[단독] 정보보호 지침도 기준도 모호…'규정없음'에 표류하는 의료앱
-
기사 스크랩
-
공유
-
댓글
-
클린뷰
-
프린트
정부, 의료 플랫폼 조사
정보 수집·DB 실태 등
'맞춤형 광고' 의혹 점검
5개 업체는 "억울하다"
신사업인데다 기준도 불명확
약관 서로 베끼며 혼선 발생
다른 목적에 정보 쓴 적 없어
정보 수집·DB 실태 등
'맞춤형 광고' 의혹 점검
5개 업체는 "억울하다"
신사업인데다 기준도 불명확
약관 서로 베끼며 혼선 발생
다른 목적에 정보 쓴 적 없어
국무총리 소속 개인정보보호위원회(개보위)가 닥터나우, 굿닥, 올라케어, 똑딱, 나만의닥터 등 국내 5대 비대면 의료 플랫폼 조사에 나섰다. 시발점은 지난 10월 국회 국정감사다. 당시 정무위원회 국감에서 윤주경 국민의힘 의원은 올라케어의 개인정보 수집 방식 문제를 지적했다. 세부 항목 중 개인정보를 통한 ‘맞춤형 광고’를 하겠다는 항목을 밝힌 것이 조사로 이어진 것이다.
개보위는 해당 업체의 개인정보의 수집과 동의·처리 방침 항목을 확인하고 있다. 개인정보 관리 계정의 권한 관리가 적절히 이뤄지고 있는지, 보유 기간이 지난 정보를 폐기했는지 등도 살피고 있다. 업계 관계자에 따르면 조사 강도는 강하지 않은 편이다. 그러나 조사 범위가 넓어 약관이나 전산 관리의 부실함에서 터져 나올 문제까지 업계는 예의주시하는 분위기다.
쟁점은 두 가지가 될 전망이다. 개인 민감정보 이용 목적 문구의 모호성 여부와 수집한 정보를 본래 목적 이외에 활용했는지다. 이는 지난해 4월 인공지능(AI) 챗봇 서비스 이루다가 개보위로부터 과징금을 부과받은 이유와 비슷하다.
개인 의료정보의 정보별 보존 기간이 3개월에서 5년까지 제각각이어서 잘 관리되고 있는지 살피는 것도 이번 조사의 주요 목적이다. 해당 정보 중에는 증상과 처방전 등 사용자 민감 정보가 다수 포함돼 있기 때문이다.
현재도 비대면 진료 플랫폼의 가이드라인이 없는 것은 아니다. 지난 7월 보건복지부는 ‘한시적 비대면 진료 중개 플랫폼 가이드라인’을 발표했다. 다만 ‘개인정보를 개보법 등 관련 법령에 따라 보호해야 한다’ 등의 문구에서 세밀함이 부족하다는 지적이 있다. 또 다른 업계 관계자는 “비대면 진료 플랫폼은 새로운 서비스라 다른 업종의 기준을 베낄 수 없어 경쟁사의 약관 등을 보며 업데이트하기도 한다”고 귀띔했다.
기존에 없던 사업 모델이 개인정보보호법을 위반했다는 논란은 커지고 있다. 세금 신고와 환급 서비스 ‘삼쩜삼’을 운영하는 자비스앤빌런즈는 최근 개보위 조사2과의 조사를 받고 있다. 삼쩜삼은 기존 세무사들처럼 회원 주민등록번호를 수집해 종합소득세 신고를 대행했다. 하지만 자비스앤빌런즈가 주민번호를 수집할 권한이 있는지가 논란이 됐다. 업체 측은 “납세자 권익 보호를 위해 삼쩜삼 주민등록번호 처리 업무는 소득세법령상 근거가 있는 경우로 해석해야 한다”는 입장이다.
지난해 이루다의 운영사 스캐터랩에 1억330만원의 과징금을 부과한 개보위는 올해 명품 플랫폼 스타트업 발란에 5억원의 과징금을 내리는 등 행정 제재가 늘고 있다. 강태욱 법무법인 태평양 변호사는 “개인정보보호법은 데이터가 100만 건이 넘어갈 경우 더 무거운 의무를 부여하기 때문에 업체는 최소한의 관리 인력을 둬야 한다”면서도 “신규 서비스의 성장 단계에서는 법 위반으로 단정적이면 안 된다”고 했다. 문제를 처음 제기한 윤주경 의원 역시 “개보위의 가이드라인 마련과 유관 부처의 법령 교육 및 홍보 등 지원이 병행돼야 할 것”이라고 말했다.
