국가정보_미국
법률체계
1개요
미국의 개인정보보호 체계는 기본적으로 시장 자율 규율(self-regulation) 방식으로 EU GDPR, 한국 개인정보보호법과 같이 공공 부문과 민간 부문을 포괄하는 개인정보보호에 관한 일반법이 연방 법률로서 존재하지 않는다. 대신, 공공, 금융, 통신, 교육, 의료, 비디오 감시, 근로자 정보 등 영역별로 개인정보보호를 규율하는 개별 법률이 각 분야별 개인정보보호를 담당한다. 프라이버시법(Privacy Act of 1974), 연방의료보험통상책임법(Health Insurance Portability and Accountability Act), 아동온라인프라이버시보호법(Child Online Privacy Protection Act) 등이 대표적으로, 각각 특정 분야의 개인정보보호법 역할을 한다. 최근에는 개인정보보호 일반법을 도입하고자 하는 연방 의회 차원에서의 노력이 진행 중이며 실제 117회기(2021~2022년) 때 American Data Privacy and Protection Act라는 이름의 연방 개인정보보호법(안)이 하원 의회에 발의되기도 하였다.
한편, 주(州) 법체계도 연방법과 같이 각 분야별 개인정보보호법을 두는 것이 일반적이었으나, EU GDPR 제정 이후 캘리포니아주를 시작으로 많은 주들이 포괄적인 일반 개인정보보호법을 도입하려는 움직임이 활발하다.
캘리포니아주의 경우, 2018년 6월 미국 최초로 민간 분야의 포괄적인 개인정보보호 일반법에 해당하는 캘리포니아 소비자 개인정보보호법(California Consumer Privacy Act, CCPA)을 도입했다. 이후 2020년 11월 CCPA를 바탕으로 소비자의 개인정보 권리를 확대한 캘리포니아 개인정보보호 권리법(California Privacy Rights Act, 이하 CPRA)이 주민투표로 통과되었고 2023년부터는 기존 CCPA를 대체하여 CPRA가 시행 중이다.
캘리포니아주에 이어 2021년에는 버지니아주(2021년 3월), 콜로라도주(2021년 7월)도 포괄적인 개인정보보호 일반법을 제정했으며, 2022년에는 유타주(2022년 3월), 코네티컷주 (2022년 5월)도 개인정보보호 일반법을 제정하기에 이르렀다. 이외에도 네브레스카주, 노스캐롤라이나주, 뉴욕주, 뉴저지주, 로드아일랜드주, 루이지애나주 의회가 개인정보보호 일반법을 각 주 의회에 발의하는 등 약 30개의 주에서 입법 움직임을 보이고 있다.
미국의 개인정보보호 체계는 기본적으로 시장 자율 규율(self-regulation) 방식으로 EU GDPR, 한국 개인정보보호법과 같이 공공 부문과 민간 부문을 포괄하는 개인정보보호에 관한 일반법이 연방 법률로서 존재하지 않는다. 대신, 공공, 금융, 통신, 교육, 의료, 비디오 감시, 근로자 정보 등 영역별로 개인정보보호를 규율하는 개별 법률이 각 분야별 개인정보보호를 담당한다. 프라이버시법(Privacy Act of 1974), 연방의료보험통상책임법(Health Insurance Portability and Accountability Act), 아동온라인프라이버시보호법(Child Online Privacy Protection Act) 등이 대표적으로, 각각 특정 분야의 개인정보보호법 역할을 한다. 최근에는 개인정보보호 일반법을 도입하고자 하는 연방 의회 차원에서의 노력이 진행 중이며 실제 117회기(2021~2022년) 때 American Data Privacy and Protection Act라는 이름의 연방 개인정보보호법(안)이 하원 의회에 발의되기도 하였다.
한편, 주(州) 법체계도 연방법과 같이 각 분야별 개인정보보호법을 두는 것이 일반적이었으나, EU GDPR 제정 이후 캘리포니아주를 시작으로 많은 주들이 포괄적인 일반 개인정보보호법을 도입하려는 움직임이 활발하다.
캘리포니아주의 경우, 2018년 6월 미국 최초로 민간 분야의 포괄적인 개인정보보호 일반법에 해당하는 캘리포니아 소비자 개인정보보호법(California Consumer Privacy Act, CCPA)을 도입했다. 이후 2020년 11월 CCPA를 바탕으로 소비자의 개인정보 권리를 확대한 캘리포니아 개인정보보호 권리법(California Privacy Rights Act, 이하 CPRA)이 주민투표로 통과되었고 2023년부터는 기존 CCPA를 대체하여 CPRA가 시행 중이다.
캘리포니아주에 이어 2021년에는 버지니아주(2021년 3월), 콜로라도주(2021년 7월)도 포괄적인 개인정보보호 일반법을 제정했으며, 2022년에는 유타주(2022년 3월), 코네티컷주 (2022년 5월)도 개인정보보호 일반법을 제정하기에 이르렀다. 이외에도 네브레스카주, 노스캐롤라이나주, 뉴욕주, 뉴저지주, 로드아일랜드주, 루이지애나주 의회가 개인정보보호 일반법을 각 주 의회에 발의하는 등 약 30개의 주에서 입법 움직임을 보이고 있다.
2미국 법률체계
미국의 법 제도는 연방법과 각 주(州)법으로 구성되며, 이를 통칭하여 미국법이라 한다. 미국은 영국법을 계승하여 판례법을 기본으로 하고 있으나 영국의 보수적 판례법주의와 달리 선례를 적극적으로 바꾸어나가는 방식을 채택하고 있다. 또한 성문헌법이 있고 연방법전을 채택하고 있다는 점에서 영국법과는 다르게 성문법주의에 가까운 형태로 발전했다.
한편, 미국법은 공법과 사법의 구별이 없다. 미국법에서 제정법이라 함은 무질서한 법률을 모아놓은 집합체로서 판례를 보완하는 것이다. 따라서 제정법을 해석하는데 있어 조문만으로 이해할 수 없는 암묵적인 전제가 되는 판례가 존재할 가능성이 있다. 실례로, 미국법에는 민법(Civil Law)이라는 개념이 존재하지 않는다. 민사법전(Civil Code)이라는 개념은 존재하지만 이는 계약법전, 불법행위법전, 재산법전이라는 다양한 제정법을 취합한 것에 지나지 않고, 대부분의 경우 주(州) 재판에 의한 판례법이 기본이 된다. 이에 따라 민사소송법이나 형사소송법이라는 개념도 존재하지 않고, 재판소 및 재판소 절차법 내의 민사편, 형사편 등으로 구분된다.
무엇보다 미국법의 특징은 연방과 각 주에 법원과 입법부가 있고, 판례법과 성문법이 이원적으로 존재할 뿐만 아니라 각 주에 따라 다른 법이 병존한다는 점이다. 이에 따라 연방과 각 주의 법원이 사법심사권을 가지며, 사법제도의 특징인 배심제도는 헌법에 의해 보장되어 있다. 20세기 들어 주법 통일화를 위한 운동이 일어나 선례로 정착된 판례의 요점을 조문 형태로 통일·정리한 미국법협회의 리스테이트먼트(Restatement of the Law)가 만들어졌다. 이에 따라 판례에 의존하기보다 표준화된 법조문에 근거하여 판결을 내리는 경우가 많아졌다.
개인정보보호 법제의 경우, 개별법주의의 법률 체계에 따라 일반법보다는 각 영역에서 개인정보보호 요구가 있을 때 별도의 법률을 제정하는 방식을 택하고 있다. 앞서 언급한 것처럼 미국의 법률체계는 연방법과 주법으로 양분화 되어 있기 때문에, 개인정보보호에 관한 법체계도 이를 구분해서 보아야 한다.
미국의 법 제도는 연방법과 각 주(州)법으로 구성되며, 이를 통칭하여 미국법이라 한다. 미국은 영국법을 계승하여 판례법을 기본으로 하고 있으나 영국의 보수적 판례법주의와 달리 선례를 적극적으로 바꾸어나가는 방식을 채택하고 있다. 또한 성문헌법이 있고 연방법전을 채택하고 있다는 점에서 영국법과는 다르게 성문법주의에 가까운 형태로 발전했다.
한편, 미국법은 공법과 사법의 구별이 없다. 미국법에서 제정법이라 함은 무질서한 법률을 모아놓은 집합체로서 판례를 보완하는 것이다. 따라서 제정법을 해석하는데 있어 조문만으로 이해할 수 없는 암묵적인 전제가 되는 판례가 존재할 가능성이 있다. 실례로, 미국법에는 민법(Civil Law)이라는 개념이 존재하지 않는다. 민사법전(Civil Code)이라는 개념은 존재하지만 이는 계약법전, 불법행위법전, 재산법전이라는 다양한 제정법을 취합한 것에 지나지 않고, 대부분의 경우 주(州) 재판에 의한 판례법이 기본이 된다. 이에 따라 민사소송법이나 형사소송법이라는 개념도 존재하지 않고, 재판소 및 재판소 절차법 내의 민사편, 형사편 등으로 구분된다.
무엇보다 미국법의 특징은 연방과 각 주에 법원과 입법부가 있고, 판례법과 성문법이 이원적으로 존재할 뿐만 아니라 각 주에 따라 다른 법이 병존한다는 점이다. 이에 따라 연방과 각 주의 법원이 사법심사권을 가지며, 사법제도의 특징인 배심제도는 헌법에 의해 보장되어 있다. 20세기 들어 주법 통일화를 위한 운동이 일어나 선례로 정착된 판례의 요점을 조문 형태로 통일·정리한 미국법협회의 리스테이트먼트(Restatement of the Law)가 만들어졌다. 이에 따라 판례에 의존하기보다 표준화된 법조문에 근거하여 판결을 내리는 경우가 많아졌다.
개인정보보호 법제의 경우, 개별법주의의 법률 체계에 따라 일반법보다는 각 영역에서 개인정보보호 요구가 있을 때 별도의 법률을 제정하는 방식을 택하고 있다. 앞서 언급한 것처럼 미국의 법률체계는 연방법과 주법으로 양분화 되어 있기 때문에, 개인정보보호에 관한 법체계도 이를 구분해서 보아야 한다.
3개인정보보호법
가. 개요
미국은 연방 차원의 일반 개인정보보호법의 부재로 인해 영역별로 개인정보보호를 규율하는 개별법이 공공 부문과 민간 부문별로 나뉘어 각 영역 내 분야별 개인정보보호를 담당한다. 연방법 중에서는 1974년 제정된 프라이버시법(Privacy Act of 1974)이 공공 부문의 개인정보보호 일반법으로서 연방정부기관 등 공공 부문이 보유한 개인정보를 보호 및 규율하는 역할을 한다.
(1) 연방법
[표 1] 공공 부문의 개인정보보호 관련 연방법률
공공부문 연방법률
법률명
주요 내용
정보공개법
(Freedom of Information Act, 1966)
정부 공공 문서에 기록된 정보들을 공개하도록 강제하면서 프라이버시 보호를 위한 면제 조항을 규정
거의 모든 정보 요구자에 대해 정부 수집 정보의 공개를 허용하되 공개 의무에서 면제되는 비공개 사항(exemption)에는 개인 프라이버시가 명백히 침해되는 인사 및 의료 파일, 법집행 목적의 수립 기록, 정보의 부당한 프라이버시 침해가 예상되는 경우 등이 포함
프라이버시법
(Privacy Act, 1974)
미국 정부기관 보유 기록 보호
일반 국민이 자신들의 기록에 무슨 정보가 포함되며 어떻게 사용되는지를 알 수 있어야 하고 일정 목적으로 수집된 정보의 다른 용도 사용 금지
컴퓨터보안법
(Computer Security Act, 1987)
국가표준국(National Bureau of standards) 대상 연방컴퓨터 시스템 보안을 위한 표준과 가이드라인 개발 책임 부여
컴퓨터시스템자문회의(Computer Systems Advisor Board)가 연방컴퓨터 보안과 프라이버시 관련 이슈들을 적시하고 동 이슈에 대해 국가표준국에 자문을 하고 관리예산실, 국가안보원 및 연방 의회에 결과를 보고하도록 규정
컴퓨터정보 결합 및 프라이버시보호법
(Computer Matching and Privacy Protection Act, 1988)
연방기관을 포함한 컴퓨터 정보의 조합은 연방 혜택을 지원하는 개인이나 혜택을 받은 개인들에게 일정한 보호를 주는 경우에만 수행할 수 있도록 규정
운전자 프라이버시 보호법
(Driver's Privacy Protection Act, 1994)
차량관리국(DMV, Department of Motor Vehicle)의 기록에 포함된 개인정보의 대중 공개 제한
전자정부법
(E-government Act, 2002)
국민중심의 전자정부를 통합적으로 추진하고 행정기관의 협력 및 민간 부문과 정부 사이 협력을 증진하여 국민 권익 보장
OMB내 전자정부국을 두어 연방정부가 리더십을 효과적으로 발휘하여 전자정부 서비스 및 업무를 개발·촉진할 수 있도록 하며, 정보기술 도입 전 프라이버시 영향 평가 실시 의무 규정
한편, 민간 부문에서는 금융, 정보통신 등 각 분야에서 필요성이 제기될 때마다 해당 사안에 맞는 개별법이 제정되고 있다.
