텍사스 데이터 개인정보 보호법과 20개 주 규제 현황: 2026년 규제 준수 플레이북

약 11분Mike ThriftMike Thrift
텍사스 데이터 개인정보 보호법과 20개 주 규제 현황: 2026년 규제 준수 플레이북

이 문장을 다 읽을 때쯤, 미국의 어느 소비자가 "내 개인 정보를 판매하거나 공유하지 마십시오"라는 버튼을 클릭했을 것입니다. 귀하의 비즈니스가 웹사이트를 운영하거나, 광고를 집행하거나, 고객의 이메일 주소를 저장하고 있다면, 그 단 한 번의 클릭만으로도 현재 전국적으로 시행 중인 20개 이상의 포괄적인 주 프라이버시 법 중 하나 이상의 의무를 지게 될 수 있습니다. 그리고 대부분의 소규모 사업체 소유자들은 이 사실을 전혀 모르고 있습니다.

텍사스 데이터 프라이버시 및 보안법(TDPSA)은 2024년 7월 1일에 발효되었으며, 이로써 텍사스는 포괄적인 프라이버시 법을 채택한 가장 인구가 많은 주가 되었습니다. 하지만 TDPSA만이 전부는 아닙니다. 2026년 현재 20개 주에서 포괄적인 소비자 프라이버시 법이 시행 중이며, 12개 주는 글로벌 프라이버시 컨트롤(GPC)과 같은 유니버설 옵트아웃(Universal Opt-out) 신호 인식을 요구하고 있습니다. 또한 인디애나, 켄터키, 로드아일랜드 등 3개의 새로운 법률이 2026년 1월 1일부터 발효되었습니다. 초기 주 법률들에 적용되었던 시정 기간(Cure periods)이 2026년 내내 종료됨에 따라 법 집행은 더욱 강화될 전망입니다.

이 가이드는 불필요하게 비싼 프라이버시 프로그램을 구입하지 않고도, 2026년에 규제 당국의 감시를 피하기 위해 실제로 해야 할 일들을 설명합니다.

텍사스 법이 생각보다 중요한 이유

텍사스 프라이버시 법에는 다른 주의 법률과는 다른 한 가지 독특한 점이 있습니다. 바로 매출 규모나 보유 기록 수에 상관하지 않는다는 것입니다. 이 법은 오직 귀하가 미국 중소기업청(SBA)의 소기업 정의(일반적으로 직원 수 500명 미만이며 산업별 매출 상한선 이하)에 해당하는지만을 따집니다.

대부분의 주 프라이버시 법(캘리포니아 CCPA, 버지니아 VCDPA, 콜로라도 CPA, 커네티컷 CTDPA)은 적용 대상을 수치적 기준과 연결합니다: 소비자 10만 명 이상, 또는 매출의 절반 이상이 개인 정보 판매에서 발생하는 경우 소비자 2만 5천 명 이상, 또는 연간 총매출 2,500만 달러 초과 등이 그것입니다. 하지만 TDPSA는 이러한 임계값을 완전히 배제합니다.

이로 인해 기묘한 역전 현상이 발생합니다. 직원 600명에 적당한 매출을 올리는 텍사스 기반의 중견 SaaS 기업은 TDPSA의 전면적인 적용을 받는 반면, 직원 30명의 고매출 캘리포니아 스타트업은 SBA 기준에 따라 면제될 수 있지만 CCPA의 매출 테스트에 따라 적용 대상이 될 수 있습니다. 두 주 모두에서 사업을 한다면 유리한 법을 선택할 수 없으며, 요청을 하는 소비자가 거주하는 주의 법률을 준수해야 합니다.

면제인 듯 면제 아닌 TDPSA 민감 데이터 예외 조항

여기 함정이 있습니다. 귀하의 비즈니스가 SBA 규모 기준에 따라 소기업으로 분류되어 TDPSA의 면제 대상이 되더라도, 민감한 개인 정보를 판매하기 전에는 반드시 소비자의 동의를 얻어야 합니다. 따라서 "면제"가 "마음대로 해도 된다"는 뜻은 아닙니다. 건강 관심사, 종교적 소속, 정확한 지리적 위치 또는 생체 식별 정보와 연결된 이메일 주소를 판매하는 경우, 규모와 관계없이 사전 동의(Opt-in)가 필요합니다.

