현재 국회 행정안전위원회에 계류 중인 ‘개인정보보호법’ 개정안이 오는 9월27일 법안소위 논의가 예정된 가운데 시민사회단체를 중심으로 건강정보의 특수성을 고려한 수정 보완이 필요하다는 주장이 제기됐다.

더불어민주당 김상희 의원과 정의당 윤소하 의원은 9월18일 국회 의원회관 제7간담회실에서 ‘개인 건강의료정보 및 유전자정보에 대한 정보주체 자기결정권 침해문제와 대안 마련을 위한 토론회’를 공동 개최했다.

이날 토론회의 핵심은 지난해 11월15일 더불어민주당 인재근 의원이 당정 협의를 거쳐 대표 발의한 ‘개인정보보호법 일부개정법률안’이 개인 건강정보의 특수성을 고려하지 않고 개인의 동의 없이 상업적 목적으로 사용할 수 있는 만큼 이에 대한 안전장치가 필요하다는 것.

사실상 정부안이라고 할 수 있는 개정안은 가명정보를 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 정보주체 동의 없이 처리할 수 있도록 규정하고 있다. 여기서 말하는 가명정보는 개인정보를 가명처리함으로써 원상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보를 말한다.
발제를 맡은 이상윤 건강과 대안 책임연구위원은 정부와 여당의 개인정보보법 개정안이 원안대로 통과되서는 안된다며 건강정보의 특수성을 고려한 수정 보완을 요구했다.

이상윤 책임연구위위원은 “보건의료 개인정보(건강정보)는 고도로 민감한 개인정보로 유출 및 악용 사례는 많지 않지만 유출 및 악용시 피해는 되돌릴 수 없다”면서 “원칙적으로 익명화(anonymization)가 불가능하다”고 지적했다.

그는 “유럽의 경우 개인의 동의 없이 건강정보를 처리할 수 있는 과학적 연구의 범위를 각국에 위임하고 있다”면서 “최근 개별적으로 제정되고 있는 사례는 투명하고 책임성 있는 거버넌스 기구에서 과학적 연구의 범위를 경정하거나 과학적 연구의 범위를 한정하는 추세”라고 설명했다.

실제 아일랜드는 건강연구의 경우 개인 동의 없이 수행이 불가하며 예외적인 경우 국가가 운영하는 위원회에 허가를 받아야 한다. 연구자가 개인 동의 없이 연구를 수행할 경우 이에 대해 직접 소명을 한다는 의미다. 미국 캘리포니아주는 익명화된 정보에 한해 상업적 목적으로는 처리가 불가능하고 개인정보 수집시 원래 목적에 비례한 연구에 한해서만 개인 동의 없이 처리가 가능하다.

특히 개인정보보호법 개정안이 유럽의 GDPR에 미치지 못하는 법안이라고 평가했다. 기업이나 개인의 사익 추구를 위한 통계를 작성하고 과학적 연구도 정보주체 동의 없이 개인정보를 처리할 수 있도록 하고 있는 조항이 더욱 문제가 된다는 것.

이 책임연구위원은 “개인정보보호법은 유럽의 GDPR 수준으로 정보주체의 정보인권을 강화하는 방향으로 개정하는 것이 필요하다”면서 “개인정보보호법 개정과 별개로 건강정보 보호를 위한 별도의 법제도 체계를 논의하고 고민해야 한다”고 제안했다. 

또한 개인정보보호법에도 불구하고 개인건강정보의 활용에 있어 보다 높은 차원의 안전장치를 마련하고 추가적인 규정을 둬야 한다는 의견도 나왔다.

오병일 정보인권연구소 연구위원(진보넷 대표)은 ‘건강정보 보호 및 보건의료 연구를 위한 개인정보보호법 개정 방향’에서 현재와 같은 개정안이 통과될 경우 직접적으로 상업적인 공유와 활용이 이뤄질 것이라고 꼬집었다.

오 연구위원은 “현재의 개정안이 통과되면 개인정보가 가명처리를 이유로 IMS헬스사건과 같은 처방전 매매는 불법이 되지 않을 것”이라면서 “가명처리된 개인정보의 폭넒은 상업적 활용과 제공, 결합 등의 허용은 통신, 금융, 의료 등의 분야에서 고객정보의 무한 공유라는 위험이 나타날 것”이라고 전망했다.

그러면서 그는 “개인 건강정보에 대해서는 보다 엄격한 규율이 필요하고 생체인식정보를 민감정보에 포함해야 한다”면서 “보건의료 관련 법제에서 보건의료 데이터(개인 건강정보)의 안전한 활용을 위한 구체적인 거버넌스 규정을 마련해야 한다”고 강조했다.

한편 이어진 토론에서는 개인정보 활용 주체가 아닌 활용 방식과 절차에 초점을 맞춰야 한다는 주장도 나왔다.

정일연 과학기술정책연구원 부연구위원은 “현재 우리나라는 몇 가지 쟁점에 묶여 한발도 나가지 못하고 있는 상황에서 과연 국내의 건강정보와 유전정보가 해외에서 유용할까라는 생각을 하게 된다”면서 “이미 글로벌 기업들이 데이터를 수집하고 있고 관리당국에서 제재할 역량이 부족한 상황에서 논의의 진전이 필요하다”고 말했다.

이어 정 부연구위원은 “개인정보 활용 주체가 민간이냐 정부냐는 주체보다는 활용의 방식과 절차로 접근하는 게 중요하다”고 전했다.

보건복지부 역시 논의의 진전이 필요하다는 점에 공감하고 사회적 논의가 필요하다는 입장이다.

오상윤 보건복지부 의료정보정책과장은 “기본적으로 의료정보는 민감정보로 권리주체의 동의가 중요하다는 데 동의하고 사회적 공론화도 필요하다고 생각한다”면서 “법적으로 허용되는 개인의 동의를 기반으로 하는 연구와 활용은 논란이 없을 것 같지만 쟁점이 되는 부분은 개인이 동의를 받지 않는 가명처리된 정보에 대해 우리가 진지하게 토론을 해야 한다”고 말했다.

이어 개인 의료정보 활용에 있어 산업적인 목적과 상업적인 목적은 구분해야 한다며 보건산업적 목적에서 국민의 질병치료와 건강관리에 대해서는 진지한 고민이 필요하다고 했다.

또한 그는 “빅데이터를 활용한 기술개발은 상당히 필요하고 기업이 할 수 밖에 없는 영역이지만 최소한의 이익이 보장되지 않으면 아무도 뛰어 들지 않을 것”이라며 “그렇다면 기술개발을 추진하지 않을 것인지 아니면 하게 된다면 어디까지 인지를 생각하고 이것을 조화롭게 할 수 있는 대안을 찾는게 정부의 목적이다”고 밝혔다.

이어서 오 과장은 “데이터 활용에 있어서 기술개발의 목적과 절차 그리고 그 결과에 대해 사회적 환원이 가능한지에 대한 산업적 생태조화를 찾아봐야 한다”며 “국민의 건강증진과 편익을 위해 담론이 아닌 법안정성 확보, 거버넌스 등 구체적인 논의를 했으면 좋겠다”고 덧붙였다.