개인정보보호개인정보보호법의견서

[공동의견서] 디지털 헬스케어법안에 대한 의견서

By 2023/11/17 11월 21st, 2023 No Comments
디지털 헬스케어법안에 대한 의견서 제출(231117)

수신: 국회 보건복지위원회
발신: 민변 디지털정보위원회, 진보네트워크센터, 참여연대

디지털 헬스케어법안에 대한 의견서

– 현재 국회 보건복지위원회에 계류되어 있는 <디지털 헬스케어 및 보건의료데이터 활용에 관한 법률안(신현영 의원 대표발의)>, <디지털 헬스케어 진흥 및 보건의료데이터 활용 촉진에 관한 법률안(강기윤 의원 대표발의)> (이하 약칭 ‘디지털 헬스케어법안’으로 하되, 신현영 의원안을 중심으로 설명함)에 대해 아래와 같이 의견을 제출합니다.

1. 디지털 헬스케어의 적용 범위에 대한 사회적 합의 필요

제2조(정의)
1. “디지털 헬스케어”란 「지능정보화 기본법」 제2조제4호에 따른 지능정보기술과 보건의료데이터를 활용하여 질병을 예방ㆍ진단ㆍ치료하고 건강을 관리하는 일련의 활동과 수단을 말한다.
2. “디지털 헬스케어 서비스”란 지능정보기술과 보건의료데이터를 활용하여 수행하는 다음 각 목의 어느 하나에 해당하는 행위나 활동을 말한다.
가. 「의료법」에 따른 의료행위
나. 「약사법」제2조제11호에 따른 조제 및 같은 조 제12호에 따른 복약지도
다. 「생명윤리 및 안전에 관한 법률」 제2조제15호에 따른 유전자검사
라. 「국민건강증진법」 제2조제1호에 따른 국민건강증진사업 및 같은 조 제5호에 따른 건강관리
마. 그 밖에 대통령령으로 정하는 행위나 활동
3. “디지털 헬스케어 제품”이란 디지털 헬스케어 서비스의 제공을 위하여 활용하는 제품으로서 다음 각 목의 어느 하나에 해당하는 제품을 말한다.
가. 「의료기기법」 제2조제1항에 따른 의료기기(「체외진단의료기기법」 제2조제1호에 따른 체외진단의료기기를 포함한다)
나. 건강관리기기(가목에 해당하지 아니하는 제품으로서 건강의 유지ㆍ향상을 목적으로 사용하는 제품을 말한다)
다. 가목 또는 나목에 해당하지 아니하는 제품으로서 디지털 헬스케어나 보건의료데이터와 관련된 소프트웨어ㆍ정보시스템
라. 그 밖에 대통령령으로 정하는 제품
4. “보건의료데이터”란 「보건의료기본법」 제3조제6호에 따른 보건의료정보 중 광(光) 또는 전자적 방식으로 처리된 것을 말한다.

제5조(다른 법률과의 관계) 보건의료데이터의 처리ㆍ활용ㆍ보호와 관련하여 이 법에 특별한 규정이 있는 경우를 제외하고는 「의료법」, 「약사법」, 「생명윤리 및 안전에 관한 법률」 및 「개인정보 보호법」에서 정하는 바에 따른다.

