결국, 국민의 정보기본권은 시궁창에 버려졌다. 법원이 이를 증명했다. 의료정보 47억 건을 유통하고 판매한 IMS헬스 사건의 피고인들은 대부분 무죄를 선고받았다.
서울중앙지방법원(이하 ‘1심 법원’)[footnote]서울중앙지방법원 제22형사부(재판장 이순형 판사)[/footnote]은 4,399만 명의 의료정보 47억 건을 유통·판매하여 공분을 산 이른바 IMS헬스 사건의 피고인들 대부분에게 무죄를 선고했다(이하 ‘1심 판결’).[footnote]서울중앙지방법원 2020. 2. 14. 선고 2015고합665 등 판결[/footnote]
이 판결은 사실상 피고인들에게 면죄부를 주고, 국민의 정보기본권을 훼손하는 부당한 판결이다.
IMS헬스 사건의 개요와 1심 판결의 문제점을 차근차근 살펴보자.
피고인들, 과연 무슨 짓을 했나?
기소된 피고인들의 면면은 다음과 같다.
- 주식회사 한국IMS헬스(이하 ‘한국IMS헬스’)
- 재단법인 약학정보원(이하 ‘약학정보원’)
- 주식회사 지누스(이하 ‘지누스’)
- 그리고 위 법인들에 소속된 임직원 등 13인
피고인들은 공모하여 보험청구심사 프로그램(e-IRS)과 전자차트 프로그램(득)을 사용하는 병원과 약국경영관리 프로그램(PM2000)을 이용하는 약국의 컴퓨터에 저장된 환자의 진료정보, 조제정보 등 개인정보와 민감정보(이하 ‘이 사건 개인정보’)를 정보 주체 몰래 판매하는 등 위법하게 처리한 혐의를 받고 있다.
구체적으로 약학정보원과 지누스 등은 47억 건에 이르는 국민 4,399만명의 환자 조제 정보 등 개인정보를 환자(정보 주체)의 동의 없이 외부서버로 전송받아 일부 암호화처리만 한 채 한국IMS헬스에게 약 22억 원에 판매했다. 그리고 한국IMS헬스는 사들인 개인정보를 미국에 소재한 IMS헬스 본사에 보내어 분석·재가공한 뒤 그 결과를 국내 제약회사에 약 100억 원에 되팔았다.
대량의 민감정보를 포함한 개인정보가 국민들은 물론 현장의 약사와 의사들도 모르는 사이 기업들에게 판매되고 있었던 것이다. 이는 명백히 대한민국 국민 4,399만 명의 개인정보자기결정권 등 기본권을 침해한 사안이다.
지누스에만 솜방망이 처벌
1심 법원은 지누스가 이 사건 개인정보 중 다른 피고인들로부터 위탁받지 않은 정보를 수집·저장·보유한 사실에 대해서만 유죄를 인정했다.[footnote]개인정보보호법 제23조 제1항을 위반[/footnote] 하지만 법원은 지누스를 단순한 개인정보처리에 관한 ‘수탁자’로 보고 ‘처리자’로 보지 않았다. 즉, 지누스를 단순한 개인정보처리를 위탁받은 자(수탁자)로 보면, 적용되는 법 규정은 달라지고, 그 처벌은 당연히 가벼워진다. 반면, 지누스를 개인정보 ‘처리자’로 판단하면 적용 법조가 달라져 좀 더 엄중하게 심판할 수 있다.[footnote]즉, 개인정보보호법 제23조 제1항 위반죄로 더 엄하게 처벌할 수 있다. 하지만 법원은 지누스의 개인정보 ‘처리자’ 자격을 인정하지 않았다.[/footnote]
1심 법원은 6년이라는 장시간의 공판을 진행하며 검사에 대한 소송지휘 등을 통해 피고인 지누스에게 위탁자의 위법한 개인정보 처리를 충분히 처벌할 수 있었다.[footnote]이 경우에 적용되는 법 규정은 개인정보보호법 제26조 제5항이다.[/footote] 즉, 1심 법원은 지누스를 처벌하기 위해 적용될 수 있는 법률 조항을 인지하고 있었음에도 이를 외면한 채 반쪽짜리 솜방망이 판결을 내린 것이다.
