I. 서론: 건강데이터와 그 위기
점차 보건의료 환경에서 데이터 활용은 가속화 하고 있다. 1990년대 전자의무기록(EMR)의 활용[1], 2000년대 디지털 이미징(digital imaging) 시스템의 확대[2], 2010년대 빅데이터(big data)의 물결로 인한 인공지능과 데이터 사이언스(data science)의 재활성화[3]는 빠르게 보건의료 정보화 (digital transformation of healthcare)를 가져왔다. 현재 보건의료 영역에서 데이터는 진단 및 치료에 대한 정보 제공을 넘어 인공지능과 영상의 결합[4], 원격 진료[5], 돌봄 로봇[6] 등 다양한 영역에서 점차 그 적용과 활용의 범위를 넓히고 있다.
여기에서 논의를 위해 먼저 데이터가 무엇인지 정리할 필요가 있다. ‘주어진 것’을 의미하는 다툼 (datum)은 영미 분석철학에서 인간이 직접 의식 하여 사고의 자료가 되는 감각소여(sense-datum)로 그 범주가 줄어들었다. 이는 1948년 클로드 섀 넌(Claude E. Shannon)이 논문 「A Mathematical Theory of Communication」을 발표[7]하면서 발전하기 시작한 정보 이론(information theory)에서 실체의 관측치를 수학이나 문자로 표현한 것으로 다시 정의되었다. 이런 배경에서 「데이터기반 행정활성화에 관한 법률」 제2조 제1항은 데이터를 “정보처리능력을 갖춘 장치를 통하여 생성 또는 처리되어 기계에 의한 판독이 가능한 형태로 존재 하는 정형 또는 비정형의 정보”로 정의하고 있다. 이때, 데이터에 의미가 부여되면 이를 정보로 구 분하는 때도 있다.1)
한편, 데이터 자체를 분류하는 여러 방식이 있으며[8-10],2) 보건의료 영역에서 활용되는 데이 터를 규정하는 방식에도 여러 가지가 있다. 전통적으로 보건의료 영역의 데이터는 의료인이 기록 한 진료기록으로, 「의료법」 제22조 제1항은 “환자의 주된 증상, 진단 및 치료 내용 등 보건복지부령으로 정하는 의료행위에 관한 사항과 의견을 상세히 기록하고 서명”한 것으로 규정되었다. 그러나 보건의료 정보화와 함께 보건의료에서 활용되는 데이터의 범위가 급속도로 늘어나면서, 「보건의료 기본법」 제3조 제6항은 보건의료정보라는 개념을 추가하고 이를 “보건의료와 관련한 지식 또는 부 호·숫자·문자·음성·음향·영상 등으로 표현 된 모든 종류의 자료”로 규정하였다. 그러나, 이 정의는 의학 논문이나 교과서,3) 의료광고, 심지어 병원 간판마저도 모두 보건의료정보로 귀속시키는 결과를 낳아 너무 광범위하며, 따라서 법이나 윤리적 논의를 위한 정의로 삼기는 어렵다. 아직 생명윤리 및 안전에 관한 법률이나 『보건의료 데 이터 활용 가이드라인』은 보건의료데이터를 규정 하지 않은 채로 놓아둔 상태이다.
외국에선 보건의료데이터라는 표현 대신 건강데 이터(health data)라는 표현을 활용하고 있으나,4) 건강데이터 자체도 별다른 개념 정의가 없다. 맥 거힐 의학사전(McGraw-Hill Concise Medical Dictionary of Modern Medicine)은 건강데이터를 “건강 상태, 재생산 결과, 사망 원인, 삶의 질에 관한 역학적 정보”로 규정하고 있으나[11], 이것은 최근 빅데이터의 맥락 안에서 건강데이터가 활용되는 추세나 그 범위를 담아내지 못한다. 따 라서, 본 논문에선 건강데이터 개념을 “개인이 건강과 관련하여 삶의 경로에서 인간·비인간과 상호작용으로 생성하는 신체정신적, 사회적, 규범적 신호”로 정의하고자 한다. 이것은 생물학을 기반으로 데이터의 철학을 연구하고 있는 Leonelli[12]가 제시한 데이터의 관계주의적 접근(relational approach)에 기반을 둔 것이다.5)
건강데이터는 현재 다양한 경로를 통해 발생하고 있다. 의료기기, 의사가 작성한 진료기록이나 진단서, 영상 이미지, 병원 자료, 사물인터넷(IoT) 등 다양한 기원에서 건강데이터가 만들어지고 있으며, 기원마다 데이터의 의미는 달라진다. 또한, 그것을 진단과 치료를 위해서 활용할 것인지, 연구를 위해서 또는 산업적·상업적 목적을 위해 활용할 것인지에 따라서도 데이터는 다른 의미 층위에 위치하게 된다. 그것이 어떤 관계 사이에서 생 성되었는지(예, 환자-의료인, 일반인-IoT 장비 등)와 즉 분석의 어느 단계에 위치하는지(예, 환자로부터 획득, 관리자가 정리 등)에 따라 자료의 형태와 지위가 달라지며, 따라서 고정된 객체로 이해하는 대신 건강데이터를 “인간·비인간과 상호 작용으로 생성하는 신체정신적, 사회적, 규범적 신호”로 이해하여 위치에 따라 다른 방식으로 이해할 수 있는 대상으로 정의하는 것이 타당하다. 단, 본 논문은 건강데이터 개념 자체에 대한 철학적 논의를 구체화하려는 것이 아니므로 개념 정의는 이 수준에서 마무리하고,6) 이런 건강데이터가 처한 문제를 생각해보고자 한다.
건강데이터를 다룰 때 대표적으로 발생하는 문제 중 하나는 그 소유권이다. 건강데이터는 누구의 것인가? 그것은 제공자로 상정할 수 있는 개인의 것인가, 아니면 습득 및 처리자라고 할 수 있는 의료인 또는 데이터 관리 기관의 것인가, 아니면 데이터를 활용하여 연구 또는 산업적·상업적 결과물을 내는 연구단 또는 기업의 것인가. 이 문제가 제기되는 것은 두 가지 이유 때문인데, 하나는 건강데이터가 그 제공자인 개인의 프라이버시와 밀접하게 연관되어 있기 때문이며, 다른 하나는 건강데이터를 활용하여 발생한 이득이 어디에 귀속되어야 하는지에 관한 문제가 정의되어야 건강데이터의 활용이 원활해질 수 있기 때문이다.
즉, 건강데이터 소유권 논의는 보호와 활용이라는 화해하기 어려운 두 목표를 동시에 추구하는 가운데 진행되고 있다. 이것이 최근 빠르게 발전하고 있는 보건의료산업과 관련된 데다가 코로나바이러스감염증-19(이하 코로나19)로 인한 비대면 의료의 요구가 폭증하고 의료 자체의 사회적 파급력이 다시 논의되고 있는 가운데 매우 중요한 논의가 되었으므로, 의료법 문헌에선 관련 논의가 다수 이루어졌다. 그러나, 아직 의료윤리적 관점에서 건강데이터 소유권을 고찰한 논문은 국내· 외에서 등장하지 않았다.
따라서 본 논문은 건강데이터 소유권에 관한 기 존 국내·외 의료법적 논의를 정리하고, 이에 기초하여 건강데이터 소유권의 의료윤리적 고찰을 시도하는 것을 그 목적으로 한다. 후술하겠으나, 법적으로는 양립한 두 목적, 보호와 활용의 균형점을 찾는 것이 목표였으나 소유권 개념이 지닌 법적 한계로 인하여 이를 개념적으로 확립하는 작 업은 일단 소강상태에 도달했다고 볼 수 있다. 그러나 본 논문은 윤리적 관점에선 여전히 소유권 개념을 논의할 필요가 있으며, 건강데이터 소유권의 윤리가 분배와 인정의 두 측면을 다루는 비판적 정의론의 지평에서 논의될 수 있음을 살필 것이다.
Ⅱ. 본론
우선, 건강데이터 소유권에 관해 지금까지 진행된 법적 논의를 개괄한다. 다음, 건강데이터 소 유권 관련 해외 법제를 살펴볼 것이며, 대표적인 사례인 유럽연합(이하 EU) 「일반 개인정보 보호법(General Data Protection Regulation, 이하 GDPR)」, 미국 개인 건강데이터 보호법, 일본 차 세대의료기반법을 검토할 것이다. 마지막으로 법적 고찰 위에서 건강데이터 소유권에 관한 윤리적 접근을 시도하고자 한다.
건강데이터 소유권에 관한 법적 논의에 앞서 ‘데 이터 소유권(data ownership)’이 무엇을 의미하는 지 알아보고자 한다. 데이터 소유권은 Westin[13] 이 1967년 개인의 정보 자기결정권 보장을 위해 주장한 개념이었다. 그는 자기 정보에 대한 관리, 공개, 삭제 등에 관한 권리를 프라이버시권으로 정의하고 정부 또는 기관의 대량 정보 습득 가능성만으로도 개인의 자기결정권이 축소될 수 있다고 주장하였다.
그러나, 시간이 지나면서 데이터 소유권은 법경 제학적 논의를 따라 데이터의 유통을 원활히 하고 독점을 방지하기 위한 개념으로 확장되었다. 2017년 EU의 데이터 소유권 백서에서부터 데이 터 소유권에 대한 논의가 본격적으로 제기되기 시작하였다[14]. 백서는 유럽의 데이터 경제 구축을 위하여 데이터 소유권을 도입하는 문제를 다루었으며, 그동안 계약 관계로만 규율했던 데이터의 관리·거래는 법적 불확실성 등을 초래한다고 주장한다[14]. 오늘날 주로 논의되고 있는 데이터 소 유권 또한 “재산권 내지 상품(commodity)으로서 데이터에 대한 권리의 인정 여부”[15]에 관한 것이다. 즉, 데이터 소유권에 관한 최근 논의는 데이터의 활용에 따른 경제적 가치를 인식함에 따라 그 권리와 책임의 범위를 명확히 하려는 여러 시도로 볼 수 있다.
이때, 데이터 소유권이 보장하고자 하는 것은 데이터 귀속, 보호, 거래를 정리하기 위해서다[16]. 현행법 차원에서는 데이터에 대한 권리에 대해 경쟁법상에서의 규제를 통한 보호[17], 지적재산권법 차원에서의 보호[18], 저작권법상에서의 보호, 개인정보보호법 차원에서의 보호, 민법에 따른 계약을 통한 보호, 물건의 개념을 확대한 해석을 통하여 데이터를 물권적 차원에서 접근하는 방식[19] 등이 존재한다. 또한, 데이터베이스에 대한 보호는 저작권법의 차원에서 이루어지고 있다.7) 하지만 기존의 법체계를 적용하는 방식은 대부분 개인정보, 정보주체(data subject)의 통제권, 경제적 이익 등에서 한 부분만을 보호하는 것에 적용됨에 그쳐 종합적이고 균형 있는 새로운 보호 체계가 요구된다는 의견도 존재한다[20].
한국은 환자의 임상 진료에 관한 정보를 전자적으로 저장한 것을 의미하는 의료기관 전자의무기록(Electronic Medical Record, EMR) 보급률이 2016년 기준 92%로, 세계 1위(EU 84%, 미국 60%)이다[21]. 국가단일보험에 전국민이 당연 가입하면서 모든 국민의 치료에 관한 건강보험 정보가 누적, 관리되고 있다. 또한, 총 189개의 유 전체 검사기관을 보유하고 있으며, ICT(Information and Communication Technology) 기술이 발 달하고 스마트폰 보급률이 높아 기술적으로는 보 건의료 데이터 산업 활성화에 최적의 조건을 갖추고 있다고 평가되고 있다[21].
그러나 다량의 데이터를 축적하고 있는 상황과 달리, 이를 활용하는 데에 있어서는 한계가 많다는 평을 받았다[22]. 전 국민의 식별자로 사용 가능한 주민등록번호가 모든 사람에게 부여되었고, 이것이 몇몇 해킹 사건에서 해외 등으로 넘어가면서 범죄에 실제 악용되는 사례가 등장하였다[23-25]. 따라서 정부는 개인 데이터 활용에 상당한 제한을 부여하여 데이터 유출로 인한 피해를 막고자 하였다. 이것은 2005년 처음 제정된 「생명윤리 및 안전에 관한 법률」(이하 생명윤리법)8)도 예외는 아니어서, 유전검사와 관련하여 개인정보를 포함할 수 없도록 명확한 울타리를 쳐 놓았다.
그러나 이런 제약이 데이터를 활용하여 산업의 기반으로 삼는 데이터 경제(data economy)의 시대로 들어오자 불필요한 규제로 여겨지기 시작하였다. 인공지능 기술 발전을 데이터 규제가 가로막는다는 문제 제기가 이어지고 보건의료 관련 산업 이 경제적 측면에서 부각되면서, 데이터, 특히 건강데이터를 활용하기 위한 논의가 빠르게 이루어졌다. 여기에서 제시된 해결책이 건강데이터 소유권이다[19].
전술한 것처럼 건강데이터는 개인이 타인이나 비인간 장비 등과 맺는 관계에서 발생하고, 따라서 수집과 관리 주체도 당사자가 아닌 경우가 많다. 예를 들어, 병·의원에서 생성하는 의무기록은 환자에 관한 데이터를 담고 있으나, 관찰자는 의료인이며 보관 의무를 지니는 것은 의료기관이다.9) 웨어러블 디바이스(wearable device)가 상시 측정한 착용자의 심박수나 이동, 활동 정보 또한 착용자의 데이터이나, 관찰자는 IoT 기기이며 보 관은 기업의 데이터베이스에서 이루어진다.10) 이 때, 이 데이터가 측정 대상인 개인(제공자)의 것인 지, 측정한 자(관측자)의 것인지, 보관·관리한 자 (관리자)의 것인지, 자료를 분석한 자(처리자)의 것인지를 물어보는 것이 건강데이터 소유권의 골 자이다.
