내 의료·건강정보 민영보험사와 기업에 넘겨주는 ‘디지털헬스케어법안’ 폐기하라
– 일시 및 장소 : 2023년 11월 21일(화) 오전 10시 30분/ 국회 앞
내일(22일) 국회 보건복지위 법안심사 소위에서 <디지털 헬스케어 및 보건의료데이터 활용에 관한 법률안(신현영 의원 대표발의)>, <디지털 헬스케어 진흥 및 보건의료데이터 활용 촉진에 관한 법률안(강기윤 의원 대표발의)>(이하 약칭 ‘디지털헬스케어법안’)이 논의될 예정이다.
이 법은 한 마디로 ‘의료·건강정보 민영화법’이다. 기업이 개인의 건강정보와 의료정보를 정보 주체의 동의도 없이 가명처리 해서 활용할 수 있도록 허용하고, 기업이 민감한 건강정보와 의료정보를 직접 통째로 건네받을 수 있도록 하는 내용 등을 담고 있다. 이 법이 통과된다면 개인 의료·건강정보의 보호는 더욱 취약해지고 이런 정보들이 기업들의 상업적 이익을 위한 먹잇감이 되기 쉬워질 수밖에 없다. 노동·시민사회단체들과 환자단체들은 한 목소리로 아래와 같이 이 법안에 반대를 밝힌다.
첫째, 개인 동의 없는 가명처리 의료·건강정보의 상업적 활용 안 된다.
가명정보는 추가 정보가 있으면 재식별이 가능한 정보다. 특히 의료·건강정보는 다른 정보와 결합될 경우 그가 누구인지 찾아내기가 쉬운 정보이며, 가장 민감한 정보다. 이 법은 이런 정보를 개인 동의도 없이 기업들이 주고 받고, 사고 팔고, 결합해 활용할 수 있도록 허용한다. 알츠하이머나 우울증 같은 정신질환, 성매개 감염, 임신과 분만, 자연유산과 인공유산, 성폭력 피해 정보 등이 사고 팔릴 수 있다면 어떻게 되겠는가.
IMS헬스 사건은 디지털헬스케어법이 초래할 미래를 미리 보여줬다. ‘한국 IMS헬스’는 2011년부터 2014년까지 국민의 88%인 4399만 명의 가명 의료정보 47억 건을 사들여 재가공한 후 국내 제약사에 되팔아 막대한 수익을 챙겼다. 그들은 가명처리해서 안전하다고 주장했으나, 2015년 하버드대학교 연구팀이 IMS에 제공된 것과 유사한 방식으로 암호화된 한국인 처방전 데이터의 주민번호를 손쉽게 전부 해제해서 논문으로 발표하기도 했다.
의료·건강정보를 가장 탐내는 기업은 바로 민영보험사다. 지금도 민영보험사들은 데이터3법 통과를 법적 근거로 공공기관인 건강보험심사평가원에 있는 국민의 의료·건강정보를 수집해 왔다. 이는 지금까지는 법적 근거가 미흡한 것이지만 디지털헬스케어법안이 통과되면 이것도 합법이 된다. 보험연구원이 직접 밝힌대로, 보험사들이 가명정보를 수집하려는 이유는 기저질환자들의 보험료를 인상하거나, 보장을 거부하거나, 보험가입 자체를 거절하기 위해서다. 저위험군만 가입시키고 고위험군을 배제해 ‘단물 빨기(cream skimming)’를 하려는 것이다.
이미 가명정보를 기업들이 활용할 수 있게 개인정보보호법이 개정됐지만, 민간보험사 같은 기업들은 이 법이 있어야 그 적용 범위를 보건의료로 넓힐 수 있다고 본다. 왜냐하면 현행 의료법 제19조는 의료기관·의료진의 환자 정보 누설을, 제21조는 제3자 기록열람을 금지하기 때문이다. 국민건강보험법 제102조도 건강보험공단, 심평원 등이 직무상 목적 외 용도로 제3자에게 정보제공을 하지 못하도록 금하고 있다. 디지털헬스케어법안은 이런 최소한의 정보인권 보호를 위한 규제를 무너뜨리는 것이다.
둘째, 개인의료정보 기업 등 제3자 전송 허용(‘마이데이터’) 중단하라.
이 법에는 민간 기업이 의료기관에 쌓여있는 진료기록·상담기록·의료영상 등의 진료정보, 웨어러블 기기를 통해 수집되는 개인건강정보, 질병청과 건강보험공단과 심평원 등 공공기관 정보를 통째로 전송받을 수 있도록 하는 내용도 있다.
