뉴스레터

해외규제 리포트 2024-06-14
  • 공유하기

    1. URL

해외규제 리포트 - "2024년 외국 적대국으로부터의 미국인 데이터 보호법(PADFA)" 시행 예정

"2024년 외국 적대국으로부터의 미국인 데이터 보호법(PADFA)" 시행 예정


1. 제정 배경

최근 미국 연방 정부는 미국인의 민감개인정보가 외국 적대국에게 제공되는 것을 방지하기 위하여 ‘틱톡 금지법’을 포함한 다양한 규제를 마련하고 있습니다. 그 가운데 미국 하원은 2024. 3. 20. 데이터 브로커가 미국 거주자의 민감 개인 정보를 외국 적대국에게 전송하는 것을 금지하는 내용의 “2024년 외국 적대국으로부터의 미국인 데이터 보호법(Protecting Americans’ Data from Foreign Adversaries Act of 2024, 이하 “PADFA”)”을 통과시켰습니다. PADFA는 2024. 7. 23.부터 시행될 예정입니다.

구체적으로, PADFA는 데이터 브로커가 미국 거주자의 민감 개인 정보를 외국의 적대국 또는 이들이 통제하는 단체에 판매, 라이선스 제공, 임차, 거래, 이전, 공개, 접근 제공 또는 기타 방식으로 제공(이하 “제공 등”)하는 것을 금지합니다. 아래에서는 “데이터 브로커”, “민감 개인 정보”, “외국 적대국 또는 이들이 통제하는 단체”의 구체적 정의에 관하여 살펴보겠습니다.



​​​​​​
2. 주요 내용

가. 데이터 브로커(data brokers)

PADFA에 따르면, “데이터 브로커”란 미국인 개인으로부터 직접 수집하지 아니한 미국인 개인 정보를 상당한 대가를 받고 서비스 제공업체가 아닌 다른 법인에 제공 등 하는 법인을 의미합니다.

한편, PADFA는 다음 법인의 경우 데이터 브로커에 포함되지 아니한다고 규정하고 있습니다.

(i)    미국인 개인의 요청 또는 지시에 따라 해당 개인의 데이터를 전송하는 경우
(ii)   민감 개인 정보 또는 그러한 데이터에 대한 접근이 제품이나 서비스가 아닌 제품이나 서비스를 제공, 유지 또는 제공하는 경우
(iii)  지역, 국가, 또는 국제적 사건 기타 공공의 관심사에 관한 뉴스 또는 정보를 보도하거나 게시하는 경우
(iv)  일반 대중이 이용할 수 있는 뉴스 또는 정보를 보도, 게시 또는 기타 방식으로 제공하는 경우
(v)   외설적 시각적 묘사를 포함하지 않는 경우
(vi)  서비스 제공업체로 활동하는 경우 


나. 민감 개인 정보(personally identifiable sensitive data)

PADFA는 “민감 개인 정보”란, 단독으로 또는 다른 데이터와 결합하여 개인을 식별하거나 개인과 연결되거나 연결될 수 있는 모든 민감 정보를 의미한다고 규정하고 있습니다. 민감 정보에는 정부가 발급한 식별정보(예: 주민등록번호, 여권 번호, 운전면허 번호), 계정 또는 기기 로그인 자격증명, 개인의 건강 또는 성적 행동에 관한 정보, 금융 데이터(예: 계좌 번호, 소득 수준, 은행 잔고), 생체 정보, 유전 정보, 정확한 지리적 위치 데이터, 개인 통신(예: 음성 메일, 이메일, 문자 등), 사적인 용도로 사용되는 캘린더 및 연락처 정보, 17세 미만 아동에 관한 정보 등이 포함됩니다.


다. 외국 적대국 또는 이들이 통제하는 법인(foreign adversary country or any entity that is controlled by a foreign adversary)

외국 적대국은 중국, 러시아, 이란, 북한을 의미하는데, 이들이 통제하는 법인이란 다음과 같은 법인을 의미합니다.

(i)    외국 적대국에 소재하거나, 본사를 두고 있거나, 주요 사업장을 보유하고 있거나, 외국 적대국의 법률에 따라 조직된 법인
(ii)   위 (i) 조건을 충족하는 외국 법인이 20% 이상의 지분을 직접 또는 간접적으로 소유하는 법인 
(iii)  위 (i) 조건을 충족하는 외국 법인의 통제 또는 지시를 받는 법인



​​​​​​
3. 시사점

PADFA는 “데이터 브로커”와 “민감 개인 정보”를 광범위하게 정의하고 있습니다. 일례로, 미국 거주자의 민감 개인 정보를 해당 개인이 아닌 자로부터 제공받은 법인이 데이터 공유 계약에 따라 데이터 레이크(data lake)와 같은 대규모 저장소를 통해 해당 개인 정보를 여러 계열사에게 제공하였는데, 그 중 한 계열사의 지분 중 20% 이상을 중국 법인이 소유하는 경우에도 PADFA 위반에 해당할 수 있습니다. 

PADFA를 위반할 경우 연방거래위원회(Federal Trade Commission)가 위반 횟수 당 최대 $50,120의 금전적 제재(civil penalty)를 부과할 수 있습니다. 따라서 미국 개인이 아닌 다른 출처로부터 개인 정보를 수집하는 법인은 PADFA의 적용 여부를 철저히 검토하여 리스크에 대비할 필요가 있습니다.