본 기사는 2025년 5월 15일 Law360에 최초 게재되었으며, 허가를 받아 여기에 재게재합니다.
오늘날 데이터 중심의 스포츠 산업에서 팀, 리그 및 스폰서들은 선수 기량 향상, 부상 예방, 계약 협상 최적화를 위해 생체 측정 및 경기력 데이터에 점점 더 의존하고 있다. 이러한 데이터 수집에는 단순한 통계를 넘어선 매우 민감한 생리학적·건강 정보가 포함되는 경우가 많아, 추가적인 윤리적·법적 고려 사항을 제기한다.
그러나 고도로 민감한 데이터에 대한 이러한 의존도 증가는 상당한 법적·개인정보 보호 문제를 야기합니다. 특히 일리노이 생체정보 개인정보 보호법(BIPA)[1]과 같은 진화하는 생체정보 개인정보 보호법은 물론, 생체정보 수집 및 처리에 강화된 요건을 부과하는 주 및 국제 수준의 기타 소비자 개인정보 보호법 및 데이터 보호법(미국 여러 주의 소비자 개인정보 보호법 및 유럽 일반 개인정보 보호 규정[2] 포함)을 고려할 때 더욱 그러합니다.
프로 스포츠 리그 및 생체 인식·성능 데이터를 활용하는 각 구단은 이러한 위험과 관련 법적·규제적 고려사항을 인지하고, 잠재적 책임 노출을 최소화하기 위해 취할 수 있는 조치를 숙지해야 한다.
또한, 이러한 기관들은 생체 인식 및 성과 데이터에 대한 의존이 선수와의 계약 협상에 미칠 수 있는 다양한 영향과 데이터 소유권 문제에 유의해야 합니다. 오늘날 프로 스포츠에서 생체 인식 데이터 수집 및 사용과 관련된 이러한 핵심적 측면들, 그리고 향후 발전 방향에 대해서는 아래에서 살펴보겠습니다.
선수 모니터링 및 생체 데이터 수집
가설적인
스타 축구 선수가 부상 예방을 위해 웨어러블 기술 사용에 동의한다. 시간이 지나면서 시스템은 특정 근육 파열 위험이 정상보다 높다는 데이터를 수집한다. 구단 의료진과 코칭 스태프가 이 지표를 확인할 수 있게 되자, 선수 에이전트는 이 정보가 선수의 계약 가치를 떨어뜨릴까 우려한다. 한편 리그는 사전 예방적 치료의 건강상 이점을 강조한다.
이 시나리오는 선수와 구단 양측 모두 조기 발견을 통해 이익을 얻을 수 있음을 보여주는 동시에, 이러한 예측 데이터가 협상에 부정적인 영향을 미칠 수 있다는 점에서 발생할 수 있는 분쟁 가능성도 제시한다.
분석
프로 스포츠 단체들은 웨어러블 기기, 동작 추적 시스템, 인공지능 기반 분석과 같은 첨단 기술을 활용하여 심박 변이도, 수면 주기, 수분 보충 수준, 근육 회복 패턴 등 선수 생체 정보를 수집하고 분석한다.[3] 이러한 도구의 장점은 분명하다: 향상된 훈련, 더 나은 경기 전략, 그리고 강화된 선수 건강 관리가 가능하다.
그러나 이러한 혁신 기술들은 선수의 컨디션, 장기적 잠재력 및 건강 상태에 대한 탁월한 통찰력을 제공하고 성능을 최적화하도록 설계되었지만, 동시에 상당한 개인정보 유출 위험을 초래하기도 합니다. 수집된 데이터는 피로도, 부상 위험, 전반적인 체력 상태를 포함하여 선수의 신체적·정신적 상태에 관한 개인적이고 민감한 정보를 드러낼 수 있습니다.
