10년간 개인정보 60억 건 이상 무단 유출, 활용 

참여연대, 개인정보 침해사례 44건 분석 결과 이슈리포트 발표 
반복된 유출, 오남용에 대해 기업의 법적 책임은 매우 불충분
현행 개인정보 정책방향은 개인정보 침해위험과 규모 증가시킬 것

 

참여연대 공익법센터(소장 양홍석 변호사)는 오늘(10/1) 2007년부터 2017년 사이 한국사회에서 발생한 주요 개인정보 침해사례 44건을 분석한 이슈리포트 「 그 많은 내 개인정보는 누가 다 가져갔을까 - “2007-2017 개인정보수난사 worst 44” 」를 발표했다.

 

최근 정보주체의 동의 없는 개인정보의 이용과 결합 ·유통을 활성화하려는 정부의 정책방향이 프라이버시 침해 위험을 키운다는 문제제기에 대해 정부는 안전하게 활용하겠다는 것만을 강조하고 있다. 참여연대 공익법센터는 지난 10여년간 한국사회에서 개인정보가 얼마나 소홀히 다뤄져왔는지, 유출이나 오남용에 대한 법적 책임 부과나 사회적 대응은 충분했는지 살펴보고, 정부의 개인정보 정책방향에 대한 시사점을 얻기 위해 이번 이슈리포트를 기획했다.

 

2007년부터 2017년 사이 개인정보 침해사례 44건을 분석한 결과, 60억 건이 넘는 개인정보가 유출되거나 무단 활용, 제공된 것으로 나타났다. 개인정보 침해사례는 개인정보를 대량 보유한 대기업, 특히 통신, 카드, 금융회사에서 빈번히 발생하였다. 침해사례의 유형별로 해킹에 의한 유출 23건, 직원에 의한 유출 9건, 무단사용․판매 9건, 관리 소홀로 인한 노출 3건을 분석하였는데 이중 개인정보 유출규모로는 무단사용판매가 59억 건으로 제일 큰 것으로 나타났다.

 

 

최근 빅데이터 수요 증가와 기술 발전으로 개인정보 중 식별요소의 일부를 가공한 뒤 정보주체 동의나 법적 근거 없이 대규모로 무단 사용, 판매하는 사례가 증가하고 있는데, 이러한 위법행위는 비영리재단이나 공공기관에서까지 행해진 것으로 드러났다. 약학정보원은 2011년~2014년 국민 의료정보 43억 건을 빅데이터 회사인 IMS헬스에 판매하였고, 국민의 의료정보를 엄격히 보호해야 할 건강보험심사평가원은 2017년까지 6400만명 분의 표본데이터셋을 민간보험사 등에 판매한 것으로 드러났다.

 

반면 개인정보 침해사고에 대한 감독기관의 과태료, 과징금 등 행정적 제재는 매우 낮은 것으로 나타났다. 대표적으로 1억 건이 넘는 개인정보가 유출된 카드3사(국민카드, 농협카드, 롯데카드)의 경우 감독기관의 행정처분은 과태료 600만 원 부과에 불과했다. 또한 일부 피해자들이 소송을 제기하더라도 피해를 구제받기 어려운 것으로 나타났다. 법원은 해킹에 의한 정보유출의 경우, 기업의 배상책임을 대부분 인정하지 않고, 무단유출 등으로 배상이 인정된다 해도 원고 1인당 10만원 내외에 불과해 결과적으로 기업은 충분한 법적 책임을 지지 않은 것으로 나타났다. 참여연대는 솜방망이 행정제재와 법원의 소극적 판결은 기업으로 하여금 개인정보 보호와 보안에 투자할 유인을 낮춘다는 점에서 결국 반복되는 개인정보 침해사고의 주요 원인이라고 주장했다.

 

참여연대는 지난 10년의 사례를 통해 볼 때, 개인정보의 동의 없는 결합과 집적, 유통을 대폭 확대하는 지금의 정책방향이 지속된다면, 더 많은 개인정보가 위험에 노출될 것이고 이에 대한 충분한 사회적 제재나 권리구제도 기대하기 어려울 것이라고 강조했다. 또한 빅데이터의 혜택을 강조하며 개인정보의 수집, 활용을 확대하는 방향으로만 정책을 추진할 것이 아니라, 개인정보를 필요이상으로 과도하게 수집하지 않고 충분한 보호조치를 취할 수밖에 없도록 정책을 설계해야 한다고 주장했다. 이를 위해서는 ▷개인정보 수집단계에서부터 목적구속원칙과 최소수집원칙을 담보할 수 있는 제도개선 ▷정보주체가 자신의 개인정보의 수집범위나 활용 여부를 통제할 수 있는 권리 실질화 ▷ 개인정보 보호를 위한 법제 및 감독기구 개선 ▷ 권리구제를 활성화하기 위한 집단소송제도 도입 및 징벌적 배상제도 확대 등이 이루어져야 한다고 강조했다.

 

최근 국회에서는 신기술 서비스를 위해 개인정보 규제를 완화하는 정보통신융합법, 산업융합법, 지역특구법이 통과되었고, 개인정보의 동의 없는 활용과 결합을 일반적으로 확대하는 개인정보보호법의 개정도 정기국회 때 주요한 쟁점이 될 예정이다. 참여연대 공익법센터는 무분별한 개인정보 규제완화의 위험성과 사회적 공론화 부재를 계속 지적하며, 정보주체의 권리를 보호하기 위한 활동을 지속할 예정이다. 

 

▶︎ 보도자료 [원문보기/다운로드]

▶︎ 이슈리포트 "그 많은 내 개인정보는 누가 다 가져갔을까" - 2007-2017 개인정보수난사 worst 44 [원문보기/다운로드]

보건의료 빅데이터 플랫폼 사업의 몇 가지 문제들

변혜진 | 연구공동체 건강과대안 상임연구원

 

 

‘예산’

결국 예산안이 통과됐다. 시민사회단체의 강력한 반대로 본 사업이 아니라 ‘시범사업’ 으로 제한되었고, 일부 미미한 삭감은 있었지만 ‘보건의료 빅데이터 플랫폼 구축’ 사업은 이제 그 시행을 앞두고 있다. 

