일리노이주 BIPA 개정안, 소급 적용 논란 해결
최근 미국 일리노이주에서 내려진 생체 정보 프라이버시법(BIPA) 관련 판결이 법률계와 기업들에게 큰 주목을 받고 있습니다. 특히 이번 판결은 법 개정안의 소급 적용 여부를 둘러싼 논란을 종료시키며 기업들에 유리한 새로운 방향을 제시했다는 점에서 큰 의미를 가집니다. 이 문제는 단순히 미국 현지 기업뿐만 아니라 글로벌 기업들에게도 중대한 영향을 미칠 뿐만 아니라, 생체 정보 규제에 대한 변화의 신호탄으로 작용할 가능성이 큽니다.
2026년 4월 1일, 미국 제7항소법원은 2024년 8월에 개정된 BIPA가 계류 중인 소송에도 소급 적용된다고 판결했습니다. 이는 BIPA 소송에 직면한 기업들에게 중대한 승리로 평가됩니다.
핵심 쟁점은 일리노이주 BIPA 개정안이 동일한 방식으로 동일인의 생체 정보를 반복적으로 수집하는 경우, 이를 개별 위반으로 간주하지 않고 단일 위반으로 처리하도록 명확히 변경한 조항에 있었습니다. 과거에는 동일인의 정보를 반복 수집한 행위가 '스캔당' 위반으로 간주되어 손해배상액이 기하급수적으로 증가하는 문제가 자주 발생했습니다.
광고
예를 들어, 직원이 매일 출퇴근할 때마다 지문 인식 시스템을 사용하는 경우, 각각의 스캔이 별도의 법 위반으로 계산되어 잠재적 손해배상액이 천문학적으로 증가할 수 있었습니다. 하지만 2024년의 개정안은 이러한 문제를 해결하기 위해 손해배상 한도를 단일 위반으로 축소하였고, 이를 계류 중인 소송에도 적용하도록 판결한 것입니다.
그러나 개정안은 이러한 손해배상 한도 제한이 소급 적용되는지에 대해 명시하지 않아, 개정안 통과 이후 하급 법원들 사이에서 의견이 분분했습니다. 일부 법원은 소급 적용을 인정했지만, 다른 법원들은 이를 거부하며 상충되는 판결을 내놓았습니다. 이번 제7항소법원의 판결로 인해 기업들은 기존에 직면했던 소송 리스크를 크게 완화할 수 있을 전망입니다.
법원이 이러한 결정을 내린 배경에는 '구제적(remedial)' 성격을 강조한 법적 해석이 자리 잡고 있습니다. 제7항소법원은 'Clay v. Union Pacific Railroad Company' 사건(Docket No.
광고
25-2185)에서 개정안이 기업의 본질적 권리를 변경한 것이 아니라고 판단했습니다. 즉, 개정안은 회수 가능한 손해배상 액수와 같은 절차적 요소에 변화를 주었을 뿐, 원고의 근본적인 권리를 침해하지 않았다는 점에서 논리적 근거를 제시했습니다. 법원은 구제적 성격의 법률 개정은 소급 적용이 가능하다는 원칙을 적용했습니다.
이는 법 개정이 새로운 의무를 부과하거나 기존 권리를 박탈하는 것이 아니라, 단지 법적 구제 수단의 범위를 조정하는 것이라면 과거 사건에도 적용될 수 있다는 법리입니다. 법원의 결정은 그동안 손해배상 한도와 관련해 엇갈린 해석을 내렸던 하급 법원들의 의견을 통합하는 역할을 했으며, 향후 유사한 BIPA 소송에 대한 명확한 기준을 제시했습니다.
소송 리스크 감소, 기업들에게 미치는 영향
이 판결의 결과로, 원고들은 이제 동일인에 대한 동일한 방식의 생체 정보 반복 수집에 대해 '스캔당' 손해배상을 청구할 수 없게 됩니다. 이는 BIPA 관련 기존의 집단 소송에서 예상되는 손해배상액을 크게 줄이는 효과를 가져올 것입니다.
광고
특히 수천 명의 직원이나 고객의 생체 정보를 정기적으로 수집하는 대기업들의 경우, 잠재적 손해배상액이 수억 달러에서 수천만 달러 수준으로 대폭 감소할 가능성이 있습니다. BIPA는 2008년 일리노이주에서 제정된 법으로, 미국에서 가장 엄격한 생체 정보 보호 규정 중 하나로 꼽힙니다.
이 법은 기업이 개인의 지문, 홍채 스캔, 안면 인식 데이터 등 생체 정보를 수집하기 전에 서면 동의를 받도록 요구하며, 위반 시 건당 1,000달러에서 5,000달러의 손해배상을 규정하고 있습니다. 그동안 이 법은 페이스북(현 메타), 구글, 아마존 등 주요 기술 기업들을 상대로 한 수많은 집단 소송의 근거가 되어 왔습니다. 생체 정보 기술을 활용하는 기업들, 특히 고객이나 직원의 생체 정보를 다루는 기술기업들에게 이번 판결은 막대한 재정적 위험을 줄이는 데 결정적 역할을 할 것으로 보입니다.
