사용 중인 브라우저에서 JavaScript를 지원하지 않습니다.

특별 공지

버지니아주 개인정보 보호법(GDCDPA) 변경 사항

Virginia's 정부 데이터 수집 및 보급 관행법(GDCDPA) 이 HB 을 통해 업데이트되었으며,1161 스팬버거 주지사는  / 413/2026 에서 서명했습니다. 이러한 변경 사항은 Virginia 주민의 개인정보 보호를 강화하고 주 및 지역 기관이 개인정보를 공유할 수 있는 시기에 대한 새로운 제한을 추가합니다. 

정부 데이터 수집 및 보급 관행법이란 무엇인가요? 

Virginia's 정부 데이터 수집 및 보급 관행법은 주 및 지방 기관이 개인 정보를 수집, 유지, 사용 및 공유하는 방법을 규율하는 법적 프레임워크입니다( 1976). 이 법은 Virginia 주민의 개인 데이터를 취급하는 모든 기관에 대한 기본 개인정보 보호 및 운영 요건을 규정하고 있습니다. 

개인정보 보호법은 개인을 식별할 수 있는 모든 데이터를 포함하도록 폭넓게 개인정보를 정의하고 있습니다: 주민등록번호, 운전면허증, 주 신분증, 의료 기록, 고용 기록, 금융 정보, 교육 기록, 심지어 정치적 또는 종교적 성향까지.  

법에 따른 핵심 요건에는 법적으로 허용되거나 적절한 기관 기능에 필요한 정보만 수집, 정확성과 적시성을 갖춘 정보 유지, 적절한 보안 조치 및 접근 제어 구현, 개인이 자신의 정보를 검토하고 수정할 수 있는 절차 수립, 배포 관행 문서화 및 정기 접근 권한자 목록 유지, 법적 승인 없이 한 가지 목적으로 수집한 정보가 다른 목적으로 사용되는 것을 방지하는 것 등이 있습니다. 

HB1161 에서 변경된 사항 ? 

HB1161 개인 정보 보호를 강화하고 책임을 강화하기 위해 몇 가지 중요한 사항을 변경했습니다. 가장 눈에 띄는 변화는 다음과 같습니다: 

  1. 개인 정보의 확장된 정의 - 개정된 법률은 이제 다음을 명시적으로 개인정보에 포함시킵니다: USCIS 외국인 등록 번호, 납세자 식별 번호, 출신 국가, 투표 이력, 이민 신분, 얼굴 지문, 눈 망막, 홍채 스캔과 같은 생체 데이터, 실제 또는 디지털 사진, 동영상, 오디오 녹음. 
  2. 개인 정보 판매 금지 (§ 2.2-3800(a)(11))  - 이제 대행사는 어떤 상황에서도 개인 정보를 판매하는 것이 명시적으로 금지됩니다. 
  3. 제한된 배포 -(§ 2.2-3803.11(a)-(f)) - 이 법은 기관이 개인 정보를 공유할 수 있는 시점에 대한 명확한 경계를 설정하여 일반적인 원칙에서 특정 열거된 조건으로 전환합니다.  대행사는 다음 6가지 상황에서만 개인 정보를 배포할 수 있습니다: 
    • 법률 준수 - HIPAA 및 기타 규제 요건을 포함한 주 또는 연방법을 준수하는 데 필요한 범위까지 
    • 프로그램 관리 - 주 또는 연방법에 따라 주 또는 연방 프로그램의 관리를 수행하는 데 필요한 경우 
    • 법적 절차 - 소환장, 법원 명령 또는 행정 절차를 준수하기 위한 경우 
    • 조달 및 교육 계약 - Virginia 공공조달법에 따라 체결된 계약 또는 구조조정 고등교육 재정 및 행정 운영법에 따라 체결된 양해각서 또는 관리 계약에 따른 의무를 이행하는 데 필요한 경우 
    • 개별 동의 - 데이터 주체가 동의한 경우(현재 "데이터 주체의 자유롭고 구체적이며 정보에 입각한 명확한 동의를 의미하는 명확한 긍정 행위")로 정의됩니다.
    • 적절한 대행사 목적 - 기관의 적절한 목적을 달성하는 데 필요한 범위(서비스 간소화, 사기 방지, 연구 수행, 데이터 분석 수행과 같은 특정 활동 포함) 
  4. 개별 승인에 대한 더 엄격한 기준- HB1161 은 법령 전반에 걸쳐 중요한 용어 변경을 통해 "허가" 라는 단어를 "동의" 로 대체하고 공식적인 정의를 수립합니다. 이전 법에 따라 기관은 데이터 주체의 "문서화된 허가를 받아 정보를 배포할 수 있었습니다." 새로운 법에서는 "동의를 요구하며," 동의는 이제 "정보 주체의 자유롭고 구체적이며 정보에 입각한 명확한 동의를 의미하는 명확한 긍정 행위로 정의됩니다." 