[표 2] 민간 부문의 개인정보보호 관련 연방법률
민간 부문의 개인정보보호 관련 연방법률
법률명
주요 내용
공정신용조사법
(Fair Credit Reporting Act, 1970)
신용평가기관(Credit Reporting Agencies)에 의한 개인정보의 오남용 등 방지를 위한 신용정보보호 법률
신용평가기관은 은행, 신용카드사, 기업, 임대업자 등의 사업자가 개인의 신용 평가 목적으로만 정보를 사용한다는 합리적 믿음이 있는 경우 혹은 서면 동의가 있는 경우에만 정보 제공 가능
가족의 교육권 및 프라이버시법
(Family Education Rights and Privacy Act, 1974)
학생의 교육정보 및 개인정보에 대해 학부모와 학생의 자기결정권을 강화하여 학부모 및 학생의 동의 없는 정보공개를 규제
동 법은 교육부의 기금을 받는 교육기관에 적용됨에 따라, 교육기관에 대한 연방기금 수여조건으로 교육정보 및 학생 개인정보 수집·이용·보유·공개와 관련해 정보보호 의무를 부여
금융프라이버시권리법
(Right to Financial Privacy Act, 1978)
수정헌법 제4조에 따른 금융기관 고객의 프라이버시 보호에 근거하여 개인금융기록의 비밀 보장
어떠한 정부 당국도 형사법상 수사 및 기소에 필요한 경우 등을 제외하고는 고객 금융기록에 접근 불가
프라이버시보호법
(Privacy Protection Act, 1980)
언론인과 뉴스룸(신문사·방송사에서 뉴스를 받고 준비하는 곳) 보호를 위한 법으로, 언론인 및 언론 자료를 과도한 수색 및 압수 집행에서 보호하기 위해 제정
언론 자료의 범죄 연관성에 대한 개연성(probable cause)이 없는 한 개인의 작업산출물(work products) 및 문서 자료에 대한 수색이나 압수 금지
케이블통신정책법
(Cable Communications Policy Act, 1984)
케이블 TV 기술의 진보 및 양방향 케이블 시스템의 개발이 초래할 부당한 개인정보의 수집 위험에 대비하여 케이블 통신회사의 개인정보보호 의무 규정 마련
최소 연 1회 개인정보 수집 및 보유 현황 고지하도록 의무 부과(수집 목적, 수집 정보, 보유기간, 열람 절차 등)
동의 없는 목적 외 이용 및 제3자 제공 금지 등
전자통신프라이버시법
(Electronic Communication Privacy Act, 1986)
전자기록에 관한 정부의 접근 절차 및 방법을 통제하여 전자기록의 기밀성 보호
수색영장이나 수신자 동의 없는 서신 개봉 금지 및 동의 없는 전화, 데이터 전송, 라디오 통신의 차단 또는 도청장치 사용금지 등 통신프라이버시 보호 내용을 전자메일 및 컴퓨터를 통한 데이터 전송과 같은 통신 분야로 확장
음성메일, 전자메일 등 권한 없는 접근 및 이용 금지
컴퓨터 사기 및 남용 방지법
(Computer Fraud and Abuse Act, 1986)
포괄적 범죄통제법(Comprehensive Crime Control Act of 1984)에 포함되어 있던 기존의 컴퓨터 사기법(computer fraud law) 개정으로 제정된 사이버보안법으로 1994, 1996, 2001년 개정
정부기관의 컴퓨터에 대한 무단 접근, 정보 변경, 이용 방해 등 악의적 손상(malicious damage) 및 사이버 범죄 악용을 금지
주(州)간 통상(interstate commerce)에 영향을 주는 사기 가담 의도의 컴퓨터 패스워드 유통 금지
비디오 프라이버시 보호법
(Video Privacy Protection Act, 1988)
비디오테이프 판매사업자 또는 대여사업자가 비디오 대여 기록을 고객 동의 또는 법원 승인 없이 제3자에게 제공하는 것을 금지
근로자 거짓말 탐지기 보호법
(Employee Polygraph Protection Act, 1988)
민간 부문 근로자들 대상 거짓말 탐지 테스트 금지 및 테스트 거부 등 근로자의 기타 권리 행사에 대한 가이드라인 확립을 위해 제정
입사지원자를 대상으로 거짓말 탐지 테스트를 요구할 수 없으며, 특정 조건 만족 시에만 테스트 실시 또는 권유가 가능. 근로자가 거부 시 강제 불가
전화소비자보호법
(Telephone Consumer Protection Act, 1991)
수신자의 동의 없는 광고 전화, 광고 팩스 등 과도한 텔레마케팅 확산과 프라이버시 침해에 대응하기 위한 법률
FCC는 동 법에 근거하여 텔레마케팅 종사자에 대해 전화 수신을 거부한 소비자 명단인 DNC(do-not-call) 목록의 유지·관리 의무 부담
법 집행을 위한 통신지원법
(Communications Assistance for Law Enforcement Act, 1994)
디지털 네트워크상의 합법적인 통신 감청 기능 향상을 목적으로 법원 명령이나 법률에 의거한 정부 권한 보전을 위해 제정
디지털 통신 네트워크에 대한 감청이 필요한 범죄 조사 실시 시, 법 집행기관이 발신자 추적정보, 전화 도청 등 통신 사업자의 유선·전자통신에 대한 정부 접근을 보장하도록 통신 사업자 및 전기통신 장비 제조업체에 네트워크, 장비 설정을 요구 가능
전기통신법
(Telecommunications Act, 1996)
전화회사의 고객 개인기록 오용 가능성에 대응하기 위한 규정 포함
신규 서비스 판매를 위해 전화가입자 통화유형(calling pattern) 정보 이용 전 고객 사전 승인 의무 규정
연방의료보험통상책임법
(Health Insurance Portability and Accountability Act, 1996)
전자적 형태의 건강 정보보호를 위해 전자적 교류를 위한 표준의 개발 및 채택을 강제하는 것으로 연방 의회나 보건복지부(Secretary of Health and Human Services)가 전자적 교류 프라이버시 규칙을 개발하도록 규정
환자의 건강 개인정보를 생성, 수신, 유지, 전송하는 병원, 의료서비스 회사를 비롯해 변호사 사무실, IT 회사, 보험 회사 등이 적용 대상
동 법 제정 이후 2009년 Health Information Technology for Economic and Health Act(HITECH) 제정으로 건강 개인정보를 다루는 조직 등의 프라이버시 및 보안 규칙과 관련된 준수 요건이 한층 강화
아동온라인프라이버시보호법
(Child Online Privacy Protection Act, 1998)
13세 이하 아동의 개인정보 온라인 수집 금지하며 아동 정보를 수집하는 상업적 웹 사이트는 데이터 수집 정책을 고지하고 부모의 동의를 받도록 규정
금융서비스현대화법
(Gramm-Leach-Bliley Act, 1999)
금융기관이 보유하는 고객의 금융정보보호를 위해 제정
개인금융정보의 수집․이용 관련 고지 의무를 규정하는 프라이버시 원칙, 정보보호를 위한 세이프 가드 원칙, 고객 대상 기만적 정보 취득을 금지하는 프리텍스팅(pretexting)을 규정
대테러감시법
(Patriot Act, 2001)
911 테러사건 이후 미국의 국가 안보 강화를 목적으로 제정
국내전화·국제전화 도청, 전자감시 수색영장 등 법 집행기관의 감시 능력 확대, 테러 방지에 필요한 자원의 효율적인 활용 위한 정부기관 간 정보 공유, 테러 형별 규정 강화, 테러 혐의에 해당되는 활동 목록 확대 등을 규정
아동착취행위소추법
(The Protection Act of 2003, “Prosecutorial Remedies and Other Tools to end the Exploitation of Children today)
아동포르노의 광고, 판촉, 제시, 배포, 매매유도(solicitation) 등의 행위에 대한 형사 처벌 규정
제작자는 신분증명서 검사 및 촬영 대상자의 이름과 나이 확인 필요
부모 동의가 없는 한 온라인 회사가 12세 이하 어린이에게 개인 식별정보(Personally Identifiable Information)를 요청하는 것을 구체적으로 금지
이 외에 연방거래위원회법(Federal Trade Commission Act, 2006)은 기업의 독과점 방지 및 소비자보호를 목적으로 하며, 개인정보는 소비자보호에 포함된다. 동법은 연방거래위원회(Federal Trade Commission, FTC)의 설립(제1조), 직원 및 예산(제2조), 위치(제3조), 소관 업무, 절차(제5조), 추가 권한(제6조) 등을 규정하고 있으며, 전체 27조로 구성되어 있다. 동 법에 근거하여 FTC는 소비자보호 업무를 수행하고 있으며, 소관 법률은 70개 이상이다. FTC가 담당하는 위법 행위는 다음과 같다.
[표 3] 연방거래위원회법이 규정하는 위법 행위
연방거래위원회법(Federal Trade Commission Act, 2006)
연방거래위원회법(Federal Trade Commission Act, 2006)
제5조(a)(1)
한글
통상 또는 통상에 영향을 미치는 불공정 경쟁방법, 통상 또는 통상에 영향을 미치는 불공정행위나 관행 또는 기만행위나 관행은 위법이다.
영문
Unfair methods of competition in or affecting commerce, and unfair or deceptive acts or practices in or affecting commerce, are hereby declared unlawful.
1914년에 설립된 FTC는 준 사법기관적인 독립규제위원회로서 행정절차를 통한 시정명령을 직접 내린다. 신속하고 적극적인 법 집행, 기업 활동에 대한 명확한 가이드라인 제시, 전문성 있는 법 집행 등이 특징이다. 소송이 제기되어야 합법·위법 여부를 판단하는 법원과 달리, FTC는 규칙 제정을 통하여 사전에 기업 활동을 위한 기준을 제시하여 기업이 안정적인 경영 활동을 할 수 있도록 도와준다.
FTC는 국민·피해자의 신고, 자체 인지, 타 기관 요청에 의해 사건을 인지하고, 공익에 관련된 사건을 선택하여 조사를 개시한다. 즉 모든 사건을 조사하는 것은 아니다. 일반적인 사건 처리 절차는 ① 조사, ② 행정법 판사(Administrative Law Judge)에 의한 심의, ③ 행정법 판사의 일차 결정, ④ 이의 신청, ⑤ 위원회의 최종 결정, ⑥ 사법심사로 진행된다.
한국의 경우, 과징금, 형사 처벌과 같은 공적 집행(pubic enforcement)에 중점을 두지만, 미국은 피해자에 의한 손해배상소송이나 집단소송 등 사적 집행(private enforcement)이 활성화되어 있다. FTC는 특정 사건으로 다수의 소비자가 피해를 입은 경우, 직접 법원에 집단소송을 제기하여 소비자 피해를 보전해 준다. 이외에도 FTC는 법 집행, 연구 및 보고서 발간, 교육 및 워크숍 개최, 의회 증언, 법률에 대한 의견 제시 등의 업무를 수행하고, 상무부 및 국무부의 국제 협력(EU-US Privacy Shield, APEC CBPR) 업무를 지원한다.
한편, 최근 각계에서 연방법으로 일반 개인정보보호법을 도입하자는 요구가 높아지는 가운데, 연방 의회는 모든 유형에 적용될 수 있는 연방 개인정보보호법 입법에 착수하기도 하였다. 기업이 여러 산업 전반에 걸쳐 재화와 서비스를 제공하면서, 수많은 연방법과 각 주별 개인정보보호법을 준수하기에는 한계가 존재할 수밖에 없다. 또한 각 법마다 상충되는 법적 요건이 그대로 존재하는 한 시민의 개인정보를 지속적으로 보호하는 데에 있어 기업의 혼란과 각종 부담이 증가하게 된다. 그러나 기존의 개인정보보호 관련 법적 프레임워크는 미래 지향적이지 않고 신기술과 관련한 개인정보보호 이슈를 종합적으로 대응하고 있지 못한 상황으로, 포괄적인 개인정보보호법의 도입을 통해 모든 유형의 산업에 적용할 수 있는 법적 요건 등을 표준화할 필요성이 제기되고 있다. 이러한 배경에 따라 연방 의회는 미국 개인정보보호법(안)(American Data Privacy and Protection Act)을 발의함으로써 각계의 요구 사항에 부응하려고 노력하였으며, 해당 법안은 의회 계류 중 2022년 말 기준 회기 종료로 폐기된 바 있다.
이처럼 미국 연방 의회의 노력에도 불구하고, 실제로 일반 개인정보보호법이 제정되기까지는 상당한 시일이 걸릴 것으로 전망된다. 법률의 적용대상이 되는 기업 입장에서는 개인정보보호 관련 의무가 가중되고 개인정보보호 위반 시 처벌을 받게 되므로, 포괄적인 개인정보보호법 도입에 상대적으로 소극적인 자세를 취하고 있다. 연방 의회에서도 연방 개인정보보호법의 도입 필요성은 인정하고 있으나, 개인정보보호 수준이나 법률 위반 시 처벌의 형태 등에 대해서는 상호 간 공감대 형성이 미흡한 상황이다.
(2) 주법
미국의 각 주(州)에서도 연방법과 마찬가지로 EU GDPR이나 한국의 개인정보보호법 같은 포괄적인 일반법은 없으며, 각 분야별로 개별적 개인정보보호 법률을 규정하고 있다. 그러나 EU GDPR 제정 이후 각 주에서 일반 개인정보보호법 입법 요구 및 제정 움직임이 활발히 전개되었다.
특히 캘리포니아주는 미국 최초로 민간 분야의 포괄적인 개인정보보호법을 도입했다. 2018년 6월 28일 캘리포니아주는 소비자의 개인정보보호 권리와 사업체의 개인정보보호 관련 의무사항 등을 규정한 캘리포니아주 소비자 프라이버시법(California Consumer Privacy Act of 2018, CCPA)을 채택했다. CCPA는 2018년 6월 캘리포니아주 의회 통과 이후 경과기간을 거쳐 2020년 1월 발효되었지만 시행규칙 제정 등 하위법령의 제도 정비를 이유로 2020년 7월 1일부터 본격적으로 시행에 돌입했다.
CCPA는 캘리포니아 민법전(California Civil Code) 제1.81.5편에 총 19개 조문을 추가하여 편제되었다. 동법은 거주민들에게 소비자로서 개인정보에 대한 폭넓은 통제권을 부여하고, 사업체에게도 다양한 개인정보보호 의무를 부과하는 등 개인정보보호 일반법으로서 EU GDPR과 유사한 점이 많다. 그러나 EU GDPR과는 달리 해당 법률을 관장하는 감독기구가 따로 존재하지 않아, 소비자는 사업체의 CCPA 위반 행위에 대해 감독기구를 통한 피해 구제를 요청할 수 없는 문제점이 있다. 또한, 동법이 캘리포니아주 영토 밖 범위까지 적용되지 않으며, 캘리포니아주 이외의 지역에 거주하는 캘리포니아 주민에게 적용되지 않기 때문에 EU 역외 국가에도 적용되는 EU GDPR과는 차이가 있다.
캘리포니아주에서는 이후 2020년 11월 주민투표를 통해 기존 CCPA 대비 소비자의 권리를 확대하고 개인정보 감독기구 설립 근거를 마련한 캘리포니아 개인정보보호 권리법(California Privacy Rights Act of 2020, CPRA)이 통과되었으며, 동법이 CCPA를 대신하여 현재 시행 중에 있다.
CPRA는 적용대상, 개인정보 개념 정의, 소비자 권리, 기업 의무 등에서 CCPA와 여러 차이점을 보이며, 특히 미국 내 최초로 개인정보 감독기구(California Privacy Protection Agency, CPPA)를 도입한 것이 특징이다.
[표 4] 캘리포니아 개인정보보호 권리법(CPRA) 주요 내용
캘리포니아 개인정보보호 권리법(CPRA) 주요 내용
항목
주요 내용
적용대상 축소
소규모 사업체 중 연간 5만~10만 명의 개인정보를 관리·처리하는 사업체를 CPRA 적용대상에서 제외함으로써 영세 사업체의 법률 준수 부담 축소
민감정보 정의 규정
개인정보 개념에서 민감정보 개념을 분리하여 새로이 정의하고 민감정보 공개 및 활용을 엄격히 제한하는 등 기업에 민감정보 관련 추가 의무 부과
GDPR 원칙 일부 도입
GDPR상의 개인정보 처리 원칙 중 ▲개인정보 최소처리 원칙 ▲목적 제한 원칙 ▲보유기간 제한 원칙을 조문에 반영
소비자 권리 확대
소비자에게 ▲부정확한 정보에 대한 정정 요청권 ▲자동화된 의사결정 거부권 ▲자동화된 의사결정에 대한 알 권리 ▲민감정보 공유 및 사용 거부권 등을 추가적으로 부여
기업의 의무 강화
사업체에게 ▲개인정보보호 의무 등을 명시한 계약 작성 의무화 ▲기업의 보안 절차 등을 합리적으로 구현하여 개인정보를 보호하는 보안책임을 부담하는 등 기업 의무 강화
개인정보 감독기구 설립
미국 최초의 개인정보 감독기구인 캘리포니아 개인정보 감독기구(CPPA) 창설을 위한 근거조항이 신설되어, CPPA가 동 법을 위반한 사업체, 서비스 제공업체, 계약업체, 개인 등에 대해 각 위반당 행정벌금을 부과할 근거를 마련
캘리포니아주에 이어 2021년 버지니아주 및 콜로라도주도 각각 EU GDPR 및 CCPA/CPRA에 영향을 받아 포괄적인 개인정보보호법인 버지니아 소비자 개인정보보호법(Virginia Consumer Data Protection Act, VCDPA, 2021년 3월 제정)과 콜로라도 개인정보보호법(Colorado Privacy Act, CPA, 2021년 7월 제정)을 제정하였다. VCDPA와 CPA는 CPRA와 상호 간 유사한 점이 많으나, 적용 범위, 용어 사용, 정보주체의 권리, 컨트롤러의 의무, 개인정보 감독기구, 집행 등에서 일부 차이점이 존재한다.
