AI시대 FTC "앱을 통한 무분별 개인 의료 정보 "공유 제동...VR헤드셋 통한 생체 정보 수집 경고
미국 연방 공정거래위원회(The Federal Trade Commission)가 2023년 5월 18일 건강앱 등 소비자 건강 데이터를 다루는 기업들에 적용되는 연방 건강 개인 정보 규칙인(federal health privacy rules) HBNR 강화를 의결했다.
[FTC, 개인 의료 정보 제 3자 제공 엄격히]
Health Breach Notification Rule (HBNR)은 개인 정보 수집과 허용 범위를 규정한 규칙이다.
HBNR에 따르면 개인 건강 정보 유통회사는 개인 정보 공유 허용 범위를 벗어난 위반에 대해 소비자에게 알려야 한다. 아울러 만약 서비스 제공회사가 위반이 있는 경우 (이를 소비자에게 제공하는) 기업에 알려야 하며 이는 소비자에게도 통보되어야 한다.
연방 규칙은 또 소비자 통보의 방법, 시기, 통보 내용 등도 세밀하게 규정하고 있다. 위반 피해자가 500명이 넘을 경우에는 즉시 언론에도 알려야 한다. 쉽게 말해 건강 정보와 개인 의료 기록 등을 수집하고 공유하는 가이드라인을 담은 규칙인 셈이다.
그러나 AI시대 디지털 헬스 트렌드가 변화하고 보다 다양한 개인 의료 정보를 수집하는 디바이스들이 늘어남에 따라 규칙을 보다 명확하게 개정해야 한다는 주문이 많았다.
특히, 점점 더 많은 회사들이 환자 건강 정보를 추측 진단할 수 있는 데이터를 수집하고 있지만, 별도 동의나 공지 없이 제3자에게 이를 판매는 경우가 늘고 있어 이에 대한 단속이 필요하다는 의지를 보인 것이다.
디지털 헬스, 메디컬 테크 업체뿐만 아니라 스마트워치나 개인 신체 측정을 통한 의료 정보 서비스를 제공하는 디바이스 업체들에게도 이 변경은 큰 파장을 일으킬 전망이다.
이번 개정으로 건강 정보 수집과 공유는 더 더까다로워졌다. 수집 목적과 소비자에 대한 통보 여부를 강화한 것이다. 아울러 일반 건강 보건법에 적용되지 않는 사업자들도 이 규칙에는 해당될 수 있다.
디지털 헬스 기업들은 AI시대, 환자 개인 정보를 이용, 보다 세밀한 맞춤형 서비스를 만들고 있다.
FTC 의장인 리나 칸(Lina Khan)은 “우리는 이번 정책 시행이 디지털 테크 사업자들에게 그들이 현 법률 지켜야 한다는 것을 보여주는 메시지라고 본다”고 밝혔다.
[기술 발달로 인한 법을 넘어서는 건강 정보 수집]
디지털 헬스 기업들의 고민은 HBNR이 디지털 의료 공유를 규정하는 근간이 될 수 있다는 점이다.
칙 개정에 적용되는 기업들은 환자나 개인 의료 데이터 관리 규칙의 근간이 되는 건강보험법(Health Insurance Portability and Accountability Act(HIPAA)에 적용 받는 사업자를 넘어선다.
HIPAA는 지난 1996년 빌 클린턴 정부때 시행된 법률이다. 미국 보건복지부(U.S. Department of Health & Human Services)에 따르면 HIPAA는 의료 정보 보호를 위한 데이터 개인 정보 보호 및 보안 규정을 담고 있다. 이 법은 두 개 메인 파트로 이뤄져 있다
‘개인 정보 보호 정책’과 보안 정책(Privacy Rule and the Security Rule)’이다. 개인 정보 보호 정책은 개인의 의료 기록 및 기타 개인 건강 정보를 보호하기 위한 연방 표준이다. 디지털 헬스 기업이나 의료 정보 서비스 기업은 이 규칙을 반드시 따라야 한다. 보안 정책은 전자 파일 형태로 전송되는 특정 건강 정보(Specific health information)의 보호 기준을 담은 연방 표준이다.
