해외규제 리포트 - 美 정부, 미국인 개인정보 중국ㆍ러시아 등 우려 국가에 전송 금지 행정명령 발표
美 정부, 미국인 개인정보 중국ㆍ러시아 등 우려 국가에 전송 금지 행정명령 발표
1. 발표 배경
미국 바이든 대통령은 2024. 2. 28. 특정 민감 개인 정보 및 미국 정부 관련 정보를 우려 국가에 전송하는 것을 제한하거나 금지하는 규정을 공포하도록 법무부(Department of Justice, 이하 "DOJ")에 지시하는 내용의 행정명령 14117호(Executive Order 14117, 이하 “본건 EO”)를 발표했습니다. 이와 동시에 DOJ는 본건 EO를 이행하기 위하여 규칙 제정 사전 통지(Advance Notice of Proposed Rulemaking, 이하 “본건 ANPRM”, 본건 EO와 본건 ANPRM 통칭하여 “본건 제안”)를 발표했습니다.
미국 정부는 최근 국가 사이버 보안 강화를 위하여 (i) 우려국의 휴대폰 어플리케이션 등을 포함한 정보통신 기술 및 서비스를 규제하는 행정명령 및 (ii) 우려국의 미국 클라우드 서비스 사용을 규제하는 행정명령을 발표한 바 있습니다. 본건 제안도 그 연장선에서, 우려국이 미국 정부에 제기하는 국가 안보 위협에 대응하기 위하여 발표되었습니다.
2. 주요 내용
본건 제안은 "대량의 미국 민감 개인정보(bulk U.S. sensitive personal data)" 또는 "정부 관련 데이터(government related data)"의 전송을 수반하는 "미국인(U.S. persons)"과 "대상 우려 국가(covered countries of concern)" 또는 "대상 인물(covered persons)" 사이의 "대상 데이터 거래(covered data transactions)"를 금지하거나 제한하고자 합니다.
본건 제안에 따르면, 대상 우려 국가에는 중국(홍콩 및 마카오 포함), 러시아, 이란, 북한, 쿠바, 베네수엘라가 포함됩니다.
대상 인물에는 (i) 대상 우려 국가가 소유, 통제하거나, 해당 국가의 관할권에 있거나, 해당 국가의 지시를 받는 회사, (ii) 해당 회사 또는 대상 우려 국가의 외국인 직원 또는 계약 상대방, (iii) 대상 우려 국가에 주로 거주하는 외국인들이 포함됩니다. 또한 법무부 장관은 대상 우려 국가 또는 대상 인물을 대리하거나 대리한다고 주장하는 자 또는 규정 위반을 유발하거나 지시하는 자를 대상 인물로 지정할 수 있습니다.
본건 제안은 민감 개인정보의 범주를 아래와 같이 6가지로 나누었습니다.
① 특정 개인 식별 정보와 그 조합(모든 개인 식별 정보가 해당하는 것은 아님)
② 지리적 위치 정보 및 관련 센서 정보
③ 생체 인식 개인 식별 정보
④ 게놈 데이터
⑤ 개인 건강 데이터
⑥ 개인 금융 데이터
그러나 본건 제안은 민감 개인정보의 ‘대량’ 전송에만 적용됩니다. 전송되는 민간 개인정보의 규모가 특정 기준을 넘어서는 경우, 거래가 금지ㆍ제한됩니다.
미국 정부 관련 데이터 역시 규제 대상인데, 여기에는 특정 시설의 지리적 위치 데이터 및 미국 정부 직원의 민감 개인 정보가 포함됩니다. 미국 정부 관련 데이터는 그 전송 규모와 관계없이 모두 규제됩니다.
본건 ANPRM는 “거래”를 "외국 또는 그 국민이 이해관계를 갖는 모든 재산의 취득, 보유, 사용, 이전, 운송, 수출, 거래"라며 광범위하게 정의하고 있습니다. 특히 “대상 데이터 거래”는 "대량의 미국인 민감 개인정보 또는 정부 관련 데이터에 관한 (i) 데이터 중개(data brokerage), (2) 벤더 계약(vendor agreement), (3) 고용 계약(employment agreement) 또는 (4) 투자 계약(investment agreement)과 관련된 거래"로 정의됩니다.