물론 이 경우는 정보 주체의 동의에 기반한다고 한다. 하지만 누구나 알다시피 기업과 개인 간 정보와 권력 격차가 큰 사회에서 ‘개인의 동의’는 매우 취약하다. 클릭 한 번에 무심코 수많은 개인정보가 넘어가선 안 된다. 그래서 의료법 제21조와 약사법 제30조 등 현행 의료 관련 법률들은 아무리 환자가 동의해도 민간기업이 의료기관 등으로부터 건강‧의료정보를 바로 건네받지 못하도록 금지하고 있다. 그러나 디지털헬스케어법이 통과된다면 이 안전장치가 무력화된다.
실손보험 청구간소화로 잘못 알려진 보험업법 개정안이 커다란 환자·시민사회단체들의 반대에 부딪쳤던 이유는 보험금 청구 편의를 빌미로 의료기관 개인정보를 민간보험사에게 데이터베이스화된 형태로 자동전송하는 내용이었기 때문이다. 그런데 이 디지털헬스케어법은 차원이 다른 규제 완화다. 실손보험금 청구에 그치지 않고 모든 의료와 건강 관련 정보들을 기업에 자동전송 가능케 하는 내용으로 훨씬 더 방대한 문제와 정보인권 침해를 낳을 수 있다.
이것 역시 주로 민영보험사를 위한 규제 완화다. 정부는 ‘비의료 건강관리서비스’를 민영보험사들에게 허용하는 시범사업을 하고 있는데, 이것의 핵심은 민영보험사가 직접 만성질환 관리와 치료를 할 수 있도록 허용하는 것이다. 영리기업의 의료행위를 사실상 합법화하는 것으로 영리병원 허용과 비슷한 결과를 낳는다. 건강관리서비스를 위한 전제조건이 바로 ‘마이데이터’다. 환자 편의가 아니라 민영보험사를 위한 미국식 의료 민영화를 위한 정책인 것이다.
셋째, 의료 규제샌드박스는 정부가 국민의 생명과 안전 보호 책임을 외면하는 것이다.
강기윤 의원 발의 법안에 있는 규제샌드박스는 제품 출시 전 기존 법규에 따른 충분한 검증을 거치지 않고, 우선 출시를 허용하고 사후에 규제하겠다는 나쁜 정책이다. 사실상 정부가 생명과 안전에 대한 책임을 포기하는 것과 다름 없다.
기업이 스스로 판단해서 허가 법령에 기준·규격·요건이 없거나 적용하는 것이 맞지 않다고 보면 ‘임시허가’를 신청할 수 있고, 임시허가가 되면 최대 4년간 제품을 의료 현장에 적용할 수 있게 된다. 또 기업이 현장 직접 성능 검증을 하기 위해서 규제의 전부나 일부를 적용하지 않는 ‘실증특례’를 신청할 수 있고 이 역시 최대 4년간 할 수 있다. 기업은 검증되지 않은 치료법으로 4년 동안 이윤을 창출할 수 있게 되는 것으로 그야말로 기업 맞춤 솔루션이다.
규제샌드박스가 허용되면 검증되지 않은 의료기술이 ‘진료’의 이름으로 환자에게 쓰이고, 환자들은 실험 대상이 되면서도 비용을 부담하게 될 것이다. 이런 정책은 부도덕 그 자체다.
이처럼 디지털헬스케어법안은 주로 민영보험사 등 기업의 돈벌이를 위해 내 의료·건강정보를 위험에 처하게 하는 악법이다. 이 법안은 국민의힘, 민주당 모두 우리의 의료·건강정보 보호에 별 관심이 없고, 기업들을 위해 의료 민영화를 추진하는 정당이라는 점을 보여준다. 이 두 거대 정당은 보험사들을 위해 소위 ‘실손보험청구간소화법’을 합의해 통과시키는 것도 모자라, 디지털헬스케어법안이라는 더 위험한 법안을 발의했다.
국민의 정보인권에는 눈감고 오로지 기업들의 의료·건강정보 활용에만 중점을 두는 이 법안은 폐기돼야 한다.
