국회 행정안전위원회 법안심사소위원회가 오는 27일 개인정보보호법 개정안 심사를 앞두고 있지만 법안이 올해 정기국회에서 처리될지는 미지수다. 개정안에 대한 시민단체의 반발이 큰데다 조국 법무부 장관의 거취를 둘러싸고 여야가 첨예하게 대립하고 있어서다. 내년에는 총선이 있어 내년 초 국회에서 처리되지 않으면 20대 국회에서 법안은 폐기된다. 소위는 지난 8월 말 법안을 논의하려다 공직선거법 개정안 의결과 관련한 자유한국당의 반발로 열리지 못했다.
인재근 더불어민주당 의원이 지난해 11월 대표 발의한 개정안은 정부와 민주당이 당정협의를 거쳐 마련한 법안이다. 가명정보(예를 들어 ‘허준’의 이름을 ‘홍길동’으로 바꿔 추가 정보 없이는 누구의 정보인지 알 수 없게 조치한 정보)로 가공한 개인정보를 정보주체의 동의 없이 활용할 수 있도록 한 것이 골자다. 개인정보의 오남용과 유출 등을 감독할 감독기구를 개인정보보호위원회로 일원화하고 관련 법률의 유사·중복 규정을 기본적으로 개인정보보호법으로 일원화했다.
특히 가명정보 활용 목적을 통계 작성과 과학적 연구, 공익적 기록보존 등으로 한정했다. 하지만 시민단체 등에서는 “사실상 모든 연구를 과학적 연구로 규정하고 있어 기업이 사익 추구를 위해 개인정보를 처리할 수 있다”면서 “정보주체의 동의절차를 제거한 개인정보보호법 개정을 수용할 수 없다”며 반발하고 있다.
참여연대 등 시민단체에서는 개인정보보호법 개정안 등이 ‘유럽연합 일반개인정보보호법(GDPR)’ 수준으로 개인정보를 보호하겠다고 했지만 개인정보 주체의 처분권을 축소했다고 비판한다. 개인정보에 바탕을 둔 데이터를 정보주체의 동의 없이 기업들이 활용할 수 있도록 정보주체의 관리통제권을 제한하거나 아예 없애려 한다는 것이다.
오병일 정보인권연구소 연구위원은 “최근 약국의 처방전을 모아 IMS헬스에 넘긴 사례가 발생했다. 개인정보보호법 개정안은 가명처리만 되면 개인정보의 폭넓은 상업적 활용이 가능하고 결합 제공이 가능하도록 풀어줘 IMS와 같은 사례가 더욱 빈번해질 것”이라며 통신·금융·의료 등 대기업 사이에 고객정보의 무한 공유가 가능해질 것을 우려했다. 그는 “개인정보 보호를 위한 안전장치가 빈약하고 개인정보 영향평가가 공공기관에만 적용돼 오남용 사례가 발생할 수 있다”며 “보다 엄격한 규율을 마련해 법안을 보완하고 연구자 검증 절차도 추가해야 한다”고 강조했다.
정형준 인도주의실천의사협의회 사무처장 역시 “유럽의 경우 공공의료가 95%인 반면 우리나라는 민간의료가 95%다. 유럽의 GDPR보다 대폭 완화된 개인정보보호법 개정안이 통과될 경우 기업 등이 개인 의료정보를 활용해 상당한 문제가 발생될 것”이라고 주장했다.
국가인권위원회도 7월 ‘과학적 연구’의 범위가 모호하고 추상적이어서 가명정보가 광범위하고 포괄적으로 오남용될 우려가 있다고 지적했다. 또 가명정보가 다른 정보와 결합되면 누구의 개인정보인지 역추적이 가능하므로 가명정보의 활용범위와 요건을 더욱 구체화하고 안전조치를 강화할 필요가 있다는 의견을 국회의장에게 표명했다. 건강·유전정보 특성상 민감한 개인정보가 쉽게 노출되거나 이용될 수 있어서다.
반면 의료·산업계는 “장기간 축적된 데이터를 활용해 환자를 위한 맞춤 의료 서비스를 개발하자”며 법 개정으로 데이터 접근 장벽을 낮추기를 원하고 있다.
체온관리 애플리케이션, 독감 진단 소프트웨어(SW) 등을 개발한 신재원 에임메드 대표(가정의학과 전문의)는 “의료 데이터를 모아 개발한 소프트웨어를 활용하면 1주일 간격으로 독감 등 감염병 데이터를 모아 발표하는 질병관리본부보다 독감 유행 정보를 5일 이상 빨리 파악할 수 있다”며 “또 이런 앱·소프트웨어를 활용하면 예방접종 등 의약품의 부작용도 보다 신속·정확하게 파악할 수 있다”고 말했다.
신 대표는 이어 “이처럼 환자에게 도움이 되는 서비스는 공공 부문에서 나오기 힘들기 때문에 정부·공공기관은 민간이 혁신적 서비스를 개발하는 데 필요한 토대를 마련해줄 필요가 있다”면서 “하지만 데이터를 공유해 혁신적 서비스를 해보자고 하면 ‘왜 특정 기업에 그런 특혜 줘야 하느냐’는 얘기가 나오는 게 우리의 현실”이라며 아쉬워했다. 데이터 활용 이익에 대해서도 “병원과 정보를 제공한 개인에게 배분할 수 있는 시스템을 만들어줘야 빅데이터 활용의 선순환이 이뤄질 수 있다”고 덧붙였다.
