2023년 1월 1일 새로이 발효된 ‘캘리포니아개인정보권리보호법(California Privacy Rights Act, 이하 CPRA)’에 많은 관심이 집중되고 있다. 또한 그 근간이 되는 기존의 ‘캘리포니아소비자개인정보보호법(California Consumer Privacy Act, 이하 CCPA)’ 역시 다시 한번 회자되고 있다.
<캘리포니아주 주기(State flag)>
[자료: California Department of Parks and Recreation 웹사이트(https://www.parks.ca.gov/?page_id=24644)]
캘리포니아개인정보권리보호법(CPRA) vs. 캘리포니아소비자개인정보보호법(CCPA)
캘리포니아는 2020년 1월 미국 최초의 포괄적인 개인정보 보호법인 ‘캘리포니아소비자개인정보보호법(CCPA)’을 발효했고, 본 법은 개인정보 수집 및 판매와 관련해 일련의 소비자 개인정보 보호 권리 및 기업의 의무를 생성시킨 바 있다. 2023년 발효된 새로운 캘리포니아개인정보권리보호법(CPRA)은 기존 캘리포니아소비자개인정보보호법(CCPA)을 대체하는 것은 아니며, 기존 개인정보보호법을 수정 및 확장 적용하는 개정안이라 볼 수 있다. 개정된 캘리포니아개인정보권리보호법(CPRA)은 여전히 기존 캘리포니아소비자개인정보보호법(CCPA)에 기반을 둔다.
다른 주들도 이러한 캘리포니아의 개인정보 보호 동향을 따르고 있는 추세이다. 버지니아주에서도 소비자데이터보호법이 새해 첫날부터 시행됐고, 콜로라도주 및 코네티컷주의 새로운 개인정보보호법은 2023년 7월 1일에 시행되며, 유타주의 소비자개인정보보호법은 2023년 12월 31일에 시행될 예정이다.
본 캘리포니아소비자개인정보법 관련 정보는 1편과 2편으로 나누어, 1편에서는 소비자개인정보법에 기반이 되는 캘리포니아소비자개인정보보호법(CCPA)을 알아보고, 2편에서는 새로이 발효된 캘리포니아개인정보권리보호법(CPRA)에는 어떤 것이 추가됐는지를 살펴보며 앞으로 시행될 미국 내 여러 주의 개인정보법에 대해서도 간략히 알아보도록 하겠다.
기존 캘리포니아소비자개인정보보호법(CCPA)의 주요 사항
CCPA는 2018년 6월 법으로 제정돼 2020년 1월 1일에 발효됐다. 본 법은 캘리포니아 소비자에게 다양한 개인정보 보호의 권리를 제공하며, CCPA로 규제되는 기업에는 해당 고객의 정보를 지키기 위한 여러 가지 의무가 주어지게 된다. CCPA가 보호하는 범위 및 권리와 CCPA의 규제를 받는 기업은 다음과 같다.
• 캘리포니아소비자개인정보보호법(CCPA)에서의 소비자와 개인정보의 정의
(1) CCPA가 보호하는 소비자(Consumer)의 범위
소비자는 캘리포니아에 거주*하는 자연인에게 해당한다.
주*: ‘거주’에는 1) 일시적인 목적 이외의 목적으로 캘리포니아에 거주하는 모든 개인과 2) 일시적인 이유로 캘리포니아 밖에 있지만, 주소를 캘리포니아에 두고 있는 모든 개인이 포함됨
(2) CCPA에서의 개인정보
본 소비자개인정보보호법에서의 개인정보란, 직·간접적으로 특정 소비자를 식별 또는 설명하거나 연관될 수 있거나 합리적으로 연결될 수 있는 정보를 말하며, 자연인뿐만 아니라 가정을 특정할 수 있는 정보도 포함된다.
• 캘리포니아소비자개인정보보호법(CCPA)에서 부여되는 권리
기존 캘리포니아소비자개인정보보호법(CCPA)은 소비자에게 6가지 특정 권리를 부여한다. 올해 발효된 캘리포니아개인정보권리보호법(CPRA)의 경우 기존 권리에 2가지 권리를 추가했다.
