법률체계
미국의 개인정보보호 법제는 EU의 GDPR과 같은 개인정보보호에 관한 일반법을 갖고 있지 않음
• 미국은 개별법주의의 법률 체계를 취하고 있어 일반법보다는 각 영역에서 개인정보 보호의 요구가 있을 때 별도의 법률을 제정하는 방식을 택하고 있음
• 다만, EU의 GDPR을 필두로 전 세계적으로 일반 개인정보보호법을 도입하는 국가가 늘어남에 따라 미국 의회도 연방 개인정보보호법(안)을 발의1)한 바 있음
• 한편, 미국의 법률 체계는 연방법 법률체계와 주(州) 법률체계로 양분되어 있어 개인정보보호 관련 법률도 이와 같이 구분해서 보아야 함
연방법 법률체계에서는 개인정보보호를 광범위하게 포괄 규율하는 일반법은 존재하지 않음
• 연방법 체계에서는 일반법 대신 개별적인 법률이 공공 및 민간부문의 산업별 개인정보 보호를 각각 규율하는 형식을 취함
- 다만, 연방의 공공부문이 보유한 개인정보를 보호 및 규율하기 위한 ‘74년 제정 프라이버시법 (Privacy Act of 1974)은 공공부문의 개인정보보호 일반법으로서 역할을 담당
< 개인정보보호 분야 연방법률 > 2)
| 공공 부문 | 민간 부문 |
• 정보공개법 (Freedom of Information Act, 1966) • 프라이버시법 (Privacy Act, 1974) • 컴퓨터보안법 (Computer Security Act, 1987) • 컴퓨터정보 결합 및 프라이버시보호법 (Computer Matching and Privacy Protection Act, 1988) • 운전자 프라이버시보호법 (Driver's Privacy Protection Act, 1994) • 전자정부법 (E-government Act, 2002) | • 공정신용조사법 (Fair Credit Reporting Act, 1970) • 가족의 교육권 및 프라이버시법 (Family Education Rights and Privacy Act, 1974) • 금융프라이버시권리법 (Right to Financial Privacy Act, 1978) • 프라이버시보호법 (Privacy Protection Act, 1980) • 케이블통신정책법 (Cable Communications Policy Act, 1984) • 전자통신프라이버시법 (Electronic Communication Privacy Act, 1986) • 컴퓨터 사기 및 남용 방지법 (Computer Fraud and Abuse Act, 1986) • 비디오 프라이버시보호법 (Video Privacy Protection Act, 1988) • 근로자 거짓말 탐지기 보호법 (Employee Polygraph Protection Act, 1988) • 전화소비자보호법 (Telephone Consumer Protection Act, 1991) • 법 집행을 위한 통신지원법 (Communications Assistance for Law Enforcement Act, 1994) • 전기통신법 (Telecommunications Act, 1996) • 건강보험관리 및 책임에 관한 법률 (Health Insurance Portability and Accountability Act, 1996) • 아동 온라인 프라이버시보호법 (Child Online Privacy Protection Act, 1998) • 금융현대화법 (Gramm-Leach-Bliley Act, 1999) • 대테러감시법 (Patriot Act, 2001) • 아동착취행위소추법 (The Protection Act of 2003, “Prosecutorial Remedies and Other Tools to end the Exploitation of Children today) |
주(州) 법률체계에서도 연방법과 마찬가지로 각 영역별로 개별적 개인정보보호 법률을 두고 있는 것이 일반적이나, 캘리포니아주를 필두로 점차 전 분야를 아우르는 포괄적인 개인정보 보호법을 제정하는 추세 3)
• 캘리포니아주는 미국 최초의 민간분야 개인정보보호 일반법인 캘리포니아 소비자 개인정보보호법(California Consumer Privacy Act)을 ‘18년 제정
- 이후 ’20년 11월 3일, CCPA를 일부 개정하기 위한 법안인 Proposition 24(또는 California Privacy Rights Act of 2020, 이하 CPRA)가 제정되었으며,
