잊지 마세요, 10월에는 새로운 법무부 데이터 보안 프로그램 의무가 시행됩니다.

이전에 보고한 바와 같이, 2025년 10월 6일은 법무부(DOJ)의 데이터 보안 프로그램(DSP) 시행의 최종 마감일입니다. 이 날짜부터 미국의 대량의 개인 데이터 또는 정부 관련 데이터를 다루는 기업은 실사, 감사, 기록 보관 및 보고 요건을 준수해야 합니다. 해당 데이터 거래에 관여하는 모든 기업은 다음과 같은 규정 준수 조치를 취해야 합니다:

실사 및 감사 요구 사항

제한된 거래에 대한 실사[1]

2025년 10월 6일까지 기업은 최소한 다음을 포함하는 데이터 규정 준수 프로그램을 구현해야 합니다:

• 정부 관련 또는 대량의 미국 개인 데이터의 유형과 양, 거래 당사자의 신원, 데이터의 최종 용도 및 전송 방법을 포함하여 제한된 거래에 대한 데이터 흐름을 검증하는 위험 기반 절차;
• 공급업체의 신원 확인을 위한 위험 기반 절차;
• 매년 규정 준수 책임자가 인증하는 회사의 데이터 규정 준수 프로그램을 설명하는 서면 정책.
• 규정 준수 책임자가 매년 인증하는 필수 보안 요구 사항의 구현을 설명하는 서면 정책입니다.

제한된 거래에 대한 감사[2]

또한 제한 거래에 관여하는 미국인은 매년 독립 감사인의 감사를 받아야 합니다. 감사는 지난 1년간의 제한 거래와 미국인의 데이터 규정 준수 프로그램에 대한 전체 검토로 구성되어야 합니다. 감사인은 감사 완료 후 60일 이내에 서면 보고서를 작성하여 제출해야 합니다.

보고 및 기록 보관 요건

제한 거래에 관여하는 미국인은 해당 거래에 대한 전체 기록을 보관하고 해당 거래일로부터 최소 10년 동안 검토할 수 있는 기록을 보관해야 합니다. 또한 법무부의 요청이 있을 경우 사용 가능한 형식으로 보고서를 작성해야 합니다.

연례 보고서[3]

2025년 10월 6일부터 클라우드 컴퓨팅 서비스와 관련된 제한적 거래에 관여하는 미국인 중 우려 대상 국가 또는 대상자가 미국인 지분의 25% 이상을 소유하고 있는 모든 미국인은 법무부에 연례 보고서를 제출해야 합니다. 연례 보고서에는 다음 정보가 포함되어야 합니다:

• 해당 데이터 거래에 관여하는 미국인의 이름과 주소, 추가 정보를 얻을 수 있는 연락처의 이름, 전화번호 및 이메일 주소;
• 해당 데이터 트랜잭션에 대한 설명입니다;
• 거래와 관련하여 생성된 문서 사본; 그리고
• 법무부가 요구할 수 있는 기타 정보.

거부된 금지 거래에 대한 보고서[4]

데이터 중개와 관련된 금지된 거래에 참여하겠다는 제안을 받고 이를 확실하게 거절한 미국인은 거래를 거부한 날로부터 14일 이내에 보고서를 제출해야 합니다. 보고서에는 해당 제한 거래에 대한 연례 보고서에서 요구하는 것과 유사한 정보가 포함되어야 합니다.

[1] 참조 § 202.1001.

[2] § 202.1002 참조 .

[3] § 202.1103 참조 .

[4] § 202.1104 참조 .