디지털 헬스케어 및 보건의료데이터 활용에 관한 법률안(신현영 의원 대표발의), 디지털 헬스케어 진흥 및 보건의료데이터 활용 촉진에 관한 법률안(강기윤 의원 대표발의·이하 디지털헬스케어법안)이 21일 국회 보건복지위원회 법안심사 1소위에 상정됐다.

이 법안은 한 마디로 ‘의료·건강정보 민영화법’이다. 기업이 개인 건강정보와 의료정보를 환자의 동의 없이 가명처리해서 활용할 수 있도록 허용하고, 개인의 건강정보와 의료정보를 기업 등 제3자에게 전송할 수 있도록 하는 내용 등을 담고 있다.

▲ 21일 의료건강정보 민영화법 ‘디지털헬스케어법안’ 폐기 촉구 기자회견, 국회 앞 (제공=참여연대)

이는 시민사회가 반대했던 데이터 3법 등 ‘개인정보 도둑법’의 적용 범위를 보건의료 영역으로까지 확장하는 것이다. 이 법안이 통과된다면 개인 의료·건강정보의 보호는 더욱 취약해지고 기업들의 상업적 이익을 위한 먹잇감이 되기 쉬워질 수밖에 없다. 누군가의 정보는 곧 그 사람 자체이며, 특히 의료·건강정보는 가장 민감하고 근본적인 것이다.

이런 정보가 기업에게 넘어갈 때 그 결과는 오로지 그들의 이익 극대화일 뿐 개인들과 사회 공익의 향상으로 돌아오지 않는다. 오히려 개개인의 행동 패턴이 예측되고 감시되는 사회에서 개인은 기업의 상업적 이익추구의 희생양이 될 뿐이다.

개인정보보호법이 개정되었지만 여전히 기업들이 이 법안을 제정하려는 이유는, 개인의 건강‧의료정보를 상업적으로 마음껏 활용하기가 아직은 어렵기 때문이다. 건강‧의료정보는 여전히 보건의료 관련 특별법의 적용 대상이고 개인정보보호법에 우선한다는 점에서이다.

현행 의료법, 약사법, 국민건강보험법은 의료기관과 약국, 건강보험공단과 심평원 등에 있는 환자의 의료·건강정보를 누군가 함부로 유출하거나 목적 외로 제3자에게 제공하거나 열람하게 하지 못하도록 금하고 있다. 이는 보건의료 영역에서 최소한의 정보인권 보호를 위한 규제이다. 이를 무너뜨리는 것이 ‘디지털헬스케어법안’이다.

게다가 강기윤 의원 안에는 규제샌드박스 조항들이 있다. 규제샌드박스는 충분한 검증 없이 의료기술을 환자에게 적용하는 것이다. 안전과 효과가 있는 기술만 환자에게 적용한다는 ‘근거중심의학’을 허무는 것으로, 이런 정책은 정부가 기업 이익을 위해 생명과 안전을 포기하는 것이다.

이런 심각한 규제완화책들이 한꺼번에 모여 있는 디지털헬스케어법은 결코 통과되어서는 안 된다. 이에 디지털헬스케어법 폐기를 촉구하는 기자회견이 21일 국회 앞에서 민변 디지털정보위원회, 진보네트워크센터, 참여연대, 한국암환자권익협의회, 한국폐섬유화환우회, 한국루게릭연맹회, 한국다발골수종환우회, 의료민영화 저지와 무상의료 실현을 위한 운동본부 공동 주최로 열렸다.

[기자회견문]

내 의료·건강정보 민영보험사와 기업에 넘겨주는 ‘디지털헬스케어법안’ 폐기하라

내일(22일) 국회 보건복지위 법안심사 소위에서 <디지털 헬스케어 및 보건의료데이터 활용에 관한 법률안(신현영 의원 대표발의)>, <디지털 헬스케어 진흥 및 보건의료데이터 활용 촉진에 관한 법률안(강기윤 의원 대표발의)>(이하 약칭 ‘디지털헬스케어법안’)이 논의될 예정이다.

