지만 규범력을 지니지 못하므로 혼선만 초래했다고 봅니다. 개인정보규제의 동의요건 때문에 사업구상을 못하는 것은 넌센스입니다. 규제개혁을 하려면 구체적인 타깃이 필요합니다. 식별성·비식별성, 동의요건 담론으로 가는 것은 문제입니다.

 

F. (심우민 답에 대한 반론) 우리나라는 무조건 개인정보 수집을 통제하는 데 골몰하고 있습니다. 사업을 할 때 가장 불만인 것이 불확실성입니다. 예측불가능한 경우에는 사업을 시작할 수 없습니다. 우리나라의 개인정보 정의 규정만 보면 뭐가 뭔지 모르겠고, 결합가능성 하나 때문에 되느냐 안되느냐를 고민하게 됩니다. 휴대폰 뒷자리, 유심번호 등이 개인정보라고 판단되는 현실에서 다른 생각을 하기도 어렵습니다. 모든 데이터가 개인정보가 될 수 있습니다. 내가 가지고 있는 정보에 이동통신사의 정보가 결합되면 또 개인정보가 됩니다. 정의가 지나치게 넓게 해석되고 있습니다. 그것을 줄이기 위해 정의규정이 문제라고 하는 것입니다. 업계에서 볼 때 우리나라 법제에서는 포괄적 묵시적 동의가 불가능합니다. 다른 나라에서 가능한 방식이 우리나라에서는 불가능합니다. 무엇 하나 잘못하면 형사처벌을 받게 됩니다. 이러한 상황에서 어떻게 서비스산업이 발전하겠습니까. 우리나라는 예외규정이 없어서 무조건 다 동의를 받아야 합니다. 예를 들어 119 구급대가 경찰에게 정보를 동의 없이 넘겨주지 못합니다. 그래서 집 근처를 수색하다가 결국 피해자가 범죄의 피해를 입기도 하는 사건이 있었습니다. 모든 상황에서 결합된 상태의 서비스를 하지 못하게 합니다. 그러다보니 찾은 것이 비식별화 논의입니다. 어떻게든 동의를 받아서 수집하였는데 다른 목적이 생기면 동의를 새로 받아야 합니다. 내가 가진 정보를 비식별화하면 뭔가 할 수 있는 것이 아니냐고 하는 것이 비식별화 논의입니다. 예외를 만들어보자는 것입니다. 현재 입법론이 많이 제시되고 있지만 전혀 진전이 없습니다. 빅데이터, 사물인터넷, 인공지능이 나오는 상황에서 업계에서는 방법이 없습니다.

 

F. 방송통신위원회의 가이드라인은 개인정보자기결정권을 가이드라인을 통해 제한한다는 점에서 위헌적입니다. 다른 나라는 결합정보 해석, 정의 규정 리스크가 있음에도 결합정보는 잔존 리스크 단계에서만 판단하겠다는 스탠스를 취하고 있습니다. 그런데 그에 대한 기본적 해석이 전혀 이루어지지 않은 상태로 외국의 법제를 받아들이는 것은 문제라고 봅니다. 리스크 매니지먼트를 쉽게 말하지만 잔존리스크 논의가 빠져 있습니다. 수집·처리·폐기과정을 한 사람이 하는 것에 반대합니다. 다른 나라에는 수집·처리·폐기 단계별 리스크 관리가 있습니다. 목적 구속 원칙이 가장 강력하게 적용되는 것이 처리 단계입니다. 개인정보보호법의 취지에는 이용을 위한다는 목적도 있습니다. 정의규정을 바꿔서 문제를 해결하기보다는 정의규정이 원래 가진 의미를 파악하는 것이 더 중요하다고 생각합니다. 리스크라는 예측불가능성에 초점을 맞추지 않는 한 변하는 것이 없습니다.

A. 심우민: 사업자 입장에서 말씀해주셨는데, 어느나라든 각국에서 정의규정에 입각했을 때 누군지 알아볼 수 있다는 표현에 입각해서 명확하게 정하지 못하는 것은 우리나라의 문제만이 아닙니다. 사법부의 해석이 문제입니다. 리스크는 사법부의 해석이 높여놓은 것입니다. 입법의 영역에서 정하는 것은 입법기술상 불가능합니다. 해석의 문제를 입법의 문제로 해결하기는 어렵습니다.

 

F. 기본적으로 개인정보보호법을 규제하기 위한 것이라고 보니까 문제가 된다고 봅니다. 일본의 경우 개인정보보호법 제정을 한 것은 개인정보보호법 체계 내에서 예외를 만들기 위한 것입니다. 그 예외를 위한 개념이 가명처리정보입니다. 이 법이 들어온 계기나, 예외적으로 들어온 취지에 비추어보면 규제를 완화하기 위한 것이라고 봅니다. 다만 심우민 조사관님이 말씀하신 새로운 패러다임은 이해가 잘 가지 않습니다. 개인정보자기결정권은 권리이므로 동의가 없으면 위반인데 어떻게 형량이 들어갈 수 있나요? 위험성과 해악 사이의 비교형량이라면 심우민 조사관님이 제시한 표4는 문제가 있습니다.

