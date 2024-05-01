수년간의 노력과 입법 시도에 실패한 끝에 최근 연방 데이터 개인정보 보호법 초안이 발표되었습니다. 미국 하원 에너지 및 상업 위원회는 2024년 4월 7일에 미국 개인정보 보호 권리법을 발표했습니다. 과거에는 주정부가 더 엄격한 규칙을 발표할 수 있는지, 개인이 회사를 개인정보 침해로 고소할 수 있는지 등 여러 가지 문제가 과거 법안 통과에 걸림돌이 되었습니다.
2024년 미국 개인정보 보호법에 따라 미국 정부는 국가 소비자 데이터 개인정보 보호 권리를 확립하는 최초의 국가 개인정보 보호정책을 수립하고 데이터 보안에 대한 표준도 설정했습니다. 중소기업, 정부, 정부를 대신하여 활동하는 기관, 국립실종학대아동센터(NCMEC) 등 특정 기관은 법안에서 제외됩니다. 사기 비영리 단체는 데이터 보안 표준만 준수하면 됩니다. 이 법의 일환으로 연방거래위원회(FTC)는 위반을 집행하기 위한 새로운 국을 설립할 예정이며, 이는 FTC 법에 따라 불공정하거나 기만적인 관행으로 취급됩니다.
“이번 초당적·양원 합동 초안 법안은 사람들이 자신의 개인정보를 통제할 수 있도록 하는 국가 차원의 데이터 프라이버시 및 보안 기준을 수립할 수 있는, 수십 년 만에 찾아온 최고의 기회입니다.”라고 하원 에너지·상무위원회 위원장 Cathy McMorris Rodgers(공화·워싱턴)와 상원 상무·과학·교통위원회 위원장 Maria Cantwell(민주·워싱턴)은 보도자료에서 밝혔습니다. "이 획기적인 법안은 하원과 상원 모두에서 수년간 성실하게 노력한 결과입니다. 이는 포괄적인 데이터 프라이버시 법안을 의회를 통해 추진하는 데 핵심적인 쟁점들에 대해 의미 있는 균형을 이룹니다. 미국인들은 자신의 데이터를 통제할 권리를 가져야 하며, 하원과 상원의 동료들도 이 법안을 법률로 제정하는 데 함께해 주기를 기대합니다.”
이 법의 핵심 부분 중 하나는 이 법이 선점이라고 하는 현재의 서로 다른 주 개인정보 보호법을 대체한다는 것입니다. 기업은 고객이 거주하는 주의 법률을 따라야 했기 때문에 많은 주에서 다양한 법률을 준수하는 것이 어려웠습니다.
그러나 주에서는 시민권 및 소비자 보호와 같은 일부 경우에는 여전히 자체 개인정보 보호법을 통과시킬 수 있습니다. APRA를 만들 때 입법자들은 캘리포니아, 일리노이, 워싱턴 등 주요 주의 기준을 유지했습니다.
140페이지 분량의 APRA 초안에는 데이터 프라이버시와 관련된 특정 표준 및 프로세스가 자세히 설명되어 있습니다. 새 법안의 다섯 가지 핵심 부분을 소개합니다.
의원들은 데이터 유출로 인해 피해를 입은 개인에게 기업을 고소할 수 있는 권한을 부여한 캘리포니아 소비자 개인정보 보호법(CCPA)의 문구를 사용했습니다. 소송에서 소비자는 실제 손해 배상, 금지 명령 구제, 선언적 구제, 합리적인 변호사 수임료 및 비용을 회수할 수 있습니다. 캘리포니아 거주자는 CCPA에 따라 법정 손해 배상을 받을 수도 있습니다.
조직은 데이터 수집 프로세스와 소비자가 옵트아웃할 수 있는 방법을 자세히 설명하는 개인정보 보호 정책을 마련해야 합니다. 또한 이 법은 명시적으로 허용된 목적에 의해 명시적으로 허용되지 않는 한 개인의 명시적 동의 없이 생체 정보 또는 유전자 정보와 같은 특정 유형의 데이터를 수집하고 전송하는 것을 제한하고 있습니다.
APRA는 미국인에게 기업과 데이터 브로커가 데이터를 전송하거나 판매하는 것을 막을 수 있는 기능을 제공합니다. 소비자는 타기팅 광고를 수신 거부할 수도 있습니다. 또한 이 법에 따라 기업이 민감한 데이터를 제3자에게 전송하려면 소비자의 동의가 필요합니다.
이 법안의 일환으로 FTC는 데이터 브로커 레지스트리를 유지 관리합니다. 모든 데이터 브로커는 자신을 데이터 브로커로 식별하는 공개 웹사이트를 유지해야 합니다. 장애가 있는 개인을 포함한 소비자는 '수집 금지' 메커니즘을 사용하여 웹사이트에서 데이터를 제어하고 수집을 거부할 수 있어야 합니다.
대부분의 기업은 개인정보 보호 담당자 또는 데이터 담당자를 지정할 수 있지만, 대규모 데이터 보유자는 매년 FTC에 제출하는 등 다음과 같은 추가 요구 사항과 함께 두 가지 모두를 지정해야 합니다. 기업은 독립형 직책을 만들 필요가 없지만 이러한 책임을 기존 역할에 추가할 수 있습니다.
이 법은 아직 논의 초안 단계이기 때문에 다음 단계는 아직 설정되지 않았습니다. 해당 법안에 대한 투표나 승인에 대한 공식 날짜는 아직 정해지지 않았습니다. 기업과 소비자 모두에게 영향을 미치기 때문에 미국인은 논의를 신중하게 따라야 하며, 기업은 승인 후 180일 후에 발효되는 규정이 통과될 경우 이를 준수할 준비를 해야 합니다.