미국 Student Data Privacy Agreement NDPA

미국의 교육기관과 계약을 하실 때 Student Data Privacy Agreement를 받으시고 서명을 요구받으시는 경우가 있습니다. 

 

이 글에서는 Student Data Privacy Agreement의 모델 계약서인 "National Data Privacy Agreement"에 대해 말씀드리겠습니다.  

장건 변호사(한국/미국)

BNL Law

연락처: official@bnl.legal

 

Student Data Privacy Agreement

미국에는 학생들의 교육권과 개인정보를 보호하기 위한 연방 및 주법이 존재하는데(FERPA, COPPA 등), 학생들의 정보를 다루는 학교, 교육청 등 교육기관(Local Education Agency, "LEA")은 이러한 의무를 준수하여야 할 뿐 아니라, 제3의 서비스 제공자들(Provider)과 계약을 맺을 때  복잡한 법령을 잘 준수할 수 있도록 하게 해야 합니다. 

 

이에 학생들의 정보를 보관하고 있는 LEA는 Provider가 데이터 보호의무를 준수할 수 있도록 하여야 할 필요가 있는데, Student Data Privacy Agreement가 그 정보보호약정입니다. 

 

NDPA(National Data Privacy Agreement)

각 LEA들이 복잡한 법령들을 고려한 Data Privacy Agreement를 직접 만들어 서비스 제공자들과 계약을 하기가 현실적으로 어렵다 보니, SDPC에서 모델 계약서를 제작함으로써 교육기관 실무자들이 편하게 계약을 할 수 있도록 한 것이 NDPA입니다.

 

  * SDPC(Student Data Privacy Consortium): SDPC는 미국의 학교, 교육청, 정부기관 등의 협업기구이며, 교육에 종사하는 실무자들이 손쉽게 이용할 수 있는 정보를 제공하고자 하는 목적을 가지고 있습니다.

 

대부분의 LEA가 독립적인 DPA 없이 NDPA를 사용하고 있고 아래에서 보는 대로 NDPA 내용에 대한 수정이 거의 불가능하기 때문에, Provider 입장에서는 NDPA를 그대로 체결하여야 하는 경우가 많습니다. 

 

따라서 Provider로서는 NDPA의 내용을 잘 인지하고 준수하는 것이 현실적인 대응입니다.

 

NDPA는 수정해서 사용이 가능한가

NDPA는 원칙적으로 수정이 불가능합니다.

 

정확히 말씀드리면 NDPA를 임의로 수정하여 사용할 경우 "NDPA"를 표시하여 계약을 체결할 수 없습니다. 

 

NDPA의 명칭을 사용하면서 NDPA를 수정할 수 있는 예외는 두 가지(Exhibit G, Exhibit H) 밖에 없는데, 아래에서 설명드리겠습니다. 

 

SUPPLEMENTAL STATE SPECIFIC REQUIREMENT (Exhibit G)

Exhibit G는 State Alliance 차원에서 State의 특수한 법령이나 규제를 반영하여 제작한 예외입니다. 

 

Exhibit G는 계약당사자인 개별 주체가 수정할 수 없으며, State Alliance에 의해 작성되고 SDPC Resource Registry에 등록되어야 유효합니다. 

 

VENDOR SPECIFIC AND DISTRICT MODIFIED (Exhibit H)

NDPA는 계약의 당사자나 LEA는 Exhibit H를 통해 Standard Clause의 수정하여 사용할 수 있지만, "Vendor Specific" or "District Modified" NDPA라고 명칭을 붙여야 합니다. 

 

그리고 그렇게 변경된 NDPA는 Registry에 등록되어야 합니다. 

 

Exhibit G와 Exhibit H 외에 추가로 정보를 기입하거나 선택할 수 있는 내용을 각 Exhibit이 담고 있는데 이에 대해 설명드리겠습니다. 

 

DESCRIPTION OF SERVICES (Exhibit A)

LEA로부터 제공 받은 Student Data는 Exhibit A에 기재된 목적을 위해서만 사용 가능하므로, 정확히 기재하여야 합니다. 

 

SCHEDULE OF DATA (Exhibit B)

LEA가 Service Provider에 제공하여야 할 Student Data를 Exhibit B에 체크하여야 합니다. 

 

DEFINITIONS (Exhibit C)

계약에 사용되는 용어에 대한 정의로, 양 당사자가 따로 수정할 내용은 없습니다. 

 

DIRECTIVE FOR DISPOSITION OF DATA (Exhibit D)

양 당사자가 Exhibit D에 서명하면, 계약의 종료 이후 Provider가 Data를 처분하는 방법을 미리 정할 수 있습니다. 

 

그렇게 되면 LEA 등 교육기관이 따로 Data 처분에 대한 요구나 통지를 하지 않더라도 자동적으로 그에 따라 Data를 처분해야 합니다. 

 

GENERAL OFFER OF PRIVACY TERMS  (Exhibit E)

NDPA의 직접 계약 당사자 외에 해당 지역에 있는 다른 주체들과의 관계에서도 NDPA의 효력이 미치게 하는 합의입니다. 

 

예를 들어, Service Provider가 A학교와 NDPA를 맺은 경우, 같은 District에 있는 B학교가 Exhibit E에 서명하여 Service Provider에게 Notice of Acceptance를 송부하면 B학교는 별도의 NDPA를 맺지 않고도 NDPA에 의해 보호를 받을 수 있습니다. 

 

따라서 Service Provider가 NDPA Exhibit E에 서명한다는 의미는 같은 지역에 있는 주체들에게도 NDPA의 효력이 미치게 하도록 동의한다는 의미입니다. 

 

DATA SECURITY REQUIREMENTS (Exhibit F)

Data Security에 관해서는 Exhibit F에 기재된 기준을 충족시키는 Cybersecurity Framework가 마련되어 있어야 합니다. 

 

만일 여기에 기재된 특정 기준에 대해 예외를 인정받으려면 Exhibit H로 예외를 합의하여야 합니다. 

 
긴글 읽어주셔서 감사합니다.

도움이 되셨기를 바랍니다.

 
장건 변호사 올림
 
연락처: official@bnl.legal

관련글: https://kunchang.tistory.com/59

미국 Privacy Policy 체크리스트 (캘리포니아주)