27개 주가 23andMe를 제소한 이유는 무엇인가요?

파산한 회사가 고객 유전자 데이터를 판매하는 것을 막기 위해서이며, 23andMe가 데이터를 제대로 보호하지 못했고 2023년 유출 사태의 심각성에 대해 소비자들을 오도했다고 주장합니다.

2023년 유출 사태로 영향을 받은 사람은 몇 명인가요?

소송에 따르면, 이 유출 사태로 인해 약 700만 명의 민감한 건강 정보가 노출되었습니다.

23andMe의 유전자 데이터가 새로운 소유주에게 판매될 수 있나요?

소송 측은 파산 과정에서 원래 동의 조건에 구속되지 않는 구매자에게 데이터가 이전될 수 있다고 주장합니다. 플로리다와 같은 일부 주에서는 명시적 동의 없이 그러한 판매를 금지하지만, 모든 주에 이러한 보호 장치가 있는 것은 아닙니다.

VPN 같은 도구로 유전자 데이터를 비공개로 유지할 수 없는 이유는 무엇인가요?

VPN과 암호화는 전송 중인 데이터를 보호하지만, 유전자 데이터는 물리적 타액 샘플에서 수집되어 회사 서버에 저장됩니다. 그 시점부터 네트워크 수준의 도구는 적용되지 않으며, 프라이버시는 전적으로 회사의 보안 및 법적 보호 장치에만 의존하게 됩니다.

23andMe가 유출 사태 후 어떻게 고객을 오도했다는 주장인가요?

주 연합 측은 23andMe가 사건의 규모를 축소하여, 고객들이 상황의 심각성을 깨닫고 스스로를 보호하거나 데이터 삭제를 요청하는 조치를 취하지 못하게 막았다고 주장합니다.

27개 주, 2023년 유출 사태 후 유전자 데이터 판매 막기 위해 23andMe 제소

27개 주와 워싱턴 D.C.가 파산한 DNA 검사 기업 23andMe가 고객의 유전자 데이터를 판매하는 것을 막기 위해 소송을 제기했습니다. 파산 법원에 제출된 이 소송은 약 700만 명의 민감한 건강 정보를 노출시킨 2023년 유출 사태에 초점을 맞추고 있으며, 23andMe가 해당 사건의 심각성에 대해 소비자들을 오도했다고 주장합니다. 약 1,500만 명에 달하는 고객의 유전자 데이터가 걸려 있는 상황으로, 이들은 자신의 가장 은밀한 생물학적 정보가 최고가 입찰자에게 경매로 넘어가는 데 결코 동의한 적이 없습니다.

이 사건은 단순한 기업 과실에 대한 이야기가 아닙니다. 프라이버시를 중시하는 소비자들에게 더 어렵고 불편한 질문을 던집니다. 바로 프라이버시 위험이 비밀번호, IP 주소, 이메일이 아니라 당신의 실제 DNA일 때는 어떻게 되는가 하는 점입니다.

소송이 실제로 주장하는 내용

주 법무장관 연합은 크게 두 가지 측면에서 주장을 펼치고 있습니다. 첫째, 23andMe가 2023년 유출 사태 이전과 도중에 사용자 데이터를 적절히 보호하지 못해 수백만 고객이 예측할 수 없었던 피해에 노출되도록 방치했다는 것입니다. 둘째, 회사가 사건의 규모를 축소하여, 그렇지 않았다면 스스로를 보호하거나 데이터 삭제를 요청하는 등의 조치를 취했을 고객들을 오도했다는 것입니다.

이제 23andMe가 파산 신청을 함에 따라, 한 가지 약속 아래 수집된 유전자 데이터가 완전히 다른 정책을 가진 새로운 소유주에게 이전될 수 있다는 우려가 제기되고 있습니다. 원래 가계 조사나 건강 정보 분석을 위해 DNA를 공유하는 데 동의했던 고객들의 데이터가, 원래 서비스 약관을 준수할 의무가 없는 알 수 없는 제3자에게 흡수될 수 있다는 것입니다.

이미 여러 주에서는 이러한 시나리오를 구체적으로 다루는 법률을 시행하고 있습니다. 예를 들어 플로리다는 고객의 명시적 동의 없는 유전자 데이터 판매를 형사 처벌과 벌금을 통해 금지하고 있습니다. 하지만 모든 주에 이러한 보호 장치가 있는 것은 아니며, 바로 그 때문에 여러 주가 협력하는 이번 소송이 필요하게 되었습니다.

프라이버시 도구로 유전자 데이터를 보호할 수 없는 이유

이것이 대부분의 디지털 프라이버시 관련 보도에서 빠뜨리는 부분입니다. VPN, 암호화 메시징 앱, 프라이빗 브라우저 같은 도구들은 한 범주의 데이터, 즉 여러분이 디지털 방식으로 전송하거나 생성하는 정보를 보호하는 데 효과적입니다. 이 도구들은 여러분의 IP 주소, 브라우징 기록, 그리고 통신 내용이 가로채지지 않도록 보호할 수 있습니다.