  • 이 법안 제2조(정의) 제1호의 “디지털 헬스케어”에 대한 정의는, 지능정보화기본법 제2조 제4호의 지능정보기술과 보건의료데이터를 활용하는 것으로 규정하고 있는데, 지능정보화기본법의 지능정보화기술의 범위가 너무 광범위할 뿐 아니라, 특히 인공지능기술을 포함하고 있어 허용되는 디지털 헬스케어의 범주가 사실상 무제한적으로 확대될 수 있음.
  • 제2조 제2호의 ” 디지털 헬스케어 서비스”에 포함되는
    • 가. 의료법에 따른 의료행위에 대해서는, 의료법 제12조 제1항 가 “의료인(의사·치과의사·한의사·조산사 및 간호사)이 하는 의료·조산·간호 등 의료기술의 시행(이하 “의료행위”라 한다)에 대하여는 이 법이나 다른 법령에 따로 규정된 경우 외에는 누구든지 간섭하지 못한다”는 규정이 있음. 그러나 이 법안에서 말하는 의료행위의 범위가 정확히 무엇을 말하는지 명확하지 않음. 대법원은 “의학적 전문지식을 기초로 하는 경험과 기능으로 진찰, 검안, 처방, 투약 또는 외과적 시술을 시행하여 하는 질병의 예방 또는 치료행위 및 그 밖에 의료인이 행하지 아니하면 보건위생상 위해가 생길 우려가 있는 행위를 의미한다.”라고 풀이하고 있음. 이 법안에 따르면, 디지털 헬스케어 서비스의 범위가 거의 무제한 개방되어 있어 그동안 의료법과 판례에 따라 정립된 의료행위의 범위에 큰 변화를 가져오는 만큼 사회적 합의가 필요하다고 할 것임
    • 또한 의료행위, 조제 및 복약지도는 의료인과 약사의 전문성에 기반하여 이루어지는 것이나 디지털 헬스케어 서비스가 이를 대체할 가능성이 높아, 이 또한 어느 범위까지 허용할 것인가에 대해 의사, 약사 등 관련 직역 종사자뿐 아니라 의료행위를 받는 시민 등의 사회적 합의가 필요함.
  • 제2조 제3호에 따르면, 결국 헬스케어 서비스는 헬스케어 제품에 해당하는 의료기기, 건강관리기기에 의하여 이루어질 수 있다는 것인데, 이는 의료행위, 조제, 복약지도 등 특정한 전문가에 의해 이루어지는 행위를 의료기기가 대체하게 될 것임에도 이에 대한 책임 여부가 규정되어 있지 않음. 특히 건강관리기기는 의료기기가 아닌 점에서 문제가 발생했을 경우 책임 여부를 어떻게 할지 문제가 더욱 심각하다 할 것임.
  • 제5조(다른 법률과의 관계)에 따르면 보건의료데이터의 처리ㆍ활용ㆍ보호와 관련하여서는 이 법에서 규정하는 바를 우선 따라야 함. 관련하여 제15조 제2항은 개인보건의료정보 활용기관에 전송할 수 있도록 허용하고 있어, 의료법 제21조(기록열람 등), 제21조의 2(진료기록의 송부 등)의 규정에 따른 의료기록의 제3자 제공 금지, 제19조 정보 누설 금지, 약사법 제30조 조제기록 제3자 제공금지 규정에 우선하게 되어 의료법, 약사법, 개인정보보호법의 개인정보 보호 관련 규정을 사실상 무력화하는 효과가 발생함.

2. 개인정보보호법과 유사, 중복 조항으로 혼란 야기

제2조
5. 개인보건의료데이터
6. 가명처리
7. 처리
8. 가. 개인보건의료 데이터주체
9. 개인보건의료데이터처리자
12. 과학적 연구

제3조(개인보건의료데이터주체의 권리)
제8조(개인보건의료데이터 수집 및 처리의 원칙)
제9조(개인보건의료데이터의 활용에 관한 동의의 원칙)
제10조(개인보건의료데이터 처리 위탁)
제11조(개인보건의료데이터의 가명처리 등)
제14조(개인보건의료데이터주체 본인에 대한 개인보건의료데이터의 전송요구)
제15조(개인보건의료데이터 활용기관에 대한 개인보건의료데이터의 전송요구)

제3절 개인보건의료데이터 활용기관
제18조(활용기관의 허가)
제19조(허가의 유효기간 및 갱신)
제20조(허가의 취소와 업무정지)
제21조(활용기관의 행위규칙)
제22조(활용기관의 안전조치 의무 및 손해배상의 보장)

