개인정보 이용에 관한 사실관계의 확인

지난 2월 3일 The New York Times에 게재된 한 기사에 의하면, 중국 우한 지역 출신이라는 이유만으로 호텔 숙박을 거부당하거나, 마을 밖으로 쫓겨나거나, 정부 기관이 확인해간 개인정보의 유출을 경험한 사례 등이 확인되고 있다고 한다. 특히, 마지막 사례에선 우한 지역에서 린하이 지역으로 돌아온 사람들의 정보를 정부 관료가 수집한 지 5일이 지난 시점에 온라인에 유출되었다고 한다. 그리고 정부 관료들은 집 출입구를 막고, 우한 지역에서 돌아온 사람 및 그의 가족이 집을 떠나는 것을 목격한 경우 정부에 신고할 수 있는 핫라인 연락처를 게시해놓기까지 하였다고 한다. 특정 지역 출신이라는 개인정보가 감시나 차별의 결과로 이어지는 것이다.⁽¹⁾

우리나라에선 일부 확진자의 개인정보가 다양한 경로로 퍼져나갔다. 보건소 직원들이 문건을 주고받다가 외부로 유출된 경우가 있었고, 확진자 관련 정보를 취급하는 경찰이 개인정보를 유출한 사례도 있었다. ‘맘카페’를 통해 개인정보 담은 공문이 유출된 사례까지 발생했다. 유출된 공문에는 확진자에 대해서는 중국 체류 기간, 신고 방법, 능동 감시 경과 등의 정보가 문서에 기재되어 있었고, 접촉자의 경우 확진자와 동행한 일상생활 내용이 고스란히 담긴 것으로 알려졌다.

한편, 신종 코로나바이러스 현황 지도인 ‘코로나맵(https://coronamap.site/)’을 만들어서 확진자들의 이동 동선을 지도에 표시하여 알린 대학생도 있다. 제2·제3의 코로나맵 개발자들도 잇따라 등장했다. 이들이 개발하여 공개한 코로나 맵은 확진자에게 각 고유한 번호를 부여하고, 그들의 확인된 동선을 지도상에 표시하는가 하면 방문하고자 하는 지명을 입력하는 경우, 해당 지역을 중심으로 한 상세 이동 경로를 확대하여 보여주는 등의 기능을 제공한다. 상세 경로에 표시된 방문 지점을 클릭하는 경우 “OO번째 확진자, OO월 OO일 OO소재 음식점 방문” 등과 같은 세부 방문 기록도 보여준다.

코로나 바이러스 감염 확진자 이동경로 표시 지도

[출처: 코로나맵]

또한, 중앙방역대책본부 역시 <신종코로나바이러스감염증(2019-nCoV) 웹사이트>를 구축하고 환자 현황 및 확진 환자의 상세 이동경로를 제공하고 있다. 여기에는 확진 순번에 따른 환자 번호, 이동경로, 이용 항공편, 방문 장소를 포함한 이동경로, 접촉자 등이 상세히 기재되어 있다. 아울러, 정례 브리핑 자료도 공개하고 있는데 여기에는 성별, 출생연도, 국적, 우한 방문 여부, 입국일, 확진일, 입원 기관 등의 정보도 상세히 공개하고 있다.

2월 10일자 정부 정례 브리핑 자료의 확진 환자 현황 [출처: 중앙방역대책본부]

비록 개인을 직접적으로 식별할 수 있는 이름, 전화번호, 주소, 주민등록번호 등의 정보가 공개된 것은 아니지만 평소 감염자를 알고 있는 지인이라면 “해당 개인을 특정할 수 있는 수준의 정보”가 공개되어 활용되고 있다는 점은 분명하다. 즉, 위의 정보 항목들은 우리나라 개인정보보호법이 정의하는 개인정보 (=살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함))에 해당한다 할 수 있다. 정부에 의해, 또한 개인에 의해 코로나바이러스 감염 확진자들의 개인정보가 수집, 이용되고 있는 것이다.

한편 신종 코로나바이러스 관련 정보 공개의 범위에 대한 평가 인식을 살펴보는 한 설문조사 결과가 최근 공개되어 흥미롭다. 총 응답자 500명 가운데 더 많은 정보를 공개해야 한다고 밝힌 사람이 가장 많은 비율(49.2%)을 기록했다. 현재도 적절하다는 답변도 적지 않았다(40.6%). 현재 공개되고 있는 각종 정보는 적정하며, 오히려 이보다 더 많은 정보가 필요하다는 것이 대다수의 의견인 것으로 확인되는 것이다.⁽²⁾

정부 확진자 정보 공개에 대한 2월 7일자 여론 조사 결과

[출처: 뉴스1]

과연 현재와 같이 특정 개인의 개인정보를 공중보건 목적과 같은 ‘공익’을 위해 사용하는 것은 정보주체의 프라이버시 침해와 관련하여 어떤 문제점을 발생시킬까? 공익을 내세우며 프라이버시 침해를 특정 소수의 개인에게 용인하도록 하는 것은 정당한 것일까? 이에 대해 법적 관점에서 간략히 살펴보기로 한다.

