국가 안보 부서의 데이터 보안 프로그램에 따른 법무부 집행

민감한 데이터를 보호하는 것이 그 어느 때보다 중요해졌습니다. 고도화된 사이버 위협, 정교한 스파이 기법, 외부 데이터 수익화 등 글로벌화된 세상에서 민감한 정보를 도난 및 오용으로부터 보호하려면 보안을 강화하는 것이 중요합니다. 최근 시행된 법무부(DOJ)의 데이터 보안 프로그램(DSP)은 정부가 이러한 데이터에 대한 외부 공격자의 접근으로 인한 위협을 얼마나 심각하게 받아들이고 있는지를 보여줍니다. 미국인의 개인 데이터를 수집하거나 미국 정부 인사와 관련된 정보를 수집하는 미국인 및 기업은 이제 이러한 데이터를 식별된 국가 및 우려 대상자에게 전송할 때 의무적으로 제한 및 금지 조치를 받게 됩니다. 2025년 7월 8일^[1] 을 기점으로 프로그램 시행에 대한 관용 기간이 공식적으로 종료됨에 따라 즉시 규정을 준수하지 않으면 엄격한 민형사상 처벌을 받을 수 있습니다.

배경

DSP는 기본적으로 외국의 적대자 및 그러한 적대자의 통제와 지시를 받는 자들이 미국 정부 관련 데이터 및 대량의 미국 민감 개인 데이터에 액세스하지 못하도록 하는 수출 통제 제한을 설정합니다.

DSP는 국제긴급경제권한법(IEEPA)과 미국인의 대량의 민감한 개인 데이터 및 미국 정부 관련 데이터에 대한 우려 국가의 접근 방지와 관련된 행정명령 14117에 따라 발행되었습니다.^[2] 이 프로그램의 시행일은 2025년 4월 8일이었지만, 법무부 국가안보국(NSD)은 미국 개인과 기업이 DSP 관련 문제에 대해 NSD를 준수하고 참여하는 데 필요한 변경 사항을 이행할 수 있는 추가 시간을 확보하기 위해 90일 동안 시행을 연기한다고 발표했습니다.

이제 유예 기간이 종료되었으므로 개인과 단체는 이 규정을 완전히 준수해야 하며, NSD는 잠재적인 위반 사항에 대한 단속을 시작할 수 있습니다. DSP는 상업적 활동을 통해 해당 범주의 미국 정부 및 민감한 개인 데이터에 액세스하고 이를 악용하고 무기화하려는 해외 적들의 지속적인 노력에 대응하기 위한 것입니다. 이 프로그램은 트럼프 행정부의 다양한 우선순위와 일치하므로 미국 기업들은 적극적인 집행을 예상하고 규정을 준수해야 합니다.^[3]

적용 대상 국가 및 사람

DSP는 미국 개인 및 단체가 미국 정부 데이터 및 미국인의 개인 데이터와 관련된 특정 거래에 "우려 국가" 또는 "대상자"와 거래하는 것을 제한하고 금지합니다.

2025년 4월 11일, NSD는 다음 각 국가를 '우려 국가'로 지정한 DSP 관련 규정 준수 가이드를 발표했습니다:

중국(홍콩 및 마카오 포함)
쿠바
이란
북한
러시아
베네수엘라

이들 국가는 정부 관련 데이터와 미국인의 민감한 개인 데이터를 사용하여 다양한 특정 수단을 통해 미국의 국가 안보를 위협하려는 의도와 능력을 보여준 것으로 확인되었습니다.^[4]

"대상자"는 최종 규정에서 (1) 우려 대상 국가에 본사를 두거나 해당 국가의 법률에 따라 조직된 외국 법인 또는 하나 이상의 우려 대상 국가 또는 기타 대상자가 과반수를 소유한 외국 법인, (2) 우려 대상 국가 또는 기타 대상자가 과반수를 소유한 외국 법인, (3) 우려 대상 국가 또는 대상자의 직원 또는 계약자인 외국 개인, (4) 주로 우려 대상 국가에 거주하는 외국 개인, (5) NSD가 지정하고 공개적으로 식별하는 개인으로 설명됩니다.^[5] 하위 범주 (5)와 관련하여, NSD는 우려 대상 국가의 소유권 및 통제 하에 있는 등 특정 기준을 충족한다고 판단되는 사람을 지정하여 공개된 대상자 목록에 추가합니다.^[6]

적용 대상 및 면제 데이터 거래

특정 미국인 또는 법인에 DSP 요건이 적용되는지 여부를 판단할 때는 문제가 되는 데이터의 유형과 프로그램의 적용을 받는 거래를 이해하는 것이 필수적입니다. 기업이 이 프로그램의 적용을 받는 데이터를 취급하는 경우 특정 상황에서는 해당 정보의 전송이 제한되거나 금지될 수 있습니다.