이 법은 한 마디로 ‘의료·건강정보 민영화법’이다. 기업이 개인의 건강정보와 의료정보를 정보 주체의 동의도 없이 가명처리 해서 활용할 수 있도록 허용하고, 기업이 민감한 건강정보와 의료정보를 직접 통째로 건네받을 수 있도록 하는 내용 등을 담고 있다. 이 법이 통과된다면 개인 의료·건강정보의 보호는 더욱 취약해지고 이런 정보들이 기업들의 상업적 이익을 위한 먹잇감이 되기 쉬워질 수밖에 없다. 노동·시민사회단체들과 환자단체들은 한 목소리로 아래와 같이 이 법안에 반대를 밝힌다.

첫째, 개인 동의 없는 가명처리 의료·건강정보의 상업적 활용 안 된다

가명정보는 추가 정보가 있으면 재식별이 가능한 정보다. 특히 의료·건강정보는 다른 정보와 결합될 경우 그가 누구인지 찾아내기가 쉬운 정보이며, 가장 민감한 정보다. 이 법은 이런 정보를 개인 동의도 없이 기업들이 주고 받고, 사고 팔고, 결합해 활용할 수 있도록 허용한다. 알츠하이머나 우울증 같은 정신질환, 성매개 감염, 임신과 분만, 자연유산과 인공유산, 성폭력 피해 정보 등이 사고 팔릴 수 있다면 어떻게 되겠는가.

IMS헬스 사건은 디지털헬스케어법이 초래할 미래를 미리 보여줬다. ‘한국 IMS헬스’는 2011년부터 2014년까지 국민의 88%인 4399만 명의 가명 의료정보 47억 건을 사들여 재가공한 후 국내 제약사에 되팔아 막대한 수익을 챙겼다. 그들은 가명처리해서 안전하다고 주장했으나, 2015년 하버드대학교 연구팀이 IMS에 제공된 것과 유사한 방식으로 암호화된 한국인 처방전 데이터의 주민번호를 손쉽게 전부 해제해서 논문으로 발표하기도 했다.

의료·건강정보를 가장 탐내는 기업은 바로 민영보험사다. 지금도 민영보험사들은 데이터3법 통과를 법적 근거로 공공기관인 건강보험심사평가원에 있는 국민의 의료·건강정보를 수집해 왔다. 이는 지금까지는 법적 근거가 미흡한 것이지만 디지털헬스케어법안이 통과되면 이것도 합법이 된다. 보험연구원이 직접 밝힌대로, 보험사들이 가명정보를 수집하려는 이유는 기저질환자들의 보험료를 인상하거나, 보장을 거부하거나, 보험가입 자체를 거절하기 위해서다. 저위험군만 가입시키고 고위험군을 배제해 ‘단물 빨기(cream skimming)’를 하려는 것이다.

이미 가명정보를 기업들이 활용할 수 있게 개인정보보호법이 개정됐지만, 민간보험사 같은 기업들은 이 법이 있어야 그 적용 범위를 보건의료로 넓힐 수 있다고 본다. 왜냐하면 현행 의료법 제19조는 의료기관·의료진의 환자 정보 누설을, 제21조는 제3자 기록열람을 금지하기 때문이다. 국민건강보험법 제102조도 건강보험공단, 심평원 등이 직무상 목적 외 용도로 제3자에게 정보제공을 하지 못하도록 금하고 있다. 디지털헬스케어법안은 이런 최소한의 정보인권 보호를 위한 규제를 무너뜨리는 것이다.

둘째, 개인의료정보 기업 등 제3자 전송 허용(마이데이터) 중단하라

이 법에는 민간 기업이 의료기관에 쌓여있는 진료기록·상담기록·의료영상 등의 진료정보, 웨어러블 기기를 통해 수집되는 개인건강정보, 질병청과 건강보험공단과 심평원 등 공공기관 정보를 통째로 전송받을 수 있도록 하는 내용도 있다.

물론 이 경우는 정보 주체의 동의에 기반한다고 한다. 하지만 누구나 알다시피 기업과 개인 간 정보와 권력 격차가 큰 사회에서 ‘개인의 동의’는 매우 취약하다. 클릭 한 번에 무심코 수많은 개인정보가 넘어가선 안 된다. 그래서 의료법 제21조와 약사법 제30조 등 현행 의료 관련 법률들은 아무리 환자가 동의해도 민간기업이 의료기관 등으로부터 건강‧의료정보를 바로 건네받지 못하도록 금지하고 있다. 그러나 디지털헬스케어법이 통과된다면 이 안전장치가 무력화된다.

