작성자: David Oberly
보도일자: 2024년 11월 20일
출처: Biometricupdate.com


2024년 10월 말, 한 글로벌 기술 대기업이 **일리노이 생체정보 보호법(Biometric Information Privacy Act, BIPA)**에 따른 집단소송에 대해 준거법(choice of law) 문제를 근거로 성공적으로 이의를 제기하여, 해당 집단소송이 기각되었고 이는 **재심 가능성이 없는 판결(dismissal with prejudice)**로 마무리되었습니다. 이 사건은 **Baker v. Match Group, Inc., No. 23 CV 2761, 2024 U.S. Dist. LEXIS 196990 (N.D. Tex. Oct. 30, 2024)**로, 텍사스 연방지방법원은 Match Group, Inc.(Match Group)의 이용 약관에 포함된 준거법 조항이 텍사스 실체법(substantive law)을 적용하도록 요구하고 있기 때문에, Match Group의 온라인 데이팅 앱 사용자들은 일리노이 주법에 따른 BIPA 청구를 제기할 수 없다고 판결했습니다.

Baker 판결은 BIPA 집단소송에서 준거법을 방어 논거로 사용하는 것의 범위와 복잡성에 대한 중요한 통찰을 제공합니다. 동시에, 이 판결은 BIPA 집단소송에서 사용 가능한 주요 방어 논거들 중 여전히 많은 부분에서 상당히 불확실성이 존재함을 강조하며, BIPA 미준수로 인한 책임 노출을 효과적으로 관리하기 위해 일리노이 생체정보법을 철저히 준수해야 할 필요성을 보여줍니다.

텍사스 북부지방법원의 판결

Baker 사건에서 Match Group이 소유한 데이팅 앱을 사용한 일리노이 주민 5명은 BIPA에 따른 세 가지 원인을 주장하며 일리노이 주 법원에 소송을 제기했습니다. 사건이 연방 법원으로 이송된 후, 일리노이 연방 법원은 Match Group의 이용 약관에 포함된 포럼 선택 조항에 따라 사건을 텍사스 북부 연방지방법원으로 이전했습니다. 이후 Match Group은 **준거법 조항(choice of law provision)**에 따라 텍사스 법이 적용되어야 하며, 원고들이 오직 일리노이 주법 위반만을 주장했기 때문에 구제를 받을 합리적인 근거가 없다고 주장하며 소송 기각을 요청했습니다. 법원은 Match Group의 주장을 받아들여 텍사스 법에 따라 원고들의 BIPA 청구가 법적으로 금지된다고 판결했습니다.

텍사스는 계약상 준거법 조항의 유효성을 판단하는 데 제2차 법충돌회칙(Restatement (Second) Conflict of Laws) § 187을 채택하고 있습니다. 이 접근 방식에 따르면, 다른 주가 다음 세 가지 요건을 충족하지 않는 한, 계약상 준거법 조항은 유효합니다:
1.당사자와 거래에 대해 더 중요한 관계를 가지는 경우
2.해당 조항의 집행 가능성에 대해 더 큰 이해관계를 가지는 경우
3.선택된 주의 법률 적용이 근본적인 정책에 위배되는 경우

Baker 사건에서 법원은 세 번째 요건인 “근본적인 정책에 위배”되는지를 중점적으로 분석했습니다. 이 기준은 당사자가 선택한 법의 적용이 “해당 주의 근본적인 정책에 위배되어, 당사자 의도나 거래와 관련된 다른 주에서의 집행 가능성과 무관하게 법원이 이를 집행하지 않을 정도”인 경우에 적용됩니다.

이 사건에서 법원은 BIPA가 일리노이 중의 근본적인 정책을 반영하고 있지만, 텍사스도 자체적인 BIPA 유사 법률인 **텍사스 생체 식별자 사용 또는 수집법(Capture or Use of Biometric Identifiers Act, CUBI)**을 통해 동일한 근본적인 정책적 이해관계를 공유한다고 판단했습니다. 특히, 법원은 CUBI가 텍사스 법무장관에 의해 집행되고 BIPA는 개인에게 소송 제기의 권리를 부여한다는 집행 메커니즘의 차이가 분석에 영향을 미치지 않는다고 보았습니다. CUBI와 BIPA가 다른 측면에서 차이가 있음에도 불구하고, 법원은 CUBI가 BIPA와 유사한 보호를 제공한다고 결론지었습니다. 따라서 CUBI 및 텍사스 법은 일리노이 주민의 생체 정보 보호라는 근본적인 정책에 위배되지 않는다고 보았습니다.

