지난 8월 31일 뉴스핌 보도에 따르면, 금융위원회(위원장 은성수, 이하 ‘금융위’)가 보험회사가 보유한 고객의 “질병정보 등”(개인의 질병, 상해 그 밖에 이와 유사한 정보, 이하 “질병정보 등”)을 가명처리한 가명정보는 정보 주체의 동의 없이 제3자 제공, 활용 등이 가능하다는 유권해석을 내렸다고 한다.
8월 5일부터 시행된 ‘신용정보의 이용 및 보호에 관한 법률'(이하 ‘신용정보법’)[footnote]신용정보법 제32조 제6항 제9호의2[/footnote]에 따라 “통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를 제공하는 경우”에는 정보제공자와 정보수령자가 정보 주체의 사전동의를 받지 않고 타인에게 제공해도 된다는 것이다.[footnote]신용정보법 제32조 제6항 제9호의2[/footnote]
금융위의 유권해석은 ‘위법’하다
그러나 금융위의 이같은 유권해석은 다음 두 가지 이유에서 위법적인 해석이다.
- 첫째, 개인의 “질병정보 등”은 개인신용정보가 아니라는 점
- 둘째, 개인신용정보라 하더라도 “질병정보 등”에 대해서는 사전 동의를 받아 대통령령으로 정해진 목적으로만 수집, 조사 또는 제3자 제공할 수 있는 점[footnote]신용정보법 제33조 제2항[/footnote]
금융위는 그 동안 질병정보 등은 개인신용정보에 해당하지 않는다고 유권해석해 왔다. 특히 개정’전’ 신용정보법에서는 “개인의 질병에 관한 정보”[footnote] 제23조 제1항 제2호[/footnote]를 개인신용정보로 포함하였다가, 반성적 고려로 개인신용정보의 개념에서 개인의 질병정보가 삭제됐다. 그리고 오히려 “질병정보 등”에 대한 사전동의를 강화하고, 처리 목적을 대통령령으로 제한하도록 개정했다.[footnote]개정전 「신용정보법」 제16조, 시행 2009. 10. 2., 법률 제9617호. 참조[/footnote]. 위 해당 조항은 개정 후 신용정보법 제33조로 조문 배열만 변경하여 여전히 유지되고 있다. 따라서 “질병정보 등”을 개인신용정보에 해당한다고 해석하거나, 개인신용정보에 적용되는 신용정보법상의 가명처리 조항이 “질병정보 등”에도 적용가능하다고 해석함은 신용정보법 명문의 규정에 반하는 위법한 주장이다.
더 나아가 앞서 설명한 것과 같이 신용정보법 제33조 2항은 “질병정보 등”을 수집할 때 개인의 동의를 받고 시행령에서 정하는 목적으로만 이용하도록 한다. 설사 금융위 주장처럼 “질병정보 등”이 개인신용정보라 보더라도 이는 다른 조항에 우선해서 해석되어야 하는 특별규정인 신용정보법 제33조 2항 위반이다.
신용정보법 제33조 제2항(민감정보의 사전동의)과 같은 법 제32조 제6항 제9의2(목적외 제3자 제공의 예외)의 관계는 개인정보보호법 제24조(민감정보)와 제18조 제2항(목적외 제3자 제공의 예외)와 그 체계가 동일한데, 그간 행정안전부는 개인정보보호법에 대해서는 제24조가 제15조, 제17조, 제18조에 우선하여 적용한다는 유권해석을 반복적으로 내려왔으므로 금융위도 동일한 취지의 해석을 내림이 마땅하다.
[box type=”info”]
개인정보보호법(‘에이’)와 신용정보법(‘비’)의 체계
A. 개인정보보호법 제24조(민감정보) → A. 원칙적 금지 규정 (우선 적용)
a. 개인정보보호법 제18조 제2항(목적외 제3자 제공의 예외) → a. 예외적 허용 규정
B. 신용정보법 제33조 제2항(민감정보의 사전동의 취지) → B.원칙적 금지 규정 (우선 적용 안한다?)
b. 신용정보법 제32조 제6항 제9의2(목적외 제3자 제공의 예외 취지) → b. 예외적 허용 규정
- ‘에이’와 ‘비’의 법 규정 체계는 동일하다.
- 금융위는 ‘에이’ 해석상 충돌시 A를 우선 적용, a 적용을 배제했다.
- 따라서 같은 법적 체계인 ‘비’를 해석함에 B를 우선 적용해야 한다.
- 즉, 해석상 충돌이 생기는 경우에 B를 배제하고, b를 해석하는 것은 위법하다.