윤형진 서울대 의대 임상의과학정보실장은 “(과거 의료정보를 활용한) 후향적 연구의 경우 일일이 개인정보 이용 동의를 받는 게 불가능에 가깝다”며 “따라서 가명화·익명화 등 비식별화를 통한 정보활용이 꼭 필요하다”고 강조했다. 정일영 과학기술정책연구원 부연구위원은 “개정안의 과학적 연구에 대해 민간·공공 등 활용주체와 범위보다는 활용방식·절차에 초점을 맞춰야 한다”고 지적했다.
다만 민감한 개인정보 취합 과정에서 오남용을 막기 위한 최소한의 안전장치를 마련해야 국회 문턱을 넘을 수 있을 것이라는 의견이 나온다. 이와 관련해 행정안전부는 이름을 없앤 익명정보는 누구의 정보인지 알 수 없어 개인정보가 아니지만 가명정보는 익명정보에 비해 개인식별 가능성이 높으므로 데이터로 활용할 수 있는 요건을 익명정보와 차등화하는 방안을 모색하고 있다.
정영수 행안부 개인정보보호정책과 사무관은 “가명정보는 어느 정도 개인 정보적 속성을 갖고 있기 때문에 익명정보와 달리 몇 가지 요건을 갖춰야 데이터로 활용할 수 있게 하면 된다”며 “또 가명정보가 누구의 것인지 재식별할 수 없게 할 필요가 있다”고 말했다.
앞서 정부는 2016년 빅데이터 활성화, 개인정보 보호 강화를 위해 ‘개인정보 비식별 조치 가이드라인’을 제정했다. 이에 따라 비식별화 조치를 거친 개인정보는 정보주체의 동의 없이도 기업 마케팅 등에 사용할 수 있도록 했다. 개인정보보호법 개정안이 국회에서 처리되지 않은 현 상황에서 이 가이드라인이 비식별 정보 활용의 기준이 되고 있다.
그러나 이듬해 시민단체가 이 가이드라인에 따라 빅데이터 서비스를 제공한 20개 기업과 비식별화 조치 전문기관 4곳을 개인정보보호법 위반으로 고발했다. 검찰은 이와 관련해 올해 3월 개인정보 비식별 조치 가이드라인에 따라 비식별 조치를 한 개인정보는 특정 개인을 식별할 수 없는 상태이므로 개인정보보호법에서 말하는 개인정보가 아니라고 판단했다.
보건복지부는 이달 17일 건강보험공단·건강보험심사평가원·국립암센터·질병관리본부 등 4개 공공기관이 보유한 의료 데이터를 연계해 정책연구 등 공공 목적으로 활용할 수 있도록 ‘보건의료 빅데이터 플랫폼’을 개통했다. 복지부가 2017년 3월 보건의료 빅데이터추진단을 꾸린 이래 처음으로 선보인 사회적 논의의 결과물이자 현 수준에서 정부가 할 수 있는 빅데이터 활용 방안이다.
가령 신장이식수술 이후 합병증 예방·관리 방안을 연구하려면 신장이식 환자의 수술 기록과 이후 합병증 기록이 필요하다. 그러나 수술 기록은 질병관리본부가, 합병증과 약제 처방 기록은 건보공단이 갖고 있다. 두 빅데이터를 연계하면 신장이식수술을 받은 환자에게서 합병증이 얼마나 발생했는지 파악할 수 있게 된다. 이처럼 여러 기관의 관련 정보가 연계될 경우 국민 건강증진 측면에서 효용이 크다.
하지만 빅데이터 활용의 첫발을 뗐을 뿐이다. 법적 근거도 여전히 취약하다. 시범사업은 보건의료기술진흥법과 보건의료기본법에 근거해 진행하지만 본사업으로 확대하려면 국회에 계류된 개인정보보호법 개정안 통과가 필수다. 정보주체의 동의 없는 보건의료 빅데이터 제공·활용 범위와 방법·절차, 정보보호 조치 등에 관한 법적 근거가 미흡하기 때문이다.
개인정보보호법에 막혀 주민등록번호를 식별코드로 쓸 수 없어 다른 사람을 같은 사람으로 인식해 오류가 생길 가능성이 15%가량 된다는 지적도 있다. 이름·생년월일·성별로만 개인을 식별하다 보니 정확도가 85% 정도로 떨어진다는 것이다.
의료 데이터를 활용해 인공지능(AI) 소프트웨어를 개발하려면 여기에 의료기관 전자의무기록(EMR) 등도 필요하다. 많은 데이터를 가진 대형병원 등과 AI 소프트웨어 기업이 의기투합해야 개발할 수 있다.
이처럼 현행 개인정보보호법이 보건의료 빅데이터 활용 활성화의 걸림돌이 돼왔지만 국회에서의 논의는 지지부진하다. 반면 중국은 상하이데이터거래소 등 15~20개의 데이터 거래소가 만들어져 개별 기업들이 원하는 데이터를 사고판다. 개인정보 보호를 둘러싼 거대 담론에서 벗어나지 못하면 이 같은 빅데이터 격차는 더욱 벌어지고 미국 등 글로벌 기업의 빅데이터와 AI 소프트웨어 등에 대한 의존도가 높아질 수밖에 없다. 임웅재 선임기자 jaelim@sedaily.com