미국 법무부가 10월 21일 러시아, 이란, 중국 등 국가 안보에 위협이 되는 외국 그러니까 우려국으로 지칭되는 국가에 미국 국민 생체 인식 정보나 유전자 정보와 같은 기밀 데이터를 전송하는 걸 규제하는 규칙안을 발표했다.
조 바이든 미국 대통령은 2024년 2월 미국인의 대규모 기밀 개인 데이터 및 정부 관련 데이터를 우려국으로부터 보호하기 위한 행정 명령(제14117호)을 발표하며 해외 적대 세력이 국민 생체 인식 정보, 건강 정보, 유전자 정보, 정확한 위치 정보, 금융 데이터를 악용해 사이버 공격이나 정보 수집 활동을 하지 못하도록 당국에 지시했다.
이에 따라 미국 법무부는 3월에 규칙 제정안 사전 통지(ANPRM)를 발표해 공공 의견과 관련 이해 관계자 의견을 수렴했다. 이런 과정을 거쳐 이번에는 행정 명령을 실행하기 위한 규칙 제정안 통지(NPRM)를 공개했다.
정부 관계자의 발언에 따르면 규칙안은 중국, 러시아, 이란, 북한, 베네수엘라, 쿠바 등 6개 국가를 특정하고 있다. 이 규칙이 발효되면 12개월 내에 100명 이상 미국인 유전자 데이터, 1,000명 이상 정확한 위치 정보와 생체 인식 식별자, 1만 명 이상 건강 데이터와 금융 데이터, 10만 명 이상 개인 식별자를 대상국이나 그 국가 기업에 전송하는 행위가 규제된다. 여기서 개인 식별자란 이름, 사회보장번호, 운전면허증 번호 등과 같은 정보를 말한다.
미국에서 우려국으로 데이터를 전송하는 모든 기업은 규모와 유형에 관계없이 기록 보관 및 보고에 관한 규정을 준수해야 하며 규칙을 위반할 경우 민사 벌금과 형사 처벌을 받을 수 있다.
또 규칙안에는 몇 가지 예외가 포함되어 있으며 국제 전화와 같은 기본적인 통신 서비스, 가치 있는 정보가 포함되지 않은 개인적인 통신, 의약품 및 의료 기기의 임상 시험 관련 데이터, 급여 계산이나 세금 납부와 같은 일상적 업무에서의 데이터 전송, 미국 정부 공식 활동은 규제 대상에서 제외된다.
당국자는 언론에 이 문제는 빅데이터 분석, AI 및 기타 기술의 지속적인 발전으로 인해 점점 더 큰 위험을 초래하고 있으며 우려국은 AI와 첨단 기술을 이용해 기밀성이 높은 개인 데이터를 분석, 조작, 악용할 수 있는 능력을 강화하고 있다고 밝혔다.
미국 법무부는 이번 포괄적인 규칙안은 우려국이나 해당 국가 관계자에게 정부 관련 데이터나 미국인 대규모 기밀 개인 데이터를 제공하는 불가피한 위험을 명확히 규제해 행정 명령 지시를 실행하는 조치라고 설명했다. 관련 내용은 이곳에서 확인할 수 있다.