상위 질문
타임라인
채팅
관점

미국의 금융 프라이버시법

위키백과, 무료 백과사전

Remove ads

금융 프라이버시 법은 금융 기관이 소비자의 비공개 금융 정보를 처리하는 방식을 규제한다. 미국에서는 연방 및 주 차원에서 제정된 법률을 통해 금융 프라이버시가 규제된다. 연방 규제는 주로 은행 비밀법, 금융 프라이버시 권리법, 그램-리치-블라일리 법, 공정신용보고법에 의해 대표된다. 2007년 신용 및 직불 카드 영수증 명확화법(Credit and Debit Card Receipt Clarification Act of 2007)과 같은 다른 법률의 조항들도 미국의 금융 프라이버시에 기여한다. 주 규정은 주마다 다르다. 각 주가 금융 프라이버시에 다르게 접근하지만, 대부분 연방 법률을 기반으로 하며 더 엄격한 개요와 정의를 제공한다. 소비자금융보호국연방거래위원회와 같은 정부 기관은 금융 프라이버시 규제를 집행한다.

Remove ads

연방 법률

요약
관점

금융 프라이버시 권리법

1978년 금융 프라이버시 권리법(RFPA)은 주로 미국 연방 대법원미국 대 밀러 (1976) 판결에 대한 대응으로 1978년에 통과되었고, 은행 비밀법을 보완하기 위해 제정되었다.[1][2] 이 법은 정부가 비공개 금융 기록에 자유롭게 접근하는 능력을 제한하기 위해 마련되었다.[1] RFPA는 금융 기관을 은행업, 신용 카드, 소비자 금융과 관련된 활동을 하는 모든 기관으로 정의한다. 또한 금융 기록을 소비자와 금융 기관 간의 관계에 대한 모든 문서로 정의한다.[3] 이 법은 미국 연방 정부가 고객의 금융 정보에 법적으로 접근하기 전에 고객에게 법적 통지를 전달하거나 고객의 동의를 받아야 한다고 요구했다.[4] 고객은 또한 정부가 자신의 금융 정보에 적극적으로 접근하려고 할 때 정부에 이의를 제기할 수 있는 능력이 있음을 통보받아야 한다. 정부가 고객 정보에 성공적으로 접근하는 경우, 해당 정보가 법 집행 목적으로 사용되고 있음을 명확히 하지 않고는 정부 기관 간에 정보를 전송할 수 없다. 조건이 충족되어 정보가 기관 간에 전송될 경우 고객에게 즉시 통보해야 한다.[4]

금융 프라이버시 권리법에는 연방 조사를 신속하게 처리하기 위한 많은 예외 조항이 포함되어 있다. 연방 기관은 해당 기록이 법 집행 조사와 관련되어 있을 경우 모든 금융 기록에 접근할 수 있다.[3] 이 법은 또한 모든 정부 부서나 기관이 고객 정보에 대한 접근을 요청할 수 있는 권한을 부여한다.[1]

정부는 다음 6가지 예외를 통해 금융 기록에 접근할 수 있다.[3][1]

  1. 대배심 소환장
  2. 고객의 동의를 얻은 고객 승인
  3. 행정 소환장
  4. 연방 형사소송법에 따라 발부된 수색영장
  5. 사법 소환장
  6. 공식 서면 요청

수색영장에 관한 모든 기존 규칙이 예외에 적용된다. 고객의 금융 정보에 대한 수색영장이 발부되면 정부는 90일 이내에 고객에게 수색영장의 존재를 알려야 한다.[3] 소비자는 서면 승인을 통해 정부에 최대 3개월 동안 접근 권한을 부여할 수 있다. 언제든지 소비자는 승인을 취소할 수 있다. 정부가 승인을 통해 접근 권한을 부여받는 경우, 정보를 보유한 금융 기관은 어떤 정부 기관이 접근 권한을 부여받았는지 기록해야 한다.[3] 행정 소환장, 사법 소환장 또는 공식 서면 요청을 사용하여 금융 기록이 요청된 경우, 정부는 고객에게 어떤 특정 기록이 요청되고 있는지, 왜 요청되고 있는지, 그리고 기록에 접근하는 데 사용된 절차를 통보해야 한다.[3] 금융 기관은 요청된 금융 기록을 연방 기관에 넘겨주기 전에 모든 법률, 규정 및 절차가 준수되었는지 확인해야 한다.[3]