약학정보원, IMS헬스 및 임직원에는 ‘무죄’ 면죄부
한편 1심 법원은 피고인 약학정보원, 한국IMS헬스 및 관련 임직원들에게 혐의에 대하여 행위자들의 고의를 인정할 수 없다며 무죄를 선고했다. 1심 법원은 행위자들의 고의를 판단함에 있어 암호화된 주민등록번호를 복호화하여 식별가능한 개인정보를 수집하는 것을 용인하는 내심의 의사가 있어야 한다고 말하면서, 행위자들에게 복호화를 할 동기와 이유가 없었다는 이유로 고의를 부정했다.
그러나 개인정보보호법의 보호법익은 정보주체의 개인정보자기결정권이다. 즉, 개인정보보호법은 동의를 얻지 않은 개인정보와 민감정보를 수집, 저장, 보유 및 제공한 그 자체를 처벌대상으로 보는 것이다. 따라서 복호화 할 동기나 이유를 살펴볼 필요 없이, 행위자들에게 복호화 가능성 있는 정보를 처리하는 것을 용인하는 내심의 의사가 있었다는 점만 인정되면 고의를 인정하는 것이 타당하다.
그리고 행위자들에게 복호화의 가능성이 있는 정보를 처리하는 것을 용인하는 내심의 의사가 있었다는 점은 약학정보원과 한국IMS헬스가 이 사건 개인정보를 복호화할 수 있는 암호화 치환규칙을 공유했다는 사실을 통해 충분히 입증된다.
그럼에도 1심 법원이 피고인들의 고의를 형식적으로 부정한 것은 납득할 수 없고, 나아가 1심 법원의 판단이 향후 개인정보 처리 관행에 부정적인 영향을 미칠까 우려스럽다. 행위자들이 동의없이 개인정보를 처리하여도 개인정보를 복호화를 했다는 증거가 없거나, 정보 주체에게 물리적으로 피해가 발생하지 않는다면, 개인정보보호법을 위반한 것이 아니라는 의미이기 때문이다.
개인정보·민감정보 아니다?
1심 법원이 한국IMS가 수집한 이 사건 개인정보를 개인정보보호법의 보호를 받는 개인정보나 민감정보에 해당하지 않는다고 판단한 부분 역시 납득하기 어렵다. 1심 법원은 한국IMS헬스가 이 사건 개인정보의 복호화에 필요한 결합정보를 가지고 있었다는 점을 인정하면서도 암호화 처리를 거쳤다는 이유로 이 사건 개인정보가 개인정보나 민감정보에 해당하지 않는다고 판단했다.
이는 법원이 확립하고 있는 개인정보의 정의에 부합하지 않을 뿐만 아니라, 이 사건 개인정보가 개인정보보호법상 개인정보라고 판단한 서울고등법원의 관련 민사판결과도 배치된다.
항소심은 1심 판결 오류 바로잡아야
지금까지 살펴본 바와 같이 1심 판결은 법률을 형식적으로 적용하고, 기존의 법리에 부합하지 않는 해석을 통해 개인정보보호법을 위반한 것이 명백한 피고인들에게 면죄부를 주었다. 만약 항소심 법원이 1심 판결을 유지한다면 이는 기업들의 무분별한 영리목적 개인정보 활용을 무한정 허용하는 것으로 시민에게 보장된 정보 기본권을 보호해야 할 사법부 본연의 역할을 포기하는 것과 다름없다.
따라서 항소심 법원은 1심 판결의 부당성을 바로잡고 피고인들을 강력히 처벌함으로써 기업의 이윤보다 국민의 정보 기본권 보호를 우선하는 사법부 본연의 역할을 다해야 한다.
검찰과 피고인들은 1심 판결에 대해 각 항소를 제기했고, 이 사건은 지난 2020. 3. 17. 서울고등법원 제1형사부(이하 ‘항소심 법원’)에 접수되었다. 그리고 피고인들의 변호인 선임 절차와 항소이유서가 제출됨에 따라, 항소심 공판절차가 곧 진행될 것으로 보인다.
[divide style=”2″]
[box type=”note”]
이 글은 아래 시민단체 연대체 및 시민단체가 2020년 4월 27일에 발표한 논평을 바탕으로 원문 작성자와의 협의 하에 슬로우뉴스 편집 원칙에 따라 다시 정리한 글임을 밝힙니다. (편집자)
- 건강과대안
- 건강권실현을 위한 보건의료단체연합(건강사회를 위한 약사회, 건강사회를 위한 치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회)
- 경제정의실천시민연합 소비자정의센터
- 무상의료운동본부
- 민주사회를 위한 변호사모임 디지털정보위원회
- 전국민주노동조합총연맹
- 전국사무금융노동조합연맹
- 진보네트워크센터
- 참여연대 정보인권사업단
[/box]
