본문

FTC, 건강 앱(health app)의 폭발적인 증가에 대한 가드레일(guardrail)로 10년된 규칙 부활

개인정보보호

등록일  2021.09.24

조회수  80

지난주 미국 FTC(Federal Trade Commission, 연방거래위원회)*는 정책성명을 통해 건강 앱(health app)은 사용자에게 데이터 유출에 대해 알려야 하며, 그렇지 않을 경우 막대한 벌금이 부과될 것이라고 밝혔다. 이렇듯 기업에게 투명성(transparency)을 요구하는 규칙은 제정된 지 10년이 되었지만, 이전에는 잘 시행되지 않았다. FTC가 최근에 발표한 이 새로운 규칙은 건강 앱 분야에 뛰어들고 있는 많은 기업들에 대한 경고로 작용한다. , FTC가 모든 건강 데이터 개인정보보호 문제를 해결할 수는 없지만, 관련 문제를 심각하게 받아들이고 있음을 보여준다.

*독과점과 불공정거래를 규제하는 미국의 대표적인 경쟁규제기관

 

FTC건강(정보)유출고지규칙(Health Breach Notification Rule, 이하 HBNR규칙)’미국 의료정보보호법(Health Insurance Portability and Accountability Act, 이하 HIPAA)’의 적용을 받지 않는 모든 조직에 적용된다. HIPAA는 의사나 보험회사와 같은 그룹에 적용되며, 해당 그룹에게 데이터 유출이 있을 때마다 공개할 것을 요구한다. HBNR규칙은 건강정보를 다루는 다른 모든 그룹에 적용된다.

 

FTC 의장 Lina KhanHBNR규칙에 대한 성명에서 건강 앱에는 강력한 데이터 개인정보보호 기능이 없는 경우가 많다.”고 말했다. 건강 앱은 데이터 보호 시스템이 열악하거나, 사용자에게 알리지 않은 채 외부 그룹과 데이터를 공유하여 자체 개인정보보호정책을 위반하는 경우가 종종 있다. 건강 앱들은 HBNR규칙이 처음 만들어졌을 때, 디지털 건강(digital health)에서 크게 주목받지 않았지만, 이후로 그 수가 폭발적으로 증가했다. 매년 수만 개의 건강 앱이 출시되고 코로나19 대유행 기간 동안 다운로드가 수가 증가했다. 점점 더 많은 사람들이 자신의 건강정보를 이 건강 앱들에 맡기고 있다. FTC는 이러한 건강 앱에도 HBNR규칙이 적용됨을 명확히 밝혔다.

 

건강 앱을 만드는 기업은 해킹뿐만이 아니라 사용자의 허락 없이 제공된 모든 정보를 공개해야 한다. 이는 생리주기 앱 Flo가 최근 사용자 모르게 데이터를 페이스북, 구글 및 마케팅 기업에 공유하여 개인정보를 유출한 것과 같은 상황에 적용될 수 있다. FTC는 개인정보보호정책에 대한 Flo의 허위 진술에 초점을 맞췄기 때문에 FloHBNR규칙을 위반했다고 직접 언급하지는 않았으나 일부 (위원들이) 이를 지적했다.

 

하버드 로스쿨 연구원인 David Simon은 이러한 HBNR규칙이 건강 앱을 만드는 기업의 내부 변화를 촉발할 수 있다고 말했다. Simon“HBNR규칙은 데이터 유출이 언제 발생했는지 파악하고, 사람들에게 알릴 수 있는 시스템을 구축하도록 압박할 것이라고 말했다. 규칙에 따르면 기업은 데이터 유출에 대해 파악해야 하고, 이를 보고해야 하므로 데이터를 모니터링 할 수 있는 방법을 갖추어야 한다.

 

HBNR규칙 위반에 대한 처벌은 상당하다. 규칙을 어기면 하루에 $43,792(원화 약 5,147만원)의 벌금이 부과된다. 펜실베니아대학교 조교수인 Jennifer Wagner“HBNR규칙에 주의를 기울이거나 HBNR규칙에 대응할 수 있는 매커니즘을 가지는 것이 큰 이익이 될 것이라고 FTC가 앱 개발자나 판매 기업(vendor)에게 신호를 보내는 것이라고 말한다.

 

HBNR규칙은 데이터 유출이 있을 때 사용자에게 알리도록 하고 있지만, 건강 앱과 관련된 모든 데이터 개인정보 문제를 해결할 수는 없다. HBNR규칙은 사용자의 데이터로 기업들이 할 수 있는 활동을 제한하는 것이 아니라 단지 그들이 무엇을 하고 있는지 사용자들에게 말해야 한다고 말한다. “이것은 일종의 투명성(transparency)이다. 하지만 한계가 있다.”라고 Simon은 말한다. 일부 전문가들은 애초에 사용자들이 앱이 데이터를 사용하고 공유할 수 있는 방법에 대해 더 적극적으로 통제할 수 있어야 한다고 주장한다. 그러나 FTC는 그러한 변화를 가져올 수 있는 권한이 없다. “나는 FTC가 하고 싶은 모든 것을 할 수 있는 도구를 가지고 있다고 생각하지는 않는다.”라고 Simon은 말한다.

 

HBNR규칙은 또한 건강정보를 다루는 디지털 건강 제품에 국한된다. 하지만 최근, 건강을 위해 특별히 설계되지 않은 플랫폼들이 실제로 건강 목적으로 사용될 수 있다는 것이 분명해졌다. 예를 들어, 유방암 생존자들을 위한 페이스북 지지 그룹(Facebook support group)은 건강기록으로 여겨지지 않을 수도 있지만, 회원들의 건강에 대해 알 수 있는 정보를 수집하고 있다고 Wagner는 말한다. 해당 플랫폼에서 데이터 유출이 발생한 경우 반드시 규칙이 적용되지는 않는다. 그녀는 “FTCHBNR규칙을 통해 할 수 있는 일은 다소 제한적이지만, 그들은 확실히 그들이 할 수 있는 모든 것을 하려고 노력하고 있다.”고 말한다.

 

한계점에도 불구하고, HBNR규칙은 사람들에게 정보에 대한 더 많은 통제권을 제공하기 위한 광범위한 환경 변화 속에서 나온 것이다. Wagner의회, (), 법무부는 데이터 개인정보보호에 대한 관심을 높이고 있고, 기업들은 이 모든 것에 주목하고 있다.”고 말하면서, “이러한 규제는 계속될 것이기 때문에, 그들은 취할 수 있는 조치들에 대해 생각할 필요가 있고, 미래를 생각할 필요가 있다.”고 밝혔다.

 

기사 및 사진 https://www.theverge.com/2021/9/22/22688497/ftc-health-app-privacy-transparency-data

Health Breach Notification Rule: https://www.ftc.gov/system/files/documents/public_statements/1596364/statement_of_the_commission_on_breaches_by_health_apps_and_other_connected_devices.pdf

 

첨부파일
이미지 2021-09-24 (해외메인).PNG (890.9KB / 다운로드  5)