  • 2020년 개인정보보호법 개정 이전에 국내 개인정보 법제는, 2011년에 개인정보보호법을 제정했음에도 불구하고, 개인정보보호법, 정보통신망법, 신용정보보호법 등으로 분산되어 있어, 관련 법제간 동일하거나 유사하면서도 조금씩 다른 규정이 존재하여 법제의 일관성 및 통일성을 저해하고 수범자의 혼란을 야기한다는 비판을 받아왔음. 개인정보 보호법제의 일원화가 필요하다는 것은 그동안 학계, 시민사회, 산업계 등 대다수 전문가와 이해관계자의 공통된 견해였지만, 부처이기주의로 인해 혼란스러운 상황이 오래동안 유지되었음. 2020년 개인정보보호법, 정보통신망법, 신용정보보호법의 개정으로 개인정보보호법을 중심으로 법제가 정비되었고, 2023년 개인정보보호법 개정으로 정보통신망 사업자에 대한 특례 규정도 정비가 되었음. 그러나 금융위원회의 부처이기주의로 인해 정보통신망법과 달리 신용정보보호법에 중복, 유사 규정이 여전히 존재하고 있어, 신용정보보호법과의 통합이 과제로 남아있는 상황임. 이러한 상황에서 디지털 헬스케어법안이 개인정보보호법에 이미 존재하는 규정을 (문구를 조금 변형했을 뿐) 그대로 포함시킨 것은 개인정보 보호법제의 일원화라는 사회적 요구 및 시대적 흐름에 역행하는 것임.
  • 물론 기본법이 있더라도 각 분야의 특수성을 반영한 규정을 포함할 수 있음. 그러나 디지털 헬스케어법안의 경우 보건의료 분야의 특수성을 반영한 규정 뿐만 아니라, 개인정보보호법에 이미 규정되어 있는 내용을 반복적으로, 표현을 약간 달리하여 규정하고 있을 뿐임.
    • 예를 들어, 제2조 정의에서 ‘개인보건의료데이터’는 ‘개인정보’, ‘개인보건의료데이터주체’는 ‘정보주체’ 개념을 표현만 약간 바꿔 그대로 가져왔으며, ‘가명처리’와 ‘처리’의 개념 역시 다르지 않음. 나아가 정보주체의 권리, 수집 및 처리의 원칙, 동의 등 개인정보의 적법한 수집 방법, 처리 위탁, 개인보건의료데이터의 가명처리, 전송요구권 등의 조항 역시 개인정보보호법과 중복, 유사한 규정임. 이렇게 될 경우 개념상의 혼란을 야기할 뿐만 아니라, 지금은 최대한 개인정보보호법과 유사하게 규정한다고 하더라도 향후 두 법의 개정 과정에서 그 간극이 점차 확대될 우려가 있음.
    • 디지털 헬스케어법안은 ‘개인보건의료데이터’, ‘개인보건의료데이터주체’ 등과 같이 ‘정보’라는 표현 대신 ‘데이터’라는 표현을 사용하고 있는데, 이는 개인정보보호법에서 사용하는 ‘정보’화 마치 별개의 개념인 것으로 용어상의 혼란을 야기하고 있음. 또한, 무리하게 ‘데이터’ 개념을 도입하다보니, 정의 개념에서는 ‘데이터’를 사용하면서도, 규정 안에서는 ‘정보’라는 표현을 혼용하고 있음. 예를 들어, ‘개인보건의료데이터’를 정의하고 있는 제2조 5호(가)(2)에서는 ‘정보’(‘해당 정보만으로는’, ‘다른 정보의 입수가능성’)라는 표현을 다시 사용하고 있음. 성명, 주민등록번호 등은 개인정보라고 해야할지, 개인보건의료데이터라고 해야할지 혼란스러움.
    • 제2조 제8호(나) 에서는 ‘기관보건의료데이터주체’라는 개념을 사용하고 있는데, 정보주체가 아니라 오히려 처리자에 가까운 대상을 주체라고 지칭한 것은 매우 혼란스러움. ‘기관보건의료데이터주체’로 규정되어 있는 의료진과 의료기관을 개인정보에 대한 주체로 볼 수 있을지 의문임. 이와 관련하여 제2조 제9호에서는 개인보건의료데이터처리자에 대한 정의만 있을 뿐 기관보건의료데이터 처리자에 대한 정의를 두고 있지 않음. 또한 이 정의는 본 법안에서 실제로 활용되고 있지 않음.
  • ‘데이터’라는 표현을 사용하는 것은 개인정보보호법 상의 개념과 혼란을 야기할 뿐만 아니라, 개인정보의 활용에 초점을 맞춘 개념임. 다른 개인정보보다 엄격한 보호가 필요한 개인의료정보에 대해 굳이 ‘데이터’ 개념을 사용함으로써 민감한 개인의료정보에 대한 보호가 약화될 것이 우려됨. 아래 의견과 같이, 실제로 디지털 헬스케어법안은 개인의료정보의 활용 촉진을 위해 보호조치를 후퇴시키는 독소조항을 다수 포함하고 있음.
  • 따라서 기본적인 개념은 개인정보보호법에 두고, 보건의료 분야에서 개인정보보호법과 달리 규정해야할 내용만을 디지털 헬스케어법안에 규정하는 것이 합당함. 신용정보보호법을 개인정보보호법과 통합해야할 과제가 남아있는 상황에서 디지털 헬스케어법마저 이런 방식으로 만들어진다면, 교육 등 다른 영역에서도 유사한 방식의 중복 규정이 만들어지는 것을 피할 수 없고 이는 국내 개인정보보호법의 일관되고 효율적인 적용을 가로막게 될 것임.

3. 개인정보 주체의 권리를 배제하고 있음

  • 개인정보보호법 제4조는 정보주체의 권리를 규정하고 있는데, 디지털 헬스케어법안 제3조는 이와 유사한 규정을 두고 있으면서도 ‘완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 그에 대한 설명 등을 요구할 권리’는 포함하고 있지 않음. 보건의료 개인정보에 대해서는 자동화된 처리에 대한 설명요구권을 보장하지 않겠다는 것인지 의문임. 이처럼 디지털 헬스케어법안이 개인정보보호법과 중복, 유사 조항을 둘 경우, 두 법 사이의 간극은 점차 확대되어 갈 것임.
  • 개인정보보호법 제4조는 개인정보가 동의, 법률 등 어떠한 근거에 의해 처리되든, 혹은 의료정보, 교육정보 등 개인정보의 종류와 상관없이 적용되는 일반적인 원칙을 규정하고 있는 반면, 디지털 헬스케어법안 제3조는 “「의료법」, 「약사법」, 「생명윤리 및 안전에 관한 법률」 등 다른 법령에 따라 개인보건의료데이터를 처리하거나 보존하여야 하는 경우”에는 정보주체의 권리 보장을 배제하고 있음. 법에 따라 보건의료 개인정보가 처리된다고해서 정보주체의 권리를 일괄적으로 배제하는 것이 타당한 것인지 의문임.
  • 제3조는 ‘건강정보제공자’에게 권리를 부여하고 있는데, 건강정보제공자는 누구인지, 건강정보제공자가 아닌 ‘개인보건의료데이터주체’는 권리를 보장받지 못하는 것인지 의문임. 정보주체의 건강정보는 의사 등 제3자에 의해서 생성될 수도 있는데, 그렇다하더라도 여전히 정보주체이기는 하지만, ‘건강정보제공자’로 규정될 수 있는지 모호함.

