생보협회, 개인동의 없이 개인 질병(건강) 민감 정보를 과잉 수집하고 활용해
오늘(20일) 오후 2시 금융소비자연맹, 참여연대, 민변 민생경제위, 금융정의연대는 금융위원회가 신용정보보호법 상 승인범위를 초과하는 개인의 민감한 ‘질병정보’를 신용정보라고 해석하여, 개인정보보호법상 수집이 금지된 개인의 ‘민감 정보’인 질병(건강) 정보를 생명보험협회가 과잉 수집하고, 집중관리 활용할 수 하도록 승인하고, 그 과정과 내용에서의 문제점을 묵인·비호한 행위에 대해 감사원에 시민단체의 공익감사를 청구하였고, 피해 국민 320명이 국민 감사를 동시에 청구하였다.
위 네 단체들은 지난 2월 신용카드 3사의 개인정보 유출에 대해서도 공익 소송을 제기한 바 있고, 앞으로도 계속해서 대기업, 금융권의 개인정보 과잉 수집 및 활용, 부실 관리 및 유출 등에 대해서도 적극적으로 공동 대응해 나갈 예정이다.
이번 감사 청구는 금융위원회가 신용정보보호법상 승인범위를 초과하는 개인의 민감한 ‘질병정보’를 신용정보라고 해석하여, 개인정보보호법상 수집이 금지된 개인의 ‘민감정보’인 건강(질병)정보를 생명보험협회에 집중관리활용을 하도록 승인해 준 행위에 대해서 국민청구인 안진걸(참여연대 합동사무처장) 등 국민 320명이 국민 감사를 청구한 것이고, 4개 NGO 단체가 공익감사를 청구한 것이다.
생명보험협회는 2002.10.7. 기존 여신거래정보 외에 “보험계약정보 및 보험금지급정보” 총 36개 항목을 집중관리·활용 대상 정보에 추가해 줄 것을 당시 금융감독위원회에 신청(생협보 제683호)하여, 2002. 12. 18. 금융감독위원회가 이 중 25개 항목을 승인(시장 41254-102호)하였다.
생명보험협회는 그 동안 보험계약정보 및 보험금지급정보를 집중관리·활용하는 과정에서 동 정보의 유출 및 무단사용에 관련된 논란이 끊이지 않았고, 무엇보다 금융감독위원회로부터 승인받은 정보보다 훨씬 많은 정보를 수집하고 있다.
금융감독원의 생보협회 부문검사(2013.1.14.∼2013.2.15.) 결과, 생명보험협회가 2002년 승인받은 항목이 25개인데 반해 2013년 현재 수집하고 있는 정보는 185개에 달하여, 실제로 생명보험협회가 금융감독위원회로부터 승인받지 않은 정보를 무더기로 수집하여 보험회사에 제공하고 있었다.
위와 같은 사실 적발 후 금융감독원은 법령 적용을 확실히 하기 위하여 2013. 8. 8. 금융위원회에 “생보협회가 집중관리·활용하고 있는 보험관련 정보 중 각 항목별로 금융위의 승인범위에 해당하는지”에 관한 질의를 하였는데(보영검삼-00040), 이에 대하여 금융위원회는 2013. 8. 23. 생명보험협회가 수집 및 제공하고 있는 정보 가운데 상당수가 2002년 승인받은 정보에 속한다고 “해석”될 수 있다는 요지의 회신을 하였다
이러한 금융위원회의 회신은 생명보험협회의 그 동안의 위법한 행위를 사실상 추인해 주는 결과가 되며, 앞으로도 동 협회가 “필요”하다고 스스로 판단만하면 마음대로 승인 없이 정보를 수집하더라도 이러한 행태가 사후적으로 묵인될 수 있게 했다.
관련법령의 취지상 신용정보집중기관에서 “집중관리·활용되는 정보”는 해석의 여지가 없을 정도로 일의적이며 명확해야 하는 것이므로, 2013. 8. 23. 금융위원회가 새로 “해석”을 한다는 것 자체가 부적절한 것이다.
