플로(Flo, 생리·임신 앱)로부터 민감한 건강 데이터를 수집한 메타(Meta), 연방법원의 프라이버시법(CIPA) 위반 판결
□ [기사] Meta illegally collected data from Flo period and pregnancy app, jury finds
□ [참고기사 1] Meta eavesdropped on period-tracker app's users, SF jury rules
https://www.sfgate.com/tech/article/meta-eavesdropped-period-tracker-app-20803399.php?utm_source
□ [참고기사 2] Labaton Keller Sucharow LLP Secures Historic Data Privacy Victory Against Meta Platforms Inc.
여성의 생리 및 배란, 임신을 추적하는 플로 헬스(Flo Health) 앱 사용자들이 자신들의 생리 주기, 성생활, 정신 상태 등의 민감한 건강 정보를 불법적으로 수집·공유해 왔다며 집단 소송을 제기하였다. 이에 대해, 2025년 8월 1일 캘리포니아 연방 배심원단은 만장일치 평결로 메타(Meta, 구 Facebook)가 사용자의 동의 없이 플로 헬스앱에서 데이터를 수집함으로써 캘리포니아 개인정보 침해법(CIPA, California Invasion of Privacy Act)을 위반했다는 판결을 내렸다.
이 판결은 소비자 건강 정보 처리에 대해 빅테크 기업이 배심원에 의해 책임을 지게 된 최초의 사례로 디지털 헬스 데이터 책임에 대한 중대한 전환점이 될 것으로 평가된다.
|
집단 소송의 개요 ◆ 소송명: Frasco v. Flo Health, Inc. ◆ 소송 제기일: 2021년 ◆ 피고: Meta, Flo Health, Google, Flurry 등 ◆ 소송 내용 - 사용자의 민감한 건강 정보(생리, 배란, 임신 목표 등)를 동의 없이 제3자에게 전달하였다. - 캘리포니아 개인정보 침해법(CIPA) 및 의료 정보 비밀보호법(CMIA)을 위반하였다. - 피고가 사용자와의 계약을 위반하고 부당이득을 취하였다. ◆ 판결 내용 : 2025년 8월 1일 배심원단 만장일치 판결 (소송에서의 세 가지 핵심 질문) · Meta가 전자기기를 사용하여 의도적으로 원고의 대화를 도청하거나 녹음했는가? → Yes · 원고는 원고가 나눈 대화가 도청되거나 녹음되지 않을 것이라는 합리적인 기대를 가지고 있었나? → Yes · Meta는 그 대화에 참여한 모든 당사자들로부터 도청 및/또는 녹음에 대한 동의를 받았나? → No |
소송의 내용
2021년 8명의 여성은 플로 헬스앱을 통해 성생활, 정신 건강 및 식단 등에 대한 설문 조사를 실시하는 과정에서 플로가 사용자 데이터의 일부를 불법적으로 수집하였으며, 이를 다른 회사와 공유했다며 집단 소송을 제기하였다. 여성들은 처음에는 플로 헬스를 상대로 소송을 제기했으나, 이후 메타(Meta)와 구글(Google), 앱 분석업체인 플러리(Flurry)까지 피고로 추가하였다. 구글 및 플로, 플러리는 원고와 합의에 도달하였으나 메타는 합의를 하지 않은 채 버텼고, 결국 재판에서 캘리포니아 개인정보 침해법을 위반했다는 판결을 내렸다.
원고측의 주장
① 메타는 당사자의 동의 없이 도청 및 녹음을 하였다.
② 플로는 2016년 11월부터 2019년 2월까지 구글과 메타가 사용자들의 앱 내 사적인 대화를 도청하도록 허용하였다.
③ 플로는 앱 이용 시 입력하는 설문 조사의 내용을 공개하지 않겠다고 약속하였으나, 플로 앱에 내장된 구글과 메타의 소프트웨어 개발 키트(SDK, Software Development Kit)를 통해 ‘맞춤형 앱 이벤트(Custom App Events, CAEs)*’ 형태로 구글과 메타에 접근 권한을 제공하였다.