[표 5] 캘리포니아 CPRA, 버지니아 VCDPA, 콜로라도 CPA의 차이점
캘리포니아 CPRA, 버지니아 VCDPA, 콜로라도 CPA의 차이점
항목
주요 내용
적용 범위
CPRA 및 VCDPA는 비영리법인에는 적용되지 않지만, CPA는 비영리법인에도 적용
VCDPA 및 CPA는 기업 간 상사 거래 및 고용 관계에서 활동하는 개인을 ‘소비자’의 개념에서 제외하고 있어, 상사 거래 및 고용 관계에 있는 개인은 동 법이 부여하는 소비자 권리에서 제외
용어 사용
CPRA는 ‘사업체(business)’라는 용어를 사용하나, VCDPA 및 CPA는 GDPR과 같이 ‘컨트롤러, ’프로세서‘ 등의 용어를 도입
정보주체 권리
CPRA, VCDPA, CPA 모두 소비자 및 정보주체에게 알권리, 접근권, 정정권, 삭제권, 개인정보 이동권, 개인정보 판매 거부권 등을 부여
단, VCDPA 및 CPA는 타깃 광고 거부권, 프로파일링 거부권을 추가적으로 보유
컨트롤러 의무
CPRA, VCDPA, CPA 모두 개인정보 처리 최소화, 보안 조치, 민감정보 처리 금지, 정보주체에 대한 차별 금지, 정보주체의 권리행사에 대한 이행 기한 준수(45일) 등을 공통적으로 규정
단, VCDPA 및 CPA는 타깃 광고 또는 프로파일링을 위한 개인정보 처리 등 특정 유형의 처리활동에 대해 개인정보 영향평가를 필수적으로 수행하도록 하고 있는 반면, CPRA는 개인정보 영향평가를 필수사항으로 규정하고 있으면서도 구체적인 내용은 하위 규정으로 위임
개인정보 감독기구
CPRA는 법률 집행권한을 가진 개인정보 감독기구를 신설한 반면, VCDPA와 CPA는 개인정보 감독기구 미설치
집행
CPRA는 개인정보 감독기구 및 주 검찰총장에게 집행권을 부여하고 제한적 범위 내에서 개인의 사적 소송을 통한 피해구제를 허용하는 반면, VCDPA는 주 검찰총장에만 집행권한을 부여하고 CPA도 주 검찰총장 및 지방 검사를 제외하고는 집행권한을 행사할 수 없도록 규정
CPRA는 개인정보 감독기구에 주 검찰총장이 가지던 ▲규칙 제·개정 ▲법률 위반 조사 ▲집행 등 다양한 권한을 이전
단, 금지명령(injunctions), 처벌(penalty)을 위한 민사소송을 제기하는 등 캘리포니아주 검찰총장의 집행권한이 완전히 사라지지는 않으며, 개인정보 감독기구는 동 법률을 시행하는 주 검찰총장의 권한을 제한할 수 없음(§1798.199.90(c))
2022년에는 유타주와 코네티컷주도 포괄적 개인정보보호법인 유타 소비자 개인정보보호법(Utah Consumer Privacy Act, UCPA, 2022년 3월)과 코네티컷 개인정보보호법(Connecticut Data Privacy Act, CTDPA, 2022년 5월)을 잇따라 제정하였으며, 두 법 간의 차이점은 다음과 같다.
[표 6] 유타 UCPA, 코네티컷 CTDPA 간 비교
캘리포니아 CPRA, 버지니아 VCDPA, 콜로라도 CPA의 차이점
항목
주요 내용
적용 범위
UCPA 및 CTDPA 모두 비영리법인에는 적용되지 않음
UCPA는 연간 2,500만 달러 이상의 매출을 낸 컨트롤러 또는 프로세서만을 대상으로 하는 등 CTDPA에 비해 적용 대상 범위를 좁힘
용어 사용
UCPA 및 CTDPA 모두 GDPR과 같이 ‘컨트롤러, ’프로세서‘ 등의 용어를 도입
정보주체 권리
UCPA 및 CTDPA 모두 소비자에게 알권리, 접근권, 삭제권, 개인정보 이동권, 개인정보 판매 거부권 등을 부여
단, 정정권은 CTDPA에서는 명시적으로 규정하고 있는 반면, UCPA에서는 명시적 규정이 없음
한편 CTDPA에서 소비자는 타깃 광고 거부권, 프로파일링 거부권을 추가적으로 보유
컨트롤러 의무
UCPA 및 CTDPA 모두 개인정보 처리 최소화, 보안 조치, 정보주체에 대한 차별 금지, 정보주체의 권리행사에 대한 이행 기한 준수(45일) 등을 공통적으로 규정
다만, 민감정보 처리와 관련하여 UCPA는 민감정보 처리 시 소비자 동의를 요구하지 않고 단순히 처리 전 소비자에게 명확한 통지 및 옵트아웃 기회를 제공하도록 규정하고 있는 정도에 그치고 있는 반면, CTDPA는 민감정보 처리 시 소비자의 동의를 받도록 규정
또한, UCPA는 개인정보 영향평가 의무를 명시적으로 규정하지 않지만, CTDPA는 소비자에게 해를 끼칠 위험이 높은 처리 활동에 대해 개인정보 영향평가를 필수적으로 수행하고 이를 문서화하도록 함
개인정보 감독기구 및 집행
UCPA 및 CTDPA 모두 개인정보 감독기구는 설립하지 않으며 주 검찰총장에게 집행권한을 일원화
다만, UCPA에서는 주(州) 소비자보호 부서에서 1차적으로 위반행위에 대한 조사 권한을 행사한 후, 위반에 대한 합리적인 이유가 있을 경우에 주 검찰총장에 사안을 회부하도록 규정
한편, 상기 5개주 이외에도 미국의 여러 주에서 개인정보보호법 입법을 위한 지속적인 시도가 있어 왔다. 2022년 12월까지 총 27개주의 주의회에서 법안을 도입한 적이 있으며, 구체적으로는 ▲네브래스카주 ▲노스캐롤라이나주 ▲뉴욕주 ▲뉴저지주 ▲로드아일랜드주 ▲루이지애나주 ▲메릴랜드주 ▲매사추세츠주 ▲메인주 ▲미네소타주 ▲미시간주 ▲미시시피주 ▲버몬트주 ▲아이오와주 ▲알래스카주 ▲애리조나주 ▲오클라호마주 ▲오하이오주 ▲워싱턴주 ▲웨스트버지니아주 ▲위스콘신주 ▲인디애나주 ▲조지아주 ▲켄터키주 ▲펜실베이니아주 ▲플로리다주 ▲하와이주 등이다. (이상 가나다 순)
나. 개인정보 및 민감정보 정의
미국은 규정에 따라 개인정보에 대한 정의가 다르다. 연방거래위원회(FTC)는 IP 주소와 장치 식별자 등 특정 개인과 관련되거나 관련지을 수 있는 정보를 개인정보로 간주한다.
캘리포니아주 CPRA는 개인정보를 특정 소비자 또는 가구(household)를 직간접적으로 식별하거나 연관 또는 연관 짓는 것이 가능한 정보로 정의한다. 여기에는 이름, 가명, 연락처, 정부 ID, 생체정보, 유전자정보, 위치정보, 계좌번호, 학력, 구매 이력, 온라인 및 장치 ID, 검색 및 검색 이력, 기타 온라인 활동이 포함된다, 동법에 따르면 소비자는 캘리포니아의 모든 거주자로 정의된다. EU GDPR처럼 개인정보를 광범위하게 규정하고 있으나, 가구가 포함되는 것이 특징이다.
이와 달리 개별법에서는 민감한 정보 범주를 중심으로 개인정보를 정의한다. 일반적으로 개인 건강정보, 금융정보, 신용도정보, 학생정보, 생체정보, 온라인에서 13세 미만 어린이로부터 수집한 개인정보, 신원 도용 또는 사기에 사용될 수 있는 정보를 민감한 정보로 간주한다.
캘리포니아주 CPRA는 개인정보 개념에서 민감정보 개념을 분리하여 새로이 정의하고 민감정보 공개 및 활용을 엄격히 제한하고 있다. 민감한 개인정보란 소비자의 특정 정보를 드러내는 개인정보를 의미한다. 민감한 개인정보에 해당하는 특정 범주는 사회보장, 운전면허증, 주 신분증 또는 여권번호, 로그인 계정, 금융 계좌, 직불카드 또는 신용카드 번호와 필요한 보안 또는 액세스 코드, 암호 또는 접속 가능한 자격 증명 등이 포함된다(§1798.140).
다. 적용 범위
캘리포니아주 CPRA는 개인정보보호 의무를 가지는 사업체에 대해 캘리포니아에서 사업을 수행하는 영리 법인으로, 소비자의 개인정보를 수집·처리하는 기업으로 정의하고 있다. 이와 더불어 ① 전년도 연간 매출 2,500만 달러 이상, ② 매년 10만 명 이상의 소비자 또는 가정의 개인정보를 구매·판매·공유, ③ 소비자의 개인정보를 판매하거나 공유하여 연간 수익의 50% 이상을 창출하는 사업체가 적용 대상에 해당된다. CPRA는 소규모 사업체 중 연간 5만~10만 명의 개인정보를 수집·처리하는 사업체를 적용 대상에서 제외함으로써 영세 사업자의 법률 준수 부담을 낮추었다.
CPRA는 면제 조항도 제시하고 있다. 비식별화 처리 또는 통계적 집계 처리된 소비자 정보를 수집, 사용, 보유, 판매, 공유 또는 공개하는 사업체에는 적용이 제외된다. 또한 개인정보를 수집, 판매 또는 공유하는 사업체라도 상행위의 모든 요소가 캘리포니아 이외 지역에서 이루어지는 경우 적용이 면제된다. 이외에 캘리포니아 의료정보 비밀유지법(California’s Confidentiality of Medical Information Act, CMIA)의 적용을 받는 의료정보 또는 의료정보 제공업체, 연방의료보험통상책임법(Health Insurance Portability and Accountability Act, HIPAA)의 적용을 받는 건강정보, 금융서비스현대화법(Gramm-Leach-Bliley Act)의 적용을 받는 대상 기업, 임상 실험 및 수집·처리·판매·공개된 정보에는 적용되지 않는다.
라. 정보주체의 권리
(1) 알 권리 및 접근권
CPRA §1798.110은 어떤 개인정보가 수집되고 있는지 소비자의 알 권리 및 개인정보에 대한 접근권을 명시하고 있다. 소비자는 소비자 관련 개인정보를 수집하는 사업체가 ① 수집한 개인정보의 범주, ② 개인정보가 수집되는 출처의 범주, ③ 개인정보의 수집, 판매, 공유를 위한 사업적·상업적 목적, ④ 사업체가 개인정보를 공개하는 제3자의 범주, ⑤ 해당 소비자에 대해 수집한 개인정보의 특정 부분을 소비자에게 공개하도록 요청할 권리를 가진다. 사업체는 §1798.130(a)(5)에 따라 소비자 요청을 받은 경우 상기 조항에 따라 명시된 정보를 소비자에게 공개해야 한다.
또한 소비자는 §1798.115에 따라 판매 또는 공유되는 개인정보가 누구에게 판매되는지 알 권리가 있다. 소비자는 소비자의 개인정보를 판매 또는 공유하는 사업체 또는 사업 목적상 이를 공개하는 사업체에게 ① 사업체가 수집한 개인정보의 범주, ② 사업체가 판매 또는 공유한 개인정보의 범주와 해당 개인정보를 판매 또는 공유한 제3자의 범주, ③ 사업체가 사업 목적으로 소비자에 대해 공개한 개인정보의 범주와 사업 목적으로 공개된 사람의 범주를 공개하도록 요청할 권리가 있다. 소비자의 개인정보를 판매 또는 공유하는 사업체 또는 사업 목적으로 소비자의 개인정보를 공개하는 사업체는 §1798.130(a)(4)에 따라 요청을 받은 소비자에게 정보를 공개해야 한다. 아울러 §1798.130(a)(5)에 따라 소비자의 개인정보를 판매 또는 공유하는 사업체 또는 사업 목적으로 소비자의 개인정보를 공개하는 사업체는 판매 또는 공유한 소비자 개인정보의 범주, 또는 사업체가 소비자의 개인정보를 판매 또는 공유하지 않은 경우에는 그 사실을 공개해야 한다.
(2) 정정권
CPRA §1798.106에는 소비자의 부정확한 개인정보에 대한 정정권이 명시되어 있다. 소비자는 소비자에 대한 부정확한 개인정보를 유지하는 사업체에 해당 개인정보의 성격과 처리 목적을 고려하여 부정확한 개인정보의 정정을 요청할 권리가 있다. 소비자의 개인정보를 수집하는 사업체는 §1798.130에 따라 부정확한 개인정보의 정정을 요청할 수 있는 소비자의 권리가 존재함을 공개해야 한다. 부정확한 개인정보의 정정 요청을 받은 기업은 §1798.130 및 §1798.185(a)(8) 규정대로 소비자의 지시에 따라 부정확한 개인정보를 정정하기 위해 합리적인 노력을 기울여야 한다.
(3) 삭제권
CPRA §1798.105에는 소비자의 개인정보 삭제권을 명시하고 있다. 소비자는 사업체가 소비자로부터 수집한 소비자 개인정보를 삭제하도록 요청할 권리가 있다. 소비자의 개인정보를 수집하는 기업은 §1798.130에 따라 소비자의 개인정보 삭제를 요청할 수 있는 소비자의 권리가 존재함을 공개해야 한다. 소비자로부터 개인정보를 삭제해달라는 요청을 받은 사업체는 기록에서 소비자의 개인정보를 삭제하고, 서비스 제공업체 또는 계약업체에 소비자의 개인정보를 삭제하도록 통지해야 한다. 또한 사업체는 삭제 요청을 제출한 소비자의 개인정보가 판매되는 것을 방지하고, 법률상 또는 기타 목적을 위해 허용되는 범위 내에서만 삭제 요청의 기밀 기록을 유지할 수 있다. 서비스 제공업체 또는 계약업체는 소비자 요청 대응에 협조해야 한다. 서비스 제공업체 또는 계약업체는 자사를 통해 개인정보에 접근했을 수도 있는 모든 서비스 제공업체, 계약업체 또는 제3자에게 소비자의 개인정보를 삭제하도록 통지해야 한다.
(4) 처리제한권
CPRA §1798.121에는 민감한 개인정보의 이용 및 공개를 제한할 수 있는 소비자의 권리가 명시되어 있다. 소비자는 민감정보를 수집하는 사업체에 대해 상품 및 서비스 제공에 필요한 용도 범위 내로 개인정보의 사용을 제한하도록 지시할 권리를 갖는다. 명시된 목적 범위를 벗어나 소비자의 민감정보를 사용하거나 공개하려는 사업체는 §1798.135(a)에 따라 이 정보가 서비스 제공업체 또는 계약업체에 특정 목적 및 기타 목적을 위해 공개될 수 있다는 통지를 소비자에게 제공해야 한다. 소비자는 자신의 민감정보의 사용 또는 공개를 제한할 권리가 있다. §1798.135(c)(4)에 따라 자신의 민감정보를 사용하거나 공개하지 말라는 지시를 소비자로부터 받은 사업체는 다른 목적을 위해 민감정보를 사용하거나 공개할 수 없다. 서비스 제공업체 또는 계약업체는 해당 사업체와의 서면 계약에 따라 수령한 소비자의 민감정보 사용을 제한해야 한다.
(5) 이동권
CPRA §1798.130(a)(3)(B)(iii)은 소비자의 개인정보 이동권을 명시하고 있다. 사업체는 일반 소비자가 쉽게 이해할 수 있는 형식으로, 또한 소비자의 요청에 따라 다른 사업체에게 전달될 수 있는 구조화되고 일반적으로 사용되는 기계판독이 가능한 형식으로 소비자로부터 취득한 특정 개인정보를 이전해야 한다. 다만, 특정 정보에 보안 및 무결성 보장을 위해 생성된 데이터 및 하위규칙에서 규정한 데이터는 포함되지 않는다.
(6) 반대권
CPRA §1798.120에는 개인정보의 판매 또는 공유 거부와 관련한 소비자의 권리가 명시되어 있다. 소비자는 개인정보를 판매하거나 공유하는 사업체가 소비자의 개인정보를 제3자에 판매하거나 공유하지 않도록 지시할 권리를 갖는다. 이 권리는 판매 또는 공유에 대한 옵트아웃 권리(Consumers’ Right to Opt Out of Sale or Sharing)라고 할 수 있다. 소비자의 개인정보를 판매하거나 제3자에게 공유하는 사업체는 §1798.135(a)에 따라 해당 정보가 판매 또는 공유될 수 있으며 소비자가 자신의 개인정보의 판매 또는 공유에 대해 '옵트아웃' 할 권리가 있음을 소비자에게 알려야 한다.
마. 컨트롤러 및 프로세서의 의무
(1) 컨트롤러의 의무
CPRA에서 컨트롤러는 사업체(Business)에 해당한다. §1798.135에 따라 개인정보를 판매 또는 공유하거나 §1798.121(a)에 의해 승인된 목적 이외의 용도로 민감한 개인정보를 사용하거나 공개하는 기업은 소비자의 거부권 및 처리제한권 행사 가능성을 표시해야 한다. 개인정보의 판매, 공유, 목적 범위를 벗어나는 민감정보의 활용·공개 시 인터넷 홈페이지에 소비자가 개인정보 판매나 공유 거부, 민감정보 활용·공개를 제한할 수 있도록 명확한 링크를 제공해야 한다.