신용정보집중기관에 의한 신용정보의 집중관리·활용은 정보주체의 헌법상의 권리인 “개인정보 자기결정권”(헌법재판소 2005. 5. 26. 자 99헌마513 결정)을 제한하는 것이다.
헌법상의 권리를 제한할 때에는 국민의 대표인 국회가 제정한 법률의 형식에 의하여야 한다는 일반적인 요청(헌법 제37조 제2항)은 이 경우에도 적용된다.
물론 법률에서 직접 정하지 않고 대통령령에 위임할 수도 있으나(헌법 제75조), 이 경우에도 대통령령으로 규정할 수 있는 사항은 법률에서 구체적으로 범위를 정하여 위임받은 사항으로 한정됨으로써(포괄위임금지 원칙) 위임입법의 범위와 한계가 정해진다. 이와 같이 헌법에서 포괄위임을 금지하는 취지는 만약 하위법령에 대한 포괄위임을 허용한다면 이는 곧 하위법령이 실질적인 입법을 하게 되는 것이어서 입법권은 국회가 보유하는 것으로 규정한 헌법 제40조에 위반되기 때문이다. (헌법재판소 2013. 7. 25. 자 2012헌바92 결정 외 다수)
그런데 신용정보법 제25조 제4항에서는 “집중관리·활용되는 신용정보의 범위”를 대통령령에 위임하고 있고, 이를 받아 신용정보법 시행령 제21조 제4항에서는 개별신용정보집중기관의 경우 같은 종류의 금융기관 등의 협약, 금융위원회의 승인을 요건으로 하여 위 신용정보의 범위가 정해진다고 정하고 있다.
신용정보법에 있어서 “집중관리·활용되는 신용정보의 범위”는 개인정보 자기결정권 제한에 있어 가장 핵심이 되는 것인데도, 신용정보법이 그 실질적인 내용에 대해서는 거의 언급하지 않은 채 사실상 금융기관등의 협약 및 금융위원회의 승인만으로 정할 수 있게 함으로써 개인정보 자기결정권의 제한 여부를 금융위원회의 손에 맡겨 둔 것은 그것만으로도 논란의 여지가 있을 수는 있다(참고로 종합신용정보집중기관에서 집중관리·활용되는 신용정보는 신용정보법 시행령 제21조 제3항에 따라 동 시행령에서 정함을 원칙으로 함).
승인 대상 정보의 목록은 그 자체로 일의적이고 명확하여 해석의 여지가 없어야 하는 것이고, 수정할 필요성이 있다면 신용정보법 및 동법 시행령이 정한 절차에 따라 정당하게 공개적으로 수정하도록 해야 하는 것이지, “당시 승인의 내용은 이러했던 것이었다”라고 사후적으로 해석하는 것은 그 자체로 부적절한 것이다.
정보집중기관인 생명보험협회가 승인받은 정보와는 무관하게 마음대로 보험 소비자의 정보를 수집 및 제공하는 것을 발견하였다면 금융위원회로서는 이를 엄중히 문책해야 할 것인데, 오히려 편법적인 방식으로 그간의 위법행위를 추인함에 대하여 소비자로서 분노를 참을 길이 없다.
2013. 8. 23. 금융위원회의 유권해석을 구체적으로 검토하면, 기본적으로 “보험금 지급사유”라는 항목을 잘못 이해하고 있는 문제가 있고, 기타 어떤 항목은 2002년에 승인하지 않았으면서 이제 와서는 당시 승인되었던 항목에 포함되어 있었다고 “해석”하는 등의 명백한 잘못도 있다.
이러한 문제는 근원적으로 2002년 당시 보험 관련 정보를 신용정보의 일종으로 판단한 금융위원회의 잘못된 법령해석에서 비롯된 것이다.
신용정보란 “금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한” 정보(신용정보법 제2조 제1호)이며, “신용”이란 “사람의 지불능력 또는 지불의사에 대한 타인의 신뢰”(대법원 1969. 1. 21. 선고 68도1660 판결, 2006. 5. 25. 선고 2004도1313 판결 등 다수)를 말하므로, 신용정보란 “금융거래 등 상거래에 있어서 거래 상대방(채무자)이 지불능력 또는 지불의사가 있는지에 대한 신뢰를 형성함에 필요한 정보”라고 정리할 수 있다.
