[정보인권연구소 기획강좌]
[Statement] Google must implement the duty to protect personal data under South Korean law
- Four human rights and civil groups partly win in a law suit against Google demanding disclosure of information
고객 개인정보 불법 수집·판매에 대한 반성과 책임 없이,
발표일자:
2015/08/31
4월 7일 대법원(대법원 3부, 주심 권순일 대법관, 2016도13263)은 홈플러스가 보험사에 소비자의 개인정보를 판매한 사건에 대해 종전 1심과 2심의 무죄를 선고한 원심을 파기하고, 최종 유죄를 판결했다.
원심법원은 경품행사를 가장해 소비자의 개인정보를 취득한 행위에 대해 무죄를 판결했다. 원심법원은 비록 1밀리미터(약 4포인트)의 매우 작은 글씨 크기로 작성되었으나 사람이 못 읽을 수준이 아니어서, 개인정보보호법에서 정한 고지의무를 지켰다고 판단하였다. 그러나 대법원은 소비자가 경품행사에 응모할 때, 아무런 대가 없이 이뤄지는 행사인지 아니면 개인정보를 보험사 등 제3자에게 제공하는 행사인지가 중요한 요소라고 지적하였다.
경품응모권에 1밀리미터 크기의 글씨로 기재된 것을 읽기가 쉽지 않고, 짧은 시간 동안 응모권을 작성하면서 그 내용을 정확히 파악하여 잘못된 인식을 바로잡기가 어렵다는 것이다. 결국 홈플러스의 행위는 개인정보보호법 제72조 제2호에서 규정한 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위에 해당된다고 판단했다.
또한 원심법원은 홈플러스가 보험사의 사전필터링을 위하여 개인정보를 제공한 행위에 대하여 홈플러스의 개인정보를 판매하는 과정의 일환으로 제공한 것이므로 이는 위탁에 불과하여 소비자의 동의를 별도로 받지 않더라도 문제되지 않는다고 하였다. 그러나 대법원은 이에 대해 보험회사는 단순한 수탁자가 아니라 자신들의 독자적 이익과 업무처리를 위하여 홈플러스로부터 개인정보를 제공받은 제3자에 해당되므로 소비자로부터 개인정보처리에 관한 동의를 받지 아니한 이상 개인정보보호법 위반에 해당된다고 하였다.
대법원은 이번 판결을 통하여 개인정보 매매의 심각성을 알리고, 기업의 개인정보처리의 윤리를 바로 세웠다. 현행 개인정보보호법이 정한 바에 따라 지극히 상식적이고 합리적인 판단한 결과이다. 이번 대법원 판결로 기존 기업의 개인정보매매의 관행을 뿌리 뽑고, 대한민국의 개인정보 처리에 관한 기준을 세우는 계기가 되길 희망한다.
이러한 형사재판과 더불어 참여연대, 경실련 소비자정의센터, 진보네트워크, 안산 소비자단체협의회 등 소비자단체, 시민단체는 홈플러스가 소비자 개인정보를 불법으로 매매한 사건에 대하여 홈플러스와 보험사를 상대로 개인정보보호법 위반을 이유로 손해배상청구소송을 제기하여 민사소송을 함께 하고 있다.
경실련 소비자정의센터, 진보네트워크센터, 참여연대,
소비자교육중앙회, 한국여성소비자연합, 한국YWCA연합회, 한국소비자연맹, 소비자시민모임, 한국소비자교육원,
한국YMCA전국연맹, 녹색소비자연대, 소비자공익네트워크, 한국부인회총본부
민간보험사에 국민건강정보 팔아넘긴 심평원을 규탄한다!
건강보험심사평가원(이하 심평원)이 지난 2014년 7월부터 2017년 8월까지 민간보험사 8곳을 비롯한 민간보험연구기관 2곳이 보험료 산출 및 보험상품 개발 등을 위해 요청한 ‘표본 데이터셋’을 건당 30만원의 수수료를 받고 총 52건, 6,420만 명분의 진료기록 정보를 팔아넘긴 것으로 확인됐다. 표본 데이터셋의 구성자료는 입원환자와 소아청소년환자, 고령환자 및 입원환자에 대한 진료 및 질환정보를 담은 상병내역과 진료내역, 원외처방내역 그리고 환자의 개인정보를 담은 일반내역을 포함하고 있다. 심평원으로부터 사들인 진료기록정보를 민간보험사들은 보험상품 연구 및 개발과 위험률 산출 등을 위해 환자들의 정보를 분석하여 영업 및 마케팅에 활용해 온 것이다.
