미국과 캐나다의 2019년 개인정보보호 현황과 주요 결정 사례 분석
2020 개인정보보호 연차보고서에서는 미주의 개인정보보호 동향도 소개하고 있다. 미주 중 △미국 △캐나다의 개인정보보호 동향을 살펴본다.
[이미지=utoimage]
미국
각 산업에서의 자율규제를 원칙으로 하는 미국의 경우 개인정보 오·남용을 불공정 또는 소비자기만 등으로 보고 일반법으로 강력하게 규제하는 한편, 의료정보와 같이 사회적 이슈를 일으키거나 심각한 개인정보 침해를 유발할 수 있는 산업 분야에 대해서는 개별법을 제정해 규율하고 있다.
미국은 1974년부터 소비자의 프라이버시 보호를 위한 ‘공정한 정보처리 원칙(FIPPs, Fair Information Practice Principles)’을 통해 다른 국가보다 앞서 개인정보보호 제도를 수립했으며 개인정보 처리의 투명성·이용 동의·정보주체 권리·보호조치 등의 개인정보보호 및 프라이버시 권리에 대한 기본 정책 방향을 유지하면서 프라이버시에 관한 개별적인 법률과 제도를 구체화했는데, 이는 1980년에 개발된 OECD 개인정보보호 8원칙의 기초가 됐다.
미국의 개인정보보호시스템에서 가장 눈에 띄는 점은 일원화된 독립 감독기구가 없다는 것이다. 공공 부문에서는 개별 정부 기관장이 연방 프라이버시법 집행에 관해 책임지며, 법 이행에 관한 감독은 대통령 관할 하에 있는 예산 관리국(Office of Management and Budget, 이하 OMB)이 부분적으로 담당한다. OMB와 의회의 상임위원회, 법원이 이러한 행정기관의 실무를 제한적으로 감독하는 역할만을 담당하는 구조이다. 민간 부문에 대해서는 독립기관인 연방거래위원회(Federal Trade Commission, 이하 FTC)가 소비자 보호 관련 직무와 권한을 갖고 개인정보보호 직무를 담당하는데, FTC는 개인정보의 수집·저장·사용 및 파기를 포함하는 개인정보 수명 주기(Lifecycle) 전반의 업무를 관장한다. 이 외에도 사업자 협회, 개인정보보호 단체 등이 개인정보보호 가이드라인을 개발하거나 자율규제 프로그램을 운영하는 등 자율규제를 장려하는 정책을 통해 법·제도를 보완하고 있다.
미국은 세계 경제 대국이자 유수의 IT 기업을 보유한 국가로서 자국의 경제 성장을 위해 국가 간 자유로운 데이터 이전을 위한 제도 도입 및 확산에 힘쓰고 있다. 대표적으로는 오래 전부터 세이프 하버(Safe Harbor) 협정을 체결해 개인정보의 자유로운 이동을 허용했다가 2015년 유럽 사법재판소(CJEU)가 세이프 하버 협정 무효를 선고하자, 2016년 유럽 시민의 개인정보 이전에 관한 협정인 EU-US 프라이버시 쉴드(Privacy Shield)를 체결하여 기업의 유럽 진출을 원활하게 했다. 또한, APEC 회원국 간 원활한 개인정보 유통을 위해 개발된 공동 개인정보보호 인증제도인 APEC CBPR(Cross-Border Privacy Rules System)에 주도적으로 참여하며 다른 회원국의 참여를 독려하고 있다.
1. 캘리포니아주 소비자 프라이버시 보호법(CCPA) 시행
캘리포니아 시민의 데이터 프라이버시 권리를 보호하기 위해 2018년 6월 제정된 캘리포니아주 소비자 프라이버시 보호법(California Consumer Privacy Act 2018, 이하 CCPA)이 2020년 1월 1일부터 시행됐다. CCPA는 미국 최초의 민간 부분 일반 개인정보보호 주(州)법으로 소비자 프라이버시 보호를 위한 소비자의 권리와 사업자의 의무 등을 구체적으로 명시했다. 세계적 IT 기업들이 위치하고 미국 내 정치·경제적 영향력이 큰 캘리포니아의 이와 같은 입법 조치는 제정 당시부터 큰 주목을 받아왔으며, 뉴욕·네바다 등 다수의 다른 주를 비롯해 연방 개인정보보호법 제정 논의를 가속화시켰다.
CCPA는 캘리포니아주에서 사업을 하는 일정 기준 이상 영리 기업의 개인정보 수집·판매 행위에 적용되는데, 비즈니스 활동 및 매출액 규모 등으로 적용 기준을 설정함으로써 이에 해당되지 않는 실리콘 밸리의 소규모 스타트업 등에 대해서는 적용을 배제하고 있으며 온·오프라인을 구분하지 않고 적용하고 있다. 또한, 개인정보의 개념을 특정 소비자뿐 아니라 가구(Household)와 관련된 정보로 확대하고 비식별 정보(Deidentified Information)와 가명처리(Pseudonymization)의 개념을 규정하고 있다. 그 밖에 알권리(Right to Know), 접근권(Right to Access), 삭제권(Rights to Deletion), 거부권(Right to Opt-out), 서비스평등권리(Right to Equal Service) 등 소비자의 5가지의 데이터 프라이버시 권리를 열거하고 있으며 이에 기반한 다양한 의무를 사업자에게 부과하고 있다. 특히, 아동(13세 미만)의 개인정보 수집을 위해서는 부모의 사전 동의가 필요하며, 13~16세 아동의 개인정보는 부모의 동의 없이 판매를 금지하는 등 아동 보호 조항을 마련했다. 캘리포니아 법무부 장관은 사업자의 법규 위반에 대해 기소하거나 벌금(Civil Penalty)을 최대 7,500달러까지 부과할 수 있으며, 위반 행위로 개인정보가 침해된 경우에는 소비자는 사적 소권(Private Right of Action)에 따라 소송을 제기해 자신의 경제적 손실을 입증하지 않아도 사업자로부터 법정 손해배상(100~700달러 또는 실질적 손해금액)을 받을 수 있다.
주관부처인 캘리포니아 법무부는 CCPA에 따라 법을 효과적으로 시행하기 위한 CCPA 규정을 마련했다. 한편, CCPA는 세계적으로 프라이버시 규범에 영향을 미치고 있는 EU 개인정보보호법(GDPR)의 영향을 일부 받아 소비자의 권리 보장, 개인정보 침해에 대한 제재 등은 GDPR과 유사한 부분이 있으나 두 규범은 기본 원칙을 비롯해 접근 방법 등 많은 부분에서 차이점이 있다. GDPR은 원칙적으로 모든 개인정보를 보호 대상으로 하며 개인정보 처리의 법적 근거(Legal Basis)를 중요시하고 최소한의 개인정보 처리 및 처리자의 책임성을 강조한다. 반면 CCPA는 의료정보·신용정보 등 특정 분야의 정보는 적용이 제외되며, 정보 처리의 투명성과 개인정보 판매 금지에 중점을 두고 있다.