또한 사업체는 §1798.100(a)(3)에 따라 개인정보 보관 최소화 의무를 갖는다. 이는 소비자의 개인정보 또는 민감정보를 공개된 목적에 필요한 시간 이상 보유하는 것은 금지하는 조항이다.
§1798.100(a)(1)에는 사업체의 목적 제한 조항이 명시되어 있다. 이는 소비자의 동의 없이 개인정보의 목적 외 사용을 금지하는 것과, 개인정보 수집·처리· 공개 목적에 적합하게 개인정보를 수집·이용·공유하는 것을 요구하고 있다.
§1798.100(e)는 합리적 보안절차 구현 및 유지 조항이다. 소비자의 개인정보를 수집하는 사업체는 §1798.81.5에 따라 합리적인 보안 절차를 구현해야 한다. 아울러 §1798.121(b)는 소비자로부터 민감정보를 이용하거나 공개하지 말라는 지시를 받은 사업체는 이를 무단 이용하거나 공개할 수 없다는 의무 조항을 명시하고 있다.
이외에 §1798.100의 개인정보 및 민감정보 수집·보유 여부 통지, §1798.120의 개인정보 판매 및 공유 거부권 통지, §1798.125의 소비자 개인정보 수집·판매·공유·보유 등에 따른 사업체의 재정적 인센티브 관련 통지 등 필수 통지와 관련한 조항들이 있다. §1798.125에는 사업체가 소비자의 권리 행사를 차별하는 것을 금지하는 조항도 포함되어 있다.
(2) 프로세서의 의무
CPRA에서 프로세서는 서비스 제공업체(Service Provider), 계약업체(Contractor)에 해당한다. §1798.100(d)에 따라 소비자의 개인정보를 수집하여 제3자에게 판매·공유하거나 사업적 목적으로 서비스 제공업체 및 계약업체에 개인정보를 제공하는 사업체는 제3자, 서비스 제공업체 또는 계약업체와 특정 조건을 포함하는 계약을 체결해야 한다.
§1798.140은 서비스 제공업체 및 계약업체와의 계약 체결 시 다음 사항을 금지해야 한다고 요구하고 있다. 여기에는 ① 개인정보 판매 또는 공유, ② 개인정보를 계약서에 명시된 업무 목적을 벗어난 용도로 사용, ③ 직접적 사업 관계 이외의 개인정보 사용, ④ 특정한 예외에 따라 개인정보를 다른 개인정보와 결합하는 행위가 포함된다.
(3) 정보접근 요청 대응
CPRA의 §1798.130은 사업체의 통지, 공개, 정정, 삭제 요청 관련 요건을 제시하고 있다. 사업체는 소비자가 정보 접근, 삭제 또는 정정을 요청할 수 있도록 최소한 수신자 부담 전화번호를 포함한 두 가지 이상의 지정된 방법을 제공해야 한다. 사업체는 요청된 개인정보의 특성에 비추어 소비자에게 인증을 요구할 수 있으나, 소비자 권리 행사를 위해 해당 사업체에 계정을 개설하도록 요구할 수 없다.
사업체는 소비자의 요청을 받은 날로부터 45일 이내에 정보 제공, 정정, 삭제 등을 이행해야 한다. 합리적으로 필요한 경우 45일 연장이 가능하다. 또한 사업체는 소비자의 정보 요청 시 무료로 정보를 제공해야 한다. 소비자의 요구가 근거가 없거나 과도할 경우에는 합리적인 범위 내에서 수수료를 부과하거나 또는 요청 자체를 거부할 수 있다. 그러나 이 경우 그 근거를 입증해야 하는 부담을 져야 한다.
§1798.145(h)(2)는 사업체가 소비자의 요청에 따라 행동하지 않을 경우 소비자에게 그 이유를 고지해야 하며, 소비자가 그 결정에 대해 이의를 제기할 수 있는 권리를 소비자에게 알려야 한다는 점을 명시하고 있다.
(4) 아동보호
CPRA 조항에서 사업체가 소비자의 연령이 16세 미만이라는 것을 인식하고 있었다면, ▲소비자가 13~16세인 경우는 소비자로부터 ▲소비자가 13세 미만일 경우 소비자의 부모나 보호자로부터 소비자 개인정보의 판매 또는 공유를 승인받지 않고서 사업체가 소비자의 개인정보를 판매하거나 공유할 수 없다. 소비자의 연령을 고의로 묵과하는 사업체의 경우 소비자의 연령에 대한 실질적인 인식이 있었던 것으로 간주한다. 소비자로부터 소비자의 개인정보를 판매 또는 공유하지 말라는 지시를 받은 사업체 또는 미성년 소비자에 대한 개인정보의 판매 또는 공유 동의를 받지 않은 사업체는 §1798.135(4)에 따라 개인정보 판매 및 공유가 금지된다.
(5) 개인정보 영향평가
CPRA §1798.185(a)(15)는 사업체가 수행하는 소비자의 개인정보 처리가 소비자의 개인정보 또는 보안에 심각한 위험을 초래할 수 있는 경우, 사업체는 ① 연례 사이버보안 감사(cybersecurity audit)를 진행하고, ② 개인정보 처리와 관련된 위험 평가를 캘리포니아 개인정보 감독기구에 제출해야 한다. 여기에는 민감정보 처리 여부, 개인정보 처리에 따른 소비자·기업·기타 이해관계자의 편익과 소비자의 프라이버시 침해 간 비교형량 등이 포함된다.
바. 개인정보 역외 이전
미국에서는 일부 정부 기록 및 정보를 저장하는 것을 제외하고는 역외 이전 제한이 적용되지 않는다. 미국이 전 세계적으로 개인정보를 저장하는 주요 거점이라는 점이 작용한 것으로 보인다. 이와 관련, 2020년 7월 16일, 유럽사법재판소(European Court of Justice)는 EU-US Privacy Shield 무효 판결(Schrems II 판결)을 통해, EU-미국 간 프라이버시 실드 프로그램이 EU에서 미국으로 전송되는 개인정보에 대해 적절한 보호를 제공하지 않는다고 판단하여 이를 무효화하는 결정을 내렸다. Schrems II 판결의 영향을 받아, 스위스 개인정보 감독기구(Swiss Federal Data Protection and Information Commissioner, FDPIC)도 미국-스위스 간 프라이버시 실드 프로그램이 스위스에서 미국으로 전송되는 개인정보에 대한 적절한 수준의 보호를 제공하지 못해 사실상 무효화되었다고 판단했다.
사. 집행
(1) 벌금 부과
CPRA §1798.199.90은 주 검찰총장의 집행 권한을 명시하고 있다. 사업체, 서비스 제공업체, 계약업체, 개인 등이 동 법 위반 시 각 위반 건당 최대 2,500 달러의 민사 벌금이 부과된다. 고의적 위반이나 미성년 소비자의 개인정보 관련 위반 시는 건당 최대 7,500 달러의 벌금이 부과된다.
§1798.199.10 등은 캘리포니아 개인정보 감독기구(California Privacy Protection Agency)의 행정적 집행 권한을 명시하고 있다. 사업체, 서비스 제공업체, 계약업체, 개인 등이 동 법 위반 시 각 위반 건당 최대 2,500 달러의 행정 벌금을 부과할 수 있다. 고의적 위반 또는 16세 미만 미성년자임을 안 경우 7,500 달러의 행정 벌금이 부과된다.
(2) 사적 구제
CPRA §1798.150은 개인의 소송권을 부여하고 있다. ▲캘리포니아 개인정보유출법(California’s data breach law)에 따라 암호화 및 편집되지 않은 개인정보 ▲비밀번호 및 보안 질문-답변으로 잠금 처리된 이메일 주소 등이 사업체의 합리적 보안 절차 구현 및 유지 의무 위반을 통해 무단 접근, 유출, 도난, 공개되었을 경우 개인은 민사 소송을 제기할 수 있다. 소비자는 건당 100~750 달러 또는 실제 손해액 중 큰 금액으로 손해배상 청구가 가능하다.
4기타 관련 법령
가. 버지니아주 VCDPA
(1) 적용범위
버지니아주 VCDPA는 2021년 3월 2일 제정되어 2023년 1월 1일부터 시행에 돌입했다. VCDPA는 버지니아에서 사업을 수행하거나 버지니아 거주자를 대상으로 하는 제품 또는 서비스를 생산하고, ① 연간 최소 100,000명 이상의 소비자 개인정보를 관리·처리하거나 ② 최소 25,000명의 소비자 개인정보를 관리·처리하고 총 매출 중 개인정보 판매를 통한 매출 비중이 50% 이상인 ‘법인·개인(persons)’에게 적용된다.
단, 주 정부기관, 비영리단체, 고등 교육기관, 금융서비스현대화법(Gramm-Leach-Bliley Act) 제5장의 적용을 받는 금융기관 및 개인정보, 연방의료보험통상책임법(HIPAA) 및 건강정보기술법(HITECH Act)의 적용을 받는 대상 기업 또는 관계사는 적용이 제외된다.
한편, VCDPA는 컨트롤러 또는 프로세서가 법률 또는 조사에 따르거나, 법 집행에 협조하거나, 소송 제기 혹은 제기된 소송에 대응하는 경우, 컨트롤러 또는 프로세서가 소비자의 특정 요구에 따라 제품·서비스를 제공하는 경우, 소비자나 다른 자연인의 생명이나 물리적 안전에 필수적인 이익을 보호하기 위한 조치를 취하는 경우, 보안 사고로부터 보호하는 경우, 동종 업계 과학 연구에 참여하는 경우 등에는 컨트롤러 및 프로세서의 행위를 제한하지 않는다.
(2) 정보주체의 권리
정보주체는 컨트롤러가 수집 중인 소비자 개인정보에 대한 알 권리, 접근권, 정정권, 삭제권, 개인정보 이동권, 타깃 광고·개인정보 판매·프로파일링 거부권을 갖는다.
(3) 컨트롤러의 의무
VCDPA에서 컨트롤러는 다음과 같은 의무를 갖는다. 우선, 개인정보 수집은 적절하고 유관하며 합리적으로 필요한 수준으로 제한한다. 목적 또한 소비자의 동의 없이 불필요하거나 목적 외의 용도로 개인정보를 사용하는 것을 금지한다. 보안과 관련해서는 개인정보 기밀성·무결성·접근성 보호를 위해 합리적인 관리적·기술적·물리적 개인정보 보안 절차를 수립하고 이를 구현·유지해야 한다. 민감정보의 경우, 소비자의 동의 없이 민감정보를 처리할 수 없으며, 아동의 민감정보는 연방 아동온라인개인정보보호법(COPPA)을 위반하여 개인정보를 처리할 수 없다. 또한 처리되는 개인정보 범주 및 목적, 소비자의 권리 행사방법, 제3자와 공유되는 개인정보 범주 및 해당 제3자의 범주를 고지해야 하며, 개인정보의 제3자 판매 또는 타깃 광고에 이용하는 경우에도 고지 의무가 있다.
이외에 컨트롤러는 소비자가 자신의 권리를 행사하기 위한 요청을 제출할 수 있는 하나 이상의 안전하고 신뢰할 수 있는 수단을 마련해야 한다. 컨트롤러는 소비자의 정보 요청에 45일 이내에 대응해야 한다(특정 요건 충족 시 45일 연장 가능). 컨트롤러는 소비자의 요청에 대해 무료로 정보를 제공해야 하며(연간 최대 2회), 소비자 요청 거부 시 45일 이내에 그 이유를 소비자에게 알리고, 그 결정에 대한 이의 제기 방법을 안내해야 한다. 또한 컨트롤러는 자신의 실행 거부 결정에 대해 소비자가 이의를 제기할 수 있는 절차를 마련해야 한다.
아동 보호와 관련해서도 연방 아동온라인개인정보보호법(COPPA)상의 부모 동의 요건을 준수하는 컨트롤러 및 프로세서는 VCDPA상의 부모 동의를 얻을 의무를 준수한 것으로 간주한다. 부모 또는 법적 보호자는 아동의 개인정보 처리와 관련하여 아동을 대신하여 소비자 권리를 행사할 수 있다.
개인정보 영향평가와 관련해서는 컨트롤러에 개인정보와 관련한 다음의 각 처리 활동에 대해 개인정보 영향평가 수행 및 문서화가 요청된다. 타깃 광고, 개인정보 판매, 특정 상황에서의 프로파일링, 민감정보 처리, 소비자에게 높은 위험이 발생하는 처리 활동 등이 여기에 포함된다. 주 검찰총장은 컨트롤러에 개인정보 영향평가를 요청하고 이를 평가할 수 있다.
(4) 프로세서의 의무
VCDPA에 명시된 프로세서의 의무는 다음과 같다. 프로세서는 컨트롤러의 지시를 따르고 컨트롤러가 의무를 준수하도록 지원해야 한다. 프로세서가 개인정보 처리 절차를 관리하려면 컨트롤러와 프로세서 간 계약체결이 필수이다. 계약서에는 다음 사항이 포함되어야 하는데, ① 개인정보를 처리하는 각 개인에게 기밀유지 의무가 있는지 확인, ② 서비스 제공 후 모든 개인정보를 삭제하거나 컨트롤러에 반환, ③ 프로세서가 법률상의 의무를 준수하고 있음을 입증하는 데에 필요한 모든 정보를 컨트롤러에 제공, ④ 컨트롤러의 합리적인 평가에 협조하고, 또는 자격을 갖춘 독립 감사자가 프로세서의 정책과 기술적, 관리적 조치에 대한 평가를 수행할 수 있도록 하여 요청 시 컨트롤러에 해당 평가 보고서를 제공할 수 있도록 준비, ⑤ 개인정보 처리자의 의무를 이행하도록 요구하는 서면 계약을 협력업체와 체결하여 협력업체를 업무에 참여시킨다는 내용이다.
(5) 집행
VCDPA는 주 검찰총장의 수사 및 집행 권한을 명시하고 있다. 주 검찰총장은 수사 권한과 VCDPA 위반을 집행할 수 있는 독점적 권한을 보유한다. 컨트롤러 또는 프로세서의 규정 위반사항에 대해 30일 간의 시정 기간을 제공하고, 기간 내 위반사항을 시정하지 못하는 경우 주 검찰총장이 소송을 개시하고 위반 건당 최대 7,500 달러의 가처분 또는 민사 벌금 청구가 가능하다.
나. 콜로라도주 CPA
(1) 적용범위
콜로라도주 CPA는 2021년 7월 8일 제정되어 2023년 7월 1일부터 본격적으로 시행된다. CPA의 적용 대상은 콜로라도에서 사업을 수행하거나 콜로라도 거주자를 대상으로 한 상업용 제품이나 서비스를 생산 또는 제공하고, ① 연간 100,000명 이상의 소비자 개인정보를 관리·처리하거나, ② 25,000명 이상의 소비자 개인정보를 처리·관리하면서, 개인정보의 판매로 재화나 용역의 가격을 할인받거나 수익을 창출하는 ‘컨트롤러(controller)’이다.
그러나 금융서비스현대화법(Gramm-Leach-Bliley Act)의 적용을 받는 금융기관 또는 계열사, 특정 의료정보, 소비자 신고기관에 의해 수행된 특정 활동, 금융서비스현대화법에 따라 처리된 개인정보, 연방 아동온라인개인정보보호법(COPPA)에 의해 규율되는 개인정보, 고용 목적으로 유지되는 개인정보, 고등교육기관 등에 의해 유지되는 개인정보 등은 적용에서 제외된다.
(2) 정보주체의 권리
정보주체는 컨트롤러의 수집 개인정보 및 처리·공유 활동에 대한 알 권리, 접근권, 정정권, 삭제권, 개인정보 이동권, 타깃 광고·개인정보 판매·프로파일링 거부권을 갖는다.
(3) 컨트롤러의 의무
CPA에 명시된 컨트롤러의 의무는 다음과 같다. 컨트롤러의 개인정보 수집은 특정 처리 목적과 관련하여 합리적으로 필요한 수준으로 한정되고 적절해야 한다. 또한 개인정보 수집 및 처리 목적을 명시해야 하며, 개인정보 특정 처리 목적을 벗어난 처리를 금지한다. 소비자의 동의를 얻기 전에는 소비자의 민감정보 처리가 금지된다.
