현재 미국 의회에는 새로운 프라이버시 보호법이 발의돼 통과 과정을 거치는 중이다. 이 법안의 미래는 아직 불투명하지만, 이미 여러 의미가 논의되는 중이다.
[보안뉴스= 캐리 팔라디 IT 칼럼니스트] 미국은 연방정부 차원에서의 프라이버시 보호법을 올해 통과시킬 수 있을까? 그리고 미국 연방 차원에서의 프라이버시 보호법은, 점점 삼엄해지고 있는 개인정보 보호의 물결에 어떤 영향을 줄까? 이 궁금증을 해결해 줄 수 있을 만한 움직임이 미국 의회에서 나타났다. 미국 프라이버시 보호법(American Privacy Rights Act, APRA)이 4월 7일에 발의된 것이다. 참고로 현재 미국 내에서 개인정보 보호는 주 단위로 시행되기 때문에 세부 규정이 제각각이다.
[이미지 = gettyimagesbank]
연방 차원에서의 프라이버시 보호
데이터 프라이버시를 보호한다는 차원에서 미국의 법 시스템은 생각보다 뒤쳐져 있다는 평가를 받는다. 이미 전 세계 100개 이상의 국가들이 데이터 프라이버시 보호법을 시행하고 있는데, 아직 미국에는 그런 것이 없다. 주 단위의 규정만 산발해 있을 뿐이다. 나라가 커서 그렇다고 하기에는, 이미 더 복잡한 이해 관계로 얽혀진 유럽 대륙에서도 이미 2018년에 GDPR이 신설돼 시행되고 있다.
국제개인정보보호전문가협회(IAPP)의 회장인 트레버 휴즈(Trevor Hughes)는 “당연하지만, 연방 차원에서는 각종 디지털 정책들이 논의되고 있다”며 “인공지능, 온라인 아동 보호, 틱톡, 해외로의 데이터 전송 문제 등 다양한 문제들이 다뤄지고 있습니다. 프라이버시 보호도 그 중 하나고요. 너무 많은 것들을 한꺼번에 다뤄야 하니 느려지는 건 어쩔 수 없다고 볼 수 있습니다. 하지만 프라이버시 보호라는 기반 위에 나머지 디지털 정책들이 도입되어야 한다고 생각했을 때, 프라이버시 보호가 같이 늦어진다는 건 적잖이 아쉽습니다. 일이 순서대로 진행되어야 하는데 그렇지 않은 듯 하니까요.”
주 차원에서는 이미 보호법 존재
미국 내에서는 총 15개 주가 포괄적인 프라이버시 보호법을 시행하고 있다고 IAPP는 설명한다. APRA가 시행된다면 이러한 주의 법들보다 APRA가 우선 적용될 것이다. 따라서 중구난방의 느낌이 없지 않은데, 그것이 어느 정도 정리될 것으로 전문가들은 기대하고 있다. “정리가 된다면 기업 입장에서 알아두고 맞춰야 할 규정들에 통일성이 생기는 것이고, 그건 꽤나 반가운 일이 될 겁니다.” 휴즈의 설명이다.
하지만 연방 정부가 기존 주 정부들보다 더 엄격한 규정들을 정착시키면 어떨까? 반갑기 만한 일이 될까? 캘리포니아프라이버시보호국(CPPA)의 총국장인 아슈칸 솔타니(Ashkan Soltani)는 “연방 차원의 법이라면 바닥을 깔아주는 방향으로 가는 게 맞다”는 입장이다. 즉 ‘꼭 지켜야 할 최소한의 조항들’로 구성해야 한다는 것이다. “그런 후에 필요에 따라 서서히 높여가는 게 맞지, 한껏 높였다가 서서히 낮아지는 건 적절하지 않다고 봅니다.”
ARPA 체제 하에서 기업 운영하기
ARPA가 시행되기 시작한다면 어떤 변화가 일어날까? 무엇보다 소비자의 정보를 수집하고, 그것을 바탕으로 영리 활동을 펼치는 모든 형태의 사업들일수록 큰 변화를 체감하게 될 것이라고 전문가들은 예상한다. 사이버 보안 업체 포트라(Fortra) 수석 보안 전문가인 안토니오 산체스(Antonio Sanchez)는 “예전보다 데이터를 덜 모아야 하고 짧게 저장해야 하는 상황”이라며 “그러한 상황에서 예전과 같은 수준의 수익을 내는 방법을 찾아야 할 것”이라고 정리한다.