2023년 11월 21일
민변 디지털정보위원회, 진보네트워크센터, 참여연대, 한국암환자권익협의회, 한국폐섬유화환우회, 한국루게릭연맹회, 한국다발골수종환우회, 의료민영화 저지와 무상의료 실현을 위한 운동본부
(가난한이들의건강권확보를위한연대회의, 건강권실현을위한보건의료단체연합(건강권실현을위한행동하는간호사회,건강사회를위한약사회, 건강사회를위한치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회), 건강세상네트워크, 기독청년의료인회, 대전시립병원설립운동본부, 한국의료복지사회적협동조합연합회, 건강보험하나로시민회의, 전국민주노동조합총연맹, 한국노동조합총연맹, 전국보건의료산업노동조합, 전국공공운수사회서비스노조, 공공운수노조의료연대본부, 국민건강보험노동조합, 전국의료산업노동조합연맹, 전국농민회총연맹, 한국농업경영인중앙연합회, 전국여성농민회총연합, 전국여성연대, 빈민해방실천연대(민노련, 전철연), 전국빈민연합(전노련, 빈철련), 노점노동연대, 참여연대, 천주교빈민사목위원회, 참교육을위한전국학부모회, 평등교육실현을위한전국학부모회, 사회진보연대, 노동자연대, 장애인배움터너른마당, 일산병원노동조합, 학교급식전국네트워크, 약사의 미래를 준비하는 모임, 행동하는의사회, 건강보험심사평가원노동조합, 전국정보경제서비스노동조합연맹, 건강정책참여연구소, 민중과 함께하는 한의계 진료모임 길벗, 전국보건교사노동조합)
발언문
□ 전진한 보건의료단체연합 정책국장
내일 디지털헬스케어법이 국회에서 논의됩니다. 이 법은 개인 의료정보 건강정보 민영화법입니다. 민간 보험사 같은 기업들한테 우리의 가장 민감한 정보를 넘겨주는 법입니다.
이 법이 통과되면 첫째로 가명 의료정보를 기업들이 환자 동의없이 사용할 수 있게 됩니다. 가명정보라고 하지만 다른정보와 결합하면 재식별이 가능한 정보입니다. 임신과 분만, 유산, 성폭력 피해, 정신질환, 그리고 유전병과 가족력 같은 민감한 정보가 사고 팔린다면 어떻게 되겠습니까.
단적으로, 2015년에 헐리웃 배우 찰리 신은 자신이 HIV 양성 상태라는 걸 공개하겠다는 협박을 받고 입막음을 하기 위해 수백만 달러를 지불했지만 결국 비밀을 지키지 못했다고 밝혔습니다.
유명인에게만 일어날 일이 아닙니다. 누군가에게 기저질환이 있다는 걸 알면 기업은 채용에 불이익을 줄 수가 있고, 성 재생산 건강 정보는 결혼 알선 기업 등이 수집하려고 할 것입니다.
보이스피싱 범죄집단에 흘러들어가면 어떻게 될까요? 실제로 미국에서는 아픈 노인들의 정보가 사고팔리고, 그들은 가장 속이기 쉬운 범죄의 타깃이 됩니다.
무엇보다 의료정보를 가장 수집하고 싶어하는 건 민간보험사입니다. 보험사는 기저질환이 있는 사람들의 보험가입을 거절하거나 보험금 지급을 거절하기 위해서 우리의 동의 없이 가명정보를 획득하는 게 중요하다고 자신들의 보고서를 통해 공공연히 밝히고 있습니다.
우리가 병원에서 안심하고 의료인들에게 우리의 내밀한 비밀을 말하는 것은 당연히 이런 정보가 진료목적으로만 사용될거라고 굳게 믿기 때문입니다. 그 믿음을 뒤흔드는 건 의료의 근간을 무너뜨리는 것입니다. 실제로 미국에선 매년 수백만명의 사람들이 건강정보 유출을 우려해서 치료를 기피하고 있습니다.
보건복지위 의원들은 이런 위험천만한 법안을 통과시켜선 절대 안됩니다.
둘째로 이 법은 의료 정보 기업 직접전송을 허용합니다.
민감한 의료정보와 건강정보는 의료기관이나 공공기관이 기업에 직접 보내지 못하게 돼있습니다. 아무리 개인이 동의해도, 무심코한 동의가 엄청난 결과를 초래할수 있기 때문에 이걸 막고 있는 것입니다. 이런 안전장치를 허무는 게 디지털헬스케어법입니다.
노동조합과 시민사회 환자단체들은 함께 여기서 실손보험청구간소화라고 이름붙여진 보험사 개인정보 강탈법을 막으려고 노력했었습니다. 그런데 이 법은 그런 차원을 넘어서는 문제입니다. 실손보험 청구에 그치지 않고 모든 의료와 건강 관련 정보들을 기업에 축적가능한 형태로 자동전송 가능케 하는 내용으로 훨씬 더 위험한 규제완화입니다.