RFPA는 나중에 금융 기관이 범죄 수사 및 기소를 촉진하는 능력을 향상시키기 위해 수정되었다. 새로운 개정안에 따라 금융 기관은 규제가 위반되었다고 판단되는 경우 정부에 정보를 공개할 수 있다. 기관이 이러한 방식으로 고객의 금융 정보를 공유하기로 결정한 경우, 용의자를 식별하는 정보만 공개할 수 있다. 기관은 정보 공개에 대해 책임을 지지 않는다.[4] 개정안은 또한 법원이 금융 기관에 고객의 정보가 소환되었다는 것을 통보하도록 강제할 수 있다고 명시하고 있다.[4]

비판

서면 승인에 대한 비판이 제기되었다. 이 법은 고객이 금융 기관에 직접 승인을 제출할 책임이 있는지, 또는 정부가 서면 승인이 자신들에게 제출되었다는 증거만 제공할 책임이 있는지 명시하지 않는다.[3]

그램-리치-블라일리 법

그램-리치-블라일리 법(GLBA)은 글래스-스티걸 법을 폐지하기 위해 1999년에 제정되었다.[5] 글래스-스티걸 법의 폐지로 인해 다른 유형의 금융 기관 간의 합병이 허용되었고, 이는 금융 정보의 확산 효율성을 높였다. 소비자 프라이버시를 증진하기 위해 그램-리치-블라일리 법은 기업이 금융 데이터를 처리하고 공유하는 방식을 제한하는 규정을 포함했다.[6]

정보 보호는 일반적으로 이 법의 세 가지 규칙을 통해 상세히 설명된다.

  1. 금융 기관은 프라이버시 정책을 수립하고(아직 없는 경우) 고객에게 정책을 알려야 한다.[7]
  2. 금융 기관은 정책 예외가 비계열 제3자에게 금융 정보가 배포되는 것을 허용하는 조건을 고객에게 구체적으로 공개해야 한다.[7]
  3. 금융 기관은 고객에게 개인 정보 공개를 막을 수 있는 "옵트아웃" 옵션을 제공해야 한다.[7]

GLBA에 의해 제시된 규정에도 불구하고, 법의 예외 조항은 금융 기관이 특정 조건 하에 금융 정보를 공개할 수 있는 능력을 허용한다. 금융 기관이 제공하는 금융 상품이 두 개 이상의 당사자에 의해 소유되는 경우, 기관은 한 당사자에게만 통보하면 된다.[7] 금융 기관은 해당 정보가 공공 안전과 관련된 조사에 사용되는 경우 고객에게 전혀 통보하지 않고도 정보를 공개할 수 있다.[7]

보호 규칙

그램-리치-블라일리 법의 '보호 규칙'(Safeguards Rule)은 연방거래위원회가 금융 기관이 금융 정보를 보호할 때 따라야 할 기준을 정하기 위해 GLBA에 도입되었다.[8] 이 규칙은 금융 기관이 운영 규모에 적합한 보안 프로그램을 만들고 구현하도록 요구했다. 이 프로그램은 정보에 대한 무단 접근, 정보의 무단 사용 및 정보 안전에 대한 위협으로부터 정보를 안전하게 보호해야 한다. 정보를 처리, 저장, 전송 및 파기하는 정보 시스템이 보안 프로그램에 사용되어야 한다.[8] 이 규칙은 또한 기관이 보안 프로그램의 개발, 구현 및 유지 관리에 직원을 전담해야 한다고 명시하고 있다. 보안 위협이나 데이터 유출을 식별하고 대응하도록 훈련된 인력이 있어야 한다.[8]

