국가정보_미국

  •  영국
  •  독일
  •  싱가포르

법률체계

1개요

1974년 개정된 미국의 프라이버시법(The Privacy Act of 1974)은 전세계적으로 연방 정부의 개인정보 처리 행위를 규율하는 첫 번째 국가적 입법 중 하나다. 그러나 미국의 개인정보보호 체계는 기본적으로 시장 자율 규율(self-regulation) 방식으로 EU GDPR, 한국 개인정보 보호법과 같이 공공 부문과 민간 부문을 포괄하는 종합적인 법률은 존재하지 않는다. 연방 법률에는 공공, 금융, 통신, 교육, 의료, 비디오 감시, 근로자 정보 등 각 영역별 개인정보 보호법이 있으며, 각 주(州) 단위로도 프라이버시 보호 관련 법률이 있다.

2법률 체계

가. 연방법

연방법에서는 개인정보보호를 명시하는 개별법 주의의 법률 체계를 가지고 있으며, 이를 다시 공공부문과 민간부문으로 구분하고 있다. 공공 부문에서는 연방정부기관이 보유하고 있는 개인정보에 관한 보호 법규인 프라이버시법이 일반법의 역할을 하고 있다.

(1) 공공부문

[표 1] 공공부문 연방법률

공공부문 연방법률
법률명 주요 내용
정보공개법
(Freedom of Information Act, 1966)

정부 공공 문서에 기록된 정보들을 공개하도록 강제하면서 프라이버시의 보호를 위한 면제 조항을 규정

거의 모든 정보요구자에 대해 정부 수집 정보의 공개를 허용하되 공개 의무에서 면제되는 비공개 사항(exemption)으로 개인 프라이버시가 명백히 침해되는 인사 및 의료 파일, 법집행 목적의 수립 기록 또는 정보가 프라이버시의 부당한 침해 예상되는 경우가 포함됨

프라이버시법
(Federal Privacy Act, 1974)

미국 정부기관 보유 기록 보호

일반 국민이 자신들의 기록에 무슨 정보가 포함되며 어떻게 사용되는지를 알 수 있어야 하고 일정 목적으로 수집된 정보의 다른 용도 사용 금지

컴퓨터보안법
(Computer Security Act, 1987)

국가표준국(National Bureau of standards) 대상 연방컴퓨터 시스템 보안을 위한 표준과 가이드라인 발전 책임 부여

컴퓨터시스템자문회의(Computer Systems Advisor Board)가 연방컴퓨터 보안과 프라이버시 관련 이슈들을 적시하고 동 이슈에 대해 국가표준국에 자문을 하고 관리예산실, 국가안보원 및 연방 의회에 결과를 보고하도록 규정

컴퓨터정보 결합 및 프라이버시보호법
(Computer Matching and Privacy Protection Act, 1988)

연방기관을 포함한 컴퓨터 정보의 조합은 연방 혜택을 지원하는 개인이나 혜택을 받은 개인들에게 일정한 보호를 주는 경우에만 수행할 수 있도록 규정

운전자 프라이버시 보호법
(Driver's Privacy Protection Act, 1994)

차량관리국(DMV, Department of Motor Vehicle)의 기록에 포함된 개인정보의 대중 공개 제한

전자정부법
(E-government Act, 2002)

국민중심의 전자정부를 통합적으로 추진하고 행정기관의 협력 및 민간 부문과 정부 사이 협력을 증진하여 국민 권익 보장

OMB내 전자정부국을 두어 연방정부가 리더쉽을 효과적으로 발휘하여 전자정부서비스 및 업무를 개발 및 촉진할 수 있도록 하며, 정보기술 도입 전 프라이버시 영향 평가 실시 의무 규정

(2) 민간부문

민간 부문에서는 금융, 정보통신 등 각 분야에서 필요성이 제기될 때마다 해당 사안에 맞는 개별법이 제정되고 있다.

