연구

주별 인터넷 개인 정보 보호법: 미국의 어느 주가 온라인에서 개인 정보를 가장 잘 보호합니까?

미국의 주별 인터넷 개인 정보 보호법_ 온라인에서 개인 정보를 가장 잘 보호하는 주_

미국의 온라인 개인정보 보호에 관한 법률은 주마다 크게 다릅니다. 미국의 각 주의 개인 정보가 가장 적은 주에서 가장 많은 주까지 순위를 매기는 방법을 알아보기 위해 22가지 주요 기준에 따라 각 주를 평가했습니다. 결과는 아래 지도에 시각화된 다양한 개인 정보 보호 기능을 보여줍니다. 점수는 백분율로 표시되며 22점 중 22점은 100%입니다.

우리의 기준은 기업이 고객 데이터를 사용하고 공개하는 방법을 규정하는 법률부터 언론인, 아동 및 직원을 보호하는 법률까지 다양합니다. 우리의 연구 결과는 각 주에 해당 법률이 존재하는지 여부에 대한 간단한 '예' 또는 '아니요' 대답과 함께 아래 표에 정리되어 있습니다.

2021년 주요 업데이트 및 동향

2021년 업데이트에서는 몇 가지 주요 업데이트를 통해 미국 내 개인 정보 보호법 동향에 대한 통찰력을 제공했습니다.

  • 오리건주에서는 사물인터넷(IoT) 데이터를 보호하기 위한 법률을 도입했습니다.
  • 뉴욕은 생체 인식 데이터를 보호하기 위한 법률을 제정하여 다른 4개 주에 합류했습니다.
  • 버지니아는 소비자 데이터 보호법을 도입했고 콜로라도는 개인정보 보호법을 도입했습니다.
  • 미네소타와 텍사스는 정부 기관에 대한 데이터 처리법을 도입했습니다. (미네소타만 아직 기업에 대해 동일한 요구 사항을 적용하지 않았습니다.)
  • 뉴저지와 버몬트는 K-12 학생 정보를 보호하기 위한 법률을 추가했습니다.
  • 아이오와주 인디애나(2022년 1월 1일 발효), 메인주 루이지애나(2022년 1월 1일 발효), 노스다코타(2022년 8월 1일 발효), 버지니아는 보험 데이터 보안법을 ​​추가하여 이를 시행한 주 수가 거의 두 배로 늘어났습니다. NAIC(National Association of Insurance Commissioners)가 만든 데이터 보안 모델법입니다. 네바다주는 또한 소비자에게 자신의 데이터가 판매되지 않도록 요청할 권리를 부여하는 법안에 데이터 브로커를 추가했습니다.
  • 소수의 주(6)만이 주 내에서 인공 지능의 사용을 규제합니다.
  • 25%의 주에서만 동의가 필요합니다.둘 다통화 녹음 시 상대방
  • 70% 이상의 주에서 DMV 사진을 FBI 등 연방 기관과 공유합니다.

온라인 개인 정보 보호에 가장 적합한 미국 주

캘리포니아

점수: 77%

세 번째 업데이트 실행에서 최고 득점자인 캘리포니아는 다른 주에서는 무시하는 특정 개인 정보 보호 문제에 대한 많은 법률을 제정했습니다. 더욱이, 주는 ACLU가 미국에서 가장 포괄적인 디지털 개인 정보 보호법이라고 부르는 법안도 만들었습니다. 캘리포니아는 주 헌법에서 프라이버시에 대한 양도할 수 없는 권리를 언급한 유일한 주입니다. 또한 사물인터넷(다른 하나는 오레곤)에서 수집된 데이터를 특별히 보호하는 법률을 제정하고, 개인정보 보호 권리를 보호하고 미성년자에 대한 마케팅 제한을 시행하는(다른 하나는 델라웨어) 두 주 중 하나이기도 합니다.

