2023년 1월 5일 목요일

약간 헷갈리는 GDPR 조문 체계, 그리고 또 포괄적 동의(broad consent)!

GDPR, 즉 General Data Protection Regulation(일반개인정보보호규칙 또는 일반데이터보호규칙)은 유럽연합의 데이터 보호와 관련한 법이다. 지침이 아니라 법이므로 강제성이 있으며, 2018년부터 실행되고 있다.

GDPR에서는 포괄적 동의(broad consent)를 직접적으로 언급하지는 않는다. 그러나 Recital 33에 이러한 문구가 있다.

[Consent to Certain Areas of Scientific Research] It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose. (구글 번역 결과: [과학 연구의 특정 영역에 대한 동의] 데이터 수집 시점에 과학적 연구 목적을 위한 개인 데이터 처리의 목적을 완전히 식별할 수 없는 경우가 많습니다. 따라서 데이터 주체는 과학 연구에 대해 인정된 윤리 기준을 준수할 때 과학 연구의 특정 영역에 동의할 수 있어야 합니다. 데이터 주체는 의도된 목적이 허용하는 범위 내에서 연구의 특정 영역 또는 연구 프로젝트의 일부에 대해서만 동의할 기회를 가져야 합니다.)

이 문구가 바로 GDPR이 포괄적 동의를 허용하는 근거로 인식되고 있다. 적법한 동의(consent)의 조건은 Article 7 Conditions for consent에서 설명한다.

Recital이라... 이를 우리말로는 무엇이라고 불러야 할까? 전문(前文) 또는 설명조항이라고 번역하는 것으로 보인다. 그런데 전문이라고 하면 preamble이 떠오른다. 즉 법령 등에서 첫째 조항 앞에 적어서 그 법령의 목적이나 기본 원칙을 밝히는 글(다음 사전 링크)을 말한다.

이런 '리사이틀'이 아니라... 그림 출처(링크)

GDPR의 Recital은 그런 의미의 전문은 아니다. GDPR의 공식 웹사이트(https://gdpr-info.eu/)를 방문해 보자.


가장 왼쪽을 원문이라고 해 두자. Article 1~99가 11개의 장(chapter)로 구분되어 있다. Chapter 2, Article 7 'Conditions for consent'(링크)를 방문하면 1에서 4까지의 조문이 있고 그 아래에 suitable recital(32, 33, 42, 43)이 나열되어 있다. 이제 대략 이해가 간다.

GDPR을 17개 국어로 설명하는 GDPR-TEXT.COM을 방문하면 한글로 번역된 친절한 설명을 만나게 된다. 본문의 각 조를 찾아가면 이를 설명하는 전문(recital)이 연결되어 보인다. 이것 역시 OK!

자, 그러면 한국인터넷진흥원(KISA)의 GDPR 대응지원센터(링크)를 방문해 보겠다. GDPR을 처음 공부할 때 많은 도움이 되었던 곳이기도 하다. 여기에 당연히 GDPR의 '원문', 즉 Article 1~99과 Recital에 해당하는 것이 있을 것이라 생각했다. 자료실 -> GDPR 조문(링크)을 찾아가 보면 원문과 번역문이 같이 게시되어 있다.

엥? Recital이 먼저 나오는 것이 아닌가? 한참을 지나서 2/5쯤 넘기니 비로소 Chapter 1이 나오기 시작하였다. 왜 이렇게 헷갈리게 만들어 놓았는가? 그리고 각 article을 설명하는 recital이 연결되어 있지 않아서 좀 불편하다. 

공부할 글을 두 편 소개하는 것으로 오늘의 글을 마치고자 한다.

Life Science, Society and Policy (2020). Broad consent under the GDPR: and optimistic perspective on a bright future 링크

EDPB Document on response to the request from the European Commission for clarification on the consistent application of the GDPR, focusing on health research (2021) 링크 (EDBP = European Data Protection Board)

UNESCO (2017), Report of the IBC(International Bioethics Committe) on big data and health 링크 <= Broad consent의 개념을 소개한 문구가 있어서 매우 중요하다. 특히 52조는 broad consent에 대한 오해를 잘 설명하고 있다. Broad consent란 specific consent(설명 동의)에 대한 반대 개념이 아니라, 주어진 정보를 이용하여 할 수 있는 연구의 범위에 동의하는 것이다. 

우리나라 개인정보 보호법에서는 동의 사항을 세분화하여 각각에 대한 동의를 받아야 한다. 이것이 개정 커먼룰에서 공식적으로 도입한, 그리고 GDPR에서도 간접적으로 인정한 포괄적 동의를 금하는 것을 의미하는 것은 아니라고 생각한다. 포괄적 동의를 보다 정확히 이해하는 것이 중요하다.


2023년 1월 13일 업데이트 - 포괄적 동의에 필요한 요소

45 CFR § 46.116 "General requirements for informed consent"에는 설명 동의가 갖추어야 할 요소를 설명하고 있다. 여기에서 포괄적 동의에 관한 것은 (d) 항목 "Elements of broad consent for the storage, maintenance, and secondary research use of identifiable private information or identifiable biospecimens"에 나열되어 있다.

  1. 기본적으로 요구되는 일반 동의 내용
  2. 연구 유형에 대한 일반적 설명
  3. 정보나 인체유래물의 공유가 발생할 수 있는 기관이나 연구자의 유형에 대한 기술
  4. 이들이 보관되고 관리할 수 있는 기간('무기한'도 가능)과 연구 목적으로 사용할 수 있는 기간('무기한'도 가능)에 관한 설명
  5. 특정 세부 연구의 상세 내용에 대해 연구대상자나 법정대리인에게 고지하지 않을 것이라는 기술
  6. 연구 결과가 연구대상자에게 공개되지 않을 수 있다는 진술
  7. 연구대상자의 권리와 개인 식별 가능한 정보나 인체유래물의 보관 및 사용에 대해 질문할 수 있는 연락처

포괄적 동의서의 템플럿은 다음을 참고하라.

Attachment D - Recommendations for a Broad Consent Template

우리나라의 개인정보 보호법이 과연 포괄적 동의를 허용하고 있는지 법조문을 들여다보고 몇 군데 질문을 해 보니 돌아오는 대답은 대부분 부정적이었다. 2022년에 개최된 정부 어느 위원회의 심의자료를 보면 이런 내용이 있다.

현 개인정보 보호법은 개인(민감)정보의 처리 시 구체적 동의 원칙이며 포괄동의는 불허, 인간대상연구에 관한 법령인 생명윤리법은 포괄동의에 대한 구체적인 규정이 없음...(중략)...IRB는 포괄적 연구목적 동의와 연구 승인에 대한 구체적 법적 근거가 부재하여 이에 대해 보수적으로 심의함

우리나라 법에서 포괄적 동의가 허용되지 않는다는 전제 하에 이를 수용해야 한다는 논의가 학계와 산업계에서 불거지고 있는데, '포괄적 동의'라는 단어를 놓고 떠올리는 의미가 서로 다른 것 같다. 일단 포괄동의는 구체적 동의의 반대편에 서 있는 개념이 아니라고 UNESCO 보고서(링크)에서 말하고 있음에 유의해야 할 것이다. 포괄적 동의는 '바이오뱅크'의 역사적 맥락을 놓고서 대두되었음을 항상 염두에 두어야 한다. 이에 대한 도움이 될 논문은 한국의료윤리학회지(2012)에 실린 「바이오뱅크와 포괄적 동의」(링크)이다.



댓글 없음: