캘리포니아 소비자 개인정보 보호법(CCPA)이란 무엇인가요?

디지털 세계에서 마케터들은 소비자 데이터를 새로운 금으로 여기며, 그 엄청난 잠재적 가치를 인식하고 있습니다. 그러나 이러한 데이터를 채굴하려는 기업의 바람과는 달리, 그러한 데이터로 연구되는 소비자들이 자신이 생성한 정보가 어떻게 사용되거나 사용되지 않는지에 대해 발언권을 가져야 한다고 주장하는 움직임이 커지고 있습니다.

캘리포니아에서는 CCPA의 통과로 이 운동의 목표가 법으로 바뀌었습니다. 이는 소비자 권리와 사이버 보안에 강력한 타격을 주며 캘리포니아주에 데이터 개인정보 보호법과 규정을 집행할 수 있는 강력한 체계를 제공합니다. 이 법은 캘리포니아 주민들에게 데이터 유출에 대한 법적 구제를 받을 수 있는 사적 소송권을 제공합니다.

CCPA 지침은 캘리포니아 소비자에게 개인 데이터 보호를 명시적으로 다루고 합리적인 보안 보호 장치를 제공하는 일련의 권리를 부여하기 위해 고안되었습니다. 이러한 권리에는 캘리포니아 주민이 자신의 고객 데이터에 대해 소비자 요청을 할 수 있는 권한이 포함됩니다. 이러한 요청에는 다음과 같은 방법이 포함될 수 있습니다.

• 이른바 '내 개인정보 판매 금지' 지침을 통해 자신의 개인정보가 제3자에게 판매되는 것 방지(예: 재판매 금지 권리)
   

• 수집된 모든 개인 정보에 대한 데이터 요청(접근 권한)
   

• 해당 소비자에 대해 수집된 모든 데이터를 삭제하도록 요청(잊혀질 권리)

캘리포니아 개인정보 보호국(California Privacy Protection Agency)은 캘리포니아 주민들이 자신에게 영향을 미치는 데이터 변경 사항에 대해 보호받고 적절히 통지받을 수 있도록 보장합니다. 또한 이러한 권리를 행사한다고 해서 차별받거나 불이익을 당하지 않도록 하는 차별 금지법을 시행합니다.

대부분의 소비자는 '개인 데이터'가 무엇을 의미하는지에 대한 일반적인 개념을 가지고 있지만, 이 문구는 사람마다 다른 의미를 가질 수 있으며 처음에 상상했던 것보다 훨씬 더 많은 것을 의미할 수 있습니다.

CCPA의 맥락에서 개인 데이터는 "특정 소비자 또는 가구를 식별하고, 연관시키고, 설명하는 정보 및 이를 합리적으로 연관시킬 수 있거나, 직간접적으로 연결할 수 있는 정보"로 정의됩니다.¹

CCPA 지침은 다음과 같은 개인 데이터의 구체적인 예를 다룹니다.

• 이름

• 주소

• 전화번호

• 이메일 주소

• IP 주소

• 생년월일

• 사회 보장 번호

• 운전면허증 번호

• 여권 번호

• 은행 계좌 정보

• 신용카드/직불카드 번호

• 교육 데이터 및 자격 증명

마케터들은 데이터 분석을 통해 각 유형의 정보가 결합될 때 개인 데이터의 가치가 훨씬 더 커진다는 것을 알게 되었습니다. 이를 사용하여 특정 소비자 또는 소비자 그룹에 대한 종합적인 보기를 만들 수 있습니다. 예를 들어 소비자 마케팅 트렌드에 대한 보다 광범위한 추론을 할 수도 있습니다. 일반적으로 수집되는 다른 형태의 PI도 마찬가지로 많은 정보를 드러낼 수 있습니다.

• 소비자 쇼핑 선호도

• 개인 인터넷 사용 기록

• 분명한 개인적 태도

• 특정 개인 행동

또 다른 우려 사항은 쿠키와 웹사이트에서 고유 식별자로서 쿠키를 사용하는 방식입니다. 여기에는 비즈니스 목적이 종료되면 자동으로 삭제되도록 설계된 자체 쿠키가 포함됩니다. 그리고 자동으로 삭제되지 않는 타사 쿠키도 있습니다. 타사 쿠키에는 민감한 개인 데이터를 포함하여 다양한 유형의 개인 데이터를 수집하는 기능이 있습니다.

