미국 주법 vs 한국 개인정보보호법 – 구조와 적용 대상의 차이

미국은 연방 차원의 통합 개인정보보호법이 없다는 점에서, 세계적인 IT 강국임에도 불구하고 개인정보 보호 수준에 대한 불균형이 지속되어 왔습니다. 이를 보완하기 위해 최근 몇 년 사이 각 주(State)에서 자체적인 개인정보보호법을 제정하고 있으며, 대표적으로 캘리포니아의 CCPA·CPRA, 버지니아의 VCDPA, 콜로라도의 CPA, 코네티컷의 CTDPA, 유타의 UCPA 등이 시행 또는 시행 예정입니다. 이 글에서는 그중에서도 핵심 법안인 CCPA/CPRA, VCDPA 등을 중심으로 미국 주 법령의 공통점과 차이점, 한국법과의 비교, 그리고 기업 운영 시 유의할 점을 정리해 드리겠습니다.

 

CCPA는 미국 최초의 포괄적 개인정보보호법입니다.

CCPA(California Consumer Privacy Act)는 2018년 6월에 제정되어 2020년 1월부터 본격 시행된 미국 최초의 포괄적 소비자 개인정보보호법입니다. 캘리포니아는 미국 내에서 경제 규모가 가장 크고, 실리콘밸리와 같은 정보통 산업의 중심지이기 때문에, CCPA의 영향력은 사실상 ‘미국 전체에 준하는’ 법적 효과를 가지고 있다고 평가됩니다.

CCPA는 캘리포니아 주민의 개인정보를 수집·이용하는 기업에 다음과 같은 의무를 부과합니다:

• 소비자는 자신의 개인정보가 어떤 방식으로 수집되고 활용되는지 알 권리
• 개인정보 접근·삭제 요청 권리
• 개인정보 판매를 거부할 권리 (Do Not Sell My Personal Information)
• 차별받지 않을 권리 (동의하지 않아도 서비스 제한을 두지 않음)

적용 대상은 ▲연 매출 2,500만 달러 이상이거나, ▲5만 명 이상의 소비자 데이터를 처리하거나, ▲데이터 판매로 연 50% 이상 익을 얻는 기업 등으로 규정되어 있으며, 캘리포니아에 물리적 거점이 없어도, 해당 주민을 대상으로 서비스를 제공하면 적용 대상이 됩니다. 이러한 CCPA의 도입은 미국 내 개인정보보호법 제정의 촉매제가 되었고, 이후 각 주가 유사한 법령을 도입하게 되는 계기가 되었습니다.

CPRA는 CCPA를 보완·강화한 ‘개정법’입니다.

CPRA(California Privacy Rights Act)는 CCPA를 보완하기 위한 개정 법률로, 2020년 11월 주민 투표로 통과되어 2023년 1월부터 시행 중입니다. CPRA는 사실상 GDPR과 유사한 구조를 도입한 법으로 평가받으며, 기존 CCPA보다 강화된 소비자 권리를 포함하고 있습니다.

주요 특징은 다음과 같습니다:

• 민감정보(Sensitive Personal Information) 개념 도입: 인종, 건강정보, 성적 취향, 생체정보, 위치정보 등을 별도로 보호
• 프로파일링 거부권 및 자동화된 의사결정에 대한 제한
• 데이터 보유 기간의 명확한 설정 의무화
• 개인정보 보호 전담 감독기구(CPPA)의 설립
• ‘개인정보 공유(Share)’에 대한 규제 도입: 단순 판매 외에도 제삼자 제공도 규제 대상에 포함

CPRA는 특히 사용자의 사전 통제권과 알 권리 보장을 확대했다는 점에서, 유럽 GDPR의 영향력을 인정하면서도 미국적인 방식으로 해석한 사례로 볼 수 있습니다. 기업 입장에서는 CPRA 시행 이후 기존 CCPA 대비 더 높은 수준의 투명성 확보, 동의 프로세스 개선, 내부 감사를 위한 구조화된 문서화가 요구되고 있습니다.

 

VCDPA, CPA 등 타 주법은 CCPA/CPRA보다 ‘온건한 구조’를 가집니다.

캘리포니아 외에도 미국 여러 주가 자체적인 개인정보보호법을 제정하였으며, 그중 가장 대표적인 것이 버지니아의 VCDPA(Virginia Consumer Data Protection Act)입니다. 2021년 제정되어 2023년부터 시행된 이 법은 GDPR 구조를 일부 수용하면서도, 적용 대상과 규제 강도 면에서는 상대적으로 온건한 수준을 유지하고 있습니다.

