드디어 미국도 개인정보에 대해 연방법을 만든다. 미국 하원은 지난 6월 민간 부문의 개인정보를 포괄적으로 규율하는 '연방개인정보보호법안(American Data Privacy and Protection Act, 이하 ADPPA)'을 발의하였다. 그간 미국은 유럽의 GDPR이라는 강력한 개인정보 보호 법제와 대비되게 특정 분야 또는 캘리포니아 등 주별로 개인정보 보호법 제정하여 시행하였을 뿐 연방 차원의 일반법은 없었다.
ADPPA의 개인정보 개념은 우리나라 개인정보 보호법과 다르지 않으나, 민감정보의 개념은 우리나라에 비해 아주 넓어서 금융정보, 통신정보, 위치정보, 계정 또는 장치 로그인 자격 증명, 개인 일정이나 개인적으로 사용하기 위해 유지 관리하는 영상물, 개인이 요청하거나 선택한 방송 서비스 내역, 17세 미만의 미성년자임을 인지하고 처리하는 정보까지도 포함하고 있다. 적용 제외 데이터로 비식별화된 데이터 외에도 기업이 직접 처리하는 피고용인의 데이터를 제시하고 있다. ADPPA는 명시적인 동의 기반으로 개인정보를 처리하되 특정한 경우 동의 없이 개인정보를 처리할 수 있도록 하는데 시스템의 유지·관리나 기능의 오류 수정, 제품 또는 서비스의 사용자 인증, 보안 사고 방지나 대응을 위한 제품 또는 서비스의 보증 등 그 범위가 우리나라 법보다 넓다. ADPPA는 개인정보처리위탁도 규정하는데, 이를 위한 계약 사항과 위탁자의 수탁자에 대한 관리·감독 등의 내용이 우리 법과 유사하다. 개인정보처리자가 FTC의 기준에 따라 Privacy by Design을 시행해야 하는 것을 우리 법과 다르다. ADPPA는 17세 미만의 미성년자에 대한 타깃 광고를 금지하고 법정대리인의 동의 없는 정보 이전 역시 금지한다. 특히 대규모 정보보유자는 매년 FTC의 인증을 받고 개인정보영향 평가를 실시해야 하며, 개인에게 잠재적인 피해를 줄 수 있는 알고리즘을 사용하는 대규모 정보보유자는 알고리즘 영향평가를 실시해야 하는데 이는 우리 법과 큰 차이점이다. 정보주체의 권리는 우리 법과 유사하다.
ADPPA의 제정은 국내외 개인정보 보호 법제가 따로 입법되었으나 비슷한 방향으로 수렴한다는 것을 다시 한번 보여주는 것이자, 자율규제 중심의 미국 개인정보 보호 체계가 변한다는 것을 의미한다. 우리 기업도 그 영향을 받게 되므로, 유럽의 GDPR 외에도 ADPPA에 대한 대비가 필요하다.
이근우 변호사 (법무법인 화우)