A. 심우민: GDPR의 입법연혁을 봤을 때 가명정보와 같은 것은 규제를 위한 측면과 활용의 측면을 모두 가지고 있습니다. 표현의 문제가 있었던 것은 맞습니다. 권리의 개념이라는 것도 해석적 형량이 필요한 부분이고, 그 부분에 대해 형량이나 해석을 함에 있어서 위험에 대한 고려가 들어가는 것이 새 시대의 새로운 법적 패러다임이라고 생각합니다.

 

시민들의 의견

댓글 달기

Plain text

  • 웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
  • 줄과 단락은 자동으로 분리됩니다.
  • 사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>
이미지
무제한 수의 파일을 이 필드에 업로드할 수 있습니다.
50 MB 한계입니다.
허용된 유형: png gif jpg jpeg.
Enter the YouTube URL. Valid URL formats include: http://www.youtube.com/watch?v=1SqBdS0XkV4 and http://youtu.be/1SqBdS0XkV4.
CAPTCHA
스펨 사용자 차단 질문

희망제작소가 시민 여러분과 함께 하는 4월 오픈 세미나를 엽니다.

그동안 희망제작소는 연구원의 연구 역량을 키우기 위해 내부적으로 크고 작은 세미나를 진행해왔는데요. 올해부터 공개하여 시민분들과 함께하기로 했습니다. 매월 강의 위주로 진행되는 오픈 세미나로 시민과 함께 배우며, 사회혁신 아이디어를 성숙시키려 합니다. 4월 오픈 세미나는 지역의 지속가능발전을 위한 정책대안을 만드는 뿌리센터가 주관합니다. ‘시민과 함께 하는 정책 설계 – 디자인 씽킹’에 대한 강연을 듣고 서로의 의견을 나눌 예정입니다. 시민분들의 많은 참여 부탁드립니다.

● 강의 : 시민과 함께하는 정책설계 – 디자인씽킹
● 강사 : 유병철 (주)유앤드림스 대표
● 일시 : 2018년 4월 19일(목) 14~16시
● 장소 : 희망제작소 4층 희망모울 (오시는 길)
● 대상 : 희망제작소 연구원과 시민 누구나(디자인씽킹이 궁금하신 분, 디자인씽킹을 활용해 시민 중심의 정책을 설계하는 방법을 알고 싶으신 분 등)
● 참가비 : 무료


◆ 뿌리센터가 준비했습니다

“문재인 정부 출범 후 지방분권이 현실화되고 있습니다. 대통령이 발의한 개정헌법(안)에는 지방분권이 명문화되기도 했는데요. 각각의 지역이 중심이 되고, 그곳에서 살아가는 시민의 참여와 경험이 존중·반영되는 정책설계가 당연해질 것입니다. 뿌리센터는 시민 중심의 정책설계 방법론으로 디자인씽킹에 주목하며, 지역을 중심으로 시민과 함께 정책을 설계하는 방법을 배우려 합니다. 궁금하신 분들과 함께하고 싶습니다.”


◆ 강사소개

– 유병철 (주)유앤드림스 대표
: 보이지 않는 것으로부터 문제를 정의하고, 새롭고 창의적인 해결 방법을 찾아가는 ‘디자인씽커’이자 ‘서비스디자인 전문가’이다. 미국 브리험영 대학(Brigham Young University)에서 MBA를 마쳤다. SK 텔레콤과 SK 플래닛에서 HCI(Human Centered Innovation) 팀장과 인텔리전스(Intelligence) 그룹장으로서 신규 사업을 발굴하는 등 100여 건의 사내 컨설팅 업무를 수행했다. 세계적인 디자인 이노베이션 전문기업인 IDEO, Jump Associates, Doblin, Whatif, Frog 등과 수년에 걸쳐 협업했다. 현재 디자인씽킹과 서비스디자인 전문기업인 ㈜유앤드림스의 대표이다. SK, 코엑스, 현대중공업 등 많은 기업들과 문제 해결을 위한 창의워크샵을 진행하고 있으며, 중앙공무원교육원 및 각 지방자치 공무원교육원에서 서비스디자인을 강의하고 있다. 한국디자인진흥원 주관으로 현직 디자이너들이 참여하는 사회문제해결 서비스디자인 워크숍에서 4년 넘게 책임강사로 활동하고 있다. 제47회 및 제50회 대한민국 디자인전람회 서비스디자인분과 심사위원과, 지식경제부 R&D 전략기획단 서비스 R&D 전문위원직도 역임했다. 또한 새롭고 혁신적인 사업 아이템을 찾고 있는 다수의 초기 스타트업들을 발굴·멘토링하고 있다. (출처 : 인터파크 북DB)

* 행사 참가를 원하시는 분은 아래 버튼을 눌러주세요! *

button

수, 2018/04/11- 12:49
127
0

나의 개인정보를 불법 거래한 기업은?

박근혜정권이 1년 전 설립한 '개인정보 비식별 조치 전문기관'이 그간 20개 기업에 3억4천만 건에 달하는 규모의 개인정보 거래를 중개했다.

개인정보 비식별 조치 전문기관은 한국인터넷진흥원, 한국정보화진흥원, 금융보안원, 한국신용정보원

이들과 거래한 기업은?

  금융회사 한화생명보험, 한화손해보험, 삼성생명보험, BC카드, 신한카드, 삼성카드, SCI평가정보, NICE평가정보, 보험개발원 등

이동통신사 KT, SKT, LGT...

