최근 미국 하원 에너지통상위원회에서 공개된 ‘SECURE Data Act’ 초안을 두고 데이터 프라이버시 전문가들 사이에서 우려의 목소리가 커지고 있습니다.
Electronic Frontier Foundation(EFF)은 이 법안이 소비자의 개인정보보호 권리를 실질적으로 강화하기는커녕, 오히려 기존의 불충분한 주(州) 차원의 보호 장치마저 약화시킬 수 있다고 경고했습니다.
‘SECURE Data Act’의 근본적인 문제점
이번에 공개된 SECURE Data Act 초안은 과거 의회에서 논의되었던 제안들보다 후퇴했으며, 이미 시행 중인 21개 주의 소비자 개인정보보호법보다도 미흡하다는 평가를 받고 있습니다.
가장 큰 문제는 이 법안이 수백 개에 달하는 기존 주(州) 차원의 개인정보보호 규정을 무력화할 수 있다는 점입니다.
또한, 소비자가 자신의 권리를 보호하기 위해 직접 기업을 상대로 소송을 제기할 수 있는 ‘개인 소송권(private right of action)’이 포함되어 있지 않아, 기업의 위법 행위에 대한 실질적인 제재가 어려울 것으로 예상됩니다.
더불어 온라인 행동 광고를 전면 금지하는 조항도 찾아볼 수 없어, 기술 기업들의 끊임없는 개인 데이터 수집 경쟁을 제어하지 못할 것이라는 비판을 받고 있습니다.
소비자의 데이터 통제 권한, 과연 강화되는가?
SECURE Data Act는 소비자가 자신의 개인 데이터에 접근, 수정, 삭제, 그리고 제한적인 이동성을 요구할 수 있는 몇 가지 권한을 부여하는 것처럼 보입니다.
이러한 권한은 최근 데이터 프라이버시 제안에서 표준처럼 자리 잡고 있습니다.
또한, 기업은 소비자의 민감한 데이터를 처리하거나, 기존에 고지되지 않은 목적으로 개인 데이터를 사용하기 전에 소비자의 동의를 얻어야 합니다.
소비자의 동의 없이는 이러한 행위가 금지됩니다.
나아가, 소비자는 (1) 타겟 광고, (2) 개인 데이터의 판매, (3) 법률, 의료, 주거, 고용에 영향을 미치는 프로파일링에 대해 ‘옵트아웃(opt-out, 거부)’할 수 있는 권한을 갖게 됩니다.
하지만 이러한 권한 역시 소비자가 적극적으로 거부 의사를 표시해야만 효력을 발휘하며, 기업은 소비자가 거부하지 않는 한 이러한 침해적인 행위를 계속할 수 있습니다.
데이터 중개업체(data broker)의 경우, 개인 데이터 판매로 수익의 50% 이상을 얻는다면 연방거래위원회(FTC)가 관리하는 공개 데이터베이스에 등록해야 합니다.
주(州) 법규를 무력화하는 연방 법안의 위험성
이상적인 연방 개인정보보호법은 소비자의 권리가 강화될 수 있도록 주(州) 법규가 연방 법규의 기준 위에서 더욱 발전할 수 있도록 허용해야 합니다.
HIPAA(건강보험 양도 및 책임에 관한 법률), VPPA(비디오 프라이버시 보호법), ECPA(전자 통신 개인정보 보호법)와 같은 기존 연방법들이 이러한 방식을 따르고 있습니다.
그러나 SECURE Data Act는 이러한 접근 방식과는 정반대로, 수십 개, 어쩌면 수백 개의 기존 주(州) 개인정보보호 규정을 무력화할 가능성이 높습니다.
법안 제15조는 법안의 조항과 ‘관련된’ 모든 법률, 규칙, 규정, 요구사항, 표준 등을 무효화한다고 명시하고 있습니다.
이는 지난 몇 년간 통과된 21개 주의 소비자 개인정보보호법을 사실상 폐기하는 결과를 초래할 수 있습니다.