전자 통신 개인정보 보호법은 법 집행 기관이나 수사 기관이 회사에 영장 없이 전자 데이터나 통신을 포기하도록 강요하는 것을 방지합니다. 여기에는 클라우드 데이터, 메타데이터, 이메일, 문자 메시지, 위치 데이터 및 장치 검색이 포함됩니다. 다른 주에도 이러한 형태의 데이터 중 일부를 보호하는 유사한 법률이 있지만 캘리포니아는 지금까지 모든 데이터를 보호하는 유일한 주였습니다.

2018년 6월 26일, 캘리포니아 주는 미국에서 가장 엄격한 개인 정보 보호법 중 하나인 2018년 소비자 개인 정보 보호법을 통과시켰습니다. 2020년에 발효되는 이 법안은 소비자에게 회사가 자신에 대해 어떤 정보를 수집했는지, 누구와 함께 수집했는지 알 권리를 부여합니다. 그 정보는 공유됩니다. 또한 소비자는 기업에 자신의 개인정보 삭제를 요구할 수 있으며, 기업은 어떤 정보를 수집하더라도 고객에게 동등한 서비스를 제공해야 합니다.

델라웨어

점수: 55%

델라웨어는 2017년 평가에서 가장 높은 점수를 받았지만 2018년에는 캘리포니아 아래로 떨어졌습니다. 그러나 지난 두 번의 업데이트에서 델라웨어는 2위를 유지했습니다. 정부가 일정 기간이 지나면 고객 데이터를 폐기하고, 전자책과 도서관 데이터의 개인정보를 보호하고, 직원의 개인정보를 보호하도록 요구하는 법률은 국가가 두각을 나타내는 데 도움이 되었습니다.

올해 델라웨어에 대한 업데이트는 없었지만 통화 녹음을 수행하려면 먼저 양측의 동의가 필요한 주 중 하나입니다.

명예로운 언급

일리노이

점수: 45%

일리노이주는 지문, 얼굴 인식 스캔, 망막 스캔과 같은 생체 인식 데이터를 특별히 보호하는 법안의 길을 열었으며 2008년에 이러한 방식으로 제정한 최초의 주가 되었습니다. 최근 몇 년 동안 다른 여러 주에서도 뉴욕주의 법안을 따랐습니다. 이에 준하는 내용은 작성 시점(2021년 7월 9일)부터 발효됩니다.

기업과 정부 모두 일정 기간이 지나면 개인 데이터를 폐기해야 합니다. 고용주와 학교는 직원과 학생에게 소셜 미디어 계정 로그인 정보를 넘겨주도록 강요할 수 없습니다. 또한 국가는 영상 인터뷰에 인공지능을 사용하는 것과 관련해 엄격한 규정을 시행하고 통화 녹음 시 양측의 동의를 요구한다.

여자 이름

점수: 45%

버지니아는 2020년 7월 보험 데이터 보안법을 ​​도입하고 소비자 데이터 보호법을 통과시킨 덕분에 올해 명예로운 멘션에 올랐습니다(유타 및 일리노이와 함께 전체 3위). 후자는 기업이 요청 시 개인 데이터를 삭제하고, 고객이 제3자 데이터 공유를 거부할 수 있도록 해야 하며, 고객으로부터 수집하는 데이터를 공개해야 함을 보장합니다.

버지니아의 DMV는 얼굴 인식 기술을 사용하지 않으며 사진 데이터베이스를 연방 기관과 공유하지 않습니다.

유타

점수: 45%

유타에서는 모든 비금융 기업이 직접 마케팅이나 보상을 목적으로 제3자와 공유하거나 제3자에게 판매하는 개인 정보의 유형을 고객에게 알려야 합니다. 또한 주에서는 기업이 일정 기간이 지나면 고객 데이터를 폐기하도록 요구합니다.

2013년 법은 고용주가 직원과 지원자에게 소셜 미디어 계정의 비밀번호나 사용자 이름을 공개하도록 요구하는 것을 금지하고 있습니다.