지난 1년 간 이 기업들은 자신들의 고객정보를 다른 기업의 고객정보와 결합시켰고, 이렇게 결합된 개인정보를 마케팅, 대출심사, 신용평가 그리고 자사 보유 개인정보의 거래 가치를 높이는데 사용할 계획이었다.

국가기관이 민간기업이 개인정보를 국민 모르게 불법적으로 거래하도록 중개한 것!!

기업에 넘어간 개인정보를 환수하고 즉각 파기해야 한다

 

첫번째 카드.
나의 개인정보를 불법거래한 기업은?


3억 4천여만 건의 개인정보 결합물 중에 내 개인정보도 있을까? 체크해보자!

 

두번째 카드.
박근혜정권이 1년 전 설립한 '개인정보 비식별 조치 전문기관'이 그간 20개 기업에 3억4천만 건에 달하는 규모의 개인정보 거래를 중개했다.

 

세번째 카드.
개인정보 비식별 조치 전문기관은 한국인터넷진흥원, 한국정보화진흥원, 금융보안원, 한국신용정보원

 

네번째 카드.
이들과 거래한 기업은?

 

다섯번째 카드.
금융회사 한화생명보험, 한화손해보험, 삼성생명보험, BC카드, 신한카드, 삼성카드, SCI평가정보, NICE평가정보, 보험개발원 등

 

여섯번째 카드.
이동통신사 KT, SKT, LGT...

 

일곱번째 카드. 
지난 1년 간 이 기업들은 자신들의 고객정보를 다른 기업의 고객정보와 결합시켰고, 이렇게 결합된 개인정보를 마케팅, 대출심사, 신용평가 그리고 자사 보유 개인정보의 거래 가치를 높이는데 사용할 계획이었다.

 

여덟번째 카드.
국가기관이 민간기업이 개인정보를 국민 모르게 불법적으로 거래하도록 중개한 것!!

 

아홉번째 카드.
기업에 넘어간 개인정보를 환수하고 즉각 파기해야 한다

수, 2017/10/11- 15:59
126
0
요약문: 
테러방지법은 상시적으로 국민을 감시 통제함으로써 기본권을 침해하는 법입니다. 테러방지법은 태어나서는 안 될 '정보괴물'입니다.

테러방지법은 '정보괴물'!

테러는 그 배경과 맥락을 이해하고 예방을 위한 
국제정치·외교적 노력을 경주하는 것이 최선입니다.

발표일자: 
2016/02/24
테러방지법 카드뉴스 10

나머지 보기

수, 2016/02/24- 21:28
125
0

참가신청>> https://goo.gl/forms/aCaKI8R9KZf0ukcg2

창작노동 보호를 위한 저작권법의 과제

  • 일시: 2018.3.5.(월) 14:00~17:00
  • 장소: 국회의원회관 제3세미나실
  • 공동주최: 국회의원 노웅래, 국회의원 조배숙, 사단법인 오픈넷
  • 후원: 문화체육관광부

[발제] 창작노동 보호를 위한 저작권법의 과제 – 남희섭 오픈넷 이사

[토론]

– 좌장: 이상정 명예교수(경희대 법학전문대학원)

박성호 교수(한양대학교)

신대철 이사장(바른음원협동조합, 가수)

윤나리 변호사(법무법인 엘케이비앤파트너스)

하장호 사무처장(예술인소셜유니온)

한경수 PD(독립PD협회)

공형식 과장(문화체육관광부 문화예술정책과)

방송사 관계자

참가신청>> https://goo.gl/forms/aCaKI8R9KZf0ukcg2

문의: 오픈넷 사무국 02-581-1643, [email protected]

 

 

화, 2018/02/27- 16:07
124
0

보건의료 빅데이터 플랫폼 사업의 몇 가지 문제들

변혜진 | 연구공동체 건강과대안 상임연구원

 

 

‘예산’

결국 예산안이 통과됐다. 시민사회단체의 강력한 반대로 본 사업이 아니라 ‘시범사업’ 으로 제한되었고, 일부 미미한 삭감은 있었지만 ‘보건의료 빅데이터 플랫폼 구축’ 사업은 이제 그 시행을 앞두고 있다. 

 

시민사회단체가 예산안 통과를 강력하게 반대한 핵심적 이유 중 하나는 보건의료 빅데이터 사업 자체가 기업의 이해를 우선하며 현행법 위반이라는 조건 하에서 추진되기 때문이다. 현재 개인 의료 정보와 진료기록이 포함된 다른 정보를 ‘연계’ 하는 것은 개인정보보호법 및 의료법 위반으로 매우 엄격하게 법률적 제한을 받는다. 개인의 의료 및 건강정보는 개인정보 중에서도 매우 민감한 정보에 해당되며, 관련 정보가 만에 하나 사적인 목적으로 이용되거나 유출되었을 시 한 개인이 겪게 될 혹은 그 가족이 겪게 될 피해는 매우 크기 때문이다.