일단 개인정보보호법 제18조, 정보통신망법 제 24조는 동의받은 목적 외에 다른 목적으로 데이 터를 사용·수익·처분하는 것을 금지하고 있다[26]. 즉, 건강데이터 활용에 있어 충분한 설명에 의한 동의(informed consent)를 받는 경우, 그 범 위 내에서만 활용해야 하며 이는 이미 제공자의 건강데이터 소유권을 인정하는 것으로 볼 수 있다. 그러나, 개인의 건강데이터는 대상의 사생활을 현저히 침해할 우려가 있는 민감정보11)에 속하므로 사전동의와 같은 개인정보자기결정권을 통한 보호조치로는 충분하지 않다는 주장도 제기되고 있다[27].
문제가 되는 것은 동의 범위 외의 활용이나 동의를 받지 않은 건강데이터를 활용하고자 하는 경우다. 기술은 빠르게 발전하며 데이터의 활용 범위는 계속 확대하고 있으므로, 데이터 측정·수집 시점에서 아직 밝혀지거나 정립되지 않은 연구 및 산업적 활용 방법이 추후에 등장하게 된다. 또는, 인공지능 연구에서처럼 새로운 활용 방법을 개발하기 위한 연구에도 데이터를 활용할 수 있으며, 이 경우 데이터 측정·수집 시점에서 제공자에게 명시하지 않은 방식으로 데이터를 분석·활용하고자 하는 필요가 커지게 된다. 더구나, 빅데이터 패러다임 하에서 소수 측정치보다 다수로부터 얻은 데이터를 활용할 필요성은 점차 높아지고 있으며, 이때 문제가 되는 것은 다수에게 모두 동의를 새로 받기가 현실적으로 불가능하다는 것이다. 예컨대, 임상시험을 대체하기 위해 기수집된 환자 정보 1억 건을 검토할 것을 요구받는다면,12) 1억 명에게 일일이 동의를 얻는 것은 시간적, 비용적으로 불가능한 목표가 된다. 따라서, 건강데이 터 소유권이 다루어야 하는 대상은 다음과 같다. 첫째, 기수집되었거나 충분한 설명에 의한 동의 없이 수집된 건강데이터로서, 둘째, 건강데이터의 수집, 저장, 공유, 활용의 순환 구조13)에서 제공자, 관측자, 관리자, 처리자가 별도로 존재하며, 셋째, 모든 제공자에게 다시 동의를 얻는 것이 불가능하거나 시간적, 비용적으로 어렵고, 넷째, 이 건강데이터의 활용이 분석자에게 충분한 학술적, 재정적인 유익을 가져다줄 것으로 기대되는 경우이다.
그렇다면 건강데이터 소유권은 데이터 귀속, 보호, 거래에 있어 어떤 해결책 또는 난점을 제시하는가?
기존의 데이터가 종이, 음반, 필름 등 매체 위에 아날로그적 방식으로 표현되었던 반면, 이제 모든 데이터는 동일하게 0과 1로 표현되고 있다[19]. 이런 데이터는 현행 민법상으로는 물건에 해당하지 않는다는 주장이 지배적이다[29]. 이에 더해, 비인격성을 띠는 여타 데이터와 달리 특히 건강데이터를 포함한 개인정보는 민감정보로서 인격권적 측면을 포함하므로 비인격성 또한 충족시키지 못한다.14) 따라서 데이터는 현행 민법상의 물권 범위에 포함하기 어렵다. 이것은 건강데이터를 포함한 데이터가 현행법상 소유의 대상이 되기 어려움을 의미한다.
게다가, 데이터의 구성에 관여한 이가 많은 경우, 예컨대 수천, 수만 명의 정보를 수집한 빅데이터의 경우 개개인의 데이터 각각이 지니는 가치는 크지 않다. 또한, 이를 분석하여 활용하기 위해선 개별 관측값보다는 데이터 집합이 더 중요하다. 예컨대, 빅데이터 분석은 그 자체로 다수 데이터 집합을 분석 대상으로 전제하고 있으며, 이때 분리된 개별 데이터 항목은 의미를 지니지 않는다. 이런 경우, 분석에 활용되는 전체 데이터베이스에 가치가 부여된다고 말하는 것이 타당하다.15) 그렇다면, 개별 데이터 제공자에게 소유권을 할당하는 것은 적절하지 않은 접근이 될 것이다. 특히, 현재 건강데이터는 다수로부터 제공된 데이터를 여러 관측자가 수집하는 과정을 거치면서 소유를 주장할 수 있는 자가 어느 한 개인으로 특정되기 어려운 상황에 놓여 있다.
또한, 점유 대상으로 놓기에도 난점이 있는데, 점유를 위해선 대상이 물건이며 그에 관한 사실상의 지배가 확립되어야 하나 데이터는 두 조건 모두 만족하지 않는다는 문제가 있다[16]. 물론, 데 이터베이스가 저장된 서버 또는 물리적 디스크는 누군가에게 귀속되며, 해당 내용에 관한 접근을 통제하는 방식으로 사실상의 지배를 확보할 가능성은 있다. 특히, 건강데이터의 경우 현재 어떤 의료기관이나 공공기관에 점유된 상태라고 표현하는 데에는 큰 무리는 없는 상태로, 예컨대 국민건강보험공단은 국민건강보험자료를 관리하고 있으며 해킹과 같은 불법적인 방법을 제외하면 이 데이터에 접근할 방법은 없는 상태다. 건강보험자료 공유서비스는 연구데이터베이스를 신청한 연구를 심의하여 접속을 허가하고 있으며, 이때 자료는 별도로 마련된 분석실에서만 가능하고 데이터 반출은 불가하다[30]. 따라서, 민법상 점유 규정을 유추 적용하는 방법을 활용할 수 있으나[16], 이에 관한 법적 논의는 아직 미진한 상태다.
다음, 보호의 측면에서 살펴보자. 앞서 데이터 소유권이 개인정보자기결정권의 적극적 의미를 추구하기 위하여 도입되었다고 하였지만, 꼭 데이터 소유권의 방식으로만 개인정보자기결정권이나 개인정보보호를 추구할 필요는 없다. 전술한 것처럼 사전동의 모형이 개인정보자기결정권을 보장 하고 있으며[27], 엄격히 동의를 따른다면 소극적 개인정보자기결정권(개인정보 침해로부터의 보호)와 적극적 결정권(개인정보 활용의 통제)는 모두 달성할 수 있다.
그러나, 데이터와 관련하여 기존 동의 모형에는 한계가 분명하다[27]. 현재 대량화, 자동화된 데이터 처리 환경에서 사전동의를 묻는 것이 진정으로 자율적인 데이터 통제를 보장하는지의 문제, 데이터의 이차적 활용을 원천 봉쇄하여 서비스 개발을 제한하는 문제, 충분한 설명에 의한 동의(in-formed consent) 모형이 합리적 판단자를 가정하나 인터넷 환경에서 자동으로 동의를 선택한다는 문제, 활용 서비스가 데이터를 충분히 보호하는지 데이터 제공자 처지에서 판단할 수 없다는 문제가 발생한다. 더구나, 건강데이터의 경우 병·의원에 기수집된 데이터를 활용하기 위해서 환자 모두에게 다시 동의를 받는 것은 불가능에 가깝고, 환자 처지에서도 매번 연구 등 활용을 위해 데이터 의사용 여부를 묻는 것이 인지적 부담을 안길 가능성이 크다. 따라서, 명확히 연구 목적으로 수집하는 개인정보의 경우에는 동의 모형이 보호의 목적으로 작동할 수 있으나, 기수집된 건강데이터의 보호와 활용이라는 측면에선 동의는 적절한 접근이 아닐 수 있다.
한편, 데이터 보호를 위해 소유만을 활용할 필요는 없으며, 데이터 침해 행위를 금지하는 방식, 즉 부정경쟁행위의 규제를 통해 보호할 수 있다[16]. 「부정경쟁방지 및 영업비밀보호에 관한 법률」 제2조 제1호 (카)목이 “타인의 상당한 투자나 노력으로 만들어진 성과 등을 공정한 상거래 관행이나 경쟁질서에 반하는 방법으로 자신의 영업을 위하여 무단으로 사용함으로써 타인의 경제적 이익을 침해하는 행위”를 부정경쟁행위로 규정하고 있으며, 데이터의 수집과 관리는 상당한 투자와 노력을 통하여 달성한 것이므로 데이터 무단 활용과 같은 침해 행위를 부정경쟁행위로 볼 수 있다. 특히, 부정경쟁행위로 규정할 때 데이터 침해에 대한 손해배상청구권과 금지청구권을 행사할 수 있으므로 적극적인 데이터 보호가 가능하다[18].
관련하여 2018년 5월 30일, 일본은 「부정경쟁 방지법」을 개정하여 한정제공데이터 개념을 신설하였다. 한정데이터는 업무상 특정한 자에게 제공한 정보로 전자적 방법에 의해 상당량이 축적, 관리되고 있는 경우를 가리키며, 그 보호를 침해하여 활용한 경우 부정경쟁행위로 규정한 것이다[31]. 제21대 국회에 발의되었으나 대안반영폐기 된 「부정경쟁방지 및 영업비밀보호에 관한 법률 일부개정법률안」에서도 ‘데이터’를 같은 방식으로 규정16)하여 일본의 규율을 따라가려고 하는 것을 확인할 수 있었다.
그러나, 부정경쟁법리로 접근하는 것은 현실적인 데이터 보호 측면에서 의미가 있으나, 데이터가 누구에 귀속되는가에 관한 문제를 해결하지 않는다[20]. 이것은 ‘데이터 소유권’이라는 이름으로 해당 논의가 진행되면서 나타난 현상일 것이 나, 현재 문제가 된 상황이 단순히 집합적 데이터의 보호만을 다루는 것이 아니므로 문제가 된다. 또한, 일본 부정경쟁방지법이나 우리의 부정경쟁 방지법 개정안은 기존의 법률을 유지하는 가운데 부정 접근을 규율하기 위해 등장한 과도기적 행위로 평가될 수 있다[32]. 한정제공데이터는 정의상 모든 데이터를 포괄할 수 없으며, 그 데이터의 관리자 또는 처리자와 침해자 간의 문제만을 다룰 뿐 데이터 제공자나 관측자의 문제를 다루지 못한다. 따라서, 건강데이터 소유권의 보호 문제를 다룸에 있어 부정경쟁법리는 그 한계가 명확하다고 하겠다.
마지막으로, 거래의 측면에서 살펴보자. 데이터 소유권이 확립되지 않은 상황에서도 이미 데이터는 거래되고 있다. 따라서, 굳이 데이터 소유권을 규정하는 것보다 계약이나 신탁의 법리를 통해 현재 이루어지고 있는 데이터 거래를 규율하는 것이 타당할 수 있다[16]. 그러나 계약은 일반화하기 어렵다는 한계를 지니며, 신탁 법리는 추가적인 검토가 필요하다. 특히 건강데이터의 경우, 계약 당사자가 누가 될 것인가의 문제가 발생한다.
한편, 데이터의 배타적 소유권17)을 부여한다면 데이터 거래가 활성화될 것이라는 기대를 할 수도 있다[17]. 데이터가 거래 대상이 되어 시장의 절차를 통해 유통되며, 매매 권리를 통해 데이터 활용에 참여하는 각 개인의 권리가 보장될 수 있다는 주장도 가능하다. 그러나, 이것 또한 마찬가지로 데이터 제공자와 처리자의 관점에서만 논의된 것이며, 관측자와 관리자는 데이터를 매매할 동인을 지니지 않는다. 이것은 제공자, 관측자, 관리자, 처리자가 분리될 가능성이 큰 건강데이터에선 더 뚜렷하게 나타날 수 있는 현상으로, 관측자인 의료인이 제공자인 환자로부터 건강데이터를 매입하여 관리자인 의료기관이나 처리자인 기업 등에 다시 판매해야 하는데 의료인으로서는 자신을 스쳐 지나갈 뿐이며 아직 그 가치가 확인되지 않은, 따라서 그 가격이 높게 매겨지지 않을 건강데이터를 판매할 동인이 없다. 이것은 관리자로서도 마찬가지로, 관리자는 건강데이터 처리자에게 데이 터를 판매하여 데이터 구입, 정리, 데이터베이스 구축, 보안,18) 관리 등의 비용을 충당해야 하는데, 기업 관점에선 점점 높아진 데이터 비용을 선뜻 부담할 것인지 의심스러워진다. 따라서, 건강 데이터의 배타적 소유권은 거래를 저해하는 요인이 될 가능성이 크다.
이에 더하여, Scassa[33]가 정리한 데이터 소유 권과 관련한 쟁점에는 데이터의 상업화, 독점을 야기할 가능성, 공적 영역에서 다루어질 수 있다는 측면이 포함되어 있다. 즉 데이터는 경제적 가치를 지니고 있으므로 소유권이 인정된다면 가령 어느 기업이 자신들이 분석한 데이터에 대한 소유권을 주장하여 다양한 통제 조처를 할 수 있다는 것이다. 물론, 이 경우 데이터 활용에 참여한 다양한 주체 중 소유권을 누구에게 부여할지 정하기가 어렵다는 문제가 발생한다. 이때, 소유권을 통해 특정 데이터가 하나 혹은 소수의 주체에 집중되면 데이터의 공유가 가로막혀 데이터 경제의 활성화가 어려워질 것이다. 마지막으로, 데이터는 공적 측면을 가질 수 있는데, 특히 건강데이터는 공익적 이용의 필요성이 높은 정보이므로 이를 소유권이 아닌 정부의 지배구조하에서 데이터를 공유하는 방향으로 논의를 확대하는 것이 바람직하다는 주장과 연결될 수 있다.
