편집자주 :
이번에 소개할 것은 ‘백신 패스’라 불리우는 코로나 19 백신 여권 및 정책에 대한 캐나다 개인정보 보호 당국의 성명입니다. 백신 접종률이 높아짐에 따라 단계적 일상회복이 논의되며 백신 패스를 중심으로 한 일부 정책도 등장하고 있습니다. 백신 패스는 공공의 혜택을 가져옴과 동시에 개인정보 침해 및 차별의 위험성을 내포하고 있습니다. 이를 활용할 때에는 반드시 인권과 개인정보 보호의 원칙이 적용되어야 할 것입니다.
번역오류는 policy 골뱅이 jinbo.net 으로 알려주세요.
제목 : 코로나19 백신 여권과 개인정보보호
원문제목 : Privacy and COVID-19 Vaccine Passports
원문링크 : https://www.priv.gc.ca/en/opc-news/speeches/2021/s-d_20210519/
일시 : 2021년 05월 19일
작성 : 캐나다 연방 및 주 정부 프라이버시 위원장 공동성명(Federal, Provincial and Territorial Privacy Commissioners)
코로나19 백신 여권과 개인정보보호
연방 및 주 정부 프라이버시 위원장 공동성명 2021년 5월 29일
백신 여권1)이 일부 정부기관과 기업에 의해 일상에 가까운 복귀를 허용하는 수단으로 고려되고 있다. 이런 시점에서, 캐나다 개인정보보호 위원장들은 백신 여권 개발에 대한 논의에 가급적 빨리 개인정보보호가 고려될 수 있도록 본 성명을 발표한다.
백신 여권은 스마트폰 앱과 같은 디지털 인증서나 종이 인증서 등 다양한 형태를 취할 수 있지만, 기본적으로 어떤 서비스나 장소에 대한 접근 또는 여행을 위해 개인이 백신을 접종했다는 걸 증명할 수 있는 검증된 수단을 제공한다. 백신 여권을 찬성하는 사람들은 백신을 접종한 개인의 감염 위험이 현저히 감소하고 다른 사람에게 전파할 위험 또한 감소한다는 의견에 근거하여 이러한 조치를 정당화한다2). 그 효과성의 증거가 뒷받침된다면, 백신 여권은 개인의 자유 증진, 사회적 모임에 대한 제한 감소, 더 많은 사회 참여로 인한 경제 회복 가속화를 포함해 광범위하고 영향력 있는 혜택을 가져올 수 있다.
본질적으로 백신 여권은 재화, 서비스 및 특정 시설이나 장소에 대한 접근을 위해 개인으로 하여금 건강에 관한 개인정보 (백신 접종/면역상태와 같은)를 공개하도록 요구하거나 요청할 것을 가정한다. 이는 상당한 공공의 이익을 제공할 수 있음과 동시에 시민의 자유에 대한 침해이므로 시행을 위해 신중한 고려가 필요하다. 본 성명은 프라이버시에 대한 고려에 초점을 맞춘다.
백신 여권은 반드시 개인정보보호법을 적용하여 개발되고 시행되어야만 한다. 또한 수집, 사용, 공개되는 건강에 관한 개인정보의 민감성에 비례하는 가장 높은 수준의 프라이버시 보호를 달성하기 위해 개인정보보호 모범 사례(privacy best practice)를 포함해야 한다.
무엇보다, 관련된 중대한 프라이버시 위험성에 비추어 백신 여권이 사용될 각각의 특정한 상황에 대해 필요성, 효과성, 비례성이 확립되어야 한다.
- 필요성 : 각 의도된 공중 보건 목적을 달성하기 위해서 백신 여권은 필수적이다. 이러한 필요성은 증거에 기반해야 하며 특정 목적을 달성하는데 동일하게 효과적일 경우 가장 프라이버시 침해 가능성이 낮은 조치를 취해야 한다.
- 효과성 : 백신 여권은 초기에 정의된 각 목적을 달성하는 데 효과적이어야 하며 그 수명주기 동안 효과가 지속되어야 한다.
- 비례성 : 백신 여권과 관련된 프라이버시 위험은 백신 여권이 다루는 각 공중 보건 목적에 비례해야만 한다. 건강에 관한 개인정보의 수집, 사용, 공개가 최소화되도록 개인정보 수집 최소화(Data minimization)를 적용해야 한다.
백신 여권의 필요성, 효과성 비례성이 계속해서 정당함을 유지하도록 지속적으로 모니터링해야 합니다. 백신 여권이 공중 보건 목적을 달성하기 위해 필요하거나 효과적이거나 비례적인 대응이 아니라고 판단되는 경우 언제든 폐기되어야 합니다.
아직까지는 전염을 막기 위한 백신의 효과성에 대한 증거가 제시되지 못했지만 과학계의 구성원들은 이것이 곧 증명될 거라고 시사하고 있습니다. 우리는 코로나19 및 백신에 대한 과학적 지식이 빠르게 발전하고 있으며 일부 관할 영역에서 백신 여권에 대한 논의가 진행중임을 인지하고 있습니다. 백신 여권 도입을 고려할 때, 정부와 기업이 다음과 같은 개인정보보호 원칙을 준수할 것을 권장합니다.