비록 이러한 주 법안들이 완벽하지는 않지만, 현재 제안된 연방 법안보다는 훨씬 강력한 보호를 제공합니다.
예를 들어, 캘리포니아주는 데이터 중개업체 삭제 도구를 운영하고 있으며, EFF의 Privacy Badger에 내장된 자동 옵트아웃 신호를 준수하도록 기업에 요구합니다.
SECURE Data Act는 데이터 프라이버시 및 보안과 관련된 조항을 포함하고 있어, 50개 모든 주의 데이터 침해 사고 관련 법률뿐만 아니라 다른 많은 법률까지 무효화할 수 있습니다.
또한, 생체 인식 또는 위치 정보 판매 금지와 같이 민감한 데이터의 특정 조항과 관련된 주 법률을 무효화할 수도 있습니다.
캘리포니아주와 같이 개인의 프라이버시 권리를 보호하는 헌법 조항을 가진 주에서는, 이러한 헌법 조항이나 주 법원의 개인정보 침해 관련 소송(privacy torts)까지도 위험에 처할 수 있습니다.
개인 소송권 부재와 형식적인 ‘시정 기간’ 문제
강력한 소비자 개인정보보호법은 소비자가 자신의 권리를 보호하기 위해 기업을 상대로 법적 조치를 취할 수 있도록 해야 합니다.
규제 기관만으로는 모든 위반 사례를 포착하기 어렵고, 현재 행정부에서는 연방 소비자 집행 기관의 예산이 대폭 삭감되었기 때문에 이는 더욱 중요합니다.
SECURE Data Act에는 개인 소송권이 명시적으로 포함되어 있지 않습니다. 법 집행 권한은 주로 FTC와 주 검찰총장에게 부여됩니다.
또한, 이 법은 기업이 위반 사실이 적발되었을 때, 아무런 제재 없이 45일간의 ‘시정 기간(cure period)’을 부여합니다.
이는 사실상 기업이 문제를 해결할 시간을 주는 것이지만, 피해를 입은 소비자에게는 실질적인 구제가 지연되는 결과를 낳을 수 있습니다.
제8조는 기업이 ‘독립적인 조직’으로부터 감사를 받고 ‘행동 강령’을 준수할 경우, 법 준수에 대한 추정치를 부여하는 모호하게 정의된 자체 규제 체계를 만듭니다.
이는 법안이 규제 기관에 새로운 보호 조치를 집행할 자원을 제공하지 않는다는 점을 암묵적으로 인정하는 것입니다.
제9조는 상무부 장관에게 ‘미국의 안보 이익’을 평가하는 것을 포함하여 ‘개인 데이터의 국제적 흐름을 지원하기 위해 필요하고 적절한 모든 조치를 취할’ 수 있는 광범위한 권한을 부여합니다.
이 불명확한 조항의 범위는 불분명하지만, 소비자 보호법에 포함될 내용은 아닌 것으로 보입니다.
취약한 기본 설정과 명확성 부족
온라인 프라이버시는 웹사이트를 탐색하고 침해적인 추적을 비활성화할 시간, 인내심, 그리고 지식이 있는지 여부에 따라 달라져서는 안 됩니다.
좋은 프라이버시 법은 데이터 최소화(data minimization) 요구 사항을 내장해야 합니다.
즉, 기업이 소비자가 요청한 서비스 제공에 불필요한 목적으로 데이터를 처리하는 것을 방지하는 기본 표준이 있어야 합니다.
SECURE Data Act는 타겟 광고, 개인 데이터 판매, 프로파일링과 같은 침해적인 기업 관행에 대해 소비자가 직접 ‘옵트아웃’하도록 부담을 전가합니다.
민감한 데이터(예: 정확한 위치 정보 판매)를 처리하기 전에 소비자의 동의를 얻도록 요구하는 것은 일부 진전으로 볼 수 있으나, 이러한 동의 요구는 종종 기업이 읽기 어려운 정책 속에 권리를 포기하도록 소비자를 현혹하는 초대장이 될 수 있습니다.
