미국, 코로나19 접촉 추적을 위한 ‘개인정보보호법’ 발의됐다

미국 내 코로나19 추적 관련 개인정보보호법 부재... 공화당과 민주당 각각 관련법 발의
6월 초당적 법안인 ‘접촉 알림 개인정보보호법(The Exposure Notification Privacy Act)’ 발의

[보안뉴스 원병철 기자] 미국에서 코로나19에 대응하기 위한 ‘코로나 접촉 추적을 위한 개인정보보호법’이 발의된 것으로 알려졌다. 대한무역투자진흥공사(KOTRA) 미국 뉴욕무역관은 미국의 경제 활동이 재개되면서 정부 및 기업이 코로나19 확산 예방을 위한 감독 방안을 모색하는 가운데 관련 법안이 발의됐다고 보고서를 통해 밝혔다.

[이미지=utoimage]

KOTRA에 따르면 5월 초, 미국 의회에서 코로나19 관련 두 건의 개인정보보호 법안이 발표됐다. 공화당은 소비자거래위원회(Federal Trade Commission)와 주 검사(State Attorneys)가 개인정보보호법을 집행하고 소비자의 소송과 주 법령 시행으로부터 기업을 보호하도록 하는 ‘2020 코로나19 소비자 데이터 보호 법안(The COVID19 Consumer Data Protection Act of 2020)’을 발표했다.

반면, 민주당이 발표한 ‘공중 보건 비상 개인정보 법안(The Public Health Emergency Privacy Act)’은 연방법이 주법보다 상위에 있어서는 안되며, 소비자들이 개인정보보호법 위반에 대해 소송할 수 있어야 한다고 주장하고 있다. 민주당과 공화당의 의견차로 코로나19 확산을 모니터링하고 통제하기 위한 개인정보보호법 제정이 의회 통과에 난항을 겪고 있는 가운데, 6월 코로나19 접촉 추적앱에 초점을 맞춰 규제범위를 축소한 ‘접촉 알림 개인정보보호 법안(The Exposure Notification Privacy Act)’이 발표됐다.

접촉 알림 개인정보보호법(The Exposure Notification Privacy Act)
올해 초 애플(Apple)과 구글(Google)은 코로나19 접촉 추적앱을 개발하면서 휴대폰에 설치된 앱이 블루투스 기술을 활용해 주변에 있는 휴대폰 정보를 기록하는 것을 허용하도록 사용 환경을 변경한다고 발표했다. 코로나19 접촉 추적앱은 사용자가 코로나19 확진자와 접촉이 있었다고 보고하면, 다른 휴대폰과의 거리 및 접촉 시간을 고려해 접촉이 있었던 휴대폰에 알림을 표시함으로써 알림을 받은 사용자가 자가격리 등 적절한 조치를 취할 수 있도록 하는 것이다. 공중보건 전문가들은 접촉 추적앱이 널리 사용되면 코로나19 확산을 제어하는데 큰 도움이 될 것이라고 평가했지만, 대량의 개인 건강정보 수집 및 전송이 수반되어 개인정보보호에 대한 우려도 존재했다. 이에 따라 미국 의회는 관련 법안 마련에 들어갔다.

6월 발표된 ‘접촉 알림 개인정보보호법(The Exposure Notification Privacy Act)’은 5월 공화당과 민주당이 발표했던 개인정보보호 법안보다 규제 범위가 축소됐다. 접촉 알림 개인정보보호 법은 감염성에 노출됐을 수 있는 개인에게 자동으로 알림을 주기 위한 ‘자동 노출 알림’ 온라인 서비스와 관련된 데이터에만 적용된다. 또한, 감염병 진단을 위해 보건 당국이 허가한 데이터에만 규제가 적용된다.

