23andMe 파산과 개인정보 매각 우려: 유전자 데이터와 데이터 소유권 논란
□ 참고. https://apps.legislature.ky.gov/law/acts/22RS/documents/0169.pdf
◆ 배경
23andMe는 2007년에 설립된 미국의 소비자 직접 유전자 검사(Direct-To-Consumer, DTC) 기업으로, 고객이 자사 웹사이트를 통해 유전자 검사 키트를 주문하고 결과를 온라인 포털에서 확인할 수 있는 서비스를 제공했다. 회사는 고객의 유전자 정보와 건강 설문 데이터를 수집해 이를 연구 목적이나 제약사와 공유하며 수익을 창출하였다. 85% 이상의 고객이 연구 목적으로 데이터를 제공하는 데 동의했고, 이를 통해 약 1,500만 명의 유전자 정보와 수억 건에 달하는 건강, 성격, 생활 습관 데이터를 축적했다. 23andMe는 이러한 데이터를 글락소스미스클라인(GSK)과 같은 제약사와 공유하며 연구를 진행하였고, 2018년에는 GSK가 3억 달러를 투자하여 23andMe의 유전자 데이터를 독점적으로 활용할 수 있는 권리를 얻었다. 하지만 유전자 데이터의 상업적 활용에 대한 법적, 윤리적 논란도 끊이지 않았다.
◆ 파산과 소비자 데이터 매각 우려
2023년에는 대규모 해킹 사고가 발생하여 약 700만 명의 고객 데이터가 유출되었고, 이에 따라 23andMe에 대한 신뢰가 급격히 하락했다. 유전자 검사 시장이 포화 상태에 이르고, 제약업계의 관심도 감소하면서 23andMe는 2025년 3월 23일 파산을 신청했다. 하지만 그 후, 파산 절차의 일환으로 법원은 23andMe가 보유한 소비자 데이터를 자산으로 간주해 매각할 수 있다고 판결함에 따라 많은 소비자들은 자신의 민감한 데이터가 제3자에게 넘어갈 가능성에 대해 우려하고 있다. 여러 주 법무장관들은 사용자들에게 데이터 삭제를 권고하고 전문가들은 유전자 정보가 경쟁업체, 보험사, 심지어 광고 기업에 매각될 수 있다는 경고를 하고 있다.
◆ 유전자 정보의 민감성과 악용 가능성
23andMe가 수집한 데이터는 유전자 정보뿐만 아니라, 고객들이 자발적으로 응답한 설문을 통해 음주 습관, 성격 특성, 정신 건강 상태, 질병 이력 등 매우 민감한 개인정보도 포함된다. 이러한 데이터는 매우 정교한 소비자 프로파일을 형성할 수 있으며, 맞춤형 광고나 보험 가입 거부와 같은 사회적 차별에 악용될 수 있다. 유전자 정보는 고유 식별이 가능하여, 개인의 사생활은 물론 가족의 정보까지 노출될 위험이 있다. 또한, 유전자 정보가 범죄 수사에 사용된 사례도 있으며, 미국의 유전정보차별금지법(GINA, Genetic Information Nondiscrimination Act of 2008)은 건강보험과 고용에서의 차별을 금지하지만, 생명보험이나 장기요양보험에서의 차별은 여전히 가능하다는 법적 한계를 안고 있다.
◆ 동의의 실질성과 디지털 프라이버시의 위기
소비자들은 23andMe의 서비스를 이용하기 위해 개인정보 제공에 동의했으나, 파산 후 데이터가 제3자에게 매각되는 상황에서 그 ‘동의’의 의미와 실질성에 의문을 제기하고 있다. 23andMe는 계약서에서 데이터 매각 가능성을 고지했지만, 많은 소비자들이 이 가능성을 충분히 인식하지 못했다. 이는 기업이 수집한 데이터가 파산, 해킹, 인수합병 등의 상황에서 통제 불능 상태로 전락할 수 있다는 점을 보여주며, 디지털 시대에 프라이버시와 데이터 소유권에 대한 심각한 법적·윤리적 논쟁을 불러일으킨다.
◆ 법적 보호의 한계와 실질적 위험
23andMe는 HIPAA(건강보험 양도 및 책임에 관한 법률, Health Insurance Portability and Accountability Act)의 적용을 받지 않는다. HIPAA는 의료 기관에만 적용되며, 23andMe와 같은 소비자 직접 유전자 검사 기업은 고객의 건강 정보나 유전자 데이터 보호에 대한 법적 의무가 없다. 23andMe는 고객이 동의한 계약을 통해 데이터를 연구 목적으로 활용하거나 인수합병 시 판매할 수 있다고 명시했지만, 이 동의가 고객에게 충분히 이해되었는지에 대한 의문이 제기된다. 이는 고객이 자신의 민감한 데이터를 어떻게 사용될지 알지 못한 채 법적 보호의 사각지대에 놓일 위험이 있음을 보여준다.