적용 대상 거래: 우려 대상 국가 또는 대상자가 정부 관련 데이터 또는 대량의 미국 민감 개인 데이터에 액세스하는 모든 거래는 DSP 제한의 적용을 받습니다. "대상 거래"가 되려면 해당 거래에 (1) 데이터 중개, (2) 공급업체 계약, (3) 고용 계약 또는 (4) 투자 계약이 포함되어야 합니다.^[7]

"정부 관련 데이터": 정부 활동과 관련된 특정 지리적 위치 데이터,^[8] 그리고 거래 당사자가 미국 정부의 현재 또는 최근 전직 직원 또는 계약업체와 연결되거나 연결될 수 있다고 마케팅하는 모든 민감한 개인 데이터(예: 민감한 개인 데이터 세트를 "정부 직원"의 소유라고 판매한다고 광고하는 미국 회사)는 양에 관계없이 해당됩니다.^[9]

"대량의 미국 민감 개인 데이터": 모든 형식의 미국인과 관련된 민감한 개인 데이터의 수집 또는 집합.^[10] "민감한 개인 데이터"에는 (1) 해당 개인 식별자, (2) 정확한 지리적 위치 데이터, (3) 생체 인식 식별자, (4) 인간 게놈 데이터, (5) 개인 건강 데이터, (6) 개인 금융 데이터 또는 이들의 조합이 포함됩니다.^[11]

DSP에 따라 적용되는 거래에는 일반적으로 두 가지 범주가 있습니다: 1) 금지된 거래 와 2) 제한된 거래입니다.

금지된 거래: 일반적으로 우려 대상 국가 또는 대상자와의 데이터 중개를 포함하며, 미국인이 특정 면제 대상 거래에 참여하는 것을 금지하고, 우려 대상 국가 또는 대상자가 특정 대량의 미국 민감 데이터에 액세스하는 거래에 참여하는 것을 금지합니다.^[12]

제한된 거래: 일반적으로 공급업체 계약, 고용 계약 또는 투자 계약에 따른 데이터 거래에 적용되며, 미국인이 특정 보안 요건을 준수하지 않는 한 제한되는 특정 예외가 적용됩니다.^[13]

면제 거래: 일부 거래는 달리 적용되는 금지 및 제한 사항에서 면제됩니다. 이러한 면제 대상에는 다음이 포함되지만 이에 국한되지 않습니다:

정보 또는 정보 자료;
금융 서비스;
기업 그룹 거래(일반적으로 관리 또는 부수적인 비즈니스 운영의 일부이자 부수적으로 발생하는 거래);
연방법 또는 국제 협약에 의해 요구되거나 승인된 거래;
CFIUS 조치의 대상이 되는 투자 계약;
통신 서비스;
의약품, 생물학적 제품 및 의료 기기 승인, 그리고
기타 임상 조사 및 시판 후 감시 데이터(일반적으로 미국 식품의약국에서 규제하는 임상 조사의 일부이거나 특정 임상 치료 데이터 또는 시판 후 감시 데이터의 수집 및 처리).^[14]

라이선스

법무부는 NSD를 통해 일반 라이선스 또는 특정 라이선스를 발급하여 DSP를 위반하는 대상 데이터 거래에 참여할 수 있도록 할 수 있습니다. 일반 라이선스는 특정 유형의 거래를 승인하며, 특정 라이선스를 신청할 필요 없이 금지 또는 제한이 적용됩니다.^[15] 특정 라이선스는 특정 개인 또는 단체에게 NSD가 발급하는 문서로, 특정 거래를 승인합니다.^[16]

법무부 이행 및 집행

DSP는 해외 적대 세력 등의 위협에 의해 제기되는 국경 간 거래, 비즈니스 및 기술에 대한 국가 안보 위험을 해결하고 관리하기 위한 법무부의 비기소 노력을 담당하는 NSD의 외국인투자심사과(FIRS)에서 관리 및 시행합니다. 또한 FIRS는 특정 거래에 대한 DSP 적용과 관련하여 잠재적 규제 대상 당사자가 제출한 자문 의견 요청을 처리할 수 있으며, 이는 DSP와 관련된 최종 규칙에 포함된 메커니즘입니다.^[17]

DSP 위반과 관련된 모든 민사 또는 형사 기소는 국가안보국에서 처리하거나 해당 미국 검찰에 회부될 가능성이 높습니다. 미국 기업은 DSP에 따른 집행이 기존의 수출 통제 또는 제재 위반 조치를 대체로 반영할 것으로 예상해야 합니다. DSP와 미국의 경제 제재 체제는 모두 IEEPA에서 권한을 도출합니다. IEEPA에 따른 민사 및 형사 책임은 민사상 최대 386,136달러 또는 각 위반 거래 금액의 2배 중 큰 금액의 벌금과 최대 20년 징역, 1,000,000달러 벌금 또는 둘 다의 형사 처벌을 받을 수 있습니다.^[18] 따라서 DSP의 적용 범위에 속할 가능성이 있는 미국인 또는 기업은 적절한 규정 준수 및 보고 요건을 충족하기 위해 변호사와 일찍 그리고 자주 소통해야 합니다.