(1) 사업자가 수집한 소비자, 수집 대상, 수집 이유, 판매한 경우 대상에 대해 알 권리(공개 요청)
캘리포니아 소비자는 연간 최대 2회까지 기업에 다음 사항을 공개하도록 요청할 수 있다.
1) 수집된 소비자의 개인정보 범주 및 수집에 사용되는 원본 범주
2) 해당 개인정보의 출처 범주
3) 기업이 해당 정보를 사용하는 목적
4) 개인정보가 ‘공유된’ 제삼자의 범주
5) 기업이 비즈니스 목적으로 정보를 공개하는 제삼자의 범주
6) 판매된 개인정보 범주 및 각 개인정보가 판매된 제삼자의 범주
(2) 소비자로부터 수집한 개인정보를 삭제할 수 있는 권리
캘리포니아 소비자는 기업이 해당 정보를 법적으로 보관해야 하는 경우 등의 특정 예외 사항을 제외하고, 기업과 기업의 서비스 제공자가 수집한 개인정보를 삭제하도록 요청할 수 있다.
(3) 개인정보 판매 거부권(해당되는 경우)
캘리포니아 소비자는 사용자가 활성화한 글로벌 개인정보 보호 제어를 포함해 기업이 소비자의 개인정보를 판매 또는 공유하는 것을 중단하도록 요청할 수 있다(“opt-out”). 기업은 해당 소비자가 나중에 다시 승인하지 않는 한 opt-out 요청을 받은 후 해당 소비자의 개인정보를 판매하거나 공유할 수 없다.
(4) 만 16세 미만 소비자의 개인정보 판매 동의권(해당되는 경우)
미성년자의 경우, opt-in 프로세스를 사용해 판매를 적극적으로 선택하지 않고도 미성년자의 개인정보를 판매하지 않도록 할 수 있다.
(5) 모든 권리를 행사함에 있어 비차별적 대우를 받을 권리
기업은 CCPA의 적용에 있어 모든 소비자를 동등하게 대해야 한다.
(6) 데이터 위반에 대한 사적 소송을 제기할 권리
기업은 소비자에게 계약 등을 이용해 소송을 걸 수 있는 권리를 제한하는 문구에 동의하게 할 수 없다.
<코카콜라의 개인정보 정책 페이지>
[자료: 코카콜라 웹사이트(https://us.coca-cola.com/privacy-policy)]
<마이크로소프트의 개인정보 정책 페이지>
[자료: 마이크로소프트 웹사이트(https://privacy.microsoft.com/en-us/privacystatement)]
시사점
모든 것과 모든 사람이 깊숙이 얽혀있는 온라인 세상에서 무차별적으로 수집되는 개인정보에 대한 제재는 반드시 필요했고, 이에 대한 필요를 충족시키기 위해 구체화된 개인정보법의 시행은 불가피했다. 본 CCPA, 캘리포니아의 개인정보 보호법이 시행되면서, 캘리포니아는 단연 미국의 개인정보 보호법 발전을 주도하고 있는 대표적인 주로 손꼽히게 됐고, 올해 새로이 시행되는 캘리포니아개인정보권리보호법(CPRA) 역시 다시 한번 미국 내 개인정보 보호법의 모범답안을 제시하며 여러 주에 큰 영향을 끼치게 된다. 다음에 이어질 2편에서는 새롭게 시행된 캘리포니아의 개인정보 권리 보호법(CPRA)에 대해 더 자세히 알아보도록 하겠다.
자료: State of California Department of Justice (CCPA, https://oag.ca.gov/privacy/ccpa), California Legislative Information(https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV§ionNum=1798.100.), Bloomberg Law(https://pro.bloomberglaw.com/brief/the-far-reaching-implications-of-the-california-consumer-privacy-act-ccpa/), Coca-cola(https://us.coca-cola.com/privacy-policy), Microsoft(https://learn.microsoft.com/en-us/compliance/regulatory/offering-ccpaft), 그 외 KOTRA 로스앤젤레스 무역관 자료 종합
원문링크 | https://dream.kotra.or.kr/kotranews/cms/news/actionKotraBoardDetail.do?MENU_ID=70&pNttSn=201246 |
---|