심평원은 「국민건강보험법」제62조에 따라 “요양급여비용을 심사하고 요양급여의 적정성을 평가하기 위하여” 설립됐고, 이러한 근거에 따라 “주민등록·출입국관리·진료기록·의약품공급 등의 자료”를 수집 및 집적할 수 있다(동법 제96조). 그럼에도 불구하고 심평원은 공공의 기능을 수행하는 정부기관임을 망각하고 국민의 건강정보를 민간보험사의 이익창출을 위한 도구로 제공했으며, 민간보험사는 정부기관을 정보수집수단으로 이용했다. 정부기관이 공적인 목적을 위해 수집한 국민들의 개인정보를 상업적 목적을 위한 민간기업에 돈을 받고 팔았다는 사실에 국민으로써 분노하지 않을 수 없으며 정부에 대한 배신감과 불신으로 국민의 건강권과 복지증진을 위한다는 말은 더 이상 믿을 수가 없다.
심평원이 민간보험사에 제공한 정보는 진료행위와 처방의약품에 대한 내용을 비롯해 주/부상병에 대한 정보까지 전부 제공했으니 국민건강정보 모두를 제공한 것이나 다름없다. 민간보험사가 이러한 건강정보 빅데이터를 입수하기를 원하는 것은 궁극적으로 보험가입자의 건강정보를 파악해 보험가입 및 보험금 지급거절을 하기 위한 것이다. 그러므로 보험사가 이러한 빅데이터를 영업목적으로 위해 활용하게 되면 보험가입을 원하거나 이미 가입된 국민들에게 피해를 줄 수 있으며 건강권을 침해 할 수 있는 여지가 충분하다. 결과적으로 심평원의 이러한 행위는 보험사의 이윤만 보장해 주는 격이지 국민의 건강권 향상에는 전혀 이로운 점은 없다. 특히나, 진료내역에 희귀질환과 같이 재식별이 아주 용이한 질병정보까지 포함하고 있어 가장 민감한 개인질병정보를 민간보험사가 집적하고 있다는 사실은 위험한 일이 아닐 수 없다.
이번 사건을 두고 심평원은 빅데이터 제공근거로 「공공데이터의 제공 및 이용 활성화에 관한 법률」제3조의 4항 을 언급했다. 그러나 동법 제28조에 의하면 공공데이터의 제공중단사유로 ‘공공데이터의 이용이 제3자의 권리를 현저하게 침해하는 경우’를 명시하고 있으며, 국민건강보험공단도 민간보험사에 빅데이터를 제공하는 행위가 이에 해당한다고 보고 있다. 또한 「개인정보보호법」에서 규정하고 있는 ‘개인정보’에 대한 정의를 보면 해당 정보만으로 개인을 특정할 수 없더라도 다른 정보와 결합하여 쉽게 식별할 수 있는 정보도 개인정보로 보고 있다. 그러므로 보험사들이 그 동안 집적한 국민의 건강정보에 대한 데이터와 심평원에 제공한 빅데이터(특히 질병정보까지 포함)를 결합하여 가공처리 및 분석할 경우 재식별이 충분히 가능하다는 것은 분명하다. 게다가 현재 비식별조치 가이드라인은 개인정보에 대한 익명화가 아니라 가명정보까지 포함한 개념으로 쓰고 있고 충분히 추론 및 연계하여 식별이 가능하다. 이런 느슨한 제도적 상황에서 민간보험사에 대한 빅데이터 제공을 두고 ‘이용권의 보편적 확대’라는 어설픈 변명을 하는 심평원이 암호화 조치 등 충분한 비식별 조치를 했을지는 의문이다.
국민의 건강권 증진이라는 공적인 목적과 역할을 수행해야 할 심평원이 민간보험사에 건강정보 빅데이터를 팔아넘김으로써 민간보험사의 이윤창출의 조력자 역할을 하고, 국민의 건강정보보호에 대한 책임을 방기한 심평원의 행태는 규탄 받아 마땅하며, 보험사를 비롯한 민간기업에 국민의 건강정보를 제공하는 짓은 변명할 여지가 없는 중범죄임을 인식해야 한다. 심평원의 상위기관인 보건복지부가 이번 사건의 심각성을 인지하고 국민의 개인건강정보보호를 위해 제도적 조치마련을 위한 노력을 다해줄 것을 요구한다.
“빅데이터 활용과 다가올 위험”
개인정보 비식별화 문제 관련 토론회 개최
시민들의 의견
댓글 달기