안드로이드 개인정보 보호 샌드박스

미국에서 GDPR이란 무엇일까요? 2024년 미국 개인정보보호법(American Privacy Rights Act of 2024)의 내용을 살펴보세요

John Koetsier 2024년 5월 27일

미국이 곧 유럽’s GDPR과 같은 자체 국가 버전을 갖게 될까요? 올해 4월, 민주당과 공화당이 2024년 미국 프라이버시 권리법을 도입했으며, 이는 결국 미국’s 최초의 국가 프라이버시 법안

캘리포니아주가 2022년 CCPA를 제정하며 선두에 선 것을 비롯해 17개 주에서 자체적인 소비자 개인정보 보호법을 마련했지만, 미국 시민의 디지털 개인정보 보호를 위한 국가적 차원의 법률 체계는 아직 구축되지 않았습니다. 반면 유럽의 일반 데이터 보호 규정(GDPR)은 2016년에 채택되어 2018년부터 시행되었습니다.

만약 2024년 미국 개인정보보호법(Privacy Rights Act of 2024)이 실제로 제정된다면, 모바일 앱 및 게임 회사를 포함한 미국 기업들의 사업 방식에 상당한 변화를 가져올 것입니다. 따라서 이 글에서는 2024년 미국 개인정보보호법을 간략히 살펴보고, GDPR과 비교하며, 이것이 모바일 마케터에게 어떤 의미를 갖는지 논의하고자 합니다.

하지만 솔직히 말해서, 지금은 선거철이고, 극도로 양극화된 미국 정부 체제에서는 초당적인 법안 통과가 극히 어렵습니다. APRA가 현재로서는 자체적으로 통과되기보다는 미래 법안의 틀 역할을 할 가능성이 더 높습니다. 물론 다음 선거에서 민주당이 승리한다면 통과될 가능성은 더 높아지겠지만요.

개인정보보호법을 가진 주: 아주 많습니다!

여기서부터 시작해 봅시다. 최소 17개 주에서 개인정보 보호법을 제정했지만, 일부 주의 법은 2026년이 되어서야 발효될 예정입니다. 2024년 미국 개인정보보호권리법(American Privacy Rights Act)은 갑자기 등장한 것이 아닙니다. 

일반적으로 미국 주들은 소비자 권리(기업이 보유한 개인 정보에 대한 접근, 데이터 수정 및 삭제, 정보 수집 거부권, 다른 서비스 제공업체로의 정보 이전권)에 중점을 두어 왔습니다. 기업의 의무에는 동의 획득, 투명성 확보, 수집 데이터 양 최소화 등이 포함됩니다. 

또한 기업은 소비자 데이터를 보호하기 위한 보안 조치를 시행해야 할 뿐만 아니라 보안 침해 발생 시 사용자 또는 고객에게 이를 알려야 합니다.

다음은 소비자 디지털 개인정보 보호법을 제정했거나 제정 중인 주들을 시간 순서대로 나열한 것입니다

  1. 캘리포니아캘리포니아 소비자 개인정보 보호법(CCPA), 2020년 1월 1일
    1. 참고: 캘리포니아 개인정보보호법(CPRA), 2023년 1월 1일
  2. 버지니아주: 버지니아 소비자 데이터 보호법(VCDPA), 2023년 1월 1일
  3. 콜로라도주: 콜로라도 개인정보보호법(CPA), 2023년 7월 1일
  4. 코네티컷주: 코네티컷주 데이터 개인정보보호법(CTDPA), 2023년 7월 1일
  5. 유타: 유타 소비자 개인정보 보호법(UCPA), 2023년 12월 31일
  6. 텍사스주: 텍사스 데이터 개인정보 보호 및 보안법, 2024년 7월 1일
  7. 플로리다주: 플로리다 디지털 권리 장전, 2024년 7월 1일
  8. 오리건주: 오리건 소비자 개인정보 보호법, 2024년 7월 1일
  9. 몬태나주: 몬태나 소비자 데이터 보호법, 2024년 10월 1일
  10. 델라웨어주: 델라웨어 개인정보보호법, 2025년 1월 1일 시행
  11. 뉴햄프셔주: 뉴햄프셔주 데이터 개인정보 보호법, 2025년 1월 1일 시행
  12. 아이오와주: 아이오와 소비자 데이터 보호법, 2025년 1월 1일 시행
  13. 뉴저지주: 뉴저지 데이터 개인정보보호법, 2025년 1월 15일
  14. 테네시주: 테네시주 정보 보호법, 2025년 7월 1일
  15. 메릴랜드주: 메릴랜드 온라인 데이터 개인정보 보호법, 2025년 10월 1일 시행
  16. 인디애나주: 인디애나 소비자 데이터 보호법, 2026년 1월 1일 시행
  17. 켄터키주: 켄터키 소비자 데이터 보호법, 2026년 1월 1일 시행

