CCPA, 미국 캘리포니아 소비자 프라이버시 보호법(California Consumer Privacy Act)
2020년 7월 1일부터 시행된 미국 캘리포니아 주민들을 보호대상으로 하여 적용되는 주법
…
미국 전체국민을 대상으로 적용되는 연방법이 아닌 주법이지만,
캘리포니아는 현재 미국에서 인구가 가장 많은 주로, 미국 인구의 10% 이상을 차지고 있고
글로벌 IT 기업이 다수 있는 실리콘밸리가 위치한 주이기 때문에 그 의미와 영향력이 다르다.
지역적으로 캘리포니아에 위치하여 사업을 하는게 아니더라도,
캘리포니아 주민의 개인정보를 처리하는 경우 CCPA가 적용될 수 있으므로 미국에 진출하여
사업하는 기업의 경우 이 법률의 적용 여부를 검토하고, 대응이 필요함
CCPA는 캘리포니아에서 사업을 영위하고, 소비자의 개인정보를 수집, 처리하는 일정규모 이상의 영리 사업자에게 적용된다.
캘리포니아 주민의 개인정보를 수집, 판매 등 처리하는 경우
공동브랜드를 공유하는 모회사 or 자회사가 캘리포니아 주민의 개인정보를 처리하는 경우
‘소비자’
- 캘리포니아 주민인 자연인으로서, 고유식별자에 의해서 식별되는 자
- 물건을 구매하는 사람 뿐만 아니라 ‘자연인’에 해당하는 모든 근로자, 협력업체 또는 공급업체 임직원, 개인사업자 등도 ‘소비자’에 포함
- 캘리포니아에 거주하고 있을 뿐만 아니라 캘리포니아 밖에 있지만, 캘리포니아에 주소를 두고 있는 모든 개인도 포함
‘개인정보’
- 직, 간접적으로 특정 소비자 또는 가계(a household)를 식별 또는 설명하거나, 특정 소비자 또는 가계와 관련되어 있거나, 연관될 수 있거나, 합리적으로 연결될 수 있는 정보
- 자연인 뿐만 아니라 ‘가계’에 관한 정보도 포함
- 기기식별자, 행태정보, 추론정보, 추정식별자 등 까지도 포함
> 개인정보의 범위가 비교적 넓게 정의됨
비식별정보 / 총계정보 / 공개적으로 사용 가능한 정보
일정규모 이상의 영리 사업자
‘사업자’
- 캘리포니아에서 영리를 목적으로 사업을 경영하는 자로서
- 주민의 개인정보를 직접 또는 타인을 통해 수집하고
- 단독 또는 다른 사업자와 공동으로 개인정보 처리의 목적과 방법을 결정하는
- 개인회사, 조합, 유한회사, 법인, 협회 그 밖의 법률 주체
>> 비영리단체, 법인, 주 또는 지방정부는 사업자에 해당되지 않음
다음 조건을 충족한 사업자에게만 적용됨(스타트업 등 소규모 사업자 보호 목적)
1. 연간 총 매출 2천 5백만 달러를 초과하는 사업자
2. 연 50,000건 이상의 캘리포니아 소비자, 가계 또는 기기정보를 구매하거나, 사업자의 상업적 목적으로 수령하거나, 판매하는 사업자
3. 연간 총 매출의 50% 이상을 캘리포니아 주민의 개인정보 판매에서 얻는 사업자
개인정보 처리 발생 시 소비자는 이에 대해 ‘고지 받을 권리’가 있음
사업자는 개인정보 처리 관련 내용을 Privacy Policy를 통해 알려야 하고,
12개월마다 최소 1회 이상 의무적으로 업데이트해야 함
1) 12개월 내 발생한 개인정보 수집에 대한 사항
- 국내 개인정보처리방침과 달리 구체적 개인정보 항목이 아닌 개인정보 ‘카테고리’를 기재해야 함
- 총 11가지의 개인정보 카테고리가 지정되어 있음
2) 12개월 내 발생한 개인정보 공개/제공에 대한 사항
- 사업적인 목적의 개인정보 공개/제공은 판매 행위와 구분되며, CCPA는 7가지카테고리의 활동을 ‘사업적인 목적’으로 정의함
3) 12개월 내 발생한 개인정보 판매에 대한 사항
- 판매된 개인정보의 카테고리 및 해당 정보가 판매된 제3자의 카테고리/ 판매거부권 행사방법 공개해야 함
- 판매가 발생하지 않은 경우 해당 사실을 명시해야 함
4) CCPA에 명시된 소비자 권리의 종류와 구체적 행사 방법
- 알권리/삭제권/차별취급 금지권/개인정보 판매 거부권의 내용과 행사 방법을 공개해야 함
- 개인정보 판매 거부권의 경우 해당 권리를 행사할 수 있는 ‘링크’를 공개해야 함
소비자는 사업자가 수집한 개인정보의 카테고리와 사업자가 수집한 구체적인 개인정보에 대한 열람을 요구할 수 있다.