2. 아동 온라인 개인정보보호법(COPPA) 개정
아동 온라인 개인정보보호법(Children’Online Privacy Protection Act 1998, 이하 COPPA)은 아동의 개인정보에 대한 불공정 또는 기만행위를 규율하는 연방법으로, 미국의 소비자 보호 관련 감독기관인 공정거래위원회(FTC)가 관할한다. COPPA는 영리 목적의 웹사이트나 온라인 서비스 운영자 중에서 아동을 대상으로 서비스를 제공하는 경우에 적용되며, 직접 개인정보를 수집하지 않더라도 다른 서비스 운영자 등을 통해 수집하는 경우에도 적용된다.
COPPA의 보호 대상은 13세 미만 아동으로, 아동으로부터 수집한 부모·친구 등 타인의 개인정보도 포함된다. 주요 보호 원칙으로는 ①개인정보 처리방침의 공개 ②부모에 대한 고지 및 동의 ③개인정보 열람·삭제 요청 등 부모의 검토권(Review) ④정보보안 및 보유/파기 등을 규정하고 있다. FTC는 2019년부터 교육 환경 등 기술의 급격한 발전 속도를 고려해 효과적인 아동 보호 원칙을 재정립하기 위한 의견 수렴 등 COPPA 규칙 개정을 추진하고 있다.
이에 앞서 2013년에 아동의 모바일 기기, 소셜 네트워크 이용 급증 등 인터넷 접속 환경의 변화를 반영해 COPPA 규칙을 개정하고 2017년 사업자 가이드(A Six-Step Compliance Plan for Your Business)를 마련했다. 동 개정을 통해 개인정보 범위를 확대해 개인식별자 정보와 연계되지 않은 쿠키 정보(Persistent Identifiers) 및 지정학적 위치·사진·영상정보까지 포함했고, 아동 정보 수집 사업자의 범위도 명확히 했다. 또한, 부모로부터 입증 가능한 동의 획득을 위해 지식 기반 질의(Knowledge-based Challenge Questions)나 안면 인식 기술을 활용한 방법 등을 추가하고 그 밖에 다양한 기술을 선택할 수 있도록 기업에 재량을 줬다. 이에 더해 기존의 개인정보 처리에 대한 고지 및 동의에 관한 사항을 추가·개선하고, 개인정보 보유 및 파기 규정을 신설했다.
COPPA의 대표적 법 집행 사례로는 2019년 9월 구글과 구글의 자회사인 YouTube(이하 유튜브)에 대해 FTC 등이 아동의 개인정보를 불법으로 수집한 건으로 COPPA 사상 최대 금액인 1억7,000만달러(한화 약 2,050억원)의 벌금형을 부과한 바 있다. 유튜브는 영상물 공유 플랫폼을 제공하는 회사로, 부모 고지나 동의 없이 유튜브의 아동 대상 채널을 시청하는 아동으로부터 쿠키 및 모바일 광고 식별자를 수집하고 이를 맞춤형 광고 등에 이용했다. 쿠키 등은 다른 사이트에서도 계속해 이용자 추적이 가능한 정보로 COPPA에서 규정한 개인정보에 해당된다. 이후 유튜브는 판결 사항을 반영해 채널 운영자 대상 아동용 콘텐츠 여부인지 판단하는 기준을 안내하고, 아동 콘텐츠의 경우 개인 맞춤형 광고 서비스·댓글 달기 기능 등을 중단하기로 했다.
이 밖에도 미국은 아동을 대상으로 하는 광고에 대한 사업자 자율규제 정책을 운영하고 있다. 미국 대표적 광고 관련 자율규제 단체의 하부 조직인 ‘아동 광고 심의부’(The Children´s Advertising Review Unit, 이하 CARU)는 광고 자율규제 원칙을 마련하고 이에 따른 CARU 자율규제 프로그램을 운영하고 있는데, 동 프로그램은 2001년부터 COPPA의 자율규제 기준으로 승인받아 이를 준수하는 것은 COPPA 준수로 간주된다. 또한, CARU는 COPPA 및 FTC의 이행 규칙과 부합한 ‘온라인 개인정보보호 가이드라인(Guidelines for Online Privacy Protection)’을 마련해 아동 개인정보 수집 및 기타 인터넷상의 개인정보보호 관행에 대한 검토 사항을 제시하고 있다.
3. 연방 개인정보보호법 제정 추진
미국의 대표적인 개인정보보호 감독기구인 FTC는 그 관할 범위가 소비자 보호 등에 한정되고, 그 역할과 권한도 제한적임에 따라 다양한 분야의 개인정보보호 수요를 수용하기에는 여러 한계점이 지적돼 왔다. 이에 더해 2018년 EU GDPR·CCPA 등 최근 시행되고 있는 개인정보보호 규범이 미국 전역의 다수의 기업들에 영향을 끼치고 미국 내 관할 구역별 규범의 일관성 문제가 다가오자, 최근 연방 차원의 개인정보보호법 마련 필요성에 대해 활발히 논의되고 이와 관련해 다수의 법안이 발의됐다. 그러나 공화당과 민주당 의원들의 개인정보 침해에 대한 소송과 FTC의 권한 등 주요 쟁점에 대한 의견 차이로 법률 제정이 지연되고 있다.
이에 미 상원의 상무·사법 등 4개 주요 위원회 소속 민주당 의원들은 2019년 11월 연방 개인정보보호법에 반영돼야 할 우선순위 원칙(Privacy and Data Protection Framework)을 발표해 개인정보보호 감독기구의 권한 강화 및 자원 확대를 통해 거대 기술기업에 대해 더 엄격한 제재와 규율을 강화하는 방향을 제시했다. 개인정보보호법 핵심 원칙은 ①데이터 보호 수단의 확립 ②경쟁 촉진 ③소비자 및 시민의 권리 확보 ④책임성 강화 등 4가지 주제로 구분했다. 이를 통해 정보주체인 소비자의 개인정보 통제권을 강화하고 개인정보의 수집·이용·공유·보호와 관련한 기업과 조직의 책임 수준을 높이는 것을 목표로 하고 있다.