아울러 컨트롤러의 투명성 의무도 제시되고 있는데, 컨트롤러는 소비자에게 합리적으로 접근 가능하고 명확하며 의미 있는 개인정보보호 통지를 제공해야 한다. 여기에는 컨트롤러나 프로세서가 수집하거나 처리하는 개인정보 범주, 처리 목적, 소비자가 권리를 행사할 수 있는 방법 및 장소, 제3자와 공유하는 개인정보의 범주 및 제3자의 범주 등이 포함된다.
소비자에게는 거부권 행사 가능성을 표시해야 한다. 타깃 광고를 위해 제3자에게 개인정보를 판매하거나 개인정보를 처리하는 경우, 소비자가 거부할 수 있는 방법 및 컨트롤러의 판매 또는 처리 방법을 명확하고 눈에 잘 띄게 공개해야 한다.
한편, 소비자는 컨트롤러가 지정한 방법을 사용하여 요청을 제출함으로써 자신의 권리를 행사할 수 있다. 컨트롤러는 45일 이내에 소비자의 정보 요청에 대해 취한 모든 조치사항을 소비자에게 알려야 하며, 경우에 따라 45일 연장이 가능하다. 컨트롤러는 소비자의 요청에 대해 1년에 한번 무료로 정보를 제공해야 하며, 12개월 내에 추가 요청이 있을 경우 컨트롤러는 추가 금액을 청구할 수 있다.
컨트롤러가 소비자 요청을 거부할 경우에는 45일 이내에 그 이유를 소비자에게 알려야 하며, 그 결정에 대한 이의 제기 방법을 안내해야 한다. 컨트롤러가 합리적인 노력을 기울이더라도 소비자의 요청을 인증할 수 없고 요청의 인증을 위해 소비자에게 추가 정보 제공을 요청해야 하는 경우, 컨트롤러는 소비자의 권리 행사에 응할 필요가 없다. 그러나 컨트롤러는 자신의 조치 거부에 대해 소비자가 이의를 제기할 수 있는 내부 절차를 마련해야 하며, 소비자는 자신의 요청이 거부된 경우 컨트롤러의 통보 후 적절한 시간 내에 이의를 제기해야 한다. 컨트롤러는 이의 제기를 받은 날로부터 45일 이내에 그 결과를 소비자에게 알리고 결과를 뒷받침하는 사유를 서면으로 설명해야 한다(특정 상황에서 60일 연장 가능).
컨트롤러는 아동의 부모 또는 법적 보호자의 동의를 얻지 않고 아동의 개인정보를 처리하는 것이 금지되며, 높은 위험이 발생하는 처리 활동을 수행할 때에는 개인정보 영향평가를 수행해야 한다. 이때 소비자에게 높은 위험이 발생하는 처리 활동이라 함은 프로파일링에 대한 위험이 있는 타깃 광고, 개인정보 판매, 민감정보 처리 등을 의미한다. 컨트롤러는 주 검찰총장이 요청할 경우 개인정보 영향평가를 실시해야 하며, 주 검찰총장은 이를 평가할 수 있다.
(4) 프로세서의 의무
CPA에 따라 프로세서는 컨트롤러의 지시사항을 준수하고 컨트롤러가 의무를 이행할 수 있도록 지원해야 한다. 소비자가 권리를 행사할 경우 소비자 요청에 대응할 수 있도록 적절한 조치를 지원해야 하며, 개인정보 유출 통보 및 시스템 보안과 관련하여 컨트롤러가 보안 의무를 준수할 수 있도록 지원해야 한다. 또한 컨트롤러가 개인정보 영향평가를 수행하고 문서화하는 데에 필요한 정보를 컨트롤러에 제공해야 한다.
로세서의 처리는 컨트롤러와의 구속력 있는 계약에 의해 관리되어야 하며, 계약에는 다음사항이 포함되어야 한다. ① 처리의 특성, 목적을 포함한 지시사항, ② 처리 기간 및 처리 대상 개인정보의 유형, ③ 개인정보를 처리하는 각 개인에게 개인정보에 대한 기밀유지 의무 부과, ④ 프로세서의 의무 이행을 위해 협력업체를 사용할 경우 요건 사항 규정, ⑤ 적절한 보안을 보장하기 위한 기술적, 관리적 조치 유지 관련 컨트롤러와 프로세서 간의 책임 분배, ⑥ 서비스 제공 종료 시 컨트롤러에 모든 개인정보를 반환할지 또는 삭제할지 여부, ⑦ 프로세서가 동법을 준수하고 있음을 입증하는 데 필요한 모든 정보를 컨트롤러가 이용할 수 있도록 조치, ⑧ 컨트롤러 또는 감사자의 합리적인 감사 및 검사를 허용하고 이에 기여한다는 내용이다.
(5) 집행
CPA는 주 검찰총장 및 지방 검사의 집행 권한을 명시하고 있다. 주 검찰총장 및 지방 검사는 주의 이름으로 또는 주 거주민을 대신하여 소송을 제기할 수 있는 독점적 권한을 보유하며, 각 위반 건당 20,000 달러의 벌금을 부과할 수 있다.
가. 개요
미국은 연방 차원의 일반 개인정보보호법의 부재로 인해 영역별로 개인정보보호를 규율하는 개별법이 공공 부문과 민간 부문별로 나뉘어 각 영역 내 분야별 개인정보보호를 담당한다. 연방법 중에서는 1974년 제정된 프라이버시법(Privacy Act of 1974)이 공공 부문의 개인정보보호 일반법으로서 연방정부기관 등 공공 부문이 보유한 개인정보를 보호 및 규율하는 역할을 한다.
(1) 연방법
[표 1] 공공 부문의 개인정보보호 관련 연방법률
| 법률명 | 주요 내용 |
|---|---|
| 정보공개법 (Freedom of Information Act, 1966) |
정부 공공 문서에 기록된 정보들을 공개하도록 강제하면서 프라이버시 보호를 위한 면제 조항을 규정 거의 모든 정보 요구자에 대해 정부 수집 정보의 공개를 허용하되 공개 의무에서 면제되는 비공개 사항(exemption)에는 개인 프라이버시가 명백히 침해되는 인사 및 의료 파일, 법집행 목적의 수립 기록, 정보의 부당한 프라이버시 침해가 예상되는 경우 등이 포함 |
| 프라이버시법 (Privacy Act, 1974) |
미국 정부기관 보유 기록 보호 일반 국민이 자신들의 기록에 무슨 정보가 포함되며 어떻게 사용되는지를 알 수 있어야 하고 일정 목적으로 수집된 정보의 다른 용도 사용 금지 |
| 컴퓨터보안법 (Computer Security Act, 1987) |
국가표준국(National Bureau of standards) 대상 연방컴퓨터 시스템 보안을 위한 표준과 가이드라인 개발 책임 부여 컴퓨터시스템자문회의(Computer Systems Advisor Board)가 연방컴퓨터 보안과 프라이버시 관련 이슈들을 적시하고 동 이슈에 대해 국가표준국에 자문을 하고 관리예산실, 국가안보원 및 연방 의회에 결과를 보고하도록 규정 |
| 컴퓨터정보 결합 및 프라이버시보호법 (Computer Matching and Privacy Protection Act, 1988) |
연방기관을 포함한 컴퓨터 정보의 조합은 연방 혜택을 지원하는 개인이나 혜택을 받은 개인들에게 일정한 보호를 주는 경우에만 수행할 수 있도록 규정 |
| 운전자 프라이버시 보호법 (Driver's Privacy Protection Act, 1994) |
차량관리국(DMV, Department of Motor Vehicle)의 기록에 포함된 개인정보의 대중 공개 제한 |
| 전자정부법 (E-government Act, 2002) |
국민중심의 전자정부를 통합적으로 추진하고 행정기관의 협력 및 민간 부문과 정부 사이 협력을 증진하여 국민 권익 보장 OMB내 전자정부국을 두어 연방정부가 리더십을 효과적으로 발휘하여 전자정부 서비스 및 업무를 개발·촉진할 수 있도록 하며, 정보기술 도입 전 프라이버시 영향 평가 실시 의무 규정 |
한편, 민간 부문에서는 금융, 정보통신 등 각 분야에서 필요성이 제기될 때마다 해당 사안에 맞는 개별법이 제정되고 있다.
[표 2] 민간 부문의 개인정보보호 관련 연방법률
| 법률명 | 주요 내용 |
|---|---|
| 공정신용조사법 (Fair Credit Reporting Act, 1970) |
신용평가기관(Credit Reporting Agencies)에 의한 개인정보의 오남용 등 방지를 위한 신용정보보호 법률 신용평가기관은 은행, 신용카드사, 기업, 임대업자 등의 사업자가 개인의 신용 평가 목적으로만 정보를 사용한다는 합리적 믿음이 있는 경우 혹은 서면 동의가 있는 경우에만 정보 제공 가능 |
| 가족의 교육권 및 프라이버시법 (Family Education Rights and Privacy Act, 1974) |
학생의 교육정보 및 개인정보에 대해 학부모와 학생의 자기결정권을 강화하여 학부모 및 학생의 동의 없는 정보공개를 규제 동 법은 교육부의 기금을 받는 교육기관에 적용됨에 따라, 교육기관에 대한 연방기금 수여조건으로 교육정보 및 학생 개인정보 수집·이용·보유·공개와 관련해 정보보호 의무를 부여 |
| 금융프라이버시권리법 (Right to Financial Privacy Act, 1978) |
수정헌법 제4조에 따른 금융기관 고객의 프라이버시 보호에 근거하여 개인금융기록의 비밀 보장 어떠한 정부 당국도 형사법상 수사 및 기소에 필요한 경우 등을 제외하고는 고객 금융기록에 접근 불가 |
| 프라이버시보호법 (Privacy Protection Act, 1980) |
언론인과 뉴스룸(신문사·방송사에서 뉴스를 받고 준비하는 곳) 보호를 위한 법으로, 언론인 및 언론 자료를 과도한 수색 및 압수 집행에서 보호하기 위해 제정 언론 자료의 범죄 연관성에 대한 개연성(probable cause)이 없는 한 개인의 작업산출물(work products) 및 문서 자료에 대한 수색이나 압수 금지 |
| 케이블통신정책법 (Cable Communications Policy Act, 1984) |
케이블 TV 기술의 진보 및 양방향 케이블 시스템의 개발이 초래할 부당한 개인정보의 수집 위험에 대비하여 케이블 통신회사의 개인정보보호 의무 규정 마련 최소 연 1회 개인정보 수집 및 보유 현황 고지하도록 의무 부과(수집 목적, 수집 정보, 보유기간, 열람 절차 등) 동의 없는 목적 외 이용 및 제3자 제공 금지 등 |
| 전자통신프라이버시법 (Electronic Communication Privacy Act, 1986) |
전자기록에 관한 정부의 접근 절차 및 방법을 통제하여 전자기록의 기밀성 보호 수색영장이나 수신자 동의 없는 서신 개봉 금지 및 동의 없는 전화, 데이터 전송, 라디오 통신의 차단 또는 도청장치 사용금지 등 통신프라이버시 보호 내용을 전자메일 및 컴퓨터를 통한 데이터 전송과 같은 통신 분야로 확장 음성메일, 전자메일 등 권한 없는 접근 및 이용 금지 |
| 컴퓨터 사기 및 남용 방지법 (Computer Fraud and Abuse Act, 1986) |
포괄적 범죄통제법(Comprehensive Crime Control Act of 1984)에 포함되어 있던 기존의 컴퓨터 사기법(computer fraud law) 개정으로 제정된 사이버보안법으로 1994, 1996, 2001년 개정 정부기관의 컴퓨터에 대한 무단 접근, 정보 변경, 이용 방해 등 악의적 손상(malicious damage) 및 사이버 범죄 악용을 금지 주(州)간 통상(interstate commerce)에 영향을 주는 사기 가담 의도의 컴퓨터 패스워드 유통 금지 |
| 비디오 프라이버시 보호법 (Video Privacy Protection Act, 1988) |
비디오테이프 판매사업자 또는 대여사업자가 비디오 대여 기록을 고객 동의 또는 법원 승인 없이 제3자에게 제공하는 것을 금지 |
| 근로자 거짓말 탐지기 보호법 (Employee Polygraph Protection Act, 1988) |
민간 부문 근로자들 대상 거짓말 탐지 테스트 금지 및 테스트 거부 등 근로자의 기타 권리 행사에 대한 가이드라인 확립을 위해 제정 입사지원자를 대상으로 거짓말 탐지 테스트를 요구할 수 없으며, 특정 조건 만족 시에만 테스트 실시 또는 권유가 가능. 근로자가 거부 시 강제 불가 |
| 전화소비자보호법 (Telephone Consumer Protection Act, 1991) |
수신자의 동의 없는 광고 전화, 광고 팩스 등 과도한 텔레마케팅 확산과 프라이버시 침해에 대응하기 위한 법률 FCC는 동 법에 근거하여 텔레마케팅 종사자에 대해 전화 수신을 거부한 소비자 명단인 DNC(do-not-call) 목록의 유지·관리 의무 부담 |
| 법 집행을 위한 통신지원법 (Communications Assistance for Law Enforcement Act, 1994) |
디지털 네트워크상의 합법적인 통신 감청 기능 향상을 목적으로 법원 명령이나 법률에 의거한 정부 권한 보전을 위해 제정 디지털 통신 네트워크에 대한 감청이 필요한 범죄 조사 실시 시, 법 집행기관이 발신자 추적정보, 전화 도청 등 통신 사업자의 유선·전자통신에 대한 정부 접근을 보장하도록 통신 사업자 및 전기통신 장비 제조업체에 네트워크, 장비 설정을 요구 가능 |
| 전기통신법 (Telecommunications Act, 1996) |
전화회사의 고객 개인기록 오용 가능성에 대응하기 위한 규정 포함 신규 서비스 판매를 위해 전화가입자 통화유형(calling pattern) 정보 이용 전 고객 사전 승인 의무 규정 |
| 연방의료보험통상책임법 (Health Insurance Portability and Accountability Act, 1996) |
전자적 형태의 건강 정보보호를 위해 전자적 교류를 위한 표준의 개발 및 채택을 강제하는 것으로 연방 의회나 보건복지부(Secretary of Health and Human Services)가 전자적 교류 프라이버시 규칙을 개발하도록 규정 환자의 건강 개인정보를 생성, 수신, 유지, 전송하는 병원, 의료서비스 회사를 비롯해 변호사 사무실, IT 회사, 보험 회사 등이 적용 대상 동 법 제정 이후 2009년 Health Information Technology for Economic and Health Act(HITECH) 제정으로 건강 개인정보를 다루는 조직 등의 프라이버시 및 보안 규칙과 관련된 준수 요건이 한층 강화 |
| 아동온라인프라이버시보호법 (Child Online Privacy Protection Act, 1998) |
13세 이하 아동의 개인정보 온라인 수집 금지하며 아동 정보를 수집하는 상업적 웹 사이트는 데이터 수집 정책을 고지하고 부모의 동의를 받도록 규정 |
| 금융서비스현대화법 (Gramm-Leach-Bliley Act, 1999) |
금융기관이 보유하는 고객의 금융정보보호를 위해 제정 개인금융정보의 수집․이용 관련 고지 의무를 규정하는 프라이버시 원칙, 정보보호를 위한 세이프 가드 원칙, 고객 대상 기만적 정보 취득을 금지하는 프리텍스팅(pretexting)을 규정 |
| 대테러감시법 (Patriot Act, 2001) |
911 테러사건 이후 미국의 국가 안보 강화를 목적으로 제정 국내전화·국제전화 도청, 전자감시 수색영장 등 법 집행기관의 감시 능력 확대, 테러 방지에 필요한 자원의 효율적인 활용 위한 정부기관 간 정보 공유, 테러 형별 규정 강화, 테러 혐의에 해당되는 활동 목록 확대 등을 규정 |
| 아동착취행위소추법 (The Protection Act of 2003, “Prosecutorial Remedies and Other Tools to end the Exploitation of Children today) |
아동포르노의 광고, 판촉, 제시, 배포, 매매유도(solicitation) 등의 행위에 대한 형사 처벌 규정 제작자는 신분증명서 검사 및 촬영 대상자의 이름과 나이 확인 필요 부모 동의가 없는 한 온라인 회사가 12세 이하 어린이에게 개인 식별정보(Personally Identifiable Information)를 요청하는 것을 구체적으로 금지 |
이 외에 연방거래위원회법(Federal Trade Commission Act, 2006)은 기업의 독과점 방지 및 소비자보호를 목적으로 하며, 개인정보는 소비자보호에 포함된다. 동법은 연방거래위원회(Federal Trade Commission, FTC)의 설립(제1조), 직원 및 예산(제2조), 위치(제3조), 소관 업무, 절차(제5조), 추가 권한(제6조) 등을 규정하고 있으며, 전체 27조로 구성되어 있다. 동 법에 근거하여 FTC는 소비자보호 업무를 수행하고 있으며, 소관 법률은 70개 이상이다. FTC가 담당하는 위법 행위는 다음과 같다.
