2023년 6월 18일, 텍사스 주지사 그렉 애벗은 H.B. 4, 일명 텍사스 데이터 개인정보 보호 및 보안법(TDPSA)에 서명했습니다. 테네시, 몬태나, 인디애나에서 실질적인 입법 조치가 이루어진 데 이어, 텍사스는 이제 포괄적인 주 개인정보 보호법을 제정한 열 번째 주가 되었습니다. 이 규정은 제정 후 불과 1년 만인 2024년 7월 1일부터 효력을 발생합니다.
캘리포니아, 버지니아, 콜로라도, 코네티컷 등 선행 주들의 원칙과 유사한 요소를 지녔음에도 불구하고, TDPSA는 버지니아나 캘리포니아와 같은 주에서 정한 엄격한 요건에서 면제될 가능성이 높은 광범위한 사업체에 영향을 미치는 다양한 독자적 요소를 제공합니다.
적용 가능성
대부분의 다른 주 일반 개인정보 보호법(캘리포니아, 버지니아, 콜로라도 등)과 달리, 텍사스 개인정보 보호법(TDPSA)은 적용을 위한 금전적 또는 규모 기준을 포함하지 않으므로 훨씬 더 광범위한 사업체를 포괄합니다. 아래에 설명된 예외 사항을 제외하고, TDPSA는 다음 기준을 모두 충족하는 모든 사업체에 적용됩니다:
- 텍사스에서 사업을 영위하거나 텍사스 주민이 소비하는 제품 또는 서비스를 생산하는 경우
- 개인정보의 판매를 처리하거나 수행한다
- 미국 중소기업청(SBA)이 정의한 중소기업이 아닙니다(중소기업은 아래에 설명된 제한된 요건을 충족합니다).
또한 다른 많은 주 법률과 마찬가지로 TDPSA에는 법인 및 정보 제외 조항이 모두 포함되어 있습니다. 주체 제외 대상에는 주 정부 기관, 그램-리치-블리리법(GLBA) 적용 대상 금융 기관, 건강보험 이동성 및 책임법(HIPAA)의 개인정보 보호, 보안 및 침해 통지 규정에 따라 규율되는 적용 대상 기관 및 업무 협력자, 비영리 단체, 고등 교육 기관, 그리고 텍사스 법률에 정의된 전기 공기업, 발전 회사 및 소매 전기 공급업체가 포함됩니다.
캘리포니아주 및 버지니아주와 같은 주의 다른 일반 개인정보 보호법과 마찬가지로, TDPSA 또한 특정 유형의 정보를 TDPSA의 적용 범위에서 제외합니다. 여기에는 다음이 포함됩니다: HIPAA에 따른 보호 건강 정보, 건강 기록(법률에서 정의된 바에 따름), 환자 식별 정보, 임상 시험과 관련된 특정 식별 가능한 사생활 정보, 공정 신용 보고법에 따른 소비자 보고서 정보, 운전자 사생활 보호법, 가족 교육권 및 사생활 보호법 또는 농장 신용법에 의해 규율되는 정보, 그리고 고용 정보.
소비자 권리
다른 주의 일반적인 개인정보 보호법과 유사하게, 텍사스주도 일반적인 제한 사항에 따라 소비자의 신원 확인 시 거주자에게 다음과 같은 권리를 제공합니다:
- 삭제 권리. 소비자는 자신이 제공하거나 소비자에 대해 수집된 개인 데이터를 삭제할 권리가 있습니다.
- 데이터 이동권. 소비자는 자신의 개인 데이터를 이동 가능하고 즉시 사용 가능한 형식(기술적으로 가능한 범위 내에서)으로 복사본을 받아 제3자에게 전송할 수 있습니다.
- 거부권. 소비자는 자신의 개인정보가 다음과 같은 용도로 사용되는 것을 거부할 권리가 있습니다:
- 개인정보를 판매하는 행위(금전적 또는 기타 가치 있는 대가를 목적으로 하는 경우 모두 포함)
- 타겟팅 광고를 목적으로 한 그들의 개인 데이터 처리
- 소비자에게 법적 또는 이와 유사한 효과를 초래하는 자동화된 의사 결정에 사용됩니다.