이 데이터의 부적절한 처리나 무단 접근 또는 오용은 선수들의 커리어와 평판에 심각한 영향을 미칠 수 있으며, 법적 분쟁을 초래할 수도 있습니다. 예를 들어, 선수의 경기력 저하를 부각하는 데이터를 공개하면 시장성이 훼손되어 광고 계약이 줄어들거나 대중의 비판을 받을 수 있습니다. 또한 부상, 나이 또는 피로로 인해 경기력이 떨어지는 상황에서 이 데이터가 선수들에게 불리하게 활용될 수 있어 경기장 안팎에서 불리한 입장에 처하게 될 수 있습니다.
BIPA 및 유사한 주 법률은 생체 인식 데이터의 수집, 저장 및 사용에 대해 엄격한 제한을 부과합니다. 예를 들어 BIPA에 따르면, 기관은 개인의 생체 인식 식별자를 수집하기 전에 명시적이고 사전 고지된 동의를 얻어야 하며, 데이터 사용 및 보존에 관한 명확한 고지를 제공하고, 해당 데이터의 무결성을 보호하기 위한 강력한 보안 조치를 시행해야 합니다.
워싱턴[4]과 텍사스[5] 역시 생체정보 수집 주체에게 의무를 부과하는 생체정보 보호법을 제정했으며, 비록 BIPA만큼 광범위하지는 않지만.
워싱턴주의 법률은 기관이 개인에게 생체정보 수집 사실을 알리고 동의를 얻도록 의무화하는 반면, 텍사스주의 법률은 명시적 허가 없이 생체정보를 판매하거나 공개하는 것을 금지한다.
또한 입법 동향이 데이터 개인정보 보호 강화로 기울어짐에 따라, 여러 주에서 생체정보 개인정보 보호 강화 방안을 검토 중이며, 이는 전국적으로 규제가 더욱 엄격해지는 꾸준한 추세를 시사한다.
리그의 생체 인식 데이터 정책
아래에서 설명된 바와 같이, 주요 미국 프로 리그들은 선수 모니터링에서 생체 인식 데이터 사용 범위를 정의하기 위한 조치를 취해 왔으며, 이는 리그 차원에서 데이터 개인정보 보호 문제에 대한 인식이 높아지고 있음을 반영한다.
- NFL은 2020년 팀들이 생체 인식 데이터를 수집할 수 있도록 허용하는 규정을 시행했으나, 계약 협상에서 이를 활용하는 방식은 제한했습니다;
- NHL은 현재 단체 협약(CBA)을 개정하여 경기나 훈련 중 수집된 선수의 생체 인식 데이터를 사용하기 전에 선수의 동의를 받도록 요구하고 있습니다; 그리고
- 메이저리그(MLB)는 2020년 선수들이 자신의 생체 인식 데이터에 대한 접근을 검토하고 통제할 수 있는 권한을 부여하는 정책을 수립했다.[6]
동의 획득은 중요한 첫 단계이지만, 이는 무단 데이터 수집이라는 즉각적인 문제만을 해결할 뿐입니다. 이는 데이터가 수집된 지 수년이 지난 후에도 공유, 저장 또는 협상 과정에서 활용되는 등 해당 데이터의 지속적 또는 장기적 사용에 대해서는 고려하지 않습니다.
또한 동의 계약서는 종종 복잡하며, 선수들이 팀 내 자리를 보장받기 위해 압박감을 느끼며 서명하는 경우가 있다.
생체 인식 추적 기술이 스포츠 과학에 더욱 깊이 적용됨에 따라, 리그들은 경쟁적 우위와 선수의 사생활 보호 권리 사이의 균형을 맞추기 위해 정책을 지속적으로 개선해 나갈 것으로 보인다. 향후 정책 개정안에는 데이터 익명화 또는 가명화 사용에 관한 조항과 함께, 제3자에 대한 데이터 판매 또는 라이선싱에 대한 제한 사항이 포함될 수 있다.
