“1심 판결이 개인정보처리 관행에 부정적 영향을 미칠까 우려”
건강권실현을위한보건의료단체연합(이하 보건연합) 등 시민사회 단체들은 오늘(27일) 논평을 내고 환자 건강정보 대량 유출 책임자들에게 무죄를 선고한 법원의 1심판결을 조목조목 비판하며, 이번 항소심에서 그 부당성을 바로잡아야 한다고 촉구했다.
서울중앙지방법원 22형사부(재판장 이순형 이하 1심법원)은 지난 2월 14일 4,339만 명의 의료정보 47억 건을 유통‧판매한 주식회사 한국 IMS헬스, 재단법인 약학정보원, 주식회사 지누스, 각 법인 소속 임직원 13명 대부분에게 무죄를 선고했다.
이에 검찰과 피고인들은 항소를 제기, 해당 사건을 지난 3월 17일 서울고등법원 제1형사부(이하 항소심 법원)에 접수했다.
기소된 피고인들은 보험청구심사프로그램인 ‘e-IRS’와 전자차트 프로그램 ‘득’을 사용하는 병원과 약국경연관리 프로그램 PM2000을 이용하는 약국 컴퓨터에 저장된 환자 진료정보, 조제정보 등 개인정보와 민감정보를 몰래 판매하는 등 위법행위를 저지른 혐의를 받고 있다.
보건연합 등 시민사회단체들에 따르면 약학정보원과 지누스 등은 47억 건에 이르는 국민 4,339만 명의 조제정보 등을 동의 없이 외부서버로 전송받아 일부 암호화처리만 한 채 한국IMS헬스에게 약 22억 원에 판매했다. 그리고 한국IMS헬스는 사들인 개인정보를 미국 소재 IMS헬스 본사에 전송, 분석‧재가공한 뒤 그 결과를 국내 제약회사에 약 100억 원에 되판 것으로 알려졌다.
이에 시민사회단체들은 “대량의 민감정보가 포함된 개인정보를 국민들은 물론 현장 약사와 의사들도 모르는 사이 기업들에게 판매되고 있던 것”이라며 “명백히 4,330만 명 국민들의 개인정보 자기결정권 등 기본권을 침해한 사안임에도, 1심판결에서는 법률을 형식적으로 적용하고 부당하게 해석해 피고인들에게 무죄를 선고했다”고 지적했다.
또 1심법원은 지누스가 이 사건에서 개인정보 중 다른 피고인들로부터 위탁받지 않은 정보를 수집‧저장‧보유한 사실에 대해서만 개인정보보호법 제23조제1항을 위반했다고 유죄를 인정했다. 그러나 법원은 지누스가 개인정보처리를 위탁받은 자에 불과하며 개인정보처리자의 위법한 처리를 규율하는 개인정보보호법 제23조제1항 위반죄를 인정할 수 없다고 판단한 것으로 알려졌다.
시민사회단체들은 “1심법원은 6년이라는 장시간의 공판을 진행하며 검사에 대한 소송지휘 등을 통해 지누스에게 위탁자의 위법한 개인정보 처리를 처벌하는 개인정보보호법 제26조제5항 위반죄를 충분히 적용할 수 있었음에도 이를 외면한 채 반쪽짜리 판결을 내린 것”이라고 비판했다.
또 1심법원은 약학정보원, 한국IMS헬스 및 관련 임직원들의 혐의에 대해 행위자들의 고의를 인정할 수 없다며 무죄를 선고했다.
1심법원은 행위자들의 고의를 판단함에 있어 암호와된 주민등록번호를 복호화해 식별가능한 개인정보를 수집하는 것을 내심의 의시가 있어야한다고 설시하며, 행위자들이 복호화할 동기와 이유가 없었다는 이유로 고의를 부정한 것으로 알려졌다.
시민사회단체들은 “개인정보보호법은 동의를 얻지 않은 개인정보와 민감정보를 수집, 저장, 보유 및 제공한 그 자체를 처벌대상으로 보는 것”이라며 “행위자들의 복호화 동기와 이유를 살펴볼 필요 없이 행위자들에게 복호화 가능성이 있는 정보를 처리하는 것을 용인하는 내심의 의사가 있었는지만 인정되면 고의를 인정하는 것이 타당하다”고 꼬집었다.
이어 이들은 “이 점은 약학정보원과 한국IMS헬스가 이 사건의 개인정보를 복호화 할 수 있는 암호화 치환규칙을 공유했다는 사실을 통해 충분히 입증된다”고 덧붙였다.
특히 시민사회단체들은 “1심법원이 피고인들의 고의를 형식적으로 부정한 것은 납득할 수 없고, 이러한 판단이 향후 개인정보처리 관행에 부정적 영향을 미칠까 우려스럽다”면서 “행위자들이 동의 없이 개인정보를 처리해도 개인정보를 복호화 했다는 증거가 없거나 정보주체에게 물리적으로 피해가 발생하지 않는다면 개인정보보호법을 위반한 것이 아니란 의미”라고 우려했다.
또한 이들은 1심 법원에서 한국IMS가 수집한 개인정보가 개인정보보호법의 보호를 받는 대상으로 판단하지 않는 부분 역시 납득하기 힘들다고 지적했다. 이들은 “1심법원은 한국IMS헬스가 이 사건 개인정보의 복호화에 필요한 결합정보를 가지고 있었다는 점을 인정하면서도 암호화처리를 거쳤단 이유로 이 사건의 개인정보가 개인정보나 민감정보에 해당하지 않는다고 판단했다”며 “이는 법원이 확립한 개인정보의 정의에 부합하지 않을 뿐 아니라 이 사건의 개인정보가 개인정보보호법상 개인정보라고 판단한 서울고등법원의 관련 민사판결과도 배치된다”고 지적했다.
끝으로 시민사회단체들은 “항소심 법원이 1심 판결을 유지한다면 이는 기업들의 무분별한 영리목적 개인정보 활용을 무한정 허용하는 것으로 시민에게 보장된 정보 기본권을 보호할 사법부 본연의 역할을 포기하는 것”이라며 “항소심 법원은 1심 판결의 부당성을 바로잡고, 피고인들을 강력히 처벌해 기업의 이윤보다 국민 정보 기본권 보호를 우선하는 사법부 본연의 역할을 다해야 할 것”이라고 강력 촉구했다.
