캘리포니아 소비자 개인정보 보호법(CCPA)이란 무엇인가요?
IBM Security Guardium Insights 살펴보기 대화형 데모 체험하기
IBM Security를 사용하는 다양한 사무실 직원을 보여주는 등척 도면
CCPA란 무엇인가요?

캘리포니아 소비자 개인정보 보호법(CCPA)은 2020년에 제정된 캘리포니아 주법으로, 소비자의 개인정보(PI)에 관한 캘리포니아 주민의 권리를 보호하고 집행하는 법입니다.

디지털 세계에서 소비자 데이터는 마케터에게 엄청난 잠재적 가치를 제공하는 새로운 금과 같은 것으로 이해됩니다. 그러나 이러한 데이터를 채굴하려는 기업의 바람과는 달리, 이러한 데이터에 의해 연구되는 소비자가 자신이 생성한 정보가 어떻게 사용되거나 사용되지 않는지에 대해 발언권을 가져야 한다고 주장하는 움직임이 커지고 있습니다.

캘리포니아에서는 CCPA의 통과를 통해 이 운동의 목표가 법으로 바뀌었습니다. 이 법안은 캘리포니아 주정부에 데이터 개인정보 보호법 및 규정을 집행할 수 있는 프레임워크를 제공하고, 캘리포니아 주민들에게 데이터 침해에 대한 법적 구제를 받을 수 있는 사적 소송권을 제공함으로써 소비자 권리와 사이버 보안에 큰 영향을 미칩니다.

관련 내용

IBM 뉴스레터 구독하기

CCPA 권리 및 보호

CCPA 지침은 캘리포니아 소비자에게 개인 데이터 보호를 명시적으로 다루고 합리적인 보안 보호 장치를 제공하는 일련의 권리를 부여하기 위해 고안되었습니다. 이러한 권리에는 캘리포니아 주민이 자신의 고객 데이터에 대해 소비자 요청을 할 수 있는 권한이 포함됩니다. 이러한 요청에는 다음과 같은 방법이 포함될 수 있습니다.

  • 이른바 '내 개인정보 판매 금지' 지침을 통해 자신의 개인정보를 제3자에게 판매하지 못하도록 방지(예: 재판매 금지 권리.
     

  • 수집된 모든 개인 정보에 대한 데이터 요청(액세스 권한)
     

  • 해당 소비자에 대해 수집된 모든 데이터를 삭제하도록 요청(잊혀질 권리)

캘리포니아 개인정보 보호국 덕분에 캘리포니아 주민들은 자신에게 영향을 미치는 데이터 변경 사항에 대해 적절히 통지받을 수 있는 보호 장치와 이러한 권리를 행사한다는 이유로 종속되거나 다른 불이익을 받지 않도록 하는 차별 금지 규정도 마련되어 있습니다.

어떤 범주의 개인정보가 규제되나요?

대부분의 소비자는 '개인 데이터'가 무엇을 의미하는지에 대한 일반적인 개념을 가지고 있지만, 이 문구는 사람마다 다른 의미를 가질 수 있으며 처음에 상상했던 것보다 훨씬 더 많은 것을 의미할 수 있습니다.

CCPA의 맥락에서 개인 데이터는 "특정 소비자 또는 가구를 식별하고, 연관시키고, 설명하는 정보 및 이를 합리적으로 연관시킬 수 있거나, 직간접적으로 연결할 수 있는 정보"로 정의됩니다.1

CCPA 지침은 다음과 같은 개인 데이터의 구체적인 예를 다룹니다.

  • 이름

  • 주소

  • 전화번호

  • 이메일 주소

  • IP 주소

  • 생년월일

  • 사회 보장 번호

  • 운전면허증 번호

  • 여권 번호

  • 은행 계좌 정보

  • 신용카드/직불카드 번호

  • 교육 데이터 및 자격 증명

데이터 분석을 통해 각 유형의 정보를 결합하여 특정 소비자 또는 소비자 그룹에 대한 종합적인 시각을 만들고 소비자 마케팅 트렌드에 대한 광범위한 추론을 내리는 데 사용할 수 있다면 마케터에게 개인 데이터의 가치는 훨씬 더 높아집니다. 일상적으로 수집되는 다른 형태의 PI도 다음을 나타낼 수 있습니다.

