제 목 | 코로나19 백신 접종 여부는 특별한 보호를 요하는 개인정보인가? |
---|---|
등록일 | 2021-10-05 |
첨부파일 | |
들어가며 개인정보는 그 유형이나 범위가 매우 다양하고 폭넓다. 이름, 전화번호, 주소 등과 같이 일상생활에서 널리 사용되는 인적사항에서부터 특정 개인에 대한 사회적 평가나 사회적 지위를 가늠할 수 있는 소속 및 소득정보, 그리고 현대 사회에서 타인과의 의사소통을 위해 사용하거나 자동으로 생성되는 이메일 주 소, 통화 내역, 로그인 기록 등의 통신정보까지 개인정보에 해당한다. 단독 또는 2가지 이상의 정보가 쉽게 결합하여 살아있는 자연인을 특정하거나 식별할 수 있을 때, 그 낱낱의 정보를 모두 개인정보로 본 다. 따라서 개인정보의 범주를 한정 짓는 것은 결코 용이한 일이 아니다. 기술의 발전에 따라 개인 식별 가능성이 높아지고 있는 점도 개인정보의 범주를 결정하는 것을 어렵게 만든다. 아래 [그림 1]에서 확인할 수 있듯, 정부가 제시하는 개인정보의 유형은 매우 다양하다. 여기에서 제 시된 항목들은 단지 예시에 불과하며, 실제 법적으로 개인정보에 해당하는 것으로 평가되는 정보는 훨씬 방대하다. 다양한 개인정보를 일정한 기준에 따라 분류하는 것은 가능하겠지만, 가장 일반적으로는 그 속성상 여 타 개인정보에 비해 정보주체에게 보다 민감하게(sensitive) 느껴지는 ‘민감정보’와 일반 개인정보로 구분 할 수 있을 것이다. 우리나라 개인정보보호법 제23조(민감정보의 처리 제한)는 민감정보의 종류를 열거 하고 있지만, 그 정의를 제시하고 있지는 않는다. 이는 정보통신서비스제공자 등에게 개인정보보호에 필 요한 규율을 제공했던 (구)정보통신망법(2020년 8월, 소위 ‘데이터 3법 시행’ 이전의 것을 의미)에서도 마찬가지였다. 민감정보를 정의하는 경우, 민감정보의 유형이나 종류를 한정하기 어렵게 되며, 자칫 특별한 보호를 필요로 하는 민감정보를 지나치게 확대하게 되는 상황을 초래할 것을 우려했기 때문에 별도의 정의를 제시하지 않은 것도 개인정보보호법이 민감정보의 정의를 제공하지 않는 배경의 하나로 이해된다. 민감정보는 그 속성상 처리로 인해 발생할 수 있는 위험이 일반 개인정보보다 높은 것으로 이해되며, 그에 따라 일반 개인정보에 비해 높은 수준의 보호조치 대상이 된다. 민감정보는 원칙적으로 처리가 금 지되며, 예외적으로 ‘정보주체의 동의’에 기반하여 처리를 할 때에 일반 개인정보의 처리와 별도로 동의 를 받도록 요구하는 것, 이용자에게 동의를 받을 때 ‘중요한 내용’으로 강조처리하여 동의를 받아야 하는 것, 민감정보를 처리하는 개인정보처리시스템의 접속 기록을 일반 개인정보처리시스템의 접속기록보다 오랫동안 보존해야 하는 의무 등 일반 개인정보와 차별성 있는 보호조치를 요구한다. 그런데, 코로나19 팬데믹(pandemic)으로 인해 방역 목적으로 국민의 이동 경로나 건강에 관한 정보 를 정부가 처리하면서, 정부가 이를 통해 국민에 대한 ‘방역 감시’를 하는 것이 아닌가 하는 주장이 다수 제기되었다. 국민의 민감한 정보를 법적 근거 없이 처리하거나, 그러한 개인정보 처리에 ‘사회적 합의’가 이미 존재하는 것으로 간주하여 별 다른 문제가 없다는 식으로 공무를 처리해왔다는 주장이 사회 곳곳 에서 제시된 것이다. 그런데, 이와 같은 주장이 유의미한 사회적 논의가 되려면 과연 민감한 개인정보는 무엇인지, 그러한 개인정보를 처리할 법적 근거가 존재하는 것인지, 아직 법적 근거가 마련되지 않았다 면 어떤 논의를 통해 사회적 합의를 이끌어내야 하는 것인지 등에 대한 신중한 논의는 좀처럼 찾아보기 어렵다. 미국에서는 최근 고용주가 임직원들을 대상으로 백신 접종을 강제하고, 그 결과를 의무적으로 취합할 수 있는지(소위 ‘vaccine mandate’)가 사회적으로 큰 이슈가 되었다. 