또한, 이 법안은 자동 노출 알림 서비스 등록에 동의한다는 소비자의 명시적 동의를 요구하며, 코로나19 관련 데이터의 수집, 처리, 전송 부분에도 동의가 적용된다. 다만 암묵적인 동의를 유추하는 것은 금지된다. 수집된 데이터 사용에 대해 데이터 최소화, 정확성, 보안 의무, 투명성을 요구하고 있으며, 명백한 차별 금지 조항이 있다. 소비자거래위원회(Federal Trade Commission)와 주 검사(State Attorneys)가 법 조항의 집행과 민사 처벌에 대한 권한이 있지만, 주 정부가 특정 공공기관을 법 집행 기관으로 지정할 수 있도록 허용하고 관습법과 주법을 보존하도록 하는 내용이 포함됐다.

제안된 법안 내용의 상당 부분은 애플과 구글 정책과 유사
접촉 알림 개인정보보호법은 앱의 잠재적 남용을 방지하기 위해 제안됐다. 이 법안은 코로나19 접촉 알림 서비스 운영자를 대상으로 공중보건 당국과 협력, 자발적인 앱 사용, 수집된 데이터의 상업적 사용 차단 등의 내용을 포함하고 있는데, 상당 부분이 이미 애플과 구글이 제공하는 기술에 적용되고 있는 정책이기도 하다.

지난 4월 애플과 구글은 코로나19 접촉 추적앱을 개발 및 배포했다. 정부의 규제가 없는 상황에서 수립된 애플과 구글의 개인정보보호 정책은 의회에 제안된 법안들과 유사점이 많아 사실상 개인정보보호법에 대한 표준이라고 볼 수 있다. 예를 들어, 구글과 애플은 정부 또는 주 보건 당국이 지원하는 앱만 애플과 구글의 기술에 접근할 수 있으며, 필수적인 앱 다운을 요구하지 못하도록 하고 있다. 대부분의 주에서 이들의 기술을 코로나19 접촉 추적앱 활용을 위한 기본 프레임워크로 사용하거나 계획하고 있다. 월스트리트 저널에 따르면 존스 홉킨스 대학 버먼 생명 윤리연구소(Berman Institute of Bioethics)의 제프리 칸(Jeffery Kahn) 소장은 애플과 구글이 이미 효과적으로 국가적 정책을 수립했다고 평가했다.

코로나19 기간 기업들의 온라인 활용이 확대된 가운데 많은 기업은 출근 재개를 위해 직원의 건강과 위치에 관한 데이터를 수집할 방법을 모색하고 있다. 그러나 코로나19 접촉 추적앱과 관련한 명확한 개인정보보호법의 부재로 기업들은 기존의 법 안에서 준수 방법을 파악하기 위해 많은 비용과 노력을 들이는 등 어려움이 가중되는 상황이다.

미국의 단계적 경제 재개가 이루어짐에 따라 코로나19 통제를 위해 접촉 추적앱 활용을 검토하는 주정부와 직원의 건강 및 위치정보 수집을 필요로 하는 기업이 증가하고 있다. 그러나 아직 코로나19 관련 개인정보보호법이 제정되지 않아 혼란스러운 상황이다. 애플과 구글에서 사용되는 개인정보보호 정책의 틀 안에서 개인정보보호법이 수립될 것으로 보이지만 세부 내용은 법 제정 동향의 지속적인 모니터링을 통해 파악할 필요가 있다.

5월 상원에서 공화당과 민주당이 각각 발표했던 코로나19 관련 개인정보보호 법안은 양당 간 의견차 및 8월 의회 휴회 등으로 11월 대선 전 결론을 짓기 어려울 것으로 전망되고 있다. 그러나 규제 범위를 좁힌 접촉 알림 개인정보보호법(The Exposure Notification Privacy Act)은 초당적 지지를 얻고 있어 법안 통과 가능성이 높게 점쳐지고 있다. 미국 시장에 코로나19 접촉 추적앱을 출시하기 원하는 우리 기업들은 향후 미국 개인정보보호법 제정을 염두에 두고, 지속적인 규제 상황 모니터링을 통해 향후 시장 환경 변화에 대비해야 한다고 KOTRA는 조언했다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)