국가정보_미국

  •  유럽
  •  일본
  •  중국
  •  영국
  •  독일
  •  호주
  •  캐나다
  •  싱가포르
  •  베트남
  •  러시아
  •  프랑스
  • 태국
  • 대만
  • 필리핀
  •  말레이시아

법률체계

1개요

미국의 개인정보보호 체계는 기본적으로 시장 자율 규율(self-regulation) 방식으로 EU GDPR, 한국 개인정보보호법과 같이 공공 부문과 민간 부문을 포괄하는 개인정보보호에 관한 일반법이 연방 법률로서 존재하지 않는다. 그러나 공공, 금융, 통신, 교육, 의료, 비디오 감시, 근로자 정보 등 영역별로 개인정보보호를 규율하는 개별 법률이 각 분야별 개인정보보호를 담당한다. 프라이버시법(Privacy Act of 1974), 연방의료보험통상책임법(Health Insurance Portability and Accountability Act), 아동온라인프라이버시보호법(Child Online Privacy Protection Act) 등이 대표적으로, 각각 특정 분야의 개인정보보호법 역할을 한다. 최근에는 개인정보보호 일반법을 도입하고자 하는 연방 의회 차원에서의 노력이 진행 중이며 실제 몇몇 법안이 연방 의회에 발의되어 심의 중이다.

한편, 주(州) 법체계도 연방법과 같이 각 분야별 개인정보보호법을 두는 것이 일반적이었으나, EU GDPR 제정 이후 캘리포니아 주를 시작으로 많은 주들이 포괄적인 일반 개인정보보호법을 도입하려는 움직임이 활발하다.

캘리포니아 주의 경우, 2018년 6월 미국 최초로 민간 분야의 포괄적인 개인정보보호 일반법에 해당하는 캘리포니아 소비자 개인정보보호법(California Consumer Privacy Act, CCPA)을 도입했다. 이후 2020년 11월 CCPA를 바탕으로 소비자의 개인정보 권리를 확대한 캘리포니아 주 개인정보보호 권리법(California Privacy Rights Act)이 주민투표로 통과되었다. 2023년부터는 CCPA를 일부 개정한 캘리포니아 개인정보보호 권리법(California Privacy Rights Act of 2020, 이하 CPRA)이 시행 예정이다.

캘리포니아 주에 이어 버지니아 주(2021년 3월), 콜로라도 주(2021년 7월)도 포괄적인 개인정보보호 일반법을 제정하기에 이르렀다. 이외에도 매사추세츠 주, 뉴욕 주, 노스캐롤라이나 주, 펜실베이니아 주, 오하이오 주 의회가 개인정보보호 일반법을 각 주 의회에 발의하는 등 총 20여 개의 주에서 입법 움직임을 보이고 있다.

2미국 법률체계

미국의 법 제도는 연방법과 각 주(州)법으로 구성되며, 이를 통칭하여 미국법이라 한다. 미국은 영국법을 계승하여 판례법을 기본으로 하고 있으나 영국의 보수적 판례법주의와 달리 선례를 적극적으로 바꾸어나가는 방식을 채택하고 있다. 또한 성문헌법이 있고 연방법전을 채택하고 있다는 점에서 영국법과는 다르게 성문법주의에 가까운 형태로 발전했다.

한편, 미국법은 공법과 사법의 구별이 없다. 미국법에서 제정법이라 함은 무질서한 법률을 모아놓은 집합체로서 판례를 보완하는 것이다. 따라서 제정법을 해석하는데 있어 조문만으로 이해할 수 없는 암묵적인 전제가 되는 판례가 존재할 가능성이 있다. 실례로, 미국법에는 민법(Civil Law)이라는 개념이 존재하지 않는다. 민사법전(Civil Code)이라는 개념은 존재하지만 이는 계약법전, 불법행위법전, 재산법전이라는 다양한 제정법을 취합한 것에 지나지 않고, 대부분의 경우 주(州) 재판에 의한 판례법이 기본이 된다. 이에 따라 민사소송법이나 형사소송법이라는 개념도 존재하지 않고, 재판소 및 재판소 절차법 내의 민사편, 형사편 등으로 구분된다.

무엇보다 미국법의 특징은 연방과 각 주에 법원과 입법부가 있고, 판례법과 성문법이 이원적으로 존재할 뿐만 아니라 각 주에 따라 다른 법이 병존한다는 점이다. 이에 따라 연방과 각 주의 법원이 사법심사권을 가지며, 사법제도의 특징인 배심제도는 헌법에 의해 보장되어 있다. 20세기 들어 주법 통일화를 위한 운동이 일어나 선례로 정착된 판례의 요점을 조문 형태로 통일·정리한 미국법협회의 리스테이트먼트(Restatement of the Law)가 만들어졌다. 이에 따라 판례에 의존하기보다 표준화된 법조문에 근거하여 판결을 내리는 경우가 많아졌다.

개인정보보호 법제의 경우, 개별법주의의 법률 체계에 따라 일반법보다는 각 영역에서 개인정보보호 요구가 있을 때 별도의 법률을 제정하는 방식을 택하고 있다. 앞서 언급한 것처럼 미국의 법제는 연방법과 주법으로 양분화 되어 있기 때문에, 개인정보보호에 관한 법제도 이를 구분해서 보아야 한다.

3개인정보보호법

가. 개요

미국은 연방 차원의 일반 개인정보보호법의 부재로 인해 영역별로 개인정보보호를 규율하는 개별법이 공공 부문과 민간 부문별로 나뉘어 각 영역 내 분야별 개인정보보호를 담당한다. 연방법 중에서는 1974년 제정된 프라이버시법(Privacy Act of 1974)이 공공 부문의 개인정보보호 일반법으로서 연방정부기관 등 공공 부문이 보유한 개인정보를 보호 및 규율하는 역할을 한다.

(1) 연방법

[표 1] 공공 부문의 개인정보보호 관련 연방법률

공공부문 연방법률
법률명 주요 내용
정보공개법
(Freedom of Information Act, 1966)

정부 공공 문서에 기록된 정보들을 공개하도록 강제하면서 프라이버시의 보호를 위한 면제 조항을 규정

거의 모든 정보요구자에 대해 정부 수집 정보의 공개를 허용하되 공개 의무에서 면제되는 비공개 사항(exemption)으로 개인 프라이버시가 명백히 침해되는 인사 및 의료 파일, 법집행 목적의 수립 기록 또는 정보가 프라이버시의 부당한 침해 예상되는 경우가 포함됨

프라이버시법
(Privacy Act, 1974)

미국 정부기관 보유 기록 보호

일반 국민이 자신들의 기록에 무슨 정보가 포함되며 어떻게 사용되는지를 알 수 있어야 하고 일정 목적으로 수집된 정보의 다른 용도 사용 금지

컴퓨터보안법
(Computer Security Act, 1987)

국가표준국(National Bureau of standards) 대상 연방컴퓨터 시스템 보안을 위한 표준과 가이드라인 개발 책임 부여

컴퓨터시스템자문회의(Computer Systems Advisor Board)가 연방컴퓨터 보안과 프라이버시 관련 이슈들을 적시하고 동 이슈에 대해 국가표준국에 자문을 하고 관리예산실, 국가안보원 및 연방 의회에 결과를 보고하도록 규정

컴퓨터정보 결합 및 프라이버시보호법
(Computer Matching and Privacy Protection Act, 1988)

연방기관을 포함한 컴퓨터 정보의 조합은 연방 혜택을 지원하는 개인이나 혜택을 받은 개인들에게 일정한 보호를 주는 경우에만 수행할 수 있도록 규정

운전자 프라이버시 보호법
(Driver's Privacy Protection Act, 1994)

차량관리국(DMV, Department of Motor Vehicle)의 기록에 포함된 개인정보의 대중 공개 제한

전자정부법
(E-government Act, 2002)

국민중심의 전자정부를 통합적으로 추진하고 행정기관의 협력 및 민간 부문과 정부 사이 협력을 증진하여 국민 권익 보장

OMB내 전자정부국을 두어 연방정부가 리더쉽을 효과적으로 발휘하여 전자정부서비스 및 업무를 개발 및 촉진할 수 있도록 하며, 정보기술 도입 전 프라이버시 영향 평가 실시 의무 규정

한편, 민간 부문에서는 금융, 정보통신 등 각 분야에서 필요성이 제기될 때마다 해당 사안에 맞는 개별법이 제정되고 있다.