4. 디지털 헬스케어 기본계획의 수립

제6조(기본계획 및 시행계획의 수립)
② 기본계획에는 다음 각 호의 사항이 포함되어야 한다.
1. 디지털 헬스케어 및 보건의료데이터 활용에 관한 시책의 기본방향
2. 디지털 헬스케어 및 보건의료데이터 분야에 대한 투자와 재원 조달에 관한 사항
3. 디지털 헬스케어 및 보건의료데이터 활용을 위한 기반 조성과 제도 개선에 관한 사항
4. 보건의료데이터의 활용 촉진을 위한 표준화 방안 및 재정지원에 대한 방안
5. 디지털 헬스케어 및 보건의료데이터 분야의 전문인력 양성에 관한 사항
6. 디지털 헬스케어 및 보건의료데이터 관련 연구개발, 제품화 등 지원에 관한 사항
7. 디지털 헬스케어 및 보건의료데이터 분야의 국제협력, 해외시장 진출 지원에 관한 사항
8. 그 밖에 디지털 헬스케어 및 보건의료데이터 활용에 필요한 사항으로서 대통령령으로 정하는 사항

제7조(디지털 헬스케어 정책심의위원회) ① 디지털 헬스케어 및 보건의료데이터의 활용과 관련한 다음 각 호의 사항을 심의하기 위하여 보건복지부에 디지털 헬스케어 정책심의위원회(이하 “정책위원회”라 한다)를 둔다.
1. 기본계획의 수립에 관한 사항
2. 기본계획 및 시행계획의 이행 점검에 관한 사항
3. 디지털 헬스케어 및 보건의료데이터 활용을 위한 정책 수립과 제도 개선에 관한 사항
4. 보건의료데이터의 활용 촉진을 위한 표준화에 관한 사항
5. 그 밖에 디지털 헬스케어 및 보건의료데이터 활용에 필요한 사항으로서 위원장이 심의에 부치는 사항

③ 정책위원회의 위원장은 보건복지부장관이 되고, 부위원장은 보건복지부차관이 되며, 위원은 다음 각 호의 사람 중에서 위원장이 임명 또는 위촉한다. 다만, 제1호에 해당하는 위원이 전체 위원 수의 2분의 1을 초과해서는 아니 된다.
1. 디지털헬스케어 관련 전문지식과 경험이 풍부한 사람
2. 디지털헬스케어 관련 공급자와 소비자
3. 디지털헬스케어 및 보건의료데이터를 생성, 관리, 제공하는 의료기관에 소속된 자

  • 디지털 헬스케어 기본계획 항목에는 보건의료데이터 활용에 관한 내용만 있을 뿐이지, 정보주체의 보건의료정보 보호에 관한 시책 및 방안에 관한 내용이 기본계획에 전혀 포함되어 있지 않음(제6조 제2항).
  • 이에 따라 디지털 헬스케어 정책심의위원회의 구성과 심의 항목에서도 해당 내용이 포함되어 있지 않으며, 정책심의위원회 구성에 있어서도 개인정보 활용 당사자라고 할 수 있는 기업이나 의료인 중심이고, 개인정보 감독기구인 개인정보보호위원회 및 개인정보보호 등에 관한 전문가가 배제되어 있는 등 공정성 확보가 어려울 것으로 보임.

5. 누가 어떠한 근거로 민감정보인 보건의료 개인정보를 처리할 수 있는지 모호함

제8조(개인보건의료데이터 수집 및 처리의 원칙) ① 개인보건의료데이터처리자 및 개인보건의료데이터 활용기관(이하 “개인보건의료데이터처리자등”이라 한다)은 개인보건의료데이터를 수집하고 이를 처리할 수 있다. 이 경우 이 법 또는 그 업무 범위에서 수집 및 처리의 목적을 명확히 하여야 하며, 이 법 및 「개인정보 보호법」 제3조제1항 및 제2항에 따라 그 목적 달성에 필요한 최소한의 범위에서 합리적이고 공정한 수단을 사용하여 개인보건의료데이터를 수집 및 처리하여야 한다.
② 개인보건의료데이터처리자등이 개인보건의료데이터를 수집하는 때에는 해당 개인보건의료데이터의 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 「개인정보 보호법」 제15조제1항제2호부터 제7호까지의 어느 하나에 해당하는 경우
2. 다음 각 목의 어느 하나에 해당하는 정보를 수집하는 경우
가. 법령에 따라 공시(公示)되거나 공개된 정보
나. 출판물이나 방송매체 또는 「공공기관의 정보공개에 관한 법률」 제2조제3호에 따른 공공기관의 인터넷 홈페이지 등의 매체를 통하여 공시 또는 공개된 정보
다. 개인보건의료데이터주체가 스스로 사회관계망서비스 등에 직접 또는 제3자를 통하여 공개한 정보. 이 경우 대통령령으로 정하는 바에 따라 해당 보건의료데이터주체의 동의가 있었다고 객관적으로 인정되는 범위 내로 한정한다.
3. 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우

