건강 행태정보(Behavioral Information) 제3자 제공의 가능성과 한계 - GoodRx v. FTC 동의명령 사례 분석을 중심으로 -

Abstract

국문초록

본 논문은 2023년 미국 GoodRx Holdings, Inc.(이하 GoodRx) 사건을 중심으로, 비의료기관 디지털 헬스케어 기업의 건강정보 처리에 대한 미국 연방거래위원회(FTC)의 규제 법리를 분석하고, 우리 법제에 나타나는 시사점을 도출함을 목적으로 한다. 처방약 할인 및 비대면진료 서비스를 제공하는 GoodRx는 구글, 페이스북 등 제3자가 제작한 정보수집도구(Pixels, SDK)를 자사 웹사이트 및 앱에 설치하여 이용자가 서비스를 이용하는 과정에서 생성된 활동 정보를 수집(tracking)하고, 광고주 및 제3자에게 해당 정보가 자동으로 공유되도록 하였다. 이에 따라 이용자의 약물 검색·구매 이력, 관련 건강상태, 약국명 등의 건강정보를 수집하고 이를 이메일·전화번호·모바일 광고 식별자 등 식별정보와 결합하여 페이스북(Meta), 구글 등 제3자 광고 사업자에게 제공하였다. 이러한 정보는 특정 의약품을 검색·구매한 이용자군을 세분화하여 특정 약품명(예: ‘lisinopril claims’ 등) 또는 맞춤형 이벤트의 생성에 활용되었으며, GoodRx는 이 목록의 이메일, 전화번호, 모바일 광고 식별자를 페이스북 Custom Audiences 기능에 업로드하여 페이스북, 인스타그램 상에서 해당 이용자에게 특정 의약품 광고를 노출하는데 사용하였다. 그러나 GoodRx는 개인정보 처리방침에서 “광고주에게 개인의 건강상태나 건강정보를 드러내는 어떠한 정보도 제공하지 않는다”는 문구를 명시하고, 원격진료 서비스(구 HeyDoctor)에 관하여도 서비스 제공 목적 외 제3자 제공 시에는 이용자의 사전 동의를 받겠다고 명시하였으며, 홈페이지에는 HIPAA 규정 준수 배지를 게시하여 자사가 마치 의료기관이나 Business Associate처럼 HIPAA의 직접 규율 대상인 것과 같은 광고를 하였다. 하지만, 실제로는 이용자의 동의를 받지 않은 채 건강 관련 행태정보를 광고 목적의 제3자 제공에 활용하면서도, 그 사실을 이용자에게 통지하지 않았다. ​FTC는 이 사건에서 연방거래위원회법(FTCA) 제5조가 금지하는 ‘기만적(deceptive)’ 행위와 ‘불공정한(unfair)’ 행위 요건을 분석하였다. 먼저, 기만성(deceptiveness)에 관하여 FTC는 (1) 개인정보 처리방침상 건강정보를 제3자에게 제공하지 않는다고 반복적으로 명시한 점, (2) 서비스 제공 목적 외 제3자 제공 시 이용자의 동의를 받을 것이라고 명시한 점, (3) HIPAA 준수 광고를 통하여 HIPAA의 규제를 받는 것으로 오인하게 한 점 등을 종합하여, 평균적 소비자가 GoodRx의 설명을 신뢰할 수밖에 없는 상황에서 실제로는 이에 배치되는 행위를 하였다고 보았다. 다음으로 불공정성(unfairness)에 관하여 FTC는 GoodRx가 건강정보와 식별자를 결합해 특정 처방약 검색·구매 이용자 목록을 생성하여 광고 타겟으로 활용한 점에 지적하였다. 이용자는 약값 비교 또는 비대면진료 서비스를 이용하는 과정에서 자신의 질병·약물 정보가 식별 가능한 형태로 광고 사업자에게 제공되리라고 예상하기 어렵고, 이러한 제공을 스스로 합리적으로 회피할 수 있는 수단을 제공받지 않는다. 그럼에도 GoodRx는 건강정보의 제3자 제공 및 광고 목적 활용 사실을 통지하지 않았고, 정보주체에게 선택권을 부여하지 않았기 때문에, 이는 소비자에게 실질적이고 회피 불가능한 사생활 침해 위험을 초래하는 불공정한 행위에 해당한다고 보았다. 