• Legaledu
  • 법률신문 법률정보

    대륙아주

    미국의 개인정보보호법 동향 소개

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [2022.07.19.]



    I. 미국의 개인정보보호법 동향 소개

    미국연방 개인정보보호법(American Data Privacy and Protection Act)(약칭 “ADPPA”) 법안의 주요 내용과 시사점

    지난 6월 3일 미국 상원의원 로저 위커(Roger Wicker, 공화당), 하원의원 프랭크 팔론(Frank Pallone, 민주당) 및 캐시 맥모리스 로저스(Cathy McMorris Rogers, 공화당)은 연방법인 미국연방개인정보보호법(American Data Privacy and Protection Act, “ADPPA”)을 H.R.8152[1] 법안으로 발의하여, 6월 23일 공개 수정(Open Markup Session)을 거쳐 하원 전원위원회(Full Committee)에 회부되었습니다. 현재까지 미국의 개인정보보호 체계는 아동, 금융, 의료 등 개별 분야별로 규율하는 법률이 존재하지만[2] 연방차원에서 제정한 개인정보보호에 관한 일반법이 법률로 존재하지 않는 형태였습니다. 이는 기본적으로 시장 자율 규율 방식(Self-regulation)을 선택한 것으로, 한국의 개인정보보호법이나 EU의 General Data Protection Regulation (GDPR)과는 큰 차별점을 두는 것이었습니다.[3]

     

    [각주1] https://www.congress.gov/bill/117th-congress/house-bill/8152

    [각주2] 대표적으로 아동 온라인 개인정보보호법(Children’s Online Privacy Protection Act, “COPPA”), Gramm-Leach-Bliley Act (“GLBA”), 연방의료보험통상책임법(Health Insurance Portability and Accountability Act) 등이 있습니다.

    [각주3] 한편, 주 단위의 입법은 보다 적극적으로 진행되어 지난 2020년 캘리포니아에서 미국 최초로 민간 분야의 포괄적인 개인정보보호 일반법에 해당하는 캘리포니아 소비자 개인정보보호법(California Consumer Privacy Act, “CCPA”)를 도입하였고 이후 CCPA를 바탕으로 소비자의 권리를 보다 확대한 캘리포니아 개인정보보호 권리법(California Privacy Rights Act, “CPRA”)이 통과되어 2023년부터 시행될 예정입니다. 그 이후로 버지니아와 콜로라도, 코네티컷, 유타에서 주 단위의 법을 제정하였습니다.

     

    그런데 ADPPA가 본격적으로 입법논의에 돌입하면서 모든 정보의 수집, 처리, 보호, 이전 등에 대한 광범위하고 종합적인 개인정보보호 법률 제정 논의가 가속화되어, 향후 ADPPA의 법안의 통과여부와 법안 수정의 방향에 귀추가 주목되고 있습니다. 이러한 변화는 한국 기업의 입장에서도 일반적으로 한국의 개인정보보호법 및 EU의 GDPR을 준수하는 수준의 개인정보 수집, 처리, 보호로 대응이 가능하였던 미국 관련 업무관행에 변화를 가져올 수 있는 것이어서 미리 관심을 가지고 살펴볼 필요가 있을 것으로 보입니다.



    주요내용

    * 적용대상. 새로운 ADPPA는 비영리법인을 제외한 거의 모든 법인에 적용됩니다. 일부 대용량데이터 보유자(Large data holders)[4]와 제3자정보수집법인(Third-party collecting entities)[5]의 경우에는 보고나 내부 조직 등과 관련된 추가적인 의무를 부담할 것으로 보입니다.

     

    [각주4] 연 2억 5천만달러 이상의 매출액 또는 5백만 사용자(개인 또는 장치의 수) 이상의 정보를 수집, 처리, 이전하는 경우에 해당됩니다.

    [각주5] 주된 매출액이 개인들로부터 직접 수집하지 않은 정보를 처리, 이전하는 활동에서 발생하는 회사(예를 들어, 데이터 브로커)의 경우에 해당합니다.

     

    * 대상 정보. 개인 또는 장치를 알아볼 수 있는 정보를 말합니다. IP주소나 쿠키와 같이 장치와 관련한 정보도 개인을 알아볼 수 있도록 하는 정보에 포함되어 보호의 대상이 될 것으로 보입니다.