[표 2] 민간 부문의 개인정보보호 관련 연방법률

민간 부문의 개인정보보호 관련 연방법률
법률명 주요 내용
공정신용조사법
(Fair Credit Reporting Act, 1970)

신용평가기관(Credit Reporting Agencies)에 의한 개인정보의 오남용 등 방지를 위한 신용정보보호 법률

신용평가기관은 은행, 신용카드사, 기업, 임대업자 등의 사업자가 개인의 신용 평가 목적으로만 정보를 사용한다는 합리적 믿음이 있는 경우 혹은 서면 동의가 있는 경우에만 정보 제공 가능

가족의 교육권 및 프라이버시법
(Family Education Rights and Privacy Act, 1974)

학생의 교육정보 및 개인정보에 대해 학부모와 학생의 자기결정권을 강화하여 학부모 및 학생의 동의 없는 정보공개를 규제

동 법은 교육부의 기금을 받는 교육기관에 적용됨에 따라, 교육기관에 대한 연방기금 수여조건으로 교육정보 및 학생 개인정보 수집·이용·보유·공개와 관련해 정보보호 의무를 부여

금융프라이버시권리법
(Right to Financial Privacy Act, 1978)

수정헌법 제4조에 따른 금융기관 고객의 프라이버시 보호에 근거하여 개인금융기록의 비밀 보장

어떠한 정부 당국도 형사법상 수사 및 기소에 필요한 경우 등을 제외하고는 고객 금융기록에 접근 불가

프라이버시보호법
(Privacy Protection Act, 1980)

언론인과 뉴스룸(신문사·방송사에서 뉴스를 받고 준비하는 곳) 보호를 위한 법으로, 언론인 및 언론 자료를 과도한 수색 및 압수 집행에서 보호하기 위해 제정

언론 자료의 범죄 연관성에 대한 개연성(probable cause)이 없는 한 개인의 작업산출물(work products) 및 문서 자료에 대한 수색이나 압수 금지

케이블통신정책법
(Cable Communications Policy Act, 1984)

케이블 TV 기술의 진보 및 양방향 케이블 시스템의 개발이 초래할 부당한 개인정보의 수집 위험에 대비하여 케이블 통신회사의 개인정보보호 의무 규정 마련

최소 연 1회 개인정보 수집 및 보유 현황 고지하도록 의무 부과((수집 목적, 수집 정보, 보유기간, 열람 절차 등)

동의 없는 목적 외 이용 및 제3자 제공 금지 등

전자통신프라이버시법
(Electronic Communication Privacy Act, 1986)

전자기록에 관한 정부의 접근 절차 및 방법을 통제하여 전자기록의 기밀성 보호

수색영장이나 수신자 동의 없는 서신 개봉 금지 및 동의 없는 전화, 데이터 전송, 라디오 통신의 차단 또는 도청장치 사용금지 등 통신프라이버시 보호 내용을 전자메일 및 컴퓨터를 통한 데이터 전송과 같은 통신 분야로 확장

음성메일, 전자메일 등 권한 없는 접근 및 이용 금지

컴퓨터 사기 및 남용 방지법
(Computer Fraud and Abuse Act, 1986)

포괄적 범죄통제법(Comprehensive Crime Control Act of 1984)에 포함되어 있던 기존의 컴퓨터 사기법(computer fraud law) 개정으로 제정된 사이버 보안법으로 1994, 1996, 2001 개정

정부기관의 컴퓨터에 대한 무단 접근, 정보 변경,이용 방해 등 악의적 손상(malicious damage) 및 사이버 범죄 악용을 금지

주(州)간 통상(interstate commerce)에 영향을 주는 사기 가담 의도의 컴퓨터 패스워드 유통 금지

비디오 프라이버시 보호법
(Video Privacy Protection Act, 1988)

비디오테이프 판매사업자 또는 대여사업자가 비디오 대여 기록을 고객 동의 또는 법원 승인 없이 제3자에게 제공하는 것을 금지

근로자 거짓말 탐지기 보호법
(Employee Polygraph Protection Act, 1988)

민간 부문 근로자들 대상 거짓말 탐지 테스트 금지 및 테스트 거부 등 근로자의 기타 권리 행사에 대한 가이드라인 확립을 위해 제정

입사지원자를 대상으로 거짓말 탐지 테스트를 요구할 수 없으며, 특정 조건 만족 시에만 테스트 실시 또는 권유가 가능. 근로자가 거부 시 강제 불가

전화소비자보호법
(Telephone Consumer Protection Act, 1991)

수신자의 동의 없는 광고 전화, 광고 팩스 등 과도한 텔레마케팅 확산과 프라이버시 침해에 대응하기 위한 법률

FCC는 동 법에 근거하여 텔레마케팅 종사자에 대해 전화 수신을 거부한 소비자 명단인 DNC(do-not-call) 목록의 유지·관리 의무 부담

법 집행을 위한 통신지원법
(Communications Assistance for Law Enforcement Act, 1994)

디지털 네트워크상의 합법적인 통신 감청 기능 향상을 목적으로 법원 명령이나 법률에 의거한 정부 권한 보전을 위해 제정

디지털 통신 네트워크에 대한 감청이 필요한 범죄 조사 실시 시, 법 집행기관이 발신자 추적정보, 전화 도청 등 통신 사업자의 유선·전자통신에 대한 정부 접근을 보장하도록 통신 사업자 및 전기통신 장비 제조업체에 네트워크, 장비 설정을 요구 가능

전기통신법
(Telecommunications Act, 1996)

전화회사의 고객 개인기록 오용 가능성에 대응하기 위한 규정 포함

신규 서비스 판매를 위해 전화가입자 통화유형(calling pattern) 정보 이용 전 고객 사전 승인 의무 규정

연방의료보험통상책임법
(Health Insurance Portability and Accountability Act, 1996)

전자적 형태의 건강 정보보호를 위해 전자적 교류를 위한 표준의 개발 및 채택을 강제하는 것으로 연방 의회나 보건복지부(Secretary of Health and Human Services)가 전자적 교류 프라이버시 규칙을 개발하도록 규정

환자의 건강 개인 정보를 생성, 수신, 유지, 전송하는 병원, 의료서비스 회사를 비롯해 변호사 사무실, IT 회사, 보험 회사 등이 적용 대상

동 법 제정 이후 2009년 Health Information Technology for Economic and Health Act(HITECH) 제정으로 건강 개인정보를 다루는 조직 등의 프라이버시 및 보안 규칙과 관련된 준수 요건이 한층 강화

아동온라인프라이버시보호법
(Child Online Privacy Protection Act, 1998)

13세 이하 아동의 개인정보 온라인 수집 금지하며 아동 정보를 수집하는 상업적 웹 사이트는 데이터 수집 정책을 고지하고 부모의 동의를 받도록 규정

금융서비스현대화법
(Gramm-Leach-Bliley Act, 1999)

금융기관이 보유하는 고객의 금융정보보호를 위해 제정

개인금융정보의 수집․이용 관련 고지 의무를 규정하는 프라이버시 원칙, 정보보호를 위한 세이프 가드 원칙, 고객 대상 기만적 정보 취득을 금지하는 프리텍스팅(pretexting)을 규정

대테러감시법
(Patriot Act, 2001)

911 테러사건 이후 미국의 국가 안보 강화를 목적으로 제정

국내전화·국제전화 도청, 전자감시 수색영장 등 법 집행기관의 감시 능력 확대, 테러 방지에 필요한 자원의 효율적인 활용 위한 정부기관 간 정보 공유, 테러 형별 규정 강화, 테러 혐의에 해당되는 활동 목록 확대 등을 규정

아동착취행위소추법
(The Protection Act of 2003, “Prosecutorial Remedies and Other Tools to end the Exploitation of Children today)

아동포르노의 광고, 판촉, 제시, 배포, 매매유도(solicitation) 등의 행위에 대한 형사 처벌 규정

제작자는 신분증명서 검사 및 촬영 대상자의 이름과 나이 확인 필요

부모 동의가 없는 한 온라인 회사가 12세 이하 어린이에게 개인 식별정보(Personally Identifiable Information)를 요청하는 것을 구체적으로 금지

이 외에 연방거래위원회법(Federal Trade Commission Act, 2006)은 기업의 독과점 방지 및 소비자 보호를 목적으로 하며, 개인정보는 소비자 보호에 포함된다. 동 법은 연방거래위원회(Federal Trade Commission, FTC)의 설립(제1조), 직원 및 예산(제2조), 위치(제3조), 소관 업무, 절차(제5조), 추가 권한(제6조) 등을 규정하고 있으며, 전체 27조로 구성되어 있다. 동 법에 근거하여 FTC는 소비자 보호 업무를 수행하고 있으며, 소관 법률은 70개 이상이다. FTC가 담당하는 위법 행위는 다음과 같다.

[표 3] 연방거래위원회법이 규정하는 위법 행위

연방거래위원회법(Federal Trade Commission Act, 2006)
연방거래위원회법(Federal Trade Commission Act, 2006)
제5조(a)(1)

한글

통상 또는 통상에 영향을 미치는 불공정 경쟁방법, 통상 또는 통상에 영향을 미치는 불공정행위나 관행 또는 기만행위나 관행은 위법이다..

영문

Unfair methods of competition in or affecting commerce, and unfair or deceptive acts or practices in or affecting commerce, are hereby declared unlawful.

1914년에 설립된 FTC는 준 사법기관적인 독립규제위원회로서 행정절차를 통한 시정명령을 직접 내린다. 신속하고 적극적인 법 집행, 기업 활동에 대한 명확한 가이드라인 제시, 전문성 있는 법 집행 등이 특징이다. 소송이 제기되어야 합법·위법 여부를 판단하는 법원과 달리, FTC는 규칙 제정을 통하여 사전에 기업 활동을 위한 기준을 제시하여 기업이 안정적인 경영 활동을 할 수 있도록 도와준다.

FTC는 국민·피해자의 신고, 자체 인지, 타 기관 요청에 의해 사건을 인지하고, 공익에 관련된 사건을 선택하여 조사를 개시한다. 즉 모든 사건을 조사하는 것은 아니다. 일반적인 사건 처리 절차는 ① 조사, ② 행정법 판사(Administrative Law Judge)에 의한 심의, ③ 행정법 판사의 일차 결정, ④ 이의 신청, ⑤ 위원회의 최종 결정, ⑥ 사법심사로 진행된다.

한국의 경우, 과징금, 형사 처벌과 같은 공적 집행(pubic enforcement)에 중점을 두지만, 미국은 피해자에 의한 손해배상소송이나 집단소송 등 사적 집행(private enforcement)이 활성화되어 있다. FTC는 특정 사건으로 다수의 소비자가 피해를 입은 경우, 직접 법원에 집단소송을 제기하여 소비자 피해를 보전해 준다. 이외에도 FTC는 법 집행, 연구 및 보고서 발간, 교육 및 워크숍 개최, 의회 증언, 법률에 대한 의견 제시 등의 업무를 수행하고, 상무부 및 국무부의 국제 협력( EU-US Privacy Shield, APEC CBPR) 업무를 지원한다.

한편, 최근 각계에서 연방법으로 일반 개인정보보호법을 도입하자는 요구가 높아지는 가운데, 연방 의회는 모든 유형에 적용될 수 있는 연방 개인정보보호법 입법 노력에 착수했다. 기업이 여러 산업 전반에 걸쳐 재화와 서비스를 제공하면서, 수많은 연방법과 각 주별 개인정보보호법을 준수하기에는 한계가 존재할 수밖에 없다. 또한 각 법마다 상충되는 법적 요구사항이 그대로 존재하는 한 시민의 개인정보를 지속적으로 보호하는 데에 있어 기업의 혼란과 각종 부담이 증가하게 된다. 그러나 기존의 개인정보보호 관련 법적 프레임워크는 미래 지향적이지 않고 신기술과 관련한 개인정보보호 이슈를 종합적으로 대응하고 있지 못한 상황으로, 포괄적인 개인정보보호법의 도입을 통해 모든 유형의 산업에 적용할 수 있는 법적 요건 등을 표준화할 필요성이 제기되고 있다. 이러한 배경에 따라 연방 의회는 포괄적 개인정보보호를 다루는 법안, 개인정보 감독기구 설립을 목적으로 한 법안 등을 발의함으로써 각계의 요구 사항에 부응하려는 노력을 하고 있다.

[표 4] 연방 의회의 개인정보보호 관련 법안 최근 발의 내역(2021년 8월 기준)

연방 의회의 개인정보보호 관련 법안 최근 발의 내역
법안명(발의일자) 주요 내용
정보 투명성 및 개인정보 관리 법안
(2021.3.11)

● H.R.1816 - Information Transparency & Personal Data Control Act

재정, 건강, 유전 등 소비자의 민감한 개인정보보호를 목적으로 하며, 기업이 해당 정보를 제3자와 공유하기 전 소비자로부터 명시적 동의를 받도록 요구

기업은 개인정보 사용 방법, 사유 및 목적 등을 소비자에게 알리고 쉬운 언어로 작성된 개인정보보호정책을 유지하여 투명성을 제고

연방거래위원회(FTC)와 주 검찰총장이 법률 위반에 대한 집행 권한을 행사(소비자에게는 자신의 권리 침해를 이유로 기업을 상대로 소송을 제기할 권리를 부여하지 않음)

소비자 개인정보보호 및 보안 법안
(2021.4.29)

● S.1494 - Consumer Data Privacy and Security Act of 2021

개인정보보호에 대한 명확한 연방 표준을 설정하여 각 주별 각기 다른 표준 대신 연방 차원의 균일한 표준을 제공

소비자에게 자신의 개인정보에 대한 통제권(접근권, 정정권, 삭제권 등)을 제공

대규모의 개인정보를 수집 및 처리하는 기업에 대해 해당 개인정보를 보호하고 책임감 있게 처리하기 위한 추가 예방 조치를 취하도록 의무화

특별한 경우를 제외하고 기업이 소비자의 동의 없이 개인정보를 수집하는 것을 금지

기업이 개인정보에 대한 무단 접근 및 공개행위로부터 개인정보를 보호하기 위해 강력한 개인정보 보안 프로그램을 개발하고 구현하도록 의무화

FTC 및 주 검찰총장에게 연방 소비자 개인정보보호를 일관되게 시행할 수 있는 권한을 부여하는 동시에 FTC에 해당 권한을 수행하는 데에 필요한 자원 제공

2021 개인정보 보호 법안
(2021.6.17)

● S.2134 - Data Protection Act of 2021

개인정보보호를 위한 독립적인 연방 개인정보 감독기구 설립을 목적으로 하며, 감독기구에 다양한 권한 및 역할을 부여

민간 부문에서 활용할 수 있는 개인정보보호 표준 및 지침 개발

소비자 민원 접수 및 검토, 조사 수행

개인정보처리자의 불법, 불공정, 기만, 남용, 차별적 개인정보 처리 활동을 금지하고 법률 위반 시 벌금 부과

▲대규모 개인정보 수집 활동을 하는 개인정보처리자가 포함된 거대 기술 기업의 합병 ▲5만 명 이상의 개인정보 이전을 포함하는 기업 간 합병 등을 검토

개인정보와 관련한 정의를 구현하고 개인을 차별로부터 보호하기 위해 감독기구 민권사무소(Office of Civil Rights) 설립

개인정보 접근, 투명성 및 책임 보장을 위한 프레임워크 설정 법안
(2021.7.28)

● S.2499 - Setting an American Framework to Ensure Data Access, Transparency, and Accountability Act(SAFE DATA Act)

미국 소비자에게 개인정보에 대한 접근권, 정정권, 삭제권 및 이동권 등을 보장

기업이 소비자의 민감한 개인정보를 동의 없이 처리하거나 이전하는 것을 금지

기업이 개인정보 수집, 처리 및 전송 활동에 대해 자세히 설명하는 개인정보보호정책을 소비자에게 공개하고, 중대한 변경사항이 발생할 경우 소비자에게 알리도록 의무화

기업이 소비자에게 큰 피해를 줄 수 있는 개인정보 처리 활동에 대해 개인정보 영향평가를 수행하도록 의무화

연방거래위원회(FTC)의 권한을 강화하여 소비자 개인정보를 잘못 사용하는 기업에 책임을 부과

그러나 미국 연방 의회의 노력에도 불구하고, 실제로 일반 개인정보보호법이 제정되기까지는 상당한 시일이 걸릴 것으로 전망된다. 법률의 적용대상이 되는 기업 입장에서는 개인정보보호 관련 의무가 가중되고 개인정보보호 위반 시 처벌을 받게 되므로, 포괄적인 개인정보보호법 도입에 상대적으로 소극적인 자세를 취하고 있다. 연방 의회에서도 연방 개인정보보호법의 도입 필요성은 인정하고 있으나, 개인정보보호 수준이나 법률 위반 시 처벌의 형태 등에 대해서는 상호 간 공감대 형성이 미흡한 상황이다.

(2) 주법

미국의 각 주(州)에서도 연방법과 마찬가지로 EU GDPR이나 한국의 개인정보보호법 같은 포괄적인 일반법은 없으며, 각 분야별로 개별적 개인정보보호 법률을 규정하고 있다. 그러나 EU GDPR 제정 이후 각 주에서 일반 개인정보보호법 입법 요구 및 제정 움직임이 활발히 전개되었다.

특히 캘리포니아 주는 미국 최초로 민간 분야의 포괄적인 개인정보보호법을 도입했다. 2018년 6월 28일 캘리포니아 주는 소비자의 개인정보보호 권리와 사업체의 개인정보보호 관련 의무사항 등을 규정한 캘리포니아 주 소비자 프라이버시법(California Consumer Privacy Act of 2018, CCPA)을 채택했다. CCPA는 2018년 6월 캘리포니아 주 의회 통과 이후 경과기간을 거쳐 2020년 1월 발효되었으나, 시행규칙 제정 등 하위법령의 제도 정비를 이유로 2020년 7월 1일부터 본격적으로 시행되었다.

CCPA는 캘리포니아 민법전(California Civil Code) 제1.81.5편에 총 19개 조문을 추가하여 편제되어 있다. 동 법은 거주민들에게 소비자로서 개인정보에 대한 폭넓은 통제권을 부여하고, 사업체에게도 다양한 개인정보보호 의무를 부과하는 등 개인정보보호 일반법으로서 EU GDPR과 유사한 점이 많다. 그러나 EU GDPR과는 달리 해당 법률을 관장하는 감독기구가 따로 존재하지 않아, 소비자는 사업체의 CCPA 위반 행위에 대해 감독기구를 통한 피해 구제를 요청할 수 없다. 또한, 동 법이 캘리포니아 주 영토 밖 범위까지 적용되지 않으며, 캘리포니아 주 이외의 지역에 거주하는 캘리포니아 주민에게 적용되지 않기 때문에 EU 역외 국가에도 적용되는 EU GDPR과는 차이가 있다.

캘리포니아 주에서는 이후 2020년 11월 주민투표를 통해 기존 CCPA 대비 소비자의 권리를 확대하고 캘리포니아 개인정보 감독기구 설립 근거를 마련한 캘리포니아 개인정보보호 권리법(California Privacy Rights Act of 2020, CPRA)이 통과되었으며, 오는 2023년부터 시행될 예정이다.

2023년부터 시행될 CPRA는 적용대상, 개인정보 개념 정의, 소비자 권리, 기업 의무 등에서 CCPA와 여러 차이점을 보이며, 특히 미국 내 최초로 개인정보 감독기구를 도입한 것이 특징이다.

[표 5] 캘리포니아 개인정보보호 권리법(CPRA) 주요 내용

캘리포니아 개인정보보호 권리법(CPRA) 주요 내용
항목 주요 내용
적용대상 축소

소규모 사업체 중 연간 5만~10만 명의 개인정보를 관리·처리하는 사업체를 CPRA 적용대상에서 제외함으로써 영세 사업체의 법률 준수 부담 축소

민감정보 정의 규정

개인정보 개념에서 민감정보 개념을 분리하여 새로이 정의하고 민감정보 공개 및 활용을 엄격히 제한하는 등 기업에 민감정보 관련 추가 의무 부과

GDPR 원칙 일부 도입

GDPR상의 개인정보 처리 원칙 중 ▲개인정보 최소처리 원칙 ▲목적 제한 원칙 ▲보유기간 제한 원칙을 조문에 반영

소비자 권리 확대

소비자에게 ▲부정확한 정보에 대한 정정 요청권 ▲자동화된 의사결정 거부권 ▲자동화된 의사결정에 대한 알 권리 ▲민감정보 공유 및 사용 거부권 등을 추가적으로 부여

기업의 의무 강화

사업체에게 ▲개인정보보호 의무 등을 명시한 계약 작성 의무화 ▲기업의 보안 절차 등을 합리적으로 구현하여 개인정보를 보호하는 보안책임을 부담하는 등 기업 의무 강화

개인정보 감독기구 설립

미국 최초의 개인정보 감독기구인 캘리포니아 개인정보 감독기구(California Privacy Protection Agency) 창설을 위한 근거조항이 신설되어, 감독기구가 동 법을 위반한 사업체, 서비스 제공업체, 계약업체, 개인 등에 대해 각 위반 당 행정벌금을 부과할 근거를 마련

캘리포니아 주에 이어 버지니아 주 및 콜로라도 주도 각각 EU GDPR 및 CCPA/CPRA에 영향을 받아 포괄적인 개인정보보호법인 버지니아 소비자 개인정보보호법(Virginia Consumer Data Protection Act, VCDPA, 2021년 3월 제정)과 콜로라도 개인정보보호법(Colorado Privacy Act, CPA, 2021년 7월 제정)을 제정하였다.

VCDPA와 CPA는 CPRA와 상호 간 유사한 점이 많으나, 적용 범위, 용어 사용, 정보주체의 권리, 컨트롤러의 의무, 개인정보 감독기구, 집행 등에서 일부 차이점이 존재한다.