 

시민사회단체가 예산안 통과를 강력하게 반대한 핵심적 이유 중 하나는 보건의료 빅데이터 사업 자체가 기업의 이해를 우선하며 현행법 위반이라는 조건 하에서 추진되기 때문이다. 현재 개인 의료 정보와 진료기록이 포함된 다른 정보를 ‘연계’ 하는 것은 개인정보보호법 및 의료법 위반으로 매우 엄격하게 법률적 제한을 받는다. 개인의 의료 및 건강정보는 개인정보 중에서도 매우 민감한 정보에 해당되며, 관련 정보가 만에 하나 사적인 목적으로 이용되거나 유출되었을 시 한 개인이 겪게 될 혹은 그 가족이 겪게 될 피해는 매우 크기 때문이다.

 

그럼에도 불구하고 복지부가 사업 추진 주체로서 내 놓은 보건의료 빅데이터 사업에는 공적으로 집적한 정보를 민간 기업이 가진 정보와도 연계하고 이를 민간 기업에게 제공하는 식의 상업적 활용이 포함되어 있었다. 이러한 내용은 기업 민원 처리의 대가로 공공의 자원을 사유화한 박근혜 정부가 추진하던 내용과 전혀 다를 바가 없었다. 대통령은 바뀌었지만 박근혜가 대통령의 권력으로 추진했던 사업들은 여전히 국정 과제 일부로 남아 있는 셈이다.

 

시민사회단체의 강력한 반대에 부딪힌 복지부는 예산 통과를 위해 공적인 목적 외 상업적 활용에 대해서는 추후 다시 검토하겠다는 입장으로 선회했다, 하지만 이전 정부의 막무가내식 행정 독재로 추진된 ‘비식별 가이드라인’ 조치 등이 그대로 남아 있는 상태에서 추진되는 이 사업은, 기업이 기업 마음대로 정부는 또 정부 마음대로 관련 내용에 대한 해석을 두고 의견이 분분해 이후 시범사업의 설계와 추진 그리고 그에 대한 평가가 매우 중요한 과제로 남게 됐다.

 

상업적 활용

보건의료 빅데이터 플랫폼 예산을 둘러싼 논쟁이 한창이던 지난 11월 건강과대안, 참여연대, 인도주의실천의사협의회 등 시민사회단체는, 공개적인 토론회 한 차례 없이 추진되는 보건의료 빅데이터 사업에 대한 공개 토론회를 요구했고 결국 국회에서 관련 토론회가 처음으로 개최되었다. 이 토론회에서 시민사회는 복지부가 예산안 통과를 요구하며 내 놓은 추진 전략이 박근혜가 추진했던 의료민영화와 ‘창조경제’의 뒤를 이은 조치들 중 하나로, 의료 공공성의 마지막 보루인 개인 질병정보와 건강정보에 대한 민영화에 해당된다고 지적했다. 건강보험공단과 건강보험심사평가원(이하 심평원)이 모은 공적인 국민 개인 진료기록 및 건강보험 정보를 기업의 요구에 부응해 돈벌이 재료로 제공한다는 문제제기였다. 이러한 사업들은 그동안 강력한 드라이브로 추진되던 의료민영화로부터 국내 의료제도를 보호하는 핵심 축이었던 국민 개인 질병정보 관리의 보호막을 일거에 제거해 버리는 조치가 될 수 있다는 것이다.

 

실제로 지난 수십 년 간 보험업계는 보험업법이나 의료법 개정안 등을 통해 건강보험공단과 심평원이 독점적으로 보유하고 있는 국민 개인 건강정보와 기록에 대한 민간 공유를 요구해 왔다. 그리고 관련 법안이 국회에 상정될 때마다 막아왔던 시민사회단체의 이러한 주장은 매우 타당한 것이었다. 전체 병상 수에 10%에도 못 미치는 공공 의료기관을 보유한 국내 의료가 그나마 공공성을 가지고 버티는 가장 큰 이유는 국민건강보험 제도라고 해도 과언이 아니기 때문이다. 이 제도를 무너뜨리기 위한 보험업계의 요구는 정권이 바뀔 때마다 강력하게 이뤄졌고, 정액형 보험 상품 판매, 실손 의료보험 상품 판매와 최근 보험 상품과 건강관리서비스 상품을 연계한 판매까지 꾸준하고 줄기차게 이뤄지고 있다. 그러나 이런 요구는 매번 강력한 반대운동에 부딪혔고, 의료민영화 논란으로 막혀 왔던 것이 사실이다. 보험업계 입장에서는 민간보험 지급률(손실률)을 보전하고 보험 상품 및 위험률을 ’맞춤‘으로 설계해, 더 많은 사람들이 건강보험보다 민간의료보험에 의존할 수 있도록 하기 위해서 전 국민의 개인 질병정보를 손에 넣는 것이 간절할 수밖에 없다. 한 사람의 가족력과 유전병 정보와 병력 정보는 보험 가입에서부터 보험금 지급 사유까지 만들어 낼 수 있는, 그야말로 보험 상품 설계, 유통, 판매, 지급 등을 해결하는 ’21세기 금광‘과도 같다. 최근 이런 논란이 가중되자, 복지부는 ‘박근혜표’ 추진전략을 대폭 수정·축소해, 시범 사업에서는 기업 정보와의 연계 활용 여부를 추후 고려하겠다는 입장을 내 놓았으나, 완전하게 기업 경영과 마케팅 활용 자체를 배제할 수는 없다는 입장은 고수하고 있다. 