결과적으로, 텍사스 법의 적용은 일리노이 정책에 반하지 않았으며, 당사자 간의 유효한 계약상 준거법 조항에 따라 텍사스 법이 이 분쟁을 지배했습니다. 이에 따라 텍사스 법에 따르면 Baker 원고들은 일리노이 주법 BIPA에 근거한 청구를 제기할 법적 근거를 상실했으며, 소송은 재심 불가능(dismissal with prejudice) 판결로 기각되었습니다.

분석 및 시사점

BIPA 집단소송에서 준거법 복잡성과 세부사항의 탐색

현재까지, 준거법 문제를 이유로 기각된 BIPA 집단소송 사례는 **Thakkar v. ProctorU, Inc., 642 F. Supp. 3d 1304 (N.D. Ala. 2022)**와 Baker 두 건뿐입니다. 다만, Thakkar 사건에서는 알라바마 주의 준거법 규칙이 적용되었는데, 이는 알라바마 이외의 다른 주의 근본적인 정책 이해관계를 고려하지 않습니다. 알라바마 법에 따르면, 계약상 준거법 조항은 당사자가 선택한 법의 적용이 알라바마 공공정책과 충돌하지 않는 한 유효합니다. Thakkar 사건에서는 준거법 조항이 알라바마 법이 모든 분쟁을 지배한다고 명시했으며, 당사자가 선택한 법의 적용이 알라바마 공공정책과 충돌할 가능성이 없었기 때문에, 해당 조항은 유효하다고 판단되어 BIPA 집단소송이 재심 불가능(dismissal with prejudice) 판결로 기각되었습니다.

반면, Baker 사건 외의 모든 사례에서 Restatement § 187 기준에 따라 BIPA 소송에서 준거법 조항의 유효성을 판단한 법원은 이러한 조항을 유효하지 않다고 판결했습니다. 그 이유는 당사자가 선택한 법을 적용하면 일리노이 주의 생체정보 보호 정책이 사실상 무효화되기 때문입니다. 예:

• In re Facebook Biometric Info. Priv. Litig., 185 F. Supp. 3d 1155 (N.D. Cal. 2016)
• Delgado v. Meta Platforms, Inc., 718 F. Supp. 3d 1146 (N.D. Cal. 2024).

유사하게, 일리노이 준거법 규칙을 적용한 BIPA 분쟁에서 준거법 조항의 유효성을 판단한 모든 법원도 이러한 조항을 집행하지 않는 결정을 내렸습니다. 예:

• Patterson v. Respondus, Inc., 593 F. Supp. 3d 783 (N.D. Ill. 2022)
• Hogan v. Amazon.com, Inc., No. 21 CV 3169, 2022 U.S. Dist. LEXIS 58347 (N.D. Ill. Mar. 30, 2022)
• Kuklinski v. Binance Cap. Mgmt. Co., Ltd., No. 21 CV 1425, 2023 U.S. Dist. LEXIS 59418 (S.D. Ill. Apr. 5, 2023)
• Hartman v. Meta Platforms, Inc., No. 23 CV 2995, 2024 U.S. Dist. LEXIS 167696 (S.D. Ill. Sept. 17, 2024).

일리노이의 균형 테스트를 적용한 여러 BIPA 판결에서는 당사자들이 계약상 워싱턴 법(Wash. Rev. Code § 19.375.010 등, HB 1493)을 선택한 경우가 있었습니다. 워싱턴 법은 일리노이 생체정보법과 유사한 요건과 제한을 규정하지만, 이러한 법원들은 워싱턴 법을 적용하지 않기로 결정했습니다. 그 이유는 워싱턴 법이 **개인 소송권(private right of action)**을 인정하지 않음으로써 원고가 자신의 생체정보 오용 주장에 대해 권리를 행사할 수 없게 만들기 때문입니다. 이는 BIPA의 개인 소송권과 상충합니다.