[표 6] 캘리포니아 CPRA, 버지니아 VCDPA, 콜로라도 CPA의 차이점

캘리포니아 CPRA, 버지니아 VCDPA, 콜로라도 CPA의 차이점
항목 주요 내용
적용 범위

CPRA 및 VCDPA는 비영리법인에는 적용되지 않지만, CPA는 비영리법인에도 적용

VCDPA 및 CPA는 기업 간 상사 거래 및 고용 관계에서 활동하는 개인을 ‘소비자’의 개념에서 제외하고 있어, 상사 거래 및 고용 관계에 있는 개인은 동 법이 부여하는 소비자 권리에서 제외

용어 사용

CPRA는 ‘사업체(business)’라는 용어를 사용하나, VCDPA 및 CPA는 GDPR과 같이 ‘컨트롤러, ’프로세서‘ 등의 용어를 도입

정보주체 권리

CPRA, VCDPA, CPA 모두 소비자 및 정보주체에게 알권리, 접근권, 정정권, 삭제권, 개인정보 이동권, 개인정보 판매 거부권 등을 부여

단, VCDPA 및 CPA는 타깃 광고 거부권, 프로파일링 거부권을 추가적으로 보유

컨트롤러 의무

CPRA, VCDPA, CPA 모두 개인정보 처리 최소화, 보안 조치, 민감정보 처리 금지, 정보주체에 대한 차별 금지, 정보주체의 권리행사에 대한 이행 기한 준수(45일) 등을 공통적으로 규정

단, VCDPA 및 CPA는 타깃 광고 또는 프로파일링을 위한 개인정보 처리 등 특정 유형의 처리활동에 대해 개인정보 영향평가를 필수적으로 수행하도록 하고 있는 반면, CPRA는 개인정보 영향평가를 필수사항으로 규정하고 있으면서도 구체적인 내용은 하위 규정으로 위임

개인정보 감독기구

CPRA는 법률 집행권한을 가진 개인정보 감독기구를 신설한 반면, VCDPA와 CPA는 개인정보 감독기구 미설치

집행

CPRA는 개인정보 감독기구 및 주 검찰총장에게 집행권을 부여하고 제한적 범위 내에서 개인의 사적 소송을 통한 피해구제를 허용하는 반면, VCDPA는 주 검찰총장에만 집행권한을 부여하고 CPA도 주 검찰총장 및 지방 검사를 제외하고는 집행권한을 행사할 수 없도록 규정

CPRA는 개인정보 감독기구에 주 검찰총장이 가지던 ▲규칙 제·개정 ▲법률 위반 조사 ▲집행 등 다양한 권한을 이전

단, 금지명령(injunctions), 처벌(penalty)을 위한 민사소송을 제기하는 등 캘리포니아 주 검찰총장의 집행권한이 완전히 사라지지는 않으며, 개인정보 감독기구는 동 법률을 시행하는 주 검찰총장의 권한을 제한할 수 없음(§1798.199.90(c))

한편, 매사추세츠 주, 노스캐롤라이나 주, 펜실베이니아 주, 뉴욕 주, 오하이오 주(이상 2021년 기준 법안 발의일 순) 등 5개 주에서는 개인정보보호 관련 법률이 발의되어 의회에 계류 중이다.

[표 7] 5개 주에서 발의된 개인정보보호 관련법 주요 내용

[표 7] 5개 주에서 발의된 개인정보보호 관련법 주요 내용
구분 주요 내용
매사추세츠 주

매사추세츠 정보보호 법안(Massachusetts Information Privacy Act, SD 1726)이 하원 의회에 발의(2021.2.18.) 후 하원 의회를 통과하여 현재 상원 첨단정보기술·인터넷·사이버보안 위원회에서 심의 중

(정보주체 권리) 동 법안은 소비자에게는 접근권, 정정권, 이동권, 삭제권 및, 처리 제한권 등 정보주체로서의 다양한 권리를 부여

(컨트롤러 의무) 개인정보에 대한 관리, 충성도 및 기밀유지와 같이 소비자에 대한 기업의 다양한 의무를 규정하고 소비자의 개인정보 처리 시 묵시적 동의를 인정하지 않음

(감독기구 설립) 개인정보 감독기구 설립 조항을 두고 있으며, 감독기구는 개별 위반 건당 최대 연간 전 세계 매출의 4% 이하 또는 2천만 달러 중 더 큰 금액의 행정 처분 가능

노스 캐롤라이나 주

노스캐롤라이나 소비자 개인정보보호 법안(North Carolina Consumer Privacy Act, SB 569)은 상원 의회에 발의(2021.4.6.) 후 현재 상원 규칙·운영위원회에서 심의 중

(적용 범위) 동 법안은 노스캐롤라이나 주 주민들에게 서비스를 제공하는 법인으로서, ▲연간 10만 명 이상의 소비자 개인정보를 관리·처리하는 법인 ▲25,000명 이상의 소비자 개인정보를 관리·처리하면서, 총 수익의 50% 이상을 개인정보 판매로 창출하는 법인 중 어느 하나를 만족하는 경우에 적용

(정보주체 권리) 소비자는 개인정보 처리 여부에 대해 정보를 제공받을 권리, 접근권, 정정권, 삭제권, 처리제한권 등을 보유하며, 피해 발생 시 직접 민사소송을 제기할 수 있는 권리를 부여

(컨트롤러 의무) 컨트롤러는 소비자의 권리 행사와 관련한 요청에 응하고, 소비자 개인정보 수집 목적을 공개하며, 처리 중인 개인정보의 범주, 처리 목적, 소비자가 자신의 권리를 행사할 수 있는 방법 등을 소비자에게 고지

펜실베이니아 주

펜실베이니아 소비자 개인정보보호 법안(Pennsylvania Consumer Data Privacy Act, HB 1126)은 하원 의회에서 발의(2021.4.7.)된 후 현재 하원 소비자 위원회에서 심의 중

(적용 범위) 동 법안은 펜실베이니아에서 사업을 하면서 소비자의 개인정보를 수집, 판매 또는 공유하며 단독 또는 공동으로 소비자의 개인정보를 처리하는 목적과 수단을 결정하는 영리 사업체로서, ▲연간 총 수익이 1천만 달러 이상 ▲매년 5만 명의 소비자, 가구 또는 기기장치의 개인정보를 단독 또는 결합하여 구매, 판매 또는 공유 ▲연간 매출의 50%를 소비자 개인정보 판매로부터 창출하는 경우 중 어느 하나의 요건을 만족하는 사업체

(정보주체 권리) 소비자는 자신과 관련된 개인정보의 수집 및 판매, 공개 여부에 대해 알 권리, 접근권, 삭제권, 개인정보 판매 거부권, 차별금지권을 보유

(컨트롤러 의무) 기업은 소비자의 요청에 따라 개인정보 수집과 관련한 다양한 정보를 공개해야 하며, 소비자 개인정보를 판매하고자 하는 기업은 소비자에게 개인정보가 판매될 수 있음을 알리고 개인정보 판매를 거부할 수 있는 선택권을 제공

뉴욕 주

뉴욕 개인정보보호 법안(New York Privacy Act, S6701)은 상원 의회에 발의(2021.5.13.) 후 현재 상원 규칙위원회에서 심의 중

(적용 범위) 동 법안은 뉴욕 주에서 사업을 수행하거나 뉴욕 거주자를 대상으로 하는 제품 또는 서비스를 생산하는 법인이면서, ▲연간 총 수익 2,500만 달러 이상 ▲10만 명 이상 소비자의 개인정보 관리 또는 처리 ▲미국 전역 기준 50만 명의 개인정보를 수집하고 1만 명의 소비자 개인정보 관리 또는 처리 ▲총 수익의 50%를 개인정보 판매로 창출하고, 25,000명 이상의 소비자 개인정보 관리 또는 처리 등의 요건 중 하나 이상을 만족하는 법인에 적용

(정보주체 권리) 소비자에게는 개인정보 접근권, 정정권, 삭제권, 이동권, 차별금지권 등 개인정보에 관한 다양한 권리를 제공

컨트롤러가 개인정보를 처리하거나 기존의 처리 목적을 변경할 경우 정보주체에게 거부권을 제공하는 대신 정보주체의 명시적인 ‘동의’를 얻어야 함을 규정

(컨트롤러 의무) 컨트롤러는 소비자의 이익에 반하는 불리한 개인정보 처리에 대해 소비자에게 알릴 의무가 있으며, 소비자의 동의를 얻는 과정에서 불공정·기만적이거나 학대적인 행동 관여 불가

오하이오 주

오하이오 개인정보보호 법안(Ohio Personal Privacy Act, HB 376)은 하원 의회에 발의된 상태 (2021.7.12.)