정리하면, 법상 데이터 소유권 논의는 데이터 귀속, 보호, 거래의 문제를 둘러싼 여러 가지 법적 쟁점을 한꺼번에 해결하기 위해 등장하였다[16]. 그러나 데이터 소유권의 기반이 될 수 있는 소유 법제의 적용에 난점이 있으며, 보호와 거래의 측면에서 데이터 소유권은 추가적인 법적 논의를 요청하고 있다. 특히, 전술한 것과 같이 다수 당사자가 참여하는 건강데이터 소유권 개념은 법적 차원에서 정립하기 어려운 것으로 결론지을 수 있다. 단, 소유, 보호, 거래의 각 측면에 있어 추가적인 논의가 가능한 지점들이 있으므로 이후의 법적 변화를 기대해볼 수 있을 것이다.
그렇다면, 현재 국내의 법적 논의에서 데이터 또는 건강데이터의 보호 및 활용에 관한 결정이 어떻게 이루어지고 있는지 살펴보자. 크게 2013년 도입된 「공공데이터의 제공 및 이용 활성화에 관한 법률(이하 공공데이터법)」, 2020년 ‘데이터 3 법 개정안’이 제시하는 관련 조항을 살펴보고, 건강데이터 관리와 관련하여 저작권법이 인정하고 있는 데이터베이스권을 검토할 것이다.
공공데이터법 제1조는 제정 목적을 행정정보 나 공공기관이 생산한 정보 등 공공데이터의 제공 및 이용에 관한 사항을 규정하여 그 활용을 활성화하기 위함이라고 밝히고 있다. 특히, 공공데이 터의 활용을 통해 삶의 질과 국민 경제 발전을 도모하고자 하였다. 한편, 같은해 제정된 「공공기관의 정보공개에 관한 법률(이하 정보공개법)」은 제1조에서 공공기관이 보유·관리하는 정보를 국민이 청구하는 절차를 규정, 국민의 알권리와 정책의 투명성을 보장하는 것을 목표로 한다고 명시하고 있다. 두 법은 공공기관의 데이터 접근, 제공의 측면에서는 거의 동일한 기능을 하고 있으나, 공공데이터법과 달리 정보공개법은 공공데이터의 관리에 관한 구체적인 기술을 제공하고 있지 않다[34]. 이때, 공공데이터라고 하여 무조건 공개 대상이 되는 것은 아니고, 프라이버시 침해나 영업 비밀의 침해가 우려되는 경우 공공데이터 공개를 통한 이익과 침해의 피해를 고려, 비례의 원칙에 따라 데이터 공개가 우월한 공적 가치를 지님이 인정되어야 한다[34].
건강보험심사평가원이 수집, 관리하는 보험 정보는 공공데이터이자 동시에 민감정보이기도 하다. 이 경우, 정보주체의 동의를 받거나 감염병의 예방 및 관리에 관한 법률이 규정하고 있는 것과 같이 다른 법령이 구체적인 처리 허용 근거를 제시할 때는 데이터 처리가 가능하다[34].
또한, 전 세계적 데이터 이용의 활성화의 흐름과 새로운 산업 육성을 위한 요구 등의 영향으로 2020년부터 데이터 3법이 개정되어 시행되고 있다. 데이터 3법 개정안은 「개인정보보호법」, 「정보 통신망 이용 촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률(이하 신용 정보법)」을 개정한 법안으로, 개인의 프라이버시를 보호하며 동시에 데이터 이용의 활성화를 목적으로 하고 있다. 주요 내용으로는 개인정보 판단 기준의 명확화, 가명 정보 개념 도입 및 가명정보 처리에 관한 특례 규정 신설, 데이터의 결합, 위반 시 처벌의 강화를 통한 개인정보에 대한 책임성의 증대 등이 있다. 특히, 동의 없는 가명정보 처리 및 제3자 제공은 통계작성, 과학적 연구, 공익적 기록 보존 등의 경우에 허용된다.19)
또한, 데이터 3법의 개정으로 국내에서 마이데 이터(Mydata) 산업을 위한 제도적 기반도 마련 되었다. 마이데이터란 데이터 이동권에 근거하여, 정보주체인 개인이 데이터에 대한 관리 및 통제 권한을 가지고, 이를 바탕으로 개인 데이터에 대한 활용 범위 등에 대한 능동적 의사결정을 하는 패러다임을 말한다[35]. 마이데이터 개념은 현재 금융권에서 주로 쓰이고 있지만, 의료, 통신 등의 분야에서도 이 개념을 적극적으로 활용하려는 움직임이 이루어지고 있다. 특히 의료 분야에서는 개인의 진료기록이나 건강기록 정보를 개인이 관리 가능한 건강데이터 관리 플랫폼으로 내려받고, 개인의 동의에 따라 다른 기관들이 건강데이터를 활용하는 형태로 진행되고 있다[35,36].
그러나 의료 분야의 마이데이터 산업의 경우, 현행 의료법상 의료정보를 전자적 형태로 제공하는 것이 의무사항이 아니기에 정보주체가 데이터를 받기 어렵다[37]. 더구나, 기존의 의무기록 열람과 달리 데이터 이동권 논의에서 볼 때 데이터 제공은 타 기관이 활용할 수 있는 형태인 API(Application Program Interface)로 데이터를 제공하거나, 타 기관이 개인을 대신하여 특정 기관의 정보에 접근할 수 있는 형태로 데이터를 개방하는 것을 허용해야 하는데, 전자는 데이터 가공을 요구하며 후자는 보안상 문제가 될 수 있어 의료기관에 상당한 재정적, 인적 부담을 가하게 되고 이를 보상받을 방법이 현재 부재한 상태다. 또한, 개인에게 건강데이터를 제공하는 데 최근 관심이 높아지고 있는 블록체인(blockchain) 기술을 활용하려는 시도가 있다. 연결고리 기반 분산 데이터 저 장 환경을 의미하는 블록체인 기술 자체는 이에 충분히 활용될 수 있다. 그러나, 블록체인의 핵심 중 하나는 탈중심화(decentralization)인데, 건강데이터의 경우 타인이 데이터를 열람해서는 안 되므로 블록체인에 건강데이터를 업로드할 때 보안 기능이 추가되어야 한다. 이 보안 기능은 탈중심적으로 관리될 수 없으므로 기업이나 정부가 담당해야 하며, 결국 블록체인에 탑재된 개인 건강데이 터는 약속과 달리 특정 기업 또는 정부에 종속될 가능성이 있다는 한계를 지닌다.
한편, 건강데이터는 개별 데이터 항목보다 수 집된 데이터를 바탕으로 구축된 데이터베이스 단에서 그 관리와 보호를 논의하는 것이 더 적절할 수 있다. 현재 국가 차원의 정책도 CDW(Clinical Data Warehouse)20)와 CDM(Common Data Model)21)을 기본으로 하여 논의를 진행하고 있으며[38], 건강데이터에선 기수집된 데이터를 어떻게 정제하여 대규모 데이터베이스를 구축하고 활용할지에 관한 논의가 중요하기 때문이다.
데이터베이스 제작과 투자를 보호하는 것과 관련하여 국내에선 1999년 데이터베이스 보호 및 이용에 대한 법률안이 제출되었으나 보류되었다[39]. 이것은 데이터베이스 제작자에게 저작권과 유사한 배타적, 독점적 권리를 부여하고자 하였다. 2003년 저작권법이 개정되면서 데이터베이스 제작자에 대한 보호 규정이 도입되었다[40]. 이것은 인적·기술적·재정적 요소를 투입한 데이터 베이스 제작자에게 일정한 요건 아래 배타적, 준 물권적 권리를 부여하고자 했다. 따라서, 저작권 법은 데이터베이스를 개별 데이터로 구성된 것으로 검색과 활용을 위한 체계성을 제공하고, 자료의 양과 검색 용이성 등으로 미루어 상당한 투자로 구축된 것으로 규정하였다[41]. 이때, 건강데이터는 의료기관에 종사하는 의료인을 통해 수집 되어 의료기관의 서버 등을 통해 데이터베이스 구축이 이루어지게 된다. 따라서, 저작권법상 보호받는 데이터베이스 제작자는 주로 병원 등 의료기관이 될 것이다[21]. 데이터베이스 제작자는 저작권법 제93조 제1항을 따라 전체 또는 상당 부분을 복제, 배포, 방송 또는 전송할 권리를 가지게 되며, 병원 또한 CDW를 통해 구축한 데이터베이스에 대하여 같은 권리를 부여받게 된다.
그러나, 데이터 3법의 개정, 마이데이터 산업의 등장에도 불구하고, 이런 법적 개정 움직임을 건강데이터에도 그대로 적용할 수 있는지는 추가적인 고찰이 필요한 상태다. 특히, 동의 요건을 충족 하지 않은 건강데이터 활용을 위해 가장 중요하게 다루어지는 것이 비식별화(de-identification)이다. 비식별화란 개인정보의 식별가능성을 제거하는 것으로, 건강데이터의 추가적 활용에 있어 문제가 되는 지점인 프라이버시 침해의 우려를 줄이는 한편 그 활용 가능성을 높이려는 조처이다.
이런 비식별화는 엄밀히 말해서 익명화(anonymization)와 같은 의미를 지니지만, 이후 논의에서 가명처리(pseudonymization) 개념이 추가되었다[42]. 전자는 데이터에서 식별가능성을 완전히 제거하여 해당 데이터가 더는 개인정보가 아니게 만드는 것을 가리킨다. 이 경우 개인정보보호 법 등의 보호법제가 적용되지 않으므로, 데이터의 자유로운 활용이 가능하다. 후자는 2020년 개정 「개인정보보호법」 제2조 제1호 (다)목에서 “개인 정보의 일부를 삭제하거나 일부 또는 전부를 대체 하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것”으로 규정되어 있다.
익명화는 k-익명성(k-anonymity),22) I-다양성 (I-diversity),23) t-근접성(t-closeness),24) 차분 프라이버시(differential privacy)[43]25) 등의 통계적 기법으로 익명화 수준을 평가할 수 있으며, 이를 통해 잠재적으로 정보를 식별할 가능성이 있는 제3자가 시간, 비용, 기술 등을 합리적으로 고려할 때 손쉽게 개인을 식별할 수 없는 정도에 이르는 것을 가리킨다[42].
이전의 문헌[44]26)이 가명처리 개념을 구분하지 않았던 것과 달리, 현재는 가명처리에 더 많은 관심이 주어지고 있다. 데이터 분석에서 전자를 활용하는 것은 어려운데, 적정한 익명화의 수준에 관한 합의도 이루어지지 않았으며, 완전히 익명화된 정보의 경우 너무 많은 정보가 삭제되어 분석에 어려움이 있다. 가명처리 작업은 데이터의 일부 속성을 다른 것으로 대체하는 것으로 이루어지며, 비밀키가 있는 암호화(encryption with secret key), 해시함수(hash function), 보관키가 있는 키 해시함수(keyed-hash function with sotred key), 결정성 암호화나 키를 삭제한 키 해시함수(deterministic encryption or keyed-hash function with deletion of the key), 토큰화(tokenization) 등이 사용된다[42]. 예컨대, 해시함수는 임의의 자료를 함수에 넣었을 때 고정된 길이의 결과를 출력하는 함수다. 같은 입력값에서는 같은 출력값이 보장되나, 결괏값만으로는 원자료를 복원하는 것은 불가능에 가깝다. 따라서, 데이터 관리자는 원 데이터를 보존하고, 데이터 처리자에게 가명처리된 데이터를 제공하여 처리자 수준에서 개인을 식별하지 못하게 만드는 것을 가능하게 만든다.
그러나, 가명처리를 한 가명정보는 여전히 개인 정보다. 따라서, 가명처리를 한 것만으로 마음대로 데이터 활용을 할 수는 없고, 「개인정보보호법」 제28조의2 제1항, 신용정보법 제32조 제6항 제9호의 2가 규정하는 가명정보 처리의 특례 상황에 서만 정보주체 동의 없이 데이터를 처리할 수 있다. 이때, 당초의 목적 또는 그것과 불합치하지 아니하는 목적하에 후속 이용을 허용하는 목적합치 원칙에 따라 처리 목적이 통계작성, 과학적, 연구, 공익적 기록보존의 범위에 해당해야 한다. 이 경우, 데이터 ‘처리’ 일반27)이 가능하다[42].
한편, 현재 법에서 생명윤리법은 익명화를, 「개 인정보보호법」은 가명처리를 요구하고 있으므로 건강데이터를 활용할 때 어느 쪽을 따라야 하는지 알기 어렵다. 이 부분은 최근 관련 심포지엄 등에서 여러 번 언급되었으나, 아직 법적인 해결책은 나와 있지 않은 상태다. 단, 보건복지부가 발행한 「보건의료 데이터 활용 가이드라인」은 가명처리를 언급하고 있으며[45], 최근 보건의료 데이터 활용에서 중요한 위치를 점하고 있는 CDW과 CDM 이 가명처리를 기반으로 하여 실무를 구축하고 있으므로, 건강데이터 활용에 있어 가명처리 개념을 기본으로 접근하는 것은 타당한 것으로 보인다. 그러나, 이 경우에 「의료법」 제19조 제1항의 전자 의무기록 작성·보관·관리에서 정보 누설·발표 금지에 해당하지 않는지가 명확하지 않다[46]. 또, 개인정보의 비식별 처리만으로는 개인의 프라이버시를 보호하는 것이 충분하지 않을 수 있다[47]. 특히 건강데이터의 경우 영상, 텍스트, 음성, 유 전체 등으로 나타낼 수 있는데 각 방식에 따라 가명처리되는 정보가 상이하므로 환자식별정보만을 가명처리하는 것으로는 충분하지 않으며, 이러한 건강데이터별 가명처리의 구체적 기준이 부재하다[48].