- CPRA를 통해 도입 및 개정된 CCPA의 조항(이하 CPRA 규정)은 ’23년 7월 시행 예정이었으나, 새크라멘토 상급 법원은 CPRA 규정의 시행일을 ‘24년 3월로 연기(’23.6.)4)
- CCPA의 세부사항을 정하고 있는 하위 규정 CCPA Regulations은 ‘23년 3월 29일부로 시행되었음 5)
< CPRA의 주요 내용 >
| 조항 | 의무사항 세부 내용 |
| 개인정보 감독기관 설립 | • 동법은 미국 최초의 개인정보 감독기관인 캘리포니아 개인정보 감독기관(California Privacy Protection Agency, CPPA) 설립을 위한 근거조항이 포함되어 있으며, 감독기관이 동법을 위반한 사업체, 서비스 제공업체, 계약업체, 개인 등에 대해 각 위반당 행정벌금을 부과할 근거를 마련 |
| 적용대상 축소 | • 사업자 중 연간 5만~10만 명의 개인정보를 관리·처리하는 사업자를 CPRA 적용대상에서 제외함으로써 기존 CCPA 대비 영세 사업자의 법률 준수 부담을 낮춤 |
| 민감정보 정의 규정 | • 개인정보 개념에서 민감정보 개념을 분리하여 새로이 정의하고 민감정보 공개 및 활용을 엄격히 제한하는 등 기업에 민감정보 관련 추가 의무를 부과 |
| GDPR 원칙 일부 도입 | • EU GDPR상의 개인정보 처리 원칙 중 ,개인정보 최소처리 원칙 ,목적 제한 원칙 ,보유기간 제한 원칙을 CPRA에 반영 |
| 소비자의 권리 확대 | • 소비자는 ,부정확한 정보에 대한 정정 청구권 ,자동화된 의사결정 거부권 ,자동화된 의사결정에 대해 알 권리 ,민감정보 공유 및 사용 거부권 등을 추가적으로 행사 가능 |
| 기업의 의무 강화 | • 사업체는 ,개인정보보호 의무 등을 명시한 계약 작성 의무화 ,기업의 보안 절차 등을 합리적으로 구현하여 개인정보를 보호하는 보안책임을 부담하는 등 한층 강화된 기업 의무를 짐 |
출처 : 넥스텔리전스 정리 (‘23.11.)
• 뒤이어 ,버지니아주 ,콜로라도주 ,코네티컷주 ,유타주 ,플로리다주 ,오레곤주 ,몬태나주 ,아이오와주 ,텍사스주 ,델라웨어주 ,테네시주 ,인디애나주 등 13개 주도 포괄적인 개인정보보호법을 제정하기에 이르렀으며, 현재 개인정보보호법이 제정된 주는 총 14개 주로 확대 6)
< 미국 주(州) 포괄적 개인정보 보호법 제정 현황 >
(정렬: 시행일 기준)
| 주 | 법명 | 제정일 | 시행(예정)일 |
| 캘리포니아주 | California Consumer Privacy Act (CCPA) | ‘18.6.28. | ‘20.1.1. |
| 버지니아주 | Consumer Data Protection Act (CDPA) | ‘21.3.2. | ‘23.1.1. |
| 콜로라도주 | Colorado Privacy Act (CPA) | ‘21.7.7. | ‘23.7.1. |
| 코네티컷주 | Connecticut Act Concerning Personal Data Privacy and Online Monitoring (CTDPA) | ‘22.5.10. | ‘23.7.1. |
| 유타주 | Consumer Privacy Act (UCPA) | ‘22.3.24. | ‘23.12.31. |
| 플로리다주 | Florida Digital Bill of Rights (FDBR) | ‘23.6.6. | ‘24.7.1. |
| 몬태나주 | Consumer Data Privacy Act (MCDPA) | ‘23.4.21. | ‘24.10.1. |
| 아이오와주 | Iowa Consumer Data Protection Act (ICDPA) | ‘23.3.29. | ‘25.1.1. |
| 텍사스주 | Texas Data Privacy and Security Act (TDPSA) | ‘23.6.18. | ‘25.1.1. |
| 델라웨어주 | Delaware Personal Data Privacy Act (DPDPA) | ‘23.9.11. | ‘25.1.1. |
| 테네시주 | Tennessee Information Protection Act (TIPA) | ‘23.5.11. | ‘25.7.1. |
| 인디애나주 | Consumer Data Protection Act (ICDPA) | ‘23.5.1. | ‘26.1.1. |
출처 : 넥스텔리전스 정리 (‘23.11.)
