세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
EU GDPR 발효 이후, 미국 거대 IT 기업 일단 ‘납짝’
  |  입력 : 2018-06-08 14:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR 시행 이후 구글, 페이스북, 아마존, 애플 등 미국 IT 기업들 적극 대처
캘리포니아 개인정보보호법안 발의 등 정보보호 강화 추세


[보안뉴스 원병철 기자] EU의 GDPR 발효 이후, 미국 IT 기업들이 앞 다투어 GDPR 준수를 밝히는 것은 물론 캘리포니아 소비자개인정보보호법안이 상정되는 등 미국 내 개인정보보호 규제가 강화되고 있다. 코트라(KOTRA) 김경민 미국 실리콘밸리무역관은 GDPR 시행 이후 미국 내 움직임을 이와 같이 설명했다.

[이미지=iclickart]


유럽연합(EU)의 일반 개인정보보호법(General Data Protection Regulation, 이하 GDPR)이 지난 5월 25일 전면적으로 시행되면서 미국내 움직임도 바빠지기 시작했다.

개인정보보호단체, 구글과 페이스북 제소...미 IT 기업 들 GDPR 준수 강조
우선, IT 매체인 CNET에 따르면 구글, 페이스북, 페이스북 자회사 왓츠앱과 인스타그램이 GDPR을 준수하지 않았다는 주장으로 5월 25일 날짜로 제소당한 상태다. 이 소송을 제기한 개인정보보호단체 ‘Noyb.eu’는 4개 회사의 사용자에 대한 서비스 약관 동의과정이 강요에 가깝다고 주장하면서 구글 등의 약관 동의과정이 ‘북한의 선거절차’와 유사하다고까지 표현했다. 이 소송에서 법 위반으로 판단 내려질 경우, 과징금은 최대 93억 달러에 이를 수 있다.

이에 대해 페이스북은 규정 준수를 위한 대책을 마련해 왔다고 주장하고 있다. 페이스북의 에린 이건(Erin Egan)은 GDPR을 준수하기 위해 18개월 전부터 준비해왔다고 하면서, “정책을 보다 투명하게 하고 사용자들이 사생활 설정을 쉽게 관리할 수 있도록 서비스 정책을 업데이트해왔다”고 설명했다.

구글 역시 대변인 성명을 통해 “구글은 초기 단계에서부터 개인정보보호와 보안을 통합하고 있고, GDPR 준수에 노력하고 있다”고 밝혔다.

하지만 런던대학교 기술정책 전문가인 마이클 빌(Michael Veale)는 “사용자가 프로필에서 민감한 사항을 완전히 제거하더라도, 페이스북은 플랫폼 및 다른 웹사이트에서의 행동을 분석해 성적 취향과 같은 정보를 수집할 수 있다”고 우려를 표했다.

IT 전문매체 테크크런치(TechCrunch)에 따르면 애플은 사용자가 자신의 정보가 어디에 보관돼 있는지 알려주는 ‘애플 아이디 데이터와 개인정보보호’라는 새로운 웹사이트를 개설했고, 이 사이트를 통해 사용자들이 직접 GDPR 규정에 맞게 자신의 데이터를 수정하고 계정을 비활성화하는 등 애플이 보유한 자신의 모든 정보를 삭제할 수 있는 선택권을 제공했다고 발표했다. 또한, 애플은 GDPR이 기업 가치와 일맥상통한다고 하며 GDPR을 철저하게 준수하고 있다고 밝혔다.

아마존도 클라우드 서비스인 AWS에서 자체 규정 준수와 더불어 고객의 사업 활동에 적용되는 GDPR 요구사항을 준수하는 데 도움이 되는 서비스와 리소스를 제공하기 위해 최선을 다하고 있다고 발표했다.

2018 캘리포니아 소비자개인정보보호법안 상정 돌입
미국은 우리나라와 같이 개인정보보호 사항을 포괄적 개인정보보호기본법으로 규제하는 것이 아닌 각 산업에서의 자율규제를 원칙으로 한다. 따라서 미국은 개인정보보호 침해사례가 발생할 경우 보통법 상의 불법행위로 간주해 규제하고, 특정 개인정보침해를 야기할 수 있는 문제에 대해서는 개별법을 제정해 이를 규율하는 구조다.

