미국은 개인정보 보호를 위한 연방 차원의 별도의 전담기구를 두고 있지는 않다. 다만, 공공부문과 민간부문에서 각각 예산관리국(OMB : The Office of Management and Budget)과 연방거래위원회(FTC : The Federal Trade Commission)가 개인정보보호기구로서의 역할을 담당하고 있을 뿐이다.
먼저 공공부문에 있어서는 예산관리국29)이 「1974년 프라이버시법」
에 따라 연방정부의 프라이버시 또는 개인정보보호 정책을 정립하는
28) Bickel, Robert D., Legal Issues Related to Silent Video Surveillance, Alexandria, VA:
Security Industry Association, 1999.(http://securitygateway.com/E/E3_4.html)
29) 예산관리국은 1921년 창설된 예산처(BOB : Bureau of Budget)를 1970년 재정비한 기구로서 대통령의 예산집행 및 관리, 기타 정책의 수립 및 시행을 지원한다. 1999 년에는 연방정부기관의 프라이버시에 대한 접근태도를 조화시키고자 예산관리국 내 최고 프라이버시 자문역(Chief Counselor for Privacy)이 임명되기도 하였는데, 이 는 단순한 자문기능을 하는 제한적인 권한만 가지고 있었다. 그러나 부시 행정부가 들어서면서는 프라이버시 자문역 제도는 폐지되었다. (EPIC & PI, supra note 138, http://www.privacyinternational.org/survey/phr2003/countries/unitedstates.htm)
역할을 맡고 있다. 그러나 예산관리국은 우리나라의 기획예산처와 같 이 예산편성과 운용 등 국가재정운영 전반에 관한 정책을 수립하고 집행하는 역할을 하는 기구인 바, 프라이버시 보호와 관련하여서도 예 산관리차원에서만 제한적인 역할을 맡고 있을 뿐이다. 한편 민간부문 에 있어서는 연방거래위원회가 아동의 온라인 프라이버시, 소비자신용 정보, 공정한 거래관행과 관련하여 개인정보 또는 프라이버시를 보호 하는 법률을 집행하고 준수여부를 감독할 권한을 부여받아 행사하고 있다.30)
이와 같이 미국에는 포괄적인 개인정보보호기구는 없다. 다만, 민간 부문에 있어서는 연방거래위원회가 시장감시 및 소비자보호의 일환으 로 소비자 프라이버시보호의 기능을 담당하고 잇을 뿐이다.
가. FTC의 설립 및 구성
연방거래위원회(FTC)는 1914년에 설립된 기구로서, 자유롭고 공정한 거래의 확보를 위해 활동하는 독립기구이다. FTC는 본래 주로 대통령 또는 의회에 대하여 관련입법에 관한 자문을 행하고 소비자에게 필요 한 다양한 정보를 제공하려는 목적에서 설립된 기구이나, 점차 공정한 사업관행의 확보와 실행에 초점을 맞추어 활동하게 되면서 그 권한이 더욱 확대되었다.
FTC는 대통령에 의해 임명되는 5인의 위원으로 구성되며, 동 위원의 임기는 7년이다. FTC의 조직은 총 4개 부서로 나뉜다. 일반자문부서
30) 주 차원에서는 개인정보보호 전담기구를 두는 주도 있다. 예컨대, 캘리포니아는 2000년 제정된 ‘California Business and Professions Code sections 350-352’에 의거하여 주 최초로 2001년에 프라이버시 보호청(The Office of Privacy Protection)을 설립하였 다. 2008년 1월 1일부터는 법률(Senate Bill 90) 개정으로 기존의 프라이버시보호청(The California Office of Privacy Protection)과 정보보안청(the California State Information Security Office)을 하나로 묶어, 통합 정보보호기구인 ‘캘리포니아 정보보안 및 프라 이버시 보호청’(the Office of Information Security and Privacy Protection)이 출범하게 된다. http://www.privacy.ca.gov/참조.
(The Office of the General Counsel), 경쟁국(The Bureau of Competition), 경제담당국(The Bureau of Economics), 소비자보호국(The Bureau of Consumer Protection)이 그것이다. 일반자문부서는 위원회에 기관의 관 할과 권한에 대한 정보를 제공하고 자문관은 위원회의 법적 대리인으 로 활동한다. 경쟁국은 사업자간 과도한 경쟁을 억제하여 잘못된 업무 관행을 방지토록 하고 있다. 경제담당국은 FTC의 행위가 경제에 미치 는 영향을 연구한다. 마지막으로 소비자보호국은 불공정하고 부당한 사업관행으로부터 소비자를 보호하는 역할을 담당하고 있다. 현재 FTC는 약 1,000여명의 직원이 있으며, 이들 중 500명 이상은 변호사 이고 20명 정도는 경제학자이다.
