개인정보보호법

2017.2.28 주간경향 1215호 기고문{/}웨어러블 정보인권

By 2017/02/22 No Comments

장여경 (진보네트워크센터 정책활동가)

손목밴드나 안경, 셔츠 등 ‘입을 수 있는’ 스마트기기 통해 내 정보 팔릴 수도

 

건강에 관심이 많은 직장인 A씨는 웨어러블 기기를 이용해 매일 자신의 건강 상태를 점검한다. 손목밴드형 기기를 이용해 하루 운동량을 체크하는 것은 물론, 퇴근 후 실내화형 웨어러블 기기를 신고 체중, 체지방률과 심박수를 측정한다. 기기가 통신사와 연계되어 건강 이상 여부를 알려준다고 하니 안심이 되었다.
하지만 한편으로 찜찜한 생각도 든다. 자신이 사용중인 웨어러블 제품 회사가 건강정보 매출 1위라는 언론보도를 접했다. 체지방과 심박수 정보를 타인과 공유할 생각이 없었던 A씨는 개인정보 판매에 동의한 기억이 없다. 요즘 부쩍 증가한 건강보험 판촉 전화가 혹시 그런 경로로 오게 된 것인지 의심이 된다. 자신의 개인정보를 판매하였는지 제조사와 통신사에 문의해 보았지만 모두 명확히 답해주지 않았다.

가상의 사례이지만 머지 않은 미래 혹은 이미 도래한 현실이다. 웨어러블(wearable) 기기란 말그대로 ‘입을 수 있는’ 스마트기기를 뜻한다. 손목밴드나 안경처럼 신체에 부착하거나 셔츠처럼 입기도 한다. 많은 소비자들은 웨어러블 기기가 생활을 편리하게 하고 건강 관리에 도움이 될 것으로 기대하고 있다.

그래서인지 최근 웨어러블 기기 시장이 크게 성장하고 있다. 시장조사기관인 IDC는 웨어러블 기기 시장이 2016년부터 향후 5년간 연평균 20.3%로 성장할 것으로 전망하였다. BCC 리서치에 따르면 특히 건강관리 웨어러블 기기 시장 규모가 2015년 세계적으로 3,930백만 달러에 달했으며 2020년 32,142백만 달러에 이를 것으로 보았다. 국내 연구자들은 이중 국내 시장이 2015년 649억 원에서 2020년 5,302억 원에 이를 것으로 가늠한다. 국내 웨어러블 기기를 선도하고 있는 삼성 역시 건강관리 시장에 주목하고 있다.

그러나 안타깝게도 웨어러블 건강관리의 어두운 면모는 잘 알려져 있지 않다. 2015년 9월 22일 “K-ICT 스마트 디바이스 육성 방안”을 마련한 정부는 장밋빛 전망만 내세운다. 이러한 편향성은 소비자들의 올바른 선택권을 제한한다.

 

건강정보 가치, 금융정보보다 높아

 

웨어러블 건강관리에서 치명적인 문제는 아직 정확성이 부족하다는 것이다. 심박동 모니터기 등 핏빗(Fitbit)사의 제품들은 세계적으로 대중적이다. 그런데 최근 집단소송에서 제품의 정확성에 오류가 있다는 사실이 드러났다. 이용자가 격한 운동을 하는 동안 1분에 20회 이상 심박동수를 잘못 계산했다는 연구가 나온 것이다. 이런 상태에서 웨어러블 기기의 정보를 공적으로 인정하면 이용자에게 부당한 결과를 야기할 수 있다. 비만, 고혈압, 당뇨, 부정맥 정보는 보험가입 및 보험료 책정에 있어 중요한 판단 근거가 되기 때문이다.

가장 심각한 위협은 어쩌면 웨어러블 기기의 시장성 그 자체이다. 시장에서 기대하는 수익성은 기기 판매에 그치지 않는다. 웨어러블 기기를 이용한 건강관리는 이용자의 신체변화 정보(움직임, 생체 신호 등)와 이용자 주위를 둘러싼 환경정보(온도, 습도 등)를 수집하고 통신하는 과정이다. 그리고 이 ‘건강정보’가 잠재적인 수입의 원천이다.

어떤 전문가는 건강정보의 금전적 가치가 금융정보보다 열배 더 크다고 본다. 홈플러스 회원 정보가 치아보험 영업을 위해 보험회사에 팔릴 때 건당 2,800원이었다. 웨어러블 센서가 수집한 정보는 건당 수만 원을 호가할지도 모르겠다. 보험회사로서는 보험료 할인이나 할증, 혹은 보험금 지급 여부를 결정할 때 당사자의 현재 건강상태를 정확히 알수 있는 센서정보에 그만큼의 댓가를 지불할 의향이 있을 것이다.