날짜만 봐도 알 수 있듯이, 2023년 이후 많은 주에서 디지털 개인정보 보호법을 제정하기 위한 입법이 쏟아져 나왔습니다. 이러한 디지털 개인정보 보호 움직임은 계속되고 있으며, 최소 8개 주에서 새로운 개인정보 보호법이 계류 중이거나 검토 중입니다

  1. 하와이
  2. 매사추세츠 주
  3. 뉴욕
  4. 펜실베이니아
  5. 워싱턴
  6. 위스콘신
  7. 미네소타
  8. 오하이오

이러한 가속화 추세라면 향후 몇 년 안에 거의 모든 주에서 디지털 개인정보 보호법을 제정할 것입니다. 물론 문제는 각 주마다 사소한 차이가 있을 수밖에 없다는 점이며, 기업들은 사용자, 게임 플레이어 또는 고객이 있는 지역에 따라 다양한 법률을 준수해야 한다는 것입니다.

그건… 효율적으로 들리지 않네요.

이것이 바로 2024년 미국 개인정보보호법(Privacy Rights Act)이 제정된 이유 중 하나입니다. 디지털 개인정보에 관한 전국적인 보편적 법률을 마련하기 위해서죠.

2024년 미국 개인정보보호법

2024년 미국 개인정보보호법(APRA)은 무엇에 관한 법일까요? GDPR에 익숙하시다면, 비슷한 점이 많다는 것을 아실 겁니다. APRA는 "소비자 데이터 개인정보보호 권리를 확립하고 데이터 보안 기준을 설정하는" 법안입니다 

이 법안이 통과되면 마케터, 애드테크 기업, 그리고 GAFAM이나 FAANG 같은 대형 디지털 플랫폼 기업들이 데이터를 수집하는 방식에 상당한 영향을 미칠 것입니다. 또한 수집하는 데이터의 종류, 데이터 처리 방식, 그리고 타겟팅 및 개인 맞춤형 광고 캠페인을 실행할 수 있는지 여부에도 영향을 줄 것입니다.