20개 주 규제 준수 지도

2026년까지 포괄적인 프라이버시 법이 시행 중이거나 시행 예정인 주는 다음과 같습니다: 캘리포니아, 버지니아, 콜로라도, 커네티컷, 유타, 아이오와, 인디애나, 테네시, 몬태나, 오리건, 텍사스, 델라웨어, 뉴햄프셔, 뉴저지, 켄터키, 미네소타, 메릴랜드, 로드아일랜드, 네브래스카 및 메릴랜드(온라인 데이터 프라이버시법).

이 법들 중 대부분은 "버지니아 모델" 구조를 따릅니다: 접근, 수정, 삭제, 전송 및 거부권(Opt-out) 권리와 함께 고지, 데이터 최소화 및 처리 제한에 관한 컨트롤러(Controller)의 의무가 포함됩니다. 캘리포니아는 CCPA/CPRA의 광범위한 직원 및 B2B 적용 범위와 독특한 사이버 보안 감사 및 자동화된 의사 결정 규제로 인해 독자적인 위치를 차지하고 있습니다.

실질적인 해결책: 각 주를 개별적으로 맞추기보다 가장 엄격한 공통 분모를 기준으로 시스템을 구축하십시오. 캘리포니아, 콜로라도, 텍사스의 요구 사항에 맞춰 조정된 프라이버시 프로그램은 나머지 17개 주의 의무사항을 모두 포괄할 것입니다.

45일 이내에 보장해야 할 소비자 권리

거의 모든 주 법률에서 소비자들은 다음과 같은 핵심 권리를 가집니다:

  • 접근(Access) — 귀하가 본인에 대해 어떤 개인 데이터를 보유하고 있는지 요청할 수 있습니다.
  • 수정(Correction) — 부정확한 데이터의 수정을 요구할 수 있습니다.
  • 삭제(Deletion) — 데이터 삭제를 요구할 수 있습니다 (법적 보유, 사기 방지, 내부 사용 등의 예외 제외).
  • 전송(Portability) — 기계 판독이 가능한 사본을 요구할 수 있습니다.
  • 판매, 타겟 광고 및 프로파일링 거부(Opt-out) — 대부분의 주에서 세 가지 별도의 거부권이 묶여 있습니다.

대부분의 법률은 합리적으로 필요한 경우 45일 연장이 가능하며, 기본적으로 45일 이내에 응답할 것을 요구합니다. 캘리포니아의 CCPA와 텍사스 법 모두 45일(추가 45일 연장 가능) 기준을 따릅니다. 귀하는 요청을 접수하고, 확인하고, 이행하고, 기록하는 인증된 요청 워크플로우가 필요하며, 이는 단 한 명의 담당자가 이메일 수신함을 관리하는 수준을 넘어 확장 가능해야 합니다.

실제로 "인증됨"이 의미하는 바

단순히 요청을 액면 그대로 받아들여서는 안 됩니다. 누군가 이메일로 "내 데이터를 모두 삭제해 주세요"라고 요청한다면, 해당 인물이 실제로 정보주체인지 확인해야 합니다. 일반적인 신원 확인 방법은 다음과 같습니다:

  • 계정 로그인을 통한 요청 확인.
  • 제출된 정보를 기록된 데이터와 대조.
  • 일회용 코드가 포함된 확인 이메일 발송.
  • 고위험 요청의 경우 공증된 진술서 요구 (데이터 손실이 치명적일 수 있는 경우에 한하며 드문 사례임).

인증에 실패하면 두 가지 리스크가 발생합니다. 사칭자에게 데이터를 삭제해 주거나(삭제 공격), 잘못된 사람에게 개인정보를 공개하는 것(기밀성 침해)입니다. 둘 다 위반 사항입니다.

글로벌 프라이버시 제어: 수십 개의 법률을 작동시키는 단일 브라우저 신호

2026년 가장 중요한 기술적 준수 변경 사항은 글로벌 프라이버시 제어(GPC)입니다. 이는 사용자가 방문하는 모든 웹사이트에 자동으로 "본인은 개인정보의 판매 또는 공유를 거부(옵트아웃)합니다"라고 알리는 브라우저 수준의 신호입니다.

2026년 1월 1일까지 캘리포니아, 콜로라도, 커네티컷, 몬태나, 네브래스카, 뉴햄프셔, 뉴저지, 미네소타, 메릴랜드, 델라웨어, 오리건, 텍사스 등 12개 주에서 기업이 GPC를 유효한 옵트아웃 요청으로 수용할 것을 요구합니다. 일부 주는 GPC를 명시적으로 언급했으며, 다른 주들은 단순히 "범용 옵트아웃 메커니즘"의 인정을 요구하는데 GPC가 그 지배적인 구현 방식입니다.