 

그럼에도 불구하고 복지부가 사업 추진 주체로서 내 놓은 보건의료 빅데이터 사업에는 공적으로 집적한 정보를 민간 기업이 가진 정보와도 연계하고 이를 민간 기업에게 제공하는 식의 상업적 활용이 포함되어 있었다. 이러한 내용은 기업 민원 처리의 대가로 공공의 자원을 사유화한 박근혜 정부가 추진하던 내용과 전혀 다를 바가 없었다. 대통령은 바뀌었지만 박근혜가 대통령의 권력으로 추진했던 사업들은 여전히 국정 과제 일부로 남아 있는 셈이다.

 

시민사회단체의 강력한 반대에 부딪힌 복지부는 예산 통과를 위해 공적인 목적 외 상업적 활용에 대해서는 추후 다시 검토하겠다는 입장으로 선회했다, 하지만 이전 정부의 막무가내식 행정 독재로 추진된 ‘비식별 가이드라인’ 조치 등이 그대로 남아 있는 상태에서 추진되는 이 사업은, 기업이 기업 마음대로 정부는 또 정부 마음대로 관련 내용에 대한 해석을 두고 의견이 분분해 이후 시범사업의 설계와 추진 그리고 그에 대한 평가가 매우 중요한 과제로 남게 됐다.

 

상업적 활용

보건의료 빅데이터 플랫폼 예산을 둘러싼 논쟁이 한창이던 지난 11월 건강과대안, 참여연대, 인도주의실천의사협의회 등 시민사회단체는, 공개적인 토론회 한 차례 없이 추진되는 보건의료 빅데이터 사업에 대한 공개 토론회를 요구했고 결국 국회에서 관련 토론회가 처음으로 개최되었다. 이 토론회에서 시민사회는 복지부가 예산안 통과를 요구하며 내 놓은 추진 전략이 박근혜가 추진했던 의료민영화와 ‘창조경제’의 뒤를 이은 조치들 중 하나로, 의료 공공성의 마지막 보루인 개인 질병정보와 건강정보에 대한 민영화에 해당된다고 지적했다. 건강보험공단과 건강보험심사평가원(이하 심평원)이 모은 공적인 국민 개인 진료기록 및 건강보험 정보를 기업의 요구에 부응해 돈벌이 재료로 제공한다는 문제제기였다. 이러한 사업들은 그동안 강력한 드라이브로 추진되던 의료민영화로부터 국내 의료제도를 보호하는 핵심 축이었던 국민 개인 질병정보 관리의 보호막을 일거에 제거해 버리는 조치가 될 수 있다는 것이다.

 

실제로 지난 수십 년 간 보험업계는 보험업법이나 의료법 개정안 등을 통해 건강보험공단과 심평원이 독점적으로 보유하고 있는 국민 개인 건강정보와 기록에 대한 민간 공유를 요구해 왔다. 그리고 관련 법안이 국회에 상정될 때마다 막아왔던 시민사회단체의 이러한 주장은 매우 타당한 것이었다. 전체 병상 수에 10%에도 못 미치는 공공 의료기관을 보유한 국내 의료가 그나마 공공성을 가지고 버티는 가장 큰 이유는 국민건강보험 제도라고 해도 과언이 아니기 때문이다. 이 제도를 무너뜨리기 위한 보험업계의 요구는 정권이 바뀔 때마다 강력하게 이뤄졌고, 정액형 보험 상품 판매, 실손 의료보험 상품 판매와 최근 보험 상품과 건강관리서비스 상품을 연계한 판매까지 꾸준하고 줄기차게 이뤄지고 있다. 그러나 이런 요구는 매번 강력한 반대운동에 부딪혔고, 의료민영화 논란으로 막혀 왔던 것이 사실이다. 보험업계 입장에서는 민간보험 지급률(손실률)을 보전하고 보험 상품 및 위험률을 ’맞춤‘으로 설계해, 더 많은 사람들이 건강보험보다 민간의료보험에 의존할 수 있도록 하기 위해서 전 국민의 개인 질병정보를 손에 넣는 것이 간절할 수밖에 없다. 한 사람의 가족력과 유전병 정보와 병력 정보는 보험 가입에서부터 보험금 지급 사유까지 만들어 낼 수 있는, 그야말로 보험 상품 설계, 유통, 판매, 지급 등을 해결하는 ’21세기 금광‘과도 같다. 최근 이런 논란이 가중되자, 복지부는 ‘박근혜표’ 추진전략을 대폭 수정·축소해, 시범 사업에서는 기업 정보와의 연계 활용 여부를 추후 고려하겠다는 입장을 내 놓았으나, 완전하게 기업 경영과 마케팅 활용 자체를 배제할 수는 없다는 입장은 고수하고 있다. 

 

또한 최근 언론보도에 따르면,1) 산업통상자원부도 내년 복지부와 유사한 방식으로 데이터를 제공하는데, “복지부가 연구기관을 대상으로 공공 보건의료 빅데이터를 제공한다면 산업부는 병원 내 의료 정보를 표준화해서 민간에 공유”한다고 발표했다. “국내 6개 병원을 우선 선정해 데이터를 표준화하고. 병원 내 전자의무기록(EMR) 데이터, 유전체 데이터. 유전체 정보까지 민간에게 제공“하겠다는 것이다. 이러한 언론보도의 이중 플레이는 ‘눈 가리고 아웅’하는 꼴이다. 복지부에 제기된 문제들을 산업부로 넘겨 기업 민원 해결을 추진하겠다는 것과 다를 바 없다. 오히려 공익적 목적을 고려할 수 밖에 없는 복지부의 손을 떠나 산업적 이해를 대변하는 산업부로의 이관은 한층 더 우려스러운 일이다.