웹사이트가 타사 쿠키를 오용할 가능성이 있기 때문에 CCPA는 쿠키를 사용하여 웹사이트를 통해 수집한 데이터를 PI로 간주하여 보호할 가치가 있는 것으로 간주합니다.

대부분의 영향을 받는 조직은 CCPA 규정 준수에 대해 단일 단계가 아닌 프로세스로 접근합니다. 그 과정의 첫 번째 단계는 소비자에 대한 사고방식의 전환과 소비자의 개인정보 보호 요구가 중요하고 집행 가능한 권리가 있다는 사실을 깨닫는 것입니다.

CCPA 준수를 유지하려면 캘리포니아의 다양한 소비자에게 개인 데이터 인벤토리 관리 방법(옵트인 선택 포함)에 대한 옵션을 제공함으로써 소비자를 보호해야 합니다. 또한 이는 새로운 기술(예: 생체 인식) 및 CCPA 정책 개정에 보조를 맞추기 위해 CCPA의 진화적 변화를 따라가는 것을 의미합니다.

CCPA를 준수하려면 6개월 또는 1년이 걸릴 수 있는 일련의 단계가 필요합니다. 그럼에도 불구하고 각 전략은 CCPA 규정 준수를 확립하는 데 중요한 역할을 합니다. (특정 준수 요구 사항은 동시에 수행될 수 있으므로 숫자 대신 요점을 사용하여 단계를 설명합니다.)

첫 번째 단계는 어떤 소비자 데이터가 수집되었는지에 대한 정확한 정보를 얻고 다양한 위치를 분류하는 것입니다. 이는 회사 외부의 소비자로부터 수집한 '외부' 소비자 데이터와 회사 직원 및 입사 지원자로부터 '내부적으로' 수집한 소비자 데이터 모두에 해당합니다.

소비자 또는 구직자로부터 수집된 모든 개인 데이터를 안전하게 보관하는 것이 중요합니다. 또한 미성년자로부터 수집한 정보의 보호와 관련된 추가 조항도 있습니다.

모든 소비자(또는 회사 직원 및 구직자)에게 "수집 통지서"를 발행해야 합니다. 중요한 것은 이 개인정보 보호 고지는 데이터 수집 활동이 이미 시작된 후가 아니라 데이터 수집 활동이 시작되기 전이나 시작될 때 전달되어야 한다는 것입니다.

현재 대부분의 조직은 회사에 대한 상세한 데이터 보호 정책을 유지하고 이를 웹 사이트에 게시합니다.

소비자 정보와 관련된 모든 요청을 처리하기 위한 효과적이고 시기적절한 수단을 구성하는 것도 중요합니다.

조직이 특정 목적을 달성하는 데 필요한 최소한의 PI만 수집하도록 데이터 최소화 규칙을 개발하고 구현해야 합니다. 또한 조직은 수집된 데이터가 유출될 경우 소비자에게 미칠 수 있는 위험을 고려하고 적절한 예방 조치(예: 수집된 데이터 사용 후 자동 삭제)를 시행해야 합니다.

규정 준수의 핵심 요소 중 하나는 회사 관리자와 모든 직원이 CCPA 요건, 특히 자신의 업무 범위에 직접적인 영향을 미치는 요건을 숙지하고 있는지 확인하는 것입니다. 교육 세션과 웨비나를 통해 최신 정보를 습득할 수 있습니다.

법률 및 규정은 종종 변경 및 수정될 수 있습니다. (CCPA 자체도 2023년 재시행에 앞서 이러한 개정 작업을 거쳤습니다.) 따라서 CCPA의 개정에 대한 최신 정보를 파악하는 것이 좋습니다.

PI를 사고 파는 데이터 중개업은 호황을 누리고 있는 사업으로 전문가들은 2021년 전 세계적으로 이 분야의 가치를 2,400억 달러로 평가했습니다. 이 금액은 10년이 지나면 거의 두 배로 증가하여 연간 4,500억 달러 이상으로 늘어날 것으로 예상됩니다.²

데이터만큼 가치 있는 것은 강력하게 보호되어야 합니다. 이에 따라 캘리포니아 개인정보 보호국(CPPA)은 CCPA 규정을 위반하는 기업의 수익에 타격을 줄 수 있는 권한이 있습니다. CCPA 벌금은 비교적 낮은 수준으로, 의도하지 않은 위반 건당 최대 미화 2,500달러, 고의적인 위반 건당 최대 미화 7,500달러로 상한이 정해져 있습니다. 이러한 CCPA 처벌은 한 사람과 관련된 데이터 유출과 같은 단일 위반 행위에만 적용된다는 점에 주목할 필요가 있습니다.