4. 데이터 주권 확보 정책
세계 경제가 데이터 중심의 체제로 옮겨감에 따라 데이터 시장 주도권을 선점하고 자국민을 보호하기 위한 국가 간 이른바 ‘데이터 주권(Data Sovereignty)’ 확보 노력이 활발하다. EU, 중국을 비롯한 세계 주요국은 자국민의 데이터가 국외로 이전되는 것을 제한하거나 이전된 데이터에 대한 접근 등 자기 정보 통제 권리를 확보하고 혹은 자국의 데이터 산업 활성화를 위한 데이터 국지화 정책 등을 도입하고 있다. 미국은 트럼프 정권에 들어서면서 데이터 활용을 장려하며 보호에 대한 유연한 정책을 적용하는 한편, 국가안보의 관점에서 데이터 국외 유출 방지를 위한 정책은 강화하는 추세다.
가. 클라우드법(Clarifying Lawful Overseas Use of Data Act 2018, Cloud Act)
클라우드법은 범죄 조사에 필요한 데이터가 해외 소재 서버에 저장돼 있을 경우 이를 안정적으로 확보하기 위해 국가 간 법 집행기관들이 서로의 국가에서 보유한 데이터에 상호 접근할 수 있는 근거와 절차를 마련한 법이다. 동법은 전자통신서비스 제공업체가 고객 데이터를 보존 및 공개해야 하는 의무를 확대하고, 미 행정부가 국경 간 전자 데이터에 대한 접근 및 증거 정보의 교환을 촉진하기 위해 다른 정부와 행정협정을 체결할 수 있도록 권한을 부여했다. 행정협정이 체결된 국가와는 상대국의 법률적 요구사항에 대한 의무가 면제되어 절차가 간소화된다. 한편, 애플(Apple)·페이스북(Facebook) 등 미국의 주요 글로벌 기업들은 이러한 조치가 상대국과의 법률 간 충돌을 해소할 수 있어 클라우드법 도입을 지지해 왔다. 그러나 개인정보보호 옹호 단체 등은 이 법이 개인정보에 대한 정부의 감시 등 과도한 권한을 부여해 심각한 사생활 침해가 우려된다고 표명했다. 한편, 미 정부는 2019년 6월 호주·EU와 클라우드법 적용을 위한 행정협정을 추진했으나, 양국 간 관련 법률이 각각 너무 느슨하거나 너무 엄격한 이유로 양립하지 못한다는 결론을 내린 바 있다.
나. 국가안보와 개인정보보호법(National Security and Personal Data Protection Act) 법안 발의(2019.11.18.)
국가안보와 개인정보보호법은 공화당의 조시 하울리 상원의원이 발의한 법안으로, 미국의 국가안보에 위협이 될 수 있는 일부 요주의 국가에 자국민의 민감한 개인정보가 제공되지 않도록 하기 위해 마련됐다. 이 법안은 요주의 국가로는 중국·러시아 및 국무장관이 요주의 대상으로 지정한 기타 국가로 정의하고 있으며, 동법의 적용을 받는 기술기업(Covered Technology Company)은 웹사이트 또는 인터넷 응용 프로그램과 같은 온라인 데이터 기반의 서비스를 제공하는 업체들이다. 동 법안에 따라 기업은 필요할 경우에만 사용자의 개인정보를 수집할 수 있으며, 요주의 국가로 데이터 전송이 금지된다. 단, 요주의 국가와 연계되지 않은 법 집행기관이나 군 기관을 지원할 목적으로만 데이터를 수집·이용·보유·저장·공유하는 경우 또는 정보주체가 다른 사용자와 공유하기 위해 스스로 제작한 콘텐츠 등에 대해서는 일부 예외로 인정된다. 이 법 위반 시에는 불공정 및 위반 행위로 간주돼 5년 이하의 징역 또는 벌금형에 처해지며, 미 법무부 장관이 기소하거나 소비자가 소송을 제기할 수 있다.
5. EU-미국 ‘프라이버시 쉴드’
미국 상무부와 유럽위원회가 GDPR의 적정성 평가의 일환으로 2016년 정식으로 채택 및 공개한 프라이버시 쉴드는 EU를 포함한 유럽경제지역(EEA)의 개인정보가 프라이버시 쉴드를 자체 승인한 미국 기업에게 이전될 수 있는 법적 근거를 제공한다. EU에서 미국으로 개인정보를 이전하기 위해 표준조항, ‘구속적 기업규칙(BCRs, Binding Corporate Rules)’에 더해 프라이버시 쉴드가 이용될 수 있다. 프라이버시 쉴드는 EU에서 미국으로의 개인정보 이전에 대한 EU 개인정보보호 요건을 준수하게 하는데, 세이프 하버보다 미국 기업의 보다 강력한 개인정보보호 약속을 포함한다. 미국 기업이 자체 승인함으로써 준수해야 하는 개인정보보호 약속은 미국법에 따라 집행된다. 자체 승인하는 미국 기업은 프라이버시 쉴드에 따르도록 프라이버시 정책과 준수의 검증 메커니즘을 개선하고, 독립된 분쟁 해결 제공자를 확인하도록 요구된다.
프라이버시 쉴드 프레임워크는 유럽 집행부와 미국 상무부가 연 1회 프라이버시 쉴드 집행 현황을 점검하고 적정성을 재검토하도록 구성돼 있다. 2018년 12월에 발간한 2차 보고서에서는 프라이버시 쉴드 참여 기업이 보유한 개인정보에 대해 미국이 적절한 수준의 보호를 지속하고 있으며 1차 연간 보고서의 권고 사항 이행을 위해 프레임워크의 기능을 향상시켰다고 밝히고 있다. 그럼에도 프라이버시 쉴드 참여 기업에 대한 FTC의 보다 적극적인 준법 모니터링과 미정부 당국의 데이터 접근에 대한 감시 및 피해 구제를 담당할 영구적 프라이버시 쉴드 감독관(Ombudsperson)을 2019년 2월 28일까지 임명할 것을 요구했으며 도널드 트럼프 대통령은 2019년 1월 18일 전직 도큐사인사(DocuSign, Inc.) 대표이사인 키스 크래치를 경제 성장·에너지·환경부 차관으로 임명하면서 프라이버시 쉴드 감독관으로 지명한다고 발표했다. 2019년 10월 23일 개최된 3차 연간 보고 심의를 통해서도 프라이버시 쉴드가 적정한 보호 수준을 보장하고 있음을 확인했다.