아칸소

점수: 35%

아칸소주는 정부와 기업 모두 일정 기간이 지나면 고객 데이터를 폐기하도록 요구합니다. 2005년 개인 정보 보호법에는 규모에 관계없이 주의 모든 기업이 고객의 개인 정보를 보호해야 한다고 명시되어 있습니다.

아칸소주는 2015년에 두 가지 새로운 데이터 개인 정보 보호법을 통과시켰습니다. 하나는 온라인 서비스 제공업체가 상업적 또는 기타 목적으로 학생 데이터를 수집하고 사용할 수 있는 방법을 규정하고, 다른 하나는 학생의 개인 정보를 다른 정부 기관과 공유하려면 부모의 동의를 요구합니다.

뉴햄프셔

점수: 25%

뉴햄프셔는 캘리포니아의 학생 온라인 개인 정보 보호법(Student Online Personal Information Protection Act)을 모델로 한 법률을 통과시키면서 캘리포니아와 같은 개인정보 보호 선도 주 대열에 합류했습니다. 법은 유치원부터 고등학생까지의 학생에 대한 데이터를 수집하고 저장하는 회사에 엄격한 의무를 부과합니다.

뉴햄프셔 주 레바논 마을에 위치한 Kilton Library는 사용자에게 완전히 익명으로 웹을 탐색할 수 있는 웹 브라우저인 Tor에 대한 전례 없는 액세스를 제공합니다. 국토안보부가 킬튼 도서관의 Tor 접근에 대해 뉴햄프셔 당국에 통보했을 때, 주 공무원과 지역 사회는 이러한 개인 정보 보호 조치를 지지했습니다.

주정부는 또한 통화 녹음을 시작하기 전에 양 당사자의 동의를 요구하며 DMV는 사진 이미지를 촬영하거나 보관할 때 얼굴 인식 기술을 사용하는 것을 금지합니다.

불행하게도 뉴햄프셔에는 언론인과 직원을 보호하는 법률이 없으며 주에서는 기업과 정부가 데이터를 사용하는 방식을 거의 규제하지 않습니다.

버몬트

점수: 25%

버몬트는 엄격한 '선택' 개인 정보 보호법으로 인해 금융 서비스 산업을 혼란에 빠뜨렸습니다. 금융 기관에 부과된 이 법은 데이터를 공유하기 전에 소비자의 명시적인 동의를 요구합니다. 이는 이들 회사가 다른 주 거주자의 데이터보다 버몬트 거주자의 데이터를 더 주의 깊게 처리해야 함을 의미합니다.

특정 약물을 처방한 의사의 신원을 확인할 수 있는 데이터 판매를 금지하는 버몬트 주법은 2011년 대법원에 의해 기각되었습니다. 이 판결은 주정부가 원하더라도 항상 자체 개인정보 보호법을 통제할 수는 없음을 보여줍니다.

온라인 개인정보 보호 측면에서 최악의 미국 주

와이오밍

점수: 9%

모든 주에 언론인이 취재원을 노출하지 못하도록 보호하는 보호법이 있는 것은 아니지만, 와이오밍주는 그렇게 하는 데 대한 법원 판례조차 없는 유일한 주입니다. 회사는 일정 기간이 지난 후 사용자의 개인 데이터를 폐기할 의무가 없으며, 고용주는 직원에게 소셜 미디어 계정에 비밀번호를 넘겨주도록 강요하는 것도 금지되지 않습니다.

그러나 와이오밍주는 FBI가 교통부(DOT)의 안면 인식 데이터베이스에 접근할 수 있도록 허용하지 않습니다.

미시시피

점수: 9%

미시시피에는 직원의 개인 계정과 고용주의 커뮤니케이션을 보호하는 법률이 없습니다. 회사는 사용자의 개인정보를 폐기할 의무가 없습니다. K-12 학생 정보는 법에 따라 명시적으로 보호되지 않습니다.