또한 데이터 프라이버시 책임자를 반드시 한 명 이상 뽑아야 한다는 규정도 ARPA는 가지고 있다. “이 역시 기존 기업 운영 방식에서 크게 달라지는 부분”이라고 휴즈는 짚는다. “데이터 보안 전문가를 반드시 영입해야 했던 과거와 상황은 같습니다. 그 때는 데이터 보안이 그만큼 중요하게 부각되었기에 담당자를 따로 뽑아야 했지요. 이제는 프라이버시가 그만큼 중요해지고 있다고 해석할 수 있습니다.”
ARPA가 현재 상태 그대로 통과되어 시행되기 시작한다면 기업과 기관들은 180일 이내에 모든 사항을 준수할 수 있도록 채비를 갖춰야 한다. 실패할 경우 조직들은 여러 가지 벌칙을 받을 수 있다. “급진적인 규정이 새롭게 생겨나지 않는 한 지키는 게 그리 어려운 일은 아닐 겁니다. 이미 여러 주들의 프라이버시 보호법을 준수하고 있는 기업이 대부분이니까요. 다만 일부 법 문구나 표현이 애매한 경우들이 있어 혼란이 야기될 수 있습니다. 그 점은 입법부에서 추가로 설명을 해주어야 하겠지요.” 산체스의 지적이다.
그러면서 그는 “영향력 높은 소셜미디어”라는 표현이 특히 애매한 사례라고 짚는다. “소셜미디어면 소셜미디어지, 영향력이 높고 낮음을 무슨 기준으로 정하나요? 이런 표현이 법망을 피해 달아날 수 있는 구멍이 될 수 있습니다. 이 내용은 삭제하는 편이 좋을 거라고 생각합니다.”
소비자들을 위한 데이터 프라이버시
데이터 프라이버시와 관련된 권한이 상당 부분 소비자들에게로 넘어갔다는 것도 주목해야 할 방향성이다. “ARPA 아래에서는 미국의 모든 사용자들이 자신들의 정보에 접근하여 열람하고 편집하고 수정하고 삭제를 요청할 수 있게 됩니다. 만약 이러한 권리 행사가 제대로 되지 않을 때 연방법에 의거하여 법정 싸움을 진행할 수도 있고요. 이런 내용도 기업들은 충분히 고려해야 할 것입니다.” 휴즈의 설명이다.
그럼에도 이 모든 일들이 결국 미국의 소비자 데이터와 프라이버시 보호라는 관행과 문화를 어떻게 바꿀 것인지는 아무도 예측할 수 없다. 더 나아가 미국의 이런 변화가 세계에 어떤 영향을 미칠 것인지도 지금은 흐릿하게 어림짐작만 할 뿐이다. 그것이 비포장 도로가 될지, 진흙탕이 지뢰처럼 만들어진 길이 될지, 심지어 그 길을 다 달려 목적지에 도달할 수 있을지도 우리는 모른다.
휴즈는 “장애물이 적잖이 존재할 것”이라고 예측한다. “특히나 올해는 선거의 해지요. 정치인들이 정말로 사회와 국민들에게 이득일 될 것이 아니라 안정적인 득표가 가능할 것에 힘을 쏟는 때입니다. 그런 가운데 데이터 프라이버시라는, 정말로 필요한 정책이 언제 어떤 모양으로 자리를 잡을 수 있을 것인지는 도무지 알 수가 없습니다. 그저 누군가 정신을 차리고 제대로 된 법을 제정해주기를 바랄 뿐입니다.”
ARPA가 통과하지 못할 가능성도 없지 않다. “그렇더라도 ARPA가 의회에서 논의와 투표를 거치는 게 중요합니다. 그 자체만으로도 충분히 환기가 될 수 있거든요. 디지털 프라이버시라는 이슈와 담론 자체는 사라지는 게 아니니까요. ARPA가 통과 실패한다면, 그건 또 그것대로 의미가 있을 겁니다.”