  • 제8조는 일반적인 ‘개인보건의료데이터 수집 및 처리의 원칙’을 규정하면서 “개인보건의료데이터처리자 및 개인보건의료데이터 활용기관(이하 “개인보건의료데이터처리자등”이라 한다)은 개인보건의료데이터를 수집하고 이를 처리할 수 있다”고 하고 있음. 그런데, 활용기관은 개인정보처리자가 아닌 것인지, 혹은 개인정보처리자가 아닌 활용기관도 있는 것인지, 만일 개인정보처리자가 아닌 활용기관이 있다면 보건의료 개인정보에 대해 개인정보처리자가 아닌 자도 개인정보 처리를 할 수 있도록 하는 것이 합당한지, 그러한 자는 개인정보를 처리하면서도 개인정보 처리자로서 개인정보보호법의 의무를 부담하지 않는 것인지 의문임.
  • 개인정보보호법 상 민감정보의 경우, 정보주체의 별도의 동의 혹은 법령에 따라서만 처리 가능한데, 제8조 제2항 제1호는 일반적인 개인정보 수집의 적법 근거에 불과함. 또는 디지털 헬스케어법안이 민감정보를 예외적으로 처리할 수 있는 법령으로 해석될 우려도 있음. 따라서 이 조항은 개인정보 보호법 상의 민감정보 보호 규정을 무력화할 우려가 있음. 마찬가지로 ‘개인보건의료데이터’가 모든 종류의 개인정보를 포괄할 수 있도록 정의되어 있기 때문에, 개인정보보호법 제24조, 제24조의1에서 처리를 제한하고 있는 고유식별정보 및 주민등록번호에 대한 특별한 보호 규정 역시 무력화될 우려가 있음.
  • 제8조 제2항은 적법한 보건의료 개인정보의 수집 요건을 규정하고 있는데, 동의 및 제1호는 개인정보보호법 제15조에 해당하며, 제2호는 공개된 개인정보에 대한 것인데 신용정보보호법 제15조 제2항에서 가져온 것임. 그런데 개인정보보호법에서도 명시적 규정이 없는 수집 근거를 포함하는 것이 적절한지 의문이며, 민감정보에 대한 특별한 보호를 취하고 있는 개인정보보호법을 무력화할 우려가 있음.
  • 제8조 제2항 제3호는 ‘제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우’에 보건의료 개인정보를 처리할 수 있도록 하고 있는데, 이에 해당하는 경우가 어떠한 경우인지 전혀 예측가능하지 않은 상황에서 시행령에 위임하고 있음. 법적인 근거 없이 시행령에 의해 민감한 개인의료정보가 처리될 위험성이 있음.

 

6. 개인정보의 동의 요건 완화의 위험성

제9조(개인보건의료데이터의 활용에 관한 동의의 원칙) 개인보건의료데이터처리자등은 제8조제2항, 제11조제2항에 따라 보건의료데이터주체로부터 동의(이하 이 조에서 “정보활용 동의”라 한다)를 받는 경우 「개인정보 보호법」 제15조제2항, 제17조제2항 및 제18조제3항을 준수하여야 한다. 다만, 동의 방식이나 개인보건의료데이터의 특성 등을 고려하여 대통령령으로 정하는 경우에 대해서는 그러하지 아니하다.

      • 제9조는 동의를 받을 때 개인정보보호법의 관련 조항에 따르도록 하면서도, “동의 방식이나 개인보건의료데이터의 특성 등을 고려하여 대통령령으로 정하는 경우에 대해서는” 예외로 하고 있는데, 이에 해당하는 경우가 어떠한 경우인지 전혀 예측할 수 없어, 자칫하면 적절한 동의없이 보건의료 개인정보가 처리될 위험성이 있음. 이는 개인정보보호법에서 규정한 동의 방법을 시행령을 통해 완화할 수 있어 우려됨.