• ‘23년 11월 기준, 총 8개 주에서 개인정보보호법 제정 시도가 있었거나 현재 제정 움직임을 보이며, ,메인주 ,매사추세츠주 ,미시간주 ,뉴햄프셔주 ,뉴저지주 ,노스캐롤라이나주 ,펜실베이니아주 ,위스콘신주 등이 대표적 7)
GDPR과 CPRA에 의해 개정된 CCPA(이하 개정 CCPA) 8) 주요 내용 비교9)
| 구분 | GDPR | 개정 CCPA |
| 개인정보 | • 자연인을 직·간접적으로 식별할 수 있는 모든 정보 | • 직접 또는 간접적으로 특정한 소비자 또는 가구(household)를 식별하거나 관련짓거나 설명하거나 합리적으로 연관·연결될 수 있는 정보 • GDPR과 같이 개인정보를 광범위하게 규정하나 ‘가구(household)’가 포함되는 것이 특징 |
| 적용대상 | • EU 역내에 사업장을 가지고 있는 기업 또는 EU 역외에서 EU 내에 거주하는 사람에게 재화나 서비스를 제공하는 기업 • CPRA보다 대체적으로 범위가 넓음 | • 캘리포니아 지역 내에서 사업을 하는 사업체 |
| 아동 보호 | • 아동이 개인정보 처리에 동의하는 경우 아동이 최소 16세 이상인 경우에만 적법
| • 16세 미만 소비자의 개인정보를 판매하기 위해서는 해당 소비자 등의 적극적인 승인이 필요 - 소비자가 13세에서 16세 사이일 경우 자신의 개인정보 판매를 적극적으로 승인해야 판매 가능 - 소비자가 13세 미만인 경우 부모 또는 보호자가 개인정보 판매를 적극적으로 승인해야 함 |
| 공개청구권 | • 개인정보가 정보주체로부터 직접적으로 수집될 때 정보주체는 컨트롤러에 자신의 정보가 어떻게 처리되고 있는지 공개할 것을 요청할 수 있음 | • 소비자는 개인정보를 수집하는 사업체에 대해 부정확한 개인정보의 정정을 요청할 권리를 가짐 |
| 정정권 | • 정보주체는 본인에 관한 부정확한 개인정보를 부당한 지체 없이 정정하도록 컨트롤러에게 요구할 권리를 가짐 | • 소비자는 개인정보를 수집하는 사업체에 대해 부정확한 개인정보의 정정을 요청할 권리를 가짐 - 기존 CCPA에서는 존재하지 않았던 권리였으나 CPRA를 통해 새로이 도입 |
| 삭제권 | • 정보주체는 본인에 관한 개인정보를 부당한 지체 없이 삭제하도록 컨트롤러에 요청할 권리를 가짐 • 단, 삭제청구권을 사용할 수 있는 요건을 6가지로 한정 - 개인정보가 수집 목적 또는 다른 방식으로 처리되는 목적에 더 이상 필요하지 않은 경우 - 정보주체가 동의를 철회하고 해당 처리에 대한 다른 법적 근거가 없는 경우 - 정보주체가 제21조제1항(국가 안보·국방·공공안보·범죄예방)에 따라서 처리에 반대하고 관련 처리에 대해 우선하는 정당한 사유가 없는 경우, 또는 제21조제2항에 따라서 직접 마케팅을 위한 처리에 반대하는 경우 - 개인정보가 불법적으로 처리된 경우 - 컨트롤러에 적용되는 유럽연합 내지 회원국 법률에 따른 법적 의무 준수를 위하여 삭제되어야 하는 경우 - 아동에게 직접 제공되는 정보사회서비스와 관련하여 개인정보가 수집된 경우 | • 소비자는 개인정보를 수집한 사업체에 대해 정보를 특정 요건 없이도 삭제할 것을 요청할 수 있음 |
| 반대권 10) | • 직접 마케팅 ,컨트롤러의 적법한 이익 또는 공적 업무 수행에 근거한 개인정보 처리 ,과학적·역사적 연구 및 통계 목적의 처리 시 정보주체의 반대권 보장 | • 소비자는 자신의 개인정보를 제3자에게 판매하는 사업체에 언제든지 자신의 개인정보를 판매하거나 공유하지 말 것을 지시할 수 있는 권리 보유 • 또한 자신의 민감정보를 수집하는 사업체에 대해, 서비스 수행 및 상품 제공에 필요한 용도로만 민감정보를 사용하도록 제한할 권리 보유
|
| 차별금지 의무 등 | • 일반적 수준에서 개인정보 주체가 자신의 GDPR상 권리를 행사함으로 인해 사업체로부터 차별을 받지 않을 권리 규정 | • 사업체는 소비자가 법률에서 인정하는 소비자 권리를 행사하였더라도 가격, 요율, 상품, 서비스 면에서 소비자를 차별해서는 안 됨 • 사업체는 개인정보의 수집, 판매 또는 보유에 대하여 소비자에게 재정적 인센티브를 제공할 수 있음 • 소비자가 공개청구권을 행사할 수 있도록 하기 위해 두 가지 이상외 방법(최소한 무료전화번호 포함) 마련 필수 |
