미국 워싱턴 DC의 국회의사당 전경./AFPBBNews=뉴스1

<이미지를 클릭하시면 크게 보실 수 있습니다>

미국 여야가 연방 차원의 개인정보보호법(APRA·미국프라이버시권리법) 제정을 추진 중이다. 미국에 진출한 한국 기업들이 제대로 대응하지 않을 때 불이익을 받을 수 있어 주의가 필요하다는 지적이 나온다.

30일 정보보호업계와 외신 등에 따르면 미 하원은 하원 에너지상업위원회장과 상원 상업과학교통위원회장이 지난 4월 APRA의 입법추진에 합의한 데 따라 관련 논의를 이어가고 있다. 지난 24일(현지시간)엔 민권변호사단체가 규제강화를 요구하는 취지의 성명을 발표했다.

APRA에는 AI(인공지능)가 개인정보를 활용해 제품·서비스·정보 제공을 결정하거나, 순위·정렬·홍보·추천 등으로 의사결정을 용이하게 할 경우 '대상 알고리즘'으로 보고 운영주체가 대규모 데이터보유자일 경우 영향평가를 의무화하는 내용이 담겼다. 영향평가 결과는 연방거래위원회(FTC)에 제출해야 하고, 일반에 공개된다. 또 서비스가 개인의 주택·고용·의료·보험·신용이나 공공시설 이용에 관련됐다면 운영주체는 AI 사용사실을 미리 통지하고 거부권을 제공해야 한다.

개인의 선호도·관심사항을 기반으로 온라인 광고를 노출하는 애드테크(광고기술기업)에 대해서도 APRA는 '맞춤형 광고 거부권 고지의무'를 부과할 예정이다. 개인이 여러 웹사이트에 걸쳐 활동한 정보는 민감정보라는 취지다. 특히 17세 미만 어린이에 대해선 명시적 동의가 없는 한 맞춤형 광고를 할 수 없게 된다.

한편 이 법안은 빅테크(거대정보기술기업)를 별도로 분류, 10년치 개인정보처리방침 공개를 비롯한 추가의무를 부과하는 내용도 담고 있다. '영향력 큰 소셜 미디어 기업'의 기준은 연간 글로벌 매출액 30억달러(4조1385억원), '대규모 데이터 보유자'의 기준은 △최근 매출액 2조5000만달러(3449억원) 이상 △500만명 이상의 개인정보 등으로 규정됐다.

APRA의 적용대상은 단독이나 공동으로 데이터를 수집·처리·보유·전송하는 모든 처리자와 반독점법 적용기관, 통신법상 일반통신사업자, NGO(비정부기구) 등으로 광범위하다. 직전 3년간 연평균 매출이 4000만달러(555억원) 미만이거나 개인정보 처리대상이 20만명 미만인 소기업과 정부기관 등은 제외된다.

APRA는 현재 주별로 다른 개인정보보호법을 연방 단위로 통일하자는 제안에서 비롯됐다. 법률선점주의에 따라 주법이나 다른 법보다 우위에 있지만, 소비자·직원·학생 보호와 개인정보 침해통지 등을 다루는 현행 주법은 예외다.

다만 일부 주의 반대가 이어지는 것은 입법과정에 변수로 작용할 전망이다. 특히 캘리포니아주에선 이미 '옵트아웃(Opt-out·불허기회제공)'·위험평가 등 다른 주법에서 요구하는 수준 이상으로 의무사항을 설정한 탓에 APRA가 도입될 경우 외려 기존 규제가 약화할 수 있다는 우려가 제기됐다.

한국인터넷진흥원(KISA)은 최근 동향분석 보고서를 통해 "지난달 8일 미국 14개주와 워싱턴DC의 법무장관들은 APRA 초안의 일부 조항에 반대하는 서한을 연방정부에 전달한 상태"라며 "이 서한은 주 정부가 개인정보보호 영역에서 연방정부의 선점을 반대하는 활동을 지속할 것임을 시사한다"고 밝혔다.

연구진은 "적용대상 기관들은 미국 내 개인정보보호 규제의 변화 추이를 모니터링하고, 법적 요구사항을 파악해 위반사항이 발생하지 않도록 지속적인 노력이 필요하다"고 덧붙였다.

성시호 기자 shsung@mt.co.kr

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지