실제로, 소비자가 자신의 개인 데이터를 데이터 중개업체에 판매하도록 허용하고, 이 중개업체가 다시 정부에 판매하도록 하는 데 의도적으로 동의할 사람은 거의 없을 것입니다.
제3조는 ‘데이터 최소화’라는 용어를 사용하지만, 이는 형식적인 수준에 그칩니다.
이 조항은 기업이 고객에게 제공하는 상품이나 서비스 제공에 필요한 만큼만 데이터를 처리하도록 제한하지 않습니다.
대신, 기업이 ‘고객에게 공개한’ 데이터로만 처리를 제한하는데, 이는 아무도 읽지 않는 혼란스러운 개인정보처리방침에 포함되어 있다면 괜찮다는 의미입니다.
또한, 이 법안은 특정 데이터 사용을 제한할 수 있는 권한조차 부여하지 않습니다.
AI 시스템을 위해 더 많은 데이터를 확보하려는 기업의 움직임 속에서, 많은 인터넷 사용자는 자신의 개인 데이터가 이러한 모델을 훈련하는 데 사용되기를 원하지 않습니다.
그러나 이 법안은 기업이 새로운 기술을 ‘개발’하거나 ‘개선’하기 위해 데이터를 수집, 사용 또는 보유하는 것을 ‘어떠한 방식으로도 제한하지 않는다’고 명시하고 있어, 이러한 우려를 해소하지 못합니다.
명확성 부족의 정의와 허점들
SECURE Data Act는 기술 기업들이 악용할 수 있는 수많은 허점을 포함하고 있습니다.
‘데이터’ 또는 ‘개인 식별 정보’와 같은 핵심 용어의 정의가 모호하여, 기업들이 규제를 회피할 수 있는 여지를 남겨둡니다.
또한, 기업이 소비자에게 부여하는 권한에 대한 해석의 여지가 많아, 실제로 소비자가 자신의 데이터를 효과적으로 통제하기 어렵게 만들 수 있습니다.
결론적으로, SECURE Data Act는 실질적인 소비자 개인정보보호 강화보다는 기존의 보호 장치를 약화시키고 기업의 편의를 봐주는 법안으로 보입니다.
EFF의 지적처럼, 이 법안이 통과된다면 개인정보보호 측면에서 심각한 후퇴가 될 수 있습니다.
소비자는 자신의 데이터 권리에 대해 더 많은 관심을 기울이고, 의회에 강력한 개인정보보호법 제정을 촉구해야 할 것입니다.
자주 묻는 질문 (FAQ)
Q: SECURE Data Act가 기존의 주(州) 법률을 무효화한다는 것이 사실인가요?
A: 네, 사실입니다.
법안 제15조는 해당 법안과 ‘관련된’ 모든 주(州) 법률을 무효화할 수 있다고 명시하여, 현재 시행 중인 21개 주의 개인정보보호법을 포함한 다수의 주(州) 규정을 약화시킬 가능성이 있습니다.
Q: 소비자가 자신의 개인정보 침해에 대해 직접 소송을 걸 수 있나요?
A: 아니요, SECURE Data Act 초안에는 소비자가 직접 기업을 상대로 소송을 제기할 수 있는 ‘개인 소송권’이 포함되어 있지 않습니다.
법 집행은 주로 FTC와 주 검찰총장에게 맡겨집니다.
Q: 이 법안은 온라인 행동 광고를 금지하나요?
A: 아니요, SECURE Data Act는 온라인 행동 광고를 전면 금지하지 않습니다.
소비자는 타겟 광고에 대해 옵트아웃할 수 있지만, 법안 자체는 이러한 광고 관행을 근본적으로 제한하지 않습니다.
Q: 데이터 최소화 요구 사항이 실제로 강력한가요?
A: EFF는 이 법안의 데이터 최소화 요구 사항이 형식적이라고 지적합니다.
이는 기업이 고객에게 ‘공개한’ 범위 내에서만 데이터를 처리하도록 제한할 뿐, 서비스 제공에 ‘필수적인’ 범위로 제한하지 않아 기업에게 유리하게 해석될 여지가 있습니다.