- 접근권. 소비자는 개인정보 처리자가 해당 소비자에 관한 개인정보를 처리하고 있는지 확인할 권리와 해당 개인정보에 접근할 권리를 가진다. 단, 확인 과정에서 개인정보 처리자의 영업비밀이 노출될 경우에는 예외로 한다.
- 정정권.소비자는 부정확한 개인 데이터를 정정할 권리가 있습니다.
TDPSA에 따라 관리자는 최소 두 가지 이상의 요청 제출 방법을 제공해야 합니다. TDPSA는 또한 권한을 부여받은 대리인이 소비자의 개인정보 판매 또는 타겟팅 광고 활용을 거부할 수 있도록 허용하지만, 해당 대리인은 다른 소비자 권리를 행사할 수 없습니다. 관리자는 소비자의 요청에 대해 지체 없이 응답해야 하며, 어떠한 경우에도 요청 접수 후 45일 이내에 응답해야 합니다. 필요한 경우 이 기간은 추가로 45일까지 연장될 수 있습니다. 관리자는 또한 이러한 권리 행사 요청을 거부할 경우 소비자에게 이의 제기 방법을 제공해야 합니다.
의무
또한 TDPSA는 개인정보 처리자가 개인정보 처리와 관련하여 다음과 같은 주요 의무를 준수할 것을 요구합니다:
- 데이터 최소화.데이터 처리자는 개인 데이터 수집을 공개된 처리 목적에 적절하고 관련성이 있으며 합리적으로 필요한 범위로만 제한해야 합니다.
- 데이터 보안.TDPSA는 관리자가 개인정보의 기밀성, 무결성 및 접근성을 보호하기 위해 합리적인 행정적, 기술적, 물리적 데이터 보안 관행을 수립, 시행 및 유지할 것을 요구합니다. 이러한 조치는 관리자가 처리하는 개인정보의 양과 성격에 적합해야 합니다.
- 차별 금지.소비자가 자신의 권리를 행사하기로 결정했다는 이유로, 통제자는 상품이나 서비스 제공을 거부하거나, 상품이나 서비스에 대해 다른 가격이나 요금을 부과하거나, 소비자에게 다른 수준의 상품이나 서비스 품질을 제공해서는 안 됩니다.
- 사용 제한. 예외 사항(소비자의 동의 등)이 적용되지 않는 한, 관리자는 일반적으로 개인정보의 사용을 수집 목적에 한정해야 하며, 공개된 목적과 합리적으로 필요하거나 부합하지 않는 목적으로 처리해서는 안 됩니다.
- "민감 데이터" 처리 동의. 관리자는 소비자의 동의 없이 "민감 데이터"를 처리할 수 없습니다. 민감 데이터에는 인종 또는 민족적 출신, 종교적 신념, 정신적 또는 신체적 건강 상태 또는 진단, 성생활, 성적 지향, 시민권 또는 이민 상태를 드러내는 데이터가 포함됩니다. 민감 데이터에는 또한 개인을 고유하게 식별하기 위한 목적으로 처리되는 유전적 또는 생체 인식 데이터, 아동으로 알려진 소비자로부터 획득한 개인 데이터, 반경 1,750피트(약 533미터) 이내의 정확한 지리적 위치 데이터도 포함됩니다. 처리자는 또한 소비자가 동의를 철회할 수 있는 효과적인 수단을 제공해야 하며, 이는 동의를 얻는 방법만큼 쉬워야 합니다. 또한 동의를 철회하는 경우 가능한 한 신속하게, 수령 후 15일 이내에 이를 준수해야 합니다.
개인정보 처리방침
다른 주 개인정보 보호법과 마찬가지로 TDPSA는 관리자가 소비자에게 합리적으로 수용 가능하고 명확한 개인정보 보호 고지를 제공하도록 요구합니다. 개인정보 보호 고지에는 다음 내용이 포함되어야 합니다:
- 처리자가 처리하는 개인 데이터의 범주. 그러나 캘리포니아와 달리, TDPSA 하에서는 개인 데이터의 범주가 정의되어 있지 않다.