한편, 보건복지부는 2021년 6월 3일 「보건의료 데이터·인공지능 혁신전략」을 발표하였다[49]. 이 전략은 보건의료데이터 활용을 제약하고 있는 두 가지 요소, 낮은 데이터 품질과 개인정보 침해 우려를 해소하기 위해 “보건의료데이터가 흐르는 혁신생태계 창출”을 비전으로 제시하며, 향후 5년 간 보건의료데이터 활용과 연계의 활성화를 위해 전력을 다할 것을 약속하였다. 이 전략은 정보주 체의 권리를 보장하고 국민 참여를 중시한다고 원칙을 내세웠다. 그러나, 전략은 그 일차적 목표인 데이터 개방, 연계, 활용에만 집중하고 있을 뿐, 주체 권리 보장, 국민 참여를 어떻게 달성할 것인 지에 관한 논의는 결여하고 있다. 관련 법제를 정비하고 의료인공지능 윤리 가이드라인을 마련하는 것을 사업 목표로 제시하였으나, 데이터 플랫 폼의 성과를 가속하기 위한 여타의 노력에 비하면 그 구체성이나 실천 가능성, 강제력 등은 찾아볼 수 없는 상태다.
정리하면, 최근 여러 입법적 변화로 인하여 특히 건강데이터 활용에 관한 규정이 여럿 추가되었다. 데이터 3법 개정과 마이데이터 사업으로, 건강데이터 또한 목적합치 원칙에 따른 동의 없는 가명 데이터 활용과 데이터 이동권의 적용이 가능해질 수 있는 여지가 생겼다. 또, 병원 차원에서 생성한 데이터베이스는 저작권법으로 보호받을 수 있다. 따라서, 병원 차원에서 가명처리한 건강 데이터를 데이터베이스화하여 이를 직접 분석하거나 처리자에게 공유할 가능성은 마련되어 있는 상태다. 그러나, 보건의료 영역의 경우 실무적인 차원에서 마이데이터를 구현하는 데 난점이 있다. 또한, 건강데이터 활용에 있어 익명화 및 가명처 리의 수준과 관련 법제의 혼란, 데이터 전송의 기준 마련 등 여러 과제가 남아 있는 상태다. 한편, 국가적 차원에서 건강데이터 활용에 방점을 찍고 있어 과거의 규제를 완화하는 것 외에 건강데이터 보호 또는 그 구체적인 방안의 현실적인 논의는 현재 구체적으로 다루어지고 있지 않다.
여전히 건강데이터 소유권 관련한 국내 법 조항이 미진한 부분이 있으므로, 이 부분에선 건강데이터 소유권과 관련된 해외 법제에 관해 간략하게 살펴보도록 한다.
EU는 1996년 데이터베이스 지침을 신설하였다. 해당 지침은 데이터베이스 제작자에게 독자적인 권리(sui generis right), 즉, 데이터베이스 제작자에게 데이터베이스 내용의 전부 혹은 양적, 질적으로 평가되는 부분의 추출 또는 재이용을 금지 할 권리를 부여하였다.28) 이는 데이터베이스 제 작자에게 물권과 유사한 배타적 권리를 부여하는 것이며 이 점에서는 우리나라 저작권법의 데이터 베이스권과 유사하다. 하지만, 해당 지침에 대한 평가는 데이터베이스권이 데이터베이스의 제작이나 관련 산업의 향상에 긍정적인 영향을 주지 못했다고 주장하였다[50].
2013년 영국은 국민보건서비스(NHS) 사업의 일환으로 의료 연구의 촉진을 위한 공공 공개 보 건의료 데이터베이스(care.data) 구현을 시도하였다. 이는 보건의료 빅데이터를 전담하는 독립적 기구인 HSCIC(Health & Social Care Information Center)가 기존의 의료정보와 일차 의료기관 진료소의 기록에서 정보를 추출하여 의료서비스 계획, 연구 등 이차적 목적으로 사용하려는 계획이었다. 하지만 이후 시민들의 프라이버시 침해 우려, 부 적절한 옵트아웃(opt-out) 시스템, 접근성에 대한 불분명한 기준 등의 이유로 인해 중단되었다[51].
2018년, EU는 GDPR을 도입하여 개인정보를 관리하도록 하였다. 또한, 2019년부터 시행된 「비 개인데이터규칙」(Non-Personal Data Regulation)은 비개인데이터(non-personal data)의 자유로운 흐름을 보장하기 위한 정책을 제시하였다[52]. 개인정보에 대해 가명처리를 하면 재식별 가능성이 남아 있어 GDPR 규정이 여전히 적용되며, 익명 화할 때만 GDPR이 적용되지 않는다. EU의 데 이터 소유권에 대한 논의에서는 데이터 거래비용의 상승, 분석 업체들의 동기부여 감소[53], 소유권 귀속 주체 결정의 어려움 등의 이유로 데이터 소유권의 도입에 관해 부정적인 의견이 주류를 이 루고 있으며, 따라서 소유권보다는 데이터에 대한 접근 가능성을 확대하는 방향으로 논의가 이루어 지고 있다[18,54].
의료 분야의 경우 GDPR은 기본적으로 건강데 이터에 대해 두 가지 목표를 지니고 있다[55]. 첫 째, 동의를 받지 않은 이차적 사용을 엄격히 방지하는 것, 둘째, 프라이버시 보호의 중요성을 염두에 두는 동시에 연구개발에서의 데이터 수요를 충당하기 위해 데이터 접근성을 간소화하는 것이다. GDPR 제9조는 건강데이터를 민감정보로 분류, 기본적으로는 데이터 처리를 금지하고 있다. 그러나, 제9조 제2항 제h호는 예방의학이나 의학적 진단, 건강이나 사회복지 혹은 치료 혹은 서비스의 제공 혹은 관리에 필요한 경우 건강데이터를 처리할 수 있도록 허용한다.29) 즉, 정보주체가 동의하거나 의료 등 공공 이익을 목적으로 하는 경우 건강데이터에 대한 처리가 허용된다.
또한, GDPR은 데이터 소유권과는 별개로 정보 주체의 통제권과 관련하여 개인정보 이동권(right to data portability), 개인정보에 대한 삭제권(right to erasure), 개인정보의 처리에 대해 반대할 권리 (right to object) 등을 보장하고 있다[56].
하지만, 데이터 경제 활성화와 관련하여 데이터 관련 제도의 방향성을 논의한 EU 집행위원회의 「데이터 전략」(A European strategy for data) 보고서에 따르면, 여전히 유럽 내 개인은 데이터에 대한 권리를 각자 적절히 행사할 수 있는 기술적도구 및 표준의 부재로 인해 데이터에 대한 공유나 활용의 제약을 받고 있다[57]. 그 해결책의 하나로, 보고서의 부록은 산업 부문별 유럽 데이터 공간 조성을 제안하고 있는데, 그중에는 유럽 공통 건강데이터 공간(Common Europe health data space)이 포함되어 있다. 구체적인 내용으로는 시민들의 보건의료 데이터 접근권 및 이동권의 강 화, GDPR 제40조를 바탕으로 의료 분야에서 개 인정보 처리에 관한 행동 강령(Code of Conduct) 수립, GDPR에 따른 전자의무기록, 유전자 정보, 디지털 의료 이미지 등 국가 간 의료 데이터 교환 활성화, eHDSI(eHealth Digital Service Infrastructure)을 통한 전자의무기록의 교환 등이 포함 된다[57]. 즉, EU는 데이터 소유권 대신 공공 데이터의 국가 및 연합 차원 구축을 추구하고 있음을 확인할 수 있으며, 과거 영국의 중단 사례가 있었으므로 더 구체화된 방안 마련을 위해 노력하고 있는 것으로 보인다.
미국의 경우, 데이터 소유권을 현행 법제에서 수용할 수 있다는 논의가 제기되어 왔다. 예컨대, Purtova[58]는 유럽의 관점에서 미국의 데이터 소 유권 관련 법제를 검토한 논문을 통해 데이터의 재산화가 이전에 제시된 미국의 데이터 보호 법제를 보완할 수 있다는 주장이 제시됐음을 살핀다. 일단 프라이버시 보호의 측면에서 불법행위법이 상당한 역할을 해왔으며[59] 수정헌법 4조 또한 수사기관의 압수·수색을 제한하여 프라이버시권의 출발점으로 이해되고 있다[60]. 수정헌법 14조가 규정하는 실체적 적정 절차(Substantive Due Process)와 5조의 자기부죄 금지 원칙이 개인정보 수집을 제한하는 조항으로 해석될 수 있다. 그러나 이것은 프라이버시 보호에 관한 포괄적 원칙이므로 개인의 데이터 보호를 다루는 것에 있어 한 계가 명확하다. 따라서 해결책의 하나로서 개인 정보를 재산화하는 것이 제시되었다. 이를테면, Murphy[61]는 개인정보가 다른 모든 정보와 마찬가지로 재산에 속한다고 보는 것은 당연하고 그 경제성에 관한 논의가 잘못된 방향으로 진행되었다고 주장한다.
이런 개인정보의 재산화는 세 가지 역할을 할 수 있다. 첫째, 정보 공개의 원칙에 반하여 개인 데이터의 재산권 행사, 둘째, 불법행위에 반하여 재산권의 행사, 셋째, 프라이버시를 증진하는 기술에 관한 유인책 부여로서 재산권. 이런 논의가 법적 차원에서 진행된바, 미국은 데이터를 보호하거나 공유하는 것의 경제적 이익에 관하여 민감한 방식으로 쟁점을 다뤄왔다.
건강데이터 소유권과 관련해선 보건부(Department of Health and Human Service)가 1996년 채택한 HIPPA(Health Insurance Portability and Accountability Act)와 프라이버시 규칙(Privacy Rule)이 PHI(Protected Health Information)를 규정하고, 그 사용의 지침을 제시하였다. 의료, 지 불, 의료시스템 운영을 위해서 의료기관 등은 정보주체의 동의 없이 정보를 사용할 수 있다. 이외 의사용 목적에 있어서는 정보주체에게 서면 동의를 받아야 한다[48]. 개인은 자신의 정보를 의료서비스 제공업체에서 다른 의료서비스 제공업체로 이전할 수 있는 권리를 지닌다[55]. 또한, 정보주 체는 동의 철회권을 지닌다.
2011년 소비자 프라이버시 권리법(Consumer Privacy Bill of Rights)은 기업이 수집한 개인 데이터를 소비자가 통제할 수 있도록 하는 개인 통제 (Individual Control)를 그 원칙의 하나로 내세웠다. 또한, 소비자는 개인 데이터에 접근하고 수정 할 수 있는 권리를 접근권 및 정확성(Access and Accuracy) 원칙으로 보장하였다. 이에 따라. 소비자의 합리적인 의사결정을 지원하기 위해 공공 및 민간기업이 보유하고 있는 개인 데이터를 개인에게 돌려주는 스마트 공시(Smart Disclosure)를 운영하고 있다[48]. 스마트 공시는 데이터 도메인에 따라 버튼의 색깔을 달리하며, 블루 버튼(Blue Button)은 개인 건강데이터를 내려받을 수 있는 서비스로 재향군인청(Veterans Affairs), 국방부 (Department of Defense), 보건부 등이 참여하고 있다.
2019년에는 내 데이터 소유법(Own Your Own Data Act)이 의원 발의되었으나 부결되었다[62]. 법안은 개인이 인터넷을 통해 생성한 정보의 배타적 재산권을 인정하여 페이스북이나 구글과 같은 소셜네트워크 서비스 업체가 사용자에게 데이터의 획득을 명시하도록 하고, 가입 시 확인한 데이터의 명시적 사용 동의를 사용자가 클릭 한 번으로 언제든 철회할 수 있도록 보장할 것을 명시하였다. 이것은 새로운 입법이라기보다 기존 계속 발의되어 온 프라이버시 관련 법안을 종합한 것으로 받아들여졌다[63].
2021년에는 개인 건강데이터 보호법(Protecting Personal Health Data Act)이 발의되었고, 2021년 11월 현재 국회에 계류 중이다[64]. 앞선 내 데이 터 소유법의 연장선에서 개인 건강데이터 보호법은 HIPPA 적용을 받지 않던 스마트폰 앱, 웨어러블 디바이스, 직접 유전자 검사 등에서 생성되는 건강데이터까지 포괄하며, 보건부로 하여금 건강 데이터 동의·관리 표준을 만들어 회사가 민감 건강데이터를 보호하도록 조처하고자 했다[65]. 또한, 정보주체의 권리를 보장, 건강데이터의 제3자 활용에 있어 그 접근, 수정, 삭제를 보장하고자 시도하였다. 그러나 내 데이터 소유법과 마찬가지로, 법안의 통과는 불확실한 상태다[64]. 즉, 미국은 계속 (건강)데이터의 재산권적 보장을 추구하고 있으나, 사회적 합의가 이루어진 것은 아니다.
개인정보 활용에 관하여 일본은 2016년 「관민 데이터 활용 추진 기본법」을 제정하였으며, 동법 제12조는 국가, 지방자치단체, 기업이 보유하는 데이터의 활용을 위한 환경을 조성하고 민관데이 터의 원활한 유통을 촉진하기 위해 다양한 주체가 개인에 관한 민관데이터를 해당 개인의 참여 아래 적정하게 활용하기 위한 목적임을 명시하고 있다[66]. 또한, 앞서 언급했듯, 일본은 데이터 소유권적 접근보다는 2018년 부정경쟁방지법의 개정을 통해 한정제공데이터에 대한 보호 조항을 신설 했다.