비판

그램-리치-블라일리 법은 전문가들이 광범위한 언어로 인해 취약한 보호를 제공한다고 주장하면서 많은 비판의 대상이 되었다. 명확한 설명과 더 잘 정의된 언어가 없으면 이 법은 해석에 열려 있어 궁극적으로 소비자에게 불리하게 작용할 수 있다.[6] 이 법이 요구하는 프라이버시 정책도 도움이 되지 않는데, 많은 금융 기관이 작성한 정책이 고객 이해를 방해하기 위해 의도적으로 복잡하게 되어 있기 때문이다.[6] 또한 규정 미준수에 대해 금융 기관을 처벌하는 규칙도 부족하다.[6] 비판은 또한 이 법의 옵트아웃 규칙에 집중되었다. 리치먼드 연방준비은행의 전 총재 제프리 M. 래커는 금융 정보 시장이 약해서 은행이 정책에서 고객에게 제공하는 옵트아웃 옵션이 비효율적이라고 주장한다. 금융 정보 공유는 금융 기관이 고객 동의에 대한 비용을 지불할 만큼 수익성이 없으므로 옵트아웃 통지는 거의 배포되지 않는다. 고객에게 통지가 되는 상황에서도 응답하는 비율은 5%에 불과한 것으로 추정된다. 낮은 응답률은 소비자들이 자신의 금융 프라이버시에 대해 신경 쓰지 않는다는 증거이다. 무관심한 고객과 약한 시장으로 인해 옵트아웃 옵션은 비효율적이게 된다.[9]

공정신용보고법

공정신용보고법은 신용 기관을 규제하고 소비자 정보의 공정하고 안전한 처리를 촉진하기 위해 1970년에 통과되었다.[10]

공정신용보고법은 다섯 가지 주요 규칙을 통해 정보 확산을 제한하고자 한다.

  1. 신용 보고서와 조사 보고서는 관련 없는 정보가 섞이지 않도록 구분해야 한다.[11]
  2. 보고서는 "합법적인 사업상의 필요"가 있는 사람에게만 제공될 수 있다.[11]
  3. 보고서의 대상자는 자신의 정보 요청에 대해 통보받아야 한다.
  4. 기관은 소비자가 요청하는 경우 자신의 파일에 대한 접근을 허용해야 한다.[11]
  5. 보고서에 정보 보존 기간이 설정되어 있다. 7년 이상 된 정보는 삭제되어야 하며, 파산 관련 정보는 14년 후에만 삭제될 수 있다.[11]

FCRA에 따르면, 오래된 정보는 조사되어 보고서에 포함될 수 없다.[10] 보고서에서 발견된 정보는 오류가 발견될 경우 이의를 제기할 수 있다. 신용 기관은 조사를 시작해야 하며, 오류가 입증되면 해당 정보는 즉시 제거되어야 한다.[10] 소비자가 보고서 내용으로 인해 영향을 받는 경우, 보고서 사용자는 소비자에게 통보하여 소비자가 자신의 파일에 접근하고 기관으로부터 파일 내용에 대한 설명을 들을 수 있도록 해야 한다. FCRA에는 또한 공정하고 정확한 신용 거래법에 의해 추가된 레드 플래그 규칙도 포함되어 있다.[12][13] 주소 변경 규칙(Change of Address Rule)도 제정되어 정부 금융 기관이 주소 변경을 확인해야 한다.[13]

FRCA는 준수 촉진을 위한 여러 조치를 포함한다. 이 법은 파일에 대한 무단 접근 또는 허위 명목으로 보고서를 받는 행위가 형사 범죄로 간주된다고 명시하고 있다. 보고 기관 및 보고서를 사용하는 사람들도 모든 불이행에 대해 책임을 진다. 소비자는 또한 정보 오용으로 인한 손해에 대한 배상을 받을 자격이 있다.[10]

비판

공정신용보고법은 정보 수집이 아닌 정보 배포만을 제한한다는 점에서 규제 강도에 대한 비판에 직면했다.[11] 또한 이 법은 광범위한 언어로 작성되어 열린 해석을 유도하여 허점을 야기할 수 있다.[11] 일부 비판은 "정확성"의 정의에 대한 모호성을 직접적으로 겨냥하기도 했다. 이 법의 맥락에서 "정확성"은 신용 보고서가 정확하거나 불완전한 것으로 해석될 수 있다.[14]

공정하고 정확한 신용 거래법

공정하고 정확한 신용 거래법(FACTA)은 공정신용보고법(FCRA)을 개정하기 위해 2003년 의회에서 통과되었다.[12] 이 개정안은 FCRA에 명시된 규정보다 더 엄격한 주 법률이 먼저 시행되도록 보장했다. 개정안의 결과로 효력을 유지할 신용 점수, 신용 보고서 및 보험에 관한 주 법률은 이 법에 명시되었다. 이 법에 따라 소비자들은 자신의 신용 점수에 대한 설명과 매년 무료 신용 보고서를 받을 권리를 더 많이 부여받았다.