(적용 범위) 동 법안은 오하이오에서 사업을 하거나 오하이오의 소비자를 대상으로 제품 또는 서비스를 생산하는 조직으로서, ▲오하이오에서 2,500만 달러를 초과하는 연간 총 수익 창출 ▲연간 10만 명 이상의 오하이오 소비자 개인정보를 관리·처리 ▲연간 25,000명 이상의 오하이오 소비자 개인정보를 관리·처리하면서, 총 수익의 50% 이상을 개인정보 판매로 창출 등의 요건 중 어느 하나를 만족하는 조직에 적용

(정보주체 권리) 소비자는 접근권, 정정권, 삭제권, 개인정보 판매 거부권 등을 행사할 수 있으며, 기업이 수집한 개인정보에 대해 공개 요청 가능

컨트롤러가 개인정보를 처리하거나 기존의 처리 목적을 변경할 경우 정보주체에게 거부권을 제공하는 대신 정보주체의 명시적인 ‘동의’를 얻어야 함을 규정

(컨트롤러 의무) 기업은 개인정보에 관한 권리를 행사하는 소비자에 대해 차별을 가할 수 없고. 소비자에게 개인정보 수집 및 판매와 관련한 개인정보보호정책을 제공

이 외에도 법률로 제정되었거나 현재 의회에 법안이 계류된 상태는 아니지만, 미국의 여러 주에서 개인정보보호법 입법을 위한 다양한 시도가 있어 왔다. 2021년 7월 기준 앨라배마 주, 알래스카 주, 애리조나 주, 코네티컷 주, 플로리다 주, 일리노이 주, 켄터키 주, 메릴랜드 주, 미네소타 주, 미시시피 주, 노스다코타 주, 오클라호마 주, 텍사스 주, 유타 주, 워싱턴 주, 웨스트버지니아 주 등이 이에 해당한다.

나. 개인정보 및 민감정보 정의

미국은 규정에 따라 개인정보에 대한 정의가 다르다. 연방거래위원회(FTC)는 IP 주소와 장치 식별자 등 특정 개인과 관련되거나 관련지을 수 있는 정보를 개인정보로 간주한다.

미국 최초의 개인정보보호 일반법에 해당하는 캘리포니아 주의 CCPA는 개인정보를 특정 소비자 또는 가구(household)를 직간접적으로 식별하거나 연관 또는 연관 짓는 것이 가능한 정보로 정의한다. 여기에는 이름, 가명, 연락처, 정부 ID, 생체정보, 유전자정보, 위치정보, 계좌번호, 학력, 구매 이력, 온라인 및 장치 ID, 검색 및 검색 이력, 기타 온라인 활동이 포함된다, 동 법에 따르면 소비자는 캘리포니아의 모든 거주자로 정의된다. EU GDPR처럼 개인정보를 광범위하게 규정하고 있으나, 가구가 포함되는 것이 특징이다.

이와 달리 개별법에서는 일반적으로 민감한 정보 범주를 중심으로 개인정보를 정의한다. 일반적으로 개인 건강정보, 금융정보, 신용도정보, 학생정보, 생체정보, 온라인에서 13세 미만 어린이로부터 수집한 개인정보, 신원 도용 또는 사기에 사용될 수 있는 정보를 민감한 정보로 간주한다.

한편, 2023년부터 시행 예정인 캘리포니아 주의 CPRA는 개인정보 개념에서 민감정보 개념을 분리하여 새로이 정의하고 민감정보 공개 및 활용을 엄격히 제한하고 있다. CPRA에 따르면, 소비자(Consumer)는 캘리포니아 규정집(California Code of Regulations) 제18장 제17014절에 정의된 것처럼 캘리포니아에 거주하는 자연인을 의미한다. 개인정보에 대한 정의는 CCPA와 동일한데, 일반적으로 특정 소비자 또는 가구와 직간접적으로 연관되거나 연관 가능한 정보를 의미한다. 공개적으로 사용 가능한 정보나 식별되지 않거나 집계된 소비자 정보는 포함되지 않는다. 아울러 민감한 개인정보란 소비자의 특정 정보를 드러내는 개인정보를 의미한다. 민감한 개인정보에 해당하는 특정 범주는 사회보장, 운전면허증, 주 신분증 또는 여권번호, 로그인 계정, 금융 계좌, 직불카드 또는 신용카드 번호와 필요한 보안 또는 액세스 코드, 암호 또는 접속 가능한 자격 증명 등이 포함된다(§1798.140).

다. 적용 범위

캘리포니아 주의 CPRA는 개인정보보호 의무를 가지는 사업체에 대해 캘리포니아에서 사업을 수행하는 영리 법인으로, 소비자의 개인정보를 수집·처리하는 기업으로 정의하고 있다. 이와 더불어 ① 전년도 연간 매출 2,500만 달러 이상, ② 매년 10만 명 이상의 소비자 또는 가정의 개인정보를 구매·판매·공유, ③ 소비자의 개인정보를 판매하거나 공유하여 연간 수익의 50% 이상을 창출하는 사업체가 적용 대상에 해당된다. CPRA는 소규모 사업체 중 연간 5만~10만 명의 개인정보를 수집·처리하는 사업체를 적용 대상에서 제외함으로써 영세 사업자의 법률 준수 부담을 낮추었다.

CCPA와 마찬가지로 CPRA는 면제 조항도 제시하고 있다. 비식별화 처리 또는 통계적 집계 처리된 소비자 정보를 수집, 사용, 보유, 판매, 공유 또는 공개하는 사업체에는 적용이 제외된다. 또한 개인정보를 수집, 판매 또는 공유하는 사업체라도 상행위의 모든 요소가 캘리포니아 이외 지역에서 이루어지는 경우 적용이 면제된다. 이 외에 캘리포니아 의료정보 비밀유지법(California’s Confidentiality of Medical Information Act, CMIA)의 적용을 받는 의료정보 또는 의료정보 제공업체, 연방의료보험통상책임법(Health Insurance Portability and Accountability Act, HIPAA)의 적용을 받는 건강정보, 금융서비스현대화법(Gramm-Leach-Bliley Act)의 적용을 받는 대상 기업, 임상 실험 및 수집·처리·판매·공개된 정보에는 적용되지 않는다.

라. 정보주체의 권리

(1) 알 권리 및 접근권

CPRA는 §1798.110은 어떤 개인정보가 수집되고 있는지 소비자의 알 권리 및 개인정보에 대한 접근권을 명시하고 있다. 소비자는 소비자 관련 개인정보를 수집하는 사업체가 ① 수집한 개인 정보의 범주, ② 개인정보가 수집되는 출처의 범주, ③ 개인정보의 수집, 판매, 공유를 위한 사업적·상업적 목적, ④ 사업체가 개인정보를 공개하는 제3자의 범주, ⑤ 해당 소비자에 대해 수집한 개인정보의 특정 부분을 소비자에게 공개하도록 요청할 권리를 가진다. 사업체는 §1798.130(a)(5)에 따라 소비자 요청을 받은 경우 상기 조항에 따라 명시된 정보를 소비자에게 공개해야 한다.

