[포럼] 감염방지와 개인정보보호, 모두 잡으려면

2021. 12. 9. 18:31
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
염흥열 순천향대 정보보호학과 교수

염흥열 순천향대 정보보호학과 교수

염흥열 순천향대 정보보호학과 교수

우리나라는 작년 코로나19 팬데믹 이후 감염병 확산을 막기 위해 광범위한 역학조사를 실시하고 있다. 역학조사에서는 감염병 확산을 막기 위해 밀접 접촉자를 식별하기 위할 목적으로 정보주체에 대한 다양한 개인정보를 수집 중이다. 스마트폰을 통해 수집되는 위치정보, 신용카드 거래사의 거래정보, 또한 CCTV를 통해 수집되는 개인 영상정보 등을 포함한다.

감염병 예방과 관련된 국내 개인정보 보호 관련 법은 개인정보보호법과 감염병의 예방 및 관리에 관한 법이다. 개인정보보호법 제58조 3항에는"공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보"의 경우 개인정보보호법 대부분 규정이 적용되지 않는다.

또한 감염병의 예방 및 관리에 관한 법률 제18조에는 감염병 역학조사에 관한 규정을 담고 있으며, 1항에는 "질병관리청장, 시·도지사 또는 시장·군수·구청장은 감염병이 발생하여 유행할 우려가 있다고 인정하면 지체 없이 역학조사를 하여야 하고, 그 결과에 관한 정보를 필요한 범위에서 해당 의료기관에 제공하여야 한다"라는 규정하고 있다.

작년 3월 26일 국토교통부, 과학기술정보통신부, 질병관리청은 경찰청, 여신금융협회, 통신사, 신용카드사 등 28개 민간 주요 기관과 연계해 '코로나19 역학조사 지원시스템'을 구축했고 이후 역학 지원조사 시스템을 운영하고 있다.

유럽연합 회원국도 코로나19 팬데믹 이후 감염병 확산 상황에서 개인정보 보호를 위한 지침을 작년에 속속 발표한 바 있다. 특히, 유럽연합 일반데이터 보호법에 근거해 설립된 유럽데이터보호이사회(EDPB)는 코로나19 확산 방지를 위한 대규모 감시와 연관된 유럽연합 집행위원회의 질의에 대한 응답에서 다음과 같은 권고사항을 공개했다.

첫째, 익명 데이터의 수집과 처리가 우선이다. 효과적 익명화는 단순히 전화번호와 같은 개인 식별자를 제거하는 것으로는 충분하지 않다. 좀 더 높은 수준의 익명 수준을 달성하기 위한 개별 개인정보의 통합 처리가 필요하다.

둘째, 개인정보처리자에 대한 데이터 보안과 접근제어가 매우 중요하다. 개인정보처리자는 수집된 개인정보에 대한 각종 기술적·관리적·조직적 보호조치를 취해야 한다. 개인정보처리자가 수집된 개인정보를 제3자에게 제공되거나 수탁자에게 처리를 위탁하는 경우, 제3자와 수탁자도 개인정보처리자와 동등한 정보보호 조치를 적용해야 하며, 전송 또는 보관되는 개인정보에 대한 기밀성도 유지해야 한다. 또한 수집된 데이터를 안전하게 전송하기 위해 적절한 전송 보안 조치를 적용하는 것이 중요하다.

셋째, 명시적 데이터 보존 기간의 규정이 요구된다. 현재 감염 대응 긴급 상황이 종료되면 모바일 통신 사업자로부터 수집된 위치 정보 등 데이터는 바로 파기되어야 한다. 이러한 특정 위기를 극복하기 위한 처리 목적을 달성하면 이러한 정보는 즉시 파기되어야 한다.

넷째, 데이터 처리의 목적과 처리 방식이 모두에게 투명하게 공개되어야 한다. 데이터 처리 프로세스에서 개인정보처리자의 참여가 필요하다는 것이다.

감염병 팬데믹 상황에서 현재 개인정보 처리 관행은 코로나19 이후 시대를 대비해 다음 사항이 고려되어 검토돼야 한다. 첫째, 개인정보보호 규제는 감염병 확산과의 싸움에서 필요한 방역조치를 지원해야 한다. 전염병과의 싸움은 국가가 마땅히 수행해야 할 최우선 가치이므로 개인정보보호 규제도 이러한 최우선 가치를 실현하도록 적절히 지원해야 한다.

둘째, 감염병 확산 방지시스템은 기본 개인정보보호 원칙을 가능한 한 폭넓게 보장해야 한다. 또한 모든 개인정보의 처리는 확실한 법적 근거를 가져야 한다. 감염병 팬데믹 상황에서도 최소한 필요로 한 개인정보를 수집하고, 꼭 필요한 제3의 기관에만 개인정보가 제공되어야 한다.

셋째, 전송되고 보관되는 개인정보에 대한 안전성 조치가 마련돼야 한다. 통신사에 의해 수집되는 위치 정보와 신용카드 회사에 의해 수집되는 거래 정보 등 개인정보는 질병관리청 등 제3자에게 안전한 방법으로 전달되어야 하고, 제3자에 의해 보관될 때도 안전하게 보관 및 관리 되어야 한다. 또한 개인정보 처리가 위탁하는 경우 개인정보 수탁자는 개인정보처리자와 동등한 수준의 안전성 조치를 취해야 한다.

넷째, 수집되고 처리되는 개인정보에 대해서는 가능한 익명화 또는 가명화 기법이 적용되어야 한다. 특히 일반에게 공개되는 역학 정보는 익명화되어야 한다. 개인정보처리방침은 모두에게 투명하게 공개되어야 한다. 개인정보는 역할 조사 목적이 달성된 이후 가능한 빠른 기간 내에 파기되어야 한다.

향후 코로나 동거시대를 준비해야 하는 요즈음 현 개인정보 처리 관행은 다시 검토돼야 하며, 원칙적으로 감염병 확산을 효과적으로 막으면서도 우리 국민의 개인정보 자기통제권을 최대한 보장하도록 해야 한다.

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.