하지만 여러분이 이미 물리적 형태로 자발적으로 제공한 데이터에 대해서는 어떤 것도 할 수 없습니다. DNA 검사 회사에 타액 샘플을 우편으로 보내는 순간, 네트워크 수준의 개인정보 보호는 그 어떤 것도 적용되지 않습니다. 데이터는 수집되고, 처리되며, 회사 서버에 저장됩니다. 그 시점부터 여러분의 프라이버시는 전적으로 회사의 보안 관행, 계약상 의무, 그리고 해당 관할권에서 이용 가능한 법적 보호 장치에 달려 있습니다.

이 구분은 위험의 본질을 바꾸기 때문에 중요합니다. 대부분의 디지털 프라이버시 위협에서는 사용자가 지속적으로 행동할 수 있는 권한을 가집니다. 서비스 이용을 중단하거나, 데이터를 삭제하거나, 더 사적인 대안으로 전환할 수 있습니다. 하지만 유전자 데이터의 경우, 그 정보는 불변합니다. DNA는 변경하거나 재설정하거나 철회할 수 없습니다. 한 번 유출되거나 판매되면, 그 노출은 영구적입니다.

이것이 여러분에게 의미하는 바

23andMe 고객이라면, 이번 소송은 현재 여러분의 데이터가 동의 없이 판매되는 것을 막기 위한 적극적인 법적 노력이 진행 중임을 의미합니다. 그러나 법적 절차에는 시간이 걸리며, 채권자의 이익이 소비자 보호와 직접적으로 충돌하는 경우가 많은 파산 법원에서는 결과가 결코 보장되지 않습니다.

지금 당장 취할 가치가 있는 구체적인 조치들이 있습니다. 첫째, 이미 23andMe에 데이터 삭제 요청을 제출했는지 확인하세요. 이 회사는 역사적으로 이 옵션을 제공해 왔으며, 파산 절차로 인해 상황이 복잡해지긴 했지만 공식적인 삭제 요청을 제출하면 여러분의 의사를 문서로 기록하게 됩니다. 둘째, 계정 생성 시 서명한 동의 계약서를 검토하세요. 이러한 문서에는 기업 이전 시 여러분의 권리가 명시되어 있을 수 있습니다.

특히 23andMe를 넘어서, 이번 사건은 유전자 프라이버시에 대해 더 넓게 생각해보는 유용한 계기가 됩니다. 건강, 피트니스, 가계 조사 또는 연구 목적으로 생체 인식 또는 생물학적 데이터를 수집하는 모든 서비스는 기존 프라이버시 도구의 범위 밖에 있는 정보를 보유합니다. 그 데이터를 보호하는 법적 프레임워크는 주마다 크게 다르며, 여전히 기술 발전을 따라잡고 있는 중입니다.

미국에서 더 광범위한 프라이버시 법안이 어떻게 발전하고 있는지에 관심이 있다면, 로프그렌-틸리스 법안은 입법자들이 디지털 데이터 권리와 기존 보호 장치의 한계에 대해 어떻게 생각하고 있는지 보여주는 유용한 창구를 제공합니다.

데이터 브로커 위험의 더 큰 그림

23andMe 상황은 데이터 브로커 생태계가 어떻게 작동하는지를 상기시켜 줍니다. 선의의 목적으로 수집된 데이터조차도 원래 소비자에게 의도와 관행이 전혀 알려지지 않은 당사자의 손에 넘어갈 수 있습니다. 파산 매각은 이것이 발생할 수 있는 한 경로입니다. 기업 인수, 데이터 라이선스 계약, 보안 침해 등도 다른 경로입니다.

유전자 데이터는 현존하는 개인 정보 중 가장 민감한 범주에 속합니다. 질병 소인, 가족 관계, 민족적 유산을 드러낼 수 있습니다. 잘못된 사람의 손에 들어가면 보험사, 고용주 또는 법 집행 기관이 소비자가 전혀 예상하거나 동의하지 않은 방식으로 사용할 수 있습니다.

23andMe에 대한 이번 다주 소송은 미국 내 유전자 프라이버시 권리에 있어 중대한 순간입니다. 이 소송이 데이터 판매를 차단하는 데 성공하든 그렇지 않든, 주 법무장관들이 소비자 데이터 문제에 대해 공격적으로 협력할 의사가 있으며, 유전자 데이터가 더욱 강화된 법적 보호를 받아야 할 범주로 점점 더 취급되고 있음을 이미 입증했습니다.

유전자 검사 회사에 유전자 데이터를 저장해 둔 경우, 지금이 계정 설정을 검토하고, 삭제 권리를 이해하며, 향후 어떤 서비스에도 생물학적 데이터를 제출하기 전에 신중하게 생각해야 할 때입니다. 어떤 VPN도 여러분의 DNA를 보호할 수 없지만, 데이터를 공유하기 전에 정보에 입각한 결정을 내리는 것이 가장 강력한 프라이버시 도구입니다.