 

말이 안 되는 방식으로 각 부처 마음대로 추진계획을 내고 있는 보건의료 빅데이터 산업화 방안은 그 자체가 내재하고 있는 문제점이 있다. 국내 빅데이터 산업화 자체가 그 목적을 경제 성장 동력으로 삼고 있다는 점이다. 이윤을 위한 개인 정보 거래를 전제하고 있으며, 다른 나라와 달리 이에 따르는 유출 위험이나 상업적 이용에 대해서는 법제도적 보호가 아닌 ‘비식별화’ 라는 기술적 방식으로만 우격다짐으로 밀어붙이고 있다는 점이다.

 

공단과 심평원에 모인 개인 정보의 상업적 활용에 대해 지금 어느 누가 동의했는가? 정부가 추진하는 방식 자체가 비민주적인 것은 개인 정보 이용권의 동의 절차가 생략되었다는 점에서도 큰 문제지만, 이런 상업적 이용을 통해 기업은 수익을 올리는 반면 그에 따르는 위험은 개인의 몫이고, 이는 사회 전체로 향해 있다.

 

복지부는 현재 개인 정보 연계 활용 사업이 불법이라는 점을 누구보다도 잘 알고 있다. 박근혜 정부 하에서 자체 법률 자문을 통해서 진료 정보나 건강보험공단 정보의 연계가 현행법과 어긋난다는 자문을 이미 받은 바 있기 때문이다. 그럼에도 불구하고 복지부는 법률적 정당성을 갖지 못한 사업을 멈추지 않은 채 그냥 밀어붙이고 있는 것이다. 지난 정부의 적폐를 계승하는 것은 아니냐는 지적은 이래서 나온다. 예상해보건대, 이전 정부 하에서 이미 여러 이해관계자들 간 내부 약속과 거래가 있었을 수 있다. 시민사회단체가 우선 폐기를 요구하는 ‘비식별 가이드라인’ 조치로 이미 많은 기업들이 개인 정보를 이용해 마케팅에 활용하고 있는 상황이기도 하다. 대통령이 바뀌어도 행정 관료는 그대로인 상황에서 관련 공무원들은 관례상 현행법의 효력을 가지는 예산안 통과에 그렇게 목숨을 걸었을 것이다.

 

이 때문에 앞으로 진행될 시범사업의 설계와 방향 설정은 매우 중요하다. 공익적 목적을 위한 것이 아닌 상업적 이용이 우선되는 정책은 ‘플랫폼’ 사업의 특성 상 그 시범사업만으로도 위험하기 때문이다. 또한 시범사업이 제대로 된 원칙을 기반으로 시행되려면 지난 정권 하에 ‘자신이 곧 법’ 이라는 박근혜식 행정 가이드라인을 폐지하는 것이 우선이다. 지난 정권은 법률 위반이 분명한 사안일 경우 행정 가이드라인을 제정하는 편법을 통해 문제를 해결해왔기 때문이다. 이 비식별 가이드라인은 헌법에 기초한 국가의 개인 정보 보호의 가치보다 기업의 이익과 관련 산업의 발전을 우선한다는 인식으로부터 나온 조치다. 이 조치가 살아 있는 한 기업들 마음대로 개인 정보 사유화를 허용하는 것이라는 그 해석상의 잠재적 문제들이 지속될 것이다. 

 

<사진=참여연대>

편견을 가진 알고리즘

기업이 이익을 그 무엇보다도 우선하는 방식으로 개인 정보를 활용하는 것은 결국 사회 경제적으로 불평등한 조건에 있는 계층에게 더욱 불리하고 불평등한 문제를 야기할 수 있다. 공익적 목적이 아닌 개인정보의 상업적 활용에는 건강정보를 매개로 감시와 차별, 배제, 낙인 등의 문제가 발생할 위험이 상존한다.

 

빅데이터가 차별과 배제의 알고리즘의 위험에 노출돼 있다는 지적은 여러 곳에서 제기되고 있다. 빅데이터의 활용을 전제하고 있는 오바마 행정부조차 자체 과학기술자문위원회의 이름을 통해, ‘빅데이터 활용을 위한 여러 기회를 포착해야 하지만 빅데이터 도구가 개인의 사적인 상세정보를 노출할 수 있음’을 경고하고 이를 보완할 법 제도적 조치를 우선할 것을 권고한 바 있다.2) 빅데이터 기술이 오랜 시간 축적된 방대한 사회적 데이터를 기반으로 오로지 알고리즘에 따라 분석이 수행되기 때문에 분석자의 주관이나 편견 없이 객관적으로 분석한다는 믿음은 틀렸다는 것을 지적하는 것이다. 과학기술자문위원회는 이러한 점을 ‘데이터 근본주의’라고 지적하고 오류가 있을 수밖에 없음을 설명하고 있다.3) 특정 알고리즘을 입력하며 이 데이터에 반영되지 못한 이들이 소외되는 결과가 발생하고, 이러한 데이터가 반복·누적되면 사실상 현실에 존재하는 한 개인의 삶이 왜곡되는 일이 발생할 수 있다는 것이다.