 

또한 최근 언론보도에 따르면,¹⁾ 산업통상자원부도 내년 복지부와 유사한 방식으로 데이터를 제공하는데, “복지부가 연구기관을 대상으로 공공 보건의료 빅데이터를 제공한다면 산업부는 병원 내 의료 정보를 표준화해서 민간에 공유”한다고 발표했다. “국내 6개 병원을 우선 선정해 데이터를 표준화하고. 병원 내 전자의무기록(EMR) 데이터, 유전체 데이터. 유전체 정보까지 민간에게 제공“하겠다는 것이다. 이러한 언론보도의 이중 플레이는 ‘눈 가리고 아웅’하는 꼴이다. 복지부에 제기된 문제들을 산업부로 넘겨 기업 민원 해결을 추진하겠다는 것과 다를 바 없다. 오히려 공익적 목적을 고려할 수 밖에 없는 복지부의 손을 떠나 산업적 이해를 대변하는 산업부로의 이관은 한층 더 우려스러운 일이다.

 

말이 안 되는 방식으로 각 부처 마음대로 추진계획을 내고 있는 보건의료 빅데이터 산업화 방안은 그 자체가 내재하고 있는 문제점이 있다. 국내 빅데이터 산업화 자체가 그 목적을 경제 성장 동력으로 삼고 있다는 점이다. 이윤을 위한 개인 정보 거래를 전제하고 있으며, 다른 나라와 달리 이에 따르는 유출 위험이나 상업적 이용에 대해서는 법제도적 보호가 아닌 ‘비식별화’ 라는 기술적 방식으로만 우격다짐으로 밀어붙이고 있다는 점이다.

 

공단과 심평원에 모인 개인 정보의 상업적 활용에 대해 지금 어느 누가 동의했는가? 정부가 추진하는 방식 자체가 비민주적인 것은 개인 정보 이용권의 동의 절차가 생략되었다는 점에서도 큰 문제지만, 이런 상업적 이용을 통해 기업은 수익을 올리는 반면 그에 따르는 위험은 개인의 몫이고, 이는 사회 전체로 향해 있다.

 

복지부는 현재 개인 정보 연계 활용 사업이 불법이라는 점을 누구보다도 잘 알고 있다. 박근혜 정부 하에서 자체 법률 자문을 통해서 진료 정보나 건강보험공단 정보의 연계가 현행법과 어긋난다는 자문을 이미 받은 바 있기 때문이다. 그럼에도 불구하고 복지부는 법률적 정당성을 갖지 못한 사업을 멈추지 않은 채 그냥 밀어붙이고 있는 것이다. 지난 정부의 적폐를 계승하는 것은 아니냐는 지적은 이래서 나온다. 예상해보건대, 이전 정부 하에서 이미 여러 이해관계자들 간 내부 약속과 거래가 있었을 수 있다. 시민사회단체가 우선 폐기를 요구하는 ‘비식별 가이드라인’ 조치로 이미 많은 기업들이 개인 정보를 이용해 마케팅에 활용하고 있는 상황이기도 하다. 대통령이 바뀌어도 행정 관료는 그대로인 상황에서 관련 공무원들은 관례상 현행법의 효력을 가지는 예산안 통과에 그렇게 목숨을 걸었을 것이다.

 

이 때문에 앞으로 진행될 시범사업의 설계와 방향 설정은 매우 중요하다. 공익적 목적을 위한 것이 아닌 상업적 이용이 우선되는 정책은 ‘플랫폼’ 사업의 특성 상 그 시범사업만으로도 위험하기 때문이다. 또한 시범사업이 제대로 된 원칙을 기반으로 시행되려면 지난 정권 하에 ‘자신이 곧 법’ 이라는 박근혜식 행정 가이드라인을 폐지하는 것이 우선이다. 지난 정권은 법률 위반이 분명한 사안일 경우 행정 가이드라인을 제정하는 편법을 통해 문제를 해결해왔기 때문이다. 이 비식별 가이드라인은 헌법에 기초한 국가의 개인 정보 보호의 가치보다 기업의 이익과 관련 산업의 발전을 우선한다는 인식으로부터 나온 조치다. 이 조치가 살아 있는 한 기업들 마음대로 개인 정보 사유화를 허용하는 것이라는 그 해석상의 잠재적 문제들이 지속될 것이다. 

 

<사진=참여연대>

편견을 가진 알고리즘

기업이 이익을 그 무엇보다도 우선하는 방식으로 개인 정보를 활용하는 것은 결국 사회 경제적으로 불평등한 조건에 있는 계층에게 더욱 불리하고 불평등한 문제를 야기할 수 있다. 공익적 목적이 아닌 개인정보의 상업적 활용에는 건강정보를 매개로 감시와 차별, 배제, 낙인 등의 문제가 발생할 위험이 상존한다.

 

빅데이터가 차별과 배제의 알고리즘의 위험에 노출돼 있다는 지적은 여러 곳에서 제기되고 있다. 빅데이터의 활용을 전제하고 있는 오바마 행정부조차 자체 과학기술자문위원회의 이름을 통해, ‘빅데이터 활용을 위한 여러 기회를 포착해야 하지만 빅데이터 도구가 개인의 사적인 상세정보를 노출할 수 있음’을 경고하고 이를 보완할 법 제도적 조치를 우선할 것을 권고한 바 있다.²⁾ 빅데이터 기술이 오랜 시간 축적된 방대한 사회적 데이터를 기반으로 오로지 알고리즘에 따라 분석이 수행되기 때문에 분석자의 주관이나 편견 없이 객관적으로 분석한다는 믿음은 틀렸다는 것을 지적하는 것이다. 과학기술자문위원회는 이러한 점을 ‘데이터 근본주의’라고 지적하고 오류가 있을 수밖에 없음을 설명하고 있다.³⁾ 특정 알고리즘을 입력하며 이 데이터에 반영되지 못한 이들이 소외되는 결과가 발생하고, 이러한 데이터가 반복·누적되면 사실상 현실에 존재하는 한 개인의 삶이 왜곡되는 일이 발생할 수 있다는 것이다.