소비자는 사업자에게 자신에 관한 모든 형태의 개인정보 삭제를 요청할 수 있으며, 소비자의 삭제 요청 시 사업자는 소비자로부터 수집한 개인정보를 삭제해야 한다.
삭제요청 시 사업자는 영구적 삭제/비식별화/총계처리 의 방법으로 처리할 수 있음
소비자는 자신의 개인정보를 제3자에게 판매하는 사업자에대해서 개인정보를 판매하지 말 것을 지시할 권리인 개인정보 판매 거부권을 갖는다.
소비자가 판매 거부권을 행사한 경우 사업자는 판매 행위를 중단하고 최소 12개월동안 소비자에게 판매 허락 요청을 할 수 없다.
판매 거부 요청은 ‘Do not sell my personal information’이라는 명확한 링크를 통해 소비자가 해당 권리를 쉽게 요청할 수 있도록 구현되어 있어야 함
> 링크는 사업자 홈페이지에 명확하고 눈에 잘 띄는 방식으로 제공해야 함(텍스트 크기, 타입, 글꼴 색깔 표시 등으로) / 또는 모바일앱의 경우 소비자가 확인할 수 있는 위치에 링크 제공
제3자 데이터 공유 행위 중 ‘금전적 또는 다른 가치 있는 대가’를 위한 것만 판매에 해당한다고 해석
> 사업적 목적으로 Service Provider에게 개인정보 제공, 소비자가 사업자에게 의도적으로 개인정보 공개를 지시 or 제3자와 의도적으로 교류하기 위해 사업자를 이용하는 경우 판매 예외에 해당
이미지 자료 출처 : 네이버 CCPA 가이드라인
열람권, 판매거부권, 삭제권 등 소비자가 권리를 행사한 경우에도 사업자로부터 동등한 품질과 가격으로 재화 또는 서비스를 제공받을 권리를 의미함
다른 권리와는 다르게 수동적인 소비자 권리로, 사업자는 Privacy Policy에 해당 권리에 대한 내용을 설명하고 지켜야 하며, 소비자의 권리 행사 절차를 별도로 마련하지는 않아도 된다.
(+)
* 권리 행사 방법 중 ‘전화’를 통한 요청 방법은 필수로 제공해야 하며, 권리 행사를 위한 전화는 무료로 제공되어야 한다.
* 단, 예외적으로 온라인 서비스만 운영하는 사업자의 경우 권리를 요청하는 이메일만 제공할 수 있다.
소비자는 법정 손해 배상을 청구할 수 있으며, 손해 배상액은 사건(또는 소비자)당 100~750달러의 법정 손해 배상액 중 높은 금액으로 청구 가능
캘리포니아 법무장관은 위반 건 당 최대 2,500 달러의 민사 벌칙금을 부과할 수 있고, 고의적인 법 위반에 대해서는 건당 최고 7,500달러의 민사 벌칙금이 부과될 수 있다.
이는 GDPR에서는 글로벌 매출액의 최대 4%이내에서 과징금을 부과하고 있는 것과 차이가 있으나,
CCPA에서는 그 산정 기준이 소비자 1명당이기 때문에 이 또한 기업 입장에서 상당한 부담이 될 수 있음
만 13세 미만 아동의 개인정보 처리에 대해서는 아동 온라인 개인정보보호법(COPPA)이 우선 적용된다.
아동의 개인정보 처리 시 부모 또는 대리인으로부터 동의를 받아야함
출처
: 네이버 CCPA 가이드라인
: https://m.lawtimes.co.kr/Content/Opinion?serial=158664