일부 백신에 대해 미국 FDA가 ‘긴 급 승인’을 넘어 공식 승인을 하자 공공 영역을 중심으로 백신 접종을 의무화하고, 그 결과에 따라 출근 가능여부나 고용유지 등을 조건으로 내거는 기업들도 생겨났다. FDA라는 공적 기관의 정식 승인에 따라 백신 접종을 강제화 하고, 그 결과를 취합하여 처리할 수 있는 사회적 합의가 마련된 것이다. 그런데, 우리나라는 백신 접종 여부를 고용주가 수집할 수 있고, 그에 따라 출근 여부를 결정하고 (더 나아가)불 이익을 줄 수 있는지 등에 대해서는 사회적으로 이렇다 할 논의가 없다. 백신 접종의 필요성에 대한 사 회적 공감대와 별개로 “백신 접종 여부”가 특별한 보호의 대상이 되는 민감정보에 해당하는지에 대한 본격적인 사회적 논의가 없었기 때문이다. 이에, ‘코로나19 백신 접종 여부(그리고, 접종한 백신의 종류)’는 과연 민감정보에 해당하는지, 그러한 논의가 왜 필요한지, 이러한 논의를 주도해야 하는 주체는 누구인지 등에 대해 아래에서 살펴보기로 한다. <사진 출처 : freepik.com>
건강에 관한 정보 앞서 간략히 언급한 바와 같이, 우리나라 개인정보보호법은 민감정보를 별도로 정의하지 않는다. 그 대신, 어떤 정보가 민감정보에 해당하는지를 나열하는 방식을 택하고 있는데, 이와 관련한 규정은 다음 과 같다. 이를 기반으로 개인정보보호법 해설서는 민감정보를 다음 5가지 유형으로 구분한다. ① 사상·신념에 관한 정보 : 개인의 가치관을 기초로 하여 형성된 사유체계 등을 가리키는 것으로 각종 이데올로기, 사상적 경향, 종교적 신념 등에 관한 정보 ② 정치적 견해에 관한 정보 : 정치적 사안에 대한 입장이나 특정 정당의 지지 여부 등 ③ 노동조합·정당의 가입,탈퇴에 관한 정보 : 노동조합이나 정당의 가입 탈퇴 사실 외, 그에 관한 간접적 정보(노동조합비 또는 정당 회비 납입내역 등 가입 여부를 확인할 수 있는 정보)도 포함 ④ 건강, 성생활 등에 관한 정보 : 개인의 과거 및 현재의 병력(病歷), 신체적·정신적 장애(장애등급 유무 등), 성적 취향 등에 관한 정보 (※혈액형은 민감정보에 해당하지 않음) ⑤ 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보 : 해석의 여지가 크기 때문 에 법 시행령에 위임하여 그 범위를 한정하였는데, 다음과 같은 것들이 있음 그러나 개인정보보호법 해설서가 제시하는 건강에 관한 정보의 예시는 장애인에 관한 개인정보, 노인 장기요양 등급을 받은 사람의 개인정보 등에 관한 것이어서 건강에 관한 정보는 객관적으로 입증 가능 하며, 매우 제한적으로 해석되어야 한다는 인상을 주는데 그친다. <사진 출처 : freepik.com> 코로나19 백신 접종 여부, 그리고 세계 각국의 시각 코로나19 백신 접종 여부를 일반 개인정보로 볼 것인지, 또는 민감정보로 판단할 것인지 여부는 각국 개인정보 법제에 따라 그 상황이 다른 것으로 확인된다. 최근 한 조사결과에 따르면, 코로나19 백신 접종 여부를 어떤 유형의 개인정보로 볼 것인지는 정보주체가 어떤 지위에 있는지에 따라서도(임직원 vs. Gig Economy 노동자 vs. 방문자 등) 달리 판단되는 것으로 확인된다. 실제 유럽에선 국가별로 유사한, 또는 상이한 내용의 가이드를 제시하고 있다. 벨기에, 프랑스, 독일, 이탈리아, 네덜란드, 아일랜드 등은 고용주로 하여금 임직원들에게 백신 접종 여부를 묻는데 필요한 “유 효한 법적 근거가 부재”하다며 이를 묻지 않도록 하는 가이던스를 제시한 바 있다. 네덜란드와 이탈리아 등 일부 국가는 임직원이 사업장 근무 의사(occupational health physicians)에게 백신 접종 여부를 알 리는 경우, 해당 의사는 일부 제한된 상황에서만 그 정보를 처리할 수 있고 ‘전문가로서의 기밀준수 의 무’에 따라 고용주에게 그 사실을 밝혀서는 안 되는 경우도 있다. 