Breaking
사이버 보안(Cybersecurity)
美 캘리포니아주, 데이터 보호법 강화
2019-05-14 09:01:09
허서윤
▲미국 캘리포니아주가 두 개의 새로운 데이터 보호 법안으로 데이터 보호법을 강화한다(사진=ⓒ123RF)

[라이헨바흐=허서윤 기자] 미국에서 가장 강력한 데이터 보호법을 시행하고 있는 미국 캘리포니아주가 데이터 보안을 더욱 강화하는 두 가지 새로운 법안을 추가하기로 결정했다.

캘리포니아 법무장관 자비에르 베세라를 비롯한 주 의원들은 SB 561 및 AB 1130 법안을 제안했다. 이것은 이미 견고한 데이터 보호 정책을 더욱 안전한 것으로 향상시킬 수 있는 새로운 데이터 보호 법안이다. 이 두 법안의 목표는 시민들에게 사적인 권리를 부여하면서도 통보법을 강화하는 것이다.

시민들의 사적 권리 행사 확대

첫 번째로 제안된 법안 SB 561(CCPA 법안이라고도 함)은 캘리포니아 소비자 개인 정보 보호법(CCPA)의 핵심 요소를 수정하는 법안이다.

CCPA는 CCPA 법안과 다르다는 점에 유의해야 한다. 전자는 캘리포니아 법의 현행법을 말하며 후자는 이 현행법에 속한 특정 법령을 수정하는 법안이다.

캘리포니아의 현행법에 따르면 현재 대부분의 데이터 보호법 위반에 대해 기소할 수 있는 사람은 이 지역의 법무장관이다. 시민들은 '개인'의 데이터가 도난 및 자신의 의지와 반하게 공개되는 등 침해됐을 경우에만 제한적으로 기소할 수 있다. 또한 이런 일이 기업의 관리 소홀, 합리적인 보안 절차과 관행 구현 소홀일 경우에만 기업을 대상으로 소송을 제기할 수 있다.

CCPA 법안은 이를 수정해 시민들이 소송권을 행사할 수 있는 사적인 권리를 확대한다. 이 법안에 구체적으로 명시된 조항 1798.150(a)(1) 그리고 1798.150(c)에 따르면 시민들은 개인 데이터 도난뿐만 아니라 다양한 소비자 권리 침해 내용에 대해 소송을 제기할 수 있다.

현재 CCPA 하에서 소비자는 기업이 CCPA의 어떤 조항을 위반했는지를 서면으로 통보하는 경우에만 개인 소송을 제기할 수 있다. 또 소송을 걸고 나면 기업이 데이터 유출 복구를 하는 데 30일의 기간을 제공해야 한다. 기업이 데이터 유출 문제를 기간 내에 해결하기만 하면 민사소송이 진행되지 않는다. 그러나 CCPA 법안은 기업이 30일 동안 데이터 유출 문제를 해결할 시간을 주지 않으며, 데이터 유출 사건이 발새했다는 서면 통지가 전해지는 대로 당국이 조치를 취한다는 내용을 담고 있다.

CCPA는 지난 해 6월 28일 최초로 제정된 후 9월에 개정됐고, 오는 2020년 1월 1일부터 전면 시행될 것으로 예상된다. 새로 제안된 법안이 통과된다면 이 법이 시행되기 전에 개정된다.

개인 정보의 정의

캘리포니아주 국회의원들은 시민들의 사적인 권리 행사를 확대하는 것 외에도 위반 통지법을 개선해야 한다고 제안했다. 두 번째 법안, AB 1130(통지 법안이라고도 함)은 개인 정보의 법적 정의를 확대하는 것을 목표로 한다.

이 법안이 통과된다면 개인 정보에는 시민권 및 영주권 정보, 여권번호 등 정부가 발행한 문서 정보, 지문, 홍채 이미지, 얼굴 인식 등의 생체 인식 데이터 등이 개인 정보에 포함된다. 현행법상 개인 정보는 운전면허번호, 은행 정보, 건강보험 정보, 의료 정보, 사회보장번호, 비밀번호 등이다.

하지만 최근 데이터 유출 사고로 인해 수백만 명 시민들의 여권번호 등이 유출되자 주 정부 당국은 미래에 일어날 수 있는 사건을 미연에 방지하기 위해 개인 정보의 법적 정의를 확대할 계획이다.

방화벽이 필요하다

마크 레빈 의원은 CNN과의 인터뷰에서 "지금 정부는 미국의 남쪽, 멕시코와의 국경에 물리적 장벽을 건설하려고 혈안이지만 우리가 진정으로 필요로 하는 것은 신원 도용 및 사이버 사기 등을 막기 위한 방화벽이다"라고 말했다.

레빈은 또한 "실질적인 위험은 우리의 개인 정보가 보호되지 않을 때다. 시민들은 정부를 신뢰하고 있으며 이에 따라 정부는 시민들의 개인 정보를 보호해야 한다"고 덧붙였다.

베세라는 직접 법안을 제안하기에 나서며 주 정부 공무원들에게 끊임없이 진화하는 사이버 보안 위협 및 조치에 적용할 수 있는 법률과 정책을 마련할 것을 촉구했다.

베세라는 "아는 것이 힘이다. 그런데 현행법상 모든 캘리포니아 주민들은 여권번호 나 생체 인식 데이터에 유출 및 침해된 경우에 행동을 취할 권한이 없다. 이에 따라 새로운 법안으로 현행법을 보완해야 한다. 나는 우리 주 정부가 미국에서 가장 데이터 보호에 앞장서는 곳이 되길 바란다"고 말했다.

▲마크 레빈 의원은 미국이 시민들을 보호하기 위해 필요로 하는 것은 물리적 장벽이 아니라 사이버 방화벽이라고 말했다(사진=ⓒ123RF)
[라이헨바흐=허서윤 기자]