이시은 기자 see@hankyung.com
‘폭탄 터질까’…업계 노심초사
당시 올라케어는 민감정보를 자사 쇼핑몰 ‘올라케어몰’에 무단으로 쓰려고 했다는 의혹을 받았다. 민감정보 처리 방침에 ‘행정안전부와 정보통신부가 제정한 민감정보 보호지침을 준수하고 있다’고 명시했다. 하지만 정부는 해당 지침을 만든 적이 없다. 조사 대상은 주요 5개 업체로 확대됐다.개보위는 해당 업체의 개인정보의 수집과 동의·처리 방침 항목을 확인하고 있다. 개인정보 관리 계정의 권한 관리가 적절히 이뤄지고 있는지, 보유 기간이 지난 정보를 폐기했는지 등도 살피고 있다. 업계 관계자에 따르면 조사 강도는 강하지 않은 편이다. 그러나 조사 범위가 넓어 약관이나 전산 관리의 부실함에서 터져 나올 문제까지 업계는 예의주시하는 분위기다.
쟁점은 두 가지가 될 전망이다. 개인 민감정보 이용 목적 문구의 모호성 여부와 수집한 정보를 본래 목적 이외에 활용했는지다. 이는 지난해 4월 인공지능(AI) 챗봇 서비스 이루다가 개보위로부터 과징금을 부과받은 이유와 비슷하다.
개인 의료정보의 정보별 보존 기간이 3개월에서 5년까지 제각각이어서 잘 관리되고 있는지 살피는 것도 이번 조사의 주요 목적이다. 해당 정보 중에는 증상과 처방전 등 사용자 민감 정보가 다수 포함돼 있기 때문이다.
신사업 곳곳에서 개인정보 논란
업체들은 전반적으로 억울함을 호소하고 있다. “수집 목적 외 사용은 없었으며 모호한 조항도 애초에 규정이 없다 보니 혼선이 빚어진 것”이란 설명이다. 익명을 요구한 업계 관계자는 “국내엔 비대면 진료법이 존재하지도 않고 개인정보 취급 기준을 만들 땐 참고할 것도 없었다”며 “해외 규정을 뜯어보고 힘들게 만든 내용들”이라고 전했다.현재도 비대면 진료 플랫폼의 가이드라인이 없는 것은 아니다. 지난 7월 보건복지부는 ‘한시적 비대면 진료 중개 플랫폼 가이드라인’을 발표했다. 다만 ‘개인정보를 개보법 등 관련 법령에 따라 보호해야 한다’ 등의 문구에서 세밀함이 부족하다는 지적이 있다. 또 다른 업계 관계자는 “비대면 진료 플랫폼은 새로운 서비스라 다른 업종의 기준을 베낄 수 없어 경쟁사의 약관 등을 보며 업데이트하기도 한다”고 귀띔했다.
기존에 없던 사업 모델이 개인정보보호법을 위반했다는 논란은 커지고 있다. 세금 신고와 환급 서비스 ‘삼쩜삼’을 운영하는 자비스앤빌런즈는 최근 개보위 조사2과의 조사를 받고 있다. 삼쩜삼은 기존 세무사들처럼 회원 주민등록번호를 수집해 종합소득세 신고를 대행했다. 하지만 자비스앤빌런즈가 주민번호를 수집할 권한이 있는지가 논란이 됐다. 업체 측은 “납세자 권익 보호를 위해 삼쩜삼 주민등록번호 처리 업무는 소득세법령상 근거가 있는 경우로 해석해야 한다”는 입장이다.
지난해 이루다의 운영사 스캐터랩에 1억330만원의 과징금을 부과한 개보위는 올해 명품 플랫폼 스타트업 발란에 5억원의 과징금을 내리는 등 행정 제재가 늘고 있다. 강태욱 법무법인 태평양 변호사는 “개인정보보호법은 데이터가 100만 건이 넘어갈 경우 더 무거운 의무를 부여하기 때문에 업체는 최소한의 관리 인력을 둬야 한다”면서도 “신규 서비스의 성장 단계에서는 법 위반으로 단정적이면 안 된다”고 했다. 문제를 처음 제기한 윤주경 의원 역시 “개보위의 가이드라인 마련과 유관 부처의 법령 교육 및 홍보 등 지원이 병행돼야 할 것”이라고 말했다.
이시은 기자 see@hankyung.com