7. 보건의료 개인정보의 연구 목적 활용의 문제

제11조(개인보건의료데이터의 가명처리 등) ① 개인보건의료데이터처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 보건의료데이터주체의 동의 없이 개인보건의료데이터를 가명처리하거나 가명보건의료데이터를 처리할 수 있다.
② 제1항에도 불구하고 정신질환, 유전질환 등 보건의료데이터주체의 인권 및 사생활 보호를 위하여 특별한 주의를 필요로 하는 대통령령으로 정하는 개인보건의료데이터를 가명처리하는 경우에는 가명처리를 하기 전에 해당 보건의료데이터주체로부터 동의를 받아야 한다. 다만, 연구목적 등 가명보건의료데이터의 처리 목적과 보건의료데이터주체의 인권 및 사생활 보호조치 계획 등에 대하여 제12조에 따른 기관 보건의료데이터 심의위원회의 승인을 받은 경우에는 그러하지 아니하다.
③ 제1항 및 제2항에 따라 개인보건의료데이터를 가명처리하는 개인보건의료데이터처리자는 가명처리를 하기 전에 보건복지부령으로 정하는 바에 따라 가명처리계획서를 작성하여 제12조에 따른 기관 보건의료데이터 심의위원회의 심의를 받아야 한다.

제12조(기관 보건의료데이터 심의위원회의 설치 및 기능) ① 제11조제1항 및 제2항에 따라 개인보건의료데이터를 가명처리하는 개인보건의료데이터처리자(개인보건의료데이터처리자가 개인인 경우에는 그 개인보건의료데이터처리자가 소속된 기관을 말한다. 이 조 및 제13조에서 같다)는 가명처리의 적정성 및 가명보건의료데이터 안전성을 확보하기 위하여 기관 보건의료데이터 심의위원회(이하 “기관위원회”라 한다)를 설치ㆍ운영하여야 한다.
② 기관위원회는 다음 각 호의 사항을 심의한다.
1. 가명처리 목적의 적합성에 관한 사항
2. 가명처리의 적정성에 관한 사항
3. 제11조제2항에 따른 보건의료데이터주체의 동의를 받았는지 여부
4. 제11조제2항에 따른 가명보건의료데이터의 처리 목적과 보건의료데이터주체의 인권 및 사생활 보호조치 계획의 승인 여부
5. 가명보건의료데이터의 기관 내 활용에 관한 사항
6. 가명보건의료데이터의 반출 및 제3자 제공에 관한 사항
7. 그 밖에 가명처리의 적정성 및 가명보건의료데이터 안전성 확보를 위하여 보건복지부령으로 정하는 사항

      • 가명정보 역시 개인정보이고 애초 수집된 개인정보를 수집 목적 외로 처리하거나 특히 제3자에게 제공하는 것은 정보주체의 권리를 제한하는 것인데, 현행 개인정보보호법은 과학적 연구 등의 목적이 정보주체의 제한되는 권리 이상으로 공익성이 있는지를 묻지 않고 동의없는 처리를 허용하고 있음. 따라서 디지털 헬스데이터법안에서는 특히 개인 보건의료정보의 민감성을 고려하여 개인정보보호법보다 더 엄격하게 규정할 필요가 있음.
      • 제11조 제1항은 과학적 연구 등의 목적을 위해 정보주체의 동의없이 ‘개인보건의료데이터를 가명처리하거나 가명보건의료데이터를 처리할 수 있’도록 하고 있어 개인정보보호법의 관련 규정(제28조의2 제1항)과 달리 규정되어 있을 뿐만 아니라, 요건도 더 완화되어 있음. 예를 들어, 개인정보보호법 제28조의2 제2항은 “제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다”고 규정하고 있으나, 디지털 헬스케어법안은 관련한 규정이 없음. 개인정보보호법에 포함된 규정은 개인정보보호법에 따르고, 이 법안에서는 개인 보건의료정보의 민감성에 상응하여 추가적으로 더 엄격한 요건만을 규정할 필요가 있음.
      • 또한 제11조는 ‘정신질환, 유전질환 등 보건의료데이터주체의 인권 및 사생활 보호를 위하여 특별한 주의를 필요로 하는 대통령령으로 정하는 개인보건의료데이터’의 경우에는 정보주체의 동의를 받도록 하면서도, 다시 ‘기관 보건의료데이터 심의위원회의 승인을 받은 경우에는’는 동의를 받지 않아도 되도록 규정하고 있음.
      • “정신질환, 유전질환 등 보건의료데이터주체의 인권 및 사생활 보호를 위하여 특별한 주의를 필요로 하는 대통령령으로 정하는 개인보건의료데이터”의 범위가 명확하지 않은데, 개인정보보호법 상 민감정보 중 건강정보와 어떠한 관계가 있는지 모호할 뿐만 아니라, ‘특별한 주의를 필요로 하는’ 것으로 규정되어 있어 민감정보보다 그 범위가 좁게 규정될 우려가 있음. 과학적 연구 목적으로 활용할 때 민감정보에 대해서는 더 엄격하게 규정할 필요가 있음.
      • 제12조 제2항에서 심의위원회의 심의대상으로 ‘가명처리 목적의 적합성에 관한 사항’을 규정하고 있는데, 이는 해당 데이터가 가명처리 목적에 적합한지 여부만을 판단하는 것이기 때문에 충분하지 않음. 해당 처리 목적(즉, 과학적 연구의 목적)이 정보주체의 권리 제한을 감수할 수 있을만큼 충분한 공익성이 있는지를 검토해야 함.
      • ‘기관 보건의료데이터 심의위원회의 승인을 받은 경우’는 동의를 받지 않아도 되도록 하고 있는데, 심의위원회는 개인정보처리자의 소속 기관이기 때문에 독립성, 공정성을 보장할 수 없으며 개인정보처리자가 원하는 것을 합리화할 가능성이 큼. 따라서 심의위원회를 기관 외부에 설치하는 등 독립성을 충분히 보장할 수 있는 방안을 마련하는 것이 전제가 되어야 함.
      • 심의위원회의 심의가 있을 때에는 동의를 받을 필요가 없다고 하면서, 심의위원회의 심의 대상으로 ‘제11조제2항에 따른 보건의료데이터주체의 동의를 받았는지 여부’를 포함하는 것은 모순적임.