 

많은 사람들이 기술의 중립성을 상상하거나 신뢰한다. 이 때문에 빅데이터 기술 역시 숫자에 기반해 분석자의 주관이나 편견과 상관없이 객관적 분석을 한다는 믿음이 있는 것이다. 그러나 하버드 대학에서 나온 연구에서 구글에 “아프리카계 미국인스러운” 이름을 넣어 검색하면 범죄자 정보를 찾아주는 회사 광고가 뜰 가능성이 높다는 사실이 밝혀졌고, 페이스북은 유색인종과 장애인의 글을 블로킹하는 알고리즘이 생성되었다는 사실이 밝혀진 바 있으며, 여성이 일자리를 검색하면 더 적은 임금의 일자리만이 더 많이 검색된다는 사실도 나타난 바 있다. 결국 알고리즘 설계자의 주관에 따라 편견은 개입된다는 것이다. 이러한 정보는 누적되고 반복되며 결국 그것이 진실이 되기도 한다.

 

개인의 건강과 관련된 정보들은 그 자체에 불평등의 결과가 내제해 있을 수밖에 없다. 건강을 결정하는 사회·경제적 결정 요인들을 고려할 때 저소득 계층일수록, 안정적 일자리가 없을수록, 차별을 심각하게 경험하는 사람일수록 건강상태는 더 안 좋을 수 있기 때문이다. 젠더 불평등에 기인한 건강 불평등 문제도 그러하며, 소득차이에 의한 주거환경에 따른 실질적 기대여명의 차이가 이를 증명한다.

 

또한 사회 취약계층의 경우 입력할 데이터가 아예 비어 있는 경우도 있으며, 어떤 데이터는 그 자체가 과잉돼 있는 경우도 있을 수 있다. 따라서 특정 알고리즘으로 설계될 때 관련 데이터에 반영되지 못한 이들은 소외되는 결과가 발생하고 이러한 빅데이터가 반복되고 누적되면, 애초에 데이터에서 배제되거나 왜곡된 이들은 사실상 ‘존재하지 않는 사람들’이 되거나 왜곡된 데이터가 실재하는 인간을 대신하는 결과를 야기할 수 있다.

 

더 큰 문제는 이런 배제와 차별의 알고리즘 문제를 발견, 인식하게 된다 하더라도 이미 그것이 빅데이터가 되어 한 사람을 설명하는 상징이 되었을 때, 이를 교정할 수 있을지 여부도 불투명하다는 것이다. 이 때문에 실체가 아닌 데이터 축적기술에 지나치게 의존한 보건·복지는 빅데이터 기술이 만드는 또 다른 ‘복지 사각지대’로 이어질 수 있다. 관료 행정에 의해 사각지대로 내몰린 사람들을 다시 온정 없는 데이터셋에 가두는 결과를 가져올 수도 있는 것이다. 이것이 복지부가 내세우고 있는 복지 사각지대 해소를 위한 보건의료 빅데이터 효용 방안이 보다 신중해야 하는 이유다. 개인 정보 빅데이터를 통해 업무의 효율화를 이룰 수 있을지는 몰라도, 사람보다 데이터가 우선되는 방식의 일방적 제도설계는 특정 집단의 데이터셋이 ‘건강 블랙리스트’로 활용될 우려를 배제할 수 없다.

 

이러한 이유로 유럽 개인정보보호 감독관(EDPS)은 ‘빅데이터 문제 해결에 관한 의견서(Meeting the challenges of big data)’4)를 통해 알고리즘 설계와 분석의 문제점을 제기하고 이에 대한 개인 정보 이용 동의 절차에 대한 행정기관의 역할을 전제한 바 있다. 즉, 개인 정보를 이용하고자 하는 기관들이 그 정보 주체에게 제공하고 동의 받아야 할 내용을 전제하고 있는데, “개인에 대해 관찰되고 추론된 개인정보가 무엇인지, 어떠한 개인정보가 처리되었는지에 대한 명확한 정보를 해당 개인에게 제공해야 하며, 개인정보의 사용 목적과 방법에 대해 보다 확실하게 고지해야 한다.”는 내용을 담고 있다. 또한 개인들에게 고지해야 할 내용에는 “개인 정보 수집과 활용의 목적, 방법에 대한 가정과 예상을 결정하는 알고리즘의 논리(logic)도 포함된다”고 명시하고 있다. 유럽 개인정보보호 감독관의 의견은 알고리즘에 따라 수집되고 분석된 데이터의 내용은 언제든지 그 설계기관이나 개인의 주관에 따라 달라질 수 있다는 점을 고려한 것이다.