아이다호

점수: 9%

아이다호에서는 기업이나 정부가 수집한 데이터를 폐기하도록 요구하지 않습니다. 언론인과 그 취재원을 보호하기 위한 방패법이 부족합니다. 소셜 미디어 개인정보는 고용주나 교육 기관으로부터 보호되지 않습니다.

컬럼비아 특별구, 아이오와, 켄터키, 네브래스카, 펜실베이니아, 사우스다코타

점수: 14%

이들 6개 주는 모두 데이터 프라이버시 측면에서 세 번째로 나쁜 주입니다. 최근 보험 데이터 보안법을 ​​도입한 아이오와주를 제외하면 이들 주 중 어느 주에서도 마지막 업데이트 이후 추가 개인 정보 보호 기능을 추가하지 않았습니다.

이들 주 중 어느 주에도 회사의 데이터 공유 또는 수집 정책을 규율하는 법률이 없으며, 켄터키만 회사에 대한 데이터 처리법을 갖고 있으며, 펜실베니아만 통화 녹음에 대해 양 당사자의 동의를 요구합니다.

2019년 주요 업데이트 및 동향

2019년 업데이트를 조사하는 동안 미국의 새로운 개인 정보 보호법 동향을 보여주는 몇 가지 핵심 사항이 눈에 띄었습니다.

  • 메인주는 2019년에 법원 명령 준수와 같은 특정 예외를 제외하고 인터넷 서비스 제공업체가 고객 동의 없이 '고객 개인 정보를 사용, 공개, 판매 또는 액세스를 허용'할 수 없다고 규정하는 새로운 데이터 보호법을 도입했습니다.
  • 네바다주는 2019년 10월 1일에 고객이 온라인 데이터 공유를 거부할 수 있도록 허용하는 법안을 통과시켰습니다.
  • 사우스다코타는 지난 3월 언론인을 보호하기 위한 방패법을 통과시켰습니다.
  • 유타는 2019년에 다양한 제공업체가 영장 없이 사용자 데이터를 법 집행 기관에 넘겨주는 것을 방지하는 법안을 통과시켰습니다.
  • 주정부 점수는 2016년 대통령 선거에서 투표한 방식과 어느 정도 상관관계가 있습니다(r = 0.4). 클린턴에게 투표한 사람들은 개인 정보 보호 점수가 더 높은 경향이 있었습니다.

2019년 업데이트에서는 세 가지 새로운 기준을 추가하고 다른 세 가지 기준을 제거했습니다.

우리는 다음을 추가했습니다:

  • 개인정보 보호 권리를 보호하고 미성년자에 대한 마케팅 제한을 시행하는 법률
  • 보험회사에만 적용되는 데이터 보안법은 NAIC(National Association of Insurance Commissioners)에서 제정한 데이터 보안 모델법을 따릅니다. 목표는 모든 주에서 향후 몇 년 내에 이를 채택하는 것입니다.
  • 데이터 브로커에 특정한 데이터 보안법
  • 컬럼비아 특별구는 주 차원에서 관리되지 않는 구역입니다. DC는 학생 데이터 개인정보 보호법으로 호평을 받아 왔으며 언론인을 위한 광범위한 보호법도 보유하고 있습니다. NAIC 데이터 보안 모델 채택을 고려하고 있다는 소문도 있었지만 아직까지 그런 일은 일어나지 않았습니다.

우리는 다음을 제거했습니다:

  • ISP는 고객 데이터를 공유하려면 명시적인 동의가 필요합니다(연방법). 2017년에 정부가 광대역 개인 정보 보호 정책을 폐지했으므로 여기서는 연방 정부의 보호를 받을 수 없습니다.
  • 어린이의 개인 정보 보호를 위한 법률 – 모든 주에는 이와 관련된 특정 법률이 있으므로 우리는 미성년자에 관한 새로운 범주를 도입하여 어느 주가 어린이의 온라인 안전에 대한 접근 방식에 더 적극적이고 미래 지향적인지 확인했습니다.

