개인정보 보호위원회

미국 여·야, 빅테크 규제 위해 연방 개인정보보호 법안 합의

▶ 미국 여당·야당이 Google, Meta 및 TikTok 등 빅테크를 겨냥한 포괄적인 개인정보보호권리법(안)(American Privacy Rights Act, APRA)에 합의(’24.4.7.)

  • 상원 상무위원회 Maria Cantwell 위원장(민주당 소속)과 하원 에너지상업위원회 Cathy McMorris Rodgers 위원장(공화당 소속)이 미국 각 주의 개인정보보호법을 대체하기 위한 연방법(안)에 합의

- 여야는 기업이 온라인 상에서 소비자로부터 수집할 수 있는 정보의 양을 결정하는 연방 표준의 필요성이 제기됨에 따라 APRA 추진에 합의한 가운데, 사용자의 동의 없는 영리 목적의 사용자 행동 추적, 예측, 조작 등의 행위를 금지함으로써 빅테크를 규제하고자 함

  • APRA은 미국 전역에서 개인정보 보호에 대한 표준화된 접근 방식을 제공하는 것을 목표로 함

- (국가 차원의 통일된 데이터 프라이버시 권리 확립) ▲국가 차원의 개인정보 보호 표준을 설정하여 현행 주법 간 격차 해소 ▲기업이 수집, 보관, 사용할 수 있는 개인정보를 제한하고 실제 제품 및 서비스 제공 시 필요한 정보만 수집함으로써 데이터 최소화 ▲개인정보 이전 또는 판매 방지 기능 등의 제어권을 정보주체에게 부여하고, 기업의 개인정보 처리방침 변경 시 개인정보 처리 거부를 허용 ▲민감한 개인정보를 제3자에게 전송 시 명시적인 동의를 확보하도록 엄격한 보호 기준 설정 ▲정보주체의 개인정보 접근, 수정, 삭제 및 이전에 관한 권리 보장 ▲맞춤형 광고 거부 허용

- (데이터 프라이버시 권리 행사 권한 부여) ▲개인이 자신의 개인정보 보호 권리를 침해하는 자를 고소할 수 있고, 피해 발생 시 손해배상을 청구할 수 있도록 허용 ▲ 중대한 개인정보 침해가 발생할 경우 기업이 강제로 중재(조정)하지 못하도록 방지

- (시민권 보호) ▲기업이 개인정보를 사용하여 개인을 차별하지 못하도록 금지 ▲주거, 고용, 의료, 신용 대출, 교육, 보험, 공공시설 이용 관련 의사결정에 관한 기업의 알고리즘 사용을 거부할 수 있도록 허용 ▲알고리즘이 청소년을 포함한 개인을 차별 등의 위험에 빠뜨리지 않도록 알고리즘에 대한 연례 검토를 의무화

- (기업 책임 및 데이터 보안 의무 확립) ▲신원 도용 및 개인정보 침해 방지를 위해 데이터 보안 표준을 마련할 것을 요구 ▲기업이 법률적 요구에 따라 고객의 개인정보 보호에 필요한 모든 조치를 취하도록 경영진에게 책임 부과 ▲개인정보가 해외 적대국(foreign adversary)으로 전송된 경우, 정보주체에게 전송 시점 통지 ▲위반 사항에 대한 단속 권한을 연방거래위원회(FTC)와 각 주에게 부여

- (적용 대상 예외) 고객의 개인정보를 판매하지 않는 소규모 기업은 요건에서 제외

[출처]

  • Lawmakers unveil sprawling plan to expand online privacy protections (Washington Post, 2024.4.7.)

  • Committee Chairs Rodgers, Cantwell Unveil Historic Draft Comprehensive Data Privacy Legislation (Energy&Commerce, 2024.4.7.)