월간복지동향 2017 2017-12-01   707

[복지톡] 보건의료 빅데이터 사업, 내 정보는 안전한가

보건의료 빅데이터 사업, 내 정보는 안전한가

_장여경 진보네트워크센터 정책활동가

인터뷰: 이경민 참여연대 사회복지위원회 간사

기록 및 정리: 조준희 참여연대 사회복지위원회 간사

ⓒ 참여연대

지난 10월, 국정감사에서 건강보험심사평가원이 민간보험사 등에 국민들의 진료기록 정보를 팔아넘긴 것이 드러났다. 진료내역과 처방내역 등 민감한 건강정보가 영리적 목적을 위해 사용된 것이다. 또한 정부는 2018년 예산안에 ‘보건의료 빅데이터 플랫폼 구축사업’이라는 명목으로 115억 원을 편성해놓은 상태다.

어느새 ‘빅데이터’라는 생소한 단어를 우리 삶 곳곳에, 정책 곳곳에서 쉽게 마주한다. 하지만 정작 정보의 권리주체인 국민 개개인이 자신의 정보가 어떻게 관리되고 유통되고 있는지 파악하기란 쉽지 않은 것이 현실이다. 이번 복지톡에서는 1998년 설립되어 20여 년째 정보인권 운동을 전개하고 있는 진보네트워크센터의 장여경 정책활동가를 만나, 보건의료 빅데이터 정책의 문제점과 개인정보 정책의 나아갈 방향에 대한 목소리를 담았다.

자기소개 부탁한다

진보네트워크센터(이하 진보넷)에서 정책활동을 하고 있는 장여경이라고 한다.

진보넷은 어떤 단체인가?

1998년도에 한국 시민사회단체에 정보통신 기술을 지원하기 위해 설립된 단체다. 정책활동을 본격적으로 시작한 건 2000년대 들어서다. 정책활동 대상으로 인터넷 표현의 자유, 인터넷 정책, 개인정보 보호, 의약품 특허 등 지적재산권 등을 다루고 있다.

초기에는 시민사회단체 대상 인터넷, 컴퓨터 교육을 많이 진행했다. 그리고 지금도 운영하고 있는 지원사업으로는 메일링 서비스, 웹호스팅 등 포털 서비스다. 현재 호스팅 서비스를 이용하고 있는 홈페이지가 600개 정도 된다.

그리고 최근 논의되는 빅데이터 기술처럼, 새로운 기술이 나오면 시민사회에 도움이 되는 방식으로 보급하는 활동을 한다. 그러면서 한편으로는 새로운 기술로부터 정보인권을 어떻게 보호할 것이냐에 대한 연구도 함께 한다.

정보인권 운동을 시작하게 된 계기는 무엇인가?

1996년에 ‘전자주민카드’ 도입을 둘러싼 논쟁이 있었다. 주무부처였던 내무부는 첨단기술을 도입해서 신분증을 만들면 국민들에게 도움이 될 것이라 판단했겠지만 오히려 국민들이 반대하고 나서니 당황했을 것이다. 당시 내무부는 안전한 보안기술을 강조하며 절대 개인정보가 유출되지 않도록 하겠다고 밝혔다. 하지만 시민사회의 주장은 안전한 정보관리를 보장하라는 것이 아니라 개인정보에 대한 ‘나’의 권리를 인정해달라는 것이었다. 즉, 나의 개인정보가 국가에 전자정보로 보관되는 것을 원하지 않는다는 것이다.

그리고 당시 내무부가 말한 안전한 보안기술이라는 것은 마그네틱 방식이었는데, 이것 역시 신뢰할 수 없었다. 보안기술은 개발할 당시에는 안전할지 몰라도 10년 후에도 안전할 것이라고는 보장할 수 없다. 보안기술은 항상 보안을 뚫으려는 기술과 함께 진보하기 때문이다. 결국 마그네틱 방식도 지금 너무 쉽게 뚫리는 방식이 되지 않았나. 그리고 이 논쟁을 겪으면서 평소 국가감시와 프라이버시권에 대한 문제의식을 갖고 있던 활동가들이 진보넷을 만들게 되었다.