데이터 소유권 및 사용 권한
가설적인
한 농구 구단이 독자적인 선수 성과 분석 플랫폼에 투자한다. 선수 데이터는 치료 권고를 위해 제3자 스포츠 의학 제공업체와 공유된다. 시즌 중 선수는 트레이드되지만, 구단은 선수가 새 팀에 합류한 후에도 선수의 과거 생체 측정 데이터에 대한 완전한 접근 권한을 유지한다.
선수들이 오래된 데이터의 삭제를 요청할 수 있는지, 해당 데이터가 전 소속팀에 의해 보유되어 경쟁 우위로 활용될 수 있는지, 또는 전 소속팀이 더 광범위한 상업적 사업에 활용하는 집계된 데이터 세트로 수익을 창출할 수 있는지에 대한 분쟁이 발생한다.
분석
선수로부터 수집된 데이터의 소유권을 규명하는 것은 복잡하고 때로는 논란의 여지가 있는 법적 문제이다. 이는 특히 생체 인식 및 경기력 데이터의 맥락에서 두드러지며, 이는 연봉 협상, 부상 위험 평가 및 시장 가치 평가에 직접적인 영향을 미친다.
해당 데이터는 선수, 팀, 리그 또는 기술 제공업체 중 누구에게 귀속되는가? 데이터 소유권과 사용 권한을 명확히 규정하는 계약적 합의는 잠재적 분쟁을 방지하고 선수 정보의 공정한 사용을 보장하는 데 필수적이다.
선수협회(CBA)는 프로 리그에서 생체 인식 데이터 사용 범위를 규정하는 데 중추적인 역할을 합니다. 예를 들어, 2017년 미국 프로농구 선수협회(NBPA)는 웨어러블 기술 데이터 수집 및 사용에 관한 조항을 협상하여 선수들이 자신의 개인 생체 인식 정보에 대한 특정 권리를 보유하도록 보장했습니다.
생체 인식 추적 기술이 더욱 발전함에 따라, 향후 CBA(소비자 보호 협약)는 이러한 보호 조치를 더욱 정교화할 것으로 예상됩니다.
법적 및 규제적 고려사항
BIPA, 워싱턴 및 텍사스 주 법률 외에도, 프로 스포츠에서 리그, 클럽 및 팀이 생체 인식 및 경기력 데이터를 수집하고 활용하는 방식에 영향을 미치는 다른 주 및 국제 규정이 존재합니다. 주요 사례는 다음과 같습니다.
미국 주 소비자 개인정보 보호법
현재 20개 주에서 소비자 개인정보 보호법을 제정했으며, 일부는 이미 시행 중이고 나머지는 올해 말이나 내년에 발효될 예정이다.[7]
생체 인식 데이터는 이러한 모든 법률에서 민감한 데이터로 간주되며, 해당 법률들은 다음 중 하나를 통해 해당 주 거주자(운동선수 포함)에 대한 보호 범위를 확대합니다: (1) 대부분의 주 소비자 개인정보 보호법에서와 같이, 해당 개인으로부터 생체 인식 데이터 또는 식별자를 수집하거나 처리하기 전에 적용 대상 기업이 특정 고지를 제공하고 동의를 얻도록 요구하거나; 또는 (2) 개인에게 생체 데이터의 사용 및 공개를 법률에서 명시적으로 허용된 목적으로만 제한할 수 있는 권한과 같은 추가 권리를 부여하는 방식입니다.
흥미롭게도, 개인의 생체 데이터나 식별자를 수집 및 처리하기 전에 동의가 자유롭게 주어져야 한다고 명시적으로 요구하지 않는 BIPA와 달리, 현재까지 제정된 거의 모든 주 소비자 개인정보 보호법은 동의에 대해 유사한 정의를 채택하고 있습니다. 즉, 동의란 개인이 자유롭게 주어진, 구체적이고, 정보에 입각하며, 모호하지 않은 합의를 의미하는 명확한 긍정적 행위를 뜻합니다.
