미국 여야가 구글, 메타, 틱톡 같은 빅테크(거대 정보기술기업) 기업들이 자국민의 개인정보를 무분별하게 수집·활용하는 것을 막기 위한 연방 차원의 포괄적 개인정보 보호법안에 합의했다.
7일 일간 워싱턴포스트(WP) 등에 따르면 상원 상무위원회 마리아 캔트웰 위원장(민주)과 하원 상무·에너지위원회 캐시 맥모리스 로저스 위원장(공화)은 이날 성명을 내고 ‘미국 개인정보보호법'(American Privacy Rights Act·APRA)을 추진하기로 합의했다고 밝혔다.
합의된 법안은 미국인의 개인정보 보호 권리와 기업의 개인정보 수집·활용 범위, 보호 책임 등에 대해 연방 차원의 명확한 기준을 마련했다.
미국에서는 이전까지 캘리포니아 등 일부 주에서 개인정보보호법을 제정·시행한 적은 있지만 연방 차원의 법은 없었다.
APRA 초안에는 기업들이 수집·보유·활용하는 개인정보의 범위를 해당 기업에서 제공하는 제품·서비스에 필요한 데이터로 최소화한다는 내용이 담겼다.
사용자 개인은 자신의 개인정보에 대한 접근, 수정, 삭제, 이전 권한을 보장받으며 표적 광고 등 개인정보에 기반한 관행을 거부할 수 있다.
개인은 또한 개인정보 보호권을 침해당했을 때 해당 행위자를 고소하고 손해배상을 청구할 수 있다.
특히 기업이 개인정보 침해로 상당한 피해를 야기한 경우 ‘강제 중재(Mandatory Arbitration)’를 금지한다는 내용도 초안에 포함됐다.
강제 중재는 분쟁 시 제삼자의 중재를 의무적으로 거치게 하는 제도로, 소송을 내지 못한 채 법정 밖에서 조정 절차를 거쳐야 한다는 점에서 소비자에게 불리하다고 여겨진다.
초안은 또한 기업들이 중요 데이터를 제삼자에게 이전하려면 사전에 사용자의 명시적 동의를 받도록 했다.
사용자들은 외국 적대세력에 자신의 개인정보가 이전된 시점을 알 수 있도록 보장받는다.
기업들의 데이터 보안 의무도 강화해 해킹·도난을 막기 위한 데이터 보안 기준을 마련하는 등 고객 개인정보 보호에 필요한 모든 조처를 할 책임을 지도록 했다.
기업들은 아울러 수집한 개인정보를 보호 대상 계층 차별에 활용해서는 안 되며, 청소년을 비롯한 개인이 차별과 같은 위험에 놓이지 않도록 알고리즘을 매년 검토해야 한다.
APRA 초안은 연간 총매출이 2억5천만달러 이상인 대기업들에 정기 보고 등 의무도 부여했다. 다만 이런 의무 규정은 연 매출 4천만달러 이하 기업에는 적용되지 않는다.
개인정보 보호법 집행 권한은 연방거래위원회(FTC)와 주 법무부 장관, 소비자 개인이 갖는다.
WP는 해당 법안이 유럽 등에 비해 뒤처진 개인정보보호 관련 제도를 따라잡기 위한 중요한 시도라고 평가했다.
유럽연합(EU)에서는 회원국 전체에 적용되는 일반개인정보보호법(GDPR)이 이미 2016년 유럽의회를 통과해 2018년부터 시행에 들어갔다.
미국에서도 2022년 하원에서 맥모리스 로저스 상무·에너지위원장 등의 주도로 연방 개인정보 보호법(ADPPA)안이 발의된 바 있으나 여야 이견으로 회기 안에 처리되지 못했다.
다만 이번에 합의된 APRA이 오는 11월 대선과 함께 치러지는 상·하원의원 선거 전까지 가결될 수 있을지는 미지수라고 WP는 덧붙였다.
[연합뉴스]