 

건강 정보의 의미

개인 정보 보호 조치가 상대적으로 강력하다고 하는 유럽국가들 뿐만 아니라 보건의료 데이터를 활용해야 한다고 주장하는 OECD조차도 지난 1월 ‘보건의료 데이터 거버넌스에 대한 권고(Recommendation of OECD Council on Health Data Governance)’안을 발표했다. 권고에서 “건강관련 데이터는 본질적으로 민감하고, 데이터 공유와 사용 확대는 데이터의 손실 위험을 증가시키거나 유출 및 오남용 위험을 야기해서 개인에게 개인적, 사회적, 재정적인 위해를 끼칠 수 있고, 보건의료서비스 제공자와 정부에 대한 대중의 신뢰를 떨어뜨릴 수 있다”5)고 지적하며, 각국 보건 부처 장관 회의를 통해, 개인 정보 제공자에게 충분한 설명 후 동의를 구하는(informed consent) 적절한 절차를 제시한 바 있다.6)  

 

보건의료 데이터의 경우 개인정보 중 가장 민감한 정보에 해당되기 때문에 그 사용에 앞서 충분한 설명이 전제된 ‘동의 절차’ 가 전제되어야 하며, 공공의 목적과 부합하지 않을 경우에는 또 다른 적합한 대안 및 예외가 있어야 하며, 그에 따른 보호 조치가 뒤 따라야 함을 지적한 것이다. 또한 이러한 개인 건강정보 처리에 대한 동의는 충분한 설명이 전제되고 자유로운 의사 결정이 전제된 상황에서만 유효하다고 강조한다. 이런 국제적 기준을 볼 때 복지부가 공단이나 심평원, 질병관리본부 등을 통해 집적한 개인 정보를 연계·활용하기 위해서는 국민의 동의를 얻어야 하고, 이를 어떻게 이용할 것인지, 어떤 처리과정을 거치고 어떤 법적 보호 조치를 할 것인지에 대해 명확하게 밝히는 일이 선행되어야함이 명확해진다.

 

복지부 보건의료 빅데이터 사업은 현재 텍스트 데이터라 볼 수 있는 건강보험공단, 심사평가원, 질병관리본부, 유전자 검사 결과 등의 연계이지만, 이것이 보건의료 플랫폼 구축을 통해 모바일 어플이나 IoT등으로 음성적 형태로 수집되고 있는 개인 신체·바이오정보·생활정보가 결합 될 수 있으며, 이는 개인의 과거와 현재 그리고 일상의 모든 정보가 결합되는 것과 다르지 않다. 이러한 빅데이터 사업이 공익적 목적으로 활용된다 해도 동의 절차가 필요하다. 하물며 민간 활용을 전제한다는 방침이 완전하게 폐지되지 않은 이상, 이를 위한 시범사업의 위험성은 너무 클 수밖에 없다. 복지부가 보건의료 빅데이터 플랫폼 시범 사업을 진행하기 위해서는 이러한 개인정보의 밀집과 연계 집적 처리가 낳을 위험에 대한 보호 조치를 강구하고 이를 사회적 장치로 어떻게 마련할 것인가에 대한 논의가 동시에 진행되어야 한다. 그리고 이러한 사회적 조치 마련이 전제되지 않은 상태에서 시범사업은 시작되어선 안 된다. 플랫폼 사업의 특성 상 관련 틀을 만드는 것 자체가 문제가 될 수 있으며, 문제가 제기되어서 이를 중단한다고 해도 이미 쓸모없는 세금 낭비가 될 것이기 때문이다.

 

사실상 복지부가 주무부처로서 우선 해야할 일은 현재 기업이 만든 각종 인터넷 사이트와 어플을 통해 무작위 수집되고 있는 개인의 신체·건강 정보 데이터를 어떻게 관리하고 규제할 것인가에 대한 논의다. 박근혜표 비식별 가이드라인의 목적은 이미 이런 음성적인 데이터 수집을 합법화해주는 것임을 고려할 때 지금도 무방비로 수집되고 있는 포괄적 개인 건강·신체 정보를 어떻게 정의하고, 어떻게 법 안에서 보호할 것인가에 대한 정부 방침을 마련하는 것이 우선되어야 한다. 

 

정책의 공론화

마지막으로 복지부는 최근 심평원 사태에서 교훈을 찾아야 한다. 사람들이 믿고 찾아갔던 병의원에서 제공 받은 개인의 진료 기록을 공공기관이 개인의 동의 절차도 없이 30만원의 실비로 기업 돈벌이에 제공했다. 공익 목적을 위한 연구도 아니었다. 그런데 심평원은 이 사태에 대해 공식적인 별다른 문책을 받지 않았다. 누구 하나 책임을 지고 물러난 사람도 없다. 오히려 공공정보 이용에 관한 법률에 의거해 공공정보를 연구목적으로 제공했다는 말도 안 되는 변명만을 늘어놓고 있다. 환자들의 진료 기록을 심평원에 제공하는 이유는 의료인의 진료 처방 내역을 심사·평가해 제대로 된 진료를 하고 있는지 관리 감독 하라는 의미다. 그럼에도 불구하고, 자신들에게 제공된 진료기록을 ‘공공정보’ 라고 정의하고 이를 마음대로 처리·이용하는 권한을 부여받았다고 자임하고 있다. 누가 이러한 권한을, 이러한 정보 사용에 대한 권력 남용을 눈 감아 주고 있는가?