[표 2] 민간부문 연방법률

공공부문 연방법률
법률명 주요 내용
공정신용조사법
(Fair Credit Reporting Act, 1970)

신용평가기관(Credit Reporting Agencies)에 의한 개인정보의 오남용 등 방지를 위한 신용정보보호 법률

신용평가기관은 은행, 신용카드사, 기업, 임대업자 등의 사업자가 개인의 신용 평가 목적으로만 정보를 사용한다는 합리적 믿음이 있는 경우 혹은 서면 동의가 있는 경우에만 정보 제공 가능

가족의 교육권 및 프라이버시법
(Family Education Rights and Privacy Act, 1974)

학생의 교육정보에 대해 학부모와 학생의 자기결정권을 강화하고 프라이버시 관점의 교육 정보 보호

연방기금의 수여조건으로 교육기관의 수집·이용·보유·공개 등 교육정보 보호 의무 규정

금융프라이버시권리법
(Right to Financial Privacy Act, 1978)

수정헌법 제4조에 따른 은행기록의 보호에 근거하여 개인금융기록의 비밀 보장

어떠한 정부 당국도 형사법상 수사 및 기소에 필요한 경우 등을 제외하고는 고객 금융기록에 접근 불가

프라이버시보호법
(Privacy Protection Act, 1980)

출간자에 대한 수색 및 압수 집행 효력 경감 목적 제정

미 정부 공무원이 출간물의 범죄 연관성에 대한 개연성(probable cause)없는 한 개인이 보유한 작품, 산출물, 문서 자료에 대한 수색이나 압수 금지

케이블통신정책법
(Cable Communications Policy Act, 1984)

케이블 TV 기술의 진보 및 양방향 케이블 시스템의 개발이 초래할 부당한 개인정보의 수집 위험에 대비하여 케이블 통신회사의 의무 규정

최소 연 1회 개인정보 수집 및 보유 현황 고지하도록 강제(수집 목적, 수집 정보, 보유기간, 열람 절차 등)

동의 없는 목적 외 이용 및 제3자 제공 금지 등

전자통신프라이버시법
(Electronic Communication Privacy Act, 1986)

전자기록에 관한 정부의 접근 절차 및 방법에 대해 통제하여 전자기록의 비밀성 보호

수색영장이나 수신자 동의 없는 서신 개봉 금지 및 동의 없는 전화, 데이터 전송, 라디오 통신의 차단 또는 도청장치 사용금지 등 통신프라이버시 보호 내용을 전자메일 및 컴퓨터를 통한 데이터 전송과 같은 통신 분야에 확장

음성메일, 전자메일 등 권한 없는 접근 및 이용 금지

컴퓨터 사기 및 남용 방지법
(Computer Fraud and Abuse Act, 1986)

1994, 1996, 2001 개정, 사기절도(fraudulent theft) 목적의 연방 관련 컴퓨터 무단 접속 제한을 위해 제정

연방 관련 컴퓨터 내 정보 변경 혹은 사용 방지 등의 악의적 손상(malicious damage) 제한

간 통상(interstate commerce)에 영향을 주는 사기 가담 의도의 컴퓨터 패스워드 유통 금지

비디오 프라이버시 보호법
(Video Privacy Protection Act, 1988)

비디오 테이프 판매사업자 또는 대여사업자가 비디오 대여 기록을 고객 동의 또는 법원 승인 없이 제3자에게 제공하는 것을 금지

근로자 거짓말 탐지기 보호법
(Employee Polygraph Protection Act, 1988)

민간부문 근로자들 대상 거짓말탐지 테스트 및 기타 부과 제약에 대한 가이드라인 확립을 위해 제정

입사지원자를 대상으로 거짓말 탐지 테스트를 요구할 수 없으며, 특정 조건 만족 시에만 테스트 실시 또는 권유가 가능함. 근로자가 거부 시 강제할 수 없음

전화소비자보호법
(Telephone Consumer Protection Act, 1991)

침해적 텔레마케팅 확산과 프라이버시 침해 염려 및 불안에 응답하기 위해 제정

FCC는 동 법에 근거하여 텔레마케팅에 종사하는 모든 자에 대해 수신 거부 요구 소비자 명단을 유지하는 보고 및 명령을 내림

법 집행을 위한 통신지원법
(Communications Assistance for Law Enforcement Act, 1994)