 

많은 사람들이 기술의 중립성을 상상하거나 신뢰한다. 이 때문에 빅데이터 기술 역시 숫자에 기반해 분석자의 주관이나 편견과 상관없이 객관적 분석을 한다는 믿음이 있는 것이다. 그러나 하버드 대학에서 나온 연구에서 구글에 “아프리카계 미국인스러운” 이름을 넣어 검색하면 범죄자 정보를 찾아주는 회사 광고가 뜰 가능성이 높다는 사실이 밝혀졌고, 페이스북은 유색인종과 장애인의 글을 블로킹하는 알고리즘이 생성되었다는 사실이 밝혀진 바 있으며, 여성이 일자리를 검색하면 더 적은 임금의 일자리만이 더 많이 검색된다는 사실도 나타난 바 있다. 결국 알고리즘 설계자의 주관에 따라 편견은 개입된다는 것이다. 이러한 정보는 누적되고 반복되며 결국 그것이 진실이 되기도 한다.

 

개인의 건강과 관련된 정보들은 그 자체에 불평등의 결과가 내제해 있을 수밖에 없다. 건강을 결정하는 사회·경제적 결정 요인들을 고려할 때 저소득 계층일수록, 안정적 일자리가 없을수록, 차별을 심각하게 경험하는 사람일수록 건강상태는 더 안 좋을 수 있기 때문이다. 젠더 불평등에 기인한 건강 불평등 문제도 그러하며, 소득차이에 의한 주거환경에 따른 실질적 기대여명의 차이가 이를 증명한다.

 

또한 사회 취약계층의 경우 입력할 데이터가 아예 비어 있는 경우도 있으며, 어떤 데이터는 그 자체가 과잉돼 있는 경우도 있을 수 있다. 따라서 특정 알고리즘으로 설계될 때 관련 데이터에 반영되지 못한 이들은 소외되는 결과가 발생하고 이러한 빅데이터가 반복되고 누적되면, 애초에 데이터에서 배제되거나 왜곡된 이들은 사실상 ‘존재하지 않는 사람들’이 되거나 왜곡된 데이터가 실재하는 인간을 대신하는 결과를 야기할 수 있다.

 

더 큰 문제는 이런 배제와 차별의 알고리즘 문제를 발견, 인식하게 된다 하더라도 이미 그것이 빅데이터가 되어 한 사람을 설명하는 상징이 되었을 때, 이를 교정할 수 있을지 여부도 불투명하다는 것이다. 이 때문에 실체가 아닌 데이터 축적기술에 지나치게 의존한 보건·복지는 빅데이터 기술이 만드는 또 다른 ‘복지 사각지대’로 이어질 수 있다. 관료 행정에 의해 사각지대로 내몰린 사람들을 다시 온정 없는 데이터셋에 가두는 결과를 가져올 수도 있는 것이다. 이것이 복지부가 내세우고 있는 복지 사각지대 해소를 위한 보건의료 빅데이터 효용 방안이 보다 신중해야 하는 이유다. 개인 정보 빅데이터를 통해 업무의 효율화를 이룰 수 있을지는 몰라도, 사람보다 데이터가 우선되는 방식의 일방적 제도설계는 특정 집단의 데이터셋이 ‘건강 블랙리스트’로 활용될 우려를 배제할 수 없다.

 

이러한 이유로 유럽 개인정보보호 감독관(EDPS)은 ‘빅데이터 문제 해결에 관한 의견서(Meeting the challenges of big data)’⁴⁾를 통해 알고리즘 설계와 분석의 문제점을 제기하고 이에 대한 개인 정보 이용 동의 절차에 대한 행정기관의 역할을 전제한 바 있다. 즉, 개인 정보를 이용하고자 하는 기관들이 그 정보 주체에게 제공하고 동의 받아야 할 내용을 전제하고 있는데, “개인에 대해 관찰되고 추론된 개인정보가 무엇인지, 어떠한 개인정보가 처리되었는지에 대한 명확한 정보를 해당 개인에게 제공해야 하며, 개인정보의 사용 목적과 방법에 대해 보다 확실하게 고지해야 한다.”는 내용을 담고 있다. 또한 개인들에게 고지해야 할 내용에는 “개인 정보 수집과 활용의 목적, 방법에 대한 가정과 예상을 결정하는 알고리즘의 논리(logic)도 포함된다”고 명시하고 있다. 유럽 개인정보보호 감독관의 의견은 알고리즘에 따라 수집되고 분석된 데이터의 내용은 언제든지 그 설계기관이나 개인의 주관에 따라 달라질 수 있다는 점을 고려한 것이다.

 

건강 정보의 의미

개인 정보 보호 조치가 상대적으로 강력하다고 하는 유럽국가들 뿐만 아니라 보건의료 데이터를 활용해야 한다고 주장하는 OECD조차도 지난 1월 ‘보건의료 데이터 거버넌스에 대한 권고(Recommendation of OECD Council on Health Data Governance)’안을 발표했다. 권고에서 “건강관련 데이터는 본질적으로 민감하고, 데이터 공유와 사용 확대는 데이터의 손실 위험을 증가시키거나 유출 및 오남용 위험을 야기해서 개인에게 개인적, 사회적, 재정적인 위해를 끼칠 수 있고, 보건의료서비스 제공자와 정부에 대한 대중의 신뢰를 떨어뜨릴 수 있다”⁵⁾고 지적하며, 각국 보건 부처 장관 회의를 통해, 개인 정보 제공자에게 충분한 설명 후 동의를 구하는(informed consent) 적절한 절차를 제시한 바 있다.⁶⁾  

 

보건의료 데이터의 경우 개인정보 중 가장 민감한 정보에 해당되기 때문에 그 사용에 앞서 충분한 설명이 전제된 ‘동의 절차’ 가 전제되어야 하며, 공공의 목적과 부합하지 않을 경우에는 또 다른 적합한 대안 및 예외가 있어야 하며, 그에 따른 보호 조치가 뒤 따라야 함을 지적한 것이다. 또한 이러한 개인 건강정보 처리에 대한 동의는 충분한 설명이 전제되고 자유로운 의사 결정이 전제된 상황에서만 유효하다고 강조한다. 이런 국제적 기준을 볼 때 복지부가 공단이나 심평원, 질병관리본부 등을 통해 집적한 개인 정보를 연계·활용하기 위해서는 국민의 동의를 얻어야 하고, 이를 어떻게 이용할 것인지, 어떤 처리과정을 거치고 어떤 법적 보호 조치를 할 것인지에 대해 명확하게 밝히는 일이 선행되어야함이 명확해진다.