제한되는 각 거래의 구체적 정의는 아래와 같습니다.
① 데이터 중개: 대량의 미국 민감 개인 정보 또는 미국 정부 관련 데이터의 전송과 관련된 상업적 거래(해당 데이터에 대한 대상 인물의 접근을 제공하는 것 포함)
② 벤더 계약: 대상 인물이 대량의 미국 민간 개인정보 또는 미국 정부 관련 데이터를 처리, 보관, 접근할 수 있도록 하는 계약(Iaas, Paas, Saas 등 클라우드 컴퓨팅의 제공 또는 사용과 관련된 서비스 포함)
③ 고용 계약: 중국에 거주하는 사람 또는 법무부 장관이 지정한 사람을 대량의 미국 민간 개인정보 또는 미국 정부 관련 데이터에 접근할 수 있는 직위에 고용하는 계약(임원 및 이사회 구성원으로 임명하는 계약 포함)
④ 투자 계약: (i) 미국에 위치한 부동산 또는 (ii) 미국 사용자의 대량 미국 민간 개인정보를 체계적으로 수집하는 데이터 센터 또는 비즈니스에 투자하는 내용의 계약(아직 해당 데이터에 접근할 수 없는 스타트업 기업에 대한 투자 또는 소극적인 투자는 포함되지 않음)
그러나 본건 ANPRM은 경제활동의 위축을 방지하기 위하여 아래 거래를 포함하여 몇 가지 예외를 제시하고 있습니다.
① 전자상거래를 포함한 은행 및 금융 기관의 금융 서비스 거래
3. 시사점
이번 조치는 대량의 민감 개인 정보 또는 정부 관련 데이터의 전송을 제한하여 미국의 국가 안보를 대상 우려 국가로부터 보호하기 위한 조치로, 기존에는 합법적으로 거래되어 온 데이터 중개인의 상업용 데이터 거래도 규제 대상이 된다는 점이 특징적입니다. 한편, 미국 하원은 본건 제안이 발표된 이후인 2024. 3. 13.(현지 시간) 틱톡(TikTok)을 소유하는 중국 기업 바이트댄스(ByteDance)가 6개월 이내에 미국 내 자산을 매각하지 않을 경우 틱톡의 미국 내 사용을 금지할 수 있는 내용의 법안을 통과시켰는데, 이는 국가 안보 강화를 위한 미국 정부의 우려 국가에 대한 제재 조치가 지속되고 강화할 것임을 시사합니다.
DOJ는 우려 국가로의 수출을 통제하는 여러 유사 규제와 마찬가지로, 본건 제안에서 정한 규정을 준수하지 않은 경우 금전적 패널티를 부과할 예정입니다. 미국 정부는 패널티 부과 여부를 결정하기 위하여 각 회사의 내부 규정을 면밀히 검토할 것이므로, 데이터 거래 관련 기업은 이번 규정 준수를 위한 내부 규정 및 절차를 도입해야 할 것입니다.
우리 기업의 경우, 대상 우려 국가 또는 대상 인물의 제재 회피 행위에 관여되는 경우 대상 인물로 분류되어 미국 정부의 제재를 받게 될 수 있습니다. 따라서 우리 기업은 제재 회피에 연루되지 않도록 자사의 컴플라이언스를 강화하고 향후 발생 가능한 제재 리스크에 대비해야 하겠습니다.
본건 EO에 대한 의견 제출 기한은 2024. 4. 15.까지이며, DOJ는 2024. 8. 26.까지 규칙 제정안을 발표해야 합니다. 대상 우려 국가 또는 대상 인물과 거래하거나 그러한 거래에 관여하는 기업은 규칙 제정 과정을 면밀히 모니터링해야 할 것입니다.