기억에 남는 활동이 있다면 소개해달라

진보넷이 2000년대 들어 본격적으로 정책활동을 펼치게 된 배경에는 2003년 교육행정정보시스템(National Education Information System, NEIS) 도입 논쟁이 있다. 당시 교육부는 학생, 학부모, 교사의 모든 정보를 개별 학교가 아닌 중앙에서 보관하고자 이 시스템을 도입했다. 전자주민카드 논쟁과 마찬가지로 학생, 학부모, 교사들 그리고 시민사회는 ‘나’의 정보가 전자정보로 중앙에서 관리되는 것에 대한 문제제기를 시작했다. 그리고 국가인권위원회 역시 법적근거가 마련되지 않은 채 정책이 진행되는 것에 대해 문제를 제기하며, 교육행정정보시스템이 인권침해라는 지적을 내놓기도 했다.

이 논쟁을 겪으면서 ‘정보인권’이라는 개념이 한국사회 공론장에 본격적으로 논의되기 시작했다. 교육행정정보시스템 논쟁 이후 얼마 지나지 않은 2005년, 헌법재판소가 개인정보 자기결정권이 헌법에 의해 보장되어야할 기본권이라는 결정을 내리기도 했다. 국가인권위원회나 헌법재판소의 결정이 정말 중요하지만, 그것을 이끌어내기 위해 시민사회가 지속적으로 목소리를 내왔다는 점을 강조하고 싶다.

최근 문제가 된 보건의료 빅데이터 정책에 대해서도 진보네트워크센터가 문제제기를 하고 있다. 어떤 이유에서 반대하고 있는지?

정확하게 하고 넘어가야할 점은 시민사회가 빅데이터 기술 그 자체를 반대하는 것은 아니라는 점이다. 박근혜 정부에서부터 추진해온 방식의 빅데이터 정책을 반대하는 것이다. 정보주체의 권리는 안중에도 없고 기업, 대형병원 등의 이해를 반영하면서 추진되어 온 정책이다. 그리고 심지어 민감한 건강정보를 다루는 사안임에도 법적인 근거를 마련하지 않고 진행하고 있다. 이렇게 추진할 문제가 아니다. 사회적으로 공론화하여 논의를 충분히 거쳐야 하고 그에 따른 법률도 만들어져야 한다. 빅데이터 기술이 공중보건에도 분명 도움이 될 수 있다고 보지만, 정보의 주인인 국민들과의 토론과 합의가 없이 진행되어서는 안 된다. 공익 목적의 빅데이터 기술 활용을 위해서라도 이런 과정이 반드시 필요하다.

보건복지부에서는 보건의료 빅데이터로는 개인을 식별할 수 없도록 조치할 것이기 때문에 괜찮다고 하는데, 이에 대해서는 어떻게 생각하나?

우선 개인정보의 정의가 중요하다. 개인정보보호법에서는 개인정보를 두 가지로 정의하고 있다. 하나는, 누군가를 특정지어 알아볼 수 있는 정보, 이를테면 주민등록번호 같은 것이다. 두 번째로는, 그 정보 자체만으로 개인을 특정 지을 수 없더라도 다른 정보와 쉽게 결합해서 개인을 알아낼 수 있다면 그것 역시 개인정보로 보고 있다. 이런 정의는 미국을 제외한 대부분 국가의 개인정보보호법에서 사용하고 있다. 현재 벌어지는 정부의 빅데이터 정책에 대한 논쟁은 결국 두 번째 정의를 어떻게 적용하느냐에 대한 싸움이기도 하다.

복지부 주장은 정보를 비식별화 처리하기 때문에 괜찮다는 것이지만, 비식별화는 익명화가 아니다. 복지부는 주민번호를 암호화 처리해서 괜찮다는 입장인데, 암호를 푸는 건 어려운 일이지만 언젠가는 풀린다. 컴퓨터 성능이 좋아지면 그 시간은 더 앞당겨진다. 가령, 예전에는 64비트 수준으로 암호화해도 안전하다고들 했지만, 지금 64비트로 암호화된 정보는 너무 쉽게 풀려서 128비트 수준으로 암호화하고 있다. 암호화는 비식별화 수단 중에서도 가장 안 좋은 수단이다.

비식별화와 익명화, 낯선 개념이다. 어떤 차이가 있는 것인가?

