서울중앙지법 두번째 형사 공판…검찰-변호인단 주장 상반
"주민등록번호가 암호화 됐더라도 개인정보다."(검찰)
"암호화 돼 식별할 수 없는 개인정보는 개인정보가 아니다."(변호인단)
암호화된 개인 정보를 법률적으로 바라보는 시각이 극과 극으로 달랐다.
서울중앙지방법원 제22형사부(재판장 장준현)는 15일 오후 개인정보보호법위반 등의 혐의로 기소된 약학정보원, 한국IMS헬스, 지누스에 대한 두번째 공판을 진행했다.
두번째 공판은 당초 예고됐던 대로 검찰과 변호인의 입장을 발표하며 쟁점을 확인하는 자리인만큼 2시간 30여분 동안 진행됐다.
검찰은 이들을 기소 결정한 이유를 하나하나 나열했다.
심형석 검사는 "개인정보 암호화는 개인정보의 안전성 조치 방법의 일환"이라며 "개인정보를 암호화 했다고 해서 개인정보성이 없어지는 것이 아니다"라고 선을 그었다.
이어 "암호화했다고 개인정보가 아니라고 하면 제3자가 개인정보를 해킹으로 빼냈다고 하더라도 유출문제가 생기지 않는 불합리한 경우가 발생한다"며 "개인정보가 유출됐을 때 규제할 수 없는 상황이 생긴다"고 설명했다.
약학정보원과 한국IMS의 암호화도 수준이 낮다고 지적했다.
심 검사는 "암호화는 다른 사람이 알 수 없도록 하기 위한 것인데 개인정보를 치환하는 규칙을 서로 공유했다"며 "공유한다면 암호화라고 볼 수 없다. 치환규칙도 암호화라고 볼 수 없는 수준"이라고 단언했다.
약정원의 정보가 빅데이터라는 주장에 대해서도 '빅데이터 개인정보보호 가이드라인'을 인용했다.
그는 "약정원, 지누스, IMS 등이 주고받은 정보는 공개된 정보도 아니고 정보통신서비스를 이요하는 과정에서 자동으로 발생하는 이용내역"이라며 "빅데이터에 해당한다고 보기 어렵다"고 말했다.
공동 변호인단 "그 환자가 누군지 식별할 이유가 없다"
이에 질세라 공동 변호인측도 검찰의 주장에 재반박했다. 주된 주장은 개인정보를 식별할 이유도 없고, 암호화된 개인정보는 개인정보라고 할 수 없으며, 지금까지 개인정보 유출 문제가 다른 나라에서도 한번도 일어나지 않았다는 것이다.
IMS 측 변호인은 "민감한 정보를 다루고 있기 때문에 본사 차원에서 개인정보 및 프라이버시 보호에 대해 관심이 크다"며 "100여개국에서 1만여명의 전문가가 활동하고 있는데 형사적으로 문제된 사례가 없었다"고 주장했다.
이어 "환자 성별과 연령, 환자 구분을 위한 키값만 알면되지 그 환자가 누군지 식별할 이유가 전혀 없다. 관심 대상이 아니다"고 덧붙였다.
약정원 측 변호인은 서울대 법대 교수의 법리적 의견을 내세웠다.
이 교수는 "주민등록번호는 일방향 방식이든 양방향 방식이든 암호화를 해 복구화할 수 없는 상황에서 암호화된 식별정보는 그자체로서 고유식별 정보로서의 가치를 상실하므로 개인정보보호법상 보호할 개인정보가 아니다"라는 의견을 낸 바 있다.
변호인은 "암호화된 주민등록번호가 식별가능성 있느냐에 대한 법원 판단은 아직까지 선례가 없고 학계에서도 갑론을박이 이어지는 부분"이라고 말했다.
이어 "환자 정보 수집단계에서부터 암호화된 상태였기 때문에 개인정보에 해당하지 않으므로 민감정보가 아니다"라며 "통계를 위한 자료를 제공하는 것이기 때문에 개인이 누구냐라는 것을 식별할 필요가 없다"고 강조했다.