또한 고용주가 직원에게 먼저 알리지 않고 직원의 커뮤니케이션을 모니터링하는 것을 금지하는 명확한 법률이 있는 주만 표시하여 직원 커뮤니케이션 카테고리를 강화했습니다.

2018년 주요 업데이트 및 동향

2018년 업데이트에 대한 연구를 수행하면서 우리는 전국적으로 개인 정보 보호법이 어떻게 형성되고 있는지에 대한 몇 가지 주요 동향을 지적했습니다.

  • 이제 미국의 모든 주에는 기업이 데이터 침해가 발생할 때 이를 공개하도록 요구하는 법률이 있습니다.
  • 많은 주에서는 더 많은 유형의 데이터와 데이터 조합을 포함하도록 '개인 식별 정보'의 정의를 확장했습니다.
  • 캘리포니아주는 미국에서 가장 엄격한 개인 정보 보호 및 데이터 보호법을 통과시켜 순위를 1위로 끌어올렸습니다.
  • 메인주는 법 집행 기관이 스마트폰과 컴퓨터에 내장된 GPS나 기타 지리적 위치 정보를 사용하여 사람의 위치를 ​​추적하는 것을 금지하는 법을 통과시킨 유일한 주입니다. 일리노이 주와 캘리포니아 주 모두 과거에 그러한 법안을 제출했지만 거부되었습니다.
  • 일리노이주는 생체 인식 데이터를 특별히 보호하는 유일한 주이지만 해당 법률(BIPA)은 현재 위험에 처해 있습니다.

2018년 업데이트에서 우리는 주별 개인 정보 보호 평가에 총 20개의 새로운 기준 6개를 추가했습니다. 여기에는 다음이 포함됩니다.

  • 기업은 소비자가 제3자 데이터 공유를 거부할 수 있도록 허용해야 합니다.
  • 회사는 개인의 요청이 있는 경우 개인정보를 삭제해야 합니다.
  • 기업은 개인에 대해 수집한 개인 데이터를 공개해야 합니다.
  • 법 집행 기관이 서비스 제공업체가 보유한 사용자의 개인 데이터에 접근하려면 영장이 필요합니다.
  • GPS나 기타 지리적 위치 기술을 통해 누군가의 위치를 ​​추적하려면 영장이 필요합니다.
  • 생체정보 보호법

연방 개인정보 보호법

온라인 개인 정보 보호의 일부 측면은 주 정부가 아닌 미국 연방 정부의 관리를 받습니다. 부분적인 규정은 있지만 미국 내 개인 데이터의 수집, 저장 또는 사용을 규제하는 포괄적인 법률은 없습니다.

미국 헌법은 개인 정보 보호를 구체적으로 언급하지 않으며 개인이 아닌 국가 행위자에 대해서만 보호합니다. 그러나 수정헌법 1, 4, 9, 14조는 개인의 개인정보 보호 권리에 대한 정부의 침해를 제한합니다.

2018년 대법원은 다음과 같은 판결을 내렸습니다.카펜터 대 미국수정헌법 제4조는 휴대폰 위치 정보를 보호합니다. 이는 경찰이 이제 이 데이터를 확보하기 위해 영장을 신청해야 함을 의미합니다. 개인 정보 보호 측면에서는 성공했지만, 정부와 법 집행 기관의 지리적 위치 추적 능력에 대해서는 여전히 많은 의문점이 있습니다. 최근에 법집행이 이루어지고 있는 것으로 밝혀졌습니다. 상업적으로 이용 가능한 지리적 위치 데이터 구매 영장 요구 사항을 우회하기 위해.

1974년 개인정보 보호법은 연방 기관이 저장한 개인에 대한 개인 식별 정보의 수집, 유지 관리, 사용 및 배포에 적용됩니다. 다시 말하지만 이는 정부가 기록에 접근하고 사용하는 방법을 제한하며 개인이나 기업에는 적용되지 않습니다.