주요 내용 및 권장 사항

아직 DSP의 완전한 이행 계획을 세우지 않은 미국인 및 기업은 즉시 이를 준수해야 합니다. 이러한 영향을 받는 기업에는 다음과 같은 회사가 포함될 수 있습니다:

클라우드 서비스 제공업체

가상 서비스 제공업체

데이터 처리 센터

의료 기기 제조업체

교육 기관

데이터 분석 회사 및 컨설턴트

방위 또는 의료 부문의 정부 계약업체

수출 통제 준수 조치와 마찬가지로, 이러한 미국 개인 및 법인은 이 분야에 경험이 풍부한 변호사를 고용하여 다음 사항을 수행해야 합니다:

내부 검토 및 감사를 수행하여 해당 데이터에 대한 잠재적 액세스 또는 해당 데이터가 해당 국가 또는 개인에게 흘러가는 거래를 식별합니다.

데이터 보안과 미국 정부 관련 데이터 또는 대량의 미국 민감 개인 데이터의 전송 또는 액세스에 관한 정책, 절차 및 교육을 시행합니다.

일반 라이선스의 적용 여부 또는 금지되거나 제한된 거래에 대한 특정 라이선스 신청의 필요성을 결정합니다.

규정 준수 프로그램을 구현하여 거래를 추적하고, 정기 실사를 수행하며, 정확한 기록을 유지하세요.

필요에 따라 변호사를 고용하여 벤더 계약서 초안을 작성하거나 수정하고, 실사를 수행하며, 필요한 경우 법무부와 같은 정부 기관과 연락을 취합니다.

우려 국가 또는 대상자에 대한 근접성 또는 노출 정도에 따라 직원의 근무 위치, 역할 또는 책임을 조정합니다.

사이버 보안 및 인프라 기관(CISA)의 보안 요구 사항을 구현합니다.

이러한 조치를 취하면 미국 기업과 개인이 향후 발생할 수 있는 집행 조치에 적절히 대비하는 데 도움이 될 것입니다.

영향을 받는 기업과 개인은 2025년 10월 6일에 대해서도 유의해야 합니다. 해당 날짜부터 기업과 개인은 제한 거래에 대한 실사 및 감사 요건, 제한 거래 및 금지된 거래에 대한 보고 요건을 준수해야 합니다.

이 주제에 대해 궁금한 점이 있으면 언제든지 저자들이나 Foley & Lardner 변호사에게 문의하시기 바랍니다. 오늘날의 복잡한 국제 무역 세계에서 운영하기 위해 "모든 다국적 기업이 알아야 할 사항"에 관한 향후 업데이트를 확인하려면 관세 및 국제 무역 블로그에 등록하세요. 등록하려면 여기를 클릭하세요.

***

[1] "데이터 보안 프로그램: 2025년 7월 8일까지의 이행 및 시행 정책", 법무부(2025년 4월 11일), https://www.justice.gov/opa/media/1396346/dl?inline

[2] 50 U.S.C. § 1705 참조 , 행정 명령 14117, "미국인의 대량의 민감한 개인 데이터 및 우려 국가에 의한 미국 정부 관련 데이터 접근 방지"(2024년 2월 28일), https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related 참조

[3] 백악관, "미국 우선 투자 정책," (2025년 2월 21일), https://www.whitehouse.gov/presidential-actions/2025/02/america-first-investment-policy/; 백악관, "팩트 시트: 도널드 J. 트럼프 대통령, 이란에 대한 최대 압박 복원" (2025년 2월 4일), https://www.whitehouse.gov/fact-sheets/2025/02/fact-sheet-president-donald-j-trump-restores-maximum-pressure-on-iran/

[4] "데이터 보안 프로그램: 컴플라이언스 가이드", 법무부(2025년 4월 11일), https://www.justice.gov/opa/media/1396356/dl

