닫기

글로벌이코노믹

[기고] 진출 기업이 꼭 알아둘 미국의 ‘개인정보 보호’ 관련 법규

공유
0

[기고] 진출 기업이 꼭 알아둘 미국의 ‘개인정보 보호’ 관련 법규

정석희(Sharon Jeong) 변호사, Of counsel, Jeon & Park LLP (sjeong@jeonparklaw.com)
코로나19 사태로 인해 미국을 비롯한 전 세계 기업들의 온라인상 영업 및 경영활동이 급격하게 증가하고 있다. 이를 위해 기업들은 더 많은 기업 및 소비자 정보를 온라인에서 수집, 사용, 공유, 처리하게 된다. 이에 따라 미국에서 영업활동을 이미 하고 있거나 하고자 계획하는 기업들이 미국의 정보 보호 관련 법규를 알아야 할 필요성도 더욱 커지고 있다.

하지만 아쉽게도 미국에는 개인정보 보호를 통합적으로 규율하는 연방법이 아직 없다. 간혹 이 때문에 미국에는 정보보호법이 없다고 오해하는 경우도 있으나, 이는 사실이 아니다. 실제로 특정 기업에 적용되는 미국의 정보 보호 관련 법규는 기업이 속한 산업 분야(금융, 헬스, 인터넷 상거래 등), 소비자(아동 및 청소년), 수집하는 개인 정보의 종류(지정학적 정보, 신용카드 정보 등) 및 영업하는 주(State)에 따라 달라진다. 따라서, 이처럼 산재한 정보 보호 법규들 중 어떤 법규가 적용되며 해당 법규에서 요구하는 의무사항이 무엇인지 등에 관해 사안마다 개별적인 법률 검토가 필요한 것이다.
불공정하거나 기만적인 소비자 정보 처리에 대한 美 연방 거래 위원회의 제재

미국 소비자를 대상으로 영업활동을 하는 기업이 고려해야 하는 가장 대표적인 정보 보호 관련법으로는 ‘미국 연방 거래법(Federal Trade Commission Act)의 Section 5(a)’를 들 수 있다. 해당 법은 ‘불공정(unfair)’하거나 ‘기만적(deceptive)’인 상거래 행위나 관행(practices)을 불법으로 규정하고 있다. 이에 기반하여, 미국 연방 거래 위원회(이하 FTC)는 기업이 소비자 개인 정보를 수집하거나 사용할 때 정보보호 처리방침(Privacy Policy)과 다르게 처리하고 있지는 않은지, 기업의 소비자 정보 사용 및 보관 등의 처리가 소비자에게 현저한 위해를 끼치지는 않는지 등을 단속한다. 또한, 최근에는 인터넷으로 서로 연결되는 사물인터넷(Internet on Things) 제품을 판매하며 해당 제품 사용을 위한 모바일 앱을 함께 제공하는 기업들이 많은데, 이 같은 경우 소비자 정보의 안전성이 매우 취약할 수 있다. 따라서 이 역시 FTC가 상당히 주시하고 있는 이슈 중 하나이며, 관련 기업들은 이를 참고할 필요가 있다.

소비자나 소비자 보호단체 등으로부터 민원이 접수되면, FTC는 이를 조사하고 위법 사항 발견 시 행정조치를 취한다. 그 행정조치에는 기업 정보 보호 관리자 임명, 정기적인 외부 감사, 정보 보호 프로그램 운영 등의 시정조치도 포함되지만, 기업의 해당 영업을 아예 중지시키는 경우도 있다. 또한, 상당한 과태료를 부과할 뿐만 아니라 기업의 경영자들을 형사 고발하기까지도 한다. FTC가 부과하는 과태료에는 ‘상한 금액’이 없다는 점을 특히 강조하고 싶다. 한 예로, FTC는 Facebook이 정보처리방침과 다르게 정보를 사용했다는 등의 이유로 미국 역사상 최고 금액인 무려 50억 달러의 과태료를 부과한 경우도 있다.
기업의 정보보호법 위반에 대한 소비자의 소송 제기 가능성(Forever 21 사례)