그런데 보험관련 정보들은 대개 보험사고가 발생한 경우에 보험수익자 등이 보험금을 받을 수 있는지, 받아도 되는 사람인지에 대한 정보(요컨대 정당한 채권자인지에 대한 정보)이지, 그가 채무자로서 신뢰할 만한 사람인지, 예컨대 보험료를 제때 잘 낼 사람인지에 대한 정보가 아니다. 요컨대 “신용정보”의 개념과는 정반대의 이질적인 정보이다.
특히 협회가 수집하여 문제되는 정보들은 대개 “개인의 질병에 관한 정보”이다. 과거 신용정보법에서는 보호 필요가 간절한 몇 가지 (신용정보가 아닌) 개인정보를 “개인신용정보”라 하여 별도로 규율하던 때가 있었고, 이 당시에는 개인의 질병에 관한 정보도 개인신용정보의 하나에 포함된 적이 있으나, 현재 신용정보법에서는 개인신용정보를 “신용정보 가운데 개인에 대한 것”으로 개념을 정비하였고, 질병정보는 채무자의 변제의사 및 능력과는 무관한 정보이므로 신용정보에 포함되지 않는다.
한편 신용정보집중기관은 “신용정보” 가운데 금융위원회의 승인을 받은 정보를 수집하는 곳이므로, 질병정보는 금융위원회의 승인 대상도 아니며, 해석을 통해 이를 수집할 수 있는 성질의 것이다.
이처럼 보험관련정보는 신용정보가 아님에도 2002년 당시 금융감독위원회가 신용정보의 하나라고 유권해석을 하고 집중하도록 승인까지 해 준 것은, 추측건대 보험회사도 “금융기관”이므로, 금융기관이 취급하는 정보는 다 신용정보로 볼 수 있으리라는 다소 느슨한 법률해석 및 아직 개인정보 보호법이 제정되기 전이어서 신용정보법 외에 민간분야에서 개인정보를 보호할 다른 법적 장치가 마땅치 않았다는 현실적인 필요성 정도를 원인으로 찾을 수 있지 않을까 생각된다.
그러나 사람의 인격에 관련된 중요한 기본권을 제한하는 것이므로 신용정보의 의미는 금융기관이 취급하는 정보 가운데 신용, 즉 지불능력 및 지불의사에 대한 정보만을 가리키는 것으로 엄격하게 해석해야 할 것이고, 현재 일반법인 개인정보보호법이 제정되어 있는 현실 등을 고려할 때 보험정보와는 이질적인 신용정보를 규율하는 신용정보법을 고집함에 문제가 있음에는 이론이 있을 수 없다. 그럼에도 금융위원회는 보험업법 정비 등의 방법으로 이 문제를 정면으로 해결할 생각은 하지 않고 있다.
금융위원회도 사실 위와 같은 문제를 인식하고 있었기에, 2013. 4. 3. 금융위원회 업무보고에서는 “필요 최소한의 개인정보만을 수집”하고 “소비자의 자기정보통제권 보장 강화”를 위해 “다수기관에서 수행하고 있는 보험정보 관리 체계를 개선”할 것이라고 하였고, ‘보험정보체계 개선 TF 구성(3월) → 제도 개선안 마련(6월) → 보험업법 개정안 국회 제출(9월)’로 이어지는 실천계획도 짜 놓은 상태였다. 그런데 금융위원회의 이번 조치는 위와 같은 보고 내용과는 정반대의 정책방향을 잡은 것으로, 이에 대해서는 어떠한 납득할 만한 설명도 내어놓지 못하고 있는 실정이다.
금융위원회의 2013년 유권해석 및 지난 10여년 간 보험관련 정보를 신용정보의 일종으로 규율하였던 것은 정책적 판단의 범위를 유월한 위법·부당한 것이며, 이로 인하여 일반 소비자의 헌법상 권리인 개인정보 자기결정권이라는 중대한 공익을 침해하는 것인 바, 부디 시시비비를 명백히 가려 잘못을 바로잡아 주기 바라며 국민 감사를 청구한다.
신영수 기자
news@ejanews.co.kr