이 법은 의원입법이지만 정부 청부입법이고 그뒤에 기업들이 있습니다.
법안 취지가 ‘의료서비스 질 제고’, ‘국민건강증진’, ‘삶의질 향상’이라고 합니다. 그런데 이렇게 민감정보 유출이 국민건강 증진과 무슨 관련입니까. 오히려 온갖 피해가 우려되고 인권은 침해되며 기업의 감시와 통제 속 개개인은 상업적 수단이 될 뿐입니다. 그리고 기업들이 우리 정보를 재료로 삼고 희생양으로 얻은 이익은 우리에게 결코 돌아오지 않을 것입니다.
오로지 기업만을 위해서 가장 민감한 의료 건강정보를 민영화하려는 윤석열 정부와 국회를 규탄합니다. 우리 노동, 시민, 환자단체들은 이 법을 반대하고 전면 폐기하는 것만이 답이라고 생각합니다.
□ 김은정 참여연대 협동사무처장
최근 통계청 2033년 사회조사 결과에 따르면 의료요양서비스 등에 대한 사회의 역할중요가 크게 증가했고 향후 필요하거나 늘려야 할 공공시설도 보건의료시설이 가장 많았습니다. 보건의료서비스와 시설에 대한 국민적 요구가 높아지고 있지만 국회는 계속해서 의료영리화의 포문을 열려고 하고 있습니다.
보험사가 개인의 민감한 의료정보를 집적할 수 있도록 하는 의료민영화 법안인 보험업법 개정안을 처리한 바 있는 국회에 이번엔 ‘의료·건강정보 민영화법인 디지털헬스케어법안이 상정되었습니다.
디지털헬스케어법안은 개인정보법, 의료법, 약사법 등에 규정된 제3자 제공범위를 무시하고 건강정보가 쉽게 전송되도록 하고 각각 법률 규정을 시행령으로 재규정하는 위법성을 내포하고 있습니다. 그런데도 ‘디지털헬스케어’라는 명분을 내세우고 있습니다.
글로벌 디지털 헬스케어 시장은 2020년 1,520억 달러 규모에서 2027년에는 5,090억 달러, 약 610조 원 규모에 이를 것으로 전망됩니다. 디지털 헬스케어를 검색하면 시장의 성장과 투자 가능성에 대한 장밋빛 전망만 가득합니다. 이로 인해 국민의 민감정보가 부분별하게 활용되거나 현행 개인정보보호법보다 규제가 완화되거나, 의료법, 약사법, 생명안전윤리법 등 그 외 환자의 질병 정보를 강하게 보호하는 법령들까지 사문화시킬 우려는 제대로 다뤄지고 있지 않습니다.
디지털 헬스케어와 개인정보보호 문제는 떼려야 뗄 수 없는 문제입니다. 민감한 의료 정보라면 더욱더 보안에 엄격해야만 합니다. 기존 법령에서 개인의 의료 정보를 제한된 영역에서만 다룰 수 있도록 하거나 디지털 헬스케어를 산업이나 시장 관점에서만 볼 수 없는 이유이기도 합니다.
우리나라는 세계 최고 수준의 네트워크 기술력을 보유했지만 고객정보 다량 유출 등 사이버 보안 관련 사고가 빈번하게 발생하고 있습니다. 디지털 기술의 발달로 데이터가 곧 돈이 되는 시대입니다.
그렇기에 개인정보의 무분별한 유출이나 상업적 용도로 활용을 규율하는 방안을 마련하는 것이 국회의 역할입니다. 하지만 국회는 개인의 기본권 보호를 위해 앞장서거나 사회적 논의나 합의를 위한 이러한 공론의 장을 마련하기 보다는 업계의 이해대변에 급급한 모습을 보여왔습니다.
국회가 계속해서 규제를 완화하고 개인정보의 틈새를 열어주는데 골몰하고 있는 것이 현실입니다.
디지털헬스케어 범위를 무한히 확대하고, 개인정보보호법과 유사, 중복된 조항으로 혼란을 야기하고, 개인정보 주체의 권리가 배제되고, 복지부 장관에게 민감한 보건의료 정보 보호 방안 수립 의무도 요구하지 않고, 보건의료 개인정보 처리 주체도 모호하고, 민감정보 보호 사각지대를 확대하고, 일반 개인정보를 취급하는 마이데이터 사업자보다 더 많은 활용 권한을 보건의료 데이터 활용기관에 부여하고 규제 실효성도 담보하기 어려운 이러한 법안은 폐기되어야 합니다.
