앞서 지난 1월 개정된 보건의료데이터활용 가이드라인은 가명(假名)처리를 통해 안전한 데이터 운용이 이뤄질 수 있도록 했다. 

 

그러나 사람 생명이나 신체와 직결되는 민감 정보인 보건의료데이터 활용을 두고 시민단체 등은 지속적으로 우려의 목소리를 내고 있다.

 

문상혁 교수(백석예술대학교 경영행정학부)는 최근 열린 '보건의료데이터 활용에 관한 법제도 연구 심포지엄'에서 “기관 개인정보처리자는 개인정보나 보건의료 데이터의 비전문가일 수 있다”며 “특히 기관 규모가 작을수록 전문성이 낮을 수 있다”고 지적했다.

 

전문성이 충분히 입증되지 않았음에도 현행 개인정보보호법은 이런 개인정보 처리자에게 너무 많은 권한을 부여하고 있다는 것이 권 교수 주장이다.

 

권 교수는 “데이터심의위원회와 기관생명윤리심의위원회에서 상당 부분 문제를 사전에 방지할 수 있는 조치를 취하고 있지만, 이것만으로 충분한 방지가 이뤄질 수 없다”며 “개인정보 처리자 소속에 따라서, 그리고 정보를 제공받은 제 3자 입장에서 보면 개인정보 주체에게 피해가 발생할 가능성을 간과할 수 없다”고 주장했다.

 

그는 또 "보건의료데이터 보안을 위한 가명정보 결합기술에 대한 규정도 보완이 필요하다"고 지적했다.

 

권 교수는 “현재 관계부처 합동 가이드라인은 가명정보 식별 가능성에 대해 ‘해당 정보를 처리하는 자의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려해 개인을 알아볼 수 있는 경우’라고 설명하고 있는데, 이에 대한 세부적인 판단은 개인정보처리자 개인에 의존하고 있어 명확한 기준이 없다”고 말했다. 이는 가명정보 식별 가능성에 대해 추가적인 판단 기준을 세워야 한다는 것이다.

 

권 교수는 “식별 가능성에 대한 인식 주체는 특정 개인정보 처리자가 아니라 동종 업계에 종사하는 일반인을 기준으로 한 뒤 잠재적인 식별수단의 입수 가능성이나 기술적 진보 예견 가능성을 고려할 필요가 있다”며 해법을 제시했다.

 

그는 “개인정보 처리자 외에 전문가인 제3자 심의를 받아 최종적인 판단을 할 수 있게 한다면 개인정보 보호와 활용을 동시에 이룰 수 있을 것”이라고 덧붙였다.

 

그는 이어 "환자 본인 동의 없이 이뤄지는 가명정보 처리도 위헌 소지가 있다"고 꼬집었다.

 

현행 개인정보 보호법은 가명정보 처리에 대한 특례 규정을 신설하면서 ‘개인정보처리자는 통계작성과 과학적 연구, 공익적 기록보존 등을 위해 정보주체 동의 없이 가명정보를 처리할 수 있다’고 규정한다.

 

이에 권 교수는 “그러나 민간정보가 가명처리 됐다고 해도, 정보주체 동의와 통제 권한없이 개인정보 처리자가 사용과 결합을 가능케 하는 것은 정보 유출 위험과 또 개인정보 자기결정권의 관점에서 문제가 될 수 있다”고 주장했다.

 

그는 특히 “신설된 가명정보 조항이 본래 입법 취지대로 개인정보 ‘보호’와 ‘이용’이라는 갈등 구조를 해소하고 데이터경제 발전에 기여하기 위해선, 가명정보의 적정 수준에 대한 세밀한 검토와 하위법령 가이드라인을 통한 구체적인 기준 제시가 필요하다”고 제언했다.