검찰은 IMS 기소했는데…정부는 개인정보 빗장 풀 조짐

“동의 없으면 암호화도 불법”
IMS헬스 기소돼 재판받지만
정부 개인정보 가이드라인엔
비식별 조처로 우회로 터 줘

정부가 빅데이터 산업을 육성하겠다며 지난 6월 내놓은 ‘개인정보 비식별 조치 가이드라인’이 현행법 해석에서 검찰과 충돌하고 있는 것으로 드러났다.

행정자치부 등 6개 정부 부처와 기구는 지난달 30일 이 가이드라인을 정해 발표했다. 현행 개인정보 보호법은 기업 등이 개인의 정보를 다룰 경우, 목적과 용도를 밝히고 당사자의 동의를 얻는 것을 기본으로 하고 있다. 그런데 산업계는 ‘이 규정 탓에 빅데이터 산업이 외국에 뒤처지고 있다’며 개정을 요구해왔다. 이번 가이드라인은 “비식별 조치를 취한 정보는 개인정보가 아닌 것으로 추정한다”는 ‘우회로’를 제시했다.

비식별 조치란 정보 뭉치에서 개인을 알아볼 수 있는 정보를 지우거나 암호화 등의 방법으로 알아보기 어렵게 하는 조치를 말한다. 예를 들어 통신사가 내 이름, 성별, 위치 등의 정보를 수집했을 때, 이 가운데 나를 특정할 수 있는 이름을 알아보지 못하게 처리하는 것을 말한다. 가이드라인은 이달 1일부터 시행됐다.

하지만 검찰은 정확히 이를 현행법 위반으로 해석하고 있다. 검찰은 지난해 7월 환자의 의료정보를 불법으로 처리한 혐의로 다국적 의료정보회사 ‘한국아이엠에스(IMS)헬스’ 등을 기소하고 현재 재판을 진행중이다. 이 회사는 국민 4399만명의 의료정보 47억건 등 개인정보를 미국 본사에 불법적으로 넘긴 혐의를 받고 있다. 피고는 이 정보에 대해 암호화 등의 적절한 처리를 했다며 반박해왔다.

그러나 17일 <한겨레>가 입수한 공소장을 보면 검찰은 “환자정보를 권한 없이 암호화하는 행위 자체가 개인정보를 가공하는 ‘처리’에 해당하고 환자들의 처리 동의가 없는 한 이러한 암호화 행위도 불법 처리에 해당한다”고 밝히고 있다. 즉, 이런 처리 자체가 당사자 동의를 받아야 하는 행위에 해당한다는 해석이다. 비식별 조치는 당사자 동의가 없어도 할 수 있다는 정부의 가이드라인과 정면으로 충돌한다. 가이드라인은 행정부의 권고사항으로 법적인 효력은 없다.

권오성 기자