8. 보건의료 개인정보의 전송요구권 및 활용기관

제2조 11. “개인보건의료데이터 활용기관”이란 보건의료데이터주체 또는 타인으로부터 개인보건의료데이터를 제공받아 본인의 업무에 이용하거나 업무와 관련하여 얻거나 만들어낸 개인보건의료데이터를 타인에게 제공하는 자로서 보건복지부장관의 허가를 받은 자를 말한다.

제14조(개인보건의료데이터주체 본인에 대한 개인보건의료데이터의 전송요구)
제15조(개인보건의료데이터 활용기관에 대한 개인보건의료데이터의 전송요구)

제3절 개인보건의료데이터 활용기관
제18조(활용기관의 허가)
제19조(허가의 유효기간 및 갱신)
제20조(허가의 취소와 업무정지)
제21조(활용기관의 행위규칙)
제22조(활용기관의 안전조치 의무 및 손해배상의 보장)

      • 제2조 제11호 개인보건의료데이터 활용기관 정의 규정에 따르면 “타인”으로부터 개인보건의료데이터를 제공받을 수 있도록 규정하고 있는데 이때 타인이 누구인지 명확하지 않으며, 개인보건의료데이터의 제공(이는 정보주체가 직접 요청하는 데이터 전송권과 일치하지 않음)이 정보주체의 동의 없이 이루어질 가능성이 있어 문제가 있음.
      • 제15조 제2항은 개인보건의료정보 활용기관에 전송할 수 있도록 허용하고 있는데, 현행 의료법 제21조, 제21조의 2에 따른 의료기록의 제3자 제공 금지, 제19조 정보 누설 금지, 약사법 제30조 조제기록 제3자 제공금지 규정에 따라 금지되던 것을 배제함으로써, 의료법, 약사법, 개보법에서 정한 금지규정을 사실상 사문화하는 효과가 있음.
      • 제16조는 공공기관이 보유한 개인의료보건데이터도 전송요구 대상에 포함하고 있는 바, 개인의 모든 의료정보가 보건의료정보 활용기관에 수집, 집적될 수 있어, 비록 일정한 안전조치를 취한다고 하더라도 의료정보 유출이나 남용을 배제할 수 없는 바 심각한 권리 침해가 우려됨.
      • 개인정보보호법 제35조의2에서 정보주체의 개인정보 전송요구권을 규정하고 있으며, 이에 따라 개인정보처리자로 하여금 본인, 개인정보관리 전문기관, 또는 제29조에 따른 안전조치의무를 이용하고 일정 기준을 충족하는 제3자에게 전송할 수 있도록 하고 있음. 이는 디지털 헬스케어법안의 제14조, 제15조와 중복되는데, 굳이 동일, 유사한 규정을 두어야 하는지 의문임.
        • 물론 제14조 제5항과 같이 개인정보보호법 상의 전송요구권에서 규정하고 있지 않은, 보건의료 분야에 특수한 사항이 있다면 이러한 사항만 본 법안에 별도로 규정할 수 있을 것임.
      • 디지털 헬스케어법안은 본인 혹은 활용기관에 대한 전송요구를 규정하고 있을 뿐, (개인정보보호법 제35조의2 제2항 제2호와 같이) 일정한 요건을 갖춘 제3자에 대한 전송요구는 규정하고 있지 않음. 그렇다면, 개인정보보호법 제35조의2 제2항 제2호에 따라, 개인정보보호법상 ‘제29조에 따른 안전조치의무를 이행하고 일정 기준을 충족하는 자’에게는 보건의료 개인정보를 전송할 수 있는지 여부가 모호함.
      • 개인정보보호법 상 개인정보관리 전문기관은 개인정보 보호위원회 뿐만 아니라 관계 중앙행정기관의 장 역시 지정할 수 있는데, 굳이 디지털 헬스케어법안에서 ‘개인보건의료데이터 활용기관’을 별도로 지정할 수 있도록 할 필요가 있는지, 전문기관과 활용기관의 차이점이 무엇인지, 보건복지부 장관은 전문기관과 활용기관을 각각 지정하려는 것인지 모호함.
      • 개인정보보호법은 타인의 권리나 정당한 이익을 침해할 경우 전송요구권을 제한하고 있는데(개인정보보호법 제35조의2 제7항), 디지털 헬스케어법안에서는 관련 규정이 없음. 그렇다면, 보건의료 개인정보에 대해서도 개인정보보호법 상의 동 규정이 그대로 적용되는 것인지, 아니면 이러한 제한이 없는 것인지 모호함.
      • 개인정보보호법 상의 ‘개인정보관리 전문기관’은 정보주체를 대신하여 전송요구권 행사를 지원하고, 권리행사를 지원하기 위한 관리ㆍ분석을 하는 등 정보주체의 권리행사 지원에 초점을 맞추고 있는 반면, 디지털 헬스케어법 활용기관은 보건의료 개인정보를 갖고 무엇을 하고자 하는 기관인지 불분명함. 제18조 제2항에서 활용기관 허가의 요건을 규정하고 있는데, 제3호에서 “사업계획 및 개인보건의료데이터 수집ㆍ활용 계획이 타당하고 건전할 것”이라고 되어 있어 단지 정보주체의 권리행사 지원이 아니라, 보건의료 개인정보를 자신의 이익을 위해 활용하려는 기관까지 포함하는 것으로 보임. 여느 개인정보보다 민감한 보건의료 개인정보에 대해 일반 개인정보의 마이데이터 사업자의 권한보다 더 많은 활용 권한을 부여하는 것은 보건의료 개인정보의 침해 우려가 크기 때문에 반대함.
      • 또한, 개인보건의료정보 활용기관 허가의 요건에 대한 규정인 제18조에 따라 기업이 활용기관으로 허가받을 경우, 영리추구가 목적인 기업에 국민의 건강관리, 의료행위 등이 종속될 가능성이 크고 이에 따라 국민의 건강마저 기업의 이윤논리에 종속될 위험이 있음.