EU는 본 3차 보고서를 통해 프라이버시 쉴드 영구 행정감찰관과 프라이버시 시민 자유 감독 위원회(Privacy and Civil Liberties Oversight Board)의 2개 자리를 임명했음을 확인했다. 또한, 참여 기업의 실제 규범 준수 여부를 입증하기 위해 상무부가 정기적 샘플링 조사를 진행하는 등 감독 역할을 체계적으로 이행하고 있으며, FTC는 7개의 허위 사실 공표(False Claim) 기업에 대한 법 집행을 시행해 집행력을 강화했다고 평가했다. 그러나 프라이버시 쉴드의 효과적 기능을 위해 인증(재인증) 절차에서 인증신청 유예 기간을 30일로 제한해 소요 시간을 감소시키거나, 허위 사실 공표 범위 확대나 규범 준수 검사를 확대하는 등의 실질적이고 구체적인 조치가 필요하다고 덧붙였다. 또한, 집행위와 FTC가 협의해 인사 정보에 대한 정의 및 취급에 대한 사업자 가이드를 개발하도록 했으며 프라이버시 쉴드의 실질적인 요구 사항 준수 여부를 조사하기 위한 FTC의 추가적인 조치 등을 권고했다.
캐나다
캐나다는 공공과 민간에 모두 적용되는 개인정보보호 기본법을 갖고 있지 않고, 두 부문에 각각 적용되는 별도의 입법을 제정해 시행하고 있다. 공공 부문의 개인정보보호를 위해 적용되는 법으로는 ‘프라이버시법(Privacy Act)’이 있다. 민간 부문의 개인정보 수집·사용·공개와 관리에 관해 규율하는 법으로는 ①연방 개인정보보호 및 전자문서법 ②알버타주의 개인정보보호법 ③브리티시 컬럼비아주의 개인정보보호법 ④퀘벡주의 민간 부문 개인정보보호에 관한 법이 있다. 연방 개인정보보호 및 전자문서법(PIPEDA)은 각 주 및 국제적인 정보의 수집·사용·공개와 관리에 관해 규율하고 있으며, 각 주 안에서 상업적인 활동을 하기 위해 정보를 수집·사용·공개·관리하는 모든 기관을 대상으로 한다. 그러나 각 주에 해당 분야를 관장하는 법이 제정돼 운영되고 있는 경우에는 해당 법이 우선적으로 적용되며 PIPEDA 적용은 배제된다. 즉 연방법과 주법 사이에서 특별법의 지위를 인정하는 것이다. 온타리오의 헬스 프라이버시법, 뉴브런스윅주, 뉴펀들랜드 래브라도주에도 이러한 법이 적용되고 있다.
캐나다의 개인정보보호 감독기구는 연방과 주 차원에서 각각 설립·운영되고 있으며, 공공과 민간을 함께 관장하고 있다. 연방 차원의 감독기구인 연방프라이버시커미셔너(Office of the Privacy Commissioner of Canada, 이하 OPC)는 1983년에 설립됐으며, 순수하게 주 개인정보보호 감독기구의 관할 영역이 아닌 부분에 대해 포괄적인 관할권을 가진다. 하원과 상원에 프라이버시에 관한 정책을 직접 보고하며 연방 프라이버시법에 따라 접수된 각종 민원·신고사건에 대한 사실조사 및 처리, 관할 영역의 개인정보보호 실태조사, 정부와 의회에 대한 입법·정책자문, 프라이버시 이슈 연구 및 조사, 캐나다 국민의 프라이버시 인식 제고 활동 등의 업무를 수행한다.
OPC는 2018년 브리티시 컬럼비아 정보 및 개인정보위원회(Office of Information and Privacy Commissioner)와 공동으로 캠브리지 애널리티카가 온라인 퀴즈로 위장한 앱을 통해 다수의 이용자 정보를 수집하고 이를 정치 컨설팅 목적 등으로 활용한 건에 대해 페이스북의 PIPEDA 위반 여부에 대한 조사에 착수했다. 2019년 4월 OPC는 페이스북이 이용자 등을 대상으로 유효하고 의미 있는 동의를 얻지 못했으며 충분한 보호 조치를 하지 못한 것 등에 대한 결함 사항을 도출하고 이에 대한 개선을 요청했다. 그러나 페이스북은 캐나다 사용자 데이터가 캠브리지 애널리티카와 공유됐다는 증거가 없으며 개인정보보호를 위한 많은 노력을 기울이고 있다며 OPC의 요청을 거부했다. OPC는 페이스북 대상 강제 명령을 실시하기 위해 2020년 2월 6일 연방법원 대상 페이스북의 PIPEDA 위반 사실을 선언하고 동의 절차 및 기술적 결함 사항의 개선, 후속 조치에 대한 지속적인 모니터링 및 집행을 위한 관할권 보유 등을 요청하는 신청서를 제출했다.
한편, 캐나다에서는 개인정보보호 법제의 현대화를 위한 법 개정의 필요성이 여러 정부 부처를 통해 지속적으로 제기되고 있다. 캐나다의 정보·프라이버시·윤리 상임위(The Standing Committee on Access to Information, Privacy and Ethics)는 연방 프라이버시법 및 PIPEDA 개정에 대한 검토 보고서를 2016년 12월, 2018년 2월, 2018년 12월 지속적으로 발간해 Privacy by Design의 방향성과 가짜 뉴스 및 데이터 독점 등에 대한 대응 방안을 제시했다. 캐나다 정부의 혁신, 과학, 경제 개발 위원회(Innovation, Science and Economic Development Canada, 이하 ISED)는 2019년 5월 ‘디지털 시대의 프라이버시 강화(Strengthening Privacy for the Digital Age)’ 보고서를 발간했고 법무부(Department of Justice) 또한 2019년 8월 ‘캐나다 개인정보보호법 현대화 방안(Modernizing Canada’s Privacy Act)’을 통해 개인정보보호 법제의 현대화를 위한 주요 개정 방향을 제시했다.
특히 OPC는 2018-2019년 연차보고서의 표제를 ‘프라이버시법 개정 방안(Privacy Law Reform)’으로 발간해 디지털 시대를 맞아 대규모의 데이터 수집 및 제공, 자동화된 의사결정 및 프로파일링 등이 대폭 증가할 것으로 예상하고 기본적인 권리와 자유를 침해하는 위험에 대한 효과적 대응을 위한 개인정보보호법 개정을 강력히 촉구했다. OPC는 개인정보보호 권리를 인권 보호의 측면에서 접근해 광범위한 개념에서 프라이버시 권리를 정의하고, 프라이버시 입법의 준헌법적 속성을 법률 내에 명시하며, 일반적인 법규·권리 부여 및 의무 부과법으로 입법화함과 동시에 신속하고 효과적 구제 절차 등 효과적 집행 체계 수립이 필요하다고 제시했다. 이와 같은 인권에 기반한 입법화를 위한 핵심 요소로 유의미한 동의(Meaningful Consent)의 중요성을 유지하되 동의 구현이 불가능하거나 가명 정보를 처리하는 등 특정 조건의 경우에는 동의 예외를 허용할 필요성을 인정하고, 개인정보 수집 시 필요성과 비례성의 표준 수립, 책임성 입증 의무 신설 등 개인정보보호 법제 현대화를 위한 다양한 요소들을 제시했다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
2020 개인정보보호 연차보고서에서는 미주의 개인정보보호 동향도 소개하고 있다. 미주 중 △미국 △캐나다의 개인정보보호 동향을 살펴본다.
