美 국회 상∙하원, 자국민의 개인정보를 무분별하게 수집·활용하는 것을 막기 위한 연방 차원의 포괄적 개인정보보호법인 ‘미국 프라이버시 권리법’ (American Privacy Rights Act of 2024) 법안에 합의
1. 주요 내용
개인정보보호에 관한 일반법을 두어 규율하는 한국(개인정보보호법)이나 EU(GDPR)와 달리, 미국의 개인정보보호 체계는 아동, 금융, 의료 등 각 주(州) 차원의 개별 법률을 두면서도 연방 차원에서 제정한 개인정보보호에 관한 일반법이 법률로 존재하지 않는 형태였습니다. 지난 2022년 하원에서 연방 차원의 개인정보보호법(American Data Privacy and Protection Act, “ADPPA”)이 발의된 적이 있지만, 당시에는 상원의 반대로 채택되지 않았습니다.
그러나 2024. 4. 7. 상원 상무위원회 위원장 마리아 캔트웰(Maria Cantwell, 민주당)과 하원 에너지 및 상무위원회 위원장 캐시 맥모리스 로저스(Cathy McMorris Rodgers, 공화당)는 연방 차원의 포괄적인 개인정보 보호 법안인 2024년 미국 개인정보 권리법(American Privacy Rights Act of 2024, “APRA”)을 공개했습니다. 만약 APRA 법안이 제정될 경우, 미국 전역에서 중요한 데이터 개인정보 보호 및 보안에 관한 표준을 수립할 것으로 예상됩니다. 특히, APRA는 지난 몇 년간 시행되어 온 기존 주법의 다양한 측면을 통합하고 연방법으로서 우선 적용되며, 새로운 법률적 개념을 정의하고 적용한다는 측면에서 새로운 규율 체계를 구축하는 중요성을 가지고 있습니다.
APRA의 적용
APRA의 적용 범위 및 기본적인 내용은 아래와 같습니다.
- 대상 정보(Covered Data): “대상 정보”는 (미국에 거주하는) 개인을 식별하거나 개인 또는 개인 여러 명과 연결되거나 합리적으로 연결될 수 있는, 또는 고유한 지속 식별자와 같은 기기와 연결되거나 합리적으로 연결될 수 있는 정보를 의미합니다. 다만, 대상 정보는 식별 불가능한 데이터, 직원 정보, 대부분의 공개 가능한 정보 등과 같은 정보를 제외합니다.1
- 적용 대상(Covered Entity): “적용 대상”은 단독으로 또는 다른 기관과 함께 해당 데이터를 수집, 처리, 보유 또는 전송하는 목적과 수단을 결정하고, 연방거래위원회(Fair Trade Commission, “FTC”) 법의 적용을 받거나, 1934년 통신법에 따른 공공 통신 업체이거나 일부 비영리 단체인 기관을 의미합니다. 다만, “소기업(Small businesses)”이나 정부기관, 공공기관 등은 적용 대상에서 제외됩니다.2
- 대규모 데이터 보유자(Large Data Holders): “대규모 데이터 보유자”란 연간 매출액이 2억 5천만 달러 이상인 적용 대상으로, 5백만 명 이상의 개인(또는 개인과 연결 가능한 1,500만 개의 휴대용 기기나 3,500만 개의 연결 기기)의 데이터를 수집, 처리, 보유, 전송하거나 20만 명 이상의 개인(또는 30만 개의 휴대용 기기나 70만 개의 연결 기기)의 민감한 데이터를 수집, 처리, 보유, 전송하는 적용 대상을 의미합니다.
- 소기업(Small Businesses): 연간 매출액이 4천만 달러 이하이며, 20만 명 이하의 개인의 데이터를 수집, 처리, 보유, 전송하고, 타사에 데이터를 전송하여 수익을 창출하지 않는 기업을 의미합니다.
- 민감 대상 정보 (Sensitive Covered Data): “민감 대상 정보”는 정부 식별자, 건강 정보, 생체 정보, 유전 정보, 금융 계좌 및 결제 데이터, 정확한 위치 정보, 로그인 자격 증명, 합리적인 공개 기대와 일치하지 않는 방식으로 드러나는 개인의 인종, 민족, 출신 국가, 종교 또는 성별 정보, 그리고 FTC가 규정에 따라 민감 대상 정보로 정의한 기타 데이터 등을 포함하는 대상 정보의 하위 집합을 의미합니다.