반면, Baker 법원은 텍사스 법의 적용이 일리노이 정책을 위반하지 않는다고 판결했습니다. CUBI도 워싱턴 법과 마찬가지로 개인 소송권을 포함하지 않지만, 법원은 CUBI가 BIPA와 비슷한 수준의 생체정보 보호를 제공한다고 판단했습니다. 따라서 텍사스 법의 적용은 일리노이의 근본적인 정책에 반하지 않았습니다.

위 분석에서 알 수 있듯이, BIPA 집단소송에서 제기된 준거법 문제의 결과는 주로 소송이 제기된 주의 준거법 규칙에 따라 달라집니다. 그러나 이러한 경우에도 법원은 각 사건의 구체적 사실에 따라 포럼 주의 준거법 규칙을 적용할 재량권을 넓게 가지기 때문에 일관성이 부족할 수 있습니다.

주요 시사점:

• 기업은 일반적으로 계약상 준거법 선택을 폭넓게 인정하는 규칙을 채택한 관할권에서 준거법 논거를 통해 승소할 가능성이 높습니다.
• 반대로, 기업은 일리노이 주에서 집단소송이 진행될 경우 준거법 논거를 통해 승소할 가능성이 가장 낮습니다. 이는 일리노이의 균형 테스트가 당사자들이 선택한 법과 무관하게 일리노이 실체법을 적용하도록 크게 기울어져 있기 때문입니다.
• Restatement § 187 방식을 채택한 관할권에서도, 당사자가 선택한 법이 BIPA에 상응하는 생체정보 보호법을 제공하지 않는 경우 준거법 논거를 통해 승소하기 어렵습니다.
• 당사자가 선택한 법이 BIPA 유사 법률을 제공하는 경우, Restatement § 187 방식에서 승소 가능성이 다소 높아지지만, 법원이 이 기준을 사건의 구체적 사실에 어떻게 적용하느냐에 따라 여전히 상당한 불확실성이 존재합니다.

 

BIPA 분쟁의 핵심 방어 논거에 대한 지속적인 불확실성

위에서 논의된 Baker 및 기타 BIPA 준거법 관련 판결은 BIPA 집단소송 분쟁의 핵심 쟁점에 대한 법적 해석이 여전히 불안정하며 종종 상충된다는 점을 강조합니다. 특히, BIPA 집단소송에서 준거법을 방어 논거로 사용하는 것의 범위와 한계에 대한 불확실성은 생체정보를 개발, 공급, 또는 사용하는 기업에 상당한 위험을 초래합니다. 연방지방법원의 판결은 동일한 관할구역 내에서조차, 심지어 동일한 판사가 다른 사건에서조차 구속력 있는 선례가 아니기 때문입니다. 궁극적으로, 연방지방법원의 판결은 그 논리적 설득력 이상의 영향력을 갖지 못합니다.

전반적으로, 법적 일관성과 합의 부족, 그리고 연방지방법원 판결이 가지는 단순한 설득력의 한계는 기업들로 하여금 BIPA의 법적 요구사항을 지속적이고 엄격하게 준수하도록 만들 필요성을 더욱 강조합니다. 이는 일리노이 생체정보법 위반과 관련된 고위험 집단소송에서 법의 불확실하거나 논란이 되는 해석으로부터 안전하게 보호받을 수 있는 유일한 확실한 방법이기 때문입니다.

앞으로의 대응 방안

Baker 사건에서 볼 수 있듯이, BIPA 집단소송에서 준거법 문제를 제기하는 것은 초기 소송 단계에서 기업의 생존이 걸린 고비용의 집단소송에서 조기 기각을 얻어낼 수 있는 강력한 도구입니다. 하지만, 유사한 사실 관계에서도 법원이 준거법 조항의 집행 가능성에 대해 상충된 결론을 내리는 경우가 많아, 준거법 문제를 제기하여 BIPA 집단소송 청구를 성공적으로 완전히 무효화할 수 있을지에 대한 상당한 불확실성이 존재합니다.