나아가 FTC는 GoodRx가 HBNR이 규율하는 ‘개인 건강기록 제공업체(vendor of personal health records)’에 해당하며, 동의 없는 제3자 제공을 보안 규정 위반(breach of security)으로 보면서도 통지의무를 이행하지 않은 점을 들어 HBNR 위반을 인정하였다. 이 과정에서 FTC는 보안 규정 위반 개념을 외부 해킹·사이버 공격에 한정하지 않고, 정보주체의 승인 없는 제3자 공유라는 형태의 무단 취득·공유까지 포괄하도록 확장 해석하였다는 점에서 본 판례는 더욱 중요한 의미가 있다. ​FTC 동의명령(consent decree)의 주요 내용은 플랫폼이 준수해야 할 규범적 기준을 구체화하였다. 첫째, GoodRx가 건강정보를 광고 목적(advertising)을 위하여 제3자에게 제공하는 행위를 영구적으로 금지하였다. 이때 건강정보에는 개인의 과거, 현재, 미래의 신체, 정신 건강상태 및 의료 서비스 제공 내역뿐 아니라, 웹사이트 등의 행위로부터 특정 건강상태나 약물복용 여부를 합리적으로 추론할 수 있는 건강 관련 행태정보까지 포함된다고 정의하여, 보호 대상을 넓게 설정하였다. 둘째, 광고 외의 다른 목적으로 제3자에게 건강정보를 제공하려는 경우에는 개인정보 처리방침 및 이용약관과 분리된 별도의 화면에서 건강정보의 범위, 제3자의 신원, 제공 목적 등을 ‘명확하고 눈에 띄게(Clearly and Conspicuously)’ 고지하고, 정보주체가 능동적인 행위를 통해 표시하는 적극적이고 명시적인 동의(affirmative express consent)를 받도록 의무화하였다. 형식적인 체크박스나 다크패턴을 통한 동의는 유효한 동의로 인정되지 않으며, 동의의 중요 내용이 충분히 이해 가능한 방식으로 제시되어야 한다는 점이 강조되었다. 셋째, 개인 건강기록(PHR)에 포함된 식별 가능한 건강정보에 보안 규정 위반이 발생한 경우 GoodRx는 60일 이내에 정보주체, FTC, 언론에 통지해야 하며, 통지에는 사고 개요, 유출된 정보의 유형, 정보주체가 취해야 할 조치 등이 포함되어야 한다. 넷째, GoodRx는 과거 건강정보를 제공받은 모든 제3자를 특정하고, 각 제3자가 보유한 관련 식별 가능 정보를 삭제하도록 요구하며, 삭제가 완료되었다는 서면 확인을 확보해야 한다. 다섯째, GoodRx는 180일 이내에 건강정보의 가용성·기밀성·무결성을 보호하는 포괄적인 개인정보 보호 프로그램을 수립·이행하고, 이후 정기적으로 독립적인 외부 평가를 받도록 요구되었다. 이와 함께 GoodRx는 150만 달러의 민사 제재금을 납부하는 데 합의했고, 동의명령은 연방 법원의 집행명령으로 확정되었다. ​본 논문은 이러한 GoodRx 사건의 법리를 우리나라의 비대면진료법 개정 상황에 비추어 살펴보았다. 우리나라의 경우, 2025년 12월 의료법 개정으로 일명 비대면진료법이 도입되면서 본격적으로 비대면진료가 이루어지게 되었다. 하지만 플랫폼 사업자의 행태정보 수집 등에 관하여는 구체적인 규정이 이루어지지는 않고 있으며, 행태정보 처리 과정에서 누가 개인정보처리자로서 법적 의무를 부담하는지에 관한 기준은 여전히 모호하다. 본 논문은 GoodRx 사건에서 드러난 FTC의 deceptiveness·unfairness 판단 기준과 HBNR 적용 논리를 분석함으로써, 건강 관련 행태정보를 독자적 정보 유형으로 명확히 정의하고, 이를 광고 목적으로 제3자에게 제공하거나 식별 가능성이 있는 형태로 처리하는 경우 정보주체의 적극적·명시적 동의를 요구하며, 개인정보 처리방침 준수 의무를 실질화하는 방향으로 「개인정보 보호법」 및 하위 가이드라인의 개선 방안을 제안함으로써, 비의료기관이 처리하는 디지털 건강정보에 대한 실질적인 보호 체계 구축에 기여하고자 한다.