HIPAA는 의료 기록을 보호하기 위해 1996년에 제정되었습니다.

공정한 신용 보고법(FCRA)은 개인이 원치 않는 신용 제안을 거부하고 매년 각 주요 신용 보고 기관으로부터 무료 신용 보고서를 받을 수 있도록 허용합니다.

전자통신비밀보호법은 동의 없이 전자통신을 가로채는 사람에게 형사처벌을 가하는 데 사용될 수 있지만 여러 허점으로 인해 이 법이 대부분 쓸모없게 됐다고 전문가들은 말한다.

1998년 아동 온라인 개인정보 보호법은 13세 미만의 어린이를 대상으로 하는 웹사이트가 다른 규정 준수 표준 중에서 부모의 동의를 받아야 한다고 규정하고 있습니다. 이 법은 온라인에서 어린이를 보호하는 데 있어 비효과적이고 심지어 비생산적이라는 이유로 널리 신뢰를 받지 못하고 있습니다.

컴퓨터 보안 및 개인정보 보호법과 관련된 기타 연방법은 다음과 같습니다(출처: 위키피디아 ):

  • 1970년 미국 공정신용보고법
  • 1970년 미국 RICO(Racketeer Influenced and Corrupt Organization)법
  • 1974년 미국 개인정보 보호법
  • 1980년 경제협력개발기구(OECD) 지침
  • 1984년 미국 의료컴퓨터범죄법
  • 1984년 미국 연방컴퓨터범죄법(1986년, 1994년 강화)
  • 1986년 미국 컴퓨터 사기 및 남용법(1986년, 1994년, 1996년, 2001년 개정)
  • 1986년 미국 전자통신개인정보보호법(ECPA)
  • 1987년 미국 컴퓨터 보안법(2002년 연방 정보 보안 관리법에 의해 폐지됨)
  • 1988년 미국 비디오 개인정보 보호법
  • 1990년 영국 컴퓨터 오용법
  • 1991년 미국 연방 선고 지침
  • 전체 보안 프레임워크 역할을 하는 1992년 OECD 지침
  • 1994년 법 집행을 위한 통신 지원법
  • 1995년 유럽 연합(EU)의 데이터 보호에 관한 이사회 지침
  • 1996년 미국 경제 및 독점 정보 보호법
  • 1996년 건강 보험 이전 및 책임에 관한 법률(HIPAA)(요구 사항이 2000년 12월에 추가됨)
  • 1998년 미국 디지털 밀레니엄 저작권법(DMCA)
  • 1999 미국 통일컴퓨터정보거래법(UCITA)
  • 2000년 미국 의회 글로벌 국가 상거래법(“ESIGN”)의 전자 서명
  • 2001 미국, 테러 차단 및 방해에 필요한 적절한 도구 제공(PATRIOT) 법
  • 2002년 국토안보법(HSA)
  • 2002 2002년 연방 정보 보안 관리법

개인정보를 직접 관리하세요

미국 시민이든 어떤 국가의 시민이든 정부가 모든 위협으로부터 개인 정보를 보호할 것으로 기대해야 합니다. 개인정보 보호에 적극적으로 나서는 것은 개인으로서 우리 모두에게 달려 있습니다.

완벽한 주는 없지만 적어도 미국 정부의 모든 수준에서는 시민들이 마음대로 온라인 보안을 강화할 수 있도록 허용합니다. 몇 가지 주요 단계는 다음과 같습니다 파일 암호화 그리고 연락 , 다음을 통해 인터넷에 액세스 보안 VPN , 그리고 귀하와 가족의 온라인 계정에 대한 권한 관리 .

뭔가 잘못됐나요? 우리가 놓친 법이요? 댓글로 알려주세요!

데이터 연구자:조지 무디, 레베카 무디

^