[이미지=utoimage]
미국
각 산업에서의 자율규제를 원칙으로 하는 미국의 경우 개인정보 오·남용을 불공정 또는 소비자기만 등으로 보고 일반법으로 강력하게 규제하는 한편, 의료정보와 같이 사회적 이슈를 일으키거나 심각한 개인정보 침해를 유발할 수 있는 산업 분야에 대해서는 개별법을 제정해 규율하고 있다.
미국은 1974년부터 소비자의 프라이버시 보호를 위한 ‘공정한 정보처리 원칙(FIPPs, Fair Information Practice Principles)’을 통해 다른 국가보다 앞서 개인정보보호 제도를 수립했으며 개인정보 처리의 투명성·이용 동의·정보주체 권리·보호조치 등의 개인정보보호 및 프라이버시 권리에 대한 기본 정책 방향을 유지하면서 프라이버시에 관한 개별적인 법률과 제도를 구체화했는데, 이는 1980년에 개발된 OECD 개인정보보호 8원칙의 기초가 됐다.
미국의 개인정보보호시스템에서 가장 눈에 띄는 점은 일원화된 독립 감독기구가 없다는 것이다. 공공 부문에서는 개별 정부 기관장이 연방 프라이버시법 집행에 관해 책임지며, 법 이행에 관한 감독은 대통령 관할 하에 있는 예산 관리국(Office of Management and Budget, 이하 OMB)이 부분적으로 담당한다. OMB와 의회의 상임위원회, 법원이 이러한 행정기관의 실무를 제한적으로 감독하는 역할만을 담당하는 구조이다. 민간 부문에 대해서는 독립기관인 연방거래위원회(Federal Trade Commission, 이하 FTC)가 소비자 보호 관련 직무와 권한을 갖고 개인정보보호 직무를 담당하는데, FTC는 개인정보의 수집·저장·사용 및 파기를 포함하는 개인정보 수명 주기(Lifecycle) 전반의 업무를 관장한다. 이 외에도 사업자 협회, 개인정보보호 단체 등이 개인정보보호 가이드라인을 개발하거나 자율규제 프로그램을 운영하는 등 자율규제를 장려하는 정책을 통해 법·제도를 보완하고 있다.
미국은 세계 경제 대국이자 유수의 IT 기업을 보유한 국가로서 자국의 경제 성장을 위해 국가 간 자유로운 데이터 이전을 위한 제도 도입 및 확산에 힘쓰고 있다. 대표적으로는 오래 전부터 세이프 하버(Safe Harbor) 협정을 체결해 개인정보의 자유로운 이동을 허용했다가 2015년 유럽 사법재판소(CJEU)가 세이프 하버 협정 무효를 선고하자, 2016년 유럽 시민의 개인정보 이전에 관한 협정인 EU-US 프라이버시 쉴드(Privacy Shield)를 체결하여 기업의 유럽 진출을 원활하게 했다. 또한, APEC 회원국 간 원활한 개인정보 유통을 위해 개발된 공동 개인정보보호 인증제도인 APEC CBPR(Cross-Border Privacy Rules System)에 주도적으로 참여하며 다른 회원국의 참여를 독려하고 있다.
1. 캘리포니아주 소비자 프라이버시 보호법(CCPA) 시행
캘리포니아 시민의 데이터 프라이버시 권리를 보호하기 위해 2018년 6월 제정된 캘리포니아주 소비자 프라이버시 보호법(California Consumer Privacy Act 2018, 이하 CCPA)이 2020년 1월 1일부터 시행됐다. CCPA는 미국 최초의 민간 부분 일반 개인정보보호 주(州)법으로 소비자 프라이버시 보호를 위한 소비자의 권리와 사업자의 의무 등을 구체적으로 명시했다. 세계적 IT 기업들이 위치하고 미국 내 정치·경제적 영향력이 큰 캘리포니아의 이와 같은 입법 조치는 제정 당시부터 큰 주목을 받아왔으며, 뉴욕·네바다 등 다수의 다른 주를 비롯해 연방 개인정보보호법 제정 논의를 가속화시켰다.
CCPA는 캘리포니아주에서 사업을 하는 일정 기준 이상 영리 기업의 개인정보 수집·판매 행위에 적용되는데, 비즈니스 활동 및 매출액 규모 등으로 적용 기준을 설정함으로써 이에 해당되지 않는 실리콘 밸리의 소규모 스타트업 등에 대해서는 적용을 배제하고 있으며 온·오프라인을 구분하지 않고 적용하고 있다. 또한, 개인정보의 개념을 특정 소비자뿐 아니라 가구(Household)와 관련된 정보로 확대하고 비식별 정보(Deidentified Information)와 가명처리(Pseudonymization)의 개념을 규정하고 있다. 그 밖에 알권리(Right to Know), 접근권(Right to Access), 삭제권(Rights to Deletion), 거부권(Right to Opt-out), 서비스평등권리(Right to Equal Service) 등 소비자의 5가지의 데이터 프라이버시 권리를 열거하고 있으며 이에 기반한 다양한 의무를 사업자에게 부과하고 있다. 특히, 아동(13세 미만)의 개인정보 수집을 위해서는 부모의 사전 동의가 필요하며, 13~16세 아동의 개인정보는 부모의 동의 없이 판매를 금지하는 등 아동 보호 조항을 마련했다. 캘리포니아 법무부 장관은 사업자의 법규 위반에 대해 기소하거나 벌금(Civil Penalty)을 최대 7,500달러까지 부과할 수 있으며, 위반 행위로 개인정보가 침해된 경우에는 소비자는 사적 소권(Private Right of Action)에 따라 소송을 제기해 자신의 경제적 손실을 입증하지 않아도 사업자로부터 법정 손해배상(100~700달러 또는 실질적 손해금액)을 받을 수 있다.
주관부처인 캘리포니아 법무부는 CCPA에 따라 법을 효과적으로 시행하기 위한 CCPA 규정을 마련했다. 한편, CCPA는 세계적으로 프라이버시 규범에 영향을 미치고 있는 EU 개인정보보호법(GDPR)의 영향을 일부 받아 소비자의 권리 보장, 개인정보 침해에 대한 제재 등은 GDPR과 유사한 부분이 있으나 두 규범은 기본 원칙을 비롯해 접근 방법 등 많은 부분에서 차이점이 있다. GDPR은 원칙적으로 모든 개인정보를 보호 대상으로 하며 개인정보 처리의 법적 근거(Legal Basis)를 중요시하고 최소한의 개인정보 처리 및 처리자의 책임성을 강조한다. 반면 CCPA는 의료정보·신용정보 등 특정 분야의 정보는 적용이 제외되며, 정보 처리의 투명성과 개인정보 판매 금지에 중점을 두고 있다.