최소한의 정보인권 보호를 위한 규제를 무너뜨리는 디지털헬스케어법안에 대해 반대합니다. 이 법안은 폐기되어야 합니다. 국회는 더 이상 특정 산업의 특정 기업의 이해만을 대변하는 입법에 나서서는 안 됩니다. 더이상 얄팍한 편의성과 개인 동의라는 꼼수를 내세우지 말 것을 촉구합니다.
□ 오병일 진보네트워크센터 대표
1. 개인정보보호법과 유사, 중복 조항으로 혼란 야기
2020년 개인정보보호법 개정 이전에 국내 개인정보 법제는, 2011년에 개인정보보호법을 제정했음에도 불구하고, 개인정보보호법, 정보통신망법, 신용정보보호법 등으로 분산되어 있어, 관련 법제간 동일하거나 유사하면서도 조금씩 다른 규정이 존재하여 법제의 일관성 및 통일성을 저해하고 수범자의 혼란을 야기한다는 비판을 받아왔음. 개인정보 보호법제의 일원화가 필요하다는 것은 그동안 학계, 시민사회, 산업계 등 대다수 전문가와 이해관계자의 공통된 견해였지만, 부처이기주의로 인해 혼란스러운 상황이 오래동안 유지되었음. 2020년 개인정보보호법, 정보통신망법, 신용정보보호법의 개정으로 개인정보보호법을 중심으로 법제가 정비되었고, 2023년 개인정보보호법 개정으로 정보통신망 사업자에 대한 특례 규정도 정비가 되었음. 그러나 금융위원회의 부처이기주의로 인해 정보통신망법과 달리 신용정보보호법에 중복, 유사 규정이 여전히 존재하고 있어, 신용정보보호법과의 통합이 과제로 남아있는 상황임. 이러한 상황에서 디지털 헬스케어법안이 개인정보보호법에 이미 존재하는 규정을 (문구를 조금 변형했을 뿐) 그대로 포함시킨 것은 개인정보 보호법제의 일원화라는 사회적 요구 및 시대적 흐름에 역행하는 것임.
물론 기본법이 있더라도 각 분야의 특수성을 반영한 규정을 포함할 수 있음. 그러나 디지털 헬스케어법안의 경우 보건의료 분야의 특수성을 반영한 규정 뿐만 아니라, 개인정보보호법에 이미 규정되어 있는 내용을 반복적으로, 표현을 약간 달리하여 규정하고 있을 뿐임.
‘데이터’라는 표현을 사용하는 것은 개인정보보호법 상의 개념과 혼란을 야기할 뿐만 아니라, 개인정보의 활용에 초점을 맞춘 개념임. 다른 개인정보보다 엄격한 보호가 필요한 개인의료정보에 대해 굳이 ‘데이터’ 개념을 사용함으로써 민감한 개인의료정보에 대한 보호가 약화될 것이 우려됨
따라서 기본적인 개념은 개인정보보호법에 두고, 보건의료 분야에서 개인정보보호법과 달리 규정해야할 내용만을 디지털 헬스케어법안에 규정하는 것이 합당함. 신용정보보호법을 개인정보보호법과 통합해야할 과제가 남아있는 상황에서 디지털 헬스케어법마저 이런 방식으로 만들어진다면, 교육 등 다른 영역에서도 유사한 방식의 중복 규정이 만들어지는 것을 피할 수 없고 이는 국내 개인정보보호법의 일관되고 효율적인 적용을 가로막게 될 것임.
2. 정보주체의 권리 배제
개인정보보호법 제4조는 정보주체의 권리를 규정하고 있는데, 디지털 헬스케어법안 제3조는 이와 유사한 규정을 두고 있으면서도 ‘완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 그에 대한 설명 등을 요구할 권리’는 포함하고 있지 않음. 보건의료 개인정보에 대해서는 자동화된 처리에 대한 설명요구권을 보장하지 않겠다는 것인지 의문임
개인정보보호법 제4조는 개인정보가 동의, 법률 등 어떠한 근거에 의해 처리되든, 혹은 의료정보, 교육정보 등 개인정보의 종류와 상관없이 적용되는 일반적인 원칙을 규정하고 있는 반면, 디지털 헬스케어법안 제3조는 “「의료법」, 「약사법」, 「생명윤리 및 안전에 관한 법률」 등 다른 법령에 따라 개인보건의료데이터를 처리하거나 보존하여야 하는 경우”에는 정보주체의 권리 보장을 배제하고 있음. 법에 따라 보건의료 개인정보가 처리된다고해서 정보주체의 권리를 일괄적으로 배제하는 것이 타당한 것인지 의문임.