[표 3] 연방거래위원회법이 규정하는 위법 행위
| 연방거래위원회법(Federal Trade Commission Act, 2006) | ||
|---|---|---|
| 제5조(a)(1) |
한글 |
통상 또는 통상에 영향을 미치는 불공정 경쟁방법, 통상 또는 통상에 영향을 미치는 불공정행위나 관행 또는 기만행위나 관행은 위법이다. |
|
영문 |
Unfair methods of competition in or affecting commerce, and unfair or deceptive acts or practices in or affecting commerce, are hereby declared unlawful. |
|
1914년에 설립된 FTC는 준 사법기관적인 독립규제위원회로서 행정절차를 통한 시정명령을 직접 내린다. 신속하고 적극적인 법 집행, 기업 활동에 대한 명확한 가이드라인 제시, 전문성 있는 법 집행 등이 특징이다. 소송이 제기되어야 합법·위법 여부를 판단하는 법원과 달리, FTC는 규칙 제정을 통하여 사전에 기업 활동을 위한 기준을 제시하여 기업이 안정적인 경영 활동을 할 수 있도록 도와준다.
FTC는 국민·피해자의 신고, 자체 인지, 타 기관 요청에 의해 사건을 인지하고, 공익에 관련된 사건을 선택하여 조사를 개시한다. 즉 모든 사건을 조사하는 것은 아니다. 일반적인 사건 처리 절차는 ① 조사, ② 행정법 판사(Administrative Law Judge)에 의한 심의, ③ 행정법 판사의 일차 결정, ④ 이의 신청, ⑤ 위원회의 최종 결정, ⑥ 사법심사로 진행된다.
한국의 경우, 과징금, 형사 처벌과 같은 공적 집행(pubic enforcement)에 중점을 두지만, 미국은 피해자에 의한 손해배상소송이나 집단소송 등 사적 집행(private enforcement)이 활성화되어 있다. FTC는 특정 사건으로 다수의 소비자가 피해를 입은 경우, 직접 법원에 집단소송을 제기하여 소비자 피해를 보전해 준다. 이외에도 FTC는 법 집행, 연구 및 보고서 발간, 교육 및 워크숍 개최, 의회 증언, 법률에 대한 의견 제시 등의 업무를 수행하고, 상무부 및 국무부의 국제 협력(EU-US Privacy Shield, APEC CBPR) 업무를 지원한다.
한편, 최근 각계에서 연방법으로 일반 개인정보보호법을 도입하자는 요구가 높아지는 가운데, 연방 의회는 모든 유형에 적용될 수 있는 연방 개인정보보호법 입법에 착수하기도 하였다. 기업이 여러 산업 전반에 걸쳐 재화와 서비스를 제공하면서, 수많은 연방법과 각 주별 개인정보보호법을 준수하기에는 한계가 존재할 수밖에 없다. 또한 각 법마다 상충되는 법적 요건이 그대로 존재하는 한 시민의 개인정보를 지속적으로 보호하는 데에 있어 기업의 혼란과 각종 부담이 증가하게 된다. 그러나 기존의 개인정보보호 관련 법적 프레임워크는 미래 지향적이지 않고 신기술과 관련한 개인정보보호 이슈를 종합적으로 대응하고 있지 못한 상황으로, 포괄적인 개인정보보호법의 도입을 통해 모든 유형의 산업에 적용할 수 있는 법적 요건 등을 표준화할 필요성이 제기되고 있다. 이러한 배경에 따라 연방 의회는 미국 개인정보보호법(안)(American Data Privacy and Protection Act)을 발의함으로써 각계의 요구 사항에 부응하려고 노력하였으며, 해당 법안은 의회 계류 중 2022년 말 기준 회기 종료로 폐기된 바 있다.
이처럼 미국 연방 의회의 노력에도 불구하고, 실제로 일반 개인정보보호법이 제정되기까지는 상당한 시일이 걸릴 것으로 전망된다. 법률의 적용대상이 되는 기업 입장에서는 개인정보보호 관련 의무가 가중되고 개인정보보호 위반 시 처벌을 받게 되므로, 포괄적인 개인정보보호법 도입에 상대적으로 소극적인 자세를 취하고 있다. 연방 의회에서도 연방 개인정보보호법의 도입 필요성은 인정하고 있으나, 개인정보보호 수준이나 법률 위반 시 처벌의 형태 등에 대해서는 상호 간 공감대 형성이 미흡한 상황이다.
(2) 주법
미국의 각 주(州)에서도 연방법과 마찬가지로 EU GDPR이나 한국의 개인정보보호법 같은 포괄적인 일반법은 없으며, 각 분야별로 개별적 개인정보보호 법률을 규정하고 있다. 그러나 EU GDPR 제정 이후 각 주에서 일반 개인정보보호법 입법 요구 및 제정 움직임이 활발히 전개되었다.
특히 캘리포니아주는 미국 최초로 민간 분야의 포괄적인 개인정보보호법을 도입했다. 2018년 6월 28일 캘리포니아주는 소비자의 개인정보보호 권리와 사업체의 개인정보보호 관련 의무사항 등을 규정한 캘리포니아주 소비자 프라이버시법(California Consumer Privacy Act of 2018, CCPA)을 채택했다. CCPA는 2018년 6월 캘리포니아주 의회 통과 이후 경과기간을 거쳐 2020년 1월 발효되었지만 시행규칙 제정 등 하위법령의 제도 정비를 이유로 2020년 7월 1일부터 본격적으로 시행에 돌입했다.
CCPA는 캘리포니아 민법전(California Civil Code) 제1.81.5편에 총 19개 조문을 추가하여 편제되었다. 동법은 거주민들에게 소비자로서 개인정보에 대한 폭넓은 통제권을 부여하고, 사업체에게도 다양한 개인정보보호 의무를 부과하는 등 개인정보보호 일반법으로서 EU GDPR과 유사한 점이 많다. 그러나 EU GDPR과는 달리 해당 법률을 관장하는 감독기구가 따로 존재하지 않아, 소비자는 사업체의 CCPA 위반 행위에 대해 감독기구를 통한 피해 구제를 요청할 수 없는 문제점이 있다. 또한, 동법이 캘리포니아주 영토 밖 범위까지 적용되지 않으며, 캘리포니아주 이외의 지역에 거주하는 캘리포니아 주민에게 적용되지 않기 때문에 EU 역외 국가에도 적용되는 EU GDPR과는 차이가 있다.
캘리포니아주에서는 이후 2020년 11월 주민투표를 통해 기존 CCPA 대비 소비자의 권리를 확대하고 개인정보 감독기구 설립 근거를 마련한 캘리포니아 개인정보보호 권리법(California Privacy Rights Act of 2020, CPRA)이 통과되었으며, 동법이 CCPA를 대신하여 현재 시행 중에 있다.
CPRA는 적용대상, 개인정보 개념 정의, 소비자 권리, 기업 의무 등에서 CCPA와 여러 차이점을 보이며, 특히 미국 내 최초로 개인정보 감독기구(California Privacy Protection Agency, CPPA)를 도입한 것이 특징이다.
[표 4] 캘리포니아 개인정보보호 권리법(CPRA) 주요 내용
| 항목 | 주요 내용 |
|---|---|
| 적용대상 축소 |
소규모 사업체 중 연간 5만~10만 명의 개인정보를 관리·처리하는 사업체를 CPRA 적용대상에서 제외함으로써 영세 사업체의 법률 준수 부담 축소 |
| 민감정보 정의 규정 |
개인정보 개념에서 민감정보 개념을 분리하여 새로이 정의하고 민감정보 공개 및 활용을 엄격히 제한하는 등 기업에 민감정보 관련 추가 의무 부과 |
| GDPR 원칙 일부 도입 |
GDPR상의 개인정보 처리 원칙 중 ▲개인정보 최소처리 원칙 ▲목적 제한 원칙 ▲보유기간 제한 원칙을 조문에 반영 |
| 소비자 권리 확대 |
소비자에게 ▲부정확한 정보에 대한 정정 요청권 ▲자동화된 의사결정 거부권 ▲자동화된 의사결정에 대한 알 권리 ▲민감정보 공유 및 사용 거부권 등을 추가적으로 부여 |
| 기업의 의무 강화 |
사업체에게 ▲개인정보보호 의무 등을 명시한 계약 작성 의무화 ▲기업의 보안 절차 등을 합리적으로 구현하여 개인정보를 보호하는 보안책임을 부담하는 등 기업 의무 강화 |
| 개인정보 감독기구 설립 |
미국 최초의 개인정보 감독기구인 캘리포니아 개인정보 감독기구(CPPA) 창설을 위한 근거조항이 신설되어, CPPA가 동 법을 위반한 사업체, 서비스 제공업체, 계약업체, 개인 등에 대해 각 위반당 행정벌금을 부과할 근거를 마련 |
캘리포니아주에 이어 2021년 버지니아주 및 콜로라도주도 각각 EU GDPR 및 CCPA/CPRA에 영향을 받아 포괄적인 개인정보보호법인 버지니아 소비자 개인정보보호법(Virginia Consumer Data Protection Act, VCDPA, 2021년 3월 제정)과 콜로라도 개인정보보호법(Colorado Privacy Act, CPA, 2021년 7월 제정)을 제정하였다. VCDPA와 CPA는 CPRA와 상호 간 유사한 점이 많으나, 적용 범위, 용어 사용, 정보주체의 권리, 컨트롤러의 의무, 개인정보 감독기구, 집행 등에서 일부 차이점이 존재한다.
[표 5] 캘리포니아 CPRA, 버지니아 VCDPA, 콜로라도 CPA의 차이점
| 항목 | 주요 내용 |
|---|---|
| 적용 범위 |
CPRA 및 VCDPA는 비영리법인에는 적용되지 않지만, CPA는 비영리법인에도 적용 VCDPA 및 CPA는 기업 간 상사 거래 및 고용 관계에서 활동하는 개인을 ‘소비자’의 개념에서 제외하고 있어, 상사 거래 및 고용 관계에 있는 개인은 동 법이 부여하는 소비자 권리에서 제외 |
| 용어 사용 |
CPRA는 ‘사업체(business)’라는 용어를 사용하나, VCDPA 및 CPA는 GDPR과 같이 ‘컨트롤러, ’프로세서‘ 등의 용어를 도입 |
| 정보주체 권리 |
CPRA, VCDPA, CPA 모두 소비자 및 정보주체에게 알권리, 접근권, 정정권, 삭제권, 개인정보 이동권, 개인정보 판매 거부권 등을 부여 단, VCDPA 및 CPA는 타깃 광고 거부권, 프로파일링 거부권을 추가적으로 보유 |
| 컨트롤러 의무 |
CPRA, VCDPA, CPA 모두 개인정보 처리 최소화, 보안 조치, 민감정보 처리 금지, 정보주체에 대한 차별 금지, 정보주체의 권리행사에 대한 이행 기한 준수(45일) 등을 공통적으로 규정 단, VCDPA 및 CPA는 타깃 광고 또는 프로파일링을 위한 개인정보 처리 등 특정 유형의 처리활동에 대해 개인정보 영향평가를 필수적으로 수행하도록 하고 있는 반면, CPRA는 개인정보 영향평가를 필수사항으로 규정하고 있으면서도 구체적인 내용은 하위 규정으로 위임 |
| 개인정보 감독기구 |
CPRA는 법률 집행권한을 가진 개인정보 감독기구를 신설한 반면, VCDPA와 CPA는 개인정보 감독기구 미설치 |
| 집행 |
CPRA는 개인정보 감독기구 및 주 검찰총장에게 집행권을 부여하고 제한적 범위 내에서 개인의 사적 소송을 통한 피해구제를 허용하는 반면, VCDPA는 주 검찰총장에만 집행권한을 부여하고 CPA도 주 검찰총장 및 지방 검사를 제외하고는 집행권한을 행사할 수 없도록 규정 CPRA는 개인정보 감독기구에 주 검찰총장이 가지던 ▲규칙 제·개정 ▲법률 위반 조사 ▲집행 등 다양한 권한을 이전 단, 금지명령(injunctions), 처벌(penalty)을 위한 민사소송을 제기하는 등 캘리포니아주 검찰총장의 집행권한이 완전히 사라지지는 않으며, 개인정보 감독기구는 동 법률을 시행하는 주 검찰총장의 권한을 제한할 수 없음(§1798.199.90(c)) |
2022년에는 유타주와 코네티컷주도 포괄적 개인정보보호법인 유타 소비자 개인정보보호법(Utah Consumer Privacy Act, UCPA, 2022년 3월)과 코네티컷 개인정보보호법(Connecticut Data Privacy Act, CTDPA, 2022년 5월)을 잇따라 제정하였으며, 두 법 간의 차이점은 다음과 같다.
[표 6] 유타 UCPA, 코네티컷 CTDPA 간 비교
| 항목 | 주요 내용 |
|---|---|
| 적용 범위 |
UCPA 및 CTDPA 모두 비영리법인에는 적용되지 않음 UCPA는 연간 2,500만 달러 이상의 매출을 낸 컨트롤러 또는 프로세서만을 대상으로 하는 등 CTDPA에 비해 적용 대상 범위를 좁힘 |
| 용어 사용 |
UCPA 및 CTDPA 모두 GDPR과 같이 ‘컨트롤러, ’프로세서‘ 등의 용어를 도입 |
| 정보주체 권리 |
UCPA 및 CTDPA 모두 소비자에게 알권리, 접근권, 삭제권, 개인정보 이동권, 개인정보 판매 거부권 등을 부여 단, 정정권은 CTDPA에서는 명시적으로 규정하고 있는 반면, UCPA에서는 명시적 규정이 없음 한편 CTDPA에서 소비자는 타깃 광고 거부권, 프로파일링 거부권을 추가적으로 보유 |
| 컨트롤러 의무 |
UCPA 및 CTDPA 모두 개인정보 처리 최소화, 보안 조치, 정보주체에 대한 차별 금지, 정보주체의 권리행사에 대한 이행 기한 준수(45일) 등을 공통적으로 규정 다만, 민감정보 처리와 관련하여 UCPA는 민감정보 처리 시 소비자 동의를 요구하지 않고 단순히 처리 전 소비자에게 명확한 통지 및 옵트아웃 기회를 제공하도록 규정하고 있는 정도에 그치고 있는 반면, CTDPA는 민감정보 처리 시 소비자의 동의를 받도록 규정 또한, UCPA는 개인정보 영향평가 의무를 명시적으로 규정하지 않지만, CTDPA는 소비자에게 해를 끼칠 위험이 높은 처리 활동에 대해 개인정보 영향평가를 필수적으로 수행하고 이를 문서화하도록 함 |
| 개인정보 감독기구 및 집행 |
UCPA 및 CTDPA 모두 개인정보 감독기구는 설립하지 않으며 주 검찰총장에게 집행권한을 일원화 다만, UCPA에서는 주(州) 소비자보호 부서에서 1차적으로 위반행위에 대한 조사 권한을 행사한 후, 위반에 대한 합리적인 이유가 있을 경우에 주 검찰총장에 사안을 회부하도록 규정 |
한편, 상기 5개주 이외에도 미국의 여러 주에서 개인정보보호법 입법을 위한 지속적인 시도가 있어 왔다. 2022년 12월까지 총 27개주의 주의회에서 법안을 도입한 적이 있으며, 구체적으로는 ▲네브래스카주 ▲노스캐롤라이나주 ▲뉴욕주 ▲뉴저지주 ▲로드아일랜드주 ▲루이지애나주 ▲메릴랜드주 ▲매사추세츠주 ▲메인주 ▲미네소타주 ▲미시간주 ▲미시시피주 ▲버몬트주 ▲아이오와주 ▲알래스카주 ▲애리조나주 ▲오클라호마주 ▲오하이오주 ▲워싱턴주 ▲웨스트버지니아주 ▲위스콘신주 ▲인디애나주 ▲조지아주 ▲켄터키주 ▲펜실베이니아주 ▲플로리다주 ▲하와이주 등이다. (이상 가나다 순)
나. 개인정보 및 민감정보 정의
미국은 규정에 따라 개인정보에 대한 정의가 다르다. 연방거래위원회(FTC)는 IP 주소와 장치 식별자 등 특정 개인과 관련되거나 관련지을 수 있는 정보를 개인정보로 간주한다.