  • 소비자 쇼핑 선호도

  • 개인 인터넷 사용 기록

  • 분명한 개인적 태도

  • 특정 개인 행동

또 다른 관심 영역은 쿠키와 쿠키가 웹사이트에서 고유 식별자로 사용되는 방식입니다. 여기에는 자사 쿠키(비즈니스 목적이 종료되면 스스로 삭제하도록 설계됨)와 타사 쿠키(자동으로 자체 삭제되지 않으며 민감한 개인 정보를 포함한 다양한 유형의 개인 데이터를 수집하는 기능이 있음)가 포함됩니다.

웹사이트가 타사 쿠키를 오용할 가능성이 있기 때문에 CCPA는 쿠키를 사용하여 웹사이트를 통해 수집한 데이터를 PI로 간주하여 보호할 가치가 있는 것으로 간주합니다.

데이터를 검색하고 분류하는 방법 알아보기
CCPA 규정 준수 전략

대부분의 영향을 받는 조직은 CCPA 규정 준수에 대해 단일 단계가 아닌 프로세스로 접근합니다. 그 과정의 첫 번째 단계는 소비자에 대한 사고방식의 전환과 소비자의 개인정보 보호 요구가 중요하고 집행 가능한 권리가 있다는 사실을 깨닫는 것입니다.

CCPA 준수를 유지하려면 캘리포니아의 다양한 소비자에게 개인 데이터 인벤토리 관리 방법(옵트인 선택 포함)에 대한 옵션을 제공함으로써 소비자를 보호해야 합니다. 또한 이는 새로운 기술(예: 생체 인식) 및 CCPA 정책 개정에 보조를 맞추기 위해 CCPA의 진화적 변화를 따라가는 것을 의미합니다.

CCPA를 준수하려면 6개월 또는 1년이 걸릴 수 있는 일련의 단계가 필요합니다. 그럼에도 불구하고 각 전략은 CCPA 규정 준수를 확립하는 데 중요한 역할을 합니다. (특정 규정 준수 요구 사항은 동시에 수행될 수 있으므로 단계는 숫자가 아닌 글머리 기호로 표시됩니다.)

모든 고객 데이터 찾기

첫 번째 단계는 어떤 소비자 데이터가 수집되었는지에 대한 정확한 정보를 얻고 다양한 위치를 분류하는 것입니다. 이는 회사 외부의 소비자로부터 수집한 '외부' 소비자 데이터와 회사 직원 및 입사 지원자로부터 '내부적으로' 수집한 소비자 데이터 모두에 해당합니다.

수집된 모든 데이터 보호

소비자 또는 구직자로부터 수집된 모든 개인 데이터를 안전하게 보관하는 것이 중요합니다. 또한 미성년자로부터 수집한 정보의 보호와 관련된 추가 조항도 있습니다.

데이터 보안 및 보호에 대해 자세히 알아보기
소비자에게 데이터가 수집되었다는 사실 알리기

모든 소비자(또는 회사 직원 및 구직자)에게 "수집 통지서"를 발행해야 합니다. 중요한 것은 이 개인정보 보호 고지는 데이터 수집 활동이 이미 시작된 후가 아니라 데이터 수집 활동이 시작되기 전이나 시작될 때 전달되어야 한다는 것입니다.

회사 개인정보 보호정책 수립 및 발표

현재 대부분의 조직은 회사에 대한 상세한 데이터 보호 정책을 유지하고 이를 웹 사이트에 게시합니다.