관련 기업들이 고려해야 하는 또 하나의 리스크는 바로 소비자들의 소송 제기 가능성이다. 정보 보호 관련 일부 연방법(Fair Credit Reporting Act 등) 및 캘리포니아를 포함한 여러 주의 정보보호법은 개인에게 기업을 상대로 소송을 제기할 권리를 부여하고 있다. 즉, 기업이 정보 보호 관련 법규를 준수하지 않아 소비자에게 손해가 발생한다면, 소비자는 그 기업에 소송을 제기해 손해에 대한 배상을 요구할 수 있는 것이다.

이와 같은 소비자 집단 소송의 대상이 된 Forever 21의 사례를 간단하게 살펴보도록 하자. 의류 및 액세서리 등의 패션용품을 판매하는 Forever 21은 한국계 이민자가 설립한 가장 성공적인 기업 중 하나였으며, 한때는 30억 달러의 매출을 기록하기도 했다. 소송을 제기한 소비자들은 Forever 21 매장에서 의류 등을 구매할 때 사용했던 신용카드의 거래 내역에서 본인이 사용하지 않은 결제 내역을 발견하였다. Forever 21 일부 매장에 설치된 지급 결제 장비(POS)에서 ‘신용카드 정보를 암호화하는 기능’이 꺼져 있었던 탓에 해커들이 Forever 21의 데이터 시스템에 침입할 수 있었고, 이를 통해 해커들은 수개월간 소비자들의 신용카드 정보를 수집한 것이다. 또한, Forever 21은 이와 같은 정보 노출 사고(breach)를 발견하고도 소비자에게 이를 적절히 통지하지 않았다는 사실이 문제가 되었다.

이에 해당 소비자들은 ‘Forever 21은 소비자의 신용카드 정보 및 개인 정보를 안전하게 보관·보호하지 않았다’는 이유로 집단 소송을 제기하였다. Forever 21은 캘리포니아의 Customers Records Act에 명시된 ‘소비자의 정보에 대해 적절하고 합리적이며 업계 표준적인 보안 조치(reasonable, industry standard, and appropriate security measures)를 이행할 의무’를 준수하지 않았으며, 이 같은 행위는 캘리포니아의 Unlawful Competition Law에서 금지하고 있는 ‘위법한(unlawful) 비즈니스 관행’이라고 주장한 것이다. 소송 진행 중에 Forever 21이 파산을 신청함에 따라 판결 보류 중인 이 사건은, 기업들이 소비자 개인 정보를 신중히 처리해야 한다는 점을 알려주는 좋은 사례라 생각된다.

시사점 및 대응 방안

미국에서 영업활동을 하며 미국 소비자의 개인 정보를 수집 및 처리하는 기업들이 소비자 정보를 다룸에 있어 일반적으로 참고해야 하는 사항들을 정리하며 글을 마무리하고자 한다. 우선, 기업의 정보보호 처리방침을 작성할 때에는 해당 기업이 실제로 정보를 수집, 보관, 사용, 공유 또는 판매하는 과정이 진실하고 완전하게 전달되도록 해야 한다. 또한 정보보호 처리방침을 정기적으로 검토하는 동시에, 계속해서 변화하는 기업의 영업활동 내용이 정보보호 처리방침에도 반영되도록 업데이트해야 한다. 이뿐만 아니라, 각 기업에 적용되는 정보 보호 관련 법규상의 의무 내용을 정확히 파악하여 그 내용이 상품 및 서비스 개발 단계에서부터 반영되도록 해야 한다. Forever 21의 사례에서도 볼 수 있듯이, 소비자 정보 보호를 위해 기업이 준수해야 하는 내용을 전사적으로 공유하고 임직원들에 대한 교육 또한 시행할 필요가 있다. 마지막으로, 기업이 할 수 있는 가장 효과적인 리스크 관리는 철저한 예방과 대비라는 것을 기억해야 할 것이다.


※ 이 원고는 외부 글로벌 지역전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려드립니다.