폐기 규칙

폐기 규칙은 FACTA에 따라 공공 및 비공공 기관이 비공개 소비자 정보에 대한 무단 접근을 방지하기 위해 소비자 보고서를 파기하는 방법에 대한 요구 사항을 설정했다.[12] 이 법에 따라 물리적 정보의 폐기는 문서 소각, 분쇄 및 파쇄를 통해 이루어질 수 있다. 디지털 정보는 전자 파일을 단순히 삭제함으로써 폐기될 수 있다. 정보는 계약자를 고용하여 파기될 수도 있다. 문서는 계약자에게 폐기를 위해 제출되기 전에 소비자 정보를 식별하기 위해 실사(due diligence)가 수행되어야 한다.[12] 모든 정보의 폐기는 문서가 재구성되어 읽을 수 없도록 하는 방식으로 이루어져야 한다.[12]

레드 플래그 규칙

레드 플래그 규칙은 FACTA에 따라 금융 기관 및 채권자가 신원 도용 위협을 식별하고 방지하기 위한 프로그램을 개발하고 구현하도록 요구하는 규칙이다.[12][13]

신용 및 직불 카드 영수증 명확화법

신용 및 직불 카드 영수증 명확화법(Credit and Debit Card Receipt Clarification Act)은 FCRA의 개정안으로 2007년에 통과되었다.[15] 이 법은 소비자 프라이버시를 보호하기 위해 영수증에 인쇄된 계좌 번호를 다섯 자리로 단축해야 한다고 규정했다.[13]

은행 비밀법

은행 비밀법은 사람들이 해외 금융 기관에 소득을 숨기는 것을 막고, 금융 기관이 범죄 수사에 사용되는 품목을 복사하는 일반적인 관행을 방지하기 위해 1970년에 제정되었다.[2] 이 법은 미국 재무부가 은행 기록을 통합하여 정보가 법적 절차에 효과적으로 사용될 수 있도록 허가했다. 또한 금융 기관이 소비자 기록, 특히 국제 거래 기록을 유지하도록 요구했다.[4] 금융 기관은 기록을 6년 동안 보관하고 의심스러운 거래를 보고해야 한다.[2][3]

공정 채무 추심 관행법

공정 채무 추심 관행법(FDCPA)은 소비자가 채무 추심을 처리할 때 권리를 가지며 정확한 정보를 유지할 수 있도록 1978년에 통과되었다. 이 법에 따라 채무와 관련된 모든 소비자 정보는 보호된다.[16] 채무 추심원이 대금을 추심할 때 소비자와 상호작용할 수 있는 방법을 명시하는 요구 사항이 설정되었다.[16] FDCPA에 따라 추심원은 소비자의 이름과 주소를 불량 채무 목록에 게시하거나, 소비자의 배우자 또는 변호사를 제외한 비계열 제3자에게 채무에 관한 정보를 공개할 수 없다. 추심원이 소비자의 행방을 문의하려고 하는 경우에만 이웃 및 직장 동료에게 채무 정보를 공개할 수 있다.[16] 추심원은 또한 채무를 추심하기 위해 신용 보고 기관에 사기성 정보를 공개할 수 없다.[16]

전자 자금 이체법

전자 자금 이체법은 당시 증가하던 전자 자금 이체 사용을 규제하기 위해 1978년 의회에서 통과되었다.[1] 이 법은 은행이 전자 자금 이체에 관한 모든 정책을 고객에게 통보하도록 요구하는 요건을 시행했다. 심지어 정책이 소비자에게 제시되는 언어를 규제하기 위해 모델 진술서도 법에 포함되어 있다.[1] 은행은 동의 없이 전화로 정보가 공개되는 경우에도 책임을 지게 된다.[1] 또한, 은행은 소비자 정보에 대한 무단 접근으로 인해 발생하는 모든 손해에 대해 책임을 지게 된다.[1]

도드-프랭크 월스트리트 개혁 및 소비자 보호법

도드-프랭크 월스트리트 개혁 및 소비자 보호법2008년 세계 금융 위기 이후 금융 시스템 개혁을 추진하고 소비자금융보호국을 설립하기 위해 2010년에 제정되었다.[12]

Remove ads

주 법률

요약
관점

캘리포니아

캘리포니아 소비자 프라이버시법

캘리포니아 소비자 프라이버시법은 캘리포니아 거주자의 비공개 정보를 보호하기 위해 2018년에 통과되었다.[17]