3. 건강정보 마이데이터 사업자에 더 많은 활용 권한을 부여
개인정보보호법 상의 ‘개인정보관리 전문기관’은 정보주체를 대신하여 전송요구권 행사를 지원하고, 권리행사를 지원하기 위한 관리ㆍ분석을 하는 등 정보주체의 권리행사 지원에 초점을 맞추고 있는 반면, 디지털 헬스케어법 활용기관은 보건의료 개인정보를 갖고 무엇을 하고자 하는 기관인지 불분명함. 제18조 제2항에서 활용기관 허가의 요건을 규정하고 있는데, 제3호에서 “사업계획 및 개인보건의료데이터 수집ㆍ활용 계획이 타당하고 건전할 것”이라고 되어 있어 단지 정보주체의 권리행사 지원이 아니라, 보건의료 개인정보를 자신의 이익을 위해 활용하려는 기관까지 포함하는 것으로 보임. 여느 개인정보보다 민감한 보건의료 개인정보에 대해 일반 개인정보의 마이데이터 사업자의 권한보다 더 많은 활용 권한을 부여하는 것은 보건의료 개인정보의 침해 우려가 크기 때문에 반대함.
4. 결론
현행 개인정보보호법은 정보주체의 동의없이 개인정보를 상업적 목적으로, 애초 수집 목적 외로 활용할 수 있도록 하고 있어서 비판을 받아 왔음. 개인정보를 과학적 연구 목적으로 활용할 수 있다고 하더라도, 이는 공익적인 연구로 한정할 필요가 있음. 나아가 보건의료 분야에서 개인정보 관련 법률을 만든다면, 건강정보의 민감한 속성을 고려하여 더 엄격한 요건에 따라 개인정보를 처리하도록 규제할 필요가 있음. 그런데 현행 디지털 헬스케어법은 개인정보보호법과 충돌할 뿐만 아니라, 오히려 개인정보보호법보다 그 활용의 폭을 넓히고 있음. 이런 방식의 헬스케이법은 폐기되어야 마땅함.
□ 강성권 국민건강보험노동조합 부위원장
보험자 노조인 국민건강보험노동조합은 그동안 건강보험가입자인 국민의 개인건강정보 보호를 끊임없이 강조하였다. 이는 현장에서 근무하는 공단의 직원으로써 개인 건강정보 유출로 인한 가입자들의 피해를 직접 눈으로 확인하였기 때문이다. 일 예로 공단에서는 민간보험회사에 진료내역을 제공하지 않기 때문에 가입자로 하여금 개인의 진료내역을 직접 신청케하여, 보험회사에서 우회하여 확인하는 경우가 있다. 이러한 과정에 끝은 가입자에게 보험금 미지급 사유와 보험회사를 속였다는 이유로 소송의 대상이 될 뿐이었다. 이것이 민간영리기업의 실체이며, 국가가 국민들의 민감 개인 건강정보를 보호해야 하는 이유이다.
그동안 노동시민사회와 환자단체는 정치권의 야합으로 통과된 보험업법 개정안, 일명 “실손보험청구 간소화법”에 대한 우려와 문제 제기를 지속적으로 하였다. 이는 영리보험회사가 소액의 보험료를 가입자들에게 빠르게 지급한다는 명목으로 개인의 건강정보가 보험회사에 축적되고 결국 축적된 개인 건강정보는 보험금 미지급사유와 보험가입시 대상자 선별, 보험료 인상 그리고 결국에 공보험인 건강보험과 경쟁하는 미국식 의료민영화로 가는 수순이었기 때문이다.
그런데 정치권은 이런 악법을 통과시킨 것으로 성이 차지 않았는지 국민들에게 이름도 생소한 “디지털 헬스케어 법안”을 통과시켜 절대적으로 보호받아야 하는 개인 건강정보를 완전히 민간 영리기업에 넘기려는 시도를 하고 있다. 기업이 개인 건강정보와 의료정보를 환자의 동의 없이 가명 처리해서 활용할 수 있도록 허용하고, 개인의 건강정보와 의료정보를 기업 등 제3자에게 전송할 수 있도록 하는 내용 등을 담고 있는데 이게 바로 ‘의료 민영화법’이다.