2. 아동 온라인 개인정보보호법(COPPA) 개정
아동 온라인 개인정보보호법(Children’Online Privacy Protection Act 1998, 이하 COPPA)은 아동의 개인정보에 대한 불공정 또는 기만행위를 규율하는 연방법으로, 미국의 소비자 보호 관련 감독기관인 공정거래위원회(FTC)가 관할한다. COPPA는 영리 목적의 웹사이트나 온라인 서비스 운영자 중에서 아동을 대상으로 서비스를 제공하는 경우에 적용되며, 직접 개인정보를 수집하지 않더라도 다른 서비스 운영자 등을 통해 수집하는 경우에도 적용된다.
COPPA의 보호 대상은 13세 미만 아동으로, 아동으로부터 수집한 부모·친구 등 타인의 개인정보도 포함된다. 주요 보호 원칙으로는 ①개인정보 처리방침의 공개 ②부모에 대한 고지 및 동의 ③개인정보 열람·삭제 요청 등 부모의 검토권(Review) ④정보보안 및 보유/파기 등을 규정하고 있다. FTC는 2019년부터 교육 환경 등 기술의 급격한 발전 속도를 고려해 효과적인 아동 보호 원칙을 재정립하기 위한 의견 수렴 등 COPPA 규칙 개정을 추진하고 있다.
이에 앞서 2013년에 아동의 모바일 기기, 소셜 네트워크 이용 급증 등 인터넷 접속 환경의 변화를 반영해 COPPA 규칙을 개정하고 2017년 사업자 가이드(A Six-Step Compliance Plan for Your Business)를 마련했다. 동 개정을 통해 개인정보 범위를 확대해 개인식별자 정보와 연계되지 않은 쿠키 정보(Persistent Identifiers) 및 지정학적 위치·사진·영상정보까지 포함했고, 아동 정보 수집 사업자의 범위도 명확히 했다. 또한, 부모로부터 입증 가능한 동의 획득을 위해 지식 기반 질의(Knowledge-based Challenge Questions)나 안면 인식 기술을 활용한 방법 등을 추가하고 그 밖에 다양한 기술을 선택할 수 있도록 기업에 재량을 줬다. 이에 더해 기존의 개인정보 처리에 대한 고지 및 동의에 관한 사항을 추가·개선하고, 개인정보 보유 및 파기 규정을 신설했다.
COPPA의 대표적 법 집행 사례로는 2019년 9월 구글과 구글의 자회사인 YouTube(이하 유튜브)에 대해 FTC 등이 아동의 개인정보를 불법으로 수집한 건으로 COPPA 사상 최대 금액인 1억7,000만달러(한화 약 2,050억원)의 벌금형을 부과한 바 있다. 유튜브는 영상물 공유 플랫폼을 제공하는 회사로, 부모 고지나 동의 없이 유튜브의 아동 대상 채널을 시청하는 아동으로부터 쿠키 및 모바일 광고 식별자를 수집하고 이를 맞춤형 광고 등에 이용했다. 쿠키 등은 다른 사이트에서도 계속해 이용자 추적이 가능한 정보로 COPPA에서 규정한 개인정보에 해당된다. 이후 유튜브는 판결 사항을 반영해 채널 운영자 대상 아동용 콘텐츠 여부인지 판단하는 기준을 안내하고, 아동 콘텐츠의 경우 개인 맞춤형 광고 서비스·댓글 달기 기능 등을 중단하기로 했다.
이 밖에도 미국은 아동을 대상으로 하는 광고에 대한 사업자 자율규제 정책을 운영하고 있다. 미국 대표적 광고 관련 자율규제 단체의 하부 조직인 ‘아동 광고 심의부’(The Children´s Advertising Review Unit, 이하 CARU)는 광고 자율규제 원칙을 마련하고 이에 따른 CARU 자율규제 프로그램을 운영하고 있는데, 동 프로그램은 2001년부터 COPPA의 자율규제 기준으로 승인받아 이를 준수하는 것은 COPPA 준수로 간주된다. 또한, CARU는 COPPA 및 FTC의 이행 규칙과 부합한 ‘온라인 개인정보보호 가이드라인(Guidelines for Online Privacy Protection)’을 마련해 아동 개인정보 수집 및 기타 인터넷상의 개인정보보호 관행에 대한 검토 사항을 제시하고 있다.
3. 연방 개인정보보호법 제정 추진
미국의 대표적인 개인정보보호 감독기구인 FTC는 그 관할 범위가 소비자 보호 등에 한정되고, 그 역할과 권한도 제한적임에 따라 다양한 분야의 개인정보보호 수요를 수용하기에는 여러 한계점이 지적돼 왔다. 이에 더해 2018년 EU GDPR·CCPA 등 최근 시행되고 있는 개인정보보호 규범이 미국 전역의 다수의 기업들에 영향을 끼치고 미국 내 관할 구역별 규범의 일관성 문제가 다가오자, 최근 연방 차원의 개인정보보호법 마련 필요성에 대해 활발히 논의되고 이와 관련해 다수의 법안이 발의됐다. 그러나 공화당과 민주당 의원들의 개인정보 침해에 대한 소송과 FTC의 권한 등 주요 쟁점에 대한 의견 차이로 법률 제정이 지연되고 있다.
이에 미 상원의 상무·사법 등 4개 주요 위원회 소속 민주당 의원들은 2019년 11월 연방 개인정보보호법에 반영돼야 할 우선순위 원칙(Privacy and Data Protection Framework)을 발표해 개인정보보호 감독기구의 권한 강화 및 자원 확대를 통해 거대 기술기업에 대해 더 엄격한 제재와 규율을 강화하는 방향을 제시했다. 개인정보보호법 핵심 원칙은 ①데이터 보호 수단의 확립 ②경쟁 촉진 ③소비자 및 시민의 권리 확보 ④책임성 강화 등 4가지 주제로 구분했다. 이를 통해 정보주체인 소비자의 개인정보 통제권을 강화하고 개인정보의 수집·이용·공유·보호와 관련한 기업과 조직의 책임 수준을 높이는 것을 목표로 하고 있다.