캘리포니아주 CPRA는 개인정보를 특정 소비자 또는 가구(household)를 직간접적으로 식별하거나 연관 또는 연관 짓는 것이 가능한 정보로 정의한다. 여기에는 이름, 가명, 연락처, 정부 ID, 생체정보, 유전자정보, 위치정보, 계좌번호, 학력, 구매 이력, 온라인 및 장치 ID, 검색 및 검색 이력, 기타 온라인 활동이 포함된다, 동법에 따르면 소비자는 캘리포니아의 모든 거주자로 정의된다. EU GDPR처럼 개인정보를 광범위하게 규정하고 있으나, 가구가 포함되는 것이 특징이다.
이와 달리 개별법에서는 민감한 정보 범주를 중심으로 개인정보를 정의한다. 일반적으로 개인 건강정보, 금융정보, 신용도정보, 학생정보, 생체정보, 온라인에서 13세 미만 어린이로부터 수집한 개인정보, 신원 도용 또는 사기에 사용될 수 있는 정보를 민감한 정보로 간주한다.
캘리포니아주 CPRA는 개인정보 개념에서 민감정보 개념을 분리하여 새로이 정의하고 민감정보 공개 및 활용을 엄격히 제한하고 있다. 민감한 개인정보란 소비자의 특정 정보를 드러내는 개인정보를 의미한다. 민감한 개인정보에 해당하는 특정 범주는 사회보장, 운전면허증, 주 신분증 또는 여권번호, 로그인 계정, 금융 계좌, 직불카드 또는 신용카드 번호와 필요한 보안 또는 액세스 코드, 암호 또는 접속 가능한 자격 증명 등이 포함된다(§1798.140).
다. 적용 범위
캘리포니아주 CPRA는 개인정보보호 의무를 가지는 사업체에 대해 캘리포니아에서 사업을 수행하는 영리 법인으로, 소비자의 개인정보를 수집·처리하는 기업으로 정의하고 있다. 이와 더불어 ① 전년도 연간 매출 2,500만 달러 이상, ② 매년 10만 명 이상의 소비자 또는 가정의 개인정보를 구매·판매·공유, ③ 소비자의 개인정보를 판매하거나 공유하여 연간 수익의 50% 이상을 창출하는 사업체가 적용 대상에 해당된다. CPRA는 소규모 사업체 중 연간 5만~10만 명의 개인정보를 수집·처리하는 사업체를 적용 대상에서 제외함으로써 영세 사업자의 법률 준수 부담을 낮추었다.
CPRA는 면제 조항도 제시하고 있다. 비식별화 처리 또는 통계적 집계 처리된 소비자 정보를 수집, 사용, 보유, 판매, 공유 또는 공개하는 사업체에는 적용이 제외된다. 또한 개인정보를 수집, 판매 또는 공유하는 사업체라도 상행위의 모든 요소가 캘리포니아 이외 지역에서 이루어지는 경우 적용이 면제된다. 이외에 캘리포니아 의료정보 비밀유지법(California’s Confidentiality of Medical Information Act, CMIA)의 적용을 받는 의료정보 또는 의료정보 제공업체, 연방의료보험통상책임법(Health Insurance Portability and Accountability Act, HIPAA)의 적용을 받는 건강정보, 금융서비스현대화법(Gramm-Leach-Bliley Act)의 적용을 받는 대상 기업, 임상 실험 및 수집·처리·판매·공개된 정보에는 적용되지 않는다.
라. 정보주체의 권리
(1) 알 권리 및 접근권
CPRA §1798.110은 어떤 개인정보가 수집되고 있는지 소비자의 알 권리 및 개인정보에 대한 접근권을 명시하고 있다. 소비자는 소비자 관련 개인정보를 수집하는 사업체가 ① 수집한 개인정보의 범주, ② 개인정보가 수집되는 출처의 범주, ③ 개인정보의 수집, 판매, 공유를 위한 사업적·상업적 목적, ④ 사업체가 개인정보를 공개하는 제3자의 범주, ⑤ 해당 소비자에 대해 수집한 개인정보의 특정 부분을 소비자에게 공개하도록 요청할 권리를 가진다. 사업체는 §1798.130(a)(5)에 따라 소비자 요청을 받은 경우 상기 조항에 따라 명시된 정보를 소비자에게 공개해야 한다.
또한 소비자는 §1798.115에 따라 판매 또는 공유되는 개인정보가 누구에게 판매되는지 알 권리가 있다. 소비자는 소비자의 개인정보를 판매 또는 공유하는 사업체 또는 사업 목적상 이를 공개하는 사업체에게 ① 사업체가 수집한 개인정보의 범주, ② 사업체가 판매 또는 공유한 개인정보의 범주와 해당 개인정보를 판매 또는 공유한 제3자의 범주, ③ 사업체가 사업 목적으로 소비자에 대해 공개한 개인정보의 범주와 사업 목적으로 공개된 사람의 범주를 공개하도록 요청할 권리가 있다. 소비자의 개인정보를 판매 또는 공유하는 사업체 또는 사업 목적으로 소비자의 개인정보를 공개하는 사업체는 §1798.130(a)(4)에 따라 요청을 받은 소비자에게 정보를 공개해야 한다. 아울러 §1798.130(a)(5)에 따라 소비자의 개인정보를 판매 또는 공유하는 사업체 또는 사업 목적으로 소비자의 개인정보를 공개하는 사업체는 판매 또는 공유한 소비자 개인정보의 범주, 또는 사업체가 소비자의 개인정보를 판매 또는 공유하지 않은 경우에는 그 사실을 공개해야 한다.
(2) 정정권
CPRA §1798.106에는 소비자의 부정확한 개인정보에 대한 정정권이 명시되어 있다. 소비자는 소비자에 대한 부정확한 개인정보를 유지하는 사업체에 해당 개인정보의 성격과 처리 목적을 고려하여 부정확한 개인정보의 정정을 요청할 권리가 있다. 소비자의 개인정보를 수집하는 사업체는 §1798.130에 따라 부정확한 개인정보의 정정을 요청할 수 있는 소비자의 권리가 존재함을 공개해야 한다. 부정확한 개인정보의 정정 요청을 받은 기업은 §1798.130 및 §1798.185(a)(8) 규정대로 소비자의 지시에 따라 부정확한 개인정보를 정정하기 위해 합리적인 노력을 기울여야 한다.
(3) 삭제권
CPRA §1798.105에는 소비자의 개인정보 삭제권을 명시하고 있다. 소비자는 사업체가 소비자로부터 수집한 소비자 개인정보를 삭제하도록 요청할 권리가 있다. 소비자의 개인정보를 수집하는 기업은 §1798.130에 따라 소비자의 개인정보 삭제를 요청할 수 있는 소비자의 권리가 존재함을 공개해야 한다. 소비자로부터 개인정보를 삭제해달라는 요청을 받은 사업체는 기록에서 소비자의 개인정보를 삭제하고, 서비스 제공업체 또는 계약업체에 소비자의 개인정보를 삭제하도록 통지해야 한다. 또한 사업체는 삭제 요청을 제출한 소비자의 개인정보가 판매되는 것을 방지하고, 법률상 또는 기타 목적을 위해 허용되는 범위 내에서만 삭제 요청의 기밀 기록을 유지할 수 있다. 서비스 제공업체 또는 계약업체는 소비자 요청 대응에 협조해야 한다. 서비스 제공업체 또는 계약업체는 자사를 통해 개인정보에 접근했을 수도 있는 모든 서비스 제공업체, 계약업체 또는 제3자에게 소비자의 개인정보를 삭제하도록 통지해야 한다.
(4) 처리제한권
CPRA §1798.121에는 민감한 개인정보의 이용 및 공개를 제한할 수 있는 소비자의 권리가 명시되어 있다. 소비자는 민감정보를 수집하는 사업체에 대해 상품 및 서비스 제공에 필요한 용도 범위 내로 개인정보의 사용을 제한하도록 지시할 권리를 갖는다. 명시된 목적 범위를 벗어나 소비자의 민감정보를 사용하거나 공개하려는 사업체는 §1798.135(a)에 따라 이 정보가 서비스 제공업체 또는 계약업체에 특정 목적 및 기타 목적을 위해 공개될 수 있다는 통지를 소비자에게 제공해야 한다. 소비자는 자신의 민감정보의 사용 또는 공개를 제한할 권리가 있다. §1798.135(c)(4)에 따라 자신의 민감정보를 사용하거나 공개하지 말라는 지시를 소비자로부터 받은 사업체는 다른 목적을 위해 민감정보를 사용하거나 공개할 수 없다. 서비스 제공업체 또는 계약업체는 해당 사업체와의 서면 계약에 따라 수령한 소비자의 민감정보 사용을 제한해야 한다.
(5) 이동권
CPRA §1798.130(a)(3)(B)(iii)은 소비자의 개인정보 이동권을 명시하고 있다. 사업체는 일반 소비자가 쉽게 이해할 수 있는 형식으로, 또한 소비자의 요청에 따라 다른 사업체에게 전달될 수 있는 구조화되고 일반적으로 사용되는 기계판독이 가능한 형식으로 소비자로부터 취득한 특정 개인정보를 이전해야 한다. 다만, 특정 정보에 보안 및 무결성 보장을 위해 생성된 데이터 및 하위규칙에서 규정한 데이터는 포함되지 않는다.
(6) 반대권
CPRA §1798.120에는 개인정보의 판매 또는 공유 거부와 관련한 소비자의 권리가 명시되어 있다. 소비자는 개인정보를 판매하거나 공유하는 사업체가 소비자의 개인정보를 제3자에 판매하거나 공유하지 않도록 지시할 권리를 갖는다. 이 권리는 판매 또는 공유에 대한 옵트아웃 권리(Consumers’ Right to Opt Out of Sale or Sharing)라고 할 수 있다. 소비자의 개인정보를 판매하거나 제3자에게 공유하는 사업체는 §1798.135(a)에 따라 해당 정보가 판매 또는 공유될 수 있으며 소비자가 자신의 개인정보의 판매 또는 공유에 대해 '옵트아웃' 할 권리가 있음을 소비자에게 알려야 한다.
마. 컨트롤러 및 프로세서의 의무
(1) 컨트롤러의 의무
CPRA에서 컨트롤러는 사업체(Business)에 해당한다. §1798.135에 따라 개인정보를 판매 또는 공유하거나 §1798.121(a)에 의해 승인된 목적 이외의 용도로 민감한 개인정보를 사용하거나 공개하는 기업은 소비자의 거부권 및 처리제한권 행사 가능성을 표시해야 한다. 개인정보의 판매, 공유, 목적 범위를 벗어나는 민감정보의 활용·공개 시 인터넷 홈페이지에 소비자가 개인정보 판매나 공유 거부, 민감정보 활용·공개를 제한할 수 있도록 명확한 링크를 제공해야 한다.
또한 사업체는 §1798.100(a)(3)에 따라 개인정보 보관 최소화 의무를 갖는다. 이는 소비자의 개인정보 또는 민감정보를 공개된 목적에 필요한 시간 이상 보유하는 것은 금지하는 조항이다.
§1798.100(a)(1)에는 사업체의 목적 제한 조항이 명시되어 있다. 이는 소비자의 동의 없이 개인정보의 목적 외 사용을 금지하는 것과, 개인정보 수집·처리· 공개 목적에 적합하게 개인정보를 수집·이용·공유하는 것을 요구하고 있다.
§1798.100(e)는 합리적 보안절차 구현 및 유지 조항이다. 소비자의 개인정보를 수집하는 사업체는 §1798.81.5에 따라 합리적인 보안 절차를 구현해야 한다. 아울러 §1798.121(b)는 소비자로부터 민감정보를 이용하거나 공개하지 말라는 지시를 받은 사업체는 이를 무단 이용하거나 공개할 수 없다는 의무 조항을 명시하고 있다.
이외에 §1798.100의 개인정보 및 민감정보 수집·보유 여부 통지, §1798.120의 개인정보 판매 및 공유 거부권 통지, §1798.125의 소비자 개인정보 수집·판매·공유·보유 등에 따른 사업체의 재정적 인센티브 관련 통지 등 필수 통지와 관련한 조항들이 있다. §1798.125에는 사업체가 소비자의 권리 행사를 차별하는 것을 금지하는 조항도 포함되어 있다.
(2) 프로세서의 의무
CPRA에서 프로세서는 서비스 제공업체(Service Provider), 계약업체(Contractor)에 해당한다. §1798.100(d)에 따라 소비자의 개인정보를 수집하여 제3자에게 판매·공유하거나 사업적 목적으로 서비스 제공업체 및 계약업체에 개인정보를 제공하는 사업체는 제3자, 서비스 제공업체 또는 계약업체와 특정 조건을 포함하는 계약을 체결해야 한다.
§1798.140은 서비스 제공업체 및 계약업체와의 계약 체결 시 다음 사항을 금지해야 한다고 요구하고 있다. 여기에는 ① 개인정보 판매 또는 공유, ② 개인정보를 계약서에 명시된 업무 목적을 벗어난 용도로 사용, ③ 직접적 사업 관계 이외의 개인정보 사용, ④ 특정한 예외에 따라 개인정보를 다른 개인정보와 결합하는 행위가 포함된다.
(3) 정보접근 요청 대응
CPRA의 §1798.130은 사업체의 통지, 공개, 정정, 삭제 요청 관련 요건을 제시하고 있다. 사업체는 소비자가 정보 접근, 삭제 또는 정정을 요청할 수 있도록 최소한 수신자 부담 전화번호를 포함한 두 가지 이상의 지정된 방법을 제공해야 한다. 사업체는 요청된 개인정보의 특성에 비추어 소비자에게 인증을 요구할 수 있으나, 소비자 권리 행사를 위해 해당 사업체에 계정을 개설하도록 요구할 수 없다.
사업체는 소비자의 요청을 받은 날로부터 45일 이내에 정보 제공, 정정, 삭제 등을 이행해야 한다. 합리적으로 필요한 경우 45일 연장이 가능하다. 또한 사업체는 소비자의 정보 요청 시 무료로 정보를 제공해야 한다. 소비자의 요구가 근거가 없거나 과도할 경우에는 합리적인 범위 내에서 수수료를 부과하거나 또는 요청 자체를 거부할 수 있다. 그러나 이 경우 그 근거를 입증해야 하는 부담을 져야 한다.
§1798.145(h)(2)는 사업체가 소비자의 요청에 따라 행동하지 않을 경우 소비자에게 그 이유를 고지해야 하며, 소비자가 그 결정에 대해 이의를 제기할 수 있는 권리를 소비자에게 알려야 한다는 점을 명시하고 있다.
(4) 아동보호
CPRA 조항에서 사업체가 소비자의 연령이 16세 미만이라는 것을 인식하고 있었다면, ▲소비자가 13~16세인 경우는 소비자로부터 ▲소비자가 13세 미만일 경우 소비자의 부모나 보호자로부터 소비자 개인정보의 판매 또는 공유를 승인받지 않고서 사업체가 소비자의 개인정보를 판매하거나 공유할 수 없다. 소비자의 연령을 고의로 묵과하는 사업체의 경우 소비자의 연령에 대한 실질적인 인식이 있었던 것으로 간주한다. 소비자로부터 소비자의 개인정보를 판매 또는 공유하지 말라는 지시를 받은 사업체 또는 미성년 소비자에 대한 개인정보의 판매 또는 공유 동의를 받지 않은 사업체는 §1798.135(4)에 따라 개인정보 판매 및 공유가 금지된다.