앞서 여러분들이 지적한 바와 같이 기업들이 정치권에 요구하여 이 법을 제정하려는 이유는 건강‧의료정보는 보건의료 관련 특별법의 적용 대상이고 개인정보보호법에 우선한다는 점 때문이다. 현행 의료법, 약사법, 국민건강보험법은 의료기관과 약국, 건강보험공단, 심평원 등에 있는 환자에 의료·건강정보를 누군가 함부로 유출하거나 목적 외로 제3자에게 제공 열람 하지 못하도록 하고 있다. 이는 보건의료 영역에서 최소한의 정보인권 보호를 위한 규제이며 이를 무너뜨리는 것이 디지털 헬스케어 법안이다.
노동시민사회는 그동안 윤석열정부의 의료민영화 정책에 대해 심각한 우려를 표명하였다. 윤석열정부 1년 6개월 동안 실손보험청구간소화법 통과 건강보험재정을 이유로 역대 최초로 건강보험 보장성 축소, 민간을 통한 비의료 건강관리서비스 실시, 비대면진료를 통한 수가 퍼주기와 영리플랫폼업체의 진출 등 건강보험 쪼개기를 통해 국민건강보험에 껍데기만 남겨 놓으려 하고 있다.
개인의 건강정보는 공공기관에서도 권한을 부여받은 업무담당자만이 접근이 가능한 민감 정보이다. 윤석열정부는 디지털헬스케어라는 언어유희로 영리를 추구하는 민간기업에 개인의 건강정보를 제공하는 건강보험과 보건의료분야에 대한 시장화, 민영화 정책을 당장 중단하고 건강보험 보장성 강화와 공공의료 확충, 사회공공성강화에 최선을 다해야 한다. 노동시민사회는 정부가 계속적으로 국민이 아닌 영리기업을 위해 의료민영화 정책을 고집한다면 이번 총선에서 반드시 심판할 것을 분명히 밝힌다.
□ 최호웅 민변 디지털정보위원회 변호사
이번에 법안으로 상정될 “디지털 헬스케어 및 보건의료데이터 활용에 관한 법안”은 지능정보기술과 보건의료데이터를 활용하여 의료법에 의한 의료행위, 약사법 제2조 제11호에 따른 조제 및 같은 조 제12호에 따른 복약지도, 생명윤리 및 안전에 관한 법률 제2조 제15호에 따른 유전자검사, 국민건강증진법 제2조 제1호에 따른 국민건강증진사업 및 같은 조 건강관리 등 의료행위에서 건강관리까지를 포괄한 넓은 범위에 있어 보건의료데이터를 활용하고자 함을 목적으로 하고 있다고 합니다.
그 중 개인보건의료데이터는 개인정보 보호법 상 건강정보로서 정보주체의 사생활을 현저히 침해할 우려가 있는 민감정보에 해당합니다. 이러한 민감정보는 원칙적으로 처리가 금지되며, 정보주체로부터 별도의 동의를 받은 경우나, 다른 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에만 처리가 가능하도록 되어 있습니다.
또한, 의료법에서는 의료인, 의료기관의 장 및 의료기관 종사자는 환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게 하거나 그 사본을 내어 주는 등 내용을 확인할 수 있도록 하여서는 아니된다라고 규정하고 있으며(동법 제21조제2항), 약사법에서는 약사는 환자가 아닌 다른 사람에게 환자에 관한 조제기록부를 열람하게 하거나 그 사본을 내주는 등 내용을 확인할 수 있게 하여서는 아니된다라고 규정하여 정보주체의 건강에 관한 정보를 제3자에게 제공하는 것을 금지하고 있습니다.
이처럼 특정개인에 대한 보건의료데이터는 개인의 사생활을 현저히 침해할 우려가 있는 민감정보로서 제한된 범위 내에서의 활용만이 인정되어 왔던 것입니다.
그럼에도 불구하고 이번에 제정안은 국회 내에서 회부될 디지털 헬스케어 및 보건의료데이터 활용에 관한 법률안은 첫째, 보건의료데이터 활용을 위하여 개인보건의료데이터를 가명처리 만하게 되면 통계작성, 과학적 연구, 공익적 기록보존 등이라는 목적 하에 정보주체의 동의 없이 활용하고 제3자에게도 제공할 수 있도록 하고 있습니다. 둘째, 개인이 보건의료데이터 보유자에 대하여 제3자에게 제공할 수 있도록 전송요구권을 행사할 수 있도록 규정하고 있습니다.