하지만, 의료 정보를 공유하는 방식이나 성격이 달라짐에 따라 현재 연방 보건 개인 정보 보호법의 효과가 감소하고 있다. 사실상 유명 무실한 조항도 많다.
이 법의 적용 예외나 법적 사각지대에 있는 서비스가 늘고 있다.
2023년 4월 미국 펜실베이니아 대학(University of Pennsylvania)가 조사한 바(Health Affairs)에 따르면 미국 병원 웹사이트의 99%가 제 3자 외부의 추적 소프트웨어(third-party tracking software) 접근을 허용하고 있다. 그러나 이는 보안이나 의료 사고로 이어질 위험이 있어 과거 보건당국도 경고한 바 있는 문제다. 칸 위원장은 “이번 변경으로 기업들에게 적용되는 조항이 보다 명확해질 것”이라고 강조했다.
HIPPA가 의회를 통과했을 때는 아이폰이 시장에 출시되기 11년 전이었다. 그러나 그 이후 큰 변경이나 수정이 없었다. 그러나 그 사이 기술 개발은 엄청나게 빠르게 진행됐고 민감한 건강 데이터들이 외부로 전송되지만 법으로는 규제할 수 없었다.
최근 AI 알고리즘을 이용한 소비자 데이터 수집은 엄청난 위협으로 작용될 수 있다.
현재 소비자들의 소셜 미디어 이용 습관, 웹서치 등 AI에 의해 수집된 정보는 고용이나 주택 금융 위험 지수 개발에 사용된다. 이런 프레임이 의료에도 쉽게 적용될 수 있다.
병원이나 개인 동의를 구하지 않아도 AI를 통해서만 더 세밀한 개인 의료 정보를 얻을 수 있는 것이다.
실제 2021년과 2023년 미국 규제기관 FTC는 Flo, GoodRx, BetterHelp 등의 디지털 헬스 기관이 민감한 사용자들의 건강 데이터를 구글, 페이스북 등에 제공해 벌금을 부과한 바 있다. 이들 정보는 사용자들에게 비공개를 약속했던 데이터들이다.
(참고)
[FTC, 안면 인식 기술, VR를 통한 개인 정보 수집 제동]
FTC는 또한 같은 날인 5월 18일 안면 얼굴 인식 기술(facial recognition technology) 등 개인의 생체 정보를 사용하는 기술에 대해 ‘중대한 소비자 사생활과 데이터 보안 우려(significant consumer privacy and data security concerns)’를 제기할 수 있다고 경고했다.
이 경고는 업그레이드가 한창인 VR헤드셋의 성능에도 영향을 미칠 수 있다. 사실 이런 헤드셋들은 눈 움직임이나 속도, 몸짓과 같은 생체 데이터까지 읽을 수 있다. 만약 이런 데이터들이 제 3자에 넘어간다면 개인 건강 보안에 상당히 위협적일 수 있다.
미국 비영리 시민단체 U.S. PIRG의 기업들의 개인 정보 수급 금지를 요구하는 ‘Don't Sell My Data’ 캠페인 디렉터 R.J. Cross는 FTC 발표에 대한 공식 논평에서 “보험 회사가 VR 헤드셋에서 수집한 생체 인식 데이터를 구입할 가능성도 매우 높다”고 강조했다.
이에 크로스 디렉터는 악시오스와의 인터뷰에서 “FTC 생체정보 규제 성명은 좋은 시작이지만 앞으로 갈 길이 길다”며 “수집과 분석 기술 발달에 따라 우리는 전혀 보지 못한 방식의 개인 데이터 수집과 분석툴을 보고 있다”고 말했다. 특히, 그는 “이런 민감한 신체 데이터들이 섞여서 분석될 때 상황은 더 안좋게 된다”고 설명했다.