기술적 의미: 웹사이트는 모든 요청에서 Sec-GPC HTTP 헤더(또는 이와 동등한 navigator API)를 읽어야 하며, 해당 신호가 감지되면 사용자에게 묻지 않고 데이터 판매, 교차 맥락 행동 광고 및 공유를 중단해야 합니다. 쿠키 배너도, 추가 클릭도 필요 없습니다. 그저 중단하십시오.

캘리포니아는 2026년 표시 요구 사항을 추가했습니다. 기업은 소비자의 옵트아웃 선호 신호가 처리되었는지 여부를 가시적으로 표시해야 합니다. 페이지에 "옵트아웃 요청 준수됨(Opt-Out Request Honored)" 표시를 하는 것이 새로운 표준으로 자리 잡고 있습니다. 이를 누락하면 규제 기관(또는 연쇄 고소인)은 귀하가 옵트아웃 수락 통지를 제공하지 않았다고 주장할 수 있습니다.

애드테크 파이프라인의 함정

대부분의 기업이 여기서 실패합니다. 페이지 수준에서 GPC를 준수하는 것은 쉽습니다. 하지만 Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag 등 모든 하위 애드테크 스택 전체에서 이를 준수하는 것은 어렵습니다. 각 벤더는 GPC 감지 시 설정해야 하는 고유한 옵트아웃 플래그, 신호 또는 픽셀 매개변수를 가지고 있습니다. 하나라도 놓치면 주법을 위반하여 해당 벤더와 계속 데이터를 공유하게 됩니다.

태그 관리자를 감사하십시오. 사이트에서 실행되는 모든 벤더에 대해 GPC를 어떻게 준수하는지 문서화하십시오. 마케팅 문구만 믿지 말고 GPC가 활성화된 브라우저와 네트워크 스니퍼를 사용하여 직접 테스트하십시오.

민감 정보: 옵트인 동의 필요

거의 모든 주법에서 민감한 개인정보를 처리하려면 명시적인 옵트인 동의가 필요합니다. 민감 정보에는 일반적으로 다음이 포함됩니다:

  • 사회보장번호, 운전면허 번호, 여권 번호, 금융 계좌 자격 증명.
  • 개인 식별에 사용되는 생체 인식 데이터.
  • HIPAA의 적용을 받지 않는 건강 및 의료 정보.
  • 정밀 지리 위치 정보 (대개 1,750피트 또는 유사한 반경 이내로 정의됨).
  • 인종 또는 민족적 출신.
  • 종교적 신념.
  • 성적 지향, 성 정체성.
  • 시민권 또는 이민 상태.
  • 아동의 개인 데이터 (13세 미만, 때로는 16세 미만).

동의는 자유로운 의사에 따라 구체적이고 정보에 근거하며 명확해야 합니다. 미리 체크된 상자는 인정되지 않습니다. 일반 서비스 약관 수락 내에 동의를 묶어두는 것도 인정되지 않습니다. 숨겨진 고지도 인정되지 않습니다. 민감 정보를 처리하는 경우, 명확한 문구와 함께 동의가 획득된 방법, 시기, 장소에 대한 기록을 포함한 전용 동의 절차가 필요합니다.

데이터 처리 합의서: 벤더 계약은 이제 규정 준수 필수 사항입니다

모든 주의 프라이버시 법률은 제3자 벤더("수탁자" 또는 "서비스 제공자"라고 함)와 개인정보를 공유하는 기업이 해당 데이터를 규율하는 서면 계약인 데이터 처리 합의서(DPA)를 체결할 것을 요구합니다.

2026년에 준수해야 할 DPA의 요건은 다음과 같습니다:

  1. 처리의 성격, 목적 및 기간 명시.
  2. 관련된 데이터 유형 및 소비자 범주 식별.
  3. 수탁자에게 비밀 유지 의무 부과.
  4. 수탁자가 소비자의 권리 요청을 지원하도록 요구.
  5. 계약 종료 시 수탁자가 데이터를 삭제하거나 반환하도록 요구.
  6. 감사 허용 및 하위 수탁자에 대한 의무 승계 요구.
  7. 역외 전송 제한 및 보안 의무 부과.