소비자 데이터 요청을 관리하는 방법 결정하기

소비자 정보와 관련된 모든 요청을 처리하기 위한 효과적이고 시기적절한 수단을 구성하는 것도 중요합니다.

수집되는 PI의 양을 필요한 만큼만 제한하기

조직이 특정 목적을 달성하는 데 필요한 최소한의 PI만 수집하도록 데이터 최소화 규칙을 개발하고 구현해야 합니다. 또한 조직은 수집된 데이터가 유출될 경우 소비자에게 미칠 수 있는 위험을 고려하고 적절한 예방 조치(예: 수집된 데이터의 사용 후 자동 삭제)를 시행해야 합니다. 

모든 사람이 같은 정보를 공유하도록 하기

규정 준수의 핵심 요소 중 하나는 회사 관리자와 모든 직원이 CCPA 요건, 특히 자신의 업무 범위에 직접적인 영향을 미치는 요건을 숙지하고 있는지 확인하는 것입니다. 교육 세션과 웨비나를 통해 최신 정보를 습득할 수 있습니다.

CCPA 개발 현황에 대한 최신 정보 유지

법률 및 규정은 종종 변경 및 수정될 수 있습니다. (CCPA 자체도 2023년 재시행에 앞서 이러한 개정 작업을 거쳤습니다.) 따라서 CCPA의 개정에 대한 최신 정보를 파악하는 것이 좋습니다.

CCPA 시행 및 규정 위반에 따른 처벌

PI를 사고 파는 데이터 중개업은 호황을 누리고 있는 사업으로 전문가들은 2021년 전 세계적으로 이 분야의 가치를 2,400억 달러로 평가했습니다. 이 금액은 10년이 지나면 거의 두 배로 증가하여 연간 4,500억 달러 이상으로 늘어날 것으로 예상됩니다.2

데이터만큼 가치 있는 것은 강력하게 보호해야 합니다. 이에 따라 캘리포니아 개인정보 보호국(CPPA)은 CCPA 규정을 위반하는 기업의 수익에 타격을 줄 수 있는 권한이 있습니다. CCPA 벌금은 비교적 낮은 금액(고의가 아닌 것으로 밝혀진 위반 연락의 경우 미화 2,500달러, 고의적인 위반의 경우 미화 7,500달러)으로 상한선이 정해져 있지만, 이러한 CCPA 벌금은 한 사람이 관련된 데이터 침해와 같은 단일 위반에만 적용된다는 점은 주목할 가치가 있습니다.

하지만 현실적으로 데이터 유출 사고에 영향을 받는 당사자가 한 명인 경우는 거의 없습니다. 대신 수천 명 또는 수십만 명의 소비자가 참여하는 대규모 이벤트가 더 일반적입니다. 따라서 캘리포니아 거주자 수에 예상되는 CCPA 벌금을 곱하면 막대한 벌금이 부과될 수 있습니다.

CCPA는 위반자에게 30일의 유예 기간을 부여하여 위반한 오류를 수정할 수 있도록 함으로써 이러한 막대한 벌금을 납부하지 않아도 되는 방법을 제공합니다. 위반자가 보안 조치를 강화하고 한 달 이내에 문제를 "해결"할 수 있다면 벌금을 면제받을 수 있습니다. 물론 기업은 이러한 위반 행위를 시정할 재정적 의무가 있지만, 데이터 유출과 같은 위반 행위에는 되돌릴 수 없는 데이터 공개가 수반되는 경우가 많다는 점을 고려하면 이는 경우에 따라 어렵거나 심지어 불가능할 수도 있습니다.

최근 CCPA 뉴스 및 동향

CCPA의 범위는 사물 인터넷(IoT)과 같은 기술의 폭발적인 성장에 발맞추기 위해 계속 확장되고 발전하고 있습니다.