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스= 캐리 팔라디 IT 칼럼니스트] 미국은 연방정부 차원에서의 프라이버시 보호법을 올해 통과시킬 수 있을까? 그리고 미국 연방 차원에서의 프라이버시 보호법은, 점점 삼엄해지고 있는 개인정보 보호의 물결에 어떤 영향을 줄까? 이 궁금증을 해결해 줄 수 있을 만한 움직임이 미국 의회에서 나타났다. 미국 프라이버시 보호법(American Privacy Rights Act, APRA)이 4월 7일에 발의된 것이다. 참고로 현재 미국 내에서 개인정보 보호는 주 단위로 시행되기 때문에 세부 규정이 제각각이다.
[이미지 = gettyimagesbank]
연방 차원에서의 프라이버시 보호
데이터 프라이버시를 보호한다는 차원에서 미국의 법 시스템은 생각보다 뒤쳐져 있다는 평가를 받는다. 이미 전 세계 100개 이상의 국가들이 데이터 프라이버시 보호법을 시행하고 있는데, 아직 미국에는 그런 것이 없다. 주 단위의 규정만 산발해 있을 뿐이다. 나라가 커서 그렇다고 하기에는, 이미 더 복잡한 이해 관계로 얽혀진 유럽 대륙에서도 이미 2018년에 GDPR이 신설돼 시행되고 있다.
국제개인정보보호전문가협회(IAPP)의 회장인 트레버 휴즈(Trevor Hughes)는 “당연하지만, 연방 차원에서는 각종 디지털 정책들이 논의되고 있다”며 “인공지능, 온라인 아동 보호, 틱톡, 해외로의 데이터 전송 문제 등 다양한 문제들이 다뤄지고 있습니다. 프라이버시 보호도 그 중 하나고요. 너무 많은 것들을 한꺼번에 다뤄야 하니 느려지는 건 어쩔 수 없다고 볼 수 있습니다. 하지만 프라이버시 보호라는 기반 위에 나머지 디지털 정책들이 도입되어야 한다고 생각했을 때, 프라이버시 보호가 같이 늦어진다는 건 적잖이 아쉽습니다. 일이 순서대로 진행되어야 하는데 그렇지 않은 듯 하니까요.”
주 차원에서는 이미 보호법 존재
미국 내에서는 총 15개 주가 포괄적인 프라이버시 보호법을 시행하고 있다고 IAPP는 설명한다. APRA가 시행된다면 이러한 주의 법들보다 APRA가 우선 적용될 것이다. 따라서 중구난방의 느낌이 없지 않은데, 그것이 어느 정도 정리될 것으로 전문가들은 기대하고 있다. “정리가 된다면 기업 입장에서 알아두고 맞춰야 할 규정들에 통일성이 생기는 것이고, 그건 꽤나 반가운 일이 될 겁니다.” 휴즈의 설명이다.
하지만 연방 정부가 기존 주 정부들보다 더 엄격한 규정들을 정착시키면 어떨까? 반갑기 만한 일이 될까? 캘리포니아프라이버시보호국(CPPA)의 총국장인 아슈칸 솔타니(Ashkan Soltani)는 “연방 차원의 법이라면 바닥을 깔아주는 방향으로 가는 게 맞다”는 입장이다. 즉 ‘꼭 지켜야 할 최소한의 조항들’로 구성해야 한다는 것이다. “그런 후에 필요에 따라 서서히 높여가는 게 맞지, 한껏 높였다가 서서히 낮아지는 건 적절하지 않다고 봅니다.”
ARPA 체제 하에서 기업 운영하기
ARPA가 시행되기 시작한다면 어떤 변화가 일어날까? 무엇보다 소비자의 정보를 수집하고, 그것을 바탕으로 영리 활동을 펼치는 모든 형태의 사업들일수록 큰 변화를 체감하게 될 것이라고 전문가들은 예상한다. 사이버 보안 업체 포트라(Fortra) 수석 보안 전문가인 안토니오 산체스(Antonio Sanchez)는 “예전보다 데이터를 덜 모아야 하고 짧게 저장해야 하는 상황”이라며 “그러한 상황에서 예전과 같은 수준의 수익을 내는 방법을 찾아야 할 것”이라고 정리한다.