 

심평원 사태뿐만 아니라 지속적으로 발생하고 있는 개인질병 정보에 대한 상업적 거래는 정권차원에서 추진하고 있는 빅데이터 산업화 방침에 의해 지원받고 있다. 박근혜 정부 시기 ‘창조경제’론에서 시작된 빅데이터 산업화는 ‘4차 산업혁명’ 으로 이어졌으며 이는 문재인 정부 하에 ‘4차 산업혁명위원회 산하 헬스케어 특위’ 로 이어지고 있다. 자본 입장에서 저성장의 돌파구가 될 것이라 예견하고 있는 ‘4차 산업혁명’은 고위험·고부가가치 산업을 의미한다. 이러한 산업들이 부동자금을 투자금으로 다시 끌어올 수 있다는 판단에 따른 것이다. 그러나 자본의 빠른 투자수익률을 위한 산업 패러다임 전환을 공익이 핵심인 보건·복지 분야에 적용하는 것은 대단히 우려스러운 일이다.

 

고부가가치 창출은 고위험을 전제하고 있으며, 이는 곧 규제완화를 조건으로 한다는 점을 간과해서는 안 된다. 즉, 생명과 건강을 다루는 분야에 있어 필수적인 안전 장치에 대한 규제 완화를 의미한다. 이처럼 고위험 산업을 지원한다는 정부의 정책 기조는 박근혜 정부의 적폐를 이어받고 있다는 비판을 면하기 어렵다. 이러한 정책 기조 때문에 복지부는 심평원 사태뿐만 아니라 SK텔레콤, 약학정보원, IMS헬스 등 개인정보 관련 사태에 대한 해결책을 제시하고 있지 못하고 있다. 시민사회단체가 ‘박근혜식으로 추진되던 보건의료 빅데이터 사업과 문재인 정부 하 복지부의 추진 전략의 구별점이 있는가?’라고 되묻는 것은 이러한 정책적 기조가 유지되는 것에 대한 우려 때문이다.

 

그리고 정부는 2016년 결국 중단된 영국의 ‘care.data.NHS’ 의료 정보 공유 사업에서도 교훈을 얻어야 한다. 국민의 동의 절차를 무시하고 기업들에게 개인 의료 정보를 제공하고자 했던 영국 정부의 시도는 큰 사회적 혼란을 야기해 결국 100만 명의 옵트아웃(당사자가 자신의 정보 수집을 허용하지 않는다고 명시) 선언으로 이어지면서 보수당 정권 자체를 뒤흔드는 문제가 되었다. 국민의 동의 절차 없이, 박근혜 정부 하에서 기업 로비를 전제로 진행된 보건의료 빅데이터 추진 사업이 이제 그 목적을 분명히 하고 보다 분명한 개인 정보의 법 제도적 보호조치 하에 재논의 되어야 하는 이유다.

 

더불어 보건의료 빅데이터 사업의 일방적인 추진으로 인해 국민건강보험에 대한 신뢰가 흔들리게 된다면, 정부의 보건의료분야 핵심 정책인 문재인케어가 실행되는 존재기반마저 흔들릴 수 있다. 건강보험에 대한 사회적 혼란과 흔들림으로 반사 이익을 얻는 것은 민간보험사를 비롯한 의료자본이다. 이 점을 상기할 때 의료민영화 반대라는 분명한 공약 속에서 당선된 문재인 정부가 어디를 향해야 하는지는 분명해 보인다. 정부 정책은 사회적 실행을 위한 것이며, 이러한 사회적 실행의 결과가 낳을 문제들에 대해 더 많은 연구와 토론 그리고 사회적 공론화 과정이 필요하다.

 

또한 국회는 빅데이터 사업 예산을 통과시켰으나 시민사회단체의 눈을 의식해 본 사업이 아닌 시범사업으로 예산집행을 한정시킨 것을 성과라면 성과로 삼을 수 있겠다. 나아가 국회는 2018년 추진될 시범사업의 과정과 결과에 있어 제대로 된 감시와 평가를 진행하고 관련 내용을 제대로 공론화하는 데 그 역할을 해야 할 것이다.

 


1) 전자신문, 12월 19일자 ‘보건의료 빅데이터 '족쇄' 분다...국가 프로젝트 추진’http://www.etnews.com/20171218000395

2) Executive Office of the President(2016 May), Big Data: A Report on Algorithmic Systems, Opportunity, and Civil Rights

3) 안형준(2016), ‘[미국] 알고리듬 안에 내재된 사회적 차별 – 빅데이터에 대한 미국 정부의 우려’,  과학기술정책 2016년(5호)
4) “Meeting the challenges of big data” the European Data Protection Supervisor (EDPS), 2015. 11
6) a) 개인의 동의가 필요한 경우, 그 결정을 위해 사용되는 기준이 명확해야 하고, 유효한 동의를 구성하는 요소가 무엇이고, 어떻게 동의를 철회할 수 있는가도 명확해야 함. 동의를 구하는 것이 불가능하거나 비현실적이거나 건강 관련 공공의 목적과 부합하지 않을 경우, 동의를 대신할 수 있는 적법한 대안 및 예외가 명확해야 하고, 이러한 과정에 부합하는 보호조치가 뒤따라야 함.
b) 개인 건강정보 처리가 동의에 기반한 경우, 이 동의는 충분한 설명이 자유롭게 제공되는 경우에만 유효 함. 개인이 장애의 정보사용에 대해 동의하거나 철회할 때 그 방법이 명확하고 눈에 잘 띄고 사용하기 쉬웠을 때 유효 함.
월, 2018/01/01- 18:15
124
0