미국 내에서도 인터넷 법은 실리콘밸리가 있는 캘리포니아가 가장 발달해 왔기 때문에 다른 주에서도 캘리포니아주 인터넷 법을 대부분 기본으로 삼고 있다. 2003년 캘리포니아 온라인 개인정보보호법에 따르면, 온라인 서비스를 제공하는 회사는 일정한 규정에 맞는 개인정보보호 정책을 준비해 사용자들이 쉽게 볼 수 있는 곳에 링크를 두어야 하고, 개인정보 공유를 원하지 않는 사용자가 있다면 어떤 다른 선택사항이 있는지 그리고 회사는 어떤 절차를 거쳐 처리할 것인지를 알려야 한다. 또한, 회사는 개인정보를 보호하기 위해 적절한 기술적 보완책과 이에 따른 직원 교육도 있어야 하고, 개인정보를 공유할 때 정보를 가져가는 회사가 그 정보를 어떤 목적으로 사용할 것인지도 심사하고 공유해야 한다.

GDPR 발효 이후 캘리포니아에서도 개인정보보호법안의 필요성이 대두됨에 따라 60만 명 이상의 서명을 확보한 ‘2018 캘리포니아 소비자개인정보보호법안(The California Consumer Privacy Act of 2018)’ 안건이 2018년 11월 선거에서의 주민투표 상정을 목표로 제출됐다.

법안의 내용에 따르면, 각 기업들은 집 주소, 고용정보, 인종, 성별 등 그 동안 수집하고 팔거나 공유한 개인정보 카테고리를 공개해야 하고, 각 기업 홈페이지에 ‘나의 개인정보를 팔지 말라’는 링크를 게시해 사용자들에게 정보판매를 금지할 수 있는 권리를 부여했다. 만약 이 안건이 11월 선거에서 통과된다면 캘리포니아의 경제 규모를 고려해보았을 때 미국 타 주에 소재한 기업들이 기준으로 삼을 것으로 예상되므로 미국에서 가장 광범위한 개인정보보호법이 될 전망이다.

GDPR에 따라 미국 개인정보보호 규정도 변화
미국 IT 기업들은 사안에 따라 GDPR이 적용되는지가 불분명한 경우 우선 준수를 통해 규정위반을 방지하고자 하는 경향이 있는데, 클라우드 서비스처럼 그 속성상 분산저장장치가 사용되고 컴퓨팅 리소스가 서로 다른 국가나 지역을 돌아다니는 경우와 같이 장소적 범위 구별이 기술적으로 어려운 경우가 많다. 직원, 데이터센터, 모기업, 프로세스 등이 전 세계에 흩어져 있는 대부분의 IT 기업들은 GDPR을 비롯한 각 나라의 정보보호규정을 면밀히 파악해야 과징금을 피할 수 있다.

그 동안 미국 법원에서는 개인정보유출 관련 소송에서 정보보안에 대한 계약적 약속을 인정하지 않고 묵시적 계약을 인정하지도 않으며 제3의 수익자라는 주장도 받아들이지 않는 등 해당 정보를 유출한 회사들의 책임을 인정하는 데 매우 제한적인 모습을 보였다. 그러나 GDPR을 준수하기 위해 미국 기업들의 약관과 정책 변경이 이루어지고 미국의 개인정보보호가 GDPR과 유사한 수준으로 바뀔 것으로 전망됨에 따라 법원의 판단이 어떻게 바뀔지 추이를 지켜볼 필요가 있다.

FTC는 최근 들어 ICT 산업에서 발생하는 개인정보보호에 대해 조사 및 제재를 강력히 시행하는 등 향후 개인정보보호와 관련된 FTC의 제재는 더욱 강력해질 것으로 예상된다. 이와 더불어 캘리포니아에서는 개인정보보호에 초점을 둔 법안 발의가 이루어지는 등 개인정보 자기결정권 강화 추세는 앞으로 이어질 전망이어서 정보기반 기업들의 대처가 필요한 시점이라고 김경민 무역관은 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)