* 맞춤형 앱 이벤트(Custom App Events, CAEs): 개발자가 앱 내에서 사용자의 행동을 정밀하게 추적하고 분석하기 위해 직접 설정하는 이벤트 지표
④ 구글과 메타는 각각 이 데이터를 이용하여 자신들의 광고 네트워크를 구동하는 머신러닝 알고리즘(Machine Learning Algorithms)*에 활용하는 등 상업적 목적으로 사용하였다.
* 머신러닝 알고리즘(Machine Learning Algorithms): 데이터를 학습하여 패턴을 찾아내고, 이를 바탕으로 미래를 예측하거나 결정을 내리도록 설계된 수학적/통계적 모델
메타(Meta)의 주장
① 원고들의 주장은 전혀 사실이 아니다. 사용자 개인정보보호는 메타에게 중요한 사안이기 때문에 건강 정보나 민감한 정보가 유입되지 않도록 하였으며, 개발자들이 이를 보내지 못하도록 이용 약관으로 금지하고 있다.
② 맞춤형 앱 이벤트는 암호화된 맞춤 문자열 데이터로서, 플로 헬스가 메타에 이 데이터를 해석할 키를 제공하지 않았다.
③ 메타는 수신한 제한적 데이터의 진정한 의미를 알지 못하였을 뿐만 아니라, 플로 헬스 사용자들의 대화 내용을 전혀 알 수도 없었다.
판결 내용
배심원단은 만장일치로 메타가 사용자 동의 없이 플로 헬스 앱에서 사용자의 건강 데이터를 불법적으로 수집하여 캘리포니아주의 개인정보 침해법(CIPA, California Invasion of Privacy Act)*을 위반하였고, 메타가 플로 헬스앱 사용자의 동의 없이 의도적으로 "도청"했다고 판단하였다.
* 캘리포니아 도청방지법(California Invasion of Privacy Act, CIPA) 632조
: 캘리포니아주의 도청법(Wiretap Law)으로, 비밀 대화(Confidential Communication)를 모든 당사자의 동의 없이 도청하거나 녹음하는 행위를 금지함
합의 상황
플로 헬스와 구글과의 합의는 재판 직전 발표되어 합의 세부 내용은 아직 공개되지 않았으며, 플러리는 지난해 말 350만 달러를 지급하기로 합의하였으나 법원 승인은 아직 대기 중이다.
메타의 예상되는 잠재적 손해배상
CIPA에 따르면, 각 위반 사항에 대해 최대 5,000달러의 손해배상금이 부과될 수 있다. 이 사건은 미국 내에서 2016년 11월부터 2019년 2월까지 플로 헬스에 등록한 370만 명 이상의 사용자를 대상으로 하므로, 이론상으로는 수조 달러에 달하는 배상금이 산정될 수 있다.
이 사건의 윤리적 문제
- (사용자의 정보 자기결정권) 플로 헬스앱 사용자들의 민감한 건강 정보가 메타에 의해 동의 없이 제3자 광고 타겟팅에 활용되었으며, 이는 사용자의 정보 자기결정권을 침해하는 행위이다.
- (형식적 동의) 배심원단은 플로 헬스앱 사용자들이 본인들의 데이터가 메타로 넘어간다는 점을 충분히 인식하지 못했을 것으로 판단하였는데, 이는 기업이 법적 요건만을 위해 ‘형식적으로 동의절차’를 진행한 후, 사용자 의사와 무관하게 데이터를 활용하고 있는 관행을 보여주는 것이라 지적했다.
- (기타) 메타는 앱 사용자들의 정보를 “원하지 않는다”고 주장하면서도, 실제로는 분석 및 광고 타겟팅에 활용했다는 증거가 제출되었다.
판결의 향후 영향
이 사건은 개인의 민감한 건강 정보 보호와 관련된 중요한 법적 쟁점을 다루었으며, 해당 판결로 인해 연방 규제의 대상이 아닌 건강 앱에서도 사용자 개인정보 보호 기준이 적용됨을 입증하였다. 따라서, 이번 판결은 캘리포니아 프라이버시법(CIPA)이 1960년대 도청 시대에서 디지털 데이터 시대에 적용된 첫 실전 판단이라는 점에서 미국 및 글로벌 프라이버시 법제와 업계 실무에 지대한 영향을 끼칠 전망이다.
