미주리주에서 하원 법안 407(House Bill 407), 하원 법안 500(House Bill 500), 상원 법안 554(Senate Bill 554)가 두 번째 심의를 통과하면서, 기업 및 조직이 생체 데이터를 수집, 저장, 활용하는 방식을 규제하려는 광범위한 입법 노력의 일환으로 추진되고 있다. 이번 법안은 미국 내 생체 정보 보호법의 선례를 마련한 일리노이주의 BIPA(Biometric Information Privacy Act)를 모델로 하여, 미주리에서도 유사한 보호법을 제정하는 것을 목표로 하고 있다.

데이터 보안 및 개인정보 보호에 대한 우려가 커지는 가운데, 미주리주의 법안은 지문, 얼굴 인식 스캔, 홍채 스캔, 음성 프린트, 기타 공유한 생체 식별자와 같은 민감한 생체 데이터의 취급에 대한 명확한 지침을 제공하는 것을 목표로 하고 있다.

하원 법안 407(HB 407)과 하원 법안 500(HB 500)은 미주리 법령(Missouri Revisor of Statutes)에 6개의 새로운 조항을 추가하는 내용을 포함하며, “생체 정보(biometric information)”의 정의를 명확히 하고, 민간 기관이 생체 데이터의 보존 및 폐기와 관련된 공개 정책을 수립하도록 요구하는 규정을 담고 있다. 상원 법안 554(SB 554) 역시 데이터 보존 및 폐기에 대한 공개 정책 수립을 요구하지만, 여기에 개인 정보 보호를 위한 추가 조항이 포함된다. 추가 조항: 개인의 사전 동의(Informed Consent) 필수, 생체 데이터 판매 금지, 데이터 저장 및 보호를 위한 관리 기준(Standard of Care) 적용.

BH 407과 BH 500은 “생체 정보(biometric information)”를 특정 개인의 생체 식별자(biometric identifier)를 기반으로 하여 개인을 식별하는 데 사용되는 모든 정보로 정의한다.

이번 미주리 BIPA 법안의 핵심 목표는 개인의 생체 정보가 무단 또는 비윤리적으로 사용되는 것을 방지하는 것이다. 이를 위해 기업이나 기관이 생체 데이터를 수집하려면 반드시 명시적인 동의를 얻어야 한다. 이 동의는 반드시 사전 고지된 정보(Informed Consent)에 기반해야 하며, 기업은 생체 데이터를 수집, 저장, 사용하는 목적과 기간을 명확히 공개해야 한다. 법안의 핵심 원칙 중 하나는 투명성(Transparency)으로, 이를 통해 개인이 자신의 생체 정보가 어떻게 처리되는지 완전히 인지하고, 관리할 수 있도록 보장하는 것을 목표로 한다.

해당 법안은 생체 정보의 보존 및 폐기에 대한 엄격한 규제를 부과한다. HB 407과 HB 500은 민간 기관이 생체 식별자 또는 생체 정보를 보유하는 경우, 반드시 공개적으로 접근 가능한 서면 정책을 마련해야 한다. 이 정책에는 보존 일정(retention schedule) 및 생체 데이터를 영구적으로 폐기하는 절차가 포함되어야 한다.

특히, 다음과 같은 조건을 충족해야 한다.

• 생체 데이터는 원래의 목적이 달성되거나, 개인이 해당 기관과 마지막으로 상호 작용한 시점으로부터 1년 이내에 폐기해야 한다.
• 둘 중 더 빠른 시점을 기준으로 폐기해야 한다.
• 단, 유효한 법원 발급 영장(warrant) 또는 소환장(subpoena)이 있는 경우 예외적으로 보관 가능하다.
• 민간 기관은 자체적으로 수립한 데이터 보존 및 폐기 정책을 엄격히 준수해야 한다.

SB 554는 생체 정보를 수집·보유하는 민간 기관을 위한 규제를 수립하며, 법 위반 시 민사 소송을 제기할 수 있는 근거(cause of action)를 제공한다. 이 법안에 따라, 민간 기관은 생체 정보의 보존 일정(retention schedule)과 영구 폐기 절차를 명확히 명시한 공개 서명 정책을 마련해야 한다.

민간 기관은 다음과 같은 경우를 제외하고 생체 정보를 수집, 캡처, 구매, 수령, 또는 기타 방식으로 취득할 수 없다.