4. 데이터 주권 확보 정책
세계 경제가 데이터 중심의 체제로 옮겨감에 따라 데이터 시장 주도권을 선점하고 자국민을 보호하기 위한 국가 간 이른바 ‘데이터 주권(Data Sovereignty)’ 확보 노력이 활발하다. EU, 중국을 비롯한 세계 주요국은 자국민의 데이터가 국외로 이전되는 것을 제한하거나 이전된 데이터에 대한 접근 등 자기 정보 통제 권리를 확보하고 혹은 자국의 데이터 산업 활성화를 위한 데이터 국지화 정책 등을 도입하고 있다. 미국은 트럼프 정권에 들어서면서 데이터 활용을 장려하며 보호에 대한 유연한 정책을 적용하는 한편, 국가안보의 관점에서 데이터 국외 유출 방지를 위한 정책은 강화하는 추세다.
가. 클라우드법(Clarifying Lawful Overseas Use of Data Act 2018, Cloud Act)
클라우드법은 범죄 조사에 필요한 데이터가 해외 소재 서버에 저장돼 있을 경우 이를 안정적으로 확보하기 위해 국가 간 법 집행기관들이 서로의 국가에서 보유한 데이터에 상호 접근할 수 있는 근거와 절차를 마련한 법이다. 동법은 전자통신서비스 제공업체가 고객 데이터를 보존 및 공개해야 하는 의무를 확대하고, 미 행정부가 국경 간 전자 데이터에 대한 접근 및 증거 정보의 교환을 촉진하기 위해 다른 정부와 행정협정을 체결할 수 있도록 권한을 부여했다. 행정협정이 체결된 국가와는 상대국의 법률적 요구사항에 대한 의무가 면제되어 절차가 간소화된다. 한편, 애플(Apple)·페이스북(Facebook) 등 미국의 주요 글로벌 기업들은 이러한 조치가 상대국과의 법률 간 충돌을 해소할 수 있어 클라우드법 도입을 지지해 왔다. 그러나 개인정보보호 옹호 단체 등은 이 법이 개인정보에 대한 정부의 감시 등 과도한 권한을 부여해 심각한 사생활 침해가 우려된다고 표명했다. 한편, 미 정부는 2019년 6월 호주·EU와 클라우드법 적용을 위한 행정협정을 추진했으나, 양국 간 관련 법률이 각각 너무 느슨하거나 너무 엄격한 이유로 양립하지 못한다는 결론을 내린 바 있다.
나. 국가안보와 개인정보보호법(National Security and Personal Data Protection Act) 법안 발의(2019.11.18.)
국가안보와 개인정보보호법은 공화당의 조시 하울리 상원의원이 발의한 법안으로, 미국의 국가안보에 위협이 될 수 있는 일부 요주의 국가에 자국민의 민감한 개인정보가 제공되지 않도록 하기 위해 마련됐다. 이 법안은 요주의 국가로는 중국·러시아 및 국무장관이 요주의 대상으로 지정한 기타 국가로 정의하고 있으며, 동법의 적용을 받는 기술기업(Covered Technology Company)은 웹사이트 또는 인터넷 응용 프로그램과 같은 온라인 데이터 기반의 서비스를 제공하는 업체들이다. 동 법안에 따라 기업은 필요할 경우에만 사용자의 개인정보를 수집할 수 있으며, 요주의 국가로 데이터 전송이 금지된다. 단, 요주의 국가와 연계되지 않은 법 집행기관이나 군 기관을 지원할 목적으로만 데이터를 수집·이용·보유·저장·공유하는 경우 또는 정보주체가 다른 사용자와 공유하기 위해 스스로 제작한 콘텐츠 등에 대해서는 일부 예외로 인정된다. 이 법 위반 시에는 불공정 및 위반 행위로 간주돼 5년 이하의 징역 또는 벌금형에 처해지며, 미 법무부 장관이 기소하거나 소비자가 소송을 제기할 수 있다.
5. EU-미국 ‘프라이버시 쉴드’
미국 상무부와 유럽위원회가 GDPR의 적정성 평가의 일환으로 2016년 정식으로 채택 및 공개한 프라이버시 쉴드는 EU를 포함한 유럽경제지역(EEA)의 개인정보가 프라이버시 쉴드를 자체 승인한 미국 기업에게 이전될 수 있는 법적 근거를 제공한다. EU에서 미국으로 개인정보를 이전하기 위해 표준조항, ‘구속적 기업규칙(BCRs, Binding Corporate Rules)’에 더해 프라이버시 쉴드가 이용될 수 있다. 프라이버시 쉴드는 EU에서 미국으로의 개인정보 이전에 대한 EU 개인정보보호 요건을 준수하게 하는데, 세이프 하버보다 미국 기업의 보다 강력한 개인정보보호 약속을 포함한다. 미국 기업이 자체 승인함으로써 준수해야 하는 개인정보보호 약속은 미국법에 따라 집행된다. 자체 승인하는 미국 기업은 프라이버시 쉴드에 따르도록 프라이버시 정책과 준수의 검증 메커니즘을 개선하고, 독립된 분쟁 해결 제공자를 확인하도록 요구된다.
프라이버시 쉴드 프레임워크는 유럽 집행부와 미국 상무부가 연 1회 프라이버시 쉴드 집행 현황을 점검하고 적정성을 재검토하도록 구성돼 있다. 2018년 12월에 발간한 2차 보고서에서는 프라이버시 쉴드 참여 기업이 보유한 개인정보에 대해 미국이 적절한 수준의 보호를 지속하고 있으며 1차 연간 보고서의 권고 사항 이행을 위해 프레임워크의 기능을 향상시켰다고 밝히고 있다. 그럼에도 프라이버시 쉴드 참여 기업에 대한 FTC의 보다 적극적인 준법 모니터링과 미정부 당국의 데이터 접근에 대한 감시 및 피해 구제를 담당할 영구적 프라이버시 쉴드 감독관(Ombudsperson)을 2019년 2월 28일까지 임명할 것을 요구했으며 도널드 트럼프 대통령은 2019년 1월 18일 전직 도큐사인사(DocuSign, Inc.) 대표이사인 키스 크래치를 경제 성장·에너지·환경부 차관으로 임명하면서 프라이버시 쉴드 감독관으로 지명한다고 발표했다. 2019년 10월 23일 개최된 3차 연간 보고 심의를 통해서도 프라이버시 쉴드가 적정한 보호 수준을 보장하고 있음을 확인했다.
EU는 본 3차 보고서를 통해 프라이버시 쉴드 영구 행정감찰관과 프라이버시 시민 자유 감독 위원회(Privacy and Civil Liberties Oversight Board)의 2개 자리를 임명했음을 확인했다. 또한, 참여 기업의 실제 규범 준수 여부를 입증하기 위해 상무부가 정기적 샘플링 조사를 진행하는 등 감독 역할을 체계적으로 이행하고 있으며, FTC는 7개의 허위 사실 공표(False Claim) 기업에 대한 법 집행을 시행해 집행력을 강화했다고 평가했다. 그러나 프라이버시 쉴드의 효과적 기능을 위해 인증(재인증) 절차에서 인증신청 유예 기간을 30일로 제한해 소요 시간을 감소시키거나, 허위 사실 공표 범위 확대나 규범 준수 검사를 확대하는 등의 실질적이고 구체적인 조치가 필요하다고 덧붙였다. 또한, 집행위와 FTC가 협의해 인사 정보에 대한 정의 및 취급에 대한 사업자 가이드를 개발하도록 했으며 프라이버시 쉴드의 실질적인 요구 사항 준수 여부를 조사하기 위한 FTC의 추가적인 조치 등을 권고했다.