"암호화 돼 식별할 수 없는 개인정보는 개인정보가 아니다."(변호인단)
암호화된 개인 정보를 법률적으로 바라보는 시각이 극과 극으로 달랐다.
서울중앙지방법원 제22형사부(재판장 장준현)는 15일 오후 개인정보보호법위반 등의 혐의로 기소된 약학정보원, 한국IMS헬스, 지누스에 대한 두번째 공판을 진행했다.
두번째 공판은 당초 예고됐던 대로 검찰과 변호인의 입장을 발표하며 쟁점을 확인하는 자리인만큼 2시간 30여분 동안 진행됐다.
검찰은 이들을 기소 결정한 이유를 하나하나 나열했다.
심형석 검사는 "개인정보 암호화는 개인정보의 안전성 조치 방법의 일환"이라며 "개인정보를 암호화 했다고 해서 개인정보성이 없어지는 것이 아니다"라고 선을 그었다.
이어 "암호화했다고 개인정보가 아니라고 하면 제3자가 개인정보를 해킹으로 빼냈다고 하더라도 유출문제가 생기지 않는 불합리한 경우가 발생한다"며 "개인정보가 유출됐을 때 규제할 수 없는 상황이 생긴다"고 설명했다.
약학정보원과 한국IMS의 암호화도 수준이 낮다고 지적했다.
심 검사는 "암호화는 다른 사람이 알 수 없도록 하기 위한 것인데 개인정보를 치환하는 규칙을 서로 공유했다"며 "공유한다면 암호화라고 볼 수 없다. 치환규칙도 암호화라고 볼 수 없는 수준"이라고 단언했다.
약정원의 정보가 빅데이터라는 주장에 대해서도 '빅데이터 개인정보보호 가이드라인'을 인용했다.
그는 "약정원, 지누스, IMS 등이 주고받은 정보는 공개된 정보도 아니고 정보통신서비스를 이요하는 과정에서 자동으로 발생하는 이용내역"이라며 "빅데이터에 해당한다고 보기 어렵다"고 말했다.
공동 변호인단 "그 환자가 누군지 식별할 이유가 없다"
이에 질세라 공동 변호인측도 검찰의 주장에 재반박했다. 주된 주장은 개인정보를 식별할 이유도 없고, 암호화된 개인정보는 개인정보라고 할 수 없으며, 지금까지 개인정보 유출 문제가 다른 나라에서도 한번도 일어나지 않았다는 것이다.
IMS 측 변호인은 "민감한 정보를 다루고 있기 때문에 본사 차원에서 개인정보 및 프라이버시 보호에 대해 관심이 크다"며 "100여개국에서 1만여명의 전문가가 활동하고 있는데 형사적으로 문제된 사례가 없었다"고 주장했다.
이어 "환자 성별과 연령, 환자 구분을 위한 키값만 알면되지 그 환자가 누군지 식별할 이유가 전혀 없다. 관심 대상이 아니다"고 덧붙였다.
약정원 측 변호인은 서울대 법대 교수의 법리적 의견을 내세웠다.
이 교수는 "주민등록번호는 일방향 방식이든 양방향 방식이든 암호화를 해 복구화할 수 없는 상황에서 암호화된 식별정보는 그자체로서 고유식별 정보로서의 가치를 상실하므로 개인정보보호법상 보호할 개인정보가 아니다"라는 의견을 낸 바 있다.
변호인은 "암호화된 주민등록번호가 식별가능성 있느냐에 대한 법원 판단은 아직까지 선례가 없고 학계에서도 갑론을박이 이어지는 부분"이라고 말했다.
이어 "환자 정보 수집단계에서부터 암호화된 상태였기 때문에 개인정보에 해당하지 않으므로 민감정보가 아니다"라며 "통계를 위한 자료를 제공하는 것이기 때문에 개인이 누구냐라는 것을 식별할 필요가 없다"고 강조했다.