올해 개정된 개인정보보호법에 따르면, 중요 내용을 '알아보기 쉽게' 표시해야 하고, '1천 명 이상'의 개인정보 유출 발생 시 지체 없이 신고해야 하며, '개인정보 수집에 비해 제공 방법이 어렵지 않아야 한다.

23일 오전 9시 분당서울대학교병원 헬스케어혁신파크 대강당에서 '제11회 병원 의료정보화 발전 포럼'이 개최됐다. 제1부 '보건의료 정보화 정책 및 자율규제단체 추진방향'에서는 법무법인 율성의 김승한 변호사가 '의료분야의 개인정보 보호법령 동향' 주제로 발제를 맡았다.

최근 개정돼 올해 10월 19일부터 시행되고 있는 개인정보 보호법의 개정사항에 대해 김승한 변호사는 "개인정보보호법은 매년 개정이 이뤄져 왔고 올해는 영향이 그리 크지 않은 개정이 이뤄졌다. 그런데 병원 내 실무를 담당하는 분들을 꼭 알아야 하는 내용이다."라고 입을 열었다.

개정 배경은 홈플러스 개인정보 유출 사건에 기인했다. 이는 홈플러스가 경품이벤트를 통해 수집한 2,400여 건의 고객 개인정보를 건당 1,980원을 받고 보험사에 판매해 총 230억가량의 이익을 챙긴 사건이다. 홈플러스는 1mm 크기로 경품응모권 뒷면에 법정고지사항을 적어놓고, 제3자 제공 동의를 받았다.

당시 홈플러스 및 임직원이 모두 형사기소됐으나 1심과 2심 모두 '무죄' 판결을 받았다. 형사소송이 죄형법정주의에 따라 다소 엄격한 원칙에 입각해서 진행된 것은 물론, 1mm 크기로 적시한 것이 적법한 고지 · 동의 획득으로 인정됐기 때문이다.

그런데 올해 4월 대법원에서 무죄 판결이 뒤집어졌다. 개인정보보호법 제59조(금지행위) 제1항의 '거짓이나 그 밖의 부정한 수단이나 방법'은 '개인정보 취득 또는 그 처리에 동의할지에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위'를 말하며, 동의를 받는 행위는 동의를 받게 된 전 과정을 살펴보고 종합적으로 고려해 사회통념에 따라 판단해야 하며, 홈플러스가 목적을 숨긴 채 고객들을 속이거나 고객들로 하여금 잘못 알게 할 우려가 있었다고 판단해 '파기환송'된 것이다.

김 변호사는 "이번 대법원 판결 내용은 굉장히 추상적이라 할 수 있다. 또, 이렇게 법원마다 무죄에서 파기환송으로 판결이 뒤바뀐다. 이러한 상황에서 준수한 가이드라인의 필요성이 제기돼 이번 개정이 이뤄졌다. 이번 개정은 크게 세 부분으로 살펴볼 수 있다."라고 설명했다.

올해에는 개인정보보호법 제22조(동의를 받는 방법) 제2항이 신설됐다. 제2조에는 '개인정보처리자는 제1항의 동의를 서면(전자문서 및 전자거래 기본법 제2조 제1호에 따른 전자문서를 포함한다)으로 받을 때는 개인정보의 수집 · 이용 목적, 수집 · 이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 행정안전부령으로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.'라고 명시돼있다.

대통령령으로 정하는 중요한 내용은 개인정보 보호법 시행령 제17조(동의를 받는 방법) 제2항에 명시돼 있는데, ▲개인정보의 수집 · 이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실, ▲처리하려는 개인정보의 항목 중 민감정보, 여권번호, 운전면허의 면허번호, 외국인등록번호, ▲개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간), ▲개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적 등이다.

개정의 핵심은 정보주체가 '알아보기 쉽게' 해야 한다는 것.

정보주체로부터 서면 동의를 받는 방법은 개인정보 보호법 시행규칙 제4조(서면 동의 시 중요한 내용의 표시 방법)에 명시돼 있다. ▲글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20% 이상 크게 하여 알아보기 쉽게 할 것, ▲글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것, ▲동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것 등이다.