캐나다
캐나다는 공공과 민간에 모두 적용되는 개인정보보호 기본법을 갖고 있지 않고, 두 부문에 각각 적용되는 별도의 입법을 제정해 시행하고 있다. 공공 부문의 개인정보보호를 위해 적용되는 법으로는 ‘프라이버시법(Privacy Act)’이 있다. 민간 부문의 개인정보 수집·사용·공개와 관리에 관해 규율하는 법으로는 ①연방 개인정보보호 및 전자문서법 ②알버타주의 개인정보보호법 ③브리티시 컬럼비아주의 개인정보보호법 ④퀘벡주의 민간 부문 개인정보보호에 관한 법이 있다. 연방 개인정보보호 및 전자문서법(PIPEDA)은 각 주 및 국제적인 정보의 수집·사용·공개와 관리에 관해 규율하고 있으며, 각 주 안에서 상업적인 활동을 하기 위해 정보를 수집·사용·공개·관리하는 모든 기관을 대상으로 한다. 그러나 각 주에 해당 분야를 관장하는 법이 제정돼 운영되고 있는 경우에는 해당 법이 우선적으로 적용되며 PIPEDA 적용은 배제된다. 즉 연방법과 주법 사이에서 특별법의 지위를 인정하는 것이다. 온타리오의 헬스 프라이버시법, 뉴브런스윅주, 뉴펀들랜드 래브라도주에도 이러한 법이 적용되고 있다.
캐나다의 개인정보보호 감독기구는 연방과 주 차원에서 각각 설립·운영되고 있으며, 공공과 민간을 함께 관장하고 있다. 연방 차원의 감독기구인 연방프라이버시커미셔너(Office of the Privacy Commissioner of Canada, 이하 OPC)는 1983년에 설립됐으며, 순수하게 주 개인정보보호 감독기구의 관할 영역이 아닌 부분에 대해 포괄적인 관할권을 가진다. 하원과 상원에 프라이버시에 관한 정책을 직접 보고하며 연방 프라이버시법에 따라 접수된 각종 민원·신고사건에 대한 사실조사 및 처리, 관할 영역의 개인정보보호 실태조사, 정부와 의회에 대한 입법·정책자문, 프라이버시 이슈 연구 및 조사, 캐나다 국민의 프라이버시 인식 제고 활동 등의 업무를 수행한다.
OPC는 2018년 브리티시 컬럼비아 정보 및 개인정보위원회(Office of Information and Privacy Commissioner)와 공동으로 캠브리지 애널리티카가 온라인 퀴즈로 위장한 앱을 통해 다수의 이용자 정보를 수집하고 이를 정치 컨설팅 목적 등으로 활용한 건에 대해 페이스북의 PIPEDA 위반 여부에 대한 조사에 착수했다. 2019년 4월 OPC는 페이스북이 이용자 등을 대상으로 유효하고 의미 있는 동의를 얻지 못했으며 충분한 보호 조치를 하지 못한 것 등에 대한 결함 사항을 도출하고 이에 대한 개선을 요청했다. 그러나 페이스북은 캐나다 사용자 데이터가 캠브리지 애널리티카와 공유됐다는 증거가 없으며 개인정보보호를 위한 많은 노력을 기울이고 있다며 OPC의 요청을 거부했다. OPC는 페이스북 대상 강제 명령을 실시하기 위해 2020년 2월 6일 연방법원 대상 페이스북의 PIPEDA 위반 사실을 선언하고 동의 절차 및 기술적 결함 사항의 개선, 후속 조치에 대한 지속적인 모니터링 및 집행을 위한 관할권 보유 등을 요청하는 신청서를 제출했다.
한편, 캐나다에서는 개인정보보호 법제의 현대화를 위한 법 개정의 필요성이 여러 정부 부처를 통해 지속적으로 제기되고 있다. 캐나다의 정보·프라이버시·윤리 상임위(The Standing Committee on Access to Information, Privacy and Ethics)는 연방 프라이버시법 및 PIPEDA 개정에 대한 검토 보고서를 2016년 12월, 2018년 2월, 2018년 12월 지속적으로 발간해 Privacy by Design의 방향성과 가짜 뉴스 및 데이터 독점 등에 대한 대응 방안을 제시했다. 캐나다 정부의 혁신, 과학, 경제 개발 위원회(Innovation, Science and Economic Development Canada, 이하 ISED)는 2019년 5월 ‘디지털 시대의 프라이버시 강화(Strengthening Privacy for the Digital Age)’ 보고서를 발간했고 법무부(Department of Justice) 또한 2019년 8월 ‘캐나다 개인정보보호법 현대화 방안(Modernizing Canada’s Privacy Act)’을 통해 개인정보보호 법제의 현대화를 위한 주요 개정 방향을 제시했다.
특히 OPC는 2018-2019년 연차보고서의 표제를 ‘프라이버시법 개정 방안(Privacy Law Reform)’으로 발간해 디지털 시대를 맞아 대규모의 데이터 수집 및 제공, 자동화된 의사결정 및 프로파일링 등이 대폭 증가할 것으로 예상하고 기본적인 권리와 자유를 침해하는 위험에 대한 효과적 대응을 위한 개인정보보호법 개정을 강력히 촉구했다. OPC는 개인정보보호 권리를 인권 보호의 측면에서 접근해 광범위한 개념에서 프라이버시 권리를 정의하고, 프라이버시 입법의 준헌법적 속성을 법률 내에 명시하며, 일반적인 법규·권리 부여 및 의무 부과법으로 입법화함과 동시에 신속하고 효과적 구제 절차 등 효과적 집행 체계 수립이 필요하다고 제시했다. 이와 같은 인권에 기반한 입법화를 위한 핵심 요소로 유의미한 동의(Meaningful Consent)의 중요성을 유지하되 동의 구현이 불가능하거나 가명 정보를 처리하는 등 특정 조건의 경우에는 동의 예외를 허용할 필요성을 인정하고, 개인정보 수집 시 필요성과 비례성의 표준 수립, 책임성 입증 의무 신설 등 개인정보보호 법제 현대화를 위한 다양한 요소들을 제시했다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