이와는 달리, 호주, 핀란드, 스페인, 영 국 등은 고용주가 임직원의 건강 정보를 수집 및 처리할 수 있는데, 그 범위는 “근무지의 안전을 보장하 기 위해 필요한 정도”까지로 제한된다. 백신 접종 여부라는 개인정보의 처리가 가능한 경우는 그 법적 근거를 GDPR 제9조 제2항 b호에서 찾고 있는데, 이에 의하는 경우 민감정보라 할지라도 “고용 영역에 있어 컨트롤러나 정보주체의 특정한 권리를 행사하고 의무를 이행하기 위한 목적”에서는 그 처리가 허용 되기 때문이다. 미국에서의 백신 접종 여부에 관한 질의는 상당 부분 민간 자율에 맡겨졌었다. 일부 주(state)나 시 (city) 단위에서는 식당 출입을 위해 백신 접종 여부를 확인할 수 있도록 하는 법이나 행정규칙을 제정하 여 코로나19 상황에서도 공공의 안전과 일상생활의 편의를 조화롭게 하려는 시도가 있었으나, 많은 수 의 고용주들은 자칫 시민이 누려야 할 자유가 침해될 수 있다는 사실, 그리고 백신 접종 여부에 대한 질 의가 소송으로 이어질 수 있다는 우려 등으로 인하여 백신 접종 여부를 확인하지 못하는 경우도 다수 있었다. 해외 여러 국가들이 백신 접종 여부를 확인하는데 있어 동일한 입장을 취하고 있지 않다는 점은 분명 하다. 그러나, 다음과 같은 공통점이 있다는 것을 어렵지 않게 확인할 수 있다. (1) 대다수 국가들은 백 신 접종 여부를 건강에 관한 정보로서, 민감정보(sensitive data or special categories of data)로 취급 하고 있다. (2) 법적으로 이의 수집을 제한하는 국가도 있고, 수집을 허용한다 하더라도 제한적 범위와 목적 하에 이를 사용하도록 하는 엄격한 규정을 가지고 있다. (3) 법적으로 이를 수집 등 처리할 근거가 명확하지 않는 경우, 백신 접종 여부의 확인으로 인해 발생할 수 있는 위험(특히, 사회적 차별의 위험)을 인식하고 이에 대응하기 위한 조치를 취하고 있다. (4) 백신 접종 여부 수집의 대상이 되는 정보주체의 유형을 구분하고, 유형별로 그 수집 및 처리를 적절히 허용하거나 제한하고 있다.
우리나라의 경우 우리나라에선 백신 접종 여부가 일반 개인정보에 해당하는지, 민감정보에 해당하는지 여부는 여전히 명확하지 않은 상황이다. 개인정보보호법이 민감정보의 하나로 제시하는 ‘건강에 관한 정보’가 코로나19백신 접종 여부를 포함하는지를 확인할 수 있는 공신력 있는 정보를 정부가 제시하지 않기 때문이다. 다만, 백신 접종 여부가 이 제시하는 건강정보의 예시로 제시된, “일반적으로는 건강정보로 보기 어렵지만, 질환의 진단, 치료, 예방, 관리 등을 위해 사용되는 정보는 건 강 정보로 봄”이라는 문구에 비추어 코로나19 백신 접종 여부는 코로나바이러스감염증-19(COVID-19)의 예방, 관리 등을 위해 사용되는 정보라는 점에서 건강정보에 해당한다는 문언적 해석을 할 수 있을 것으 로 보인다. 이와 같은 문언적 해석과는 달리 전문가들의 견해는 일부 갈리는 것으로 확인이 된다. 우선, 법 문언 상 ‘건강에 관한 정보’에 포섭이 되고, 다른 의료정보 또한 대체로 민감정보로 취급이 되며, 코로나19 백 신 접종을 했는지 여부에 따라 사회적 차별을 야기할 우려가 있는 점 등을 고려하여 민감정보에 해당된 다고 보는 견해(제1설)가 있는데 반해, 개인정보보호법 해설서는 과거 및 현재의 병력(病歷), 신체적·정 신적 장애(장애등급 유무 등)’를 가리킨다고 설명하고 있는 바, 이에 따르면 코로나19 감염여부는 병력 에 관한 정보로서 민감정보에 해당되는 반면, 코로나19 백신 접종 여부에 관한 정보는 병력에 관한 정 보는 아니므로 민감정보에 해당하지 않는다는 견해(제2설)도 있다. 