종합 데이터 프라이버시 보호 법률 체계가 미 의회를 통과할 것이라는 기대감이 그 어느 때보다 더 커진 상태이다. 미 하원과 상원 핵심 위원회 지도자가 2024년 4월 초 데이터 프라이버시와 관련하여 새로운 법안을 추진하기로 합의하였기 때문이다.
양당의 지지를 받아 발의된 미국 개인정보보호법(American Privacy Rights Act)은 기업이 수집, 보관, 사용 가능한 사용자 데이터 종류를 제한하면서 기업의 자체 서비스 운영에 필요한 데이터만 수집하여 활용하도록 한다. 사용자는 기업에 맞춤 광고가 등장하지 않도록 설정할 수 있으며, 온라인 서비스 관련 데이터 수정과 삭제, 다운로드도 가능하다. 미국 개인정보보호법 규정에 따라 국가 차원 데이터 중개 기관 등록 기관을 설립하고, 데이터 중개 기관은 사용자가 개인 데이터 판매 대상에서 제외할 수 있도록 지원해야 한다.
미국 하원 에너지상무위원회 의장이기도 한 캐시 맥모리스 로저스(Cathy McMorris Rodgers) 의원은 “포괄적인 프라이버시 보호를 골자로 한 미국 개인정보보호법은 미국 시민에게 개인 정보가 전달되는 곳과 판매 자격이 있는 개인이나 기관을 통제할 권리를 부여한다. 사용자 개인은 기업이 당사자가 알지 못하는 사이에 동의 없이 개인행동 추적, 예측, 조작 등으로 매출을 올리는 행위를 금지하는 방식으로 테크 업계 대기업을 대상으로 통제 권력을 갖게 된다. 개인 정보 관리 권한을 원하여 의회와 선출된 연방 정부 및 지방 정부 의원의 대응을 기다린 시민이 압도적으로 많다”라고 말했다.
미 의회는 지난 수십 년 동안 모든 규정을 통합하여 사용자 데이터 보호를 보장하는 연방 차원의 포괄적인 법률을 확립하려 했다. 그러나 다수 국회의원이 주 정부 차원의 더 엄격한 데이터 보호 규정 제정 방지, 프라이버시 침해 기업에 맞선 개인의 소송 제기 등 개인행동 권리 허용 여부 등을 중심으로 오랫동안 의견 차이를 좁히지 못했다.
[사진=Pixabay]
2024년 4월 7일(현지 시각), 맥모리스 로저스 의원은 더스포크스맨리뷰(The Spokesman Review)와의 인터뷰에서 미국 개인정보보호법 초안 규정이 이미 시행 중인 개인 정보 보호 관련 법률보다 더 강력한 용어를 택했다고 전했다. 오랫동안 주정부 차원의 기존 개인 정보 관련 법률 사전 폐지 시도를 두고 다툰 민주당 의원의 우려를 완화하려는 시도로 보였다. 미국 개인정보보호법은 주 정부 차원의 시민권과 소비자 보호 권리 등과 관련된 자체 프라이버시 법률 통과를 허용한다.
이전 하원 에너지상무위원회 지도부는 상원상무위원회장인 로저 위커(Roger Wicker) 공화당 상원 의원과 함께 캘리포니아 소비자프라이버시법(California Consumer Privacy Act)과 일리노이주 생체정보프라이버시법(Biometric Information Privacy Act)을 예외로 한 주 정부 법률 사전 폐지 법안을 두고 논의했다. 미국 데이터프라이버시보호법(American Data Privacy and Protection Act)이라는 이름으로 논의된 해당 법률도 대다수 민주당 의원이 지지한 법안보다 프라이버시 권리 대응 방안을 마련했다. 현 상원 상무위원회 의장인 마리아 캔트웰(Maria Cantwell) 의원은 미국 데이터프라이버시보호법을 거부하고, 직접 작성한 법안 초안 발의에 나섰다. 미국 데이터프라이버시보호법은 다시 발의되지 않았으나 미국 개인정보보호법은 오랫동안 이어진 의견 차이를 두고 타협할 조건으로 작성되었다.
캔트웰 의원은 더스포크스맨리뷰와의 인터뷰에서 “미 의회가 개인정보 보호라는 매우 중요한 문제를 해결할 실마리를 찾았다고 생각한다. 미 의회는 캘리포니아주, 일리노이주, 워싱턴주의 개인 정보 보호 표준을 보호한다”라고 말했다.
미국 개인정보보호법 규정에는 사용자가 데이터 침해 피해를 겪었을 때 기업을 제소할 권리를 명시한 캘리포니아주의 대표적인 프라이버시 법률에 적용된 표현이 포함되었다. 또한, 미국 연방거래위원회(FTC), 주 정부 법무 장관, 시민 누구나 법률을 위반한 기업을 상대로 소송을 제기할 권리를 부여한다.
상원상무위원회의 법안 요약문에 따르면, 미국 개인정보보호법 시행 대상에 해당하는 데이터 유형에는 개인이나 기기를 식별하는 정보 혹은 개인이나 기기와 연결되거나 연결이 가능한 정보가 포함되었다. 연 매출 4,000만 달러 이하이면서 데이터 수집 범위가 제한적인 영세기업도 미국 개인정보보호법 적용 대상에서 제외된다. 연 매출 2억 5,000만 달러 이상인 기업을 집중적으로 규제한다. 정부 기관과 정부 기관을 대신하여 데이터 수집 작업을 하는 기관도 미국 개인정보보호법 적용 대상에서 제외된다. 국립 실종학대아동방지센터(National Center for Missing and Exploited Children)와 특정 사이버보안 조항을 준비하는 행위, 사기 퇴치 비영리 단체 등도 법안 적용 대상에 해당하지 않는다.
하원 에너지상무위원회의 민주당 소속 최고 위원인 프랭크 펄론(Frank Pallone) 의원은 공식 성명을 통해 미국 개인정보보호법이 매우 강력하다고 주장했다. 그러나 더 엄격한 아동 안전 조항으로 법안을 더 강화하고자 한다고 밝혔다.
미국 개인정보보호법이 승인에 필요한 지지를 받을 가능성은 아직 확실하지 않다. 하원 에너지상무위원회 보좌관은 다른 국회의원과 법안 서명을 두고 대화 중이라고 밝혔다. 현재 발의된 법안은 초안 논의가 진행 중이다. 하지만 법안 정식 도입 날짜는 공식적으로 확정되지 않았다. 캔트웰 의원과 맥모리스 로저스 의원은 수주간 다른 의원과 법안을 두고 논의하여 피드백을 받은 뒤 2024년 4월 중으로 위원회에 논의 결과를 전달할 예정이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202404/5471_7071_378.jpg)
뉴스레터 신청