APRA의 주요 중점 사항은 다음과 같습니다

  1. 국가 데이터 개인정보 보호 기준인
    APRA는 현행 주별 법률의 파편화된 체계를 대체하는 통일된 국가 개인정보 보호 기준을 확립하게 될 것입니다. 또한, 이는 현재 대부분의 주 법률보다, 어쩌면 모든 주 법률보다 강력한 보호 조치를 제공할 가능성이 높습니다.
  2. 소비자 권리 미국 개인정보보호법(Privacy Rights Act)은 소비자에게 자신의 데이터에 접근, 수정, 삭제, 내보낼 수 있는 권리뿐만 아니라 데이터 판매를 막을 수 있는 권리 등을 부여합니다. 또한 미국 소비자들은 데이터 처리 맞춤형 광고를 거부할 수 있는 권리도 갖게 됩니다 .
  3. 민감한 데이터에 대한 동의
    APRA는 기업이 민감한 데이터를 제3자에게 전송하기 전에 명시적인 동의를 얻도록 요구합니다.
  4. 데이터 최소화.
    GDPR 및 여러 주 법률에서 볼 수 있듯이, 기업은 서비스 제공에 필요한 범위 내에서만 데이터 수집, 저장 및 사용을 제한해야 합니다. 다시 말해, 더 이상 무분별한 데이터 사용은 허용되지 않습니다.
  5. 보호법)
    는 개인의 사생활 보호 권리가 침해되었을 경우 손해 배상을 청구할 수 있는 권리를 부여하고, 중대한 사생활 침해 사건의 경우 강제 중재를 금지합니다. 또한 연방거래위원회(FTC), 주 법무장관, 그리고 개인에 의한 집행 권한도 부여합니다.
  6. 차별 금지 보호:
    미국의 개인정보보호법(Privacy Rights Act)은 차별적인 목적으로 개인정보를 사용하는 것을 금지하고, 차별을 포함한 피해를 방지하기 위해 알고리즘에 대한 연례 검토를 의무화합니다. 이러한 연례 검토는 어떻게 이루어질까요?
  7. 데이터 보안 의무
    기업은 데이터 유출 및 신원 도용을 방지하기 위해 강력한 데이터 보안 조치를 시행하고 데이터 보안 책임자를 두어야 합니다.
  8. 소기업 면제
    개인 정보를 판매하지 않는 소기업은 Act’s requirements​에서 면제됩니다. A “small business”는 연 매출이 $40 million 이하이며, 200,000명 이하의 데이터를 처리하는 기업입니다.
  9. 알고리즘 면제
    American Privacy Rights Act는 소비자에게 알고리즘 사용을 “consequential decisions”에 대해 선택적으로 거부할 권리를 부여합니다. 이는 신용, 의료, 보험, 고용 등 어떤 소비자에게 제공할지를 결정하는 데 사용됩니다.

APRA(호주 개인정보보호법)가 적용되는 데이터에는 건강 정보, 생체 정보, 유전 정보, 금융 데이터, 정확한 위치 정보, 로그인 자격 증명, 개인 사진 및 녹음 파일 등과 같은 개인 식별 데이터 및 민감한 데이터가 포함됩니다. 단, "익명 처리된 데이터, 직원 데이터, 공개적으로 이용 가능한 정보, 여러 출처의 공개 정보를 바탕으로 추론한 내용"은 적용되지 않습니다

대기업은 특별한 의무를 지게 되는데, 대기업이란 연간 매출 2억 5천만 달러 이상이고 500만 명 이상의 개인 정보(스마트폰 1,500만 대 이상 또는 민감한 데이터 20만 명 이상)를 처리하는 기업으로 정의됩니다. 대기업은 매년 FTC(연방거래위원회)에 내부 통제 시스템에 대한 인증서를 제출해야 합니다.

미국의 개인정보보호법(PRIA)은 GDPR과 얼마나 유사한가요?

결론적으로, 두 법안은 매우 유사한 목표를 가지고 있습니다.

두 법률 모두 개인의 권리를 중시하고, 개인이 자신의 데이터에 접근, 수정, 삭제 및 내보낼 수 있도록 권한을 부여한다는 점이 매우 분명합니다. 다시 말해, 자신의 데이터는 개인의 소유입니다. APRA와 GDPR 모두 동의라는 개념을 포함하고 있으며, 민감한 개인 정보를 처리하기 위해서는 명시적인 동의가 필요합니다.

두 법률 모두 기업이 데이터 최소화에 참여하도록 요구하며, 특정 목적에 필요한 데이터로만 데이터 수집을 제한하도록 규정하고 있습니다. 또한 두 법률 모두 미준수 시 처벌을 포함한 강력한 강제 집행 메커니즘을 제공합니다.

또한 몇 가지 중요한 차이점이 있습니다

GDPR은 조직의 위치와 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 적용됩니다. (이것이 바로 유럽 기업뿐 아니라 미국 기업에도 상당한 투자가 필요했던 이유입니다.) APRA는 미국 내에서 통일된 기준을 마련하는 데 중점을 두고 있습니다.