 

복지부 보건의료 빅데이터 사업은 현재 텍스트 데이터라 볼 수 있는 건강보험공단, 심사평가원, 질병관리본부, 유전자 검사 결과 등의 연계이지만, 이것이 보건의료 플랫폼 구축을 통해 모바일 어플이나 IoT등으로 음성적 형태로 수집되고 있는 개인 신체·바이오정보·생활정보가 결합 될 수 있으며, 이는 개인의 과거와 현재 그리고 일상의 모든 정보가 결합되는 것과 다르지 않다. 이러한 빅데이터 사업이 공익적 목적으로 활용된다 해도 동의 절차가 필요하다. 하물며 민간 활용을 전제한다는 방침이 완전하게 폐지되지 않은 이상, 이를 위한 시범사업의 위험성은 너무 클 수밖에 없다. 복지부가 보건의료 빅데이터 플랫폼 시범 사업을 진행하기 위해서는 이러한 개인정보의 밀집과 연계 집적 처리가 낳을 위험에 대한 보호 조치를 강구하고 이를 사회적 장치로 어떻게 마련할 것인가에 대한 논의가 동시에 진행되어야 한다. 그리고 이러한 사회적 조치 마련이 전제되지 않은 상태에서 시범사업은 시작되어선 안 된다. 플랫폼 사업의 특성 상 관련 틀을 만드는 것 자체가 문제가 될 수 있으며, 문제가 제기되어서 이를 중단한다고 해도 이미 쓸모없는 세금 낭비가 될 것이기 때문이다.

 

사실상 복지부가 주무부처로서 우선 해야할 일은 현재 기업이 만든 각종 인터넷 사이트와 어플을 통해 무작위 수집되고 있는 개인의 신체·건강 정보 데이터를 어떻게 관리하고 규제할 것인가에 대한 논의다. 박근혜표 비식별 가이드라인의 목적은 이미 이런 음성적인 데이터 수집을 합법화해주는 것임을 고려할 때 지금도 무방비로 수집되고 있는 포괄적 개인 건강·신체 정보를 어떻게 정의하고, 어떻게 법 안에서 보호할 것인가에 대한 정부 방침을 마련하는 것이 우선되어야 한다. 

 

정책의 공론화

마지막으로 복지부는 최근 심평원 사태에서 교훈을 찾아야 한다. 사람들이 믿고 찾아갔던 병의원에서 제공 받은 개인의 진료 기록을 공공기관이 개인의 동의 절차도 없이 30만원의 실비로 기업 돈벌이에 제공했다. 공익 목적을 위한 연구도 아니었다. 그런데 심평원은 이 사태에 대해 공식적인 별다른 문책을 받지 않았다. 누구 하나 책임을 지고 물러난 사람도 없다. 오히려 공공정보 이용에 관한 법률에 의거해 공공정보를 연구목적으로 제공했다는 말도 안 되는 변명만을 늘어놓고 있다. 환자들의 진료 기록을 심평원에 제공하는 이유는 의료인의 진료 처방 내역을 심사·평가해 제대로 된 진료를 하고 있는지 관리 감독 하라는 의미다. 그럼에도 불구하고, 자신들에게 제공된 진료기록을 ‘공공정보’ 라고 정의하고 이를 마음대로 처리·이용하는 권한을 부여받았다고 자임하고 있다. 누가 이러한 권한을, 이러한 정보 사용에 대한 권력 남용을 눈 감아 주고 있는가?

 

심평원 사태뿐만 아니라 지속적으로 발생하고 있는 개인질병 정보에 대한 상업적 거래는 정권차원에서 추진하고 있는 빅데이터 산업화 방침에 의해 지원받고 있다. 박근혜 정부 시기 ‘창조경제’론에서 시작된 빅데이터 산업화는 ‘4차 산업혁명’ 으로 이어졌으며 이는 문재인 정부 하에 ‘4차 산업혁명위원회 산하 헬스케어 특위’ 로 이어지고 있다. 자본 입장에서 저성장의 돌파구가 될 것이라 예견하고 있는 ‘4차 산업혁명’은 고위험·고부가가치 산업을 의미한다. 이러한 산업들이 부동자금을 투자금으로 다시 끌어올 수 있다는 판단에 따른 것이다. 그러나 자본의 빠른 투자수익률을 위한 산업 패러다임 전환을 공익이 핵심인 보건·복지 분야에 적용하는 것은 대단히 우려스러운 일이다.

 

고부가가치 창출은 고위험을 전제하고 있으며, 이는 곧 규제완화를 조건으로 한다는 점을 간과해서는 안 된다. 즉, 생명과 건강을 다루는 분야에 있어 필수적인 안전 장치에 대한 규제 완화를 의미한다. 이처럼 고위험 산업을 지원한다는 정부의 정책 기조는 박근혜 정부의 적폐를 이어받고 있다는 비판을 면하기 어렵다. 이러한 정책 기조 때문에 복지부는 심평원 사태뿐만 아니라 SK텔레콤, 약학정보원, IMS헬스 등 개인정보 관련 사태에 대한 해결책을 제시하고 있지 못하고 있다. 시민사회단체가 ‘박근혜식으로 추진되던 보건의료 빅데이터 사업과 문재인 정부 하 복지부의 추진 전략의 구별점이 있는가?’라고 되묻는 것은 이러한 정책적 기조가 유지되는 것에 대한 우려 때문이다.

 

그리고 정부는 2016년 결국 중단된 영국의 ‘care.data.NHS’ 의료 정보 공유 사업에서도 교훈을 얻어야 한다. 국민의 동의 절차를 무시하고 기업들에게 개인 의료 정보를 제공하고자 했던 영국 정부의 시도는 큰 사회적 혼란을 야기해 결국 100만 명의 옵트아웃(당사자가 자신의 정보 수집을 허용하지 않는다고 명시) 선언으로 이어지면서 보수당 정권 자체를 뒤흔드는 문제가 되었다. 국민의 동의 절차 없이, 박근혜 정부 하에서 기업 로비를 전제로 진행된 보건의료 빅데이터 추진 사업이 이제 그 목적을 분명히 하고 보다 분명한 개인 정보의 법 제도적 보호조치 하에 재논의 되어야 하는 이유다.