- 법적 권한 : 각 의도된 목적을 위해 백신 여권을 활용할 수 있는 명확한 법적 권한이 있어야만 한다. 서비스를 받거나 시설에 입장하기 위해 개인에게 백신 여권을 제시하도록 요구하거나 요청하는 공공 및 민간 부문은 그러한 요구나 요청을 할 법적 권한이 있는지 확인해야 합니다. 백신 여권에 대한 명확한 법적 권한은 새로운 법령, 기존 법령, 법령에 대한 개정 또는 해당 권한이 누구에게 주어지는지, 권한이 발생하는 구체적 상황은 무엇인지 명확하게 명시하는 공중 보건 명령에서 비롯될 수 있다.
- 동의와 신뢰 : 공공기관의 활용을 위해 도입된 백신 여권의 경우, 기존 공공 부문 개인정보보호법에 따라 동의만으로는 충분하지 않다. 공공이 제공하는 서비스의 경우 종종 정부와 공공기관이 독점적으로 서비스를 제공하는데 이때는 동의만으로는 의미가 없을 수 있다. 따라서 백신 여권에 대한 법적 권한은 동의에 단독으로 의존해서는 안된다.
민간 부문 개인정보보호법의 대상이며 어떤 형태로든 백신 여권을 고려하고 있는 기업이나 그 밖의 부문에게 주어지는 백신 여권의 활용을 위한 가장 명확한 권한은 어떠한 시설에 입장하거나 서비스를 받을 때 백신 여권 제시를 요구하는 새로 제정된 공중 보건 명령이나 법이 될 것이다. 이러한 명령이나 법률이 없는 경우- 즉 기존의 개인정보보호법에 의존하는 경우에는 동의가 권한에 대한 충분한 근거가 될 수 있지만, 백신 여권의 구체적 내용과 구현된 모습의 맥락에 따라 적용되어야 하는 다음 조건을 모두 충족해야만 한다.
- 동의는 달성하고자 하는 특정 목적을 서술하는 명확하고 쉬운 언어에 기초해 자발적이고 의미가 있어야 한다.
- 수집하고자 하는 정보가 목적을 달성하기 위해 반드시 필요해야 한다.
- 목적은 합리적인 사람(reasonable person)이 그 상황에서 적절하다고 여기는 것이어야만 한다.
- 개인에게 진정한 선택이 주어져야 하며 서비스의 조건으로 동의가 요구되어서는 안된다.
퀘벡에서는 동의가 백신 여권의 법적 근거를 갖출 수 없다. 해당 관할 구역에서 백신 여권의 제시를 요청하는 것은 그것이 중대하고 합법적인 특정 목적을 달성하기 위해 필수적인 정보여야 한다.
- 수집, 사용, 공개 및 보관 제한과 목적 제한 : 건강에 관한 개인정보의 수집, 사용, 공개 및 보관은 백신 여권의 구현과 개발의 목적에 필수적인 것으로 제한되어야 한다. 앱 개발자, 정부 그리고 제3자가 백신 여권을 통해 개인의 활동을 적극적으로 추적하거나 기록하는 행위가 허용되어서는 안 된다. 또한 백신의 관리 및 증명에 필수적인 지역 데이터베이스 외에는 국가적이거나 관할권에 걸친 새로운 중앙 데이터베이스의 생성은 허용되어서는 안 된다. 백신 여권을 통해 수집, 사용, 공개되는 건강에 관한 개인정보의 이차적 사용은 법률이 요구하거나 허용한 정보로 제한되어야만 한다.
- 투명성 : 백신 여권의 목적과 범위 및 백신 여권의 목적을 위한 건강에 관한 개인 정보의 수집, 사용, 공개, 보관 및 폐기에 관해 캐나다 국민에게 알려야 한다.
- 책무성 : 정책과 계약 그리고 법률은 프라이버시에 미치는 영향을 최소화시켜야만 한다. 백신 여권을 통해 이용 가능한 정보에 접근하거나 수정하기 위해 또는 백신 여권에 대해 문의하거나 불만을 제기하기 위해 누구에게 연락해야 하는지 개인에게 알려야 한다.
- 안전장치 : 백신 여권을 통해 수집, 사용 또는 공개될 정보의 민감함에 상응하는 기술적이고 물리적이고 행정적인 안전장치를 마련해야만 한다. 채택된 개인정보보호 및 보안 조치의 효과를 정기적으로 시험하고 진단하고 평가하기 위한 절차를 마련해야만 한다.
- 독립적인 감사 : 책무성을 보장하고 대중의 신뢰를 강화하기 위해 백신 여권의 개발과 구현 전반에 걸쳐 개인정보보호 위원의 자문을 거쳐야 한다. 개인정보보호 위원에 의해 개인정보 영향 평가 또는 다른 의미 있는 개인정보에 대한 분석이 이뤄지고 검토되어야 하며, 쉬운 용어를 사용한 개요가 사전에 공개되어야 한다.
- 시간과 범위 제한 : 공중 보건 당국에 의해 감염병의 유행이 종식되었다고 선언되거나 백신 여권이 공중 보건 목적 달성을 위해 필수적이거나 효과적이거나 비례적인 대응이 아니라고 판단된다면 백신 여권을 통해 수집된 모든 건강에 관한 개인정보는 파기되어야 한다. 백신 여권은 코로나 19 외 다른 목적으로 사용되어서는 안 된다.
1) 백신 여권은 가장 일반적인 용어로, 사람의 코로나 19 백신 접종이나 면역 상태를 확인하는 방법을 의미한다. 면역 여권, 백신 또는 백신접종 증명서 및 카드, 디지털 백신접종 증명서 등 다른 용어가 있으며 이 모든 용어는 관할 구역마다 조금씩 다른 의미를 가질 수 있다.