예를 들어, CPPA는 최근 데이터 수집 메커니즘이 장착된 '커넥티드' 차량(CV)에 대해 새롭게 주목하고 있다고 발표했습니다. 현대 차량은 지리적 위치 데이터뿐만 아니라 운전자에 대한 포괄적인 정보를 수집하고 해당 데이터를 전송할 수 있는 수단을 갖추고 있습니다. 캘리포니아에 등록된 차량이 3,500만 대 이상이라는 점을 고려하면 이는 엄청난 사업입니다. 하지만 CPPA의 전무이사에 따르면 이는 주의가 필요한 사항이라고 합니다.

Ashkan Soltani는 2023년 7월 "현대의 자동차는 사실상 바퀴 달린 연결된 컴퓨터"라고 말했습니다. "차량에 내장된 앱, 센서, 카메라를 통해 다양한 정보를 수집할 수 있으며, 이를 통해 차량 내부와 주변 사람들을 모니터링할 수 있습니다."3

“차량 주변”이라는 문구는 운전자의 데이터뿐만 아니라 해당 차량에 탑승한 모든 사람, 심지어 차량 근처를 걸어다니면서 순간적인 이미지가 온보드 카메라로 캡처되는 개인도 보호된다는 것을 의미하기 때문에 주목할 만합니다.

이번 발표는 IoT를 통해 생성된 개인 데이터(이 경우 커넥티드 카에서 생성된 데이터)를 보호하기 위해 CCPA의 권한이 사용된다는 점에서 의미가 있습니다. 이번 발표가 앞으로 늘어날 IoT 관련 사건에 대한 기관의 판결 의지의 신호탄이 된다면 더욱 중요한 의미를 가질 수 있습니다.

CCPA와 GDPR 비교

유럽연합(EU)은 2018년 5월 일반 데이터 보호 규정(GDPR)을 제정하면서 개인 정보 및/또는 소비자 정보를 보호하기 위한 가장 적극적인 프레임워크를 사용하기 시작했습니다. CCPA는 미국 내에서 시행되는 가장 엄격한 데이터 개인 정보 보호 정책으로 알려져 있습니다. 따라서 일부 관찰자들은 두 표준을 비교하고 싶어 합니다.

대부분의 경우 두 표준은 같은 맥락에서 출발합니다. GDPR과 CCPA 모두 다음을 시행합니다.

  • 시민 개개인을 보호하고 권한을 부여하려는 본능에 따라 행동합니다.
     

  • 수집된 데이터에 오류가 있는 경우 소비자에게 수집된 데이터에 대해 이의를 제기하고 정정을 요구할 수 있는 권리를 부여합니다.
     

  • 소비자에게 자신의 개인 정보에 액세스하고, 이전하거나(원하는 경우) 영구적으로 삭제할 수 있는 권한을 부여합니다.
     

  • 수집된 데이터의 보안이 침해된 경우 소비자에게 개별적으로 통지하도록 요구합니다.

차이점도 있습니다. GDPR에는 단일 주인 캘리포니아에서는 필요하지 않은 국경 간 전송 요건이 있습니다. 마찬가지로 CCPA는 PI 판매에 대한 제한을 적용하지만 GDPR은 그렇지 않습니다.

그럼에도 불구하고 GDPR과 CCPA에는 차이점보다 유사점이 더 많습니다. 두 표준 모두 한 회사가 기본적으로 개인 데이터 관리를 외부 회사에 아웃소싱하는 타사 위험이라는 까다로운 문제를 해결해야 합니다. 이러한 상황이 발생하면 해당 타사 기업은 원래 기업이 해당 데이터를 처음 수집하거나 구매한 후 준수해야 하는 PI에 대한 CCPA 기반 의무와 동일한 책임을 수행할 준비가 되어 있고 법적으로 책임질 수 있어야 합니다. CCPA와 GDPR 모두 기업이 정보를 공유하는 타사의 범주, 각 타사와 공유하는 정보 및 그 이유를 공유하도록 규정하고 있습니다.