     

    * 선관주의의무. ADPPA 적용대상 회사들에 대하여 최소정보수집의 원칙이나 위치정보, 생체인식 정보, 동의하지 않은 민감 정보 등에 대한 특별한 보호의무 등의 의무를 합리적인 선에서 지키도록 하는 내용이 포함되어 있습니다.

     

    * 투명성. ADPPA 적용대상 회사들은 수집하는 정보의 종류, 수집한 정보의 이용목적, 보관 방법 등을 공개하여야 합니다. 또한 현재 법안에는 중국, 이란, 북한에서 해당 정보에 접근가능한지 여부에 대한 정보도 함께 공개되어야 한다는 내용이 포함되어 있습니다.

     

    * 동의. ADPPA는 소비자들에게 대상 정보에 대한 접근, 수집, 삭제 등에 관한 여러가지 권리를 부여하면서, 특히 민감정보(인종, 국적, 종교, 노동조합 가입 여부 등)의 경우, 이를 사용하기 전에 반드시 명시적인 동의를 받도록 하였습니다.


    * 알고리즘과 권리. ADPPA는 인종, 성별, 성적지향 등에 따라 개인정보가 차별적으로 이용되는 것을 금지하면서, 대용량데이터보관자의 경우에는 알고리즘 영향 평가를 반드시 수행하도록 정하고 있습니다. 해당 평가는 알고리즘을 사용함으로써 발생할 수 있는 문제를 예상하고 미리 방지할 수 있도록 하는 것을 목적으로 하고, 평가의 결과는 ADPPA의 집행을 담당하게 될 Fair Trade Commission(“FTC”)에 보고하여야 할 것입니다.

     

    * 집행.FTC는 ADPPA의 집행을 담당할 것입니다. 현재 FTC가 가진 집행권한을 이용할 것으로 예상되고, 기타 관련 민사소송은 주 법무부장관이 담당할 것으로 보입니다.

     

    * 민사소송. 실제 ADPPA 위반으로 인하여 피해를 본 개인은 소를 제기하기 전에 FTC나 주 법무부장관에게 이를 알려야 할 것입니다. 현재 법안으로는 개인은 직접 소송을 통하여 손해배상 등을 청구하기 이전에 이러한 기관이 징계에 나서도록 해야할 것입니다. 실제 도입과 관련하여서 ADPPA 입법 후 4년 동안은 기업들이 새로운 법률에 적응할 수 있도록 유예기간이 부여될 것으로 보입니다.



    II. 대륙아주 코멘트

    위의 내용은 초기 상태의 법안을 바탕으로 한 것이어서, 실제 제정되기까지는 그 구체적인 내용이 여러 번의 개정 작업을 거칠 가능성이 높습니다. 그러나 연방정부의 수준에서는 개인정보 보호를 소비자 보호의 일환으로 보아 그 감독기구를 FTC로 정한 것으로 보인다는 점, 산업 전반에 걸쳐 수많은 개별 분야의 연방법과 각 주별 개인정보보호법을 준수하기에는 한계가 존재할 수밖에 없는 상황에서 이에 대응하는 새로운 법적 프레임워크 도입의 방향을 설정하였다는 점에서 ADPPA 도입을 미리 살펴보는 의의가 있습니다.


    특히, 미국 내에서 활동하거나 미국 소비자의 정보를 수집, 처리, 관리하는 한국 기업들은 ADPPA가 제정되고 나면, 지금까지의 자율규제와는 다르게, ADPPA가 정하는 구체적인 개인정보보호의 방법을 준수하여야 할 것입니다. 새로운 변화의 방향이 한국 개인정보보호법과 비슷한 틀을 가지는 것으로 보이는 점은 다행이지만, 그럼에도 불구하고 법안이 확정되어 실제 입법이 되는 경우에는 ADPPA에 특유한 내용을 살펴 미리 변화에 대비하여야 할 것입니다.



    최윤수 변호사 (choiys@draju.com)

    차동언 변호사 (decha@draju.com)

    임성훈 외국변호사 (imsh@draju.com)

    김경 외국변호사 (kyeongckim@draju.com)

    김승진 변호사 (sjkim2@draju.com)

    오영호 변호사 (yhoh@draju.com)

    이관희 고문 (steve.lee@draju.com)

    박진형 고문 (parkjh@draju.com)