[디지털비즈온 김맹근 기자] 우리는 ‘정보의 자기결정권’이 중요한 가치의 시대에 살고 있었다. ‘정보의 자기결정권’이란 정보가 어느 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지 스스로 결정할 수 있는 정보주체의 권리로 자신의 정보를 자율적으로 통제할 수 있는 권리까지 보장하려는 데 그 취지가 있다.

고도로 정보화된 현대사회에서의 자기결정권은 자신의 정보를 자율적으로 통제할 수 있는 적극적 권리를 보장해야 한다는 것으로 해석된다. 정보의 자기결정권은 정보 수집·이용·제공 등 정보의 처리에 관하여 정보주체에게 ‘구체적이고 충분한 설명에 근거한 동의(specific and informed consent)’를 구하는 것으로 구현된다.

그러나 데이터의 시대에는 이미 다른 목적으로 수집되어 있는 정보를 새로운 목적으로 사용하는 후향적(retrospective) 활용이 필요하다. 영국의 개인정보감독기구인 ICO(Information Commissioner's Office)는 ‘Artificial Intelligence, Machine Learning and Data Protection' 보고서에서 빅데이터의 특징 중 하나로 ‘데이터의 용도 변경(repurposing of data)’을 명시한 바 있다.

이와 같은 기 수집된 데이터의 2차적 사용 필요성은 의료 분야에서도 중요한 문제이다. 2010년 EU Data Protection Directive (EU DPD)를 개정하기 위해 정책 방향을 발표하였을 당시 EU 공중보건 연구자들이 공식적인 입장을 표명한 바와 같이 개인정보보호권에 대한 보호는 건강권의 보호와 같이 사회에 도움을 줄 수 있는 다른 권리들과 균형을 이루는 것이 필요하다.

이는 구체적이며 충분한 설명에 근거한 동의로 대변되는 정보의 자기결정권의 시대를 지나 의료데이터로 인하여 사회와 정보주체가 받을 수 있는 다른 여러 권리와 혜택을 고려해야 하며 이를 위해 수집된 목적 외 데이터를 활용해야 하는 시대로 변화되고 있다는 것을 의미한다.

데이터 시대에는 정보주체, 연구자, 의료데이터를 활용하는 기업, 데이터를 통해 혜택을 받을 수 있는 사회에게 중첩된 여러 권리와 혜택을 조정해야 하며 이에 맞는 대안적 규범 체계 마련이 필요하다. 이는 데이터의 소유권에서 데이터를 보유하고 있는 ‘관리자의 책무(custodianship)’와 의료데이터로 혜택을 공유하는 ‘모든 이해당사자의 책무’로 초점이 이동해야 하는 것을 의미한다. 이 때, 관리자의 책무는 의료 데이터 보호 및 보안, 의료 데이터 활용으로 인한 정보주체와 사회의 혜택, 공공의 신뢰 등이 포함될 수 있다.

2020년 8월 5일 개정 시행된 「개인정보 보호법」은 가명정보의 처리 특례를 신설하여 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있도록 하였다. 개정 「개인정보 보호법」은 정보주체의 동의라는 기본 원칙 이외의 정보주체의 동의 없이 가명정보를 이용할 수 있는 법적 근거를 마련하여 데이터의 이용 활성화를 기대한 한편 개인정보처리자의 책임성 강화 등 개인정보를 안전하게 보호하기 위한 제도적 장치를 두었다.

진료기록, 의무기록, 연구자료, 기기 기반 데이터 등 의료데이터를 보유하고 있는 의료기관은 개인정보처리자로 법에서 요구하는 기술적·관리적 보호 조치를 취하여 하며 이를 준수하지 않을 경우 형사처벌을 포함한 제재가 부과된다.

더불어, 개인정보보호위원회와 보건복지부가 공동으로 배포한 ‘보건의료 데이터 활용 가이드라인’에 따라 정보주체의 동의 없이 가명정보를 처리하여 활용하는 경우, 의료데이터를 보유하는 기관은 가명정보 활용 여부, 가명처리 적정성을 실시하는 ‘데이터 심의 위원회’를 운영하여 심의하여야 한다. 또한 동 가이드라인은 데이터 보유 기관에서는 ‘데이터 담당부서’를 두어 식별자의 분리 단계에서 신뢰할 수 있는 제3자로부터 가명처리하여 가명정보를 활용하는 자는 원래의 상태로 복원하는 추가정보를 보유하지 않도록 하여 정보의 재식별 위험성을 낮추도록 권고한다.

우리는 데이터를 둘러싼 여러 문제를 해결하기 위해 역설적으로 데이터 시대에 해결하기 어려운 소유권 문제에 집중하고 있었다. 이 과정에서 데이터를 보유하고 있는 데이터 관리인으로서의 책무는 비대해져 가고 있으나 데이터 가치 평가와 데이터 보유기관의 권리에 대해서는 논의를 유보하고 있어 데이터 보유기관은 데이터 활용에 있어 보수적인 입장을 취하게 된다.

이러한 결과는 4차산업혁명 시대를 맞아 핵심 자원인 데이터의 안전 활용이 필요하여 「개인정보 보호법」을 개정한 그 취지와도 거리가 있으며 의료데이터를 활용하여 사회와 정보주체가 받을 수 있는 혜택(예, 임상연구와 개발로 인한 정보주체와 사회의 건강권 보호)도 함께 제한될 가능성이 높다.

그러므로 지속가능하며 책임 있는 의료 데이터 활용을 위해서는 데이터 소유권 논의에서 데이터를 보유하고 있는 의료기관 뿐 아니라 의료데이터로 혜택을 공유하는 모든 이해관계자들에게 책무를 부여하는 것으로 관점을 전환할 필요가 있다.

이 새로운 관점은 이해관계자들의 책무의 일환으로 ‘사회’에게는 의료데이터의 품질수준 뿐 아니라 데이터 보호·관리 수준에 따라 데이터의 비용·노력·가치를 평가하기 위한 모델을 제안할 책임을, ‘의료기관’에게는 데이터를 제공받은 자 등 데이터 혜택을 공유 받은 자로부터 데이터에 투입된 전문적 가치를 적절하게 인정받은 권한을 부여해야 한다.