또한 데이터 프라이버시 책임자를 반드시 한 명 이상 뽑아야 한다는 규정도 ARPA는 가지고 있다. “이 역시 기존 기업 운영 방식에서 크게 달라지는 부분”이라고 휴즈는 짚는다. “데이터 보안 전문가를 반드시 영입해야 했던 과거와 상황은 같습니다. 그 때는 데이터 보안이 그만큼 중요하게 부각되었기에 담당자를 따로 뽑아야 했지요. 이제는 프라이버시가 그만큼 중요해지고 있다고 해석할 수 있습니다.”
ARPA가 현재 상태 그대로 통과되어 시행되기 시작한다면 기업과 기관들은 180일 이내에 모든 사항을 준수할 수 있도록 채비를 갖춰야 한다. 실패할 경우 조직들은 여러 가지 벌칙을 받을 수 있다. “급진적인 규정이 새롭게 생겨나지 않는 한 지키는 게 그리 어려운 일은 아닐 겁니다. 이미 여러 주들의 프라이버시 보호법을 준수하고 있는 기업이 대부분이니까요. 다만 일부 법 문구나 표현이 애매한 경우들이 있어 혼란이 야기될 수 있습니다. 그 점은 입법부에서 추가로 설명을 해주어야 하겠지요.” 산체스의 지적이다.
그러면서 그는 “영향력 높은 소셜미디어”라는 표현이 특히 애매한 사례라고 짚는다. “소셜미디어면 소셜미디어지, 영향력이 높고 낮음을 무슨 기준으로 정하나요? 이런 표현이 법망을 피해 달아날 수 있는 구멍이 될 수 있습니다. 이 내용은 삭제하는 편이 좋을 거라고 생각합니다.”
소비자들을 위한 데이터 프라이버시
데이터 프라이버시와 관련된 권한이 상당 부분 소비자들에게로 넘어갔다는 것도 주목해야 할 방향성이다. “ARPA 아래에서는 미국의 모든 사용자들이 자신들의 정보에 접근하여 열람하고 편집하고 수정하고 삭제를 요청할 수 있게 됩니다. 만약 이러한 권리 행사가 제대로 되지 않을 때 연방법에 의거하여 법정 싸움을 진행할 수도 있고요. 이런 내용도 기업들은 충분히 고려해야 할 것입니다.” 휴즈의 설명이다.
그럼에도 이 모든 일들이 결국 미국의 소비자 데이터와 프라이버시 보호라는 관행과 문화를 어떻게 바꿀 것인지는 아무도 예측할 수 없다. 더 나아가 미국의 이런 변화가 세계에 어떤 영향을 미칠 것인지도 지금은 흐릿하게 어림짐작만 할 뿐이다. 그것이 비포장 도로가 될지, 진흙탕이 지뢰처럼 만들어진 길이 될지, 심지어 그 길을 다 달려 목적지에 도달할 수 있을지도 우리는 모른다.
휴즈는 “장애물이 적잖이 존재할 것”이라고 예측한다. “특히나 올해는 선거의 해지요. 정치인들이 정말로 사회와 국민들에게 이득일 될 것이 아니라 안정적인 득표가 가능할 것에 힘을 쏟는 때입니다. 그런 가운데 데이터 프라이버시라는, 정말로 필요한 정책이 언제 어떤 모양으로 자리를 잡을 수 있을 것인지는 도무지 알 수가 없습니다. 그저 누군가 정신을 차리고 제대로 된 법을 제정해주기를 바랄 뿐입니다.”
ARPA가 통과하지 못할 가능성도 없지 않다. “그렇더라도 ARPA가 의회에서 논의와 투표를 거치는 게 중요합니다. 그 자체만으로도 충분히 환기가 될 수 있거든요. 디지털 프라이버시라는 이슈와 담론 자체는 사라지는 게 아니니까요. ARPA가 통과 실패한다면, 그건 또 그것대로 의미가 있을 겁니다.”
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