켄터키주 법무장관 러셀 콜맨(Russell Coleman)은 DNA 테스트 회사 23andMe가 파산을 신청하고 자산을 매각할 계획을 발표한 후, 켄터키 주민들에게 자신들의 유전자 데이터를 보호하기 위한 조치를 취할 것을 촉구하고 있다. 소비자 경고에서 콜맨은 23andMe 서비스를 이용한 사람들에게 개인 데이터와 유전자 샘플을 삭제하는 것을 고려해볼 것을 권장했다. 콜맨 법무장관은 "23andMe가 파산을 선언하고 자산을 매각할 계획을 발표함에 따라, 이제 켄터키 주민들의 개인 유전자 정보에 대한 실질적인 위험이 존재하며, 우리는 켄터키 주민들의 권리와 개인 정보를 보호하는 법을 가지고 있습니다. 23andMe와 거래한 모든 켄터키 주민은 자신의 민감한 정보를 보호하기 위한 적절한 조치를 취하는 것을 고려해야 한다."라고 언급했다. 실제로 켄터키 유전자 정보 보호법(Kentucky Genetic Information Privacy Act)에 따르면, 주민들은 계정과 유전자 데이터를 삭제할 권리와 회사가 보관 중인 생물학적 샘플을 파기할 권리가 있다.
|
켄터키 유전자 정보 보호법(Kentucky Genetic Information Privacy Act) 켄터키주에서 개인의 유전자 정보와 관련된 프라이버시 권리를 보호하는 법으로, 유전자 정보의 수집·저장·사용·공유에 대한 규제를 포함하며, 주민들에게 자신의 유전자 데이터를 삭제하거나, 유전자 샘플의 파기를 요청할 수 있는 권리를 부여함. 또한 유전자 정보가 민감한 개인정보로 취급되며, 이를 보호하기 위한 구체적인 절차와 법적 보호 제공하고, 개인이 유전자 정보와 관련된 데이터를 타인에게 제공하는 것을 동의할 때, 그 동의를 철회할 수 있는 권한 또한 규정함. 켄터키주 법무장관 러셀 콜맨의 [소비자 경고(consumer alert)]에 따르면, 소비자들에게 23andMe에서 데이터 삭제 시 다음의 단계를 따르도록 안내하고 있음. 23andMe 계정에 로그인 →"설정"으로 이동→"23andMe 데이터"로 스크롤하여 "보기" 클릭→ 데이터 다운로드 및 데이터 영구 삭제" 선택 → 후속 이메일을 통해 삭제 확인 →침 샘플의 파기를 요청하려면, 사용자는 계정 설정의 "선호 사항" 섹션에서 저장 옵션을 변경 가능. 또한, 이전에 연구 목적을 위해 데이터를 공유하는 것에 동의한 사용자들은 "연구 및 제품 동의" 섹션에서 해당 동의 철회 가능 |
◆ 데이터 소유권과 윤리적 쟁점
이번 사건은 데이터 소유권과 소비자 보호에 대한 중요한 질문을 던진다. 고객은 자신의 유전자 데이터를 23andMe에 제공했지만, 그 정보는 회사 자산으로 취급되며, 파산 후 제3자에게 매각될 수 있다는 점에서 법적·윤리적 논란이 발생한다. 특히, 생명보험, 개인화 광고, 데이터 마케팅에서의 데이터 활용은 법적 한계와 윤리적 문제를 초래할 수 있다. 예를 들어, 유전자 데이터가 생명보험에서 차별을 유발하거나, 특정 질병에 대한 예측을 근거로 불리한 조건을 제시하는 등의 위험이 존재한다.
◆ 데이터의 진정한 주인은 누구인가
이번 사건은 23andMe의 실패를 넘어서, 우리가 얼마나 무심코 민감한 정보를 기업에 넘기고 있는지를 경고한다. 유전자 정보는 개인적인 것이 아니라, 기업에게 더 큰 가치와 통제력을 제공하는 자산이 된다. 디지털 시대에서 프라이버시는 단순히 보호받아야 할 권리가 아니라, 우리가 누구이고 어떻게 살아가는지를 결정짓는 핵심 자원이다. 따라서, 데이터 소유권과 활용 범위에 대한 사회적 합의와 법적 장치가 시급히 필요하다.