한편, 2017년 개인정보보호법을 개정하며 일본은 개인정보의 범주를 명확히 하고 익명가공정보라는 개념을 새로 도입하고 그 활용을 규정하였다. 여기서 ‘익명가공정보’란 “개인정보의 구분에 따라 정해진 조치를 강구하여 특정 개인을 식별할 수 없도록 개인정보를 가공”[67]하여 얻을 수 있는 정보를 말한다. 하지만 이 개정법은 필요배려 개 인정보[68]30)에 대한 규제를 더 엄격하게 시행했으므로 개인의 건강데이터를 추가 활용 목적으로 제3자에게 제공할 경우 문제가 발생하게 되었다. 의료 빅데이터 활용에 대한 수요가 증가하자 같은 해, 의료 분야에서 치료에 관한 정보 등을 익명가 공하여 의학 연구에 쓸 수 있도록 하는 「의료분야의 연구개발에 이바지하기 위한 익명가공 의료정보에 관한 법률 기본 방침(이하 차세대의료기반 법)」을 제정하여 2018년부터 시행하였다.
차세대의료기반법의 목적은 의료·건강데이터의 디지털화, ICT화를 통한 데이터 활용의 활성화, 익명가공 의료정보를 기반으로 환자에게 최적화된 의료를 제공하는 것이다[67]. 이 법안에서 정의하는 의료정보란 “특정 개인의 병력 등 개인의 심신 상태에 관한 정보를 말하며, 심신 상태를 이 유로 개인 또는 후손에 대한 부당한 차별, 편견 등의 불이익이 생기지 않도록 그 취급에 특히 배려가 필요한 정보”[68]를 말한다.
차세대의료기반법 제30조는 의료정보취급사업자로 하여금 사전에 본인에 통지하고 주무대신에 신고했을 시 의료정보를 익명가공 의료정보작성 인정사업자에게 제공할 수 있도록 규정하고 있다. 또한, 동법 제18조는 개인정보 보호 안전기준을 충족한 인정사업자가 익명가공 의료정보를 작성할 때 특정 개인을 식별할 수 없도록 가공하여 해당 의료정보를 복원할 수 없도록 가공할 것을 의무로 부여하고, 이 가공된 데이터를 익명가공 의료정보 취급 사업자에게 제공할 수 있도록 하였다. 즉, 정보주체에게 사전에 통지하고 가명정보로 가공을 한 경우, 의료정보를 사전동의 없이도 연구기관, 제약회사, 정부 등에서 개인의 건강데 이터를 처리할 수 있도록 한 것이다. 이때, 개인은 철회권을 보장받는다. 차세대의료기반법은 가명 처리된 건강데이터의 구체적 활용을 규정하여 상 당히 발전된 제도적 노력으로 평가할 수 있으나, 향후 운영이나 데이터 활용에 있어서 추가적인 분석이 필요하다.
지금까지 건강데이터 소유권에 관한 법적 논의를 개괄하였다. 전술한 것처럼, 법적 차원에서 건강데이터 소유권 또한 일반 데이터 소유권과 같이 데이터의 귀속, 보호, 거래를 규정하기 위해 논의되었으나 현재 법적 개념이나 접근에서 건강데이터 소유권 일반을 구성하는 것에는 여러 난점이 있다. 다른 데이터처럼 물건으로서의 요건을 충족하지 못하는 것 외에도, 건강데이터는 그 특수성 상 정보주체에서 데이터로 이동하는 과정에서 여러 당사자가 개입하며, 다시 데이터가 활용됨에서도 데이터 관리자에서 처리자로 넘어가는 데에 고려해야 할 사항이 산적해 있다. 간단히 검토한 유럽, 미국, 일본의 입법 사례에서도 건강데이터 소유권의 확립과는 간극이 있음을 확인하였다. 따라서, 개별 의료기관의 연구 차원을 넘어 건강데이터가 본격적으로 활용되기까지는 상당한 시간과 논의가 필요할 것으로 보이며, 여기에서 건강 데이터 소유권이 법적으로 활용될 수 있는 개념인지, 굳이 ‘소유권’을 마련해야 하는지 불명확하다. 오히려, 유럽의 학계와 실무적 논의가 그렇듯[69], 데이터 소유권의 창설은 필요하지 않은 것으로 보인다.
그러나, 건강데이터 소유권은 윤리적 차원에서 여전히 의미를 지니며, 건강데이터 소유권의 윤리를 정립하는 것은 향후 건강데이터 소유권에 관한 법적 논의를 정향하고 관련한 사회적 논의를 틀 지울 수 있다는 점에서 그 중요성이 있다고 하겠다. 이하에서 다룰 “건강데이터 소유권의 윤리”는 이미 확립된 건강데이터 소유권 개념이 지닌 윤리적 의미를 살피려는 것이 아니라, 현재까지 건강 데이터 소유권 논의가 다루어 온 내용을 종합하고 여기에서 새로운 윤리적 관점을 도출할 수 있는지 검토하는 것을 의미한다. 앞서 법적 논의에서 고찰한 것처럼 건강데이터 소유권이 법적, 실천적으로 한계를 지니므로, 여기에서 건강데이터 소유권을 빼고 차후 별도의 명칭으로 부를 수도 있을 것이다. 그러나, 현재 논의 단계에서 “건강데이터 소유권의 윤리”라고 칭하는 것에는 문제가 없어 보인다. 일단, 본 논의가 건강데이터 소유권 담론이 다루어 온 주제를 포괄하는 윤리학적 논의를 전개하는 데 그 목적을 두고 있으며, 후술하겠지만 건강데이터 소유권이 다루어야 하는 물질적 분배와 문화적 인정이라는 두 차원은 여전히 포괄적인의 미에서 자원의 소유와 관련된 문제의 지평에서 논의되어야 하기 때문이다. 아직 관련 논의가 거의 이루어지지 않은 상황에서, 우리는 건강데이터 소유권의 윤리가 어떤 의미이며, 그 적용이 어떤 식으로 이루어질 수 있는지에 관한 시론적 고찰을 시행하고자 한다.
Hummel et al.[70]은 지금까지 이루어진 데이터 소유권 논쟁을 살피면서, 데이터 소유권 개념이 법적, 윤리적으로 단일화할 수 없는 여러 논의를 포함하고 있음을 명확히 한다. 예컨대, 데이터의 소유 가능성에 관하여도 각기 다른 해석이 존재한다. 본 논문에서도 앞서 살핀 것처럼, 데이터를 소유할 수 없는 것으로 보는 이와 소유 대상으로 볼 수 있다고 보는 이가 충돌하며, 각 국가의 법적 틀 이 모두 다르다[71]. 데이터에 관한 권리도, 이것이 인격권이어야 하는지 재산권이어야 하는지에 관한 해석이 학자나 법제에 따라 다르다[72]. 무엇 보다, 현행 법제와 데이터 소유권이 양립할 수 없다는 주장이 강력하게 대두되는 가운데, 이미 데 이터 소유권의 일정 부분을 법이 구현하고 있다는 주장도 제시될 수 있다(본 논문 2.1.2.절 참조). 이런 상황에서 데이터 소유권 일반이 주장하는 보호와 활용의 법익 또는 실익을 구현하기 위해선, 현행법에 관한 검토인 실정법(de lege lata)적 논의가 아닌 입법론(de lege ferenda)적 논의가 필요하다는 주장이 제시될 수 있다[70]. 이것은, 데이터가 소유 대상으로 기능할 수 있는가의 논의를 어떤 소유로 데이터를 규정할 것인가의 논의로 변경한다.
이를 위하여 Hummel et al.은 존 로크(John Locke)의 소유권 개념을 정리한 Becker[73]의 논의를 끌어들인다. 그에 따르면, 소유권 정당화의 물음은 세 가지로 정리될 수 있다. 첫째, 왜 소유권이 있어야 하는가? 둘째, 어떤 종류의 소유권 이 있어야 하는가? 셋째, 누가 특정 종류의 소유 권을 가질 권리를 지니는가? 이 물음에 기초하여, Hummel et al.은 데이터 소유권을 둘러싸고 진행 된 논쟁을 네 가지 축으로 정리한다. 첫째, 소유권 대 유사 소유권(quasi-property rights), 둘째, 매도 가능성 대 양도불가능성, 셋째, 보호 대 참여, 넷째, 권리의 개인 귀속 대 집단 귀속이 그 축이다. 이 네 가지 축의 반대쪽 입장은 서로 타당한 근거 위에서 충돌하며, 따라서 데이터 소유권 개념과 그 논의를 불안정한 상태로 만든다<Table 1>. 이 하에서는 각 입장을 대표하는 주장을 살펴보고자 한다.
우선 소유권이다. Solove[74]는 프라이버시 개념이 지닌 혼란을 지적하면서, 기술 발전의 맥락에서 프라이버시는 자유, 민주주의를 위한 근본 권리로서 침해 불가능한 것으로 여겨지나, 한편 해로운 것, 반사회적인 것, 병리적인 것으로까지 여겨진다고 말한다. 이를 해결하기 위해 그는 프라이버시를 행동의 집합으로 이해해야 하며, 따라서 (1) 정보 수집, (2) 정보 처리, (3) 정보 전파, (4) 침해의 활동 각각에서 프라이버시가 작동하는 방식을 모두 다루어야 한다고 주장한다. 이를 소유권의 측면에서 다룬다면, 소유권은 가장 포괄적인 형식으로 이해되어야 한다. 예컨대 Thouvenin et al.[75]은 EU의 데이터 관련 논의를 다룬 논문에서 데이터 소유권을 “독점권, 보편적 권리, 데이터와 관련된 구체적인 행위를 금하는 조항(예, 불법행위), 양자간 (계약) 권리까지 포함하는” 포괄적인 개념으로 정의한다. 이런 해석에서, 소유권은 대상에 관한 통제와 사용 일체를 다루는 완전 소유권(full ownership)으로 이해된다.
반면, Evans[76]는 건강데이터에 관한 논의에서 환자가 데이터의 ‘소유권’을 지니는 것이 통제 권을 확대하지 않는다고 지적한다. 첫째, 건강데이터가 환자 소유라고 해도 국가는 정당한 상황에서 환자의 정보를 동의 없이 열람하는 것이 가능하다. 둘째, 공공의 이득을 위해 데이터의 비동의 활용이 허락되어야 할 경우가 있다. 오히려, 데이터 ‘소유권’을 강화하는 것은 치안에 문제를 가져오고 절차적 비용을 과도하게 향상할 우려가 있다. Pearce[72]는 데이터에 재산권이나 인격권에 기반을 둔 소유권을 보유하는 것이 모두 개념적, 실용적 한계가 있다고 주장한다. 재산권의 경우, 데이터는 비동의 공유 가능성을 전제하므로 재산권을 완전히 부여하는 것이 적절하지 않다는 점, 데이터 자원의 독점을 보장할 방법이 마땅치 않다는 점, 데이터의 종류에 따라 그 상품화가 어려울 수 있다는 점이 문제가 된다. 인격권의 경우, 개인의 인격과 분리되어 존재할 수 없으나 데이터는 인격과 분리되고, 심지어 사망 후에도 존재하여 보호의 대상이 될 수 있다는 점, 그 침해가 비금전적 손해와 연결되는데 데이터로 인한 위해는 금 전적으로 다뤄지게 될 가능성이 크다는 점을 들었다. 이런 조건으로 인하여, 데이터 소유권을 정립하더라도 그것은 완전 소유권이 아닌 유사 소유권의 형태를 가져야 한다는 주장이 제시된다.
완전 소유권과 유사 소유권을 구분하기 위해, 소유권이 열한 개의 권리와 의무31)로 구성되어 있다는 Honor?[77]의 주장을 참조해볼 수 있을 것이다. 데이터 소유권에서 소유권의 의미는 이런 열한 개 권리와 의무 모두를 포함하는 완전 소유권이어야 하는가? 꼭 그럴 필요는 없으며, 이들 중 일부만으로도 소유권을 구성할 수 있다. 예컨대, 보건의료 데이터의 경우 환자에게 소유권이 있다고 해도, 필요한 경우(예, 감염병) 국가가 동의 없이 열람이 가능할 수 있다[76]. 데이터 소유권 구성에서도 이들 권리 전부가 아닌 일부 부분, 예컨대 전달과 계약 동의 조건과 같은 것에 초점을 맞춰야 할 수 있다. 또한, 소유권을 통해 성립하고자 하는 것이 결국 건강이라면, 데이터의 개인 귀속보다는 공공 접근권의 확립이 더 중요할 수도 있다. 따라서, 데이터 소유권은 완전 소유권을 기본으로 하나, 유사 소유권에 기초한 논의도 충분히 가능하다.
다음, 소유권은 재산의 매도가능성을 기본으로 한다. Lanier[78]는 현대 정보 경제 사회가 데이터의 가치를 숨기려 노력하고 있으나, 이로 인하여 데이터를 제공하는 다수는 혜택을 받지 못하고 소 수 기업에 그 이익이 집중되고 있다는 점을 지적한다. 점차 사회가 데이터 경제로 진입하고 있다면, 아니 이미 진입했다면, 모든 데이터에는 가치가 매겨져야 한다. Kish & Topol[79]은 현재의 보건의료 데이터 관리 제도가 데이터 공유를 통한 의학 발전을 염두에 두지 않았던 시절에 결정되었다는 점을 지적하며, 환자와 사회를 위해 건강데 이터의 공유를 촉진해야 한다고 주장한다. 촉진의 매개가 되는 것은 데이터 소유권이며, “데이터 소유권의 힘을 길들여 건강데이터 경제를 번영시켜야 한다”[79]. 이때, 데이터 소유권은 개인의 데이터 매도를 확립하는 논거로 작용한다.