그러나 홈플러스의 개인정보 판매 소식은 소비자들의 분노를 불러왔다. 법원은 2심 현재까지 홈플러스가 무죄라고 보았지만, 정보주체인 고객은 배신감을 느낀다. 믿고 맡긴 개인정보가 자신의 결정과 상관없이 팔린 것이다. 건강정보 판매 문제는 이보다 심각하다. 건강상태에 따라 여러 가지 사회적 차별로 이어질 수도 있다. 그래서 건강정보는 특별히 보호받아야 할 ‘민감정보’이다.

건강정보를 탐내는 기업은 국내외를 가리지 않는다. 2011년부터 2014년까지 전국 약국과 병원에서 우리 국민 4천4백만 명 처방전 약 47억 건이 미국계 빅데이터 업체인 한국IMS헬스에 팔렸다. 국민들에게 충격이 아닐수 없다. 약국과 병원에서 자신의 처방전 정보가 업체로 넘어갈 때 동의했거나 심지어 고지받은 기억도 없다. 미국 회사가 전세계를 대상으로 내 건강정보를 팔고 있는데 이 정부는 회수할 노력조차 하지 않는다.

건강정보의 주체는 기기 제조사도, 통신사도 아니다. 건강정보 유출로 인한 피해는 고스란히 당사자 이용자의 몫이다. 그런데도 최근 정부와 업계가 주도하는 웨어러블 기기 관련 전망에서 정보주체의 권리에 대한 내용이 빠져 있다는 사실은 큰 유감이다.

 

개인정보 규제 완화 ‘빅데이터 정책’

 

생체정보 또한 해킹으로부터 안전하지 않으며 기기 자체를 도난당할 가능성도 있다. 생체정보의 시장 가치가 높아질수록 위험성은 더 커진다. 웨어러블 기기가 수집한 정보는 한번만 유출되어도 대단히 치명적이다. 신체에 연결되는 기기의 특성상 수집되는 정보가 모두 생체정보일수 밖에 없다. 정보가 유출되었다고 하여 신체를 바꾸기는 어렵지 않은가.

이 때문에 유럽연합에서는 사물인터넷 등 신기술에서 ‘프라이버시 중심설계'(Privacy By Design)를 중요하게 여긴다. 출시 단계서부터 개인정보 수집을 제한하는 것이다. 2016년 4월 제정된 유럽 일반개인정보보호규정(GDPR)의 경우 빅데이터 처리로부터 정보주체의 권리를 보장하기 위해 개인정보보호 중심설계 뿐 아니라 영향평가, 프로파일링 거부권까지 명문화하였다.

유럽연합에서 개인정보 보호를 전담하는 ‘제29조 작업반’은 2015년 “어플리케이션 및 기기와 건강정보”의 관계를 다음과 같이 정리하였다. 첫째, 본질적이거나 명백한 진료정보인 경우 개인건강정보이다. 둘째, 그 자체로나 다른 정보와 결합하여 실질적인 건강 상태나 위험에 대한 판단을 도출할 수 있는 원본 감지정보는 개인건강정보이다. 셋째, 판단의 정확성, 적당성, 적절성 여부를 불문하고 개인의 건강상태나 건강위험에 대한 결론을 도출하는 경우 이는 개인건강정보다.

웨어러블 기기가 수집하는 정보가 개인 건강정보라면 다른 개인정보보다 더 특별히 보호 받는다. 당사자의 ‘명시적인 동의’ 없이는 수집되거나 이용되거나 판매될 수 없다. 정보를 열람하고 삭제를 요구할 수 있는 정보주체의 권리도 보장받는다.

 

건강정보에 규제프리?

 

그러나 우리나라에서 개인건강정보는 위기에 처해 있다. 워낙에 개인정보에 대한 정보주체의 동의권 보장이 형식적이다. 홈플러스가 무죄인 이유는 고객이 이용약관에 형식적으로 동의했다는 이유에서이다. 더 나쁜 상황은 정부가 나서서 개인정보 판매를 독려한다는 것이다.

박근혜 대통령은 2016년 5월 18일 규제개혁 장관회의를 직접 주재하면서 개인정보 보호법이 지나치다고 한탄하였다. 개인정보 규제를 완화하여 ‘다른 용도로의 활용’ 및 ‘제3자 제공’을 추진하겠다고 했다. 이른바 박근혜식 빅데이터 정책이란 것이, 당사자 동의 없이 개인정보 거래를 활성화하겠다는 것이었다.

정권 차원에서 밀어온 규제프리존 사업에서도 개인정보 규제완화가 핵심이다. 개인정보 관련 법률이나 의료 관련 법률에서 목적외 이용이나 판매를 제한하는 개인건강정보를, 규제프리존에서 ‘프리’하게 쓰겠다는 것이다. 스마트헬스케어가 아무리 좋다 한들, 이렇게 돈을 버는 산업이 진정 국민을 위한 것일까? 규제프리존법은 2월 임시국회에서 핵심 쟁점 법안으로 논의되고 있다.

국민은 자신의 건강정보 수집과 이용 과정에 대하여 충분히 알고 동의권을 행사할 수 있어야 한다. 그 권리를 빼앗긴다면 빅데이터 시대 국민이 안심하고 웨어러블 기기를 사용할 수 있겠는가.