개인정보 보호위원회

미국: 주별 개인정보 보호법 현황

미국의 주별 개인정보보호법은 사업 구조·개인정보 처리 규모·연매출 등을 기준으로 적용 범위가 상이하며, 연방법과의 관계에 따른 예외 적용 기준도 다양하게 나타나 기업의 컴플라이언스 체계에 복잡성을 유발

◆ 주별 개인정보보호법 제정 현황 및 적용 범위

-2020년 캘리포니아 소비자 개인정보보호법(California Consumer Privacy Act, CCPA) 제정 이후, 현재까지 미국 내 20개 주에서 일반 개인정보보호법이 도입됨.

-다만, 각 주의 법률은 ▴주 내 사업 수행 여부 ▴개인정보 처리 규모 ▴연매출 ▴정보주체 정의 ▴민감정보 범주 ▴수탁사 기준 등 주요 요소의 개념과 적용 범위가 상이하며, 관련 판례와 해석례가 부족해 기업의 준법 전략 수립에 장애 요인으로 작용함.

-캘리포니아주, 버지니아주, 텍사스주의 법률은 주내에서 ‘사업을 영위’하거나 ‘주 거주자를 대상으로 서비스·제품을 제공’하는 조직을 적용 대상으로 규정함. 그러나, 물리적 사무소가 없는 외국 기업도 웹사이트를 통한 제품 판매 또는 정보 수집 등으로 적용 대상이 될 수 있음.

-개인정보 처리 규모에 따른 기준은 ▴캘리포니아주 10만 건 이상 ▴몬태나주 5만 건 이상 ▴버지니아주 10만 건 이상 ▴뉴햄프셔주 7만 5천 건 이상으로 주마다 상이함. 캘리포니아주와 테네시주는 연매출 요건도 적용하나, 텍사스주는 별도 매출 기준 없이 미국 중소기업청 기준의 소기업은 제외 대상으로 설정함.

-대부분의 주법은 소비자를 보호 대상으로 하나, CCPA는 고용·거래 관계자를 포함한 캘리포니아 거주자 또는 가구 정보를 포함함.

-민감정보(sensitive data)는 인종, 건강정보, 생체정보, 종교, 시민권·이민자 신분 등을 포함하며, 캘리포니아주는 노동조합 가입 여부, 이메일·문자·우편 내용까지 포함하고, 오리건주는 트랜스젠더 및 비이분법적 성정체성(non-binary) 정보를 명시함.

◆  연방법과 주법 간 예외 적용 범위

-연방법인 금융현대화법(Gramm-Leach-Bliley Act, GLBA) 및 건강보험이동과책임에관한법(Health Insurance Portability and Accountability Act, HIPAA) 등 기존 연방법에 따라 일부 개인정보 또는 조직은 주법 적용에서 제외됨.

-버지니아주·코네티컷주·유타주·플로리다주는 GLBA 적용 대상 기관 전체에 대해 주법 적용을 면제하는 반면, 오리건주·미네소타주는 은행·신용조합 등 전통적 금융기관(은행 및 신용조합)에만 제한적 예외를 인정함.

-일부 주는 동일 조직 내에서도 연방법 적용 대상 개인정보 처리에만 예외를 인정하고, 그 외 개인정보에는 주법을 적용함.

◆  계약상 책임 구조와 국외 기업의 대응 전략

-주별 개인정보보호법은 GDPR의 컨트롤러(controller)에 해당하는 조직을 주체로 설정하나, 일부 주는 프로세서(processor) 또는 서비스 제공자(service provider)의 계약상 책임도 명시함.

-다만, 프로세서와 서비스 제공자 정의 및 요건이 주마다 달라 동일 기업 또는 계약이 어떤 주에서는 프로세서로, 다른 주에서는 컨트롤러로 간주될 수 있음. 이로 인해 조직의 역할 및 준수 책임 수준이 달라질 수 있음.

-미국 내 법인이 없는 외국 기업이라도, 미국 기업과의 계약을 통해 해당 고객사가 주법 준수를 요구할 경우 계약상 책임이 발생할 수 있음.

-이에 따라 국외 기업은 각 주의 개인정보보호법 정의 및 의무 구조를 사전에 파악하고, 계약 체결 시 관련 리스크를 반영하는 등 선제적 대응 전략 수립이 필수적임.

출처: USA: Navigating the landscape of state general data privacy laws (Dataguidance, 2025.05.23.)