한편, Floridi[80]는 ICT에 둘러싸여 사는 현대 인은 이미 정보권(infosphere)의 거주자라고 선언한다. 생물권(biosphere)에서 파생한 단어인 정보 권은 정보 객체의 정보 환경, 상호작용, 관계를 포 괄하는 표현이다. 정보권에 사는 유기체, 정보 유 기체(informational organisms, 줄여서 inforg)32)로서 인간은 데이터로 구성된 존재이자 데이터와 상호작용한다. 이런 환경에서 구식의 소유권을 말하는 것은 적절하지 않다. 우선, 스팸메일과 같이 잘못된 정보로 오염시키는 기법도 정보 차원에서 프라이버시 침해라고 말할 수 있으나, 소유권을 위배한 것은 아니다. 또, 공적으로 행사되는 프라이버시(즉, 프라이버시의 공유)를 소유권은 해석하기 어렵다. 마지막으로, 데이터의 ‘소유’는 타인에게 이전한다 해도 나의 소유가 소멸하지 않는다. 오히려, 데이터를 주체 구성의 요소로 간주할 수 있다면, 즉 정보권 속 정보 유기체를 구성하는 것이 데이터임을 인식하는 한에서 프라이버시에 접근할 때, 우리는 프라이버시를 올바르게 해석할 수 있다. 프라이버시는 인간 존엄에서 파생하여 나오는 것이 아닌 존엄 그 자체다[81]. 프라이버시의(즉, 개인 데이터의) 보호는 개인 정체성의 보호와 같기 때문이다. 이런 해석에서 데이터는 개인과 분리 불가능하고, 따라서 매도불가능한 핵심 요소가 된다.
앞 절(2.1.1.절)에서 살핀 것처럼, 데이터 소유 권 논의는 데이터 거래를 촉진하여 기술 발전을 통한 이익을 창출하려는 목적 또한 품고 있다. 데이터를 매매 가능한 것으로 하면 오히려 기업이 개인정보를 활용할 때 정보주체의 의향을 따지게 되며, 따라서 데이터의 보호를 강화할 수 있다는 주장도 가능하다[78]. 그러나, 살핀 것처럼 개인의 데이터는 개인의 정체성을 구성하는 필수적 요 소로 이해한다면 데이터의 매매가능성에는 문제가 생긴다[80]. 다시 말해, 정보화 사회에서 ‘나’는 데이터들로 구성된 존재다. 나를 구성하는 요소들인 데이터는 나와 분리할 수 없으며, 따라서 양도 불가능하다. 따라서, 데이터 소유권이 데이터 매 도가능성을 기본으로 논의하고 있으나, 아예 다른 형태의 소유권, 즉 양도불가능한 인격의 요소로서 데이터를 강조하는 데이터 소유권 담론도 구성할 수 있다.
보호의 측면에서 살펴보자. Lessig[82]는 프라이버시를 재산으로 보아야 한다는 주장을 제시하면 서, 인터넷 기업의 사례를 제시한다. 기업, 특히 인터넷 기업은 사용자의 개인정보를 활용하여 검색, 판매, 접근 기술 등을 발전시켜 왔다. 이것은 프라이버시가 모호하기 때문에 발생한 상황이나, 프라이버시를 재산으로 여긴다면 벌어질 수 없는 일이다. 따라서, 소유권적 접근은 보호를 위해 탁월한 접근일 수 있다(“만약, 어떤 자원을 재산으로 보게 만들 수 있다면, 보호를 위한 목표점까지 90% 도달한 것이다”[82]).
그러나, 데이터 관리의 목적은 보호에만 있지 않다. 개인이 데이터를 통제한다는 것은 그 사용의 제한을 의미할 수도 있지만, 다른 한편 공 동선을 위한 공유를 의미할 수도 있다[83]. 개인 이 데이터 활용을 결정하는 것은 외적 강압에 의한 데이터 착취나 개인의 이득을 위한 판매 행위 만이 아닐 수 있다. 익명화되어 개인정보가 아니게 된 자료는 마음껏 사용할 수 있는 것으로 여겨 지지만, 익명화 과정에서 쓸모없는 자료가 되어버릴 수 있다[84]. 이런 ‘공유 데이터의 비극’을 피하기 위해선, 개인이 데이터를 공유하기로 결정하는 “명예로운 공적 봉사자(honorable public servant)”의 역할을 맡도록 독려할 필요가 있다[84]. Hummel et al.[85]은 장기 기증이나 인체유래물 기증과 같은 선에 있는 데이터 기증(data donation)에 대해 논의하면서, 데이터를 기증하기 위한 전제로 소유권이 필요할 수 있으나 그것은 보호를 위한 재산권적 접근과는 구별된다는 점을 살핀다. 여기에서 기증자는 데이터를 상실하는 것이 아니라, 프라이버시에 관한 주장을 잠시 중단할 뿐이다.
기본적으로 데이터 소유권은 개인정보와 프라이버시를 보호하기 위한 것으로 여겨지며, 이때 데이터를 재산으로 본다면 그 취득, 활용, 매매와 같은 조건들을 직관적으로 파악 가능하다는 장점이 생긴다. 데이터 소유권의 시초가 된 논의를 제시한 Westin 또한 개인 프라이버시에 관한 결정은 재산권에 기초하여 다루어져야 한다고 주장하였다. 하지만, 데이터를 재산으로만 상정하는 것은 어려움이 있는데, 로크의 주장으로 보자면 재산은 노동으로 발생하는 것이기 때문이다.33) 정보주체는 데이터에 어떠한 노동도 가하지 않으며, 따라서 그가 재산권을 주장하는 것은 문제가 될 수 있다. 오히려, 데이터 소유권이 보호하고자 하는 것은 재산권적 의미에서 귀속된 데이터의 안전이 아니라, 개인의 정보 공간에 타인을 허용할지에 관한 결정권이다. 이것은 단지 나의 정보를 다른 사람의 손으로부터 통제하는 것만을 의미하지 않는다. 정보권-정보 유기체 관점에서 내가 데이터로 구성되었다면, 나는 데이터의 그물망 안에 위치하는 관계적 존재이기도 하다. 그렇다면, 데이터 소 유권은 오히려 개인이 어떤 방식으로 데이터를 공유할 것인지를 결정하는 논의를 다뤄야 한다[83]. 다시 말해, 데이터 소유권은 어떻게 개인이 데이 터를 통해 타인과 연결되는가를 중심으로 구성되어야 한다는 것이다.
마지막으로, 데이터 소유권 논의는 데이터의 소 유주를 기본적으로 개인으로 상정한다. Mikk et al.[88]은 건강데이터의 소유권을 환자에게 부여 하는 것이 환자와 의료인 모두에게 도움이 될 것이라고 주장한다. 정보 접근권을 향상하여 환자의 참여를 지지, 지원하고, 환자를 의사결정에 참여시킬 수 있으며, 약물 복용 충실성(medication adherence)을 높이고 불필요한 이미지 촬영을 줄 이는 등 경제적 효과도 가져올 수 있다는 것이다. 이것을 임상 환경과 연결하기 위해선 CDM, 면담 데이터 자동 등록, 데이터 활용 동의(DUA)34)와 같은 환자-관리자 간 계약이 요청된다. 데이터 소 유권의 측면에서 보았을 때, 이런 건강데이터 활용의 실제적 모형은 환자 개인에게 데이터 소유권을 일차로 부여하는 것을 기본으로 한다.
한편, Montgomery[89]는 현재 데이터, 특히 건강데이터 활용에 관한 논의가 개별 데이터 항목이 아닌 데이터 집합에서 출발한다는 점을 강조하며 환자 개인의 데이터 소유권은 적절하지 않을 수 있다는 점을 지적한다. 데이터 집합이 기본 단위라면, 데이터 소유권의 기본 단위 또한 개인이 아닌 집단이어야 하며, 그 관리 주체는 사회여야 할 것이다. 더구나, 전술한 것처럼 만약 소유권을 개인에게 부여한다면 건강데이터 소유권은 환자보다, 그것을 관측하고 기록하여 데이터의 형태로 만든 의료인에게 귀속된다고 보는 것이 타당하다. 따라서, 적어도 건강데이터 소유권은 공동 귀속, 공동 관리의 형태를 띠어야 할 필요가 있다. Prainsack[90]은 디지털 공유지(digital commons)에 관한 논의에서 비록 데이터가 물리적 요소를 지니고 있을지언정 그것은 기존의 물건과 상이하며 복제 가능성에 기반을 둔 복수성을 띤다는 점에서 공동의 지배구조를 요구한다는 점을 명확히 한다.
정보주체는 개인이며, 따라서 개인의 프라이버시 보호나 데이터의 매도가능성에 관한 논의는 데이터가 단일 주체에게 귀속되어 있다는 전제에서 가능한 논의다. 그러나, 집단(collective)이나 공동 (common) 또한 소유의 주체가 될 수 있으며, 공동의 재산을 함께 활용하는 방법을 결정하기 위해 국가의 지배구조(governance)와 정의론적 논변이 적용된다. 특히, 데이터의 경우 개별 항목으로서는 의미가 없다는 것과 함께, 데이터의 활용을 통해서 추구하는 이익이 무엇인가가 문제가 된다. 다시 Prainsack[90]의 데이터 공유지(data commons)에 관한 논의에 따르면, 데이터 공유지에 참 여한다는 것은 데이터 공유지에 자신의 데이터를 입력하고, 공동 데이터를 활용하며, 그 이득을 누리고, 지배구조에 참여하는 것을 의미한다. 이것은 데이터를 집단이 소유할 수 있음에 관한 예시 이자, 데이터를 활용하여 추구하는 목적을 반영하는 것이다. 이를테면, 건강데이터의 수집과 활용은 건강을 위한 것이며, 금융데이터의 수집과 활용은 경제 활성화를 위한 것이고, 그에 포함된 모 두에게 이득을 나누는 것이 그 목적이 된다. 따라서, 소유권적 의미에서 데이터 소유권은 개인 소유를 기본 모형으로 하나, 집단 소유도 충분히 고려 가능한 대상이 될 수 있다.
지금까지 살펴본 데이터 소유권에 관한 이론적 고찰의 충돌 지점은 데이터 소유권 개념의 다면 성을 보여주는 한편, 어느 한쪽의 의견만을 따르 기 어려운 딜레마 상황을 제시한다. 논의의 각 축에서 어느 쪽에 가까운 견해를 수용하고 구체화할 것인지에 있어, 관련 가치, 결정, 사회 구조, 문화, 경제적 상황, 기술적 수준 등 관련된 여러 사항을 따져보는 사회체적인 접근이 필요하다.
그러나, 이런 논의를 고찰하면서 확인할 수 있는 점이 하나 있는데, 데이터 소유권에 관한 여러 논의가 두 가지 차원을 중심으로 벌어지고 있다는 것이다. 첫째, 데이터로 발생하는 이득과 위해를 어떻게 분배할 것인가? 앞서 살핀 매도가능성/양도불가능성과 보호/참여라는 두 축은 데이터와 연관된 당사자가 부당한 분배 구조로 인한 손상(injury)을 입을 가능성은 없는지, 반대로 특정 계층이 부당한 이득을 누리는 것은 아닌지에 관한 논의다. 둘째, 데이터 보호, 활용, 관리에 참여 하는 자는 누구이며, 어떤 권리를 지니는가? 앞의 소유권/유사소유권, 개인/집단 귀속의 두 축은 데이터 당사자가 그 과정에서 자신을 인정(recognition)35)받을 수 있는지, 배제되어 자신의 견해를 표출할 수 없는지에 관한 논의다. 이 두 차원이 정의의 두 차원을 구성한다고 주장했던 것이 낸시 프레이저(Nancy Fraser)였으므로, 우리는 여기에서 프레이저의 비판적 정의론을 간략하게 검토한 다음, 여기에 기초하여 건강데이터 소유권의 윤리가 따져야 할 사항들을 살펴보고자 한다[70].36)
프레이저는 정의의 두 요구가 있음을 관찰한다[91]. 한쪽은 오랫동안 논의됐으며 여러 이론적 확장을 보여온 분배(redistribution) 패러다임으로, 예컨대 존 롤스(John Rawls)의 『정의론』이 제시한 평등주의적 자유주의(egalitarian liberalism)는 정치경제적 불평등의 문제를 해결하기 위해 노력해 왔다. 다른 한쪽은 최근 부각된 문화적 부정의를 다루는 정체성 정치(identity politics)나 다문화주의(multiculturalism)의 요구이며, 이들은 인정 패 러다임의 문제를 제기하고 있으며, 점차 그 담론의 범위나 중요성은 커지고 있다. 이런 요구 앞에서 오히려, 전통적인 분배 패러다임은 점차 힘을 잃고 있는 것으로 보인다.
그 이유로 프레이저는 분배 논의가 최근의 사회 정치적 논쟁을 제대로 포착하지 못한다는 점을 지적한다[92]. 우리 사회의 예로 보자면, 트랜스젠더 의사회적 참여 문제는 경제적 자원의 분배 문제가 아니다. 오랫동안 투쟁을 이어오고 있는 일본 군 위안부 문제도 마찬가지다. 최근 코로나19 백신의 국제, 국내 배분 문제는 기존의 분배정의적 틀로는 완전히 해결되지 않는다. 물론, 이런 ‘문화적 범주’가 생산양식, 즉 경제구조에 영향을 미친다는 주장은 타당하다[93]. 그러나, 프레이저[94]가 적절히 지적하고 있는 것처럼, 경제적 문제에 앞서 “제도화된 해석·평가”가 이들을 참여하지 못하게 가로막는다. 이런 문제의 해결을 위해선 타자의 요구를 어떻게 받아들일 것인가의 차원이 작동해야 하며, 따라서 이들이 사회문화적으로 인정을 받을 수 있는지를 중심으로 다루어야 한다.