[5] §§ 202.211(a)(1)-(5 ) 참조

[6] § 202.701 참조

[7] §§ 202.214, 202.258, 202.217 및 202.228 참조

[8] § 202.222(a)(1 ) 참조

[9] § 202.222(b) 참조

[10] § 202.206 참조

[11] § 202.249 참조

[12] §§ 202.301-303 참조

[13] § 202.401 참조

[14] §§ 202.501-511 참조

[15] § 202.801 참조

[16] § 202.802 참조

[17] § 202.901 참조

[18] § 202.1301 참조 , 50 U.S.C. § 1705 참조

면책 조항

이 블로그는 정보 제공의 목적으로만 Foley & Lardner LLP("Foley" 또는 "회사")에서 제공합니다. 고객을 대신하여 회사의 법적 입장을 전달하기 위한 것이 아니며 특정 법률 자문을 전달하기 위한 것도 아닙니다. 이 문서에 표현된 모든 의견이 반드시 Foley & Lardner LLP, 그 파트너 또는 고객의 견해를 반영하는 것은 아닙니다. 따라서 면허를 소지한 변호사의 조언 없이 이 정보에 따라 행동하지 마시기 바랍니다. 이 블로그는 변호사-고객 관계를 형성하기 위한 것이 아니며, 이 블로그를 수신한다고 해서 변호사-고객 관계가 성립되는 것도 아닙니다. 이 웹사이트를 통해 이메일, 블로그 게시물 또는 기타 방법으로 Foley와 소통하는 것은 어떠한 법적 문제에 대해서도 변호사-고객 관계를 형성하지 않습니다. 따라서 이 블로그를 통해 이메일, 블로그 게시물 또는 기타 방식으로 귀하가 Foley에게 전송하는 모든 커뮤니케이션 또는 자료는 기밀 또는 독점적인 것으로 취급되지 않습니다. 이 블로그의 정보는 "있는 그대로" 게시되며 완전성, 정확성, 최신성을 보장하지 않습니다. Foley는 사이트의 운영 또는 콘텐츠에 대해 명시적이든 묵시적이든 어떠한 종류의 진술이나 보증도 하지 않습니다. Foley는 상품성, 특정 목적에의 적합성, 소유권 및 비침해에 대한 묵시적 보증을 포함하여 법령, 법률, 상업적 사용 또는 기타에 따라 발생하는 모든 종류의 명시적 또는 묵시적 보증, 보증, 조건 및 진술을 명시적으로 부인합니다. 어떠한 경우에도 Foley 또는 그 파트너, 임원, 직원, 대리인 또는 계열사는 본 사이트(정보 및 기타 콘텐츠 포함) 또는 제3자 웹사이트 또는 그러한 웹사이트를 통해 액세스한 정보, 리소스 또는 자료의 생성, 사용 또는 의존으로 인해 발생하거나 그로 인해 발생하는 직접, 간접, 특별, 부수적, 징벌적 또는 결과적인 모든 청구, 손실 또는 손해에 대해 모든 법 이론(계약, 불법행위, 과실 또는 기타)에 따라 귀하 또는 다른 사람에게 직접 또는 간접적으로 책임지지 않습니다. 일부 관할권에서는 이 블로그의 콘텐츠가 변호사 광고로 간주될 수 있습니다. 해당되는 경우, 이전 결과가 유사한 결과를 보장하지 않는다는 점에 유의하시기 바랍니다. 사진은 극화 목적으로만 사용되었으며 모델이 포함될 수 있습니다. 유사성이 반드시 현재 고객, 파트너십 또는 직원 상태를 의미하지는 않습니다.

남색 정장에 넥타이를 맨 남성이 흐릿한 기업 법률 사무실 배경 앞에 서서 카메라를 바라보며 미소 짓고 있습니다.

[email protected]

워싱턴 D.C. 202.295.4110

[email protected]

Tampa 813.225.4161

[email protected]

밀워키 414.297.5519

어두운 정장에 흰 셔츠, 빨간 넥타이를 맨 한 남성이 밝은 조명의 기업 법률 사무실 복도에 서서 카메라를 향해 살짝 미소 짓고 있습니다.

[email protected]

워싱턴 D.C. 202.295.4103

국가 안보 부서의 데이터 보안 프로그램에 따른 법무부 집행

배경

적용 대상 국가 및 사람

적용 대상 및 면제 데이터 거래

라이선스

법무부 이행 및 집행

주요 내용 및 권장 사항

작성자(들)

존 F. 코바

조셉 W. 스완슨

데이비드 W. 사이먼

크리스토퍼 스위프트

관련 인사이트

다국적 기업이 반드시 알아야 할 … IEEPA 관세 환급 권리 유지에 관한 사항

모든 다국적 기업이 알아야 할 사항... 새로운 관세 환경에서의 세관 공개 모범 사례

해외 테러 조직 지정으로 법무부에 새로운 민사 몰수 권한과 기회 제공