이러한 위험을 해결하기 위해, 생체정보를 사용하는 기업과 생체정보 도구를 개발·공급하는 기술 공급업체는 모든 계약에 강력하고 집행 가능한 준거법 조항을 포함하여 법적 검토 시 이를 통과할 수 있도록 해야 합니다. 대부분의 BIPA 소송이 일리노이 주에서 제기되므로, 기업들은 또한 포럼 선택 조항을 계약에 포함시켜, BIPA 집단소송을 보다 유리한 관할권의 지방법원으로 이관할 수 있도록 해야 합니다.

특히, 계약상의 준거법 조항과 관련된 다양한 세부사항과 잠재적 위험 때문에, 기업은 생체정보 관련 경험이 풍부한 외부 변호사와 상의하여 준거법 언어를 작성, 검토, 평가, 업데이트해야 하며, 소송이 발생할 경우 준거법 논거에서 성공 가능성을 극대화해야 합니다.

또한, BIPA 집단소송에서 발생하는 고비용 증거개시 절차(discovery) 이전에 기업이 스스로 분쟁에서 벗어나기 위해 직면하는 큰 장애물을 미리 차단하기 위해, 기업들은 보수적인 준수 접근 방식을 취하고 모든 관련 BIPA 법적 의무를 철저히 준수해야 합니다. 마찬가지로, 기업은 생체정보 관련 외부 전문가와 협력하여 조직의 생체정보 준수 프로그램을 검토하고 감사를 실시하며, 발견된 모든 격차를 수정하여 법적 완전 준수를 달성해야 합니다. 이를 통해 기업은 초기 단계부터 소송을 방어해야 할 가능성을 크게 줄일 수 있습니다.

기업은 다음과 같은 최소한의 항목을 포함하는 유연한 기업 전반의 생체정보 준수 프로그램을 유지해야 합니다:

• 공개적으로 접근 가능한 생체정보 전용 개인정보 보호 공지
• 데이터 보존 및 파기 지침 및 일정, 특히 생체정보 데이터의 즉각적이고 영구적인 삭제를 유발하는 특정 이벤트를 명확히 설명하는 지침
• 생체정보 데이터가 처음 수집되기 전에 모든 데이터 주체에게 서면 통지를 제공할 수 있는 효과적인 메커니즘
• 생체정보 데이터를 처음 수집하기 전에 서면 동의를 확보하기 위한 효과적인 별도의 메커니즘, 이를 통해 기업은 수집 시점 또는 그 이전에 식별된 모든 목적을 위해 생체정보 데이터를 수집하고 공개할 수 있음
• 고객, 파트너, 공급업체 및 기타 제3자와 체결한 모든 계약에서 생체정보 데이터의 수집 및 사용, BIPA 및 유사한 생체정보법 준수에 대한 책임 할당, 그리고 관련 법적 위험 및 책임 노출을 최대한 완화하기 위해 필요한 추가 조항에 대한 명확하고 정밀한 언어.

이러한 조치를 통해 기업은 BIPA 집단소송에서의 법적 위험을 최소화하고 준수 상태를 강화할 수 있습니다.

저자 소개

Daivd J. Oberly는 Baker Donelson의 워싱턴 D.C. 사무소에서 OfCounsel로 활동하며, 회사의 전문 생체정보법 관련 업무를 이끌고 있습니다. LexisNexis로부터 “생체정보 프라이버시 분야에서 가장 저명한 전문가 중 한 명”으로 인정받은 David는 생체정보 프라이버시, 인공지능, 데이터 프라이버시/보안 준수 및 위험 관리와 관련된 광범위한 사안에 대해 고객들에게 자문을 제공하고 조언합니다.

또한, 그는 기업의 존폐가 걸린 BIPA 집단소송 분쟁을 다룬 풍부한 소송 경험을 보유하고 있습니다. David는 생체정보 프라이버시법을 종합적으로 다룬 최초이자 유일한 전문 저서인 **《Biometric Data Privacy Compliance & Best Practices》**의 저자이기도 합니다.

David J. Oberly에게 이메일(dobely@bakerdonelson.com)로 연락할 수 있으며, X(Twitter)에서 @DavidJOberly를 통해 그를 팔로우 할 수 있습니다.