1. 개인이 서면으로 자신의 생체 정보가 수집·저장됨을 통보받을 것
2. 수집 목적과 보관 기관을 명확히 고지할 것
3. 개인이 서면 동의(written consent)를 제공할 것

생체 정보를 보유한 기관은 다음의 경우를 제외하고 개인의 생체 데이터를 제3자에게 공개할 수 없다.

• 개인이 서명으로 공개를 승인한 경우
• 개인이 요청하거나 승인한 금융 거래를 완료하기 위해 필요한 경우
• 법적으로 공개가 요구되는 경우
• 유효한 법원 발급 영장(warrant) 또는 소환장(subpoena)에 의해 공개가 요구되는 경우

추가적으로, 민간 기관은 생체 정보를 판매, 임대(lease), 또는 거래(trade) 할 수 없다. 생체 데이터를 저장하거나 전송할 때, 해당 업계에서 적용되는 합리적인 보안 기준(reasonable standard of care)을 따라야 한다. 생체 정보는 다른 기밀 데이터 및 민감한 정보에 적용되는 것과 동일하거나 그 이상의 수준의 보안 조치로 보호되어야 한다.

SB 554에 따르면, 민간 기관은 생체 식별자(biometric identifiers)의 수집, 사용, 공개, 전송, 판매, 보관 또는 처리 등을 제품이나 서비스 제공의 조건으로 삼을 수 없다. 단, 해당 생체 식별자가 제품 또는 서비스를 제공하는 데 반드시 필요한 경우에 한해 예외적으로 허용된다. 또한, 개인이 본 법에 따라 자신의 권리를 행사하더라도, 기업은 이에 대한 차별적 조치를 취할 수 없다. 즉, 제품이나 서비스의 가격을 차별하거나 품질을 변경하는 행위가 금지된다.

본 법안에서 보안 조치는 핵심 요소로 다루어진다.

• 생체 데이터를 다루는 조직은 무단 접근, 데이터 유출, 침해를 방지하기 위해 엄격한 보안 프로토콜을 구축해야 한다.
• 업계 표준 보안 관행 및 암호화(encryption) 방식을 사용하여 생체 정보의 기밀성과 안정성을 유지해야 한다.
• 기업은 개인의 생체 정보를 판매, 거래 또는 이윤을 창출하는 목적으로 활용하는 것이 금지된다.

미주리 BIPA 법안의 가장 중요한 요소 중 하나는 법 집행 메커니즘(enforcement mechanism)이다.

• 법을 위반한 기업을 대상으로 개인이 직접 소송을 제기할 수 있는 권한(private right of action)이 보장된다.
• 소송을 통해 피해를 입은 개인은 법정 벌금(statutorily defined damages) 및 실제 재정적 손실(actual financial losses)에 대한 보상을 청구할 수 있다.
• SB 554를 위반한 기업은 위반 건당 $1,000에서 $5,000의 벌금, 변호사 비용(Attorney’s fees), 기타 적절한 구제 조치를 부담해야 한다.
• 이러한 법적 조항은 기업들이 규정을 엄격히 준수하도록 유도하는 강력한 억제력(deterrent) 역할을 한다.

미주리 BIPA 법안은 생체 인증을 보안, 인력 관리, 고객 확인 등에 활용하는 다양한 산업에 영향을 미칠 것이다.

• 지문 또는 얼굴 인식 시스템을 출퇴근 기록(timekeeping)에 사용하는 고용주
• 생체 결제(biometric payment) 방식을 도입한 소매업체
• 환자 신원 확인(patient identification)에 생체 인증을 활용하는 의료 기관

이들은 모두 본 법의 요건을 준수해야 하며, 이를 위반할 경우 막대한 법적 분쟁과 심각한 평판 손실(reputational damage)을 초래할 수 있다.

본 법안은 소비자 프라이버시 보호를 목표로 하지만, 기업들은 규제 준수 비용과 소송 위험에 대한 우려를 제기하고 있다. 미주리에서 운영되는 기업들은 자사의 생체 정보 정책을 신중하게 검토하고, 필수적인 동의 절차(consent) 및 보안 조치(security measures)를 도입하며, 법의 조항과 일치하도록 조치를 취해야 한다. 이를 준수하지 않을 경우, 잠재적인 벌금 및 법적 처벌을 받을 위험이 있다.

미주리 생체 정보 보호법(Biometric Information Privacy Act)은 데이터 프라이버시 보호를 강화하는 데 있어 중요한 진전을 의미한다. 생체 정보의 수집 및 사용을 규제함으로써, 이 법안은 혁신과 개인 프라이버시 권리 간의 균형을 유지하는 것을 목표로 하고 있다.