나. FTC의 개인정보보호 활동
FTC의 주요 임무는 과도한 제한을 가하지 않은 상태에서 시장기능 이 효율적으로 작동되고 적절한 경쟁관계를 유지하도록 함으로써 불 공정한 사업관행으로부터 자국의 소비자를 보호하는 것이다. 이는 개 인정보와 관련해서도 마찬가지이다. 따라서 FTC는 개인정보 및 프라 이버시의 중요성을 사업자와 소비자에게 알리는 역할을 하고 있고, 더 나아가 법위반행위나 불공정한 사업관행에 대해 모니터링을 하거나 조사권을 행사한다. 또한 BBBOnLine이나 TRUSTe와 같은 자율규제 차원의 민간 프라이버시 단체로부터 법률이나 가이드라인을 준수하지 않는 사업자에 대한 보고(referral)를 받아 실질적인 제재조치를 취하 기도 한다.
FTC가 잘못된 개인정보 처리관행을 가진 사업자를 제재하고 소비자 의 개인정보를 보호하기 위한 근거조항으로 삼고 있는 것은 「연방거래 위원회법(Federal Commission Act)」31) 제5조이다. 동 조항은 ‘영리활동
31) 15 U.S.C. §§ 41∼58.
과정에서의 불공정하거나 사기적인 행위 또는 관행(unfair or deceptive acts or practices in or affecting commerce)’을 금지하고 있다. 따라서 만약 웹사이트 운영자가 자사 웹사이트에 고지된 프라이버시 정책을 준수하지 않았거나 적용을 받는 일체의 자율규제 차원의 가이드라인 을 이행하지 않은 경우에는 사기적 수단 중 하나인 허위사실의 공언 (misrepresentation)에 해당되어 FTC의 제재를 받을 수 있다.32) 또한 아동과 관련된 개인정보의 수집 및 이용관행 또는 금융기록이나 의 료기록과 같은 민감한 정보의 이용관행이 터무니없이 불공정한 경우 에도 FTC는 동법 제5조를 적용하여 법위반행위로 보고 있다.33) 이는 FTC가 개인정보보호와 관련하여 「금융현대화법」, 「공정신용평가법」,
「아동온라인프라이버시보호법」등에 대해 관장하고 있기 때문이다.
금융현대화법에 따라, 위원회는 금융 프라이버시의 중요성을 알리는 규범 및 금융기관에서의 개인정보의 행정적․기술적․물리적 안전조 치를 확보하는 규범을 실행하고 있으며, 공정신용보고법 및 아동온 라인프라이버시보호법에 따라 소비자를 보호하는 각종 역할을 맡고 있다.
32) 실제로 FTC는 GeoCities社가 운영하는 인터넷 웹사이트(www.geocities.com)가 성 인과 아동의 개인정보를 자사가 어떻게 이용하고 있는지에 대해 정확히 고지하지 않음으로써 허위사실을 공언하여 사기적 방법으로 개인정보를 수집․이용하였으므 로 연방거래위원회법 제5조를 위반하였다고 결정한 바 있다. 동 사건에서 FTC는 GeoCities에게 개인정보의 수집 및 이용목적, 정보를 제공받는 제3자, 소비자의 열 람권과 정정권의 행사방법, 아동의 개인정보에 대한 부모의 동의권 및 통제권 보장 에 관한 사항을 명확하고도 눈에 띌 수 있도록 고지하고, 이전에 부당한 방법으로 수집하여 제3자에게 제공한 개인정보는 명시적 동의를 구하지 못하는 한 삭제할 것을 명령하였다. (GeoCities, Docket No. C-3849, Final Order 1999. 2. 12, http://
www.ftc.gov/os/1999/02/9823015cmp.htm 참조)
33) FTC는 전화 등을 통해 사기적인 방법으로 고객으로부터 직접 금융정보를 얻은 뒤, 이를 인터넷 웹사이트를 통해 판매한 정보브로커를 피고로 하여 1999년 4월 21 일 민사소송을 제기한 바 있다. 동 사건은 2000년 6월 사기적 수법을 통한 금융정 보의 수집행위를 더 이상 하지 않고 지금까지의 불법적인 행위로 인해 얻은 이익 에 상당하는 200,000달러의 지급정지판결(suspended monetary judgement)을 내리는 것으로 합의되었다.
한편 FTC는 앞서 잠시 언급한 것처럼, 세이프하버 원칙에 참여한 기업이 동 원칙을 준수하지 않고 자율규제 프로그램의 결정도 무시하 는 경우 개입하여 제재를 가할 수 있는 권한이 있다. 만약 기업이 세 이프하버 원칙에 참여할 경우, 동 원칙을 준수하겠다는 내용을 자사 프라이버시정책에 공표함은 물론 세이프하버 자율규제 프로그램에도 동참하게 되는 것이기 때문에, 기업이 스스로 밝힌 프라이버시정책 또 는 프라이버시규약을 준수하지 않은 경우와 마찬가지로 취급되어 연 방거래위원회법 제5조에 위반하게 된다. 이 경우 FTC는 법원을 통해 금지명령을 구하거나 위반행위에 대해 1일 최고 12,000달러의 벌금을 구할 수도 있다.
이 외에도 FTC는 스팸메일 규제, 광고성 전화에 대해 소비자의 선 택권을 부여하기 위한 광고성 전화거부 등록부(National Do Not Call Registry)의 운영, 신분도용 규제 등의 활동을 펼치고 있으며, 관할 영 역에 대해 공정한 거래관행 규칙34)을 제정하여 사업자들이 이를 준수 토록 하는 역할을 맡고 있다.