- 정보브로커(Data Broker): “정보브로커”는 대상 정보와 연결되거나 연결 가능한 개인들로부터 대상 정보를 직접 수집하지 않고, 대상 정보의 처리나 전송을 통한 수익이 주요 수입원인 기관을 의미합니다. 이 개념은 APRA가 만들어낸 새로운 개념으로, 정보 브로커에게 APRA의 집행을 담당하게 될 FTC에 등록 및 통지 의무를 부과합니다. APRA는 정보브로커가 스토킹이나 괴롭힘, 사기, 신원 도용, 부당하거나 기만적인 행위 또는 관행에 이용하기 위해 대상 정보에 접근하거나 전송을 홍보 또는 광고하는 것을 금지하며, 또한 자신들의 사업 관행을 허위로 진술하는 것을 금지합니다.3
- 대상 알고리즘 (Covered Algorithm): “대상 알고리즘”은 기계 학습, 통계 또는 기타 데이터 처리나 인공지능 기술에서 유래한 것을 포함, 대상 정보를 사용하여 제품 또는 서비스의 제공을 결정하거나, 정보를 개인에게 제공하거나 표시하는 순위, 정렬, 홍보, 추천, 증폭, 또는 유사하게 결정하는 의사결정을 내리거나 인간의 의사결정을 용이하게 하는 계산 프로세스를 의미합니다.
알고리즘 영향 평가 (Algorithm Impact Assessment)
APRA의 제13조는 “중대한 위험을 초래할 수 있는 방식”으로 대상 알고리즘을 사용하는 대규모 데이터 보유자가 알고리즘 영향 평가를 실시하도록 의무화하고 있으며, 그 결과는 연방 당국과 일반 대중에게 공개될 예정입니다.
영향 평가의 범위는 광범위하며, 다음을 포함합니다:
- 대상 알고리즘의 설계 과정과 방법론에 대한 상세한 설명, 그리고 그 목적과 제안된 사용에 대한 설명
- 대상 알고리즘이 사용하는 데이터의 상세한 설명, 입력 데이터로 처리될 특정 데이터 범주와 대상 알고리즘이 의존하는 모델을 학습하는 데 사용된 모든 데이터 포함
- 대상 알고리즘이 생성하는 출력물에 대한 설명
- 명시된 목적과 관련하여 대상 알고리즘의 필요성과 비례성에 대한 평가
- 대규모 데이터 보유자가 대상 알고리즘으로 인한 개인이나 그룹의 잠재적 피해를 완화하기 위해 취한 조치 또는 취할 조치에 대한 상세한 설명, 여기에는 17세 미만 개인 및 차별적 영향에 대한 조치 포함
또한 법안의 내용에 따르면, APRA는 대상 정보를 수집, 처리 또는 전송하도록 만들어진 대상 알고리즘을 설계하는 적용 대상(비영리 단체 및 정부 기관 포함)과 서비스 제공자에게 배포 전에 알고리즘 설계 평가를 수행해야 하는 추가 의무를 부과합니다. 알고리즘 설계 평가는 개발 과정에서 사용된 모든 학습 데이터를 포함하여 대상 알고리즘의 설계, 구조 및 입력에 대한 분석을 포함해야 하며, 이는 17세 미만 개인과 차별적 영향으로 인한 개인에게 발생할 수 있는 잠재적 피해를 줄이기 위한 것입니다.
적용 대상은 초기 영향 평가를 수행하는 데 2년의 기간을 부여 받고, 이후에는 매년 평가 결과를 제공해야 합니다. 이러한 기관은 설계 평가를 완료하는 데에도 2년을 부여 받습니다. 법안이 입법 진행될 경우 FTC는 새로운 영향 평가와 설계 평가 요건에 대한 구체적인 규정 및 지침을 발행할 것으로 예상됩니다.
인공지능에 미치는 영향
APRA 법안은 한국의 개인정보보호법이나 유럽의 GPDR에서 정하는 바와 같이, 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다는 최소수집의 원칙이나, 개인정보 처리방침의 공시, 정보보호책임자 지정, 안전조치의무 등의 정보보호의 기본적인 내용을 포함하고 있습니다. 그러면서도 APRA는 위와 같이 알고리즘 영향 평가와 관련된 내용 등을 통해 인공지능(AI) 모델의 학습에 사용될 수 있는 데이터에 관한 내용도 담고 있습니다. 다만, 예를 들어, APRA 법안에 포함된 내용들이 AI 모델 학습을 위해 사용할 수 있는 데이터의 양을 제한하는 방향으로 적용이 가능할지 여부 등에 대해서는 아직 명확하지 않다고 할 수 있습니다.
2. 시사점
APRA는 美 의회 내 복잡한 역학 구도와 미국 대선 관련 혼란으로 인해 연내 법안 통과가 쉽지 않을 수 있으나, 구글, 애플, 메타, 틱톡과 같은 대규모 데이터 보유자(Large data holders) 기업들이 자국민의 개인정보를 무분별하게 수집·활용하는 것을 막기 위한 새로운 법적 프레임워크의 도입 및 유럽의 GDPR과 같은 연방 차원의 통합 법률의 도입이 임박하였다는 점에서 법안의 진행 상황 및 변화를 주시해야 할 것입니다.
- APRA, Sec. 2(9)
- APRA, Sec. 2(10)
- APRA, Sec. 2(35)