이런 인정의 문제는 흔히 특수성의 요구이므로 정의의 문제가 아닌 자기실현의 문제로 여겨져 왔으나[95], 프레이저는 이것을 정의의 문제로 볼 것을 제안하고 있다. 프레이저의 기획은 두 가지다. 첫째, 21세기 초를 주도해 온 정치적 경향인 정체성 정치는 이론적 한계를 지닌다. 그러나, 이들 운동이 제기하는 문제 또한 정의의 문제이며, 이것은 경제적 해결책만으로는 답해질 수 없다. 둘째, 따라서 프레이저는 정의를 경제와 문화 두 차원으로 나누어 접근할 것을 주장한다.
그는 인정 패러다임의 문제 해결에서 특정 집단을 고립시키고 다른 집단을 약화시키는 방향으로 움직이는 정체성 정치는 자기모순에 빠진다고 보며, 집단의 구분을 흐릿하게 만들어 서로의 요구를 동등하게 만드는 방식이 인정 문제의 해결책으로 제시되어야 한다고 본다[91]. 코로나19에 서도 확인할 수 있었던 것처럼, 인정의 문제는 전 세계적으로 갈등을 일으키고 있다. 대표적인 예로, 2020년 미국을 끓어오르게 했던 조지 플로이드(George Floyd)와 인종 갈등의 문제가 있다. 또 한, 여전히 해결되지 않고 갈등 국면이 이어지고 있는 난민의 지위 문제가 있다.
이렇게 분배 대신 인정의 정치적 요구가 커지는 상황에서 나타나는 두 가지 경향성이 있다[96]. 하나는 대체(displacement)의 문제다. 인정이 분배 정치를 대체하여 분배 문제를 “주변화·퇴색화”하는 것이다. 다른 하나는 물화(reification)의 문제다. 인정으로 인한 투쟁이 문화적 상호작용을 촉진하기는커녕, “집단 정체성을 극적으로 단순화하거나 물화하는” 결과를 낳는다. 즉, 인정의 요구를 어떤 방식으로든 다루기만 하면 되는 것은 아니다. 오히려 흔히 나타나는 인정투쟁의 해결 방식 인 정체성 정치는 집단의 고립을 낳을 뿐이다.
대안으로 프레이저는 인정의 지위 모형(status model)을 주장한다. 여기에서 문제가 되는 것은 집단 정체성의 문제가 아닌, 개인의 참여를 방해 하는 “사회적 종속”이다. 이를테면, 미국의 인종 갈등 문제를 백인 대 흑인의 정체성 갈등으로 이해하는 것이 아니라, 흑인이 동등한 시민으로 대우받지 못하게 만드는 사회적 양식과 제도의 문제로 이해하는 것이다. 이 모형은 이런 사회 행위자의 참여를 가로막는 제도적 장벽을 부정의한 것으로 보고, 그 시정을 요구한다. 또한, 제도화된 손 상, 즉 문화와 제도를 통해 이미 굳어져 있는 가치 박탈과 사회적 배제를 치유하기 위한 제도적 개선책을 촉구한다. 그것은 개인과 집단의 상호작용을 규정하는 가치와 의미에 도전하여 문화적 실천을 바꾸고, 사회문화적 삶의 참여를 확보하기 위한 새로운 문화적 양식을 설정하여 개인의 참여를 보장한다.
그렇다고 프레이저가 기존의 분배정의 패러다임을 포기하는 것은 아니다. 그는 경제의 문제가 문화의 문제로 환원될 수 없는 부분이 분명 있으며, 예컨대 탐욕적 인수·합병으로 인하여 발생한 실직자의 경우 그것은 (적어도 문제의 출발점에 선) 인정의 문제와 상관없다는 점을 분명히 한다. 경제적 착취를 당하는 이에게 있어, 정의의 실현은 분배적 차원의 접근이 필요하다.
물론, 대부분의 사회 문제는 분배와 인정의 두 차원이 혼합되어 나타난다. 이를테면, 여성은 분 배 관점에서 남성에 비해 열악한 대우를 받는 경제적 조건 안에 놓여 있다. 또한, 여성은 전통적으로 돌봄이나 출산을 노동으로 인정받지 못했으며, 이것은 인정 관점의 문제다. 이런 상황에서 정의를 요구하는 것은 분배와 인정, 두 차원을 모두 다룰 필요성을 제기한다. 여성의 취업과 노동 조건을 살피는 한편, 여성의 문화적 지위를 재고해야 한다. 이렇게 정의의 두 차원은 함께 나타나지만, 이론적으로는 둘을 구분하여 다루는 것이 통합된 이론 제시 및 ‘의무론적’ 정의관의 추구에 있어 합 리적이다. 따라서, 프레이저는 분배와 인정의 두 차원을 한꺼번에 다루는 정의의 개념을 요청한다. 개인이 사회에 참여하는 것을 가로막는 불평등한 분배(maldistribution)와 무시(misrecognition)라는 두 축으로 구성되는 부정의는 제도적 차원에서해 소되어야 한다[95]. 프레이저는 동등한 참여(parity of participation)를 추구하는 정의론이 두 차원의 문제를 한꺼번에 다룰 수 있다고 본다[95]. 동등한 참여는 “종속된 사람들이 동등한 시민으로서 다른 사람들과 상호작용할 수 있는 사회생활의 완벽한 당사자가 되는 것”을 목표로 하여, “다른 차원의 불평등을 유발하거나 강화하지 않는” 접근법을 요구한다.
이 문제에 접근하는 데 프레이저는 분배의 축과 인정의 축은 별도의 문제로 통합될 수 없는 관점적 이원론(perspectival dualism)을 취한다[97]. 프레이저의 이런 접근에는 몇 가지 난점 또는 추가적인 논의사항이 남아 있으나,37) 우리는 데이터 소유권의 윤리를 구상하는 데 있어 프레이저의 분 배-인정 이원론에서 출발하는 것을 제안하며, 이것은 프레이저의 관점이 건강데이터 소유권의 윤리를 확립하는 데에 있어 현실적인 틀을 제공하고 있기 때문이다. 비판적 정의론에서 데이터 소유권은 데이터 세상에서 거주하는 데이터 참여자의 물질적 자원 분배와 사회문화적 인정을 다루는 개념으로 다시 정식화될 수 있다.
우리는 건강데이터 소유권의 윤리가 무엇을 다루어야 하고 다룰 수 있는지 이 논의를 통해 구체적으로 확인할 수 있다. 건강데이터 소유권의 윤리는 건강데이터 순환의 고리에 얽힌 개인들의 분 배와 인정에 관한 문제를 다루어야 한다. 데이터를 비식별화하면 개인과 데이터는 무관한 것이 아니냐고 생각할 수 있으나, 우리는 다음 두 가지 논 거로 인하여 그 주장에 한계가 있음을 지적하고자 한다. 첫째, 전술한 것처럼 어느 정도의 비식별화는 언제나 재식별화의 위험성을 동반한다. 재식별 화에 대한 대비 및 처벌을 논의하는 것과는 별도로, 우리는 건강데이터를 포함한 개인데이터가 개인과 완전히 독립적으로 존재하기 어렵다는 점을 인정할 필요가 있다. 둘째, 심지어 비식별화된 데이터라 할지라도, 그 데이터를 제공하고 구성한 자는 데이터의 저장과 활용의 처리에 관한 논의에 참여할 권한을 지닌다. 앞서 살핀 것처럼, 비식별 화한 데이터가 완전한 익명성을 보장하는 것이 원리상 불가하다면, 비식별화 데이터도 여전히 정보주체와 연결성을 상실한 것은 아니라고 말할 수 있다. 더불어, 건강데이터의 활용이 개별 데이터 항목이 아닌 데이터 집합의 차원에서 이루어진다면, 데이터 집합에 참여한 개인은 모두 데이터 활용과 관련되어 있다. 이것은 데이터를 구성한 개인, 예컨대 환자와 의료인이 데이터 활용의 절차와 관리, 즉 데이터 거버넌스에 참여할 권리를 부여한다. 주체에게 소유권적 이득 분배를 하지 않을지라도, 데이터 생성에 참여한 자가 그것을 어떻게 처분할지에 관한 집단적 논의에 참여하는 것은 ‘소유권’을 보장하는 다른 방식이 된다. 위에서 살펴본 것처럼, 소유권이 물건의 개인 귀속만을 의미하는 것이 아니라 주체가 대상에 관한 통제 또는 관리 권한을 행사하는 것도 소유권의 한 방식으로 이해할 수 있다면, 데이터 관리에 관한 정책적 방향에 직접 참여하는 것 또한 소유권의 하나일 수 있기 때문이다.
이런 견해 위에서, 우리는 건강데이터 소유권의 윤리가 데이터 당사자(포괄적 주체)와 데이터가 맺는 정의로운 관계를 규명하고자 하는 논의이며, 그것은 데이터 경제의 분배 차원 및 데이터 문화 구조의 인정 차원으로 구성됨을 주장하고자 한다. 두 차원은 교차하는 건강데이터 소유권의 쟁점에 동시에 작용하므로 이를 두 가지 별도 논의로 명확히 구분하는 것에는 한계가 있다. 그러나, 앞서 살핀 매도가능성/양도불가능성과 보호/참여 논의는 데이터 경제 차원에서, 소유권/유사소유권, 개 인/집단 귀속 논의는 데이터 문화 차원에서 구체적으로 다루어질 수 있다.
특히 분배의 차원에서, 건강데이터 순환에서 발생하는 이득과 위해가 어떻게 분배되는지, 그것은 어떤 제도적 장치로 인하여 구상되고 구현되는지를 검토해야 한다. 데이터 경제구조로 인하여 착취, 주변화, 박탈38)이 발생하지 않는지 살피고, 이런 부정의의 발생을 해소하고 해결하기 위한 제 도적 변화를 추구해야 한다. 인정의 차원에서, 그것은 각 당사자가 데이터의 처리 과정에서 어떻게 포함되고 배제되는지를 살필 수 있는 틀을 제시해야 한다. 데이터 권리구조로 인하여 문화적 지배, 불인정, 경멸39)이 발생하는지, 데이터 제공자, 관 측자, 관리자, 처리자 중 권리를 행사하지 못하거 나, 지배구조에 참여하지 못하는 당사자가 있는지 살펴야 한다. 마지막으로, 건강데이터 소유권은 공통의 목표인 동등한 참여를 위해 구성되어야 한다. 건강데이터의 보호와 활용의 최종 목적은 건강이므로, 건강데이터 소유권이 누구의 어떤 건강을 보장할 것인지가 다루어져야 한다.
다시 건강데이터의 개념으로 돌아가자. 시작하면서, 우리는 건강데이터를 개인이 건강과 관련하여 삶의 경로에서 인간·비인간과 상호작용으로 생성하는 신체정신적, 사회적, 규범적 신호로 정의하였다. 이것은 앞서 Floridi의 논의에서 등장한 정보 환경 속 정보 유기체의 정체성과 조응한다. 더불어, 이런 데이터는 개인이 혼자 만들어 내는 것이 아니라, 타인(인간과 비인간을 포함한)과의 관계에서 산출된다. 그것은 신체적(심장 박동수), 정신적(감정 상태) 차원뿐만 아니라, 사회적(대인 관계), 규범적(정체성의 규정) 차원에서 만들어지는 신호다.40)
여기에서 건강데이터는 다차원적이고 양적, 질적 기술 양측을 모두 포괄한다. 무엇보다, 이것은 건강데이터가 표현하고자 하는 건강이라는 특성이 생리학적 차원에만 머물지 않음을 명확히 한다. 또한, 앞선 논의의 연장선에서, 왜 건강데이터 소유권의 윤리가 필요한지를 잘 보여준다. 건강데 이터 소유권은 단지 건강데이터를 개인이 소유할 지의 문제가 아니다. 건강데이터 소유권은 건강데이터가 어떻게 분배되는가에 더하여, 누가 데이터의 보호와 관리에 참여할 수 있으며 얼마만큼 참여할 수 있는지의 문제와 직접적으로 연결되어 있다.
즉, 건강데이터 소유권의 윤리는 건강데이터 제공자, 수집자, 관리자, 처리자 사이 인정의 문제와 직접 연결되어 있다. 무엇보다, 인정은 데이터의 보호와 활용에서도 문제가 되며, 거꾸로 데이터를 다룸을 통해 대상을 존중하거나 무시할 수 있다. 건강데이터는 그 자체로 개인을 구성하는 요소이므로, 어떤 건강데이터가 포함 또는 배제되는가의 질문은 의료적 차원의 인정 질서를 직접 보여준다. 또한, 데이터 소유권은 계속 논의된 것처럼 분 배의 문제이기도 하다. 소유권을 둘러싼 오랜 질 문, “데이터 활용으로 생산된 재화는 누구에게 돌 아가야 하는가?[104]” 자체가 분배의 질문이다.
따라서, 건강데이터 소유권의 윤리는 정의론적 논변, 특히 이전의 분배정의를 넘은 비판적 정의론 또는, “목적론적” 정의 또는 “인정으로서의 분배[98]” 차원을 포함한 논의를 통해 다듬어질 필요가 있다고 보며, 우리는 여기에서 몇 가지 사항을 제언하고자 한다.
