[논평]
정보기본권 외면한 ‘IMS헬스’ 사건 1심 판결의 부당성을 항소심 법원이 바로잡기를 촉구한다
1. 서울중앙지방법원 제22형사부(재판장 이순형 판사, 이하 ‘1심 법원’)는 지난 2020. 2. 14. 4,399만명의 의료정보 47억건을 유통·판매하여 공분을 산 이른바 IMS헬스 사건의 피고인들 대부분에게 무죄를 선고했다(서울중앙지방법원 2020. 2. 14. 선고 2015고합665 등 판결, 이하 ‘1심 판결’). 검찰과 피고인들은 1심 판결에 대해 각 항소를 제기했고, 해당 사건은 지난 2020. 3. 17. 서울고등법원 제1형사부(이하 ‘항소심 법원’)에 접수되었다. 그리고 피고인들의 변호인 선임 절차와 항소이유서가 제출됨에 따라, 항소심 공판절차가 곧 진행될 것으로 보인다. 우리 시민사회단체들은 위 1심 판결이 사실상 피고인들에게 면죄부를 주고 국민들의 정보 기본권을 훼손하는 부당한 판결임을 지적한다. 그리고 항소심 법원이 그 부당성을 바로잡기를 강력히 촉구한다.
2. 기소된 피고인들은 주식회사 한국IMS헬스(이하 ‘한국IMS헬스’), 재단법인 약학정보원(이하 ‘약학정보원’), 주식회사 지누스(이하 ‘지누스)와 각 법인 소속 임직원 등 13인이다. 피고인들은 공모하여 보험청구심사 프로그램(e-IRS)과 전자차트 프로그램(득)을 사용하는 병원과 약국경영관리 프로그램(PM2000)을 이용하는 약국의 컴퓨터에 저장된 환자의 진료정보, 조제정보 등 개인정보와 민감정보(이하 ’이 사건 개인정보‘)를 정보주체 몰래 판매하는 등 위법하게 처리한 혐의를 받고 있다.
구체적으로 약학정보원과 지누스 등은 47억건에 이르는 국민 4,399만명의 환자 조제정보 등 개인정보를 동의 없이 외부서버로 전송받아 일부 암호화처리만 한 채 한국IMS헬스에게 약 22억원에 판매했다. 그리고 한국IMS헬스는 사들인 개인정보를 미국에 소재한 IMS헬스 본사에 보내어 분석·재가공한 뒤 그 결과를 국내 제약회사에 약 100억원에 되팔았다. 대량의 민감정보를 포함한 개인정보가 국민들은 물론 현장의 약사와 의사들도 모르는 사이 기업들에게 판매되고 있었던 것이다. 이는 명백히 4,399만명의 국민들의 개인정보자기결정권 등 기본권을 침해한 사안이다. 그럼에도 불구하고 1심 판결은 법률을 형식적으로 적용하고 부당하게 해석해 피고인들에게 무죄를 선고했다.
3. 1심 법원은 지누스가 이 사건 개인정보 중 다른 피고인들로부터 위탁받지 않은 정보를 수집·저장·보유한 사실에 대해서만 개인정보보호법 제23조 제1항을 위반한 것으로 보아 유죄를 인정했다. 하지만 위탁을 받은 정보에 대해서는 피고인 지누스가 개인정보처리를 위탁받은 자에 불과하여 개인정보처리자의 위법한 처리를 규율하는 개인정보보호법 제23조 제1항 위반죄를 인정할 수 없다고 판단했다. 그러나 1심 법원은 6년이라는 장시간의 공판을 진행하며 검사에 대한 소송지휘 등을 통해 피고인 지누스에게 위탁자의 위법한 개인정보 처리를 처벌하는 개인정보보호법 제26조 제5항 위반죄를 충분히 적용할 수 있었다. 즉 1심 법원은 지누스를 처벌하기 위해 적용될 수 있는 법률조항을 인지하고 있었음에도 이를 외면한 채 반쪽짜리 판결을 내린 것이다.
