[법과 상식 사이] 왜 미국에는 단일 프라이버시법이 없을까
최근 대규모 개인정보 유출 사건이 잇따르면서 각국의 프라이버시 법제에 대한 관심이 다시 높아지고 있다. 이러한 논의를 이해하기 위해서는 먼저 EU와 미국이 채택하고 있는 프라이버시 규제의 제도적 차이를 살펴볼 필요가 있다. EU는 일반 정보보호 규정(GDPR)이란 단일 규범을 통해 높은 수준의 개인정보 보호를 요구하는 대신, EU 전역에 공통적으로 적용되는 기준을 제시함으로써 기업들에게 명확한 규제 대응의 틀을 제공한다. 반면 미국은 연방 차원의 포괄적 프라이버시법 없이 주(州) 중심의 분산적 규제 구조를 유지하고 있어 기업들은 주마다 서로 다른 동의 방식과 고지 의무를 충족시켜야 한다. 이러한 규제의 파편화는 막대한 준수 비용과 법적 불확실성을 야기해 왔으며, 그 결과 연방 차원의 통합 프라이버시법 제정에 대한 기대도 오랫동안 제기되어 왔다. 그럼에도 미국은 왜 유럽의 GDPR과 같은 단일한 체계로 나아가지 못한 채 주와 연방의 권한 다툼 속에 머물러 있는 것일까. 문제의 본질은 헌법이 예정한 연방과 주 간의 권한 배분 구조에 있다 연방 정부가 프라이버시 영역에서 입법 권한을 주장할 수 있는 핵심 근거는 미국 헌법 제1조 제8절 제3항 통상조항(Commerce Clause)이다. 통상조항은 연방 의회에 외국과의 통상, 주 간 통상, 그리고 인디언 부족과의 통상을 규제할 권한을 부여한다. 초기에는 이 조항이 주로 물리적 상품의 이동과 거래를 규율하는 근거로 이해됐으나, 현재는 연방대법원의 판례를 통해 그 범위가 크게 확장되어 교통·통신·금융·노동 등 주 간 경제에 실질적인 영향을 미치는 모든 활동을 포괄하는 개념으로 해석된다. 전화와 인터넷, 디지털플랫폼처럼 본질적으로 주 경계를 넘나드는 활동은 오늘날 통상조항 적용의 전형적인 대상이며 이를 통해 미국 연방 정부는 경제와 사회 전반에 걸친 광범위한 규제를 정당화해 왔다. 이러한 법리적 확장은 개인정보 보호 영역에도 그대로 적용된다. 연방 프라이버시법 초안들(APRA, ADPPA 등)은 개인정보의 수집·이용·이전을 주 간 상거래에 직접적이고 지속적인 영향을 미치는 경제 활동으로 규정한다. 이에 따라, 주별로 상이한 의무가 기업의 데이터 흐름과 비즈니스모델에 중첩 적용되면서 연방 차원의 개입이 정당화된다는 논리가 형성된다. 그러나 프라이버시 규제는 통상 규제에 그치지 않고 소비자 보호와 기본권 보장이라는 전통적인 주 정부의 입법권 및 경찰권과 충돌하게 되며, 이러한 헌법적 긴장이 오늘날 미국에서 연방 프라이버시법이 반복적으로 좌초되는 구조적 배경을 형성하고 있다. 연방의 선점원칙과 주 정부 입법권의 충돌 미국 헌법은 연방법과 주법이 충돌할 경우 연방법이 우선 적용된다는 선점원칙(preemption)을 통해 연방 권한의 효력을 확보하는 한편, 헌법에 명시되지 않은 권한은 헌법 수정조항 제10조에 따라 주에 유보함으로써 연방과 주의 권한 경계를 설정하고 있다. 다시 말해, 연방법은 주법에 우선하지만 연방에 위임되지 않은 영역에서는 주가 독자적으로 규범을 설계할 수 있다. 문제는 개인정보 보호가 오랫동안 소비자 보호, 불법행위 책임, 사생활 보호와 같은 주법 영역에서 발전해 왔다는 점이다. 이로 인해, 연방 프라이버시법은 주법에 앞사 적용돼야 실효성을 갖지만 연방이 이를 일괄적으로 규율하려 할 경우 주 정부의 입법권을 침해한다는 강한 반발에 직면하게 된다. 실제로 APRA와 ADPPA를 포함한 주요 연방 프라이버시법 초안들은 모두 주 프라이버시법을 일정 범위에서 배제하는 선점 조항을 담고 있었고 바로 이 지점에서 갈등이 본격화됐다. 캘리포니아, 콜로라도, 버지니아 등 이미 포괄적 프라이버시법을 시행 중인 주들은 연방 법이 최소 기준을 제시하는데 그치지 않고, 주가 더 강한 보호 규제를 도입하는 것까지 제한하는 기준으로 작동할 가능성을 우려한다. 이들 주의 입장에서 선점 조항은 규제 일관성을 확보하기 위한 장치라기보다 그동안 축적해 온 보호 체계를 연방 입법으로 약화시킬 수 있는 수단으로 받아들여진다. 이로 인해, 연방 프라이버시 입법은 단순한 정책 조정의 문제가 아니라, 연방과 주 가운데 누가 프라이버시 규범을 설계할 권한을 가지는가라는 연방주의(federalism) 차원의 충돌로 전환된다. 결국 현재의 교착상태는 통상권에 기초한 연방의 선점 논리와 수정조항 제10조에 기초한 주의 입법권이 정면으로 맞부딪히는 헌법 구조의 산물이다. 이러한 구조적 충돌이 해소되지 않는 한 연방 차원의 포괄적 프라이버시법은 반복적으로 같은 지점에서 멈출 수밖에 없다. 기업의 현실적 대안: 연방 입법이 아닌 주 기준을 사실상 표준으로 삼아라 이러한 헌법 구조를 고려할 때 연방 차원의 통합 프라이버시법 제정을 기다리는 전략은 현실적이지 않다. 주별로 파편화된 규제 환경이 상당 기간 지속될 가능성이 큰 만큼 현재 미국 내에서 사실상의 기준으로 기능하고 있는 개정된 캘리포니아 소비자 프라이버시법(CCPA/CPRA)의 보호 수준을 내부 공통 기준으로 설정하고 개인정보의 수집과 활용을 최소화하는 방향으로 대응하는 것이 합리적이다. 다수의 주가 캘리포니아 모델을 벤치마킹하고 있다는 점에서 CPRA에 기반한 컴플라이언스 체계는 향후 타 주 법률에도 비교적 유연하게 대응할 수 있는 실질적인 기반이 된다. 불확실한 연방 입법의 향방에 기대기보다 생체정보·위치정보·아동 데이터 등 특정 영역을 중심으로 강화되고 있는 주 단위 규제와 집행에 선제적으로 대비하는 것이 현 시점에서 기업이 선택할 수 있는 가장 현실적인 대응 전략이다.