(1) 민감정보로 취급되는 개인의 보건의료정보에 대하여, 일반 개인정보와 같이 가명처리만 되면 상업적 목적을 포함한 과학적 연구라는 이유로 당사자의 동의 없이 활용되고, 제3자에게 제공되어도 좋다는 것에 대하여는 시민적 합의가 요구됩니다.
더군다나, 특이질환 등에 있어서는 가명처리가 된다고 하더라도, 사례의 희귀성으로 말미암아 개인에 대한 식별가능성이 높으며, 정보주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있다고 할 것입니다.
따라서, 일반 개인정보와 달리 민감정보인 자신의 건강정보에 대한 가명처리를 통한 활용은 더욱 엄격하게 규율되어야 하고, 정보주체에 대한 침해를 최소화하는 방향으로 입법화 되어야 할 것입니다.
기본적으로 시민들이 자신의 건강정보에 대한 기술적 활용범위에 대한 동의가 바탕이 되어야만 하는 것이지, 민감정보인 보건의료데이터 활용이라는 목적이 성급하게 우선되는 입법과정되어서는 안될 것입니다.
(2) 개인정보를 자신 또는 제3자에게 전송해 줄 것을 요구할 수 있는 개인정보에 대한 전송요구권은 기본적으로 정보주체의 권리입니다. 즉, 자신의 개인정보 활용에 대한 선택권의 보장이며, 특정 개인정보처리자의 정보독점권을 배제하기 위한 권리입니다.
개인정보 보호법에서도 이러한 정보주체의 권리를 보장하기 위하여 개인정보 전송요구권을 새로이 입법하여 시행예정입니다.
민감정보인 개인보건의료데이터에 대하여도 전송요구권을 인정함에 있어, 정보주체의 자발적인 권리행사가 아닌, 제공받는 제3자의 필요에 의하여 전송요구권 행사가 실질적으로 강제되는 경우에 대하여 일반 개인정보와 달리 더 엄격하게 고민해야 할 것으로 보입니다(심지어 제정법안에는 정보주체의 전송요구에 대한 철회권도 보장되어 있지 않습니다).
전송요구권을 빌미로 개인보건의료정보의 자유로운 유통에 의한 의료민영화라는 시장이 구축될 수 있다는 시민사회의 우려가 있는 이유입니다.
일반 개인정보와 달리 실질적인 권리행사가 아닌 자신의 보건의료정보의 제3자에 대한 이전은 정보주체의 사생활 보호에 중대한 피해를 야기할 수 있습니다.
(3) 국회에 이번에 상정될 제정법안으로 보건의료정보를 가명처리하여 활용할 수 있게 하고, 개인의 보건의료정보를 제3자에게 의료법 및 약사법 규정에도 불구하고 제3자에게 전송할 수 있도록 한 것은 기존 민감정보인 개인의료정보에 대한 규제를 크게 벗어나고자 합니다.
하지만, 개인정보 보호법에서는 개인정보의 처리 및 보호에 관한 다른 법률을 제정하거나 개정하는 경우에는 이 법의 목적과 원칙에 맞도록 하여야 한다고 규정하고 있습니다.
따라서, 새로이 보건의료데이터 활용에 관한 법률이 제정된다고 하더라도, 민감정보인 개인의 보건의료데이터에 대한 처리 및 보호는 개인정보 보호법의 취지에 따라 제정법률에서 모순되지 않고 오히려 더 강하게 규정되어야만 할 것입니다.
제정법안에서는 디지털 헬스케어 기본계획 수립의 주무부처는 보건복지부장관으로 하고, 보건복지부에 디지텔 헬스케어 정책심의위원회에서 기본계획의 수립에 관한 사항 등을 심의하도록 하고 있습니다. 하지만, 보건의료데이터 활용 이외에 개인보건의료정보에 대한 보호에 관한 사항은 기본계획에서 제외되어 있으며, 개인정보 보호를 다루는 개인정보 보호위원회나 개인정보보호에 관한 전문가의 참여가 배제되어 있습니다.
결국 제정법안의 목적과 운영은 보건의료데이터의 활용이라는 점만 강조가 되어 있고, 개인의 민감정보인 보건의료정보를 다루고 있음에도 개인정보 보호에 관한 부분을 균형있게 다루고 있지 못하고 있는 불균형을 보이고 있습니다.
지능정보화나 소위 인공지능 기술이 하루아침으로 발전하고 있는 시점에서, 기술과 인권이 조화를 이루어 나가는 제도적인 고민이 필요한 시기이며, 기술의 활용만을 강조하여 인권이 경시되어서는 안된다는 점을 마지막으로 강조하고자 합니다.