소송 리스크의 감소는 기업들이 생체 인증 기술을 더욱 적극적으로 도입할 수 있는 환경을 조성할 수 있습니다.
광고
동시에 이는 개인정보 보호와 기술 혁신 사이의 균형점을 찾는 데 있어 새로운 기준을 제시할 수 있습니다. 한편, 이번 판결이 원고들의 권리를 제한한다는 우려도 존재합니다. BIPA는 원래 시민들의 생체 정보 보호를 대폭 강화하기 위해 제정된 법이었기 때문에, 손해배상 한도의 축소가 법의 억제 효과를 약화시킬 수 있다는 지적입니다.
그러나 개정안은 여전히 기업들에게 사전 동의 획득, 데이터 보유 기간 제한, 정보 파기 의무 등 핵심적인 생체 정보 보호 조항을 유지하도록 요구하고 있어, 근본적인 정보 보호 체계 자체가 무너진 것은 아니라는 평가도 있습니다. 이번 판결은 한국 기업들에게도 중요한 시사점을 제공합니다. 특히 생체 정보 기술을 활용하여 미국 시장에서 사업을 운영하거나 미국 고객을 대상으로 서비스를 제공하는 국내 IT 기업들은 이번 사례를 통해 미국 내 규제 대응 전략을 새롭게 점검해야 합니다.
생체 인증 기술을 활용하는 금융, 보안, 모바일 서비스 기업들은 BIPA와 같은 주 단위 규제뿐만 아니라 연방 차원의 개인정보 보호 동향도 면밀히 모니터링할 필요가 있습니다.
광고
한국에서도 생체 정보는 개인정보보호법상 민감정보로 분류되어 엄격한 보호를 받고 있으며, 기업들은 수집 시 별도의 동의를 받아야 하는 등 강화된 의무를 부담하고 있습니다. 글로벌화 시대에 한국 기업들이 미국 법률의 변화를 적극적으로 파악하고 이에 선제적으로 대응하는 것은 경영 리스크를 줄이는 데 필수적입니다. 특히 다국적 기업들은 각 국가의 상이한 생체 정보 규제를 통합적으로 관리할 수 있는 컴플라이언스 체계를 구축해야 합니다.
한국 기업에 주는 시사점과 향후 과제
이번 판결이 다른 주나 국가에서 추진 중인 유사한 생체 정보 규제에 어떤 영향을 미칠지도 주목됩니다. 현재 텍사스, 워싱턴, 캘리포니아 등 여러 주에서 BIPA와 유사한 생체 정보 보호법을 시행하거나 검토 중에 있으며, 이들 주의 법원이 손해배상 한도와 소급 적용 문제를 어떻게 다룰지에 따라 미국 전역의 생체 정보 소송 환경이 크게 달라질 수 있습니다. 향후 주요 과제는 생체 정보 관련 규제의 명확성과 예측 가능성을 높이는 것입니다.
기업들은 규제 준수를 위해 상당한 자원을 투입해야 하는데, 법 해석이 일관되지 않으면 준수 비용이 급증하고 불확실성이 증가합니다. 이번 제7항소법원의 판결은 적어도 일리노이주와 관련 관할 지역에서는 명확한 기준을 제시했다는 점에서 긍정적으로 평가됩니다. 기업들은 이번 판결을 계기로 생체 정보 수집 및 관리 정책을 재점검해야 합니다.
비록 손해배상 리스크가 감소했다 하더라도, BIPA의 핵심 요구사항인 사전 서면 동의 획득, 명확한 정보 보유 정책 공개, 데이터 파기 절차 수립 등은 여전히 철저히 준수해야 합니다. 또한 생체 정보 보안 사고가 발생할 경우 평판 손실과 고객 신뢰 하락이라는 비재무적 리스크도 여전히 존재합니다. 결론적으로, 이번 판결은 미국 생체 정보 소송의 리스크를 상당 부분 완화시켰다는 점에서 기술 기업들과 법률 전문가들에게 중요한 전환점으로 작용할 것으로 보입니다.
손해배상액의 급증 가능성이 제거됨으로써 기업들은 보다 예측 가능한 환경에서 생체 인증 기술을 활용할 수 있게 되었습니다. 한국 기업들도 이러한 글로벌 법률 변화에 민감하게 반응하며, 규제 준수와 기술 혁신을 동시에 이끌어 나갈 수 있는 전략적 접근이 요구됩니다.
생체 정보 기술은 편의성과 보안성을 동시에 제공하는 혁신적인 기술이지만, 동시에 개인의 가장 민감한 정보를 다루기 때문에 신중한 접근이 필요합니다. 이번 판결은 과도한 소송 리스크를 완화하면서도 기본적인 보호 장치는 유지하는 균형점을 찾으려는 시도로 볼 수 있습니다.
앞으로 이 주제는 기술 발전과 개인정보 보호 사이의 균형을 어떻게 맞출 것인가에 대한 더욱 활발한 논의의 장으로 떠오를 전망입니다.
서동민 기자
광고
[참고자료]
huntonak.com
){kind=small}
){kind=small}
){kind=small}
){kind=small}