이 법은 개인 정보 판매를 규제하고 제한하려는 요구 사항을 설정했다. 그러나 기업은 비즈니스 파트너와의 계약을 통해 정보 판매를 정당화할 수 있다. 이러한 계약은 기업이 이 법을 준수하는지 검토할 때 고려될 것이다.[17]

회사가 사업에 지장을 주지 않고 정보 판매에 관한 조항을 준수할 수 없는 경우, 16세 미만의 미성년자로부터는 옵트인(opt-in) 옵션을 통해 동의를 받아야 하며, 13세 미만 미성년자의 경우 부모의 동의를 받아야 한다.[17] 회사는 또한 다른 모든 소비자에게 "내 개인 정보를 판매하지 마세요"(Do Not Sell My Personal Information)라고 명확하고 구체적으로 명시된 웹페이지 링크를 통해 정보 공개를 옵트아웃(opt-out)할 수 있는 기능을 제공해야 한다.[17] 소비자가 옵트아웃하는 경우, 회사는 소비자가 옵트아웃한 시점으로부터 1년이 지나기 전에는 옵트인 옵션을 다시 제시할 수 없다.[17]

이 법에 따라 기업은 데이터 접근, 폐기 및 이동성에 관한 새로운 권리를 소비자에게 알려야 한다.[17] 또한 기업은 소비자가 새로운 권리를 행사할 수 있는 방법과 권리 행사를 위한 소비자 요청을 확인할 수 있는 방법을 제공해야 한다.[17] 프라이버시 정책도 새로 요구되는 정보 공개를 반영하여 업데이트되어야 한다.[17]

기업은 다음 9가지 조건 하에 소비자의 개인 정보 삭제 요청을 거부할 수 있다.

  1. 거래를 완료하는 데 정보가 필요한 경우[17]
  2. 사기 행위를 식별하고 보호하며, 그러한 공격에 책임 있는 사람들을 기소하는 데 정보가 필요한 경우[17]
  3. 기능 문제를 식별하고 해결하는 데 정보가 필요한 경우[17]
  4. 자유 발언을 행사하는 데 정보가 필요한 경우[17]
  5. 캘리포니아 통신 프라이버시 법을 준수하는 데 정보가 필요한 경우[17]
  6. 공익을 위한 통계 연구를 수행하는 데 정보가 필요한 경우[17]
  7. 해당 소비자와의 의무를 이행하는 데 정보가 필요한 경우[17]
  8. 법적 의무를 이행하는 데 정보가 필요한 경우[17]
  9. 소비자가 처음에 정보를 제공한 요구 사항을 충족하는 데 정보가 필요한 경우[17]

이 법은 또한 개인 정보와 관련하여 고용주-직원 관계를 규제한다.[17] 이 법에 따라 고용주는 직원이 이 법에 명시된 권리를 행사할 수 있는 방법을 제공해야 한다. 직원들은 또한 정보 판매를 옵트아웃할 수 있다. "내 개인 정보를 판매하지 마세요"라고 명확하게 명시된 링크도 고용주의 웹사이트에 직원들에게 제공되어 옵트아웃 요청을 용이하게 해야 한다.[17] 이 법에 따라 직원들은 특정 정보 범주의 공개를 요청할 수 있다.[17] 고용주가 직원에 대한 정보를 수집할 계획이라면, 어떤 정보가 수집되었는지, 왜 수집되었는지, 어떤 조건에서 정보가 사용될 것인지 직원들에게 통보해야 한다. 고용주가 추가 데이터를 수집할 경우, 앞에서 언급된 동일한 세부 정보를 포함하는 또 다른 통지를 직원들에게 보내야 한다.[17] 직원들은 고용주에게 자신의 정보를 삭제하도록 요청할 수 있다. 그러나 고용주는 정보를 유지하는 것이 특정 의무를 이행하는 데 필요한 경우 요청을 거부할 권리가 있다.[17] 직원들은 또한 고용주가 캘리포니아 시민법의 "사업 목적" 정의에 따라 자신의 정보를 판매하는 경우 통보받아야 한다.[17]

캘리포니아 소비자들과 사업을 영위하는 기업은 다음 세 가지 조건 중 하나를 충족하면 이 법을 준수해야 한다.