또한 소비자는 §1798.115에 따라 판매 또는 공유되는 개인정보가 누구에게 판매되는지 알 권리가 있다. 소비자는 소비자의 개인정보를 판매 또는 공유하는 사업체 또는 사업 목적상 이를 공개하는 사업체에게 ① 사업체가 수집한 개인정보의 범주, ② 사업체가 판매 또는 공유한 개인정보의 범주와 해당 개인정보를 판매 또는 공유한 제3자의 범주, ③ 사업체가 사업 목적으로 소비자에 대해 공개한 개인정보의 범주와 사업 목적으로 공개된 사람의 범주를 공개하도록 요청할 권리가 있다. 소비자의 개인정보를 판매 또는 공유하는 사업체 또는 사업 목적으로 소비자의 개인정보를 공개하는 사업체는 §1798.130(a)(4)에 따라 요청을 받은 소비자에게 정보를 공개해야 한다. 아울러 §1798.130(a)(5)에 따라 소비자의 개인정보를 판매 또는 공유하는 사업체 또는 사업 목적으로 소비자의 개인정보를 공개하는 사업체는 판매 또는 공유한 소비자 개인정보의 범주, 또는 사업체가 소비자의 개인정보를 판매 또는 공유하지 않은 경우에는 그 사실을 공개해야 한다. 제3자는 §1798.120에 따라 소비자가 탈퇴할 권리를 행사할 기회를 제공하고, 명시적인 통지를 받지 않는 한 사업체에 의해 제3자에게 판매되거나 공유된 소비자 개인정보를 판매하거나 공유할 수 없다.

(2) 정정권

CPRA §1798.106에는 소비자의 부정확한 개인정보에 대한 정정권이 명시되어 있다. 소비자는 소비자에 대한 부정확한 개인정보를 유지하는 사업체에 해당 개인정보의 성격과 처리 목적을 고려하여 부정확한 개인정보의 수정을 요청할 권리가 있다. 소비자의 개인정보를 수집하는 사업체는 §1798.130에 따라 부정확한 개인정보의 수정을 요청할 수 있는 소비자의 권리를 공개해야 한다. 부정확한 개인정보의 정정 요청을 받은 기업은 §1798.130 및 §1798.185(a)(8) 규정대로 소비자의 지시에 따라 부정확한 개인정보를 정정하기 위해 합리적인 노력을 기울여야 한다.

(3) 삭제권

CPRA §1798.105에는 소비자의 개인정보 삭제권을 명시하고 있다. 소비자는 사업체가 소비자로부터 수집한 소비자 개인정보를 삭제하도록 요청할 권리가 있다. 소비자의 개인정보를 수집하는 기업은 §1798.130에 따라 소비자의 개인정보 삭제를 요청할 수 있는 소비자의 권리를 공개해야 한다. 소비자로부터 개인정보를 삭제해달라는 요청을 받은 사업체는 기록에서 소비자의 개인정보를 삭제하고, 서비스 제공업체 또는 계약업체에게 소비자의 개인정보를 삭제하도록 통지해야 한다. 아울러 사업체가 개인정보를 판매하거나 공유한 제3자에게 소비자의 개인정보를 삭제하도록 통지한다. 또한 사업체는 삭제 요청을 제출한 소비자의 개인정보가 판매되는 것을 방지하고, 법률상 또는 기타 목적을 위해 허용되는 범위 내에서만 삭제 요청의 기밀 기록을 유지할 수 있다. 서비스 제공업체 또는 계약업체는 소비자 요청 대응에 협조해야 한다. 서비스 제공업체 또는 계약업체는 자사를 통해 개인정보에 접근했을 수도 있는 모든 서비스 제공업체, 계약업체 또는 제3자에게 소비자의 개인정보를 삭제하도록 통지해야 한다.

(4) 처리제한권

CPRA §1798.121에는 민감한 개인정보의 이용 및 공개를 제한할 수 있는 소비자의 권리가 명시되어 있다. 소비자는 민감정보를 수집하는 사업체에 대해 일반 소비자가 합리적으로 기대하는 상품을 제공하거나 서비스를 수행하는 데 필요한 용도로 개인정보의 사용을 제한하도록 지시할 권리를 갖는다. 명시된 목적 이외의 목적으로 소비자의 민감정보를 사용하거나 공개하는 사업체는 §1798.135(a)에 따라 소비자에게 이 정보가 사용되거나 서비스 제공업체 또는 계약업체에게 특정 목적 및 기타 목적을 위해 공개될 수 있다는 통지를 해야 한다. 소비자는 자신의 민감정보의 사용 또는 공개를 제한할 권리가 있다. §1798.135(c)(4)에 따라 소비자의 민감정보를 사용하거나 공개하지 말라는 지시를 소비자로부터 받은 사업체는 다른 목적을 위해 민감정보를 사용하거나 공개할 수 없다. 서비스 제공업체 또는 계약업체는 해당 사업체와의 서면 계약에 따라 수령한 민감정보의 사용을 제한해야 한다.

(5) 이동권

CPRA §1798.130(a)(3)(B)(iii)은 소비자의 개인정보 이동권을 명시하고 있다. 사업체는 일반 소비자가 쉽게 이해할 수 있는 형식으로, 또한 소비자의 요청에 따라 다른 사업체에게 전달될 수 있는 구조화되고 일반적으로 사용되는 기계판독이 가능한 형식으로 소비자로부터 획득한 특정 개인정보를 제공하도록 한다. 특정 정보에는 보안 및 무결성 보장을 위해 생성되거나 규정에서 정하는 데이터는 포함되지 않는다.

(6) 반대권

CPRA §1798.120에는 개인정보의 판매 중지 또는 공유 거부와 관련한 소비자의 권리가 명시되어 있다. 소비자는 개인정보를 판매하거나 공유하는 사업체가 소비자의 개인정보를 판매하거나 공유하지 않도록 제3자에게 지시할 권리를 갖는다. 이 권리는 매각 또는 공유에 대한 옵트아웃 권리(Consumers’ Right to Opt Out of Sale or Sharing)라고 할 수 있다. 소비자의 개인정보를 판매하거나 이를 제3자에게 공유하는 사업체는 §1798.135(a)에 따라 해당 정보가 판매 또는 공유될 수 있으며, 소비자가 자신의 개인정보의 판매 또는 공유에 대해 '옵트아웃' 할 권리가 있음을 소비자에게 공지해야 한다.

라. 정보주체의 권리

(1) 컨트롤러의 의무

CPRA에서 컨트롤러는 사업체(Business)에 해당한다. §1798.135에 따라 개인정보를 판매 또는 공유하거나 §1798.121(a)에 의해 승인된 목적 이외의 용도로 민감한 개인정보를 사용하거나 공개하는 기업은 소비자의 거부권·제한권 행사 가능성을 표시해야 한다. 개인정보의 판매, 공유, 목적 범위를 벗어나는 민감정보의 활용·공개 시 인터넷 홈페이지에 소비자가 개인정보 판매나 공유 거부, 민감정보 활용·공개를 제한할 수 있도록 명확한 링크를 제공해야 한다.

또한 사업체는 §1798.100(a)(3)에 따라 개인정보 보관 최소화 의무를 갖는다. 이는 소비자의 개인정보 또는 민감정보를 공개된 목적에 필요한 시간 이상 보유하는 것은 금지하는 조항이다.

