5.2.1.1 유네스코 인간유전자 데이터에 관한 국제선언
UNESCO에 의해 2003년에 제정219)된 인간유전자 데이터에 관한 국제선언 (International Declaration On Human Genetic Data)은 1997년 인간게놈과 인권에 관한 보편선언(1997, Universal Declaration on the Human Genome and Human Rights)으로 부터 인간게놈 데이터와 관련된 사항을 국제선언으로 채택한 것이다.
이 선언 14조는 유전정보 처리 시 유전자 프라이버시권 보호와 비밀성에 관하여 규정하고 있다.220) 구체적인 내용은 다음과 같다.
(1) 인체유래물은 중요한 공공의 이익을 위하여 국제 인권법에 부합하는 국내법에 의 해 제한적으로 허용될 수 있다. 식별 가능한 개인, 가족 또는 적절한 그룹에 연결된 인간 유전자 데이터의 기밀성을 보호하기 위해 노력해야한다.
(2) 인간 유전자정보, DNA 검사정보, 인체유래물 시료 등은 사전 동의를 얻은 경우를 제외하고는 공개되거나 제3자 특히 고용주, 보험회사, 교육기관과 가족 등에게 접근가
219) International Declaration on Human Genetic Data, 2003, 32nd General Conference.
UNESCO.
220) Records of the General Conference 32nd Session Paris, 29 September to 17 October 2003, UNESCO, Article 14: Privacy and confidentiality.
능하게 되어서는 안 된다. 연구대상자의 명시적 동의는 국내법과 국제법을 모두 준수해 야 한다. 연구대상자의 프라이버시는 보호되어야하고 데이터는 기밀로 취급되어야한다.
(3) 인간 유전자정보, DNA 검사정보와 의생명과학연구의 목적을 위해 수집된 인체 유래물 시료는 일반적으로 식별 가능한 개인정보와 링크 할 수 없다. 그러나 이와 같이 링크가 안 되는 경우에도 필요한 정보보안 조치와 시료의 보안을 보장해야한다.
(4) 인간 유전자정보, DNA 검사정보와 의생명과학연구의 목적을 위해 수집된 인체 유래물 시료는 필요한 경우 식별할 수 있는 개인정보와 연결된 상태로 남아있을 수 있다.
단, 연구 목적에 한정하고 개인정보의 기밀성과 개인정보보호와 관련된 국내법에 따라 보호된다.
(5) 인간 유전자정보, DNA 검사정보는 수집, 처리를 위한 목적을 달성한 후에는 더 이상 식별 가능한 형태로 보관되어서는 안 된다.
이 선언에서 주목할 것은 의생명과학연구 목적에 한정하여 식별가능한 개인 정보와 시료를 함께 보관할 수 있다는 것이다. 현실적으로 연구를 위해서는 인체유래물과 이들에 대한 정보의 맵핑이 필요한 경우를 반영한 내용이라고 볼 수 있다.
2014년 제 21차 국제생명윤리위원회의221)에서는 2005년에 유네스코가 승인한
‘생명윤리와 인권에 관한 보편선언(Universal Declaration on Bioethics and Human Rights)’의 제 15조 ‘이익공유(sharing benefit)’ 원칙에 관한 개정을 논의하였다. 과학적 지식은 모든 인류의 소유물이며 특정개인의 재산권이 아니라 공공선이며 동시에 인권이다. 따라서 과학적 지식의 혜택도 권리로서 보장되어야 하는 사회적 책임임을 확인하였다. 이는 비밀성이나 기밀유지와는 상충되지만 과학적 연구나 기술개발의 혜택은 공익으로서 모든 인류에게 혜택이 고루 나누 어져야 한다는 원칙에 관한 논의였다. 생체 의료정보를 활용하는 의생명과학연구가
221) 21st Session of the international Bioethics Committee of UNESCO, 9-10 September 2014. UNESCO Headquarters.
그만큼 많아지고 있고, 그 혜택도 보편적이 되어 가고 있는 국제사회의 흐름과 책임을 반증한다고 할 수 있다.