(5) 개인정보 영향평가
CPRA §1798.185(a)(15)는 사업체가 수행하는 소비자의 개인정보 처리가 소비자의 개인정보 또는 보안에 심각한 위험을 초래할 수 있는 경우, 사업체는 ① 연례 사이버보안 감사(cybersecurity audit)를 진행하고, ② 개인정보 처리와 관련된 위험 평가를 캘리포니아 개인정보 감독기구에 제출해야 한다. 여기에는 민감정보 처리 여부, 개인정보 처리에 따른 소비자·기업·기타 이해관계자의 편익과 소비자의 프라이버시 침해 간 비교형량 등이 포함된다.
바. 개인정보 역외 이전
미국에서는 일부 정부 기록 및 정보를 저장하는 것을 제외하고는 역외 이전 제한이 적용되지 않는다. 미국이 전 세계적으로 개인정보를 저장하는 주요 거점이라는 점이 작용한 것으로 보인다. 이와 관련, 2020년 7월 16일, 유럽사법재판소(European Court of Justice)는 EU-US Privacy Shield 무효 판결(Schrems II 판결)을 통해, EU-미국 간 프라이버시 실드 프로그램이 EU에서 미국으로 전송되는 개인정보에 대해 적절한 보호를 제공하지 않는다고 판단하여 이를 무효화하는 결정을 내렸다. Schrems II 판결의 영향을 받아, 스위스 개인정보 감독기구(Swiss Federal Data Protection and Information Commissioner, FDPIC)도 미국-스위스 간 프라이버시 실드 프로그램이 스위스에서 미국으로 전송되는 개인정보에 대한 적절한 수준의 보호를 제공하지 못해 사실상 무효화되었다고 판단했다.
사. 집행
(1) 벌금 부과
CPRA §1798.199.90은 주 검찰총장의 집행 권한을 명시하고 있다. 사업체, 서비스 제공업체, 계약업체, 개인 등이 동 법 위반 시 각 위반 건당 최대 2,500 달러의 민사 벌금이 부과된다. 고의적 위반이나 미성년 소비자의 개인정보 관련 위반 시는 건당 최대 7,500 달러의 벌금이 부과된다.
§1798.199.10 등은 캘리포니아 개인정보 감독기구(California Privacy Protection Agency)의 행정적 집행 권한을 명시하고 있다. 사업체, 서비스 제공업체, 계약업체, 개인 등이 동 법 위반 시 각 위반 건당 최대 2,500 달러의 행정 벌금을 부과할 수 있다. 고의적 위반 또는 16세 미만 미성년자임을 안 경우 7,500 달러의 행정 벌금이 부과된다.
(2) 사적 구제
CPRA §1798.150은 개인의 소송권을 부여하고 있다. ▲캘리포니아 개인정보유출법(California’s data breach law)에 따라 암호화 및 편집되지 않은 개인정보 ▲비밀번호 및 보안 질문-답변으로 잠금 처리된 이메일 주소 등이 사업체의 합리적 보안 절차 구현 및 유지 의무 위반을 통해 무단 접근, 유출, 도난, 공개되었을 경우 개인은 민사 소송을 제기할 수 있다. 소비자는 건당 100~750 달러 또는 실제 손해액 중 큰 금액으로 손해배상 청구가 가능하다.
4기타 관련 법령
가. 버지니아주 VCDPA
(1) 적용범위
버지니아주 VCDPA는 2021년 3월 2일 제정되어 2023년 1월 1일부터 시행에 돌입했다. VCDPA는 버지니아에서 사업을 수행하거나 버지니아 거주자를 대상으로 하는 제품 또는 서비스를 생산하고, ① 연간 최소 100,000명 이상의 소비자 개인정보를 관리·처리하거나 ② 최소 25,000명의 소비자 개인정보를 관리·처리하고 총 매출 중 개인정보 판매를 통한 매출 비중이 50% 이상인 ‘법인·개인(persons)’에게 적용된다.
단, 주 정부기관, 비영리단체, 고등 교육기관, 금융서비스현대화법(Gramm-Leach-Bliley Act) 제5장의 적용을 받는 금융기관 및 개인정보, 연방의료보험통상책임법(HIPAA) 및 건강정보기술법(HITECH Act)의 적용을 받는 대상 기업 또는 관계사는 적용이 제외된다.
한편, VCDPA는 컨트롤러 또는 프로세서가 법률 또는 조사에 따르거나, 법 집행에 협조하거나, 소송 제기 혹은 제기된 소송에 대응하는 경우, 컨트롤러 또는 프로세서가 소비자의 특정 요구에 따라 제품·서비스를 제공하는 경우, 소비자나 다른 자연인의 생명이나 물리적 안전에 필수적인 이익을 보호하기 위한 조치를 취하는 경우, 보안 사고로부터 보호하는 경우, 동종 업계 과학 연구에 참여하는 경우 등에는 컨트롤러 및 프로세서의 행위를 제한하지 않는다.
(2) 정보주체의 권리
정보주체는 컨트롤러가 수집 중인 소비자 개인정보에 대한 알 권리, 접근권, 정정권, 삭제권, 개인정보 이동권, 타깃 광고·개인정보 판매·프로파일링 거부권을 갖는다.
(3) 컨트롤러의 의무
VCDPA에서 컨트롤러는 다음과 같은 의무를 갖는다. 우선, 개인정보 수집은 적절하고 유관하며 합리적으로 필요한 수준으로 제한한다. 목적 또한 소비자의 동의 없이 불필요하거나 목적 외의 용도로 개인정보를 사용하는 것을 금지한다. 보안과 관련해서는 개인정보 기밀성·무결성·접근성 보호를 위해 합리적인 관리적·기술적·물리적 개인정보 보안 절차를 수립하고 이를 구현·유지해야 한다. 민감정보의 경우, 소비자의 동의 없이 민감정보를 처리할 수 없으며, 아동의 민감정보는 연방 아동온라인개인정보보호법(COPPA)을 위반하여 개인정보를 처리할 수 없다. 또한 처리되는 개인정보 범주 및 목적, 소비자의 권리 행사방법, 제3자와 공유되는 개인정보 범주 및 해당 제3자의 범주를 고지해야 하며, 개인정보의 제3자 판매 또는 타깃 광고에 이용하는 경우에도 고지 의무가 있다.
이외에 컨트롤러는 소비자가 자신의 권리를 행사하기 위한 요청을 제출할 수 있는 하나 이상의 안전하고 신뢰할 수 있는 수단을 마련해야 한다. 컨트롤러는 소비자의 정보 요청에 45일 이내에 대응해야 한다(특정 요건 충족 시 45일 연장 가능). 컨트롤러는 소비자의 요청에 대해 무료로 정보를 제공해야 하며(연간 최대 2회), 소비자 요청 거부 시 45일 이내에 그 이유를 소비자에게 알리고, 그 결정에 대한 이의 제기 방법을 안내해야 한다. 또한 컨트롤러는 자신의 실행 거부 결정에 대해 소비자가 이의를 제기할 수 있는 절차를 마련해야 한다.
아동 보호와 관련해서도 연방 아동온라인개인정보보호법(COPPA)상의 부모 동의 요건을 준수하는 컨트롤러 및 프로세서는 VCDPA상의 부모 동의를 얻을 의무를 준수한 것으로 간주한다. 부모 또는 법적 보호자는 아동의 개인정보 처리와 관련하여 아동을 대신하여 소비자 권리를 행사할 수 있다.
개인정보 영향평가와 관련해서는 컨트롤러에 개인정보와 관련한 다음의 각 처리 활동에 대해 개인정보 영향평가 수행 및 문서화가 요청된다. 타깃 광고, 개인정보 판매, 특정 상황에서의 프로파일링, 민감정보 처리, 소비자에게 높은 위험이 발생하는 처리 활동 등이 여기에 포함된다. 주 검찰총장은 컨트롤러에 개인정보 영향평가를 요청하고 이를 평가할 수 있다.
(4) 프로세서의 의무
VCDPA에 명시된 프로세서의 의무는 다음과 같다. 프로세서는 컨트롤러의 지시를 따르고 컨트롤러가 의무를 준수하도록 지원해야 한다. 프로세서가 개인정보 처리 절차를 관리하려면 컨트롤러와 프로세서 간 계약체결이 필수이다. 계약서에는 다음 사항이 포함되어야 하는데, ① 개인정보를 처리하는 각 개인에게 기밀유지 의무가 있는지 확인, ② 서비스 제공 후 모든 개인정보를 삭제하거나 컨트롤러에 반환, ③ 프로세서가 법률상의 의무를 준수하고 있음을 입증하는 데에 필요한 모든 정보를 컨트롤러에 제공, ④ 컨트롤러의 합리적인 평가에 협조하고, 또는 자격을 갖춘 독립 감사자가 프로세서의 정책과 기술적, 관리적 조치에 대한 평가를 수행할 수 있도록 하여 요청 시 컨트롤러에 해당 평가 보고서를 제공할 수 있도록 준비, ⑤ 개인정보 처리자의 의무를 이행하도록 요구하는 서면 계약을 협력업체와 체결하여 협력업체를 업무에 참여시킨다는 내용이다.
(5) 집행
VCDPA는 주 검찰총장의 수사 및 집행 권한을 명시하고 있다. 주 검찰총장은 수사 권한과 VCDPA 위반을 집행할 수 있는 독점적 권한을 보유한다. 컨트롤러 또는 프로세서의 규정 위반사항에 대해 30일 간의 시정 기간을 제공하고, 기간 내 위반사항을 시정하지 못하는 경우 주 검찰총장이 소송을 개시하고 위반 건당 최대 7,500 달러의 가처분 또는 민사 벌금 청구가 가능하다.
나. 콜로라도주 CPA
(1) 적용범위
콜로라도주 CPA는 2021년 7월 8일 제정되어 2023년 7월 1일부터 본격적으로 시행된다. CPA의 적용 대상은 콜로라도에서 사업을 수행하거나 콜로라도 거주자를 대상으로 한 상업용 제품이나 서비스를 생산 또는 제공하고, ① 연간 100,000명 이상의 소비자 개인정보를 관리·처리하거나, ② 25,000명 이상의 소비자 개인정보를 처리·관리하면서, 개인정보의 판매로 재화나 용역의 가격을 할인받거나 수익을 창출하는 ‘컨트롤러(controller)’이다.
그러나 금융서비스현대화법(Gramm-Leach-Bliley Act)의 적용을 받는 금융기관 또는 계열사, 특정 의료정보, 소비자 신고기관에 의해 수행된 특정 활동, 금융서비스현대화법에 따라 처리된 개인정보, 연방 아동온라인개인정보보호법(COPPA)에 의해 규율되는 개인정보, 고용 목적으로 유지되는 개인정보, 고등교육기관 등에 의해 유지되는 개인정보 등은 적용에서 제외된다.
(2) 정보주체의 권리
정보주체는 컨트롤러의 수집 개인정보 및 처리·공유 활동에 대한 알 권리, 접근권, 정정권, 삭제권, 개인정보 이동권, 타깃 광고·개인정보 판매·프로파일링 거부권을 갖는다.
(3) 컨트롤러의 의무
CPA에 명시된 컨트롤러의 의무는 다음과 같다. 컨트롤러의 개인정보 수집은 특정 처리 목적과 관련하여 합리적으로 필요한 수준으로 한정되고 적절해야 한다. 또한 개인정보 수집 및 처리 목적을 명시해야 하며, 개인정보 특정 처리 목적을 벗어난 처리를 금지한다. 소비자의 동의를 얻기 전에는 소비자의 민감정보 처리가 금지된다.
아울러 컨트롤러의 투명성 의무도 제시되고 있는데, 컨트롤러는 소비자에게 합리적으로 접근 가능하고 명확하며 의미 있는 개인정보보호 통지를 제공해야 한다. 여기에는 컨트롤러나 프로세서가 수집하거나 처리하는 개인정보 범주, 처리 목적, 소비자가 권리를 행사할 수 있는 방법 및 장소, 제3자와 공유하는 개인정보의 범주 및 제3자의 범주 등이 포함된다.
소비자에게는 거부권 행사 가능성을 표시해야 한다. 타깃 광고를 위해 제3자에게 개인정보를 판매하거나 개인정보를 처리하는 경우, 소비자가 거부할 수 있는 방법 및 컨트롤러의 판매 또는 처리 방법을 명확하고 눈에 잘 띄게 공개해야 한다.
한편, 소비자는 컨트롤러가 지정한 방법을 사용하여 요청을 제출함으로써 자신의 권리를 행사할 수 있다. 컨트롤러는 45일 이내에 소비자의 정보 요청에 대해 취한 모든 조치사항을 소비자에게 알려야 하며, 경우에 따라 45일 연장이 가능하다. 컨트롤러는 소비자의 요청에 대해 1년에 한번 무료로 정보를 제공해야 하며, 12개월 내에 추가 요청이 있을 경우 컨트롤러는 추가 금액을 청구할 수 있다.
컨트롤러가 소비자 요청을 거부할 경우에는 45일 이내에 그 이유를 소비자에게 알려야 하며, 그 결정에 대한 이의 제기 방법을 안내해야 한다. 컨트롤러가 합리적인 노력을 기울이더라도 소비자의 요청을 인증할 수 없고 요청의 인증을 위해 소비자에게 추가 정보 제공을 요청해야 하는 경우, 컨트롤러는 소비자의 권리 행사에 응할 필요가 없다. 그러나 컨트롤러는 자신의 조치 거부에 대해 소비자가 이의를 제기할 수 있는 내부 절차를 마련해야 하며, 소비자는 자신의 요청이 거부된 경우 컨트롤러의 통보 후 적절한 시간 내에 이의를 제기해야 한다. 컨트롤러는 이의 제기를 받은 날로부터 45일 이내에 그 결과를 소비자에게 알리고 결과를 뒷받침하는 사유를 서면으로 설명해야 한다(특정 상황에서 60일 연장 가능).
컨트롤러는 아동의 부모 또는 법적 보호자의 동의를 얻지 않고 아동의 개인정보를 처리하는 것이 금지되며, 높은 위험이 발생하는 처리 활동을 수행할 때에는 개인정보 영향평가를 수행해야 한다. 이때 소비자에게 높은 위험이 발생하는 처리 활동이라 함은 프로파일링에 대한 위험이 있는 타깃 광고, 개인정보 판매, 민감정보 처리 등을 의미한다. 컨트롤러는 주 검찰총장이 요청할 경우 개인정보 영향평가를 실시해야 하며, 주 검찰총장은 이를 평가할 수 있다.
(4) 프로세서의 의무
CPA에 따라 프로세서는 컨트롤러의 지시사항을 준수하고 컨트롤러가 의무를 이행할 수 있도록 지원해야 한다. 소비자가 권리를 행사할 경우 소비자 요청에 대응할 수 있도록 적절한 조치를 지원해야 하며, 개인정보 유출 통보 및 시스템 보안과 관련하여 컨트롤러가 보안 의무를 준수할 수 있도록 지원해야 한다. 또한 컨트롤러가 개인정보 영향평가를 수행하고 문서화하는 데에 필요한 정보를 컨트롤러에 제공해야 한다.
로세서의 처리는 컨트롤러와의 구속력 있는 계약에 의해 관리되어야 하며, 계약에는 다음사항이 포함되어야 한다. ① 처리의 특성, 목적을 포함한 지시사항, ② 처리 기간 및 처리 대상 개인정보의 유형, ③ 개인정보를 처리하는 각 개인에게 개인정보에 대한 기밀유지 의무 부과, ④ 프로세서의 의무 이행을 위해 협력업체를 사용할 경우 요건 사항 규정, ⑤ 적절한 보안을 보장하기 위한 기술적, 관리적 조치 유지 관련 컨트롤러와 프로세서 간의 책임 분배, ⑥ 서비스 제공 종료 시 컨트롤러에 모든 개인정보를 반환할지 또는 삭제할지 여부, ⑦ 프로세서가 동법을 준수하고 있음을 입증하는 데 필요한 모든 정보를 컨트롤러가 이용할 수 있도록 조치, ⑧ 컨트롤러 또는 감사자의 합리적인 감사 및 검사를 허용하고 이에 기여한다는 내용이다.
(5) 집행
CPA는 주 검찰총장 및 지방 검사의 집행 권한을 명시하고 있다. 주 검찰총장 및 지방 검사는 주의 이름으로 또는 주 거주민을 대신하여 소송을 제기할 수 있는 독점적 권한을 보유하며, 각 위반 건당 20,000 달러의 벌금을 부과할 수 있다.