§1798.100(a)(1)에는 사업체의 목적 제한 조항이 명시되어 있다. 이는 소비자의 동의 없이 개인정보의 목적 외 사용을 금지하는 것과, 개인정보 수집·처리· 공개 목적에 적합하게 개인정보를 수집·이용·공유하는 것을 요구하고 있다.

§1798.100(e)는 합리적 보안절차 구현 및 유지 조항이다. 소비자의 개인정보를 수집하는 사업체는 §1798.81.5에 따라 합리적인 보안 절차 및 관행을 이행해야 한다. 아울러 §1798.121(b)는 소비자로부터 민감정보를 이용하거나 공개하지 말라는 지시를 받은 사업체는 이를 무단 이용하거나 공개할 수 없다는 의무 조항을 명시하고 있다.

이 외에 §1798.100의 개인정보 및 민감정보 수집·보유 여부 통지, §1798.120의 개인정보 판매 및 공유 거부권 통지, §1798.125의 소비자 개인정보 수집·판매·공유·보유 등에 따른 사업체의 재정적 인센티브 관련 통지 등 필수 통지와 관련한 조항들이 있다. §1798.125에는 사업체가 소비자의 권리 행사를 차별하는 것을 금지하는 조항도 포함되어 있다.

(2) 프로세서의 의무

CPRA에서 프로세서는 서비스 제공업체(Service Provider), 계약업체(Contractor)에 해당한다. §1798.100(d)에 따라 소비자의 개인정보를 수집하여 제3자에게 판매·공유하거나 사업적 목적으로 서비스 제공업체 및 계약업체에 개인정보를 제공하는 사업체는 제3자, 서비스 제공업체 또는 계약업체와 특정 조건을 포함하는 계약을 체결해야 한다.

§1798.140은 서비스 제공업체 및 계약업체와의 계약 체결 시 다음 사항을 금지해야 한다고 요구하고 있다. 여기에는 ① 개인정보 판매 또는 공유, ② 개인정보를 계약서에 명시된 업무 목적을 벗어난 용도로 사용, ③ 직접적 사업 관계 이외의 개인정보 사용, ④ 특정한 예외에 따라 개인정보를 다른 개인정보와 결합하는 행위가 포함된다.

(3) 정보접근 요청 대응

CPRA의 §1798.130은 사업체의 통지, 공개, 정정, 삭제 요청 관련 요건을 제시하고 있다. 사업체는 소비자가 정보 접근, 삭제 또는 정정을 요청할 수 있도록 최소한 수신자 부담 전화번호를 포함한 두 가지 이상의 지정된 방법을 제공해야 한다. 사업체는 소비자에게 인증을 요구할 수 있으나, 소비자 권리 행사를 위해 해당 사업체에 계정을 개설하도록 요구할 수 없다.

사업체는 소비자의 요청을 받은 날로부터 45일 이내에 정보 제공, 정정, 삭제 등을 이행해야 한다. 합리적으로 필요한 경우 45일 연장이 가능하다. 또한 사업체는 소비자의 정보 요청 시 무료로 정보를 제공해야 한다. 소비자의 요구가 근거가 없거나 과도할 경우에는 합리적인 범위 내에서 수수료를 부과하거나 또는 요청 자체를 거부할 수 있다. 그러나 이 경우 그 근거를 입증해야하는 부담을 져야 한다.

§1798.145(h)(2)는 사업체가 소비자의 요청에 따라 행동하지 않을 경우 소비자에게 그 이유를 고지해야 하며, 소비자가 그 결정에 대해 이의를 제기할 수 있는 권리를 소비자에게 알려야 한다는 점을 명시하고 있다.

(4) 아동보호

CPRA 조항에서 사업체가 소비자의 연령이 16세 미만이라는 것을 인식하고 있었다면, ▲소비자가 13~16세인 경우는 소비자로부터 ▲소비자가 13세 미만일 경우 소비자의 부모나 보호자로부터 소비자 개인정보의 판매 또는 공유를 승인받지 않은 경우, 사업체는 소비자의 개인정보를 판매하거나 공유할 수 없다. 소비자의 연령을 고의로 묵과하는 사업체의 경우 소비자의 연령에 대한 실질적인 인식이 있었던 것으로 간주한다. 소비자로부터 소비자의 개인정보를 판매 또는 공유하지 말라는 지시를 받은 사업체 또는 미성년 소비자에 대한 개인정보의 판매 또는 공유 동의를 받지 않은 사업체는 §1798.135(4)에 따라 개인정보 판매 및 공유가 금지된다.

(5) 개인정보 영향평가

CPRA §1798.185(a)(15)는 사업체가 수행하는 소비자의 개인정보 처리가 소비자의 개인정보 또는 보안에 심각한 위험을 초래할 수 있는 경우, 사업체는 ① 연례 사이버보안 감사(cybersecurity audit)를 진행하고, ② 개인정보 처리와 관련된 위험 평가를 캘리포니아 개인정보 감독기구에 제출해야 한다. 여기에는 민감정보 처리 여부, 개인정보 처리에 따른 소비자·기업·기타 이해관계자의 편익과 소비자의 프라이버시 침해 간 비교 형량 등이 포함된다.

바. 개인정보 역외 이전

미국에서는 일부 정부 기록 및 정보를 저장하는 것을 제외하고는 역외 이전 제한이 적용되지 않는다. 미국은 전 세계적으로 개인정보를 저장하는 주요 거점이다. 2020년 7월 16일, 유럽사법재판소(European Court of Justice) EU-US Privacy Shield 무효 판결(Schrems II 판결)을 통해, EU-미국 간 프라이버시 실드 프로그램이 EU에서 미국으로 전송되는 개인정보에 대해 적절한 보호를 제공하지 않는다고 판단하여 무효화하였다. Schrems II 판결에 따라 스위스 연방개인정보보호위원회(Swiss Federal Data Protection and Information Commissioner, FDPIC)는 미국-스위스 간 프라이버시 실드 프로그램이 스위스에서 미국으로 전송되는 개인정보에 대한 적절한 수준의 보호를 제공하지 못해 사실상 무효화되었다고 판단했다.

사. 집행

(1) 과징금

CPRA의 §1798.199.90는 주 검찰총장의 집행 권한을 명기하고 있다. 사업체, 서비스 제공업체, 계약업체, 개인 등이 동 법 위반 시 각 위반 건당 최대 2,500 달러의 민사 처벌이 부과된다. 고의적 위반이나 미성년 소비자의 개인정보 관련 위반 시는 건당 최대 7,500 달러의 벌금이 부과된다.

§1798.199.10 등은 캘리포니아 개인정보 감독기구(California Privacy Protection Agency)의 행정적 집행 권한을 명기하고 있다. 사업체, 서비스 제공업체, 계약업체, 개인 등이 동 법 위반 시 각 위반 건당 최대 2,500 달러의 행정 벌금을 부과할 수 있다. 고의적 위반 또는 16세 미만 미성년자임을 안 경우 7,500 달러의 행정 벌금이 부과된다.

§1798.150은 개인 소송권 관련 조항이다. ▲캘리포니아 개인정보유출법(California’s data breach law)에 따라 암호화 및 편집되지 않은 개인정보 ▲비밀번호 및 보안 질문-답변으로 잠금 처리된 이메일 주소 등이 사업체의 합리적 보안 절차 구현 및 유지 의무 위반을 통해 무단 접근, 유출, 도난, 공개되었을 경우 개인은 민사 소송을 제기할 수 있다. 소비자는 건당 100~750 달러 또는 실제 손해액 중 큰 금액으로 손해배상 청구가 가능하다.

4기타 관련 법령

top