5.2.1.2 EU Directive 95/46/EC 의 포괄적 동의
유럽은 바이오뱅크에서 충분한 설명에 의한 동의가 갖는 문제점을 인체유래물을 공여할 시점에서는 미래 연구목적을 모두 예상할 수 없다는 점과 추가 동의를 받기 어렵다는 것에서 찾는다. 그래서 공여시점에서 ‘포괄적 동의(broad consent)’를 받는 방향으로 법 개정이 진행되고 있다. 하지만 포괄적 동의는 전면적 동의는 아니다. 구체적으로 말하자면, 사후거부방식으로 정보주체는 자기정보결정권을 행사할 수 있다. 정보주체가 행사하는 정보처리에 대한 ‘거부권(right to object, 제14조)’은 다음과 같이 정의 된다.222)
“정보주체는(a) 적어도 [공공기관이나 민간기관이 자신의 정당한 업무수행을 위하여 동의 없이 합법적으로 개인정보를 처리할 수 있는 경우에(제7조 e호; f호)], 언제든지 자신의 특별한 상황과 연관된 불가피한 정당한 사유를 제시하면서 자신에
222) EU Directive 95/46/EC - The Data Protection Directive, Article 14. The data subject's right to object Member States shall grant the data subject the right: (a) at least in the cases referred to in Article 7(e) and (f), to object at any time on compelling legitimate grounds relating to his particular situation to the processing of data relating to him, save where otherwise provided by national legislation. Where there is a justified objection, the processing instigated by the controller may no longer involve those data;
(b) to object, on request and free of charge, to the processing of personal data relating to him which the controller anticipates being processed for the purposes of direct marketing, or to be informed before personal data are disclosed for the first time to third parties or used on their behalf for the purposes of direct marketing, and to be expressly offered the right to object free of charge to such disclosures or uses. Member States shall take the necessary measures to ensure that data subjects are aware of the existence of the right referred to in the first subparagraph of (b).
관한 정보의 처리를 거부할 수 있는 권리를 가진다. 다만, 회원국이 국내법으로 이와 달리 규정할 수 있다. 정당한 거부가 있는 경우에, 당해 개인정보처리기관이 하고 있는 정보처리에서 거부 요청된 정보가 더 이상 포함되어서는 안 된다.”
포괄적 동의를 인정하는 원칙은 다음과 같다. 첫째, 공여시점에서 미래의 연구 내용을 확정할 수 없을 지라도 연구가 이루어질 분야에 대한 최대한의 정보를 제시한다. 둘째, 수집된 인체유래물은 바이오뱅크 윤리위원회의 판단에 따라 활 용된다. 셋째, 자신의 공여한 시료를 폐기 할 수 있는 권리를 보장한다.
이러한 포괄적 동의 혹은 사후 거부권을 통하여 정보주체의 동의 없는 제3자 제공을 개인정보 처리자 또는 제3자의 정당한 이익을 달성하기 위하여 필요한 범위 내에서 넓게 인정하고 있다.223) 사후 거부권은 개인정보를 삭제하거나 처리 정지를 할 수 있는 권리로 보장된다고 볼 수 있다. 하지만 이 권리가 사전에 충 분한 설명에 의한 동의가 면제된 연구대상자들에게 사후 거부권을 행사하는 방법으로 적용할 수 있는지는 더 따져볼 필요가 있다. 왜냐하면, 동의 면제된 정보 주체는 포괄적 동의조차도 하지 않았으므로, 사후 거부권이라는 권리 자체가 성립되지 않기 때문이다.
5.2.2 프랑스
5.2.2.1 건강 분야 연구 및 수집된 데이터의 처리에 관련된 법224)
프랑스는 민감정보에 대한 법률을 별도로 제정하여 수집, 삭제, 재활용에 대한 합법성 조건을 규정하고 있다. 동 법은 목적 구속의 원칙을 적용하여 수집된
223) Timothy Caulfield, 2007, “Should donors be allowed to give broad consent to future biobank research?”, KLJ 18: p. 209
224) Code de la santé publique, article L 1111-7, article L 1110-4, article R111-1 à 1111-8.