법적 관점에서 사안의 접근

일반 개인정보와는 달리, 개인정보보호법에 따른 ‘민감정보’는 원칙적으로 그 처리가 제한된다. 법이 예외적으로 정한 경우에만 그 처리가 가능하다. 또한, ‘건강 및 성생활 등에 관한 정보’는 법이 정하는 민감 정보에 포함된다(법 제23조 제1항). 여기에서 ‘건강 및 성생활 등에 관한 정보’란 개인의 과거 및 현재의 병력, 신체적·정신적 장애, 성적 취향 등에 관한 정보이다. (개인정보보호법령 및 지침·고시 해설 p 138, 2016. 12. 행정자치부) 한편, 민감정보의 유형 및 보호방안 등에 관한 한 연구에 의하면 ‘건강정보(data concerning health)’는 의료 서비스의 제공을 비롯하여 개인의 건강 상태에 관한 정보를 나타내는 개인의 신체 또는 정신 건강에 관한 개인정보라고 한다. 이에 의하면, 심전도를 측정한 값, 홍채가 의미하는 신체 또는 건강 상태 등이 건강정보에 해당한다.⁽³⁾

위에서 살펴본 바와 같이 건강정보란 현재 또는 과거의 건강 상태에 관한 정보이다. 따라서, 특정 개인에 대해 코로나바이러스 감염자 내지 감염 위험 의심자 등의 표지를 부여하는 경우 이는 해당 개인에 관한 건강정보로서 법에 의한 민감정보라 할 수 있다. (1) 정보주체의 별도 동의를 받은 경우나 (2) 법령에서 그 처리를 요구하고 있는 경우와 같은 예외적 사유에 해당할 때에만 이를 처리할 수 있는 것이 원칙이다(법 제23조 제1항 제1호 및 제2호).

그런데, 개인정보보호법은 위와 같은 민감정보의 예외적 처리 규정 외에도 “공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보”에 관하여는 제3장부터 제7장까지를 적용하지 아니한다고 규정하고 있다(제58조 제1항 제3호). 이에 의해 적용이 배제되는 개인정보보호법의 범주는 아래와 같다.

⦁제3장(개인정보의 처리) 제15조 내지 제28조

⦁제4장(개인정보의 안전한 관리) 제29조 내지 제34조의2

⦁제5장(정보주체의 권리 보장) 제35조 내지 제39조의 2

⦁제6장(개인정보 분쟁조정위원회) 제40조 내지 제50조

⦁제7장(개인정보 단체소송) 제51조 내지 제57조

법 해설서는 이와 같은 특수한 상황에서의 포괄적 법 적용 배제 규정을 도입한 배경으로 “각종 전염병의 확산방지를 위한 환자 격리, 감염원 추적 등의 활동은 촌각을 다투는 경우가 많고 국민의 생명·신체 및 재산의 안전이 위협을 받고 있는 상황이므로 법에 따른 개인정보처리가 곤란하기 때문에 해당 개인정보를 일시적으로 처리하는 경우에 한해서 법 적용을 제외하고 있다.”라고 설명한다. (해설서 p. 379)

결국 코로나 바이러스와 같은 전염병의 확산방지를 위한 일시적 개인정보 처리는 개인정보보호법 규정의 상당 부분이 적용 배제되기 때문에 사기업이 소유한 건물이나 사적 주체가 공개된 장소에서 (정보주체의 영상과 열화상을 동시에 확인할 수 있는) 열화상 카메라를 설치하여 운용하는 것 등은 법에 의해 허용되는 것으로 볼 여지가 매우 높다. 법 제58조는 특정 상황에서의 개인정보 처리에 있어 법률의 상당 부분을 적용 배제하고 있지, 개인정보처리자가 정부나 공공기관인지 또는 일반 개인정보처리자인지를 구분하지 않기 때문이다.