특히, 제2설과 관련해서는, GDPR의 경우 민감정보는 제9조(processing of special categories of personal data)에 따라 그 처리 근거를 확보할 여지가 존재하는 반면, 우리나라 개인정보보호법은 이와 같은 근거가 부재하므로 오직 정보주체 의 동의 내지 법령의 처리요구나 허용에만 기반하여 그 처리가 가능하므로 현실적으로 백신 접종 여부 의 수집 등 처리를 지나치게 제약하므로 민감정보에 해당하지 않는 것으로 보아야 한다는 의견도 있다. 특히, 사적 영역에서 고용인이 피고용인의 정보를 동의 없이 확보하려면 ‘정당행위’ 요건을 모두 충족해 야 하는데, 이러한 것이 현재의 사회적 상황에서 적절한 것인지도 고민이 필요하다는 것이다.7) 한편, 개인정보보호위원회는 백신 접종 여부가 일반 개인정보인지 또는 민감정보인 건강정보에 해당하 는지 여부를 공식적으로 밝힌 바 없는 것으로 확인된다. 그러나 개인정보보호위원회는 내부적으로 상기 제1설 및 제2설을 절충한 입장을 가지고 있는 것으로 전해지고 있다. 개인정보보호위원회는 심사총괄담 당관실은 백신 접종 정보의 수집이 민감정보 처리에 해당하는지 여부에 대한 질의에 대한 회신에서 “(회 사가) 직원의 백신휴가 부여를 위해 예방접종 여부 등 개인정보를 수집하는 경우 「개인정보보호법」 제15 조제1항제2호부터 제6호에 해당사항이 있는 경우를 제외하고는 「개인정보보호법」 제15조제2항 각 호의 사항을 정보주체에게 알리고 동의를 받아 개인정보를 수집하는 것이 바람직할 것으로 판단”된다고 설명 하면서, “다만, 예방백신 접종 여부 등이 경우에 따라 개인의 건강에 영향을 미칠 수 있는 정보로 볼 수 도 있는 점을 고려하면, 사안에 따라서는 민감정보의 범위에 포함”될 수 있다고 부연한 것으로 확인이 된다. 나가며 우리나라는 코로나19라는 전대미문의 상황의 맞이하여 방역과 경제적 관점에서 전 세계의 모범이 되 는 다수 사례를 만들어내고 있다. 그러나, 그러한 사례를 만들어내는데 있어 사회적으로 충분한 합의 (social consensus) 절차를 거쳤는지, 법적으로 명확한 근거를 마련했는지 등에 있어서는 상충되는 의견 이 제시되고 있다. 대표적으로, 대규모 감염 차단을 위한 감염 의심자를 대상으로 한 이동 경로 확인 및 공개와 관련한 제반 절차를 들 수 있다. 이태원에서의 대규모 감염 예방을 위한 정부 당국의 이동통신사 접속기록 확인에 대해서는 과도한 개인정보 처리에 대하여 법정 다툼이 진행되고 있고, 확진자 이동 경 로(동선) 공개와 관련해선 지자체의 법적 근거 없는 동선 공개나 과도한 정보 공개로 인한 사회적 혼란 을 야기했다. 이러한 방역 활동에 있어 충분한 법적 근거가 존재했는지, 사회적으로 합의를 이룬 수준에 서 기본권 침해를 최소화하기 위한 활동만을 수행한 것이었는지 등에 대해선 여전히 논쟁이 있다. 백신 접종 여부가 건강에 관한 정보로서 민감정보에 해당하는지 여부는 우리나라에선 아직 명확히 정 리된 사안은 아닌 것으로 보인다. 예를 들어, 고용주의 입장에선 사업장의 안전과 보상에 상응하는 노동 을 제공받기 위해 백신 접종 여부의 확인은 필수적이며, 민감정보에 해당하지 않는다고 판단할 수 있을 것이다. 노동자의 입장에선 백신 접종 여부로 인해 차별적 대우를 받을 수 있다는 우려를 갖게 될 수도 있다. 특히, 계약직 노동자라면 백신 미접종 사실이 고용관계에 영향을 미칠 수 있을 것이라는 불안을 갖는 것도 무리가 아닐 것이다. 이 경우, 백신 접종 여부를 민감정보로 각별히 보호받고 싶다는 생각을 갖게 될 수도 있을 것이다. 이와 같이 정보주체가 처한 입장과 사정에 따라 특정 정보를 일반 개인정보나 민감정보로 여기는 입장의 차이가 발생할 수 있다. 이러한 상반된 견해를 모아 사회적으로 타협을 이 루는 것은 사회의 안정적 기반을 마련하는데 매우 중요한 역할을 한다.
<자료 출처 : 한국인터넷 진흥원 KISA Library 이진규/ 네이버주식회사 이사> |