당신의 심박수, DNA, 얼굴 — 5개국 법이 전혀 다르게 다룬다
같은 심박수 데이터, 같은 DNA 샘플이 나라마다 전혀 다른 법적 보호를 받는다. 한국의 개인정보보호법(PIPA)은 어디쯤 서 있는가. 23andMe 파산부터 미국의 신생아 혈액 표본 논란까지, 5개국 신체 데이터 규제를 비교한다.
당신의 심박수, DNA, 얼굴 — 5개국 법이 전혀 다르게 다룬다
심박수, DNA, 얼굴, 생리 주기. 우리 몸이 매초 만들어내는 데이터가 지금 이 순간에도 수집되고, 거래되고, 유출되고 있다. 문제는 똑같은 생체정보라도 어느 나라에서, 누가, 어떤 목적으로 수집했느냐에 따라 법적 보호 수준이 완전히 달라진다는 점이다.
PRISM AI가 영어, 일본어, 한국어, 중국어 자료를 교차 분석해 5개국의 신체 데이터 규제 현황을 정리했다.
숫자가 말하는 현실
2024년 미국에서만 2억 7,680만 건의 의료 기록이 유출됐다. 전년 대비 64.1% 급증한 수치다. 특히 체인지헬스케어(Change Healthcare) 랜섬웨어 공격 한 건으로 1억 9,000만 명의 데이터가 노출됐다. 역대 최대 규모의 의료 데이터 유출 사고다.
한편 스마트워치 시장은 폭발적으로 성장하고 있다. 2025년 기준 전 세계 스마트워치 사용자는 약 5억 6,286만 명, 2026년에는 6억 4,015만 명에 달할 전망이다. 사용자의 92%가 건강 및 피트니스 추적 기능을 이용한다. 손목에서 흘러나오는 데이터 — 심박변이도, 혈중산소, 수면 패턴, 생리 주기 — 는 극도로 민감한 개인정보다.
그런데 대부분의 사람들이 건강 데이터를 보호한다고 믿는 미국의 HIPAA는 소비자 건강 앱, 피트니스 트래커, 웨어러블 기기를 규제 대상에 포함하지 않는다. 공식 의료 시스템에 진입하지 않은 데이터는 사실상 사각지대에 놓여 있다.
이 사각지대의 대가는 이미 드러나고 있다. 온라인 상담 플랫폼 베터헬프(BetterHelp)는 치료 데이터를 페이스북에 공유한 혐의로 780만 달러(약 104억 원)를 물었다. 처방전 할인 앱 굿알엑스(GoodRx)는 처방 정보를 광고 플랫폼에 넘긴 대가로 150만 달러(약 20억 원)를 냈다. 정신건강 앱의 87%에 심각한 프라이버시 취약점이 있다는 조사 결과도 있다. 다크웹에서 치료 기록 한 건은 1,000달러(약 133만 원) 이상에 거래된다. 도난당한 신용카드 정보보다 훨씬 비싸다.
한국: 보호 강화와 시장 성장, 두 마리 토끼를 쫓다
한국은 두 가지 방향을 동시에 추구하고 있다.
개인정보보호법(PIPA)은 건강 정보와 생체인식 정보를 '민감정보'로 분류하고 강화된 보호를 적용한다. 2025년3월부터 시행된 정보이동권(데이터 이동권) 규정에 따라, 개인은 자신의 데이터를 기계가 읽을 수 있는 형태로 요청할 수 있게 됐다. 개인정보보호위원회(PIPC)는 얼굴 이미지와 지문을 포괄하는 별도의 생체정보 법률 제정도 추진 중이다.
반면 유전자 검사 시장은 빠르게 커지고 있다. 한국의 유전자 검사 시장 규모는 2025년 3억 1,600만 달러(약 4,215억 원)에서 2035년 17억 7,200만 달러(약 2조 3,630억 원)로 성장할 전망이다. 연평균 성장률 18.8%에 달한다. 삼성헬스는 국내에서 광범위하게 사용되지만, 그 프라이버시 문제는 거의 논의되지 않는다.