선수와 스포츠 단체 간의 권력 불균형을 고려할 때, 동의가 진정으로 자유롭게 이루어질 수 있는지 우려가 제기된다. 선수가 경기 참가 자격을 얻기 위해 생체 정보를 제공해야 한다면, 그들의 동의가 진정으로 자발적이라고 볼 수 있을까?
또한 BIPA와 달리, 여러 주 소비자 개인정보 보호법은 자체적 또는 상업적 목적으로 생체정보를 수집·처리하는 주체가 위험 평가를 수행하도록 요구합니다. 이 평가는 조직이 데이터 수집, 이용, 보유 및 공개 관행과 관련된 개인정보 보호 위험을 식별·분석·최소화하는 데 도움을 주기 위해 고안되었습니다. 이는 데이터 보호 영향 평가(DPIA)로도 알려져 있습니다.
이러한 점을 감안할 때, 데이터 보호 영향 평가와 관련된 요건은 주마다 다릅니다.
일반 데이터 보호 규정
유럽의 프로 스포츠 리그, 팀 및 클럽, 그리고 선수들, 특히 국제 리그나 대회에 참가하는 선수들은 GDPR의 적용 범위에 속할 가능성이 높습니다. GDPR은 법상 민감한 데이터 유형으로 분류되는 생체 데이터 처리에 대해 엄격한 데이터 보호 및 개인정보 보호 요건을 부과합니다.
예를 들어, 해당 데이터를 처리하기 전에 법적 근거가 있어야 하며, 이는 (1) 유럽 선수로부터 명시적 동의를 얻는 것(이는 주 소비자 개인정보 보호법상 동의 정의와 유사함) 또는 (2) 고용 의무 이행이나 특정 권리 행사에 필요한 처리인 경우, 관련 국내법이나 단체협약에 의해 승인되고 유럽 선수에 대한 적절한 보호 장치가 마련된 경우에 해당됩니다.
GDPR 규제를 받는 기관이 유럽 선수들의 생체 정보를 처리할 경우, 예외 사항이 적용되지 않는 한 강력한 보안 조치를 시행하고, 데이터 사용에 관한 투명성을 제공하며, 접근권, 정정권, 삭제권 등 데이터 주체의 권리를 보장해야 합니다.
또한 생체 인식 데이터는 GDPR 하에서 민감한 유형의 데이터로 간주되므로, 해당 규정의 적용을 받는 기관은 이러한 데이터를 처리하기 전에 반드시 개인정보 처리 영향 평가를 수행해야 합니다.
프로 스포츠 단체를 위한 핵심 요점
실생활 시나리오
국제 축구 리그에서 팀들은 경기력 최적화를 위해 실시간 생체 인식 모니터링을 도입한다. 선수들은 의료진, 코치진, 영양사와 데이터를 공유하는 데 동의한다. 그러나 웨어러블 기기를 생산하는 리그 스폰서들은 자체 연구 개발을 위해 익명화 및 집계된 데이터를 요청하기 시작한다.
일부 선수들은 상업적 악용을 우려하며 해당 데이터가 진정으로 익명화될 수 있는지 의문을 제기한다. 궁극적으로 리그 규제 기관은 선수와 리그를 대신해 더 엄격한 익명화 프로토콜을 협상해야 할 수도 있으나, 이 논란은 일단 수집된 데이터가 경계를 넘나드는 것이 얼마나 쉬운지를 여실히 보여준다.
분석
생체 인식 및 경기력 데이터 수집이 더욱 정교해짐에 따라, 프로 스포츠 관계자들은 규정 준수를 보장하고 선수 권리를 보호하기 위해 점점 더 복잡해지는 법적 환경을 헤쳐나가야 한다.
법적 의무 외에도 공정성, 동의, 선수 복지에 관한 윤리적 고려사항이 동등하게 시급합니다. 프로 스포츠 리그와 팀이 웨어러블 기술 및 데이터 프라이버시와 관련된 포괄적인 정책을 시행하는 것은 선수 권리를 보호하는 데 매우 중요합니다. 고려해야 할 몇 가지 모범 사례는 다음과 같습니다.