디지털 네트워크상의 통신 개입 목적으로 법원 명령이나 법률적 근거에 의한 정부 권한 보전을 위해 제정

전화회사가 발신자 추적정보는 물론 유선․전자통신에 대한 정부 접근을 보장하도록 네트워크 설정 요구

전기통신법
(Telecommunications Act, 1996)

1996년에 개인기록에 대한 전화 회사의 오용에 대한 유려를 다루는 규정 포함

신규 서비스 판매를 위해 전화가입자 통화유형(calling pattern) 정보 이용 전 고객 사전 승인 의무 규정

건강보험관리 및 책임에 관한 법률
(Health Insurance Portability and Accountability Act, 1996)

전자적 형태의 건강 정보보호를 위해 전자적 교류를 위한 표준의 개발 및 채택을 강제하는 것으로 연방의회나 보건 및 인류서비스부(Secretary of Health and Human Services)가 전자적 교류 프라이버시 규칙을 개발하도록 규정

아동 온라인 프라이버시 보호법
(Child Online Privacy Protection Act, 1998)

13세 이하 아동의 개인정보 온라인 수집 금지하며 아동 정보를 수집하는 상업적 웹사이트는 데이터 수집 정책을 고지하고 부모의 동의를 받도록 규정

금융현대화법
(Gramm-Leach-Bliley Act, 1999)

금융기관이 보유하는 고객의 금융정보보호를 위해 제정

개인금융정보의 수집․이용 관련 고지 의무를 규정하는 프라이버시 원칙, 정보보호를 위한 세이프 가드 원칙, 고객 대상 기만적 정보 취득을 금지하는 프리텍스팅(pretexting)을 규정

대테러감시법
(Patriot Act, 2001)

911테러사건 이후 전자감시 수색영장, 조사단 기금, 돈세탁, 금융기록, 기금압류, 화폐위조, 국경보호, 이민신분 및 구금, 이민자 혜택, 정보 보상권, 테러 희생자 지원, 정부기관 간 정보 공유, 테러 형별 규정 강화, 정보 개선 등을 규정

아동착취행위소추법
(The Protection Act of 2003, “Prosecutorial Remedies and Other Tools to end the Exploitation of Children today)

아동포르노의 광고, 판촉, 제시, 배포, 매매유도(solicitation) 등의 행위에 대한 형사 처벌 규정

제작자는 신분증명서 검사 및 촬영 대상자의 이름과 나이 확인 필요

나. 주법

미국의 각 개별 주 (州)에서도 연방법과 마찬가지로 EU GDPR이나 한국 개인정보 보호법 등의 일반적․포괄적 법률은 없으며, 각 분야별로 개별적 개인정보보호 법률 규정하고 있다. 다만, 미국 캘리포니아 주(州)는 소비자의 개인정보보호 권리와 사업자의 개인정보보호 관련 의무사항 등을 규정한 「캘리포니아주 소비자 프라이버시법(The California Consumer Privacy Act of 2018)」을 2018년 6월 28일 채택하였으며 2020년 1월부터 시행 예정에 있어 기존의 산업별 규제 체계와 달리하는 미국 최초의 민간 부문 일반법 사례로 볼 수 있다. 다만, 동 법이 캘리포니아 주 영토 밖 범위까지 적용되지 않으며, 캘리포니아 주 이외의 지역에 거주하는 캘리포니아 주민에게 적용되지 않아, EU 역외 국가에도 적용되는 EU 일반 개인정보 보호법(GDPR)이나 한국 개인정보 보호법과는 차이가 있다.