9. 자료제출 요구 및 검사권

제34조(자료제출 요구 및 검사) ① 보건복지부장관은 다음 각 호의 어느 하나에 해당하는 경우에는 개인보건의료데이터처리자등에게 관계 물품ㆍ서류 등 자료를 제출하게 할 수 있다.
1. 이 법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 된 경우
2. 이 법 위반에 대한 신고를 받거나 민원이 접수된 경우
3. 그 밖에 보건의료데이터주체의 개인보건의료데이터 보호를 위하여 필요한 경우로서 대통령령으로 정하는 경우
② 보건복지부장관은 개인보건의료데이터처리자등이 제1항에 따른 자료를 제출하지 아니하거나 이 법을 위반한 사실이 있다고 인정되면 소속 공무원으로 하여금 개인보건의료데이터처리자등 및 해당 법 위반사실과 관련한 관계인의 사무소나 사업장에 출입하여 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있다. 이 경우 검사를 하는 공무원은 그 권한을 나타내는 증표를 지니고 이를 관계인에게 내보여야 한다.

      • 디지털 헬스케어법안은 제34조에서 보건복지부 장관에게 자료제출 요구 및 검사 권한을 부여하고 있음. 그런데 개인정보 보호법 역시 개인정보처리자가 개인정보를 처리할 때 개인정보에 관한 권리 또는 이익을 침해받은 사람은 보호위원회에 그 침해 사실을 신고할 수 있고, 개인정보보호위원회에는 이에 따른 자료제출 요구 및 검사 등을 할 수 있음. 개인보건의료데이터 처리에 관하여 정보주체가 권리를 침해당했을 경우 어떻게 구제받을 수 있는지에 대한 명시적인 규정이 필요함. 개인정보 침해에 관한 조사권 및 행정권 발동은 기본적으로 개인정보보호위원회 소관이며, 본 법안에서의 구제 조치와 별개로 개인정보보호법에 따른 권리 구제 역시 보장될 필요가 있음.

10. 벌칙 조항

      • 개인정보 보호법 상 민감정보(제23조 제1항)에 대하여 별도의 동의 없이 처리한 경우 과태료가 아닌 과징금을 부과하고 벌칙규정으로 형사처벌(제71조)을 받도록 하고 있음. 그러나 디지털 헬스케어법안은 개인정보 보호법 상 민감정보로 해석될 수 있는 개인보건의료데이터에 대한 동의 없는 처리에 대하여 단순 과태료 규정만 두고 있음.
      • 보건의료정보 활용기관의 행위규칙을 규정한 제21조 위반행위에 대한 형사처벌 규정이 없어 규제의 실효성이 없음. 형사처벌 규정을 반드시 포함할 필요가 있음.

 

2023년 11월 17일

민변 디지털정보위원회,  진보네트워크센터,  참여연대