  1. 연간 총 수익이 2천5백만 달러 이상인 경우[17]
  2. 캘리포니아 주민, 가구, 기기 5만 명 이상의 개인 정보를 보유하고 있는 경우[17]
  3. 캘리포니아 주민 정보 판매로 수익의 50% 이상을 창출하는 경우[17]

캘리포니아에 물리적으로 위치하지 않고 모든 사업을 주 외부에서 수행하는 기업은 이 법에서 면제될 수 있다.[17] 그러나 그러한 기업이 캘리포니아에 진출하거나 캘리포니아 주민과 온라인으로 거래를 시작하는 경우, 이 법을 준수해야 한다.[17]

캘리포니아 프라이버시법

캘리포니아 프라이버시법은 소비자 정보 보호를 제공하는 주 수준의 프라이버시 법이다. 이 법은 그램-리치-블라일리 법의 더 엄격한 버전으로 묘사된다.[18] 캘리포니아 프라이버시법은 그램-리치-블라일리 법에서 발견되는 일부 용어의 정의를 더 좁게 제공한다. 예를 들어, 이 법에 따라 규제되는 금융 기관은 "금융 활동에 상당한 정도로 관여하는" 기관만을 포함한다.[18] 또한 이 법은 옵트아웃 대신 옵트인 규칙을 제공하여 금융 기관이 동의 없이 정보를 처리할 수 있는 상황에 대해 소비자에게 더 많은 통제권을 부여한다.[18] 금융 정보는 또한 하나의 금융 주체 내에 유지되어야 하며, 이는 다른 기관이 제휴를 기반으로 접근할 수 없음을 의미한다.

이 법은 또한 불이행하는 기관을 다루기 위한 처벌을 명시하고 있다. 이 법 위반 시 최대 50만 달러의 벌금이 부과될 수 있다. 그러나 신원 도용과 관련된 상황에서는 벌금이 두 배로 늘어날 수 있다.[18]

더 엄격한 규칙을 제공함에도 불구하고 이 법은 예외 조항도 포함한다. 이 법이 통과되기 전에 계약을 체결한 사람들은 수동으로 옵트아웃하지 않으면 여전히 정보를 공유할 수 있다. 동일한 규제 기관을 공유하는 기관은 고객에게 통보하지 않고도 소비자 정보를 교환할 수 있다. 고객은 또한 해당 정보가 법적 절차에 사용되는 경우 정보가 공개되었다는 통보를 받을 필요가 없다.[18]

캘리포니아 소비자 신용 보고 기관 법

캘리포니아 소비자 신용 보고 기관 법(CCCRA)은 연방 공정신용보고법의 주 버전으로 1975년에 통과되었다.[16] 이 법은 소비자 신용 보고 기관과 신용 보고서 사용자 모두를 규제한다. 또한 이 법은 "소비자 신용 보고서"에 대한 더 좁은 정의를 제공하여 신용 보고서에 포함되는 모든 정보가 이 법에 의해 보호된다.[16]

CCCRA는 소비자에게 사용된 모든 코드에 대한 철저한 설명, 관련 정보가 포함된 신용 점수, 소비자의 파일에 대한 제3자 요청 기록, 그리고 소비자의 파일을 받은 제3자의 식별 가능한 정보가 포함된 신용 파일 사본을 요청할 수 있는 권한을 부여한다.[16] 소비자가 요청한 모든 정보는 직접, 우편 또는 훈련된 사람을 통한 전화로 제공되어야 하며, 해당 사람은 정보에 대한 포괄적인 설명을 제공할 수 있어야 한다.[16] 신용 보고서는 정보가 요청하는 당사자와 관련되거나, 법원 명령을 완료하기 위함이거나, 요청하는 당사자가 정보에 대한 합법적인 사용 목적이 있는 경우 소비자에게 통보하지 않고도 제3자에게 공개될 수 있다.[16]

금융 프라이버시 권리법

캘리포니아는 1976년 연방 정부가 동일한 이름의 법률을 통과시키기 2년 전에 자체 금융 프라이버시 권리법을 통과시켰다.[16] 이 법은 주 정부 기관이 비공개 소비자 정보에 접근할 수 있는 능력을 규제했다. 이 법의 결과로 캘리포니아 주 정부 기관은 소비자가 동의하거나 정보에 대한 소환장 또는 수색 영장이 발부되지 않는 한 금융 기록에 접근할 권한이 없다.[16]

정부 기관이 고객 동의, 소환장 또는 수색영장 증거를 제시하는 한, 금융 기관은 요청된 금융 정보를 공개할 의무가 있다.[16] 증거가 있으면 금융 기관은 정보를 넘겨주기 전에 모든 법률이 준수되었는지 확인할 필요가 없다.[16]