거부권 행사 방식도 약간 다릅니다

  • GDPR은 개인이 언제든지 직접 마케팅을 위한 데이터 처리를 거부할 수 있도록 허용합니다
  • 미국 개인정보보호법(Privacy Rights Act)에는 맞춤형 광고 수신 거부 권리가 포함되어 있습니다

또한 APRA는 개인정보 침해가 심각한 경우 강제 중재를 명시적으로 금지하는데, 이는 GDPR에서 명시적으로 다루지 않는 부분입니다. 그리고 미국 개인정보보호법(APRA)은 알고리즘의 차별적 영향에 대한 연례 검토를 의무화하고 있는데, 이는 데이터 영향 평가에 대한 GDPR의 일반적인 요구 사항보다 더 구체적입니다.

또한 GDPR은 APRA에는 없는 데이터 관리자와 데이터 처리자라는 개념을 가지고 있습니다. 대신 APRA에는 데이터 브로커라는 개념이 있는데, 이는 GDPR과는 상당히 다른 개념으로 보입니다. 하지만 APRA 역시 데이터 처리가 필수적이라는 점을 인정하고 있으며, "광고, 마케팅 또는 미디어의 성과, 도달 범위 또는 빈도를 측정하거나 보고하기 위한 목적으로만 대상 데이터를 처리하는 것"을 허용하고 있습니다

이 법안은 실제 법률이 되기 전에 여러 차례 수정 과정을 거쳐야 할 것이며, 과정이 진행됨에 따라 일부 정의와 사용 사례가 더욱 구체적으로 명시될 가능성이 있습니다.

디지털 마케터와 사용자 확보 전문가에게 미치는 영향은 무엇일까요?

미국의 개인정보보호권리법과 같은 법률은 애플의 SKAdNetwork나 구글의 Privacy Sandbox와 같은 개인정보보호 프레임워크의 도입을 가속화할 것이 분명합니다. 

APRA(호주 금융감독청)에서도 이를 요구할 수 있습니다.

특히 프라이버시 샌드박스는 타겟팅, 잠재고객, 리타겟팅을 위한 개인정보 보호 메커니즘을 포함하고 있으며, 이는 사람들이 타겟 광고 수신을 거부할 수 있는 세상에서는 있으면 좋은 기능이 아니라 필수적인 기능이 될 수 있습니다. 현재 법안에서 "타겟 광고"는 고유한 영구 식별자가 있는 경우 발생하는 것으로 정의되어 있는데, 이는 미국 개인정보보호법(PRIA)이 구식 IDFA 또는 GAID 기반 행동 타겟팅은 잠재적으로 문제가 될 수 있지만 익명화된 타겟팅은 반드시 문제가 되는 것은 아니라고 보는 듯한 인상을 줍니다.

하지만 그렇더라도 미국인들은 자신들의 데이터 수집, 사용 및 저장에 대해 훨씬 더 많은 통제권을 갖게 될 것이며, 광고 기술 업계 전반도 이에 맞춰 변화해야 할 것입니다.

늘 그렇듯 제3자 데이터가 가장 취약할 것입니다.

궁극적으로 APRA의 영향은 특히 유럽에서 사업을 하고 애플의 SKAN을 도입하고 구글의 프라이버시 샌드박스를 활용하는 기업의 경우, 데이터 기반 성과 마케팅 비용에 이미 어느 정도 반영되어 있을 가능성이 높습니다. 또한 Singular와 같은 데이터 처리 업체를 이용하는 기업의 경우, 투명성과 삭제 가능성 측면에서 필요한 거의 모든 것이 이미 갖춰져 있습니다.

늘 그렇듯 말이죠?

자사 데이터는 그야말로 왕, 여왕, 총리를 모두 합친 것과 같습니다. 사용자, 플레이어 또는 고객을 깊이 이해하고 그들과 강력한 신뢰 관계를 구축하는 것은 앞으로 더욱 중요해질 것입니다.

디지털 마케팅 최신 소식을 받아보세요

이메일 주소를 입력하시면 바로 구독하실 수 있습니다! 스팸을 보내지 않겠다고 약속드립니다.