내년 1월 관련 소비자보호법 시행

미국 캘리포니아주 개빈 뉴섬 지사가 11일(현지 시간) ‘캘리포니아주 소비자보호법(CCPA)’에 서명했다. 이에 따라 2020년 1월부터 캘리포니아주 주민들은 데이터 공개나 삭제 등을 요구할 수 있는 권리를 갖게 된다.
미국 캘리포니아주 개빈 뉴섬 지사가 11일(현지 시간) ‘캘리포니아주 소비자보호법(CCPA)’에 서명했다. 이에 따라 2020년 1월부터 캘리포니아주 주민들은 데이터 공개나 삭제 등을 요구할 수 있는 권리를 갖게 된다.

미국 캘리포니아주 개빈 뉴섬 지사는 11일(현지 시간), 지난달 의회가 가결한 기업에 엄격한 개인정보관리를 의무화하는 새 법에 서명했다고 발표했다. 이에 따라 2020년 1월부터 캘리포니아주 주민의 데이터를 보유한 기업은 소비자로부터의 정보 공개나 삭제, 매각 정지 청구에 의무적으로 응해야 한다고 니혼게이자이신문 등 외신이 보도했다.

새 법은 ‘캘리포니아주 소비자보호법(CCPA)’. 2018년 3월에 드러난 페이스북에 의한 최대 8700만명 분의 개인정보 부정유출 사건을 계기로 개인정보 보호의 기운이 높아지고 주 의회가 9월까지 수정을 거듭해 가결했다.

CCPA는 ‘연간 매출이 2500만 달러(약 270억 원) 이상’ ‘5만명 이상의 주민의 개인정보를 처리’ ‘연간 매출의 50% 이상을 개인정보의 판매에서 얻고 있다’ 중 어느 하나의 요건을 충족하는 영리기업을 규제 대상으로 한다. 주 내에 사업장을 두고 있는지 여부에 관계없이 약 4000 만명의 주민의 개인정보를 수집하고 있으면 대상이 되기 때문에 외국 기업에도 영향이 미칠 수 있다.

소비자에게는 기업이 보유한 자신의 개인정보를 공개하거나 삭제나 판매 중지 등을 청구할 수 있는 권리를 정했다. 따라서 기업은 소비자가 개인정보를 판매•공유하지 못하도록 청구할 수 있는 ‘옵트아웃(opt out) 버튼’이라는 표시를 홈페이지 상에 설정할 필요가 있다. 기업이 위반 했을 경우에는 건당 최대 7500 달러의 벌금이 부과된다.

기업에 개인정보의 공개나 삭제 등의 의무를 정한 규제는 유럽연합(EU)이 2018년 5월에 ‘일반 데이터보호 규칙(GDPR)’이라는 제도로 시행하고 있는데, ‘GAFA’로 불리는 인터넷 공룡의 안방인 미국에도 밀려드는 양상이다.

CCPA는 개인뿐만 아니라 가족의 데이터도 포함해 대상 정보의 범위가 더 넓다. GDPR의 요건을 충족했다 해도 CCPA에는 불충분할 수도 있다.

대상 기업은 우선 시스템 개선 등의 대응이 필요하다. 주 법무 당국의 자료에 따르면, CCPA의 초기 대책 비용은 전체적으로 최대 550억 달러(약 59조 원)에 이를 것이라는 추산도 있다.

미국에서는 지금까지 의료 및 금융 등의 분야에서 개인정보 보호를 정하는 규칙은 있었지만, 모든 산업을 대상으로 하는 포괄적인 연방 정부 차원의 규제는 없다. 뉴욕 주 등 10개 이상의 주에서 CCPA를 모델로 한 개인정보보호 제도 정비가 진행되고 있다.

주마다 다른 내용의 규제가 난립하는 상황을 피하기 위해 대형 인터넷기업들 사이에서는 연방 정부 차원의 통일 규제를 요구하는 목소리도 있어, 캘리포니아에서 시작된 움직임은 전국으로 확산 될 가능성도 있다고 니혼게이자이신문은 내다봤다.

저작권자 © 인공지능신문 무단전재 및 재배포 금지