"내 건강 정보 왜 엉뚱한 사람에게?" 질병청, 민감 개인정보 유출 '책임론' 대두

질병관리청이 국민건강영양조사 참가자와 희귀질환자들의 민감한 개인정보를 유출하는 사고를 일으키면서 파장이 커지고 있다.

이름, 나이 같은 일반 정보뿐 아니라 체질량지수(BMI)와 질환명 등 건강에 관한 민감정보가 유출되어 피해자들이 사생활 침해를 우려하고 있다. 이번 사고는 공공기관의 개인정보 관리 부실에 대한 비판과 함께 법적 책임 소재에 대한 논쟁을 불러일으키고 있다.

연이은 개인정보 유출, 단순 실수가 아니다

국회 보건복지위원회 소속 김선민 조국혁신당 의원실이 질병관리청에서 받은 자료에 따르면, 올해 두 건의 개인정보 유출 사고가 발생한 것으로 확인됐다.

첫 번째 사건은 지난 8월 1일 발생했다. 질병청은 국민건강영양조사 참여자 48명의 전체 결과지가 담긴 문자를 엉뚱한 24명에게 잘못 보냈다.

해당 문자에는 48명의 이름, 성별, 나이, 체질량지수(BMI)와 함께 결과지를 확인할 수 있는 인터넷 주소(URL)가 포함됐다.

두 번째 사건은 6월 25일 한국희귀질환재단이 주관한 심포지엄에서 일어났다. 현장에서 배포된 자료집 100부에 환자 10명의 이름, 의심 질환명, 검사 결과가 그대로 담겨 유출됐다.

발표자가 환자 정보를 삭제하지 않은 채 자료를 만들어 인쇄한 것이 원인이었다.

민감정보 유출, 법적 쟁점과 손해배상 책임은?

이번 사고에서 유출된 정보 중 BMI, 질환명, 검사 결과는 개인정보 보호법 제23조에 따라 ‘민감정보’에 해당한다. 민감정보는 사생활 침해 위험성이 높아 더욱 엄격한 보호를 받는다.

법조계는 질병청이 정보 주체의 동의 없이 민감정보를 제3자에게 제공한 행위가 개인정보 보호법 위반에 해당할 수 있다고 보고 있다.

질병청이 사고 인지 후 72시간 이내에 피해자들에게 통지하는 등 사후 조치를 취했으나, 개인정보 유출 자체에 대한 책임은 피하기 어려울 것으로 보인다.

피해자들은 개인정보 보호법 제39조의2에 따라 법정손해배상을 청구할 수 있다. 이 조항에 따르면 개인정보처리자의 고의 또는 과실로 개인정보가 유출되면 300만 원 이하의 범위에서 손해배상을 청구할 수 있으며, 기관 측이 고의 또는 과실이 없음을 입증하지 못하면 책임을 져야 한다.

법원 판단 기준과 예상 위자료

개인정보 유출로 인한 위자료는 일률적으로 정해지지 않고, 법원이 여러 요소를 종합적으로 고려해 판단한다.

법원 판례에 따르면 위자료 산정 시 유출된 정보의 종류와 성격, 확산 범위, 추가 피해 발생 가능성, 그리고 기관의 사후 조치 등이 주요하게 고려된다.

이 사건의 경우 건강에 관한 민감정보가 유출됐다는 점, 불특정 다수에게 정보가 노출될 수 있었다는 점이 피해자에게 유리한 요소로 작용할 수 있다.

특히 희귀질환 정보는 사회적 편견이나 차별을 불러올 수 있어 더 높은 위자료가 인정될 가능성도 있다. 반면 질병청이 사고 인지 직후 즉각적인 조치를 취했다는 점은 배상액을 낮추는 요인이 될 수 있다.

공공기관의 관리 부실, 재발 방지 대책이 시급하다

국민의 민감한 질병 정보를 다루는 질병관리청에서 연이어 유출 사고가 발생한 것은 심각한 문제라는 지적이 나온다. 공공기관은 일반 민간 기업보다 높은 수준의 주의 의무를 지니기 때문이다.

전문가들은 질병청이 개인정보 처리 단계별 점검 체계를 강화하고, 민감정보 처리 시 별도의 내부 승인 절차를 마련하는 등 근본적인 재발 방지 대책을 세워야 한다고 강조한다. 이번 사건을 계기로 국민의 신뢰를 되찾기 위한 적극적인 노력이 필요해 보인다.