미국서 GDPR 뺨치는 소비자 보호법안 등장

FTC에 강력한 권한 주고 정보 보호 표준 정립케 하고
어길시 높은 벌금은 물론 경영진 징역형 내리자는 급진적인 내용

[보안뉴스 문가용 기자] 미국 민주당 의원인 론 와이든(Ron Wyden)이 새로운 법안을 발표했다. 미국 고객들의 개인정보를 남용하는 기업들에 큰 벌금형을 내리는 것에 더해, 운영진에 징역형을 내려야 한다는 내용을 담고 있다.

[이미지 = iclickart]

이 법안의 이름은 소비자정보보호법(Consumer Data Protection Act of 2018)으로 소비자들이 자신들의 정보에 대한 주권을 행사할 수 있게 하는 데에 그 궁극적인 목표가 있다고 와이든은 설명했다. “자신의 정보가 판매되고 공유되는 것에 소비자 자신이 개입할 수 있어야 합니다. 심지어 연방거래위원회(FTC)가 벌금 등을 매기는 것에 대해서도 어느 정도 의견을 낼 수 있어야 한다고 봅니다.”

물론 법안이 이미 완성된 건 아니다. 현재 그는 초안을 작성해둔 상태이며, 이에 대한 의견을 접수 받고 있다. 현재 상태 그대로 법안이 통과된다면, FTC가 최소한의 사생활 보호 표준을 정립하고, 이를 어기는 기업들의 연간 수익의 4%에 대한 벌금형을 내릴 수 있는 권한을 갖게 된다. 이는 GDPR과 비슷하다.

하지만 GDPR보다 이 법안은 한 발 더 나아간다. 위반 기업의 운영진이 10~20년 징역형을 받을 수 있다는 것이 내용 중에 포함되어 있기 때문이다. 또한 이 법안은 FTC에 175명의 전문가를 추가로 고용할 수 있는 자원이 지원되도록 명시하고 있다. 이 175명은 개인정보 및 사생활 정보의 유통을 감시하는 역할을 한다.

이것만이 아니다. 법안 내용 중에는 ‘공격 금지’ 시스템의 전 국가적인 도입도 언급되어 있다. 소비자들이 기업들의 추적 행위를 멈출 수 있도록 하는 시스템이다. 웹상에서 많이 자행되고 있으며 문제가 되고 있는 사용자 파악 및 추적을 고객의 마음에 따라 중단할 수 있다는 것인데, 대신 기업들은 개인정보 활용에 동의하지 않는 고객들에게 별도의 요금을 청구할 수 있도록 해두었다.

소비자정보보호법 초안은 소비자들에게 기업이 가지고 있는 자신의 개인정보를 언제나 확인해볼 수 있는 툴이 제공되어야 하며, 이 툴을 통해 어느 선까지 개인정보가 공유되고 있는지 소비자 스스로가 알아낼 수 있어야 한다는 내용도 포함하고 있다.

와이든은 보도자료를 통해 “현재의 경제 구조는 개인정보를 빨아들이는 거대한 진공청소기”라고 설명했다. “당신이 읽는 모든 것, 당신이 가는 모든 곳, 당신이 사는 모든 것, 당신과 이야기하는 모든 이들 전부가 이 청소기 속으로 빨려 들어갑니다. 그러나 이러한 사실에 대해 다들 모호하게만 알고 있을 뿐이죠. 그 실상을 개개인들이 정확하게 알 필요가 있고, 그럴 권리도 있습니다.”

그러면서 와이든 의원은 “네트워크 내에서의 정보 공유가 이제 양지로 나와야 한다”고 주장했다. “제가 낸 법안은 기업들 입장에서는 지나치게 진보적으로 보일 수도 있습니다. 하지만 소비자들에게는 정말로 필요한 투명성을 보장합니다. 또한 자신들의 정보를 스스로 제어할 수 있는 툴도 보장하고요. 어두운 곳에 숨어 정당하지 않은 기업들은 이제 필요한 벌을 받아야 합니다.”

와이든 의원은 사이버 보안 및 사생활 보호에 있어 굉장히 많은 활동을 하고 있다. 사물인터넷 장비 제조사들이 반드시 기본적인 보안 기능을 탑재시켜야 한다는 내용의 법안을 제출하기도 했으며, 국방부 웹사이트의 보안 점검을 공식적으로 요쳥하기도 했다. 또한 플래시 플레이어를 연방 정부 기관 내에서 사용하지 말자는 운동을 벌이기도 했다.

3줄 요약
1. 소비자 보호 위한 새로운 법안, 미국에서 발표됨.
2. 개인정보 보호 표준을 FTC가 정립하고, 어겼을 경우 벌금은 물론 경영진 징역형도 내릴 수 있는 무시무시한 내용.
3. 또한 소비자들에게 개인정보 사용 현황 파악할 수 있게 하는 툴도 무료로 제공해야 한다고 함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)