주목할 점이 있다. 한국은 2025년 서울에서 글로벌프라이버시총회(Global Privacy Assembly)를 개최했다. 개인정보 규제의 국제 리더십을 선언하면서, 동시에 성장하는 바이오 산업을 키우겠다는 의지를 보인 것이다. GDPR 수준의 보호 체계를 구축하면서 시장도 키우겠다는 전략인데, 이 균형이 얼마나 지속 가능한지가 관건이다.
한 가지 빠진 논의가 있다. 직장 내 생체정보 감시 — 지문 출퇴근, 안면인식 출입 — 는 한국에서 광범위하게 쓰이지만, 법적으로 다투어진 사례는 드물다. 수사기관의 건강 데이터 접근 문제도 미국만큼 공론화되지 않았다.
미국: 가장 민감한 데이터가 가장 느슨한 보호를 받는 나라
미국에는 포괄적인 연방 건강 데이터 보호법이 없다. HIPAA는 병원과 보험사만 규율한다.
23andMe의 2025년3월 파산이 이 문제를 적나라하게 드러냈다. 1,500만 고객의 유전자 데이터가 파산 절차에서 '기업 자산'으로 취급돼 경매에 넘어갈 수 있었다. 뉴잉글랜드의학저널(NEJM)은 "기존의 프라이버시, 파산, 생명윤리 프레임워크로는 파산 법원을 통한 유전자 데이터 이전을 감당할 수 없다"고 경고했다.
법의 사각지대가 더 선명하게 드러난 사례도 있다. 뉴저지에서는 경찰이 영장 없이 신생아 혈액 표본을 이용해 아이의 아버지를 범죄 수사에서 식별했다. 이 사실이 알려지자 반발이 거셌다. 텍사스는 500만 건 이상, 미네소타는 110만 건의 신생아 혈액 표본을 폐기했다.
일리노이주의 생체정보보호법(BIPA)은 2025년에만 100건 이상의 집단소송을 촉발했고, 텍사스주에서는 구글이 13억 7,500만 달러(약 1조 8,340억 원) 규모의 합의금을 지불했다. (관련 기사: 당신의 몸이 증거가 되는 세상) 강력한 생체정보법이 실질적 책임을 만들어낸다는 증거다.
EU: "신체 데이터는 기본권이다"
EU는 GDPR 아래 생체인식, 유전자, 건강 데이터를 '특수 범주' 정보로 분류하고, 처리에 명시적 동의를 요구한다. 2025년2월부터 시행된 AI법은 법집행기관의 실시간 원격 생체인식을 극히 제한적 경우를 제외하고 금지한다.
유럽건강데이터공간(EHDS) 규정이 2025년3월26일 발효됐다. GDPR 수준의 과징금 — 최대 2,000만 유로(약 290억 원) 또는 전 세계 매출의 4% — 을 적용한다.
일본: AI를 위해 동의 요건을 완화한다
일본의 개인정보보호법(APPI)은 생체 데이터와 건강 기록을 '요배려개인정보'로 분류해 명시적 동의를 요구해왔다. 그런데 2025년3월, 개인정보보호위원회가 건강 및 생체 데이터를 통계 처리와 AI 개발에 동의 없이 사용할 수 있도록 허용하는 방안을 제안했다. 마이넘버 카드가 건강보험과 연동되면서 정부는 처방 이력에도 접근할 수 있게 됐다. AI 혁신이 엄격한 동의보다 중요하다는 판단을 내린 셈이다.
중국: 기업에는 엄격, 국가에는 면제
중국의 개인정보보호법(PIPL)은 생체인식 및 유전자 데이터를 민감정보로 분류하고, 별도 동의와 영향평가를 요구한다. 2025년11월부터 시행되는 새로운 국가표준은 보행 인식, 안구 패턴, 심리 건강 데이터까지 범위를 넓혔다.