명시적이고 사전 동의된 동의를 얻으십시오.
선수들이 수집되는 데이터의 내용, 사용 목적 및 접근 권한 보유자를 정확히 이해하도록 해야 합니다. 동의서에는 제3자와의 잠재적 데이터 공유 사항을 상세히 명시하고, 훈련 및 경기 외 추가 모니터링 내용을 구체적으로 기재해야 하며, 관련 개인정보 보호법의 요구사항을 준수해야 합니다. 법적으로 허용되는 범위 내에서 선수들이 동의를 철회하거나 데이터 삭제를 요청할 수 있음을 강조하십시오.
모니터링을 관련 시간으로 제한하십시오.
선수들의 개인 시간 동안 사생활을 존중하기 위해 데이터 수집을 훈련 및 경기 상황으로 제한해야 합니다. 지속적인 모니터링이 정당화되는 구체적인 상황을 명확히 규정하고 불필요한 데이터 수집을 제한하는 정책을 수립해야 합니다.
데이터를 오용으로부터 보호하십시오.
생체 인식 데이터 및 성과 데이터에 대한 무단 접근 및/또는 사용을 방지하기 위해 강력한 데이터 보안 조치를 시행하십시오.
제3자 공급업체와 명확한 기대치를 설정하십시오.
귀사를 대신하여 생체 인식 및 성과 데이터를 처리하는 제3자 공급업체가 해당 데이터에 대한 무단 접근 또는 사용을 방지하는 데이터 보안 조치를 수립하고, 적용 가능한 데이터 보호 법률을 준수하도록 요구하십시오.
이러한 계약서는 공급업체의 개인정보 보호 및 보안 책임 사항을 명시적으로 규정해야 하며, 공급업체의 데이터 처리 부실로 인해 보안 사고가 발생할 경우 계약을 체결한 리그 및/또는 팀에 광범위한 배상 권리를 제공해야 합니다.
[1] 740 ILCS 14/1 et seq. (일리노이 생체정보 개인정보 보호법), https://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004에서 확인 가능.
[2] 규정 (EU) 2016/679, 일반 데이터 보호 규정(GDPR), https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng에서 확인 가능.
[3] Jen Booton, "스포츠에서의 움직임 및 생체 인식 분석", 스포츠 비즈니스 저널 (2020년 7월 29일), https://www.sportsbusinessjournal.com/Daily/Issues/2020/07/30/Technology/biometrics-sports-athletes-performance-injury-prevention/ (구독이 필요할 수 있음).
[4] 워싱턴주 개정법전 § 19.375.010 등 (워싱턴 생체정보 개인정보 보호법), https://app.leg.wa.gov/RCW/default.aspx?cite=19.375에서 확인 가능.
[5] 텍사스 상업 및 상사법전 § 503.001 이하 (텍사스 생체식별자 수집 또는 사용법), https://statutes.capitol.texas.gov/docs/bc/htm/bc.503.htm에서 확인 가능.
[6] 닉 퍼스터, "MLB, 선수 생체 정보 측정 장치 사용 승인", 폭스 스포츠 (2020년 3월), https://www.foxsports.com/stories/mlb/mlb-approves-use-of-device-to-measure-biometrics-of-players. 톰 프렌드, "신규 단체협약마다 진화하는 생체정보 관련 조항", 스포츠 비즈니스 저널 (2022년 8월 1일), https://www.sportsbusinessjournal.com/Journal/Issues/2022/08/01/In-Depth/Biometrics (구독 필요할 수 있음).
[7] 국제 개인정보 전문가 협회(IAPP), 미국 주별 개인정보 보호법안 추적기(최종 업데이트: 2025년 4월 7일), https://iapp.org/resources/article/us-state-privacy-legislation-tracker/에서 확인 가능.