이 법은 또한 집행을 강화합니다. 이제 법원은 고의적이고 의도적으로 유포 제한을 위반한 특정 공직자, 임명자 또는 직원에게 민사 처벌을 부과할 수 있습니다. 유포 조항 위반에 대한 개별 벌금은 첫 번째 위반의 경우 $500 ~ $2,500, 두 번째 위반의 경우 $2,500 ~ $10,000 입니다. 이는 기관 차원의 규정 준수를 넘어 개인에게 직접적인 책임을 부여합니다. 

중요한 데이터 공유 예외: Commonwealth Data Trust

섹션 2.2-203.2:4(E) Virginia 법령은 ODGA가 사무국과 정보를 공유하는 행정부 기관의 대리인으로 간주되며, 이 메커니즘을 통해 공유되는 기관 간 데이터는 해당 데이터를 관리하는 법률 또는 행정법에 따른 공개 또는 해제를 구성하지 않는다고 명시하고 있습니다. 

즉, 기관은 HB의 배포 제한을 트리거하지 않고도 기관 간 협업, 분석 및 데이터 기반 의사 결정을 위해 Commonwealth Data Trust 이니셔티브에 계속 참여할 수 있습니다1161.  

이것이 대행사에 미치는 영향 

이러한 변화로 인해 기관은 현재의 데이터 공유 관행과 정책을 신중하게 평가해야 합니다. 이전 해석에 따라 일상적으로 이루어졌던 데이터 공유는 이제 나열된 6가지 범주 중 하나에 해당해야 하며, 기관은 모든 공유의 법적 근거를 문서화할 준비를 해야 합니다. 

주요 운영 고려 사항 

  • 기존 데이터 공유 계약 및 관행 검토 허용된 6가지 배포 범주 중 하나에 부합하는지 확인합니다. 
  • 법적 근거 문서화 모든 배포, 특히 일상적인 공유 준비를 위해 
  • Commonwealth Data Trust 예외에 대한 이해 - ODGA를 통한 공유는 배포로 간주되지 않으며 기관 간 협업을 위한 유용한 도구로 남아 있습니다. 
  • 동의서 및 고지 사항 업데이트 동의의 새로운 정의와 강화된 통지 요건을 반영하기 위해 다음과 같이 변경되었습니다. 
  • 개인정보 보호정책 수정 대행사 웹사이트에 개인 정보 판매 금지 및 제한적 배포 프레임워크를 반영하기 위해 
  • 교육 자료 업데이트 직원이 새로운 제한 사항과 고의적 위반에 따른 개인 책임의 의미를 모두 이해하도록 하기 위해 
  • 법률 고문에게 문의 특히 연방 기관 또는 민간 단체와 새로운 데이터 공유 계약을 체결하기 전에 또는 6가지 범주에 속하지 않는 데이터 요청에 응답할 때 다음과 같은 사항을 고려해야 합니다. 

이 법은 합법적인 정부 목적을 위해 필요한 데이터 공유를 배제하는 것이 아니라, 공유가 정의된 매개변수 내에 적합해야 하며 기관이 6가지 조건 중 어떤 조건이 적용되는지 명확히 설명할 수 있어야 한다고 규정하고 있습니다. "적절한 목적" 범주(조건 6)는 서비스 개선, 사기 방지 및 연구 수행을 위한 기관 간 협업에 유연성을 유지하지만, 기관은 구체적인 공유 계약이 이러한 목적을 달성하는 방법을 문서화해야 합니다. 

질문이 있으신가요? 

저희 사무실은 이러한 변화가 각 기관의 특정 데이터 거버넌스 관행과 정보 시스템에 어떤 영향을 미치는지 이해하는 데 도움을 드릴 수 있습니다. HB1161 의 기관 운영 적용에 관한 질문은 odga@odga.virginia.gov 으로 문의하시기 바랍니다.