[단독] 개보위, 감사원 ‘코로나 개인정보’ 요구 위법 여부 살핀다

백경란 질병관리청장이 20일 국회 보건복지위원회 국정감사에서 감사원에의 코로나19 확진자 명단 제공 등에 대한 질의에 답하고 있다. 연합뉴스

개인정보보호법을 관할하는 개인정보보호위원회(개인정보위)가 감사원과 질병관리청의 개인정보 침해 여부를 들여다 본다. 코로나19 확진·백신접종 이력 등의 자료 제출을 요구한 감사원과 자료를 넘긴 질병관리청(질병청)이 개인정보보호법을 위반했는지 여부를 살펴보겠다는 취지다.

21일 <한겨레> 취재를 종합하면, 개인정보위 조사국은 질병청에 코로나19 관련 개인정보를 요구한 감사원과 정보를 제공한 질병청의 개인정보 침해 여부를 검토하고 있다. 감사원은 8월 감사를 명목으로 공공기관 직원 3561명의 코로나19 확진·백신접종 이력을 요청한 데 이어, 지난달에는 2만820명의 확진 이력을 요구했다. 이에 질병청은 백신접종 이력만 제외하고, 대상자 이름과 주민등록 번호, 확진일, 격리 시작·종료일 등의 개인정보를 제공했다. 현행 개인정보보호법 상 질병 이력 등 건강 정보는 민감정보로 분류되며, 원칙적으로 정보주체 동의가 있어야 처리할 수 있다. 이를 위반하면 5년 이하의 징역이나 5000만원 이하의 벌금형을 받을 수 있다.

개인정보위는 감사원이 이들 정보를 타 기관에 요구할 권한이 있는지 등을 중점적으로 검토할 계획이다. 질병청은 개인정보법 상 개인정보 처리에 관한 예외조항을 근거로 자료를 제공했다고 설명한 바 있다. 개인정보위 관계자는 “질병청 등 공공기관에 대한 감사원의 개인정보 제공 요구에 개인정보 침해 소지가 있는지 종합적으로 들여다보고 있다”며 “감사원이 실제로 받은 자료 내용 등에 따라 (합법 여부를) 검토할 것”이라고 말했다.

개인정보위는 감사원과 질병청이 개인정보를 침해한 것으로 판단할 경우, 본격적인 조사를 시작하게 된다. 위법 정황이 발견되면 과태료와 시정권고 등의 처분을 의결하고, 위법 정도가 심하면 업무 책임자에 대한 검찰 고발을 통해 형사 처벌도 가능하다. 앞서 개인정보위는 최근 감사원이 코레일·에스알에 공직자 7000여명의 철도 이용 내역을 요구한 데 대해 “개인정보법에 의해 감사목적에 필요한 최소한 개인정보만 수집돼야 한다”는 입장을 낸 바 있다.

천호성 기자 rieux@hani.co.kr