실손보험 청구간소화로 잘못 알려진 보험업법 개정안이 커다란 환자·시민사회단체들의 반대에 부딪쳤던 이유는 보험금 청구 편의를 빌미로 의료기관 개인정보를 민간보험사에게 데이터베이스화된 형태로 자동전송하는 내용이었기 때문이다. 그런데 이 디지털헬스케어법은 차원이 다른 규제 완화다. 실손보험금 청구에 그치지 않고 모든 의료와 건강 관련 정보들을 기업에 자동전송 가능케 하는 내용으로 훨씬 더 방대한 문제와 정보인권 침해를 낳을 수 있다.

이것 역시 주로 민영보험사를 위한 규제 완화다. 정부는 ‘비의료 건강관리서비스’를 민영보험사들에게 허용하는 시범사업을 하고 있는데, 이것의 핵심은 민영보험사가 직접 만성질환 관리와 치료를 할 수 있도록 허용하는 것이다. 영리기업의 의료행위를 사실상 합법화하는 것으로 영리병원 허용과 비슷한 결과를 낳는다. 건강관리서비스를 위한 전제조건이 바로 ‘마이데이터’다. 환자 편의가 아니라 민영보험사를 위한 미국식 의료 민영화를 위한 정책인 것이다.

셋째, 의료 규제샌드박스는 정부가 국민의 생명과 안전 보호 책임을 외면하는 것이다

강기윤 의원 발의 법안에 있는 규제샌드박스는 제품 출시 전 기존 법규에 따른 충분한 검증을 거치지 않고, 우선 출시를 허용하고 사후에 규제하겠다는 나쁜 정책이다. 사실상 정부가 생명과 안전에 대한 책임을 포기하는 것과 다름 없다.

기업이 스스로 판단해서 허가 법령에 기준·규격·요건이 없거나 적용하는 것이 맞지 않다고 보면 ‘임시허가’를 신청할 수 있고, 임시허가가 되면 최대 4년간 제품을 의료 현장에 적용할 수 있게 된다. 또 기업이 현장 직접 성능 검증을 하기 위해서 규제의 전부나 일부를 적용하지 않는 ‘실증특례’를 신청할 수 있고 이 역시 최대 4년간 할 수 있다. 기업은 검증되지 않은 치료법으로 4년 동안 이윤을 창출할 수 있게 되는 것으로 그야말로 기업 맞춤 솔루션이다.

규제샌드박스가 허용되면 검증되지 않은 의료기술이 ‘진료’의 이름으로 환자에게 쓰이고, 환자들은 실험 대상이 되면서도 비용을 부담하게 될 것이다. 이런 정책은 부도덕 그 자체다.

이처럼 디지털헬스케어법안은 주로 민영보험사 등 기업의 돈벌이를 위해 내 의료·건강정보를 위험에 처하게 하는 악법이다. 이 법안은 국민의힘, 민주당 모두 우리의 의료·건강정보 보호에 별 관심이 없고, 기업들을 위해 의료 민영화를 추진하는 정당이라는 점을 보여준다. 이 두 거대 정당은 보험사들을 위해 소위 ‘실손보험청구간소화법’을 합의해 통과시키는 것도 모자라, 디지털헬스케어법안이라는 더 위험한 법안을 발의했다.

국민의 정보인권에는 눈감고 오로지 기업들의 의료·건강정보 활용에만 중점을 두는 이 법안은 폐기돼야 한다.

(2023년 11월 21일)

민변 디지털정보위원회, 진보네트워크센터, 참여연대, 한국암환자권익협의회, 한국폐섬유화환우회, 한국루게릭연맹회, 한국다발골수종환우회, 의료민영화 저지와 무상의료 실현을 위한 운동본부

양병철 기자  bcyang2002@hanmail.net

<저작권자 © 시민사회신문, 무단 전재 및 재배포 금지>