Home > 전체기사 > 외신

유럽의 GDPR과 미국 캘리포니아의 CCPA, 다음은 버지니아다

  |  입력 : 2021-02-22 17:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
소비자 보호의 프라이버시 보호가 굳건한 트렌드가 되고 있다. 유럽의 GDPR에 이어, 미국 캘리포니아의 CCPA가 등장하더니 이제는 버지니아 주에서도 비슷한 법안이 주지사의 서명만을 기다리고 있다. 데이터 보안에 관한 국가 차원의 논의에 슬슬 시동이 걸리고 있다.

[보안뉴스 문가용 기자] 미국 캘리포니아 주 다음으로 버지니아 주가 엄격한 소비자 정보 보호법을 곧 갖출 예정이다. 주지사의 승인이 아직 나지 않은 상태지만, 여러 가지 정황 상 주지사 서명은 이미 기정사실이고, 단순 시간문제 혹은 일정 문제로 보인다. 아직 연방 전체를 아우르는 소비자 데이터 보호법이 없기 때문에 주별로 이런 움직임들을 계속해서 선보일 것으로 전망된다.

[이미지 = utoimage]


버지니아 소비자 데이터 프리이버시 보호법(Virginia Consumer Data Privacy Act, VCDPA)의 적용 대상은 최소 10만 명 이상의 소비자 개인정보를 1년 동안 제어 및 처리하거나 최소 2만 5천 명의 소비자 개인정보를 제어 및 처리하는 행위가 전체 수익의 50% 이상을 차지하는 기업들이다. 물론 여기서 말하는 소비자들은 버지니아 주의 주민들을 말한다.

이는 유명한 소비자 보호법인 ‘캘리포니아 소비자 보호법(CCPA)’과는 차이가 나는 부분이다. CCPA에 의하면 소비자 보호법의 적용 대상은 연간 2500만 달러 이상의 수익을 올리고, 5만 명이 넘는 고객 정보를 보유한 기업들, 혹은 수익의 절반 이상이 개인정보 수집과 판매로부터 발생하는 기업들이다.

다만 캘리포니아 소비자 보호법은 캘리포니아 주민만을 말하는 것이 아니라는 점을 고려할 필요가 있다. 또한 VCDPA는 HIPAA나 GLBA라는 표준 및 규정에 적용되는 단체들이나, 비영리단체, 고등 교육 기관, 버지니아 주 내 정부 기관들을 포함하지 않는다.

VCDPA는 개인정보를 어떻게 규정하고 있는가?
VCDPA에 따르면 개인정보란, 자연인을 식별하는 데에 충분히 혹은 직접적으로 도움을 주는 모든 유형의 정보를 말한다. 일반 대중들 사이에 이미 공개된 데이터는 개인정보로 간주하지 않으며, 개인의 식별이 어려운 정보 역시 포함되지 않는다.

또한 소비자의 위치에 있을 때 발생하는 개인정보만을 보호 대상으로 보기 때문에 기업인이나 고용인의 맥락에서 말하는 개인정보는 아직 VCDPA의 보호 대상이 아니다. 한 회사의 영업 사원으로서 배포한 전화번호는 개인정보의 범주에 들어가지 않는다는 뜻이다.

‘민감 정보’란 VCDPA 내에서는 “인종, 종족, 종교, 정신 및 육체 질환과 관련된 진료 기록, 성적 지향, 시민권 및 이민자 지위 관련 정보” 등을 포함한다. 사진, 영상, 음성, 소리 기록들 모두 반드시 VCDPA에 포함된다고 보기 힘든 측면이 있다.

그렇다면 VCDPA는 소비자들에게 어떤 권한을 주는가? 소비자 개인들은 기업들이 처리하는 자신들의 개인정보를 확인할 수 있다. 해당 정보의 복사본과 삭제를 요청할 수도 있다. 뿐만 아니라 표적 광고에 개인정보가 활용되는 것만을 중단시킬 수도 있다. 광고를 위해 소비자를 추적하고 프로파일링하는 것에 대하여 소비자가 주도권을 쥐고 있다는 것이다.

이 법안이 정식으로 통과하여 효과를 발휘하는 건 2023년 1월 1일부터다. 이로써 미국에서는 CCPA와 VCDPA라는 두 가지 소비자 데이터 보호 장치가 만들어지게 되었다. 이는 그 자체로서 완성된 것이 아니다. 오히려 이런 정책들이 늘어나면 연방 정부 차원에서의 소비자 보호 법에 대한 수요 역시 높아질 것이고, 그것이 이런 행정 조치들의 궁극적 목표라고 볼 수 있다. 버지니아 이후로는 메릴랜드, 미네소타, 뉴욕, 워싱턴 등이 따라올 것으로 예상된다.

VCDPA는 얼마나 ‘엄중’할까? 일단 눈에 띄는 조항은 “처리하거나 보유하고 있는 데이터의 양에 따라 책임져야 할 내용이 달라질 것”이라는 부분이다. 많은 데이터를 처리하거나 보유할수록 높은 수준의 처벌이 가해질 것이라는 뜻으로 해석된다. 그렇기에 또 다른 조항을 통해 VCDPA는 “적절하게, 꼭 필요한 것만큼의 개인정보만을 수집해야 한다”고 규정하고 있다. 사업과 데이터 양의 연관성을 분명하게 이해하고, 그대로 이행하라는 것이다.

대비해야 할 것은 버지니아 주민들을 대상으로 한 기업체들만이 아니다. 앞서 설명했다시피 소비자 데이터를 함부로 수집하거나 저장할 수 없도록 하는 규정은 세계적으로 번지고 있는 중이다. CCPA와 VCDPA는 이 주제의 논의를 부추기는 장치들일 뿐이다. 기업 활동을 하고 있는 모든 조직들은 소비자의 데이터, 자연인의 개인정보에 대한 개념을 새로이 정립해 사업에 적용해야 한다. 그것이 새 ‘기업 윤리’다.

글 : 베스 버긴 월러(Beth Burgin Waller), Woods Rogers
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

김현도 2021.02.23 11:13

CCPA 대상중에 50만명 개인정보 보유가 아니라 5만명으로 알고 있습니다, 확인 및 정정해주세요.본문 내용중: ~ "50만 명이 넘는 고객 정보를 보유한 기업들" ~


  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비