티스토리 뷰
AI 산업의 급성장과 함께 개인 건강정보의 상업적 활용 문제가 수면 위로 떠오르고 있다. 국내외 AI 기업들이 의료·건강 데이터를 학습에 활용하려는 움직임이 가시화되면서, 민감 개인정보 보호와 산업 발전 사이의 긴장이 심화되고 있다.
출처: Pixabay (CC0)
AI 기업의 건강정보 요구, 무엇이 문제인가
건강정보는 개인정보보호법상 가장 높은 등급의 민감 정보로 분류된다. 질병 이력, 유전자 정보, 진료 기록 등은 단순 동의만으로 제3자에게 제공하기 어려운 정보이지만, AI 기업들은 모델 고도화를 위해 이러한 데이터의 확보에 사활을 걸고 있다. 특히 의료 AI, 헬스케어 챗봇, 보험 심사 자동화 등 다양한 서비스 영역에서 고품질 건강 데이터에 대한 수요가 폭발적으로 증가하는 상황이다. 문제는 정보 주체인 개인이 자신의 건강정보가 어떻게 활용되는지 제대로 인지하지 못한 채 포괄적 동의를 요구받는 구조에 있다.
출처: Pixabay (CC0)
노동 현장에서의 건강정보 수집 압력
매일노동뉴스가 지적하듯, 이 문제는 특히 노동 현장에서 첨예하게 드러난다. 일부 기업들은 직원 복지 서비스나 건강관리 앱 도입을 명목으로 직원들의 건강정보 제공을 사실상 강제하는 사례가 보고되고 있다. 고용 관계의 특수성상 직원들은 사실상 거부권을 행사하기 어렵고, 수집된 정보가 AI 기업에 제공되거나 업무 평가에 간접 활용될 가능성에 대한 우려도 크다. 실제로 미국에서는 Amazon, Google 등 빅테크 기업들이 직원 건강 모니터링 프로그램을 도입하면서 노동단체의 강한 반발을 산 바 있다.
개인정보보호법 체계와 AI 데이터 활용의 충돌
현행 개인정보보호법 제23조는 건강정보를 포함한 민감정보 처리 시 별도의 동의를 받도록 규정하고 있다. 그러나 AI 학습 데이터로의 활용은 이른바 '가명처리' 규정을 통해 일부 허용 범위가 확대되는 추세다. 2023년 개정 개인정보보호법은 가명정보를 통계 작성, 과학적 연구, 공익적 기록보존 목적으로 이용할 수 있도록 했으며, AI 기업들은 이 조항을 적극적으로 활용하고 있다. 전문가들은 가명처리만으로는 재식별 위험을 완전히 차단할 수 없다고 경고하며, 특히 건강정보는 다른 데이터와 결합 시 식별 가능성이 높아진다고 강조한다.
해외 규제 동향: EU AI법과 HIPAA의 시사점
유럽연합은 2024년 발효된 AI법(EU AI Act)을 통해 의료 분야 AI 시스템을 '고위험 AI'로 분류하고 엄격한 투명성·설명가능성 요건을 부과했다. 미국의 경우 HIPAA(건강보험 이식성 및 책임법)가 의료 정보 처리에 관한 상세한 규정을 두고 있으나, AI 학습 데이터로의 활용에 대한 해석이 여전히 논란 중이다. 한국 역시 보건복지부와 개인정보보호위원회가 의료 AI 데이터 활용 가이드라인 마련에 나섰지만, AI 기술의 발전 속도에 비해 규제 정비는 한발 늦은 상황이다.
건강정보 보호를 위한 제도적 과제
전문가들은 건강정보의 AI 활용에 있어 다음과 같은 제도적 보완이 시급하다고 지적한다.
- 목적 구속 원칙 강화: 수집 목적 외 AI 학습용 전용 허용 범위 명확화
- 동의 철회권 실질 보장: 이미 학습에 사용된 데이터에 대한 삭제·철회 청구권 실효성 확보
- 알고리즘 감사 의무화: 건강정보 기반 AI 모델에 대한 독립적 감사 체계 도입
- 노동자 건강정보 특별 보호: 고용 관계에서의 건강정보 제공 강제 금지 조항 신설
개인정보보호위원회는 2026년 상반기 중 'AI 시대 민감정보 보호 강화 방안'을 발표할 예정이며, 이 과정에서 건강정보 처리 기준의 전면 재정비가 이루어질 전망이다.
AI 기술의 혜택과 개인정보 보호라는 두 가치는 상호 배타적이지 않다. 그러나 기술 발전의 속도에 맞춰 법·제도가 뒷받침되지 않는다면, 민감한 건강정보가 개인의 충분한 인지와 동의 없이 AI 기업의 자산이 되는 구조가 고착화될 수 있다. 정보 주체의 권리를 실질적으로 보장하는 균형점을 찾는 것이 2026년 데이터 정책의 핵심 과제다.