질병 장기적 진단·처방위해
수만명의 생체데이터 필요
통제된 위험은 감수해야
국가보안법은 국가안보를 위해 제정된 것이지 국가보안법이 스스로 국가안보인 것은 아니다. 국가보안법이 조문상 북한 찬양을 모두 처벌대상으로 본다고 해서 실제로 그렇게 해석ㆍ적용되지는 않는다. 입법목적에 맞게 국가안보에 영향을 미치지 않는 행위들에 대해서는 적용되지 않는 것이 타당하다.
개인정보보호법도 마찬가지다. 조문만 보면 ‘개인에 관한 정보’는 모두 ‘개인정보’로 정의하고 정보대상자에게 소유권 수준의 통제권을 부여하고 있다. 내가 타인에 대해서 좋은 말이든 나쁜 말이든 한마디 하려면 그 사람에게 일일이 동의를 얻어야 하는 것처럼 보인다. 하지만 실제로 그렇게 해석되면 민주주의는 말할 것도 없고 현대문명 자체가 사라져버릴 것이다. 개인정보보호법은 정보화시대에 프라이버시권을 더 적극적으로 보호하기 위한 방법일 뿐, 그 자체가 프라이버시권은 아니다. 그래서 1980년도 경제협력개발기구(OECD) 가이드라인도 프라이버시권 침해 가능성이 명백히 없는 정보의 경우 개인정보보호규범은 적용되어서는 아니 된다고 했다. 또 프라이버시권이 보호될 수 있도록 별도의 절차만 완비된다면 꼭 개인정보보호규범만이 능사가 아니다. 임상의학연구는 수만명의 연구대상자를 오랜 기간에 걸쳐 직접 관찰하거나 오랜 기간의 신상기록을 통해 이들의 생체 데이터를 간접 관찰할 필요가 있다. 그런데 개인정보보호법을 그대로 준수하자면 환자들이 치료를 받을 때 자신의 치료기록이 간암 연구에 이용될지, 간염 연구에 이용될지 동의한 적이 없으므로 일일이 모두 동의를 다시 받아야 한다.
또는 치료 기록으로부터 주민등록번호와 같은 개인을 식별해낼 수 있는 표지들을 격리시켜야 하는데, 그렇게 하면 그 사람의 거주지, 직업, 연령, 학력, 가족력에 따른 발병원인 분석 같은 것을 하기가 어려워진다.
하지만 개인정보보호규범이 프라이버시권을 보호하기 위한 방법의 하나임을 이해한다면 길이 보인다. 예를 들어 데이터를 직접 다루는 연구자와 그 데이터의 개인식별표지를 통제하는 사람을 격리하면 이론적으로는 프라이버시권의 침해를 막는 방법이다. 미국과 독일의 개인정보보호규범은 바로 이런 절차적 보호하에서 프라이버시권 침해 가능성이 완화되는 경우에는 환자의 동의를 얻을 필요가 없다는 예외를 명시적으로 허용하고 있다.
반면 우리나라의 개인정보보호법은 그렇지 못한 점이 걱정스럽다. 물론 개인정보 축적은 항상 해킹의 위험을 부르기 때문에 최대한 피해야 할 것이며, 검증되지 않은 악플 예방효과를 위해 이런 위험을 불사하는 인터넷실명제는 폐지돼야 한다.
그러나 의학임상연구를 위한 개인정보 축적은 다르다. 의학 연구자들은 장기적이고 거시적으로 보면 인류 전체의 의사이기도 하다. 모두가 개인정보보호법에 기대어 인색하게 자신의 정보를 내놓지 않고 있으면 질병에 대한 장기적이고 거시적인 진단과 처방을 연구하기 어려워지므로 통제된 위험은 감수할 필요가 있다. 프라이버시권도 의사가 내 치료를 위해 내 정보를 동료와 공유하는 것까지 금지하지 않음을 상기하자.