- 처리 목적
- 소비자가 TDPSA에 따른 권리를 행사하는 방법 및 요청 이행 거부에 대한 이의 제기 방법에 관한 정보
- 제3자와 공유되는 개인정보의 범주 및 개인정보가 공유되는 제3자의 범주
- 개인정보를 제3자에게 판매하거나 타겟팅 광고에 개인정보를 사용하는 행위, 그리고 소비자가 그러한 사용을 거부할 수 있는 방법에 관한 정보
- 컨트롤러가 민감한 데이터인 개인 데이터를 판매하는 경우, "공지: 귀하의 민감한 데이터를 판매할 수 있습니다"라는 내용을 반드시 포함해야 하며, 생체 인식 데이터를 판매하는 경우 "공지: 귀하의 생체 인식 개인 데이터를 판매할 수 있습니다." 각 공지는 원래 공지와 동일한 위치 및 방식으로 제공되어야 합니다. 이는 텍사스 주에서 민감 정보 또는 생체 인식 정보 판매 시 명시적 공지를 요구하는 고유한 공지 요건입니다. 기업은 해당되는 경우 민감 데이터 또는 생체 인식 데이터 판매 공지를 포함하도록 기존 공지를 업데이트해야 합니다.
데이터 보호 평가
관리자는 다음과 같은 특성을 지닌 각 처리 활동에 대해 데이터 보호 평가를 수행해야 합니다: 소비자에게 해를 끼칠 위험이 높은 경우, 타겟팅 광고 목적으로 개인 데이터를 처리하는 경우, 개인 데이터를 판매하는 경우, 프로파일링 목적으로 처리하는 경우(해당 프로파일링이 소비자에게 상당한 피해를 입힐 합리적으로 예측 가능한 위험을 초래하는 경우), 그리고 민감한 데이터의 처리.
데이터 보호 협정
TDPSA는 또한 관리자가 개인정보를 대행하여 처리하는 각 처리자와 데이터 처리 계약(DPA)을 체결하도록 요구할 것입니다. 이 계약에는 처리자의 개인정보 사용과 관련하여 각 당사자의 권리, 의무 및 제한 사항이 명시되어야 합니다. DPA에는 개인정보 처리 방법, 처리의 성격 및 목적, 데이터 주체의 범주, 처리자와 관리자의 권리와 책임, 처리 기간에 대한 명확한 지침이 포함되어야 합니다.
시행
텍사스주는 개인의 소송권을 인정하지 않습니다. 텍사스주 법무장관만이 집행 권한을 가지며, 30일간의 시정 기간 후 집행 조치를 취할 수 있습니다. 또한 법무장관은 소비자 불만 접수 온라인 절차를 마련해야 합니다. 법정 벌금은 위반 건당 최대 7,500달러(약 1,000만 원)이지만, 위반자가 재발 방지를 위해 문제 해결 방안에 대한 구체적 증거를 제출해야 합니다.
기업에 미치는 영향
텍사스 소비자 개인정보 보호법(TDPSA)은 캘리포니아, 버지니아, 코네티컷, 인디애나에서 제정된 법률과 유사한 추가 권리를 텍사스 소비자에게 제공합니다. 다른 주 개인정보 보호법 적용 대상이 아니었던 기업들도 TDPSA 적용 기준이 상대적으로 낮다는 점을 유의해야 합니다. TDPSA가 내년에 시행됨에 따라 기업들은 규정을 신속히 숙지하기 위해 노력해야 할 것입니다.
본 문서에서 언급된 TDPSA 또는 기타 주 개인정보 보호법의 요건에 관한 자세한 내용은 Foley & Lardner의사이버 보안 및 데이터 프라이버시팀 소속 파트너 또는 선임 변호사에게 문의하시기 바랍니다.