Stripe, HubSpot, Mailchimp, Intercom, Slack, AWS, Google Workspace와 같은 SaaS 도구를 사용하는 경우, 이들 모두와 체결된 DPA를 보관해야 합니다. 대부분의 주요 벤더는 클릭 방식의 DPA를 제공합니다. 문제는 틈새 도구, 프리랜서, 계약업체 및 아무도 "벤더"라고 생각하지 못한 일회성 통합 서비스에서 발생합니다.

데이터 보호 영향 평가: 리스크를 문서화해야 하는 경우

대부분의 주법은 높은 리스크를 수반하는 처리 활동에 대해 데이터 보호 영향 평가(DPA — 혼란스럽게도 데이터 처리 합의서와 약어가 같습니다)를 요구합니다. 평가 대상 활동은 다음과 같습니다:

  • 타겟 광고를 위한 처리.
  • 개인정보 판매.
  • 법적 또는 그와 유사하게 중대한 영향을 미치는 프로파일링.
  • 민감 정보 처리.
  • 피해 리스크가 높은 모든 처리 활동.

텍사스, 버지니아, 콜로라도, 커네티컷 등 여러 주에서 이를 요구합니다. 평가는 개인정보 처리자(Controller), 소비자, 공중 및 수탁자(Processor)에 대한 이익을 소비자에 대한 리스크와 비교 형량해야 하며, 경감 조치를 문서화해야 합니다. 이를 파일로 보관하십시오. 규제 기관은 조사 중에 이를 소환할 수 있습니다.

시정 기간의 절벽: 2026년이 다른 이유

초기 주 프라이버시법에는 "시정권(right to cure)" 조항이 포함되어 있었습니다. 이는 규제 기관이 위반 통지를 발행한 후 30일 또는 60일의 유예 기간을 두어, 기업이 처벌을 받기 전에 문제를 해결할 수 있도록 한 것입니다. 이는 일종의 보조 바퀴 역할을 하도록 설계되었습니다.

2026년에는 그 보조 바퀴가 제거됩니다. 코네티컷, 델라웨어, 켄터키, 미네소타, 몬태나주에서는 2026년 내내 시정 기간이 일몰(종료)됩니다. 로드아일랜드의 새로운 법안에는 처음부터 시정 기간이 없었습니다. 캘리포니아의 시정 기간은 이미 수년 전에 만료되었습니다.

텍사스는 일몰 조항 없이 30일의 시정 기간을 유지했는데, 이는 매우 이례적으로 관대합니다. 하지만 30일의 창구가 닫힌 후의 벌금은 위반 건당 최대 7,500달러에 달합니다. 소비자 프라이버시 청구에서 "위반 건당"은 흔히 영향을 받은 소비자당을 의미합니다. 이를 귀사의 고객 데이터베이스 수와 곱해보면 수치가 순식간에 끔찍해집니다.

프라이버시 준수를 장부와 연결하기

프라이버시 준수는 대부분의 운영자가 인식하는 것보다 더 많이 재무에 영향을 미칩니다. 특히 세 가지 영역이 중요합니다:

벤더 비용 배분. 프라이버시 준수 벤더(동의 관리 플랫폼, DSAR 이행 도구, 신원 확인 서비스, 프라이버시 법률 고문 보수)는 별도로 추적해야 하는 영업 비용입니다. 이를 통해 이사회에 컴플라이언스 비용을 보고하고, 어떤 법률을 과잉 준수할지 또는 어디에서 위험을 감수할지에 대한 ROI(투자 수익률) 결정을 내릴 수 있습니다.

유출 대비 충당금. 대부분의 주법은 유출 가능성에 대비해 자금을 별도로 예치하도록 명시적으로 요구하지 않지만, 민감한 데이터를 대규모로 처리하는 경우 우발 부채 충당금을 쌓는 것이 건전한 관리 방법입니다. 작은 유출이라도 통지 비용, 신용 모니터링 제공, 포렌식 조사 수수료가 발생하며 이는 수십만 달러에 달할 수 있습니다.

보험 서류화. 사이버 책임 보험사는 갱신 시 서면 정책, DPA 인벤토리, GPC 구현 테스트, DSAR 응답 로그와 같은 프라이버시 프로그램 문서화를 점점 더 많이 요구하고 있습니다. 깨끗한 기록을 유지하는 것은 보험료 결정에 큰 영향을 미칠 수 있습니다.