 

더불어 보건의료 빅데이터 사업의 일방적인 추진으로 인해 국민건강보험에 대한 신뢰가 흔들리게 된다면, 정부의 보건의료분야 핵심 정책인 문재인케어가 실행되는 존재기반마저 흔들릴 수 있다. 건강보험에 대한 사회적 혼란과 흔들림으로 반사 이익을 얻는 것은 민간보험사를 비롯한 의료자본이다. 이 점을 상기할 때 의료민영화 반대라는 분명한 공약 속에서 당선된 문재인 정부가 어디를 향해야 하는지는 분명해 보인다. 정부 정책은 사회적 실행을 위한 것이며, 이러한 사회적 실행의 결과가 낳을 문제들에 대해 더 많은 연구와 토론 그리고 사회적 공론화 과정이 필요하다.

 

또한 국회는 빅데이터 사업 예산을 통과시켰으나 시민사회단체의 눈을 의식해 본 사업이 아닌 시범사업으로 예산집행을 한정시킨 것을 성과라면 성과로 삼을 수 있겠다. 나아가 국회는 2018년 추진될 시범사업의 과정과 결과에 있어 제대로 된 감시와 평가를 진행하고 관련 내용을 제대로 공론화하는 데 그 역할을 해야 할 것이다.

 

---

1) 전자신문, 12월 19일자 ‘보건의료 빅데이터 '족쇄' 분다...국가 프로젝트 추진’http://www.etnews.com/20171218000395

2) Executive Office of the President(2016 May), Big Data: A Report on Algorithmic Systems, Opportunity, and Civil Rights

민간보험사에 개인정보 팔아넘긴 심평원 규탄 및 보건의료 빅데이터 사업 추진 중단 요구

 

 

[기자회견 개요] 

 - 사    회 : 김재헌(무상의료운동본부 사무국장)
 - 여는말 : 김경자(무상의료운동본부 집행위원장, 민주노총 부위원장)
 - 발  언1 : 정형준(무상의료운동본부 정책위원장)
 - 발  언2 : 조창호(국민건강보험공단노동조합 정책기획실장)
 - 발  언3 : 김진현(사회진보연대 정책교육국장)
 - 발  언4 : 변혜진(건강과대안 상임연구원)
 

 

 

[기자회견문] 

개인정보 팔아넘긴 건강보험심사평가원 규탄한다!

국민건강정보 활용하는 보건의료 빅데이터 사업 즉시 공개하고 추진 중단하라!

- 심평원은 심사평가 기능 외 빅데이터 산업화등에서 손떼야

- 공공데이터의 영리적 이용은 원천적으로 금지되어야

- ‘개인정보 비식별조치 가이드라인’도 즉각 폐기되어야

- 현재 추진되는 빅데이터 사업은 박근혜 정부 ‘적폐’

- 이후 추진과정은 공개되고, 개인정보에 대한 민주적 참여권리가 보장되어야

 

지난 10/24(화) 더불어민주당 정춘숙 의원은 건강보험심사평가원(이하 심평원)이 2014년 7월부터 2017년 8월까지 8개 민간보험사 및 2개 민간보험연구기관에게 보험료 산출 과 보험상품개발 등을 위해 요청한 ‘표본 데이터셋’을 판매했다고 밝혔다. 이는 횟수로는 총 52건, 대상자는 무려 6,420만 명분에 해당하는 양이다.

 

여기에는 상병내역, 진료내역, 처방내역등이 모두 포함되어 있었고, 민간보험사는 공식적으로 이 데이터를 참고해 각종 질병에 대한 위험요율을 계산하여 보험상품을 개발, 막대한 이익을 얻었다. 문제는 심평원이 민간보험사의 영리적 목적 이용을 알고 있음에도 데이터를 제공했다는 사실이며, 나아가 민간보험사 등이 이 자료를 다시 재조합,  비식별화하여 다른 정보와 결합 유용했을 가능성을 배제할 수 없다는 것이다. 그리고 관련 정보는 민간보험사의 리적 건강관리서비스 등의 기반이 되었을 가능성도 크다.

 

더불어민주당 진선미 의원에 따르면, 지난 1년간 정보제공자의 동의 없이 결합한 데이터는 개인정보 1억 7,000만 건이라고 한다. SCI평가정보, 한화생명, 한화손해보험, 삼성생명, 삼성카드, KB국민카드 등 민간보험사 등이 다수 포함되어 있다. 또한 이러한 결합 및 정보이용은 작년 6월 박근혜 정부가 만든 ‘개인정보 비식별조치 가이드라인’에 따라 제공되어 제대로 비식별화 되었는지 확인한 공적기관조차 없다.

 

법률이나 행정입법이 아닌 가이드라인으로 국민들의 개인정보를 팔는 경우는 전 세계적으로 유례가 없다. 결국 심사평가원의 개인건강정보유출, 각종 개인정보의 결합조치 등은 매우 심각한 사안이다. 이는 보건의료 빅데이터 사업의 미명하에 각종 공공기관을 동원한 박근혜 정부의 무차별 규제완화책이 배경이었다. 이에 시민사회노동단체는 개인건강정보를 유출한 심평원을 규탄하고 보건의료 빅데이터 사업의 원점 재검토를 요구한다.

 

1. 심평원은 공공기관으로써 자신의 책무에 집중하고, 빅데이터등 의료산업화을 중단하라.