송-베벌리 신용카드법

캘리포니아의 송-베벌리 신용카드법은 신용카드 거래에서 소비자 정보를 보호하기 위해 1971년에 통과되었다.[16] 이 법에 따라 기업은 신용카드를 사용하여 상품이나 서비스를 구매하는 소비자로부터 개인 식별 정보를 수집할 수 없다. 기업은 소비자가 거래를 위해 신용카드를 사용하기 위해 정보 공유에 동의해야 하는 조건을 설정할 수 없다. 그러나 신용카드 거래를 완료하기 위해 소비자 정보가 요청될 수 있지만, 이 정보는 절대로 기록되어서는 안 된다. 이 법은 또한 기업이 영수증에 소비자의 신용카드 및 직불카드 정보를 단축해야 한다는 중복된 주 차원의 요구 사항을 설정했다.[16]

이 법에는 예외가 있는데, 기업은 직불카드나 현금으로 지불하는 소비자로부터 정보를 계속 수집할 수 있다.[16] 이 법에 따라 기업은 손해 및 채무 불이행과 유사한 상황에서 신용카드가 돈을 회수하는 데 사용되는 경우 소비자 데이터를 계속 수집할 수 있다. 소비자 반품 또는 환불의 경우, 기업은 사기로부터 보호하기 위해 정보를 수집할 수 있다.[16] 주유소는 또한 사기로부터 자신을 보호하기 위해 소비자의 우편번호 정보만 수집할 수 있다.[16]

버몬트

규정 B-2018-01: 소비자 금융 및 건강 정보 프라이버시

규정 B-2018-01: 소비자 금융 및 건강 정보 프라이버시는 금융 정보의 프라이버시를 보호하기 위해 버몬트주에서 통과되었다. 금융 프라이버시는 규정의 첫 네 가지 조항에 의해 정의된다.[19]

제1조

이 규정의 제1조는 규정이 일반적으로 무엇인지 정의하는 데 사용된다. 이 조에서 명시된 바와 같이, 규정의 목적은 금융 기관과 연결된 모든 사적 정보의 처리를 규제하는 것이다.[19]

이 규정은 다음 9가지 조건을 통해 금융 기관을 정의한다.

  1. 버몬트 주 법률에 의해 정의된 금융 기관[19]
  2. 은행지주회사법에 의해 정의된 금융 활동에 종사하는 면허 또는 등록된 개인[19]
  3. 모기지 브로커, 모기지 대출 원천 발행자, 대출 기관 및 판매 금융 회사[19]
  4. 독립 신탁 회사[19]
  5. 송금 서비스 제공업체[19]
  6. 채무 조정자[19]
  7. 대출 서비스 제공업체[19]
  8. 해외 금융 기관[19]
  9. 위 항목 중 어느 하나에 해당하는 자회사[19]

제2조

  • 금융 기관은 고객에게 이해하기 쉬운 통지로 프라이버시 정책을 알려야 한다.[19]
  • 고객은 12개월마다 금융 기관의 프라이버시 정책을 통보받아야 한다.[19]
  • 프라이버시 통지에는 규정에 명시된 9가지 정보가 포함되어야 한다.
    1. 금융 기관이 수집하는 정보[19]
    2. 금융 기관이 공유하기로 선택하는 정보[19]
    3. 금융 기관이 정보를 공개하는 계열 및 비계열 당사자의 범주[19]
    4. 금융 기관이 공유한 전 고객에 관한 정보의 범주와 정보가 공유된 당사자[19]
    5. 금융 기관이 예외 조항에 따라 비계열 제3자와 정보를 공유했는지 여부[19]
    6. 고객이 옵트인(opt-in) 권리를 행사할 수 있는 방법의 개요[19]
    7. 공정신용보고법, 연방 시행 규정 및 버몬트 공정신용보고법에 따라 개인 금융 정보가 공유되었는지 여부[19]
    8. 금융 기관의 소비자 금융 정보 보호에 관한 정책[19]
    9. 규정에 따라 승인된 예외 조항을 사용하여 정보가 공유되었는지 여부[19]
  • 금융 기관이 프라이버시 정책을 개정하기로 결정한 경우, 변경 사항을 고객에게 통지하거나 변경 사항에 대해 고객이 동의할 때까지 처음에 보낸 통지를 계속 준수해야 한다.[19]
  • 고객이 전자적으로 통지를 받기로 동의하지 않는 한, 통지는 서면으로 고객에게 전달되어야 한다.[19]