익명화는 말 그대로 개인화된 정보가 없다는 의미다. 개별정보가 아닌 총계 값이라고 생각하면 된다. 이런 정보는 어차피 개인정보보호법에 적용을 받지 않기 때문에 이미 필요한 곳에서 쓰이고 있다. 대표적인 사례가 서울시의 심야버스 노선 결정이었다. 심야버스노선을 결정하는 과정에서 어떤 지역에서 심야시간 택시 콜 수가 많은지 파악하기 위해 빅데이터를 이용했다. 이 때 쓰인 데이터는 ‘종로3가 18,000건’, ‘종각 10,000건’ 이런 형태로 존재하는 데이터들이다. 개인화된 정보가 전혀 없는 것이다. 이미 빅데이터 기술은 이런 방식으로 쓰이고 있고, 이런 것이 익명화다.

다시 말해 개인화된 정보가 전혀 없는 것이 익명화하는 것이고, 그렇다면 비식별화(가명화)는 무엇인가?

물론 개인화된 정보가 필요할 때가 있다. 보건의료 분야의 정보도 마찬가지다. 가령, 어떤 개인이 생애 동안 어떤 병원을 어떤 빈도로 이용하는지에 대한 정보가 필요한 연구들이 있을 것이다. 이렇게 개인화된 정보를 활용하고자 할 때, 이름, 주민번호 등을 제외하고 나머지 정보들만 결합해서 사용하자는 개념이 비식별화 혹은 가명화라는 것이다. 다른 나라에서도 연구목적, 공익목적으로 이런 비식별화 정보를 이용하고 있다.

그런데 연구목적, 공익목적으로 이용하더라도 그 과정에서 개인정보 침해가 일어날 수 있다. 그러면 정보를 침해당한 개인이 법적 근거에 따라 문제제기를 할 수 있어야 한다. 그래서 유럽의 경우, 가명화 처리를 한 정보를 연구목적으로 사용할 수 있도록 하지만 그것이 개인정보임에는 틀림이 없다고 규정한다. 가명화 처리된 정보가 개인정보로 규정되어야만 개인정보보호법에 의한 보호를 받을 수 있다.

박근혜 정부에서 비식별화는 개인정보가 아니라는 가이드라인을 내놓았다.

박근혜 정부는 익명화가 아닌 비식별화 수준의 정보처리를 해놓고서 가이드라인에 이런 정보들을 개인정보가 아니기 때문에 정보주체가 어떤 권리도 행사할 수 없다고 유권해석을 내렸다. 가령, 가이드라인에는 정보주체가 자신의 개인정보 비식별화 내용에 대해 열람을 신청할 경우에도 비식별화 처리된 정보는 개인정보가 아닌 것으로 추정하기 때문에 열람시켜줄 필요가 없다고 설명하고 있다.

그리고 또 한 가지 문제는, 심평원이나 보건복지부가 비식별화된 정보가 다른 정보와 결합해 식별가능한 정보로 바뀌는 것에 대해서 신경 쓰지 않는다는 점이다. 하나의 데이터셋만 보고 개인정보를 식별할 수 없으니 괜찮다고 하지만 그 데이터셋이 다른 데이터와 결합할 경우 식별가능성이 발생할 수 있다. 앞서 개인정보보호법 상 개인정보의 정의를 이야기했지만 다른 정보와 결합했을 때 개인을 식별할 수 있다면 그 정보는 개인정보인데, 이 정의에도 부합하지 않는 주장이다.

연구목적으로 한정하여 사용한다고 해도, 우리나라의 많은 연구들이 기업, 병원 등의 용역으로 이루어지고 있는 상황이라 우려스럽다. 연구도 상업적 목적을 가질 수 있을 것 같은데…

그런 우려가 있기 때문에 더더욱 빅데이터의 공익목적 활용을 담보해줄 법제도를 개발해야 한다. 법이 없으면 결국 영향력 있는 이해관계자나 관료가 임의적으로 운영할 여지를 준다. 물론 제도개발 과정에서 분명히 돈과 영향력을 가진 제약회사, 병원, 기업 등의 압력이 있을 것이다. 그렇기 때문에 정보주체인 국민의 권리를 반영한 제도개발을 위해서 시민사회의 힘이 필요하다. 영국의 Care.data 정책(영국에서 추진한 보건의료 빅데이터 관리 프로그램)을 중단시킨 힘은 연구목적으로의 활용도 싫으니 정보목록에서 제외시켜달라는 전국적 규모의 민원전화였다. 그런 반발의 영향으로 정책이 재검토되고 결국 멈춘 것이다. 우리나라도 소수 엘리트와 관료에 의한 논의를 넘어, 시민들이 목소리를 낼 수 있도록 더 넓은 공론장에서 이 문제를 다뤄야 한다.

