미 버몬트주, 유전자검사키트 데이터 프라이버시 규제 강화 법안 논의
□ [기사] Vermont bill aims to protect your genetic data from misuse
□ [참고기사 1] Vermont bill would tighten privacy rules for genetic testing kit data
□ [참고자료] Several States Introduce New Genetic Privacy Bills in Early 2026
버몬트주에서는 소비자의 유전자 정보가 오용되는 것을 막기 위해 새로운 법안을 검토하고 있다. 이 법안은 가정용 DNA 검사 서비스를 제공하는 기업들이 주민들의 유전 정보를 수집·사용·공유하는 방식을 규제하려는 목적을 가진다. 이러한 움직임은 유전자 검사 기업 23andMe*에서 발생한 대규모 개인정보 유출 사건 이후 촉발되었으며, 당시 약 690만명 사용자의 조상 관련 데이터(ancestry-related data)가 유출되었다. 이후 회사는 파산 신청했고 집단소송에서 3천만 달러에 합의하면서 유전자 정보 보호 문제에 대한 우려가 더욱 커지는 계기가 되었다. 수정된 법안은 2월 19일 하원 상업·경제개발 위원회를 통과했다.
* 23andMe: 2007년에 설립된 미국의 소비자 직접 유전자 검사(Direct-To-Consumer, DTC) 기업으로, 고객이 자사 웹사이트를 통해 유전자 검사 키트를 주문하고 결과를 온라인 포털에서 확인할 수 있는 서비스를 제공. “DNA Relatives” 기능을 통해 연결된 다른 이용자 정보의 이름, 출생연도, 거주지역, 조상‧가계 정보까지 대규모로 유출된 사건이 발생
H.639 법안 발의 배경
H.639 법안은 28명의 주 하원의원이 발의한 것으로, 23andMe 논란 이후 기업의 소유권이 이전될 경우 고객 데이터가 어떻게 처리되는지에 대한 우려가 제기되면서 제출되었다. 법안의 주요 발의자인 로빈 슈(Robin Scheu) 의원은 가정용 DNA 검사 키트(home DNA testing kit)를 사용한 개인적 경험을 계기로 이 문제에 관심을 갖게 되었다고 밝혔다. 그는 “모든 사람의 유전 정보는 어떻게 되는가? 잘못된 사람의 손에 들어가면 사람들에게 나쁜 일이 발생할 수 있다”고 말했다.
유전자 정보의 특수성
버몬트 주 법무부의 토드 달로즈(Todd Daloz) 부검사는 유전자 정보는 다른 개인정보와는 다른 특수한 문제를 갖게 됨을 강조했다. 인간의 유전체는 변경할 수 없는 것으로, 병 속에서 빠져나온 요정(genie)을 다시 집어 넣을 수 없는 것처럼 정보가 한 번 유출되면, 다시 되돌릴 수 없는 위험성을 설명하였다.
법안 목적
이 법안의 목적은 사람들이 DNA 샘플을 제출한 이후에도 자신의 유전자 정보가 어떻게 처리되는지에 대해 더 많은 통제권을 갖도록 하는 것이다. H.639는 유전자 검사 키트 회사들이 데이터를 공유하는 방식을 제한하고, 고객에게 데이터 처리에 대해 투명하게 설명하도록 요구한다. 또한 기업이 데이터를 활용하려면 추가적인 동의를 받아야 하며, 기존처럼 하나의 긴 계약서에 포괄적으로 동의하는 방식이 아니라 일부 항목에는 동의하고 다른 항목은 거부할 수 있도록 선택권을 부여하도록 한다.
법안 특성
법안은 유전자 검사 기업이 소비자의 데이터를 보험회사나 고용주에게 제공하는 것을 금지한다. 이러한 정보가 건강 위험성을 나타낼 경우 보험 가입이나 취업에 영향을 미칠 수 있기 때문이다. 슈(Sheu) 의원은 이러한 가능성에 대해 많은 사람들이 오랫동안 우려해 왔다고 말했다.
법안 조항에 대한 우려
한편 Ancestry.com의 정부업무 책임자인 리치 엥겔하르트(Ritchie Engelhardt)는 회사가 이 법안을 지지한다고 밝혔다. 또한, Ancestry.com은 고객이 원할 경우 자신의 데이터 삭제와 생물학적 샘플 파기를 허용하고 있다고 설명했다. 그러나 그는 법안에 포함된 ‘사적 소송권’ 조항(private right of action)—즉 소비자가 규정 위반 기업을 상대로 직접 소송을 제기할 수 있도록 하는 조항—은 삭제해야 한다고 주장했다. 엥겔하르트는 이러한 조항이 실제 개인정보 피해가 발생하지 않았더라도 기술적 오류만으로도 수백만 달러 규모의 소송이 제기될 수 있어 기업에 과도한 부담이 될 수 있음을 우려했다.
윤리적 쟁점
① 연구 등 정보의 2차 이용시 실질적 동의가 형식화될 가능성이 있다.
② 비식별 정보라 하더라도 재식별 위험을 과소 평가하는 경우 피해가 확대될 수 있다.
③ 과잉 소송이 기업의 혁신을 위축시키지 않도록 균형이 필요하다.
|
[참고] 로드아일랜드 (Rhode Island), 법안 S 2203
최근 몇 년 동안 10개 이상의 주에서 소비자 직접(DTC, direct-to-consumer) 유전자 검사 기업(genetic testing companies)을 규제하기 위한 유전자 프라이버시 법을 제정했으며, 로드아일랜드의 S 2203이 부과하는 주요 사항은 다음과 같음
고지 의무 · 기업은 “눈에 잘 띄고 쉽게 접근 가능한” 개인정보 보호 고지를 제공해야 하며, 다음 내용을 포함해야 함 - 유전자 데이터 관련 개인정보 처리 관행 - 비식별화된 유전자 또는 표현형(phenotypic) 정보가 연구 목적으로 제 3자와 공유될 수 있다는 사실 - 이는 연방 인체연구 규정(Common Rule, 45 C.F.R. Part 46)에 따른 것임을 명시
동의 의무 · 유전자 데이터 수집·이용·공개에는 소비자의 명시적 동의(express consent)가 필요 특히 다음 사항에는 별도의 동의가 필요 - 검사 완료 후 샘플 보관 - 유전자 데이터 또는 생물학적 샘플의 2차 사용
- 제 3자에게 데이터 또는 샘플 이전 또는 공개(제 3자의 이름 포함)
소비자 권리 · 소비자가 불필요한 절차 없이 동의를 철회할 수 있는 방법을 제공 · 소비자가 자신의 유전자 데이터를 쉽게 열람·삭제하거나 생물학적 샘플을 폐기할 수 있도록 절차를 마련
서비스 제공자 계약 · 샘플 또는 데이터 보관, 데이터 이용, 소비자 신원 정보 공개
예외 사항: 다음은 “유전자 데이터”에서 제외됨 - 재식별 가능성이 낮도록 조치를 취한 비식별 데이터 - HIPAA* 또는 주 의료정보 보호법 적용 대상 정보 *HIPAA(Health Insurance Portability and Accountability Act, 건강보험 양도 및 책임에 관한 법률) - HHS(미국 보건복지부) 승인 연구기관의 인체연구 - 특정 질병 진단을 위한 검사 |
