일리노이 거주 코인베이스(Coinbase) 사용자들이 자사 신원 인증 절차가 주법을 위반했다며 집단소송을 제기했다. 이들은 코인베이스가 ‘생체정보보호법(Biometric Information Privacy Act, BIPA)’을 위반하고 있다고 주장하고 있다.
5월 13일 미 일리노이 연방지방법원에 제출된 소송에 따르면, 원고인 스콧 번스타인, 지나 그리더, 제임스 로너건은 코인베이스가 고객확인제도(KYC)를 위해 얼굴 인식 정보를 일괄 수집했으나 사전에 고지하지 않았다고 주장했다. 원고 측은 "코인베이스가 생체정보 수집, 저장 및 공유 행위에 대해 서면으로 사용자에게 알리지 않았으며, 관련 데이터의 사용 목적 및 보존 기간도 명시하지 않았다"고 밝혔다.
소장에 따르면, 코인베이스는 사용자 신원을 확인하는 과정에서 정부 발급 사진 신분증과 셀피(자화상) 제출을 요구하며, 이를 제3의 안면 인식 소프트웨어에 전송해 얼굴 기하 정보를 추출하고 있다. 이 과정에서 사용자의 동의 없이 생체 정보를 수집하고 있다는 점이 문제가 된 것이다.
또한 원고는 코인베이스가 BIPA에서 요구하는 데이터 보존 일정이나 생체 정보 폐기를 위한 명확한 지침을 공개하지 않고 있다고 지적했다. 이는 투명성과 고지 의무를 명문화한 해당 법률 조항에 명백히 위배된다는 주장이다.
일리노이주는 생체정보의 민감성을 이유로 2008년 BIPA를 제정했으며, 사용자 동의 없이 생체 데이터를 수집하거나 저장해서는 안 된다고 규정하고 있다. 이에 따라 대형 기술 기업들을 상대로 유사 소송이 지속적으로 제기되고 있으며, 이번 코인베이스 소송도 그 연장선상에 있다는 평가다.
이번 집단소송의 향방에 따라, 미국 내 암호화폐 사업자들의 KYC 절차가 보다 강도 높은 법적 검토를 받게 될 가능성이 커지고 있다. 암호화폐 업계의 개인정보 보호 기준이 다시 주목받는 시점이다.