시민들과 함께 논의할 문제지만, 시민들에게 쉽게 알리기 어려운 내용이다. 어떻게 하면 더 쉽게 이 내용을 전달해 시민들의 관심과 참여를 끌어낼 수 있을까

익명화와 비식별화, 가명화 등 어려운 개념이 많다. 하지만 반대로 정보주체인 시민들이 질문을 던질 수는 있다. 건강보험공단에서 보유하고 있는 내 처방전이 보험회사로 넘어가는 것이냐, 내 처방전 정보를 어느 수준까지 어느 곳에 제공할 것이냐, 라고 공단이나 복지부에 질문할 수 있지 않을까.

보건의료 빅데이터 정책과 관련하여 앞서 설명한 식별가능성 외에 다른 문제는 없는지?

우선 법적근거가 없는, 그저 가이드라인 수준으로 사업을 추진한다는 점이다. 심지어 복지부는 자체 가이드라인도 없다. 그리고 이 정책을 담당하는 주무부서가 공중보건을 관장하는 부서가 아니라 의료산업을 관장하는 부서라는 점도 문제다. 의료산업화에 관심이 있는 부서에서 추진하는 한 보건의료 빅데이터 정책은 공익적 목적이라는 방향으로 귀결되기 어려울 것이다.

2018년도 예산안에 보건의료 빅데이터 관련 예산이 배정되어 있고, 시민사회에서 삭감을 위해 노력하고 있지만 쉽지 않은 상황이다. 어떤 점이 장애물로 작용하고 있는지?

국회의 정책 역량이 상당히 제한적이다. 특히 여당에서 보건의료 빅데이터에 대한 이해가 일천하다. 이 점은 여당이 비판 받아야할 부분이다. 이해가 부족하다보니, 박근혜 정부에서 추진하던 사업이 비판적 재검토를 거치지 않고 지속되는 것이다. 이전 정부의 모든 사업을 뒤집어야 한다는 것은 아니지만, 적어도 정책의 재평가는 필요하다. 창조경제 명목으로 추진되던 빅데이터 정책과 현 정부의 빅데이터 정책이 어떤 차이가 있는지 모르겠다.

그리고 현 정부는 국가 유일의 개인정보 정책 감독기구인 개인정보보호위원회를 강화하겠다는 공약을 내건 정부다. 그런데 개인정보보호위원회가 비식별화 처리된 개인정보 활용 정책에 올해만 세 번이나 반대의견을 내고 있다. 시민단체 의견을 신뢰하지 못하겠다면 개인정보보호위원회의 의견은 수용해야 하는 것 아닌가?

활동가로서 어려운 점이 있다면 무엇인가

철저하게 가사분담을 하고 있지만 그럼에도 시간은 여전히 부족하더라. 시민사회 영역에 여성활동가들이 낮은 직급에는 많은데 높은 직급으로 올라가기가 참 힘들다. 아무리 평등하게 가사분담, 육아분담 등을 하고자 해도 결국 쏠리는 면이 생긴다. 육아만 어려운 것이 아니다. 주변 활동가들을 보면 부모를 간병하고 모시느라 시민사회를 떠나는 여성활동가들이 많다.

향후 활동계획은

시민을 위한 빅데이터 정책을 수립하려면 가장 시급한 것이 사회적 토론이 광범위하게 일어날 수 있도록 공론장을 확대하는 것이다. 사안의 내용이 어려울수록 사회적 토론이 쉽게 일어나지 못하고, 소수 전문가와 이해관계자에 의해 좋지 않은 방향, 이를테면 상업적 목적으로의 활용 같은 방향으로 정책이 진행될 가능성이 높아진다. 그래서 이 문제를 널리 알리고 사회적 토론을 촉발하는 것에 매진하고자 한다.

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입


참여연대 NOW

실시간 활동 SNS

텔레그램 채널에 가장 빠르게 게시되고,

더 많은 채널로 소통합니다. 지금 팔로우하세요!