데이터3법 국회 통과…의료 정보 활용에 시민단체는 우려

데이터 활용 활성화를 골자로 하는 이른바 '데이터3법'이 2년여 만에 국회 본회의를 통과했다. 보건의료분야에서는 빅데이터를 활용한 맞춤형 진료에 물꼬가 트일 것이라는 산업계 전망과 함께 개인정보 악용에 대한 우려의 목소리도 여전히 나오고 있다.

여야는 9일 본회의를 열고 지난해 11월 정부와 여당 주도로 발의된 개인정보보호법·정보통신망법·신용정보법 등 3개 개정안을 가결 처리했다.

우선 ‘개인정보보호법’ 개정안은 특정 개인을 식별할 수 없도록 처리한 가명 정보를 본인 동의 없이 통계 작성, 연구 등 목적으로 활용할 수 있도록 했다. ‘정보통신망법’ 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 내용을 골자로 한다. ‘신용정보법’ 개정안은 상업 통계 작성, 연구, 공익적 기록 보존 등을 위해 가명 정보를 신용 정보 주체의 동의 없이 이용·제공하는 것이 핵심이다.

그동안 데이터 관련 법안에서는 개인정보의 자기결정권을 강조해 기업들이 데이터를 활용하려면 데이터 속에 포함된 개인정보를 처리하기 위해 일일이 정보주체의 동의를 받거나 법적 근거에 따라 비식별 처리를 하도록 요구돼 왔다.

그러나 현실적으로 이를 지키면서 IT, 금융, 의료 등 여러 분야의 데이터를 활용하기엔 걸림돌이 많다는 지적이 꾸준히 제기돼 왔다.

이런 현실을 반영해 개정안에서는 '가명정보' 개념을 도입한 게 가장 큰 특징이다. 가명정보는 이름이나 전화번호, 주민등록번호 등 특정인을 식별할 수 있는 정보를 가린 데이터다. 개인을 특정하긴 어렵지만 구체적인 정보가 담겨 익명정보에 비해 활용가치가 높다. 이름과 전화번호 등의 개인정보를 암호화한 뒤 분석하는 식이다.

또 다소 모호했던 개인정보의 판단 기준을 명확히 했다. 개인정보 여부는 결합할 수 있는 다른 정보의 입수 가능성, 식별에 소요되는 시간·비용·기술 등을 합리적으로 고려하도록 하고, 이러한 요건에 해당하지 않는 익명화된 정보는 개인정보보호법을 적용하지 않음을 명확히 했다.

이와 함께 데이터 활용에 따른 개인정보 처리자의 책임을 강화했다. 이를 위해 가명정보 처리나 데이터 결합 시 안전조치 의무를 부과하고 특정개인을 알아보는 행위를 금지하며, 위반시 과태료나 형사벌 외에 전체 매출액의 3%에 해당하는 과징금도 부과할 수 있다.

개인정보 보호 관련 법률의 유사, 중복 규정을 정비하고 추진 체계도 효율화했다. 행정안전부, 방송통신위원회, 금융위원회의 개인정보보호 기능을 개인정보보호위원회로 일원화하고 중앙행정기관으로 격상, 조사·처분권 부여 등을 통해 개인정보 감독기구의 독립성을 확보했다.

무엇보다 데이터 활용이 전무했던 의료분야에서는 환자 의료정보를 AI에 학습시켜 진료에 활용하는 한편, 빅데이터 분석을 통한 맞춤 의료서비스까지도 가능할 것으로 산업계에서는 예측하고 있다.

일례로 바이오와 헬스케어 선도 국가로 알려진 핀란드는 휴대폰 산업 침체 이후 의료 빅데이터 개방 시스템 '핀젠'을 구축해 약 50만명 유전자 정보를 데이터화했다. 빅데이터와 IoT 활용을 통해 치료에서 예방으로 건강관리 패러다임을 전환할 수 있다는 것이다.

◇정보인권 포기한 국회 규탄…"은밀한 질병 정보 활용에 통제없어"

한편 보건의료단체연합, 의료연대본부등이 참여한 시민단체들은 법안의 국회 통과 직후 ‘국민의 정보인권을 포기한 국회를 규탄한다’는 성명을 통해 “기업이 이윤추구를 위해 제대로 된 통제장치 없이 개인의 가장 은밀한 신용정보·질병정보 등에 전례없이 광범위하게 접근하고 관리할 길이 열렸다”고 비판했다.

이들은 “헌법 제10조에서 도출되고 17조로 보장받는 개인정보 자기결정권이 국회의 입법으로 사실상 부정된 것”이라며 “개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다는 개인정보보호법의 목적 조항은 이제 법조문 속의 한 줄 장식품으로 전락할 위기에 처했다”고 목소리를 높였다.

실제 지난해 7월 영국 과학저널 '네이처 커뮤니케이션스'에는 나이·성별·혼인여부·우편번호 등 15개 속성만 알아도 익명화된 데이터로 개인을 99.98% 알아낼 수 있다는 연구논문이 실리기도 했다.