하지만 국가 감시는 면제 대상이다. 세계 최대 규모의 생체인식 감시 네트워크를 운영하면서, 동시에 외국 기업의 중국 유전자 데이터 접근은 차단한다. 중국은 인간 유전자원을 '전략적 국가 자산'으로 분류한다. 미국 유전체 기업 일루미나(Illumina)를 2025년2월 '신뢰할 수 없는 기업 목록'에 올린 것은, 유전자 데이터 관리가 이제 지정학의 영역이 됐음을 보여준다.
그래서 우리에게 무엇이 달라지나
비식별 건강 데이터 시장은 2025년88억 달러(약 11조 7,400억 원) 규모다. 빅데이터 헬스케어 산업은 1,109억 7,000만 달러(약 148조 원)에 이른다.
같은 핏빗 데이터라도 미국 서버에 저장되면 EU와 전혀 다른 수준의 보호를 받는다. 23andMe에 맡긴 유전자 샘플은 '국가 자산'으로 분류되는 중국의 유전자 데이터보다 약한 보호를 받았다. 뉴저지의 신생아 혈액 표본은 브뤼셀의 성인 안면 스캔보다 프라이버시 권리가 적었다.
한국의 PIPA는 GDPR에 가까운 방향으로 진화하고 있지만, 삼성헬스 같은 소비자 건강 앱의 데이터, 직장 내 생체인식 감시, 급성장하는 유전자 검사 시장에서의 데이터 거버넌스는 아직 본격적으로 다뤄지지 않았다. 글로벌프라이버시총회를 개최한 나라답게 이 논의를 선도할 수 있을지 — 아니면 규제와 산업 사이에서 결국 어정쩡한 타협에 머물지 — 지켜볼 필요가 있다.
이 분석은 PRISM AI가 영어, 일본어, 한국어, 중국어 뉴스 소스를 매일 교차 분석하여 작성했습니다.
참고 자료: HIPAA Journal, NPR, 뉴잉글랜드의학저널, 보건인권저널, FTC, ACLU, Privacy International, Brookings Institution, Lawfare, 스탠퍼드 로스쿨, 미국과학자연맹, IAPP, CMS Law, 유럽위원회, Chambers and Partners, China Briefing, Bird & Bird, DemandSage, Athletech News, Stateline, National Law Review, Biometric Update, Science(AAAS)
본 콘텐츠는 AI가 원문 기사를 기반으로 요약 및 분석한 것입니다. 정확성을 위해 노력하지만 오류가 있을 수 있으며, 원문 확인을 권장합니다.
관련 기사
디스코드의 연령 인증 시스템 도입 시도와 전면 철회. 그 뒤에 숨어 있던 '연령 보증' 기업들의 실체, 그리고 한국 플랫폼에 던지는 질문.
구글 픽셀 워치 4가 역대 최저가 289달러에 판매 중이다. 단순한 할인 소식을 넘어, 웨어러블 기기가 우리 몸에 대해 수집하는 데이터의 의미를 짚어본다.
헬스테크 기업 트리제토가 2024년 해킹으로 340만 명의 개인·의료정보 유출을 1년 만에 발견. 의료 데이터 보안의 맹점이 드러났다.
메타의 레이밴 스마트글래스 영상을 케냐 직원들이 시청하며 개인 정보를 처리해온 사실이 드러났다. 스마트글래스 시대의 프라이버시는 어떻게 보호될까?
디스코드의 연령 인증 시스템 도입 시도와 전면 철회. 그 뒤에 숨어 있던 '연령 보증' 기업들의 실체, 그리고 한국 플랫폼에 던지는 질문.
구글 픽셀 워치 4가 역대 최저가 289달러에 판매 중이다. 단순한 할인 소식을 넘어, 웨어러블 기기가 우리 몸에 대해 수집하는 데이터의 의미를 짚어본다.
헬스테크 기업 트리제토가 2024년 해킹으로 340만 명의 개인·의료정보 유출을 1년 만에 발견. 의료 데이터 보안의 맹점이 드러났다.
메타의 레이밴 스마트글래스 영상을 케냐 직원들이 시청하며 개인 정보를 처리해온 사실이 드러났다. 스마트글래스 시대의 프라이버시는 어떻게 보호될까?
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요