심평원의 역할은 건강보험의 적정화를 평가하고, 앞으로 국민건강보험제도 발전에 이바지하는 것이다. 다시말해 심평원이 가지고 있는 막대한 데이터와 업무는 공적보험인 국민건강보험의 운영과 발전을 위한 것이 되어야 한다. 그러나 사실상 건강보험을 보완하거나 대체하려 하는 민간보험에 공적데이터를 넘긴 것이다. 또한 국민들과 의료인들은 심평원에 적정한 심사평가를 위해 건강정보를 제공한 것 일뿐, 자신의 정보를 데이터로 만들어 판매에 동의한 바 없다. 따라서 심평원이 개인정 데이터셋을 만든 행위는 불법이다.

 

이명박,박근혜 정부를 거치며 심평원은 각종 의료산업화의 역할을 하기로 하였다. 대표적으로 민간보험사의 심사평가대행 도입논의였고, 또 다른 하나는 영리적 빅데이터 사업에 참여한 일이다. 민간보험사의 이익을 위해 심사평가를 하려고 한 것도 문제이지만, 이들 보험사에 데이터를 넘긴 것도 비슷한 문제다. 심평원을 영리기업들의 도구로 전락시키려 한 행위가 지난 10년간의 적폐다. 따라서 이제라도 본연의 목적대로 건강보험 심사평가에 국한된 본연의 모습으로 돌아가야 한다. 이를 위해 이번 데이터셋 판매에 대해서는 심평원과 그 책임자들에게 엄중한 문책이 있어야 한다. 

 

2. 개인건강정보 비식별화 가이드라인은 즉각 폐기되어야 한다.

이번 심평원의 개인건강정보셋 유출건을 보면, 심평원이 자체적으로 개인건강정보셋을 비식별화하여 판매한 것으로 되어있다. 원래 비식별화란 향후 데이터 등을 재조합하더라도 개인식별이 안되도록 해야 제대로 되었다고 할 수 있다. 때문에 전세계적으로 비식별화를 데이터 확보한 기관에서 하는 경우는 거의 없다. 즉 데이터를 생성축적하는 곳과 비식별화를 하는 기관이 다르고, 비식별화를 하는 기관은 제3의 공공기관이다. 무엇보다 제대로 된 비식별화가 되었는지를 누군가 확인하고 이후 발생할 문제를 처리하기 위한 제도와 기관도 필요하다. 때문에 비식별화에 대한 기준과 방향은 최소한 행정입법수준에서 사회적 합의를 통해 만들어지는 것이 정상이다.

 

하지만 지금 공공기관은 물론 민간기관에서 기준으로 활용하는 2016년 6월 ‘개인정보 비식별화 가이드라인’은 말이 되지 않는다. 가이드라인에 따르면 고작 3명 이상이 각종 비식별화 확인을 수행하고, 데이터 축적기관이 직접 비식별화를 추진하는 것도 열어두었다. 이 가이드라인조차 제대로된 공청회나 의견청취도 받지 않았다. 결국 박근혜 정부의 무차별 규제완화의 일환인 가이드라인으로 국민들의 개인건강정보는 규제도 받지 않고 쉽게 팔리게 된 것이다. 이번 심평원 사건도 가이드라인이 부추긴 부수적 효과이기도 하다. 또한 이 가이드라인으로는 민간보험사가 심평원에서 받은 데이터를 결합해 ‘비식별화’ 했다는 이유만으로 다른 기업에 결합 유출할 수도 있고 처벌하지 못한다. 따라서 개인건강정보 비식별화 가이드라인은 즉각 폐기되어야 한다.

 

3. 보건의료 빅데이터 사업은 전면 재검토되고 공개되어야 한다.

심평원의 데이터셋 판매 건은 박근혜 정부가 추진한 빅데이터사업의 일환다. 박근혜 정부는 창조경제라는 명목하에 보건의료 빅데이터 사업을 주장하고, 이를 위해 각종 규제완화를 시작했다. 집권1년차부터 ‘빅데이터 개인정보보호 가이드라인’를 발표했고, 개인정보보호위원회 등의 반대에도 불구하고 2014년 이를 강행했다. 박근혜 정부는 공공 개인건강정보 데이터도 제약회사의 신약개발, 유전자치료제 개발, 정밀의료발전 등의 명분으로 마구잡이로 빅데이터 사업에 집어 넣었다. 또한 비식별화 문제는 앞서 밝힌대로 가이드라인으로 처리했다.

 

사실 민간기업이 제품판매로 얻은 개인정보의 빅데이터화도 큰 문제이지만, 공공데이터의 영리적 이용은 더 큰 문제다. 공공데이터는 대부분 사회서비스나 행정서비스등의 편의성과 효율성을 위해 국민개개인이 제공한 정보이다. 이들 정보 제공시에 민간기업 등 경우처럼 정보제공 동의도 거의 받지 않고, 정보제공자도 국가와 공적기구의 비영리성을 신뢰하여 이런 문제를 특별히 제기하지 않기 때문이다.

 

특히 국민건강보험하에서 만들어진 정보는 애초부터 건강보험청구와 심사, 공공이익 등을 위해 만들어진 것들이다. 쉽게 말해 이들 정보를 만드는데 참여한 환자와 의료인들은 애초부터 민간기업의 신약개발 등에 모든 진료정보 등이 사용토록 동의한 바가 없다. 이를 위해서는 임상시험 참여의 동의수준에 해당되는 절차가 필요했다. 여기다 개개인의 동의를 받지 않은 것은 물론이고, 이런 빅데이터 사업을 추진하는 과정자체도 시민사회 및 공개적으로 상의한 바도 없다.
박근혜 정부는 개인건강정보 문제에 대한 시민사회의 문제제기를 무시하고 이를 강행하였다. 개인동의도 없는 보건의 빅데이터 사업은 지금에서라도 원점에서 재검토되어야 한다.

 

우리는 이번 심평원의 어처구니 없는 정보유출건이 빙산의 일각일 것으로 판단한다. 또한 지난 수년간 막무가내로 진행된 보건의료 빅데이터 사업으로 인한 폐해도 아직 제대로 드러나지 않았다. 정보 불평등과 정보 유출의 폐해가 드러나는 것은 수십년이 지나서일 수도 있다. 다만 한국의 개인정보는 이미 수차례 기업들의 부주의로 해킹되었고, 이름, 주민번호, 전화번호, 주소 등이 지금도 암암리에 팔리는 나라다. 여기에 결합되어 식별화 혹은 암호해독이 될 가능성이 높은 개인정보가 결합되면 어떻게 될지 걱정다.