| 법집행수단 | • (소송) GDPR 위반에 대해 EU회원국 법률에 따라 법원에 손해배상 청구가능 • (감독기관 제재) GDPR을 심각하게 위반하는 경우, 개인정보 감독기관은 최대 직전 회계연도의 글로벌 매출액의 4% 또는 2,000만 유로 중 더 큰 금액의 과징금 부과 가능 | • (소송) 소비자가 30일 간의 시정기간을 사업체에게 부여한 후 시정이 되지 않으면 민사소송 제기 가능 • (검찰총장 제재) 주 검찰총장(Attorney General)이 캘리포니아 주민의 이름으로 민사소송을 제기하여 법원에 각 위반 건당 2,500달러에서 7,500달러의 민사벌금을 부과할 것을 청구할 수 있음 • (감독기관 제재) 캘리포니아 개인정보 감독기관은 사업체, 서비스 제공업체, 계약업체, 개인 등이 동법 위반 시 각 위반 건당 최대 2,500달러에서 7,500달러의 행정 벌금을 부과할 수 있음 |
1) American Data Privacy and Protection Act (H.R.8152). ‘22년 12월 말 기준 회기 경과로 인해 법안이 폐기됨
2) https://www.privacy.go.kr/pic/nation_usa.do (개인정보보호위원회 개인정보보호 국제협력센터)
3) 현재 미국에서는 연방 개인정보보호법이 제정되지 않았기에, 이하 본고에서는 캘리포니아주를 중심으로 법 행정체계 및 주요 위반사례를 소개하고자 함
4) 동 결정은 캘리포니아 상공회(California Chamber of Commerce)가 제기한 소송에 따른 것으로, 본래 ’22년 7월까지 확정되었어야 했던 최종 CCPA 규정(개정안을 반영한 규정)이 ‘23년 3월에야 마련된 점을 감안하여 기업들이 새로운 규정을 준수할 수 있는 충분한 시간을 가질 수 있도록 하기 위함임. 한편 이에 대해 캘리포니아주 개인정보 감독기관(CPPA) 및 법무장관(AG), 새크라멘토 카운티 고등법원의 CPRA 규정 시행 연기 판결에 불복하여 항소를 제기한 상태이며, 새크라멘토 재판부의 판결과 무관하게 캘리포니아주 법무장관은 ’23년 7월, 대규모 고용주들이 CCPA의 개인정보 보호 규정을 준수하는지 검토하기 위한 대규모 조사를 실시한다고 발표한 바 있음. (https://www.whitecase.com/insight-alert/cpra-enforcement-activity-underway-despite-court-ruling-delay 참고)
5) https://cppa.ca.gov/regulations/pdf/cppa_regs.pdf
6) https://www.dataguidance.com/comparisons/usa-privacy-laws
7) https://iapp.org/media/pdf/resource_center/State_Comp_Privacy_Law_Chart.pdf, https://iapp.org/media/images/resource_center/State_Comp_Privacy_Law_Map.png
8) CPRA는 CCPA를 개정하는 법안일 뿐, 별도의 새로운 법률을 제정하지 않음. 따라서 혼란을 방지하기 위해 본고에서는 CPRA를 통해 개정된 CCPA를 ‘개정 CCPA’로 칭하고자 함
9) 정인영, ”페이스북의 개인정보 침해에 대한 미국 내 입법, 사법, 행정적 대응현황(1)“, 경제규제와 법 제12권 제2호, ‘19.11.; 이창민, “캘리포니아 소비자 프라이버시법(CCPA)에 대한 비교법적 연구, 한국정보법학회, ‘20.5.30.; iapp.org, ”Comparison of Comprehensive Data Privacy Laws in Virginia, California and Colorado”, ‘21.7. 등 참고
10) CCPA를 개정한 CPRA에서는 명시적으로 반대권을 규정하고 있지 않으나, CRPA가 민감정보를 광범위하게 정의하고 있는 것을 고려하면, 개인정보 판매 및 공유 거부 권한을 통해 실질적으로 GDPR상의 반대권에 근접하는 소비자 권리를 행사할 수 있게 된다는 견해가 있음. Tom Kemp, “Comparing Consumer Rights: GDPR vs. CCPA vs. CPRA”, 2020.5.30. https://tomkemp.blog/2020/05/30/comparing-consumer-rights-gdpr-vs-ccpa-vs-cpra/
이 누리집은 대한민국 공식 전자정부 누리집입니다.
