개인정보 보호위원회

미국: 특정 국가의 미국인 민감정보 접근을 제한하는 최종 규정 발표

미국 법무부는 특정 국가의 민감정보 접근을 제한하기 위한 최종 규정을 시행하고, 데이터 범주·거래 유형·보안 요건 및 제재 기준을 명확히 규정

-2025년 4월 8일, 미국 법무부(Department of Justice)는 행정명령 14117호(Executive Order 14117, EO)*를 근거로, 우려 국가 또는 관련 인물의 미국인 민감정보 접근을 제한하는 최종 규정(Final Rule)을 시행함.

* 미국인에 대한 대량 민감정보 및 정부 관련 데이터에 대한 우려 국가의 접근 방지

-해당 규정은 미국인의 민감한 개인정보 및 정부 관련 데이터를 보호하기 위한 조치로, 규제 대상 국가는 중국, 러시아, 이란, 북한, 쿠바, 베네수엘라 등 6개국으로 정의됨. 이들 국가에 실질적으로 소속된 외국 법인, 자회사, 거주자 및 계약 인력과의 특정 데이터 거래를 제한 또는 금지함.

-적용 대상 정보는 ▴유전체 정보 ▴오믹스 정보* ▴생체 인식 정보 ▴건강정보 ▴위치정보 ▴금융정보 ▴행정정보 ▴기타 개인 식별자 등 8개 범주이며, 유형별로 100~100,000명 이상의 ‘대량(bulk)’ 정보의 경우 용납할 수 없는 리스크(unacceptable risk)으로 간주함.

* 인간의 유전체, 단백질체, 대사체, 전사체, 후성유전체, 마이크로바이옴(세균·바이러스 등 인체 내 미생물)에서 파생된 데이터

-금지되는 거래는 데이터 브로커를 통한 개인정보 판매와 오믹스 정보를 포함한 데이터 거래 등이며, 외부 서비스 제공 계약, 고용, 투자 계약 등은 ‘제한 거래’로 분류됨. 이 경우, 사이버안보국(Cybersecurity and Infrastructure Security Agency)이 제시한 ‘보안 요건’을 충족하는 경우에만 예외적으로 허용됨.

-보안 요건에는 ▴다중 인증 ▴접근 통제 ▴로그 기록 ▴비식별화 ▴암호화 등의 기술·관리적 조치가 포함되며, 해당 요건은 2025년 10월 6일까지 이행되어야 함.

-또한, 규정 위반 시 국제긴급경제권한법(International Emergency Economic Powers Act, IEEPA)에 따라 민사벌금이 부과되며, 최대 368,136달러 또는 거래금액의 2배 중 더 큰 금액이 과태료로 책정됨.

-이번 규정은 민감정보의 무분별한 해외 유출을 사전에 차단하고, 국가안보와 개인정보 보호를 동시에 확보하기 위한 고강도 대응 조치로 평가됨.

출처: USA: Final rule on access to sensitive data enters into force (Dataguidance, 2025.04.08)

       NSD 104 - Data Security - 1124-AA01 - Final Rule (U.S. Department of Justice, 2025.04.08.)