 

단순히 민간보험사의 보험료인상, 제약회사의 과도한 특허신약의 문제뿐 아니라, 향후 채용, 결혼, 인사고과 등 모든 부분에 개인건강정보가 유용 될 수도 있다는 우려도 있다. 이는 누구도 바라지 않는 디스토피아일 것이다. 때문에 영국과 같이 국가의료제도(NHS)로 어느 곳보다 표준화된 데이터축적이 손쉬운 곳에서도 작년부터 빅데이터사업인 케어닷데이터(care.date)을 중지하고 재검토하고 있다.

 

4차 산업혁명이라는 미명하에 개인건강정보를 집적화하여 큰 발전을 이룩할 수 있다는 가설도 아직 입증된 바 없다. 이는 신중히 준비해서 근거를 마련해가야할 산업분야이며, 보건의료 빅데이터도 연구과제일 뿐이다. 이런 연구과제를 위해 무차별 규제완화를 감행한 박근혜정부는 이제 촛불항쟁으로 사라졌다. 따라서 박근혜정부가 사라진 것처럼, 보건의료 빅데이터에 대한 맹목적인 환상도 사라져야 한다. 또한 보건의료 빅데이터 사업은 타당성부터 안전성, 효용성까지 전면 재검토가 이루어져야 한다.

 

2017년 10월 30일

건강과대안 / 인도주의실천의사협의회 / 참여연대 / 의료민영화저저와무상의료실현을위한운동본부
 

[원문보기/다운로드] 

[보건의료 빅데이터 문제점 자료]

4개 시민단체, 개인정보 보호 완화한 정보통신망법 개정안 입법예고의견서 제출

일부 조항 2008년 이전으로 후퇴하는 등 기업에 유리한 개정안에 반대
고객 모르게 개인정보 판매되는 현실 개선할 방안 선행되어야

 

 

경실련 시민권익센터, 녹색소비자연대 ICT소비자정책연구소, 진보네트워크센터, 참여연대 민생희망본부는 오늘(11/2) 방송통신위원회의 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정안 입법예고에 대한 의견서를 제출하였다. 

 

이들 단체는 홈플러스와 롯데(우리)홈쇼핑 사건에서 볼 수 있듯이, 고객 모르게 개인정보가 판매되는 현실이 우선 개선되어야 한다고 지적하였다. 그런 점에서 ‘개인정보 유상 제공 여부’에 대해 이용자에게 고지하도록 규정하는 것에 대하여 찬성하였다.

 

 

그러나 개정안의 나머지 부분은 이용자 권리 보장보다 기업에 유리한 개인정보 보호 완화에 치중되어 있다는 점에서 반대하였다. 

우선 ‘서비스 개선’을 이유로 동의 없이 이용자의 개인정보를 수집·이용할 수 있도록 개정하는 것은 기업이 자의적으로 해석하여 이용자 권리를 제한할 수 있다.

 

또 현행 동의 철회권을 처리정지 요구권으로 변경하고 거절 사유를 폭넓게 인정한 것 역시 이용자 권리에 대한 침해가 우려된다. 기업의 이익을 위해 이용자의 처리정지 요구가 거절될 수 있을 뿐더러, 처리정지 요구에도 불구하고 계속 이용하거나 제3자에게 제공하는 기업을 처벌하는 규정을 두지 않았다. 

 

기업에 대하여 이용자가 개인정보의 열람 등을 요구하는 방법을 개인정보 수집방법보다 쉽게 하도록 한 현행 규정은 제대로 지켜지지 않고 있다는 지적을 받아 왔다. 그런데도 개정안은 이에 대한 시정이나 개선에 나서기보다 오히려 방법을 표시, 고지하는 것으로 사업자의 의무를 한정한 것 역시 기업 편의를 봐준 것으로 보인다.

 

 

전반적으로 2007년 이전의 조항으로 후퇴하는 조항이 많았다는 점도 문제이다.

개인정보 유출과 오남용이 기승을 부리자 2007년 이후 국회는 우리나라 정보통신망의 상황을 특별히 고려한 보호 규정을 도입하는 내용으로 몇 차례 정보통신망법을 개정하였다. 그 가운데 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우에 한해 사전동의 예외를 인정하고, 개인정보 처리위탁시 이용자가 동의하도록 하였으며(이상 2007년), 사전동의 위반에 대해 형사처벌에 처하는 조항(2008년) 등이 도입되었다.

 

그런데 이번 개정안은 위 규정들을 모두 이전으로 후퇴하였다. 서비스 계약을 체결 또는 이행하기 위하여 불가피한 경우 사전동의의 예외로 삼고, 개인정보 처리위탁시 이용자 동의권을 박탈하였으며, 사전동의 위반에 대한 형벌 적용기준을 완화하였다.

 

국민 개인정보가 여전히 글로벌한 인터넷에 유출되어 있는 상황에서 이를 이전 기준으로 후퇴하겠다는 것은, 당시 국회의 법률 개정 취지에 반하는 것이다. 그러나 개정안은 꼭 그래야만 할 합리적인 이유도 설명하지 않았다.

 

방송통신위원회는 이번 개정안이 “글로벌 스탠더드”에 맞추기 위함에 있다고 그 취지를 설명하였으나, 실제로는 기업에게 유리한 내용으로 점철되어 있을 뿐, 관련 글로벌 스탠더드는 뚜렷치 않다.

 

 

결론적으로 이 개정안은 빅데이터 시대 정보통신서비스 제공자의 개인정보 오남용에 대해 이용자의 불안감이 커지는 데 부응하여 이용자의 권리를 보장하기 보다는, 전반적으로 산업계의 이해를 우선하는 명목으로 현행 규정보다 개인정보 보호를 완화하고 있다는 점에서 이들 단체는 반대 의견을 표하였다. 

 

<별첨> 의견서