4. 한편. 1심법원은 피고인 약학정보원, 한국IMS헬스 및 관련 임직원들에게 혐의에 대하여 행위자들의 고의를 인정할 수 없다며 무죄를 선고했다. 1심 법원은 행위자들의 고의를 판단함에 있어 암호화된 주민등록번호를 복호화하여 식별가능한 개인정보를 수집하는 것을 용인하는 내심의 의사가 있어야 한다고 설시하며, 행위자들에게 복호화를 할 동기와 이유가 없었다는 이유로 고의를 부정했다. 그러나 개인정보보호법의 보호법익은 정보주체의 개인정보자기결정권이다. 즉 개인정보보호법은 동의를 얻지 않은 개인정보와 민감정보를 수집, 저장, 보유 및 제공한 그 자체를 처벌대상으로 보는 것이다. 따라서 행위자들의 복호화 할 동기나 이유를 살펴볼 필요 없이, 행위자들에게 복호화 가능성 있는 정보를 처리하는 것을 용인하는 내심의 의사가 있었다는 저만 인정되면 고의를 인정하는 것이 타당하다. 그리고 행위자들에게 복호화의 가능성이 있는 정보를 처리하는 것을 용인하는 내심의 의사가 있었다는 점은 약학정보원과 한국IMS헬스가 이 사건 개인정보를 복호화 할 수 있는 암호화 치환규칙을 공유했다는 사실을 통해 충분히 입증된다.
그럼에도 불구하고 1심 법원이 피고인들의 고의를 형식적으로 부정한 것은 납득할 수 없고, 나아가 1심 법원의 판단이 향후 개인정보 처리 관행에 부정적인 영향을 미칠까 우려스럽다. 행위자들이 동의없이 개인정보를 처리하여도 개인정보를 복호화를 했다는 증거가 없거나, 정보 주체에게 물리적으로 피해가 발생하지 않는다면 개인정보보호법을 위반한 것이 아니라는 의미이기 때문이다.
5. 1심 법원이 한국IMS가 수집한 이 사건 개인정보를 개인정보보호법의 보호를 받는 개인정보나 민감정보에 해당하지 않는다고 판단한 부분 역시 납득하기 어렵다. 1심법원은 한국IMS헬스가 이 사건 개인정보의 복호화에 필요한 결합정보를 가지고 있었다는 점을 인정하면서도 암호화 처리를 거쳤다는 이유로 이 사건 개인정보가 개인정보나 민감정보에 해당하지 않는다고 판단했다. 이는 법원이 확립하고 있는 개인정보의 정의에 부합하지 않을 뿐만 아니라, 이 사건 개인정보가 개인정보보호법 상 개인정보라고 판단한 서울고등법원의 관련 민사판결과도 배치된다.
6. 이상과 같이 1심 판결은 법률을 형식적으로 적용하고, 기존의 법리에 부합하지 않는 해석을 통해 개인정보보호법을 위반한 것이 명백한 피고인들에게 면죄부를 주었다. 만약 항소심 법원이 1심 판결을 유지한다면 이는 기업들의 무분별한 영리목적 개인정보 활용을 무한정 허용하는 것으로 시민에게 보장된 정보 기본권을 보호해야 할 사법부 본연의 역할을 포기하는 것과 다름없다. 따라서 우리 시민사회단체들은 항소심 법원이 1심 판결의 부당성을 바로잡고 피고인들을 강력히 처벌함으로써 기업의 이윤보다 국민의 정보 기본권 보호를 우선하는 사법부 본연의 역할을 다할 것을 강력히 촉구하는 바이다.
2020년 4월 27일
건강과대안, 건강권실현을 위한 보건의료단체연합 (건강사회를 위한 약사회, 건강사회를 위한 치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회), 경제정의실천시민연합 소비자정의센터, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 전국사무금융노동조합연맹, 진보네트워크센터, 참여연대 정보인권사업단