첫째, 건강데이터 활용을 통한 이득이 적절히 분배되기 위한 지배구조가 필요하며, 여기에는 각 당사자가 참여할 수 있도록 해야 한다. 데이터 매매의 방식으로만 건강데이터에 접근하는 것은 건강데이터에서 특히 어려운데, 환자 또는 일반인은 데이터의 가치를 알 수 없으며 자신이 직접 생산하지도 않고, 의료인 또한 법적, 윤리적 조건에서 스스로 데이터 매매의 당사자가 될 수 없으므로 데이터 수집 외에 별다른 이득이 없다고 생각할 것이다. 결국, 매매로 구현되는 이득은 관리자인 병원과 처리자인 연구소, 기업, 단체 사이에서만 존재할 수 있다. 따라서, 이들 사이에서 적절히 이득이 분배되는 방향을 논의하고 구현할 수 있는 지배구조가 필요하다. 이 과정에서 데이터 수집과 활용에 관련된 참여자 모두는 당사자로서 데이터 활용·관리 과정에 관한 직·간접적 참여를 보장받아야 한다. 또한, 다수가 참여하여 데이터베이스를 구축하고 분석하게 되는 건강데이터의 특성 상, 개인의 기여분에 따라 이득을 분배하는 것보 다는 집단의 이익을 추구하는 방향을 고려하는 것이 타당해 보인다.
둘째, 건강데이터 보호는 포함과 배제의 차원을 고려하여 구성되어야 한다. 기존에 고려되었던 프라이버시의 소극적, 적극적 보호에 더하여, 우리는 건강데이터 보호를 말함에 있어 누가 보호의 대상이 되고, 누가 보호에서 배제되는가를 엄밀히 고려해야 한다고 주장한다. 건강데이터와 관련하여 특히 논쟁이 되는 유전정보의 경우, 가족이나 친척, 또는 이전에 혈연관계임을 알지 못했던 자까지 보호의 대상인지가 문제가 된다. 우리는 이 논의가 모두를 다 포함해야 한다고 주장하는 것이 아니며, 이것은 현실적으로 불가능할 수 있다. 오 히려, 건강데이터 소유권의 논의는 포함되는 자와 배제되는 자의 기준에 민감해야 한다.
예컨대, 우리는 Prainsack[90]의 논의를 참고하여 데이터 순환에서 부당한 배제가 발생하는지 질문할 수 있다<Table 2>. 데이터를 보호하고 활용 하는 데 참여/배제의 권리는 어떻게 구성되는지 살피고, 이것이 분배와 인정에 미치는 영향을 따져야 한다. 다시 말해, ‘누구’의 소유권이 ‘어떻게’ 구성되는지, 다시 말해 건강데이터의 인정 구현 방식은 무엇인지 구체적으로 논의할 필요가 있다.
배제의 차원 | 고찰해야 할 질문 |
---|---|
디지털 공유지에 개인의 데이터를 포함시키는 것으로부터의 배제 | 1. 부당한 배제인가? 2. 배제로 인하여 배제당한 자의 근본적인 필요와 관심에 부정적인 영향이 가해지 는가? |
디지털 공유지에 있는 데이터를 활용하는 것으로부터의 배제 | |
디지털 공유지로부터 혜택을 누리는 것으로부터의 배제 | |
지배구조에서의 배제 |
셋째, 무엇보다, 건강데이터 소유권의 윤리는 전체의 건강(health for all)을 위해 작동해야 한다. 1978년 “알마아타 선언(Alma-Ata Declaration)” 이 제시한 이 개념은 그동안 일차 보건 의료를 강화하기 위한 목표이자 전략으로 활용되었다[105]. 이 개념은 따라서 “모든 이들의 건강” 또는 “모든 사람의 건강”으로 번역되었다[106,107]. 그러나, 코로나19 국면을 지나면서 인간만의 건강을 추 구하는 것은 협소한 목표일 수 있다는 생각이 원 헬스(One Health) 개념과 함께 부각되고 있으며 [108], 우리는 인간과 비인간의 건강 모두가 당면 과제가 되고 있음을 살펴야 한다고 생각한다. 특히, 정보권의 관점에서 볼 때 데이터 소유권에 관한 논의는 특정 개인이나 특정 집단만을 위한 건강을 목적으로 이루어져서는 안 된다. 데이터는 정보권에 위치한 인간과 비인간 모두에서 생성되므로, 이를 보호하고 활용하기 위한 건강데이터 소유권의 윤리 개념이 이들 모두를 위한 것이어야 하는 것은 타당한 목적으로 생각된다.
이에, 우리는 건강데이터 소유권의 윤리가 개인의 데이터 소유를 강화하는 방식으로만 구현된다고 생각하지 않으며, 개인을 포함한 집단 또는 집합(인간과 비인간을 포함한)의 건강을 위해 데이 터를 어떻게 보호하고 활용해야 할지의 논의가 기본이 되어야 한다고 본다. 그러나, 이것은 집단을 위해 개인이 희생할 수 있음을 전제하지 않는다. 단, 데이터의 활용에서 개인에게 부득이한 위해가 발생할 수 있다면, 그리고 심지어 이것이 데이터 순환의 구조에서 의도치 않게 발생할 수 있다면, 발생한 위해를 효과적으로 다루고 경감할 것인지에 관한 논의를 함께 진행해야 한다[109].
즉, 건강데이터 소유권의 윤리는 분배와 인정의 차원을 효과적으로 다루기 위한 담론으로 작동해야 하며, 이것은 데이터 순환에 참여하는 각 당사자가 데이터 공유와 활용에 능동적으로 참여할 수 있도록 보장하는 방식으로 구성되어야 한다. 이것은 경제적 이득 분배의 정당성 또는 공정성에 더하여, 각 당사자가 데이터 순환 과정에서 자신의 사회문화적 위치를 보장받을 수 있어야 함을 의미한다. 예컨대, 인체유래물 등을 기증하여 의학 연구에 활용하는 경우, 기증자에게 연구를 통한 이익을 공유하지 않는다. 같은 궤에서, 데이터를 제공한 환자에게 연구에서 발생한 이익을 공유하지 않거나, 데이터베이스 구성에 다수가 비대칭적으로 참여하였으므로 이익을 분배하는 것이 현실적으로 불가능할 수 있다. 그러나 환자는 데이터 제공자로서 자신의 기여와 역할을 사회문화적으로 인정받아야 하며, 데이터 관리나 활용의 제도적 운용이나 그 이득의 사회적 분배 결정 과정에 환자가 참여할 수 있도록 자리를 마련해야 한다. 이것이 여타 당사자에게 모두 적용되므로, 우리는 건강데이터 소유권의 윤리가 데이터 순환에 참여하는 각 당사자에게 적절한 분배와 인정을 보장하며, 따라서 각자 그 역할과 책임을 부여하는 과정이라고 주장하고자 한다.
Ⅲ. 결론
논문은 건강데이터 소유권을 중심으로 지금까지 법적 논의를 개괄하고, 그 바탕 위에서 윤리적 논의가 필요함을 밝히고자 했다. 그러나 지면의 한 계와 현재 진행된 논의의 불충분함으로 인하여, 본 논문은 건강데이터 소유권의 윤리를 규명할 수 있는 틀을 구상하는 것에서 그쳤다. 관련하여 추가적인 논의가 계속 요청될 것이며, 여기에서 포함되지 않은 건강데이터 관련 문제를 다룰 수 있도록 틀 자체도 개정되어야 할 것이다.
건강데이터 소유권의 윤리에 관한 논의는 아직 구체화되지 않았다. 국내의 데이터 소유권 관련 논의는 오로지 법적 차원에서만 진행되었고, 외국이라고 하여 특별히 상황이 다르지는 않다. 이것은 데이터 소유권 논의가 ‘소유권’이라는 법적 쟁점을 다룬다는 점에서 당연할 수 있다. 그러나, 우리는 건강데이터 소유권의 윤리에 관한 논의가 다음과 같은 이유에서 필요하며 더 진전되어야 한다고 생각한다.
첫째, 데이터 소유권의 법적 논의가 현행의 법적 개념과 법령의 개정을 요구하면서 마무리되었다면, 법이 나아가야 할 방향성을 윤리적 논의가 제시해줄 수 있기 때문이다. 물론, 법 또한 자체의 추구를 지니고 있으며, 어떤 법을 만들 것인가의 지향을 검토하는 것은 법학적 논의라고 할 것이다. 그러나, 우리 사회가 데이터를 어떻게 바라볼 것인가, 데이터 소유권은 어떤 역할을 해야 하는가, 건강데이터 소유권은 각 당사자와 의료 제도에서 어떤 목표를 가지고 추구되어야 하는가와 같은 질문은 윤리적 검토가 필요하다. 이것은 법적 논의를 배제하는 것이 아니라, 법의 논의를 윤리가 더 풍성하게 해줄 수 있음을 보여주는 부분이기도 하다.
둘째, 앞서 검토한 것처럼, 건강데이터 소유권은 그 자체로 윤리적인 요구이기도 하기 때문이다. 다른 데이터와 달리 건강데이터는 개인과 분리하여 생각하기 어렵기에 그 보호에 관한 문제가 첨예하게 제시되었다. 특히, 건강데이터를 나의 신체적, 정신적 구성요소로 해석한다면, 자기 신체에 관한 통제권이 있다는 신체자기결정권 또는 자율성의 측면에서 건강데이터에 관한 통제권은 당연히 부여되어야 할 수 있다. 그러나, 그것은 기존의 물권적, 재산권적 방법과는 상이해야 할 수 있으며, 오히려 건강데이터의 측면에서 개인이 어떤 권리를 어떻게 행사할 것인가에 관한 자율규제적 접근을 필요로 할 수 있다. 이런 의무론적 접근을 논의하기 위해서, 윤리는 다른 어떤 분야보다 풍성한 지반을 마련하고 있다.
셋째, 건강데이터 소유권에 관한 논의를 진행함으로써 개인과 집단 또는 개인과 사회의 이분법적 접근을 다른 방식으로 조명해볼 수 있을 것으로 기대되기 때문이다. 국가의 통제로부터 개인의 권리를 보장하거나, 사회의 이득을 위해 개인의 활동을 제한하는 법적 논리는 현실의 문제를 해결하기 위해 꼭 필요하나, 데이터 소유권과 같이 한편에선 보호를, 다른 한편에선 활용을 추구해야 하는 문제를 충분히 해명하는 데 한계가 있다. 물론, 이것은 윤리나 의료윤리에서도 마찬가지였고, 특히 개인 차원의 의료윤리(자율성 담론)와 집단 차원의 의료윤리(정의 담론)는 서로 충돌하는 것으로 여겨졌다. 그러나 현재, 데이터를 포함한 많은 의료의 문제들이 개인과 집단의 분리로는 해결되지 않는다. 당장 코로나19 국면에서만 해도, 방역을 위한 개인 권리의 제한이나 강제를 끝까지 밀고 나간 전체주의적 모형도, 개인의 권리만을 추 구한 개인주의적 모형도 문제가 있음이 드러났고, 우리에겐 개인과 사회를 조율할 수 있는 이론적 틀이 필요함이 분명해졌다. 물론, 이것은 법적 타협으로 달성할 수 있는 과제일 수 있다. 그러나, 이런 개인-사회의 통합을 해명할 수 있는 이론적 종합은 학문적으로도, 실제적으로도 요청되는과 제일 것이다. 이런 이론적 입장을 통해, 우리는 그 통합적 위치에서 발생하는 새로운 문제와 요구를, 그 위치가 밝혀주는 새로운 원칙과 가치를 확인할 수 있을 것이기 때문이다. 건강데이터 소유권의 윤리는 바로 이 통합의 지점에 위치한다.
넷째, 건강데이터 소유권의 윤리에 관한 논의는 기존 의료윤리에서 충분히 논의되지 않았던 부 분을 조명해줄 것으로 기대되기 때문이다. 의료정 의론은 그동안 의료자원 분배원칙에 관한 논의에만 집중하고 인정(recognition)에 관한 부분은 ‘환자 차별 금지’라는 명제 외에는 구체적으로 전개하지 않았다. 그러나, 코로나19에서 인종 문제나 국제-국내적 관점의 충돌이 부각되고, 이런 부분은 그간 진행됐던 자원 분배 담론으로는 해결할 수 없음이 점차 드러나고 있다. 데이터 소유권의 윤리가 프레이저의 이론과 관련 논의를 끌어들여 분 배와 인정에 관한 문제를 다져갈 때, 의료윤리 전반에서도 관련 쟁점을 다룰 수 있는 지반을 확보 할 수 있을 것으로 기대해 본다.
건강데이터 소유권의 윤리는 다음 사항 또한 함께 다루어야 할 것이다. 해결이 필요한 훨씬 많은 문제가 있을 것이나, 다음에는 그중 일부만 나열하여 보았다. 첫째, 건강데이터 중 어느 것을 소유 권 또는 관련 권리의 틀에서 다룰 것이며, 그런 접근이 꼭 필요한가? 둘째, 건강데이터와 개인, 사회의 연결은 어떤 존재론적 틀에서 다룰 것인가? 셋째, 현재 진행된 법적 논의는 윤리적 고찰에 어떤 영향을 주고 있으며, 윤리적 견해는 법적 결정을 어떻게 조명할 수 있는가? 넷째, 건강데이터 지배구조의 운영과 감독은 어떻게 이루어져야 하는가? 다섯째, 부당한 배제가 아닌 경우, 배제된 자가 입은 손해는 구체적으로 어떻게 다루어져야 하는가? 본 논문은 이런 문제를 구체적으로 규명하지 않았으나, 이 모든 문제가 중요하지 않아서가 아니라 일단 큰 틀을 제시한 후 각 문제를 별도의 지면을 들여 소명해야 할 필요성이 있기 때문이다. 프레이저의 비판적 정의론과 건강데이터 소유권의 윤리에 관한 심도 있는 고찰과 함께, 이들 세부적인 문제를 추후 개별 과제로 더 구체적으로 탐구하여, 우리는 건강데이터 및 그 가장 포괄적 의미에서의 주체가 맺는 윤리적 관계를 명확히 할 수 있기를 기대한다.