FTC 제5조: 미국의 AI 개인정보
2026년 업데이트.
미국 연방거래위원회(FTC)는 FTC법 제5조를 통해 미국 개인정보 법률을 집행합니다. 해당 조항은 "불공정하거나 기만적인 행위"를 금지합니다. GDPR과 같은 단일 연방 개인정보 법률이 미국에는 존재하지 않습니다. 그럼에도 기관은 2024년 새로운 기록을 세웠습니다.
2024년: 역대 최다 집행 연도
위원회는 2024년에 19건의 AI 관련 조치를 취했습니다. 이는 직전 3년 합계를 상회합니다. 여기에 25개 주의 개인정보 법률이 추가됩니다. 합산하면 미국 내 모든 기업에 복잡한 부담이 됩니다.
2024년 주요 사건:
아마존 Alexa ($2,500만, 2023년/진행 중): 아마존은 COPPA 위반으로 $2,500만을 지불했습니다. 규정된 기간이 지나도 아동의 음성 파일을 보유했습니다. 기관은 아마존이 동의 없이 해당 파일로 AI를 학습시켰다고 판단했습니다. 아마존은 보유 파일 삭제 명령을 받았습니다.
미성년자 광고 사용 금지 (메타): 연방 규제 기관이 메타의 18세 미만 사용자 기록을 광고에 활용하는 것을 금지했습니다. 기존 동의 명령을 기반으로 한 조치였습니다.
AI 데이터 브로커 조치: 기관은 여러 데이터 브로커를 대상으로 조치를 취했습니다. 해당 브로커들은 적절한 고지나 동의 없이 AI로 구축한 개인 프로파일을 판매했습니다. 이 사건들은 핵심 원칙을 확립했습니다: 개인 기록에 대한 AI 프로파일링은 '민감한' 처리에 해당합니다. 이 분류는 추가적인 고지 의무를 발생시킵니다.
건강 기록 사건: 위원회는 HIPAA 적용 대상이 아닌 건강 기록에 대한 권한을 갖습니다. 소비자 앱, 웨어러블 기기, 일부 원격의료 기업이 여기에 해당합니다. 여러 2024년 사건이 적절한 동의 없이 해당 기록을 공유한 기업들을 대상으로 했습니다.
25개 주 법률: 미국의 규정 분산 구조
모든 미국 거주자를 포괄하는 단일 연방 법률은 없습니다. 대신 25개 주 법률이 대부분의 지역을 포괄합니다.
캘리포니아 CPRA (2023년부터): 미국에서 가장 광범위한 주 법률입니다. 주 내 4,000만 명의 거주자에게 적용됩니다. 연 매출 $2,500만 초과 또는 10만 명 이상의 주 소비자 기록을 보유한 기업에 적용됩니다. 상설 규제 기관인 캘리포니아 개인정보 보호청(CPPA)을 설립했습니다.
버지니아, 콜로라도, 코네티컷: 유사한 권리를 가진 세 가지 법률. 합산하여 2,000만 명 이상의 거주자를 포괄합니다.
텍사스와 플로리다: 두 대형 주에도 현재 유효한 개인정보 법률이 있습니다.
워싱턴 주 마이 헬스 마이 데이터법: 캘리포니아를 제외하고 미국에서 가장 강력한 건강 기록 법률. 소비자 건강 앱에 대해 HIPAA를 초과하는 권리를 부여합니다.
50개 주 전체에서 운영하는 기업의 경우, 25개 법률은 공통적인 의무 사항을 공유합니다. 소비자 권리, 개인정보 고지, 공급업체 계약, 기록 제한이 모두 요구됩니다. 정확한 규정은 주마다 다릅니다.
이러한 의무가 어떻게 중첩되는지는 법적 컴플라이언스 가이드를 참고하세요.
2024년 조치가 기술팀에 주는 시사점
2024년 사건들은 명확한 기술적 지침을 제공합니다.
학습 기록: 기업은 어떤 개인 기록이 각 AI 모델을 학습시켰는지 추적해야 합니다. 해당 학습 활용에 동의가 적용되었음을 입증해야 합니다. 또한 어떤 기한 제한이 적용되었는지 확인해야 합니다.
목적 제한: AI 프로파일은 회원 가입 시 사용자에게 고지된 목적을 초과하여 활용할 수 없습니다. 광고만 고지된 상태에서 행동 분석을 채용에 사용하면 제5조 위반입니다.
공급업체 의무: 기관은 SaaS 공급업체를 배포 기업의 위험으로 취급합니다. 도구가 사용자 기록을 처리하면 이를 개인정보 고지에 포함시켜야 합니다. 공급업체의 행동은 명시된 목적과 일치해야 합니다.
제로 지식 시스템: 대부분의 AI 공급업체 사건은 기록의 미고지 활용을 대상으로 합니다. 제로 지식 시스템은 암호화된 파일만 보관합니다. 공급업체가 복호화 키를 가지지 않습니다. 고지되지 않은 방식으로 기록을 활용할 수 없습니다. 이 기술적 사실이 기관이 타겟하는 사안과 정확히 일치합니다.
anonym.legal의 제로 지식 시스템 활용 방식은 /security-compliance에서 확인하세요.
상업적 감시 규정안
위원회의 상업적 추적에 관한 규정안은 2025년 현재 계류 중입니다. 통과되면 명시적인 연방 규정을 도입합니다.
- AI 활용을 위한 기록 제한
- 자동화된 프로파일링에 대한 옵트아웃 권리
- 수집된 기록을 새로운 목적에 활용하는 것에 대한 금지
- 저장된 개인 기록에 대한 보안 규정
이 규정은 미국 소비자를 대상으로 하는 모든 기업에 GDPR에 준하는 의무를 부과합니다. 미국 전체 개인정보 법률의 수준을 전반적으로 높이게 됩니다.
기록 제한에 대해서는 /docs/faq를 참고하세요.
출처
- FTC: 연방거래위원회. ftc.gov.
- FTC: 2024년 AI 집행 조치. ftc.gov/news-events/news/press-releases/.
- CPPA: 캘리포니아 개인정보 보호청. cppa.ca.gov.
- FTC: 상업적 감시 규정안. ftc.gov/legal-library/browse/rules/commercial-surveillance-rulemaking.