프라이버시 준수 비용, 벤더 비용, 사고 대응 충당금을 분리한 명확한 계정 과목표를 바탕으로 한 정확한 부기는 연례 예산 검토, 이사회 보고 및 보험 갱신 과정을 훨씬 덜 고통스럽게 만듭니다.

2026년 실무형 컴플라이언스 스택

0부터 시작하는 경우, 2026년 미국 중소기업을 위한 최소 실현 가능한 프라이버시 프로그램은 다음과 같습니다:

  1. 적용 법률 파악. 고객 기반, 직원 수, 매출을 각 주의 적용 기준과 매칭하십시오.
  2. 단일 통합 프라이버시 고지 게시가 가장 엄격한 적용 법률을 충족해야 합니다. 민감한 데이터 공시, 판매/공유 공시, 처리 목적, 보유 기간, 소비자 권리 및 연락 채널을 포함하십시오.
  3. DSAR 워크플로 구축. 45일 이내에 요청을 접수, 인증, 이행 및 기록하는 도구(또는 규모가 작은 경우 구조화된 이메일 및 스프레드시트 프로세스)를 선택하십시오.
  4. GPC 적용. 페이지 수준에서 신호를 읽으십시오. 설정된 경우 판매 및 타겟 광고 벤더를 차단하십시오. 캘리포니아 트래픽이 있는 경우 옵트아웃 적용 지표를 표시하십시오.
  5. 모든 벤더와 DPA 체결. 모든 벤더를 파악하십시오. 데이터 처리 합의서(DPA)에 서명하십시오. 찾기 쉬운 곳에 보관하십시오.
  6. 고위험 처리에 대한 DPIA 실시. 각각을 문서화하고 파일로 보관하십시오.
  7. 민감 데이터 동의 플로우 구축 및 명시적인 동의와 기록된 증거를 확보하십시오.
  8. 보안 프로그램 문서화. 대부분의 주법은 "합리적인" 보안을 요구합니다. 합리적인 보안이란 서면 정책, 액세스 제어, 전송 중 및 보관 시 암호화, 취약점 관리, 사고 대응 절차를 의미합니다.

중소기업이 저지르는 흔한 실수

  • SBA 중소기업 면제가 TDPSA에서 완전히 벗어나게 해준다고 가정하는 것. 그렇지 않습니다. 민감한 데이터 처리는 여전히 동의가 필요합니다.
  • 쿠키 배너를 프라이버시 프로그램으로 취급하는 것. 배너는 하나의 전술일 뿐입니다. DSAR 프로세스, DPA 또는 GPC 준수를 대신할 수 없습니다.
  • 벤더 연쇄 의무(flow-down)를 무시하는 것. 벤더와의 DPA에는 해당 벤더가 하위 처리업체에게도 의무를 연쇄적으로 부여하도록 요구하는 내용이 포함되어야 합니다. 대부분의 표준 DPA는 이를 다루지만, 서명하기 전에 읽어보십시오.
  • 옵트아웃을 마케팅 의사결정으로 취급하는 것. 옵트아웃 준수는 법적 요구 사항이지 선택 사항이 아닙니다. 리타겟팅 성과에 타격이 있더라도 데이터 흐름을 차단하십시오.
  • 조치를 취하기 전에 시정 기간이 만료되도록 방치하는 것. 위반 통지를 받으면 정해진 기간이 있습니다. 즉시 움직이고, 시정 조치를 문서화하며, 규제 기관으로부터 서면 확인을 받으십시오.

첫날부터 컴플라이언스 기록을 깨끗하게 유지하십시오

여러 주에 걸친 복잡한 프라이버시 준수 프로그램을 구축함에 따라, 추적, 분류 및 보고가 필요한 벤더 인보이스, 컨설턴트 고문료, 보험료 및 사고 대응 비용이 누적될 것입니다. Beancount.io는 재무 데이터에 대한 완전한 투명성과 버전 관리를 제공하는 플레인 텍스트 회계를 제공하여, 연례 이사회 보고, 보험 갱신 및 컴플라이언스 비용 분석을 블랙박스 원장과 씨름하는 것보다 훨씬 쉽게 만들어 줍니다. 무료로 시작하여 개발자, 재무 전문가, 프라이버시 의식이 높은 운영자들이 왜 비즈니스 장부 관리에 플레인 텍스트 회계를 신뢰하는지 확인해 보십시오.