[/box]
[toggle style=”closed” title=”신용정보법 제32조와 제33조 “]
신용정보법 제32조
⑥ 신용정보회사등(제9호의3을 적용하는 경우에는 데이터전문기관을 포함한다)이 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제5항까지를 적용하지 아니한다.
제9의 2. 통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를 제공하는 경우. 이 경우 통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함한다.
신용정보법 제33조
② 신용정보회사등이 개인의 질병, 상해 또는 그 밖에 이와 유사한 정보를 수집ㆍ조사하거나 제3자에게 제공하려면 미리 제32조제1항 각 호의 방식으로 해당 개인의 동의를 받아야 하며, 대통령령으로 정하는 목적으로만 그 정보를 이용하여야 한다.
[/toggle]
잘못된 유권해석, 보험사 면책 근거로 악용 소지
그럼에도 금융위가 마치 신용정보법에 따라 “질병정보 등”을 가명처리 후 정보주체의 동의 없이 보험사 등의 이익을 창출하는 데 제한없이 활용할 수 있는 것처럼 유권해석한 것은 신용정보법[footnote]제32조 제2항(가명처리에 대한 정보주체의 동의 및 가명처리 목적 제한)[/footnote]에도 반하는 것으로 신용정보의 오용ㆍ남용으로부터 사생활의 비밀 등을 보호해야 할 국가기관의 기본권보호 의무를 위반한 위헌적이고 위법적인 행위이다. 이는 보험사 등 영리를 추구하는 기업에 헌법과 법률에 반하는 법령 해석을 제공하여 기업의 불법적인 행위를 지지하는 것이며, 범죄행위를 교사-방조하는 것으로 보인다. 즉, 위와 같은 금융위의 유권해석은 폐기되어야 한다.
금융위원회는 “가명처리 된 비식별 정보는 정보주체를 알아 볼 수 없어 본인의 동의를 받는 것이 불가능하다”고 주장하지만, 이는 신용정보법[footnote]제32조 제7항에서 제32조 제6항 각 호[/footnote]에 따라 개인신용정보를 제공하는 경우 정보주체에 대한 사전 통지의무를 부과하고 있는 규정에 위반한다. 그뿐만 아니라 무엇보다도 가명처리는 개인정보의 “처리”에 해당하므로 가명처리에 대하여 정보주체에게 사전에 고지하고 동의를 받는 것이 제대로 된 해석이다.
또한, 금융위원회가 가명처리된 질병정보는 식별성이 없기 때문에 민감성이 낮다고 해석한 것도 식별되기 쉬운 의료정보의 특수성을 도외시한 비전문적인 주장이다. 우리 단체들은 ‘보건의료 데이터 활용 가이드라인(안)’에서 언급된 일부 보건의료 정보는 정보주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있을 정도로 식별가능성이 큰 것으로 해석되어 비판한 바 있다.
금융위의 유권해석은 법적 구속력이 없다. 특히 신용정보법은 국민의 혼란을 초래할 수 있는 모호한 규정이 많고, 정보주체의 권리 보호 장치가 기존보다 후퇴하여 그 위헌 논란이 가시지 않고 있어 개정이 시급한 법이다. 이번 보험사의 “질병정보 등”의 제3자 제공 등 활용에 대한 금융위의 유권해석은 위법한데도 불구하고 보험사 등이 추후 개인정보 보호 관련 책임을 면책받는 근거로 제시할 수 있으므로 즉시 폐기되어야 한다.
금융위가 할 일은 위법한 유권해석을 내려 혼란을 야기하고 범죄행위를 교사-방조하는 것이 아니라, 신용정보법 및 같은 법 시행령상 개인정보의 일종인 개인신용정보와 관련된 조항들을 모두 개인정보보호법으로 일원화하는 개정에 나서는 일다. 만약 이번 금융위의 위법한 유권해석을 근거로 관련 보험사 등이 정보주체 동의 없이 “질병정보 등”을 가명처리 하고 제3자에게 제공하거나 이용할 경우, 보험 소비자들의 민형사상 법적 대응을 각오해야 할 것이다.
[divide style=”2″]
[box type=”note”]
이 글은 아래 시민단체 연대체 및 시민단체의 논평을 바탕으로 원문 작성자와의 협의 하에 슬로우뉴스 편집 원칙에 따라 다시 정리한 글입니다. (편집자)
- 경실련
- 무상의료운동본부
- 민주사회를 위한 변호사 모임 디지털정보위원회
- 서울YMCA 시청자시민운동본부
- 소비자시민모임 전국민주노동조합총연맹
- 진보네트워크센터
- 참여연대
- 한국소비자연맹
[/box]