|
|
LIN NEWS
법인소식
- Home
- /
- 법인소식
- /
- 뉴스레터
뉴스레터
[Tech Legal Insights] 2025년 디지털헬스케어 기업이 주목해야 할 미국 데이터 프라이버시 규제
2025.02.12
관련 분야
관련 구성원
2025년을 맞아 미국의 데이터 프라이버시 규제 환경이 더욱 복잡해지고 있습니다. 특히 캘리포니아를 포함한 여러 주에서 데이터 프라이버시 법 집행을 강화하면서 디지털헬스케어 기업들은 이전보다 더 엄격한 규제의 적용대상이 되고 있습니다. 본 테크 리걸 인사이츠에서는 미국 진출을 준비하는 한국 디지털헬스케어 스타트업들이 주목해야 할 핵심 규제 변화와 이에 대한 대응 방안을 살펴보겠습니다.
강화되는 디지털헬스케어 데이터 규제
미 연방거래위원회(FTC)는 최근 디지털헬스케어 분야의 데이터 프라이버시 감독을 대폭 강화했습니다. BetterHelp, Celebral 등 디지털헬스케어 기업들의 무단 건강정보 공유에 대한 제재가 이루어졌으며, 2024년에는 건강정보 유출 통지 규칙(Health Breach Notification Rule)을 개정하여 헬스케어 앱과 웰니스 앱까지 규제 범위를 확대했습니다.
이 규칙에 따르면 개인건강기록을 제공하는 사업자 및 관련 기업들은 보안조치가 되지 않은 정보가 유출된 경우 소비자에게 통지해야 하며, 이들 사업자 및 기업들에게 서비스를 제공하는 업체에서 유출이 발생한 경우에도, 해당 서비스 제공업체가 사업자 및 기업에게 통지하고, 사업자 및 기업은 다시 소비자에게 이를 알려야 합니다. 또한, 동 규칙은 500명 이상의 정보가 유출된 경우에는 언론에도 알릴 것을 요구하고 있습니다.
주목해야 할 2025년 신규 프라이버시법
미국의 데이터 프라이버시 규제 환경은 각 주(州)마다 서로 다른 법률을 도입하면서 더욱 복잡해지고 있습니다. 2025년에는 New Hampshire, Delaware, Iowa, Nebraska, New Jersey, Tennessee, Minnesota, Maryland 주에서 각각의 데이터 프라이버시법을 시행할 예정이어서, 기업들은 주별로 상이한 규제 요건을 모두 파악하고 준수해야 하는 부담이 커지고 있습니다. 특히 디지털헬스케어 기업들이 주목해야 할 사항은 다음과 같습니다.
1. 델라웨어 주: 델라웨어 개인정보보호법은 의료정보보호법인 HIPAA (Health Insurance Portability and Accountability) 적용 데이터만 적용대상에서 제외하며, 원격의료 서비스 제공자의 경우 웹사이트 분석 데이터나 마케팅 정보와 같은 비의료정보도 규제 대상이 될 수 있습니다.
2. 메릴랜드 주: 메릴랜드 온라인 데이터 프라이버시법은 민감정보 판매를 금지하고, 요청된 서비스에 엄격히 필요한 범위 내에서만 데이터 수집과 처리를 허용합니다. 특히 2025년 10월부터는 고위험 알고리즘에 대한 프라이버시 영향평가가 의무화됩니다.
3. 미네소타 주: 미네소타 소비자 데이터 프라이버시법은 민감한 개인정보 판매 전 사전동의(opt-in)를 요구하며, 소비자 데이터 기반의 프로파일링 결과에 대한 이의제기권을 규정하고 있습니다. 또한 기업들은 웹사이트에 “your opt-out rights(개인정보 수집・이용 거부권)” 또는 “your privacy rights(개인정보 권리)”라고 명확하게 표시된 하이퍼링크를 의무적으로 포함해야 합니다.
AI 활용에 따른 추가 고려사항
FTC가 새롭게 도입한 "algorithmic disgorgement"는 데이터 프라이버시법을 위반하여 수집된 데이터로 학습된 AI 모델의 삭제를 요구할 수 있는 권한을 부여하고 있습니다. 또한 여러 주(州)의 프라이버시법에서 프로파일링을 포함한 자동화된 의사결정에 대한 소비자의 옵트아웃권을 보장하고 있어, AI를 활용한 진단이나 처방 시스템 개발 시 주의할 필요가 있습니다.
강화되는 디지털헬스케어 데이터 규제
미 연방거래위원회(FTC)는 최근 디지털헬스케어 분야의 데이터 프라이버시 감독을 대폭 강화했습니다. BetterHelp, Celebral 등 디지털헬스케어 기업들의 무단 건강정보 공유에 대한 제재가 이루어졌으며, 2024년에는 건강정보 유출 통지 규칙(Health Breach Notification Rule)을 개정하여 헬스케어 앱과 웰니스 앱까지 규제 범위를 확대했습니다.