VCDPA의 핵심 내용은 다음과 같습니다:

• 소비자의 개인정보 열람, 수정, 삭제, 데이터 이동권 보장
• 민감정보는 명시적 동의(Opt-in) 후 수집 가능
• 광고·프로파일링 거부권 도입
• 위반 시 법무부 장관이 집행권 보유, 사전 고지 및 시정 기간(30일) 제공

콜로라도의 CPA, 유타의 UCPA, 코네티컷의 CTDPA 등도 VCDPA와 유사한 구조를 채택하고 있으며, 이들은 공통으로 기업 규모, 처리 정보량, 광고 수익 구조 등에 따라 적용 여부가 달라지는 점, 민감정보에 대한 사전 동의 체계, 사용자 통제권 확보 등을 포함하고 있습니다. 그러나 캘리포니아와 달리, 대부분의 주법은 소비자의 집단소송 제기 권한이 없고, 감독기관이 중앙화되어 있지 않으며, 과징금 기준도 상대적으로 완화된 편입니다.

 

한국과 미국 주법의 구조적 차이 비교

한국은 개인정보보호법 하나로 공공과 민간, 온라인과 오프라인, 대기업과 스타트업을 모두 아우르는 일원적 체계를 갖추고 있습니다. 반면 미국은 연방 차원에서 통합법이 없기 때문에, 주(State) 단위로 법률이 제각기 존재하며, 적용 범위, 제재 수단, 감독 기관이 모두 상이합니다. 예를 들어 한국에서는 국적이나 거주지와 관계없이 국내 서비스를 통해 개인정보가 수집되면 개인정보보호법이 적용되며, 누구나 삭제·열람·정정 요청이 가능하고, 위반 시 과징금과 공표 조치가 내려질 수 있습니다. 반면 미국의 주법은 해당 주의 주민에게만 적용되며, 외부 거주자에게는 법 적용이 어렵습니다.

 

또한 한국은 개인정보보호위원회라는 중앙 독립 감독기관이 일관된 기준으로 법을 집행하지만, 미국은 주 법무부 장관, FTC, 또는 별도의 위원회가 각기 다른 방식으로 법을 집행하게 되어 법적 해석과 실행력 면에서 일관성이 부족한 단점이 존재합니다. 이러한 구조적 차이는 기업 입장에서는 한국에서는 단일 기준에 따라 설계하면 되지만, 미국 시장에서는 주마다 별도로 대응 전략을 세워야 하는 부담으로 작용합니다.

 

글로벌 기업과 중소 서비스 사업자가 유의해야 할 점

미국 주법은 전체적으로 GDPR보다는 느슨하지만, 캘리포니아를 포함한 일부 주의 법은 한국 개인정보보호법과 유사한 수준의 규제를 요구하기도 하며, 특히 국제적으로 서비스를 제공하는 기업이라면 해당 법령을 모두 검토하고 기술·조직적 대응 체계를 갖추어야 합니다. 중요한 점은, 미국 주법은 대개 기업 규모와 연 매출, 처리 데이터를 기준으로 적용 대상을 제한하고 있다는 것입니다. 따라서 소규모 블로그나 개인 서비스 운영자는 미국 내 법 적용 대상이 아닐 수도 있습니다. 그러나 구글 애드센스, 유튜브, 애널리틱스, 서드파티 마케팅 툴 등을 활용할 경우, 해당 툴이 수집하는 데이터가 미국법의 범주에 해당할 수 있으며, 이는 실무적으로 ‘간접적 적용’으로 이어질 수 있습니다.

 

또한 CPRA는 ‘공유(share)’ 개념을 도입하면서, 판매 여부와 무관하게 제삼자 제공이 있는 경우 법 적용 대상이 될 수 있음을 명확히 했기 때문에, 단순히 광고 노출을 위한 데이터 연결도 법적 책임이 될 수 있습니다. 따라서 글로벌 서비스를 준비하거나 애드센스를 통해 수익화를 진행하시는 분들은, 미국 주법이 단지 “미국 내 기업에만 해당한다”라고 생각하기보다, 데이터 흐름과 제휴 구조를 중심으로 리스크를 점검해 보시는 것이 필요합니다.

 

미국은 연방 차원의 통합 개인정보보호법이 부재한 가운데, CCPA·CPRA·VCDPA·CPA 등 주 단위의 개인정보 보호법들이 빠르게 정착되고 있습니다. 이들 법은 GDPR과 한국법의 구조를 일부 반영하면서도, 자율성과 소비자 보호 중심의 미국식 규제 방식을 혼합하고 있는 형태입니다. 한국은 단일 법률과 감독기관을 통해 명확하고 일관된 기준을 적용하지만, 미국은 주마다 법령이 다르기 때문에, 기업이 이를 대응하는 데 있어 훨씬 더 정교한 전략과 위험 관리 체계가 요구됩니다. 다음 편에서는 이러한 주법들과 한국 개인정보보호법을 더욱 입체적으로 비교해 보기 위해, 데이터 수집 및 제삼자 제공 실무에서의 차이를 구체적인 사례 중심으로 설명하겠습니다.