GDPR과 CCPA는 규정 위반을 저지른 서비스 제공업체와 기타 기업에 금전적 불이익을 줄 수 있다는 또 다른 주요 특징도 공유합니다. 이는 최근 극적인 양상으로 드러났으며, 사상 최대 규모의 데이터 프라이버시 벌금이 부과되었습니다.

2023년 5월, 아일랜드 데이터 보호 위원회(DPC)는 인스타그램을 포함한 미국 내 사업에서 유럽 데이터를 불법적으로 사용한 혐의로 메타(구 페이스북)에 대해 12억 유로(약 13억 달러)라는 사상 최대 규모의 벌금을 부과했습니다.

관련 솔루션
IBM Security Guardium Insights

규정 준수 감사와 보고를 자동화하고 데이터와 데이터 소스를 검색 및 분류하며, 사용자 활동을 모니터링하고 위협에 거의 실시간으로 대응할 수 있습니다. Guardium Insights는 민감한 데이터와 관련된 비정상적인 활동을 발견하고 노출 위험을 줄여 데이터 보안에 대한 현대적인 제로 트러스트 접근 방식을 지원합니다.

Guardium Insights 살펴보기

데이터 보안 및 보호 솔루션

사이버 위협을 조사하고 해결하는 데 도움이 되는 더 선명한 가시성과 예리한 인사이트를 확보하세요. 보안 정책과 액세스 제어를 거의 실시간으로 적용하여 규정 준수 요구 사항을 신속하게 해결합니다.

데이터 보안 및 보호 솔루션 살펴보기

데이터 개인정보 보호 솔루션

제로 트러스트 원칙과 검증된 데이터 프라이버시에 기반한 데이터 프라이버시에 대한 총체적인 적응형 접근 방식을 통해 신뢰할 수 있는 고객 경험을 제공하고 비즈니스를 성장시키세요. IBM 데이터 프라이버시 솔루션을 사용하면 데이터 프라이버시 보호를 강화하고 고객 신뢰를 구축하며 비즈니스도 성장시킬 수 있습니다.

데이터 프라이버시 솔루션 살펴보기
리소스 2023년 데이터 유출 비용

유출의 원인과 비용을 증가시키거나 줄이는 요인을 이해하여 유출에 더 잘 대비하세요. 데이터 유출 피해를 입은 550개 이상의 조직의 경험에서 교훈을 얻으세요.

개인 식별 정보(PII)란 무엇인가요?

PII는 사회보장번호, 성명, 전화번호 등 특정 개인의 신원을 밝히는 데 사용할 수 있는 개인 데이터입니다.

정보 보안이란 무엇인가요?

정보 보안은 조직의 중요한 디지털 파일과 데이터, 종이 문서, 물리적 미디어 등을 무단 액세스, 공개, 사용 또는 변경으로부터 보호합니다.

다음 단계 안내

IBM Security Guardium Insights는 SaaS와 온프레미스 기능을 모두 갖춘 통합 데이터 보안 솔루션을 제공하여 데이터가 어디에 있든 보호할 수 있습니다. 중앙 집중식 가시성, 지속적인 데이터 모니터링, 자동화된 워크플로우를 통한 고급 규정 준수 기능으로 데이터 보안 태세를 개선하세요. 19개 이상의 클라우드 환경에서 데이터를 연결 및 보호하고 단일 위치에서 데이터 보안에 취약한 부분을 탐지합니다.

Guardium Insights 살펴보기 라이브 데모 예약하기
각주

1 "캘리포니아 소비자 개인정보 보호법(CCPA)에 따른 개인 데이터의 4가지 유형", Eric Andrews, securiti website(ibm.com 외부 링크).

22031년 데이터 브로커 시장 전망,” 데이터 브로커 시장, 투명성 시장 조사 웹사이트(ibm.com 외부 링크)

3 "CPPA, 커넥티드 차량 및 관련 기술의 개인정보 보호 관행 검토", 2023년 7월 23일 캘리포니아 개인정보 보호국 웹사이트에 보고됨(ibm.com 외부 링크).