이 규칙에 따르면 개인건강기록을 제공하는 사업자 및 관련 기업들은 보안조치가 되지 않은 정보가 유출된 경우 소비자에게 통지해야 하며, 이들 사업자 및 기업들에게 서비스를 제공하는 업체에서 유출이 발생한 경우에도, 해당 서비스 제공업체가 사업자 및 기업에게 통지하고, 사업자 및 기업은 다시 소비자에게 이를 알려야 합니다. 또한, 동 규칙은 500명 이상의 정보가 유출된 경우에는 언론에도 알릴 것을 요구하고 있습니다.
주목해야 할 2025년 신규 프라이버시법
미국의 데이터 프라이버시 규제 환경은 각 주(州)마다 서로 다른 법률을 도입하면서 더욱 복잡해지고 있습니다. 2025년에는 New Hampshire, Delaware, Iowa, Nebraska, New Jersey, Tennessee, Minnesota, Maryland 주에서 각각의 데이터 프라이버시법을 시행할 예정이어서, 기업들은 주별로 상이한 규제 요건을 모두 파악하고 준수해야 하는 부담이 커지고 있습니다. 특히 디지털헬스케어 기업들이 주목해야 할 사항은 다음과 같습니다.
1. 델라웨어 주: 델라웨어 개인정보보호법은 의료정보보호법인 HIPAA (Health Insurance Portability and Accountability) 적용 데이터만 적용대상에서 제외하며, 원격의료 서비스 제공자의 경우 웹사이트 분석 데이터나 마케팅 정보와 같은 비의료정보도 규제 대상이 될 수 있습니다.
2. 메릴랜드 주: 메릴랜드 온라인 데이터 프라이버시법은 민감정보 판매를 금지하고, 요청된 서비스에 엄격히 필요한 범위 내에서만 데이터 수집과 처리를 허용합니다. 특히 2025년 10월부터는 고위험 알고리즘에 대한 프라이버시 영향평가가 의무화됩니다.
3. 미네소타 주: 미네소타 소비자 데이터 프라이버시법은 민감한 개인정보 판매 전 사전동의(opt-in)를 요구하며, 소비자 데이터 기반의 프로파일링 결과에 대한 이의제기권을 규정하고 있습니다. 또한 기업들은 웹사이트에 “your opt-out rights(개인정보 수집・이용 거부권)” 또는 “your privacy rights(개인정보 권리)”라고 명확하게 표시된 하이퍼링크를 의무적으로 포함해야 합니다.
AI 활용에 따른 추가 고려사항
FTC가 새롭게 도입한 "algorithmic disgorgement"는 데이터 프라이버시법을 위반하여 수집된 데이터로 학습된 AI 모델의 삭제를 요구할 수 있는 권한을 부여하고 있습니다. 또한 여러 주(州)의 프라이버시법에서 프로파일링을 포함한 자동화된 의사결정에 대한 소비자의 옵트아웃권을 보장하고 있어, AI를 활용한 진단이나 처방 시스템 개발 시 주의할 필요가 있습니다.
|
[Legal Insights] 한국 기업을 위한 맞춤형 자문 서비스
법무법인 린의 TMT/ 디지털헬스케어팀은 한국 디지털헬스케어 기업의 미국 진출을 위한 다음과 같은 법률 자문을 제공합니다. 1. 규제 환경 분석 ○ 한국 기업의 비즈니스 모델 분석 및 미국 규제 영향 사전 평가 ○ HIPAA 준수 필요성 검토 및 주별 프라이버시법 적용 범위 분석 ○ 데이터 수집, 처리, 공유에 대한 법적 위험 검토 2. 진출 준비 지원 ○ 프라이버시 정책 등 필수 법률 문서 검토 ○ 데이터 처리 동의 절차 적정성 검토 ○ 서비스 현지화를 위한 법적 요구사항 분석 3. 규제 동향 모니터링 ○ 한국 기업의 관점에서 미국 규제 변화 분석 제공 ○ 주요 집행 사례 및 시사점 정기 업데이트 ○ 규제 변화에 따른 대응 방향 제시 |
* * *
법무법인 린 디지털헬스케어팀은 국내 기업들의 규제 이슈에 전략적인 원스톱(One-Stop) 토탈 솔루션(Total solution)을 제공하고 있습니다.
상기 내용에 대해 문의사항이 있으시면 언제든지 법무법인 린 디지털헬스케어팀 (Tel. 02-3477-8695)에 문의해 주시기 바랍니다.
-
이전글 “법무법인 린, 탄소배출권시장 활성화 간담회 개최” 2025.02.10 -
다음글 다음글이 없습니다.
관련 분야
관련 구성원
| Share |
|