제3조

  • 소비자는 부분적으로 옵트인할 수 있는 능력이 있는데, 이는 금융 기관이 공유하는 데 동의하는 정보를 선택하고 고를 수 있음을 의미한다.[19]
  • 금융 기관이 다른 비계열 당사자로부터 정보를 받는 경우, 해당 기관은 정보를 받은 비계열 당사자의 계열 당사자에게, 또는 자신의 계열 당사자에게, 또는 소비자로부터 허가를 받은 경우 정보를 재공개할 수 있다.[19]
  • 금융 기관이 소비자 보고 기관에 정보를 공개하는 경우가 아니라면, 해당 기관은 마케팅 목적으로 정보를 사용할 당사자에게 계좌 정보를 공유할 수 없다.[19]

제4조

  • 금융 기관은 제3자가 기관을 위해 서비스를 수행하거나 제3자가 기관을 대리하여 행동하는 경우 비계열 제3자와 고객의 금융 정보를 공유할 수 있다.[19]
  • 금융 기관은 고객이 승인했거나 관련이 있는 거래를 강제하는 데 필요한 경우 고객 정보를 공개할 수 있다.[19]
Remove ads

규제 기관

소비자금융보호국 (CFPB)

소비자금융보호국은 미국 연방준비제도 내의 독립 규제 기관이다.[12] CFPB는 금융 기관과의 소비자 상호 작용을 규제함으로써 공정한 관행을 촉진한다. 이 기관은 소비자 예금을 보유하지 않는 기관에 대해 완전한 권한을 가진다.[12] 자산이 1천만 달러 이하인 소비자 예금 보유 기관의 경우, CFPB는 규칙 제정 권한만 가지며, 집행 권한은 다른 금융 규제 기관에 있다.[12] 집행 권한의 일부로서 CFPB는 조사를 시작하고, 소환장을 발부하며, 청문회를 개최하고, 위반에 대해 백만 달러가 넘는 벌금을 부과할 수 있다.[12] 또한 이 국은 기존 연방 금융 프라이버시 법률에 관한 규칙을 집행하고 제정할 수 있는 능력을 가진다.[12]

연방거래위원회 (FTC)

연방거래위원회는 소비자와 경쟁을 보호하는 독립 규제 기관이다.[20][21] 1995년에 FTC는 프라이버시 규제에 참여하게 되었다. 처음에는 기관이 기업들이 자체 프라이버시 정책을 만들도록 장려하고 FTC가 이를 집행하는 방식으로 자율 규제를 촉진했다. FTC는 단순히 기업의 정책을 지지하는 것이 정책을 합법화하고 소비자들의 눈에 정책의 신뢰성과 중요성을 부여하는 데 도움이 될 것이라고 믿었다.[21] 그러나 프라이버시가 점점 더 중요한 문제가 되면서 FTC는 사실상 소비자 프라이버시에 대한 권한을 가진 기관으로 발전했다. FTC가 소비자 프라이버시 규제에 대한 권한을 명시적으로 부여받은 적은 없지만, 의회는 1990년대 후반부터 FTC에 점점 더 많은 책임을 부여했다.[21] 기관이 체결한 합의는 사실상 관습법으로 간주되기도 했다. 결국 FTC는 일반적으로 프라이버시 규제를 만들고 사기 행위에 대한 보호를 시행할 수 있는 권한을 얻게 되었다.[12]

FTC는 민사 소송, 형사 소송, 행정 집행 조치를 통해 불이행 문제를 처리한다.[12] 집행 조치는 회사에 대한 불만 또는 주장으로 시작된다. FTC는 조사를 수행할 권한이 있으며, 소환장을 발부하고 회사에 선서 보고서를 제출하도록 강제할 수 있다. 이 기관은 또한 위반에 대해 벌금을 부과할 권한도 가진다.[12] FTC는 발견한 위반이 중대하다고 간주되는 경우에만 완전한 집행 권한을 사용한다. 대부분의 경미한 위반에 대해서는 FTC가 회사들이 불이행에 기여하는 문제를 식별하고 해결하는 데 도움을 줄 것이다.[12]

같이 보기

각주

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads
Remove ads