[표 3] 캘리포니아주 소비자 프라이버시법 주요 내용

공공부문 연방법률
소비자의 공개 요구권

소비자는 개인정보 수집 사업자에게 관련 사항을 공개 (disclose)에 대한 요구 권리(right to request)가 있음(1798.110(a))

  • 수집한 개인정보의 범주(categories)
  • 수집한 개인정보의 출처의 범주
  • 개인정보를 수집/판매하기 위한 사업적/상업적 목적
  • 제3자와 개인정보를 공유하는 경우, 해당 제3자의 범주
  • 사업자가 소비자에 대해 수집한 개인정보의 특정 부분

소비자는 개인정보를 제3자에게 판매하거나 업무상 목적으로 공개하는 사업자에게 관련 사항을 소비자에게 공개할 것을 요청할 수 있는 권리가 있음(1798.115(a))

  • 수집한 개인정보의 범주
  • 판매한 개인정보의 범주 및 판매한 제3자의 범주
  • 업무상 목적으로 공개한 개인정보의 범주
사업자의 공개 의무

소비자의 개인정보를 수집하는 사업자는 소비자로부터 증명 가능한 (verifiable) 요구를 받은 경우, 소비자에게 해당 사항을 공개해야함(1798.110(b), (1798.115(b))

  • 소비자로부터 확인 가능한 요구를 받은 후 45일 이내에 필요한 정보를 소비자에게 무료로 공개하고 제공해야 함
  • 소비자에게 필요한 정보를 제공해야 하는 기한은 합리적으로 필요한 경우, 추가적으로 45일까지 한 번 연장될 수 있음. 단, 소비자에게 첫 45일 이내에 연장 통지를 해야 함 (1798.130(a)(2))
  • 이때 사업자는 소비자가 위의 요구를 할 수 있는 방법 2개 이상을 지정하여 공개해야함(Designated methods for submitting requests)
소비자의 옵트아웃 권리

소비자는 개인정보를 제3자에게 판매하는 사업자에 대해 자신의 개인정보를 판매하지 말 것을 지시(direct)할 권리인 “옵트아웃 권리(right to opt out)”를 가짐 (1798.120(a))

  • 소비자로부터 소비자의 개인정보를 판매하지 말라는 지시를 받았거나 미성년자 소비자의 개인정보의 경우, 소비자가 자신의 개인정보 판매에 승인을 하지 않는 한 소비자의 개인정보를 판매하는 것이 금지됨
  • 소비자가 제3자의 개인정보 판매에 대한 명백한 고지를 받았거나 1798.120에 따라 옵트아웃을 행사할 기회가 주어지지 않는 한, 제3자는 사업자로부터 구매한 소비자의 개인정보를 판매할 수 없음
사업자의 옵트아웃 고지 의무

제3자에게 소비자의 개인정보를 판매하는 사업자는, 1798.135(a)에 따라서, 이러한 정보가 판매될 수 있고 소비자는 자신의 개인정보 판매를 옵트아웃 할 수 있는 권리를 갖는다는 내용의 고지(notice)를 소비자에게 제공해야 함 (1798.120(b))

  • 소비자 또는 소비자가 승인한 자가 소비자 개인정보의 판매를 옵트아웃할 수 있는 인터넷 웹페이지에 “내 개인정보를 판매하지 말 것”이라는 제목으로 사업자의 인터넷 홈페이지에 명확하고 눈에 띄는 링크를 제공해야 함 (1798.130(a)(2))
소비자의 옵트인 권리

위의 옵트아웃 규정에도 불구하고, 사업자가 16세 미만으로부터 수집한 개인정보를 판매하고자 하는 경우 “옵트인 동의(opt-in consent)”가 필요 (1798.120(d))

  • 13세~16세의 개인정보인 경우 : 본인의 옵트인 동의 필요
  • 13세 미만의 개인정보인 경우 : 부모나 후견인의 옵트인 동의 필요
소비자의 개인정보 삭제 요구권

소비자는 사업자가 소비자로부터 수집한 소비자의 개인정보를 삭제하도록 사업자에게 요구할 수 있는 권리를 가짐(1798.105(a))

사업자의 개인정보 삭제 의무

소비자로부터 개인정보 삭제 요구를 받은 사업자는 소비자의 개인정보를 기록에서 삭제해야 하며, 모든 서비스 제공업체(service provider)에 대해 해당 소비자의 개인정보를 삭제할 것을 지시(direct)해야 함(1798.105(c))