김 변호사는 "만일 칸이 모자라면 별도 서식을 준비하는 식으로 해야 한다. 이미 10월 19일에 시행됐다. 온라인에서도 적용되며, 개정사항 반영해서 동의서 양식 개정해야 한다."고 조언했다.

그다음으로 개인정보 유출 신고 의무가 신설됐다. 개인정보보호법 제34조(개인정보 유출 통지 등) 제3항을 살펴보면, '개인정보처리자는 '1천명 이상'의 개인정보가 유출된 경우에는 통지 및 조치 결과를 지체 없이(5일 이내) 행정안전부장관 또는 한국인터넷진흥원(KISA)에 신고하여야 한다'고 명시돼 있다.

김 변호사는 "예전에는 1만 명 이상이었는데 현재 1천 명 이상으로 기준이 확대됐다. 1천 명 넘을 시에 유출 건으로 신고해야 한다."라고 강조했다.

정보주체의 권리 보장과 관련해서도 개정이 이뤄졌다. 이 개정으로 인해 정보주체는 자신의 개인정보에 대해 열람 · 정정 · 삭제 · 처리정지 요구가 가능해졌다. 권리보장 요구는 개인정보처리자가 마련한 방법 · 절차에 따라야 하며, 개인정보처리자는 열람을 요구받은 날로부터 10일 이내에 '열람통지서'로 열람할 개인정보, 열람가능일시 · 장소 등을 통지해야 한다. 단, 그 자리에서 즉시 보여주는 경우는 열람통지서 발급을 생략할 수 있다.

또한, 정보주체의 권리보장 요구권 행사 방법과 절차가 간소화됐다. '개인정보 수집에 비해 어렵지 않게 해야' 한다는 것이 핵심이다. ▲서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공, ▲개인정보를 수집한 창구 또는 방법에 의해 개인정보의 열람을 요구할 수 있도록(다만, 해당 창구의 지속적 운영이 곤란한 경우 등 정당한 사유가 있을 경우는 제외), ▲대표 홈페이지에 열람 요구 방법 · 절차 공개 등이다.

김 변호사는 "수집할 때보다 복잡하지 않은 정도로 제공해야 하며, 상주하는 인력이 없는 경우 등이 예외이다. 병원 홈페이지가 있을 경우 방법과 절차를 공개해야 한다. 이게 추가된 내용이다."라고 설명했다.

한편, 개인영상정보보호법은 사회 모든 영역에 걸쳐 영상정보처리기기의 설치 · 운영이 많이 증가했으나, 국가 사회 전반을 규율하는 개인영상정보 보호 원칙 · 기준이 마련되지 못한 탓에 일반법적 개인영상정보 보호체계 정립 필요성이 제기되면서 제정됐다. 

주요 내용을 살펴보면, 공공기관 · 민간사업자 · 비영리단체 등 개인영상정보를 처리하는 자 대상으로 고정형, 이동형 등 다양한 형태의 기기를 규율하고 있다. 이동형의 경우 불빛, 소리 등 방법에 따라 촬영사실을 표시해야 한다. 

김 변호사는 "개인영상정보보호법은 영상기기의 특성을 반영하지 못한다. 드론, 웨어러블 디바이스 등 새로운 영상기기들이 앞으로도 계속 쏟아져 나올 것이다. 이렇게 영상정보기기들이 다양해지고 유통되는 채널들도 많아지고 있다. 그런데도 형식적 동의 절차만 받고, 현실을 반영하지 않는 부분들이 상당하다. 영상정보의 경우 따로 법을 만들어 추진해야 한다."라고 주장했다.

끝으로 김 변호사는 "'모 연예인이 우리 병원에 치료받으러 왔다'고 지인에게 얘기하는 것도 개인정보유출이다. 개인정보보호법 제19조(개인정보를 제공받은 자의 이용 · 제공 제한)와 관련해 누설에 해당할 수 있다. 이런 부분들이 교육이나 가이드라인 등으로 의료인들에게 안내될 수 있었으면 하는 바람이다."라고 말했다.