그런데, 법 제58조가 적용되는 상황에서 정보주체의 권리나 개인정보의 안전한 관리 등에 관한 규정을 일괄 적용배제 한다는 것은 문제가 될 소지가 매우 높다. 왜냐하면, (1) 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보에 해당한다는 자의적으로 판단에 기반을 두어, 법률에 의한 정당한 개인정보처리 권한을 가지고 있는 정부부처나 기관이 아닌 사적 주체가 개인 정보를 처리하면서 이에 대한 정보주체의 권리 등을 전적으로 배제하는 경우 정보주체의 프라이버시 침해에 대한 보호를 적절하게 보장할 수 없기 때문이다. 또한, (2) 개인정보를 ‘일시적’으로 처리한다는 의미가 불명확하기 때문에 공중위생 등 공공의 안전과 안녕을 위한 경우라면 필요 이상의 장기간 수집, 보관 등 처리를 효과적으로 제한할 방법도 없다. 아울러, (3) 현행 개인정보보호법 구조 하에서는 “민감정보에 대한 별도의 수집 및 이용 동의” 외에 민감정보를 일반 개인정보에 비하여 각별히 보호할 수 있는 규정이 부재한데, 법 제58조에 의하는 경우라면 민감정보 수집 및 이용에 대한 동의 절차가 생략되므로 민감정보를 특별히 더 보호해야 한다는 취지가 무색하게 된다.

한편, 유럽연합의 GDPR(General Data Protection Regulation)은 건강 정보의 처리를 ‘특별한 유형의 개인정보 처리’(Processing of special categories of personal data)에 관한 규정에서 규율하고 있다. 또한, 우리나라와 마찬가지로 ‘특별한 유형의 개인정보 처리’는 원칙적 금지 및 예외적 허용의 대상이 된다. 이에 의하는 경우, “정보주체의 권리와 자유를 보호하기 위한 적절하고 특정한 조치(특히, 직무상의 기밀 준수)를 제공하는 유럽연합 내지 유럽연합 회원국 법률에 의거하여, 회원국 간의 심각한 건강 위협으로부터의 보호 내지 헬스케어, 의학 제품, 의료 기기의 높은 품질 및 안전을 보장하기 위한 공중 보건 영역에서의 공익적 사유로 개인정보 처리가 필요한 경우”에는 특별한 유형의 개인정보 처리가 가능하다.(Article 9 (2) (i))

공중 보건을 위한 개인정보 처리를 ‘특별한 유형의 개인정보 처리’로 규정하면서, 우리나라 법 제58조와 같은 포괄적 법적용 배제 규정을 두지 않아 정보주체의 권리 및 처리되는 특별한 유형의 개인정보의 보호 등이 그대로 적용된다. 한마디로 공중보건 맥락에서의 특별한 유형의 개인정보(=민감정보) 처리 시에도 정보주체에 대한 보호의 수준을 전혀 낮추고 있지 않다는 점이 우리나라의 법제와 가장 크게 다른 점이다.

공중보건 등 공익적 목적에서의 건강정보 처리에 관한 사항을 표로 구성하여 우리나라 개인정보보호법과 EU GDPR을 비교하면 아래 표와 같다.

우리나라 개인정보보호법과 EU GDPR 비교

이상을 종합하면, 우리나라에서는 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 개인정보를 처리하는 경우, 처리에 관한 예외를 지나치게 폭넓게 인정하는데 반해 그에 따른 정보주체의 권익 보호 및 보장을 상당부분 배려하지 못하고 있다고 평가할 수 있다.

나아가며

공중보건 등 공익적 목적에서의 건강정보 처리에 대해 정보주체의 권리 행사를 포괄적으로 배제하는 것은 긴급한 상황에서의 적시적이고 효과적 대처를 가능하게 하는 반면에, 공익이라는 이름으로 개인의 프라이버시 권리를 제약하는 것을 당연시 할 수 있는 문제점도 있다.

이에, (1) 공공의 안전과 안녕(필요성) 및 긴급성 판단기준과 절차를 정하고, (2) 공개할 정보의 항목을 해당 목적 범위 내로 제한하여 과도한 정보의 공개를 제한하고, (3) 정보주체에게 최소한의 고지를 하는 동시에 건강정보에 대한 안전한 관리 요건을 명확히 하는 등의 방안을 고려할 필요가 있다.

아울러, 긴급한 공익적 목적 달성의 경우라 할지라도 정보주체의 권리가 충분히 보장될 수 있는 방향의 법제 개선을 중장기적으로 검토할 필요가 있다. 개정 개인정보보호법이 유럽연합의 법제를 많이 차용하였다 하더라도, 그 정신은 미치지 못한 것으로 평가받지 않으려면 말이다.