  • 사업자는 소비자의 개인정보 삭제 권리가 있음을 알려야 함(1798.105(b))
  • 사업자 또는 서비스 제공업체는 소비자의 개인정보가 △거래를 완료하거나 소비자와의 지속적 업무관계 맥락상 합리적으로 예상된 상품/서비스를 제공하거나, 해당 계약을 이행하기 위한 목적을 위한 경우, △법률 준수, △역사적/통계적 연구에 필요한 경우 등 1798.105(d)에 규정에 해당되는 경우에는, 소비자의 삭제 요구를 따르지 않아도 됨(1798.105(d))
사업자의 의무 준수 방법

사업자는 1798.100조, 1798.105조, 1798.110조, 1798.115조, 그리고 1798.125조(소비자의 공개 요구권, 삭제 요구권 등)를 준수하기 위해, 관련 의무를 이행해야 함

  • 정보의 공개 및 12개월마다 최소한 1회 업데이트 : △ 소비자 권리에 대한 공개 요구에 따른 회신을 위한 한 가지 이상의 방법 △직전 12개월 내 수집했던 개인정보 범주 목록 △직전 12개월 내 판매했던 개인정보 범주의 목록 △직전 12개월 내에 사업자가 소비자에 대해서 공개했던 개인정보 범주의 목록 등
  • 온라인 개인정보보호 정책을 보유하고 있는 경우, 해당 온라인 개인정보보호 정책과 캘리포니아 소비자 개인정보보호 권리 내역에 정보를 공개해야 하고, 사업자가 온라인 개인정보보호 정책을 보유하고 있지 않은 경우에는 인터넷 웹 사이트에 정보를 공개
사업자의 차별 금지 의무

사업자는 소비자가 개인정보보호 권리를 행사했다는 이유로 다음과 같은 방법으로 소비자를 차별해서는 안 됨(1798.125)

  • 소비자에게 상품이나 서비스를 제공하는 것을 거부하는 행위
  • 할인이나 기타 혜택을 이용하거나 벌칙을 부과하는 방식을 포함하여, 상품이나 서비스에 대해 다른 가격이나 요율을 부과하는 행위
  • 소비자가 본 편에 규정된 소비자 권리를 행사하는 경우, 다른 수준이나 품질의 제품 또는 서비스를 제공하는 행위
  • 소비자가 상품이나 서비스에 대해서 다른 가격이나 요율을 받거나, 다른 수준이나 품질의 제품 또는 서비스를 받을 것이라고 암시하는 행위
사업자의 개인정보 유출 책임

사업자는 개인정보보호를 위해 정보 성격에 적절한 합리적인 보안절차와 실무관행을 이행하고 유지해야 하는 의무가 있으며 이를 위반함으로써 발생한 소비자의 피해와 관련해 민사소송 대상이 될 수 있음 (1798.150(a))

소비자는 사업자의 보안 절차 관련 의무 위반으로 인해, 자신의 개인정보가 암호화되지 않거나 무단 접근 및 침해, 도난 또는 피해를 입은 경우 다음 각 호에 대해 민사소송(Civil action)을 제기할 수 있음

(A) 각 사건 당 각 피해를 입은 소비자에 대해 100달러 이상 750달러 이하의 손해 또는 실제 손해 중 큰 금액에 해당하는 손해의 배상

(B) 가처분(Injunctive) 또는 선언적 구제(declaratory relief)

(C) 법원이 적절하다고 여기는 기타 구제

법정 손해액(statutory damages)을 산정함에 있어서, 법원은 사건의 당사자가 제시한 하나 이상의 관련 정황을 고려해야 함

고려해야할 정황에는 위법행위의 본질과 심각성, 위반 건수, 위법 행위의 지속성, 위법 행위가 발생한 기간, 피고의 위법 행위의 고의성, 피고의 자산, 부채 및 순자산이 포함됨

민사처벌

동 법을 고의적으로 위반한 사업자 또는 서비스 제공자는 각 위반사항에 대해 최대 7천5백 달러의 민사처벌에 대해서 책임을 짐 (1798.155)

본 조항에서 규정된 민사처벌은 법무장관이 캘리포니아 주민의 이름으로 제기한 민사소송에서만 독점적으로 부과되고 배상되어야 함

top