목적과 부합하지 않는 경우 정보처리를 금지한다. 그러나 통계 또는 학문, 역사 목적의 처리에 대하여는 예외를 허용하고 있다. 예외를 적용하기 위해서는 합법성, 사전에 익명화 처리, 익명화 처리 책임자의 의무 사항, 그리고 정보주체의 사용 동의, 정보 이전에 대한 거부 등의 조건을 충족해야 한다.
1994년 7월 1일의 개정법에서 보건 분야연구를 목적으로 하는 개인정보의 자동처리에 관한 사항이 신설되어 개인의 치료 목적으로만 정보이용이 허용되었다.
연구목적인 경우 일정한 조건이 있고 CNIL의 승인을 받아야 하며, 암호화한 후 전송할 수 있다.
1999년 7월 법 개정을 통하여 개인정보처리에 관한 예외조건으로서 보건의료 연구라는 목적225)에 따른 예외 규정을 만들고, 치료에 대한 평가 목적을 위해 사용되는 조건226)을 설정하고, 해당 데이터란 무엇을 지칭하는지 정의하였다.
2002년 3월 4일에 EU 지침을 반영하기 위하여 개정된 법률은 치료와 예방 활동의 평가나 분석을 위한 개인의 건강정보의 처리를 허용하는 내용이 새로이 마련되었다. 즉 환자의 권리와 의료 시스템의 품질 및 치료의 연속성을 보장하기 위해 또는 최상의 지원을 결정하기 위하여 의료 전문가는 환자에 대한 정보를 공유 및 교환할 수 있도록 하였다. 이에 따라 다른 법률 및 행정명령과의 관계 (Article §29(1))를 조정하고 제4장의 적용방법에 관한 명령(Article §33(1))에 관한 규정이 신설되었다. 이 경우에도 법적 측면의 전제조건, 기술적 측면의 데이터 처리, 운영방식이 명시되어있다.
2004년 8월 6일에 대폭 법 개정을 통하여 ‘디지털 세상에서의 자유와 개인 정보보호’라는 슬로건 아래 개인정보자기결정권 행사에 관한 문제를 해결하기
225) 보건의료연구목적 : 예방의학, 의학적 진단, 보건행정 목적에 필요한 정보, 국가통계위원회의 동의를 거친 통계목적의 정보, 역학, 모니터링, 임상 시험, 공중보건, 의학연구 목적의 정보(동 법률 제 9장에 규정된 형식에 부합할 경우).
226) 환자에게 의료 지원을 쉽게 한다거나, 의무적인 건강 보험 또는 공중 보건의 목적 등 환자 에게 직접적인 혜택을 결정하는 조건.
위하여 CNIL은 직접 관여한다(To guarantee the right of access).227)
2006년 10월 프랑스 정부는 국민 개개인의 사회보장번호(numero d'inscription au repertoire, 이하 NIR)228)사용에 대한 워킹그룹을 설립하였다.
의료 연구 목적이나 다른 특정 권한이 필요할 경우, CNIL에 사전 요청하여 승인을
227) CNIL, Activity Report 2011, Paris, Commission nationale de l'informatique et des libertés: pp. 1-75.
228) 국가 자연인 식별자 저장소(Répertoire national d’identification des personnes physiques ; RNIPP)에 등록되어 있는 번호로서 프랑스에서 태어난 사람들의 출생기록이다. 2009년 기준
규제를 만들었다. 기관심의위원회는 ‘개인건강정보의 처리의 적법성’과 관련하여 CNIL과 사전상담을 한 후 심사해야한다.230) 예를 들면 개인건강정보는 다른 정보들과 구별하여 정보시스템 안에 보관되어야 하고, 각 기관은 어떻게 이를 실행할 것인지 그 방법을 CNIL에게 알리고 승인을 받아야 한다. 정보를 공유하는
규제를 만들었다. 기관심의위원회는 ‘개인건강정보의 처리의 적법성’과 관련하여 CNIL과 사전상담을 한 후 심사해야한다.230) 예를 들면 개인건강정보는 다른 정보들과 구별하여 정보시스템 안에 보관되어야 하고, 각 기관은 어떻게 이를 실행할 것인지 그 방법을 CNIL에게 알리고 승인을 받아야 한다. 정보를 공유하는