하지만 현실적으로 데이터 유출 사고에 영향을 받는 당사자가 한 명인 경우는 거의 없습니다. 대신 수천 명 또는 수십만 명의 소비자가 참여하는 대규모 이벤트가 더 일반적입니다. 따라서 캘리포니아 거주자 수에 예상되는 CCPA 벌금을 곱하면 막대한 벌금이 부과될 수 있습니다.

CCPA는 위반자에게 30일의 유예 기간을 부여하여 위반한 오류를 수정할 수 있도록 함으로써 이러한 막대한 벌금을 납부하지 않아도 되는 방법을 제공합니다. 위반자가 보안 조치를 강화하고 한 달 이내에 문제를 '해결'할 수 있다면 벌금을 면제받을 수 있습니다. 물론 기업은 이러한 위반 행위를 시정할 금전적 의무가 있지만, 상황에 따라 이는 어렵거나 심지어 불가능할 수도 있습니다. 데이터 유출과 같은 범죄는 되돌릴 수 없는 데이터 공개를 수반하는 경우가 많기 때문입니다.

CCPA의 범위는 사물 인터넷(IoT)과 같은 기술의 폭발적인 성장에 발맞추기 위해 계속 확장되고 발전하고 있습니다.

예를 들어, CPPA는 최근 데이터 수집 메커니즘이 장착된 '커넥티드' 차량(CV)에 대해 새롭게 주목하고 있다고 발표했습니다. 현대 차량은 운전자에 대한 포괄적인 정보와 위치 데이터를 수집하고 해당 데이터를 전송할 수 있는 수단을 갖추고 있습니다. 캘리포니아에는 3,500만 대 이상의 차량이 등록되어 있어 매우 큰 규모의 과제입니다. 하지만 CPPA의 전무 이사에 따르면 이는 주의가 필요한 사항이라고 합니다.

Ashkan Soltani는 2023년 7월 "현대의 자동차는 사실상 바퀴 달린 연결된 컴퓨터"라고 말했습니다. "차량에 내장된 앱, 센서, 카메라를 통해 다양한 정보를 수집할 수 있으며, 이를 통해 차량 내부와 주변 사람들을 모니터링할 수 있습니다."³

'차량 근처'라는 표현은 주목할 만합니다. 이는 운전자의 데이터뿐만 아니라 해당 차량에 탑승한 사람, 심지어 차량 근처를 걷는 개인까지 보호된다는 것을 의미합니다. 차량의 온보드 카메라는 이러한 사람들의 순간적인 모습을 포착할 수 있습니다.

이번 발표는 CCPA가 IoT(이 경우에는 커넥티드 카)를 통해 생성된 개인 데이터를 보호하기 위해 권한을 행사하고 있다는 점에서 의미가 있어 보입니다. 이번 발표가 앞으로 늘어날 IoT 관련 사건에 대한 기관의 판결 의지의 신호탄이 된다면 더욱 중요한 의미를 가질 수 있습니다.

유럽연합(EU)은 2018년 5월 일반 데이터 보호 규정(GDPR)을 제정하면서 개인 정보 및/또는 소비자 정보를 보호하기 위한 가장 적극적인 프레임워크를 사용하기 시작했습니다. CCPA는 미국 내에서 시행되는 가장 엄격한 데이터 개인 정보 보호 정책으로 알려져 있습니다. 따라서 일부 관찰자들은 두 표준을 비교하고 싶어 합니다.

대부분의 경우 두 표준은 같은 맥락에서 출발합니다. GDPR과 CCPA 모두 다음을 시행합니다.

• 시민 개개인을 보호하고 권한을 부여하려는 본능에 따라 행동합니다.
   

• 수집된 데이터에 오류가 있는 경우 소비자에게 수집된 데이터에 대해 이의를 제기하고 정정을 요구할 수 있는 권리를 부여합니다.
   

• 소비자에게 자신의 개인 정보에 액세스하고, 이전하거나(원하는 경우) 영구적으로 삭제할 수 있는 권한을 부여합니다.
   

• 수집된 데이터의 보안이 침해된 경우 소비자에게 개별적으로 통지하도록 요구합니다.

차이점도 있습니다. GDPR에는 단일 주인 캘리포니아에서는 필요하지 않은 국경 간 전송 요건이 있습니다. 마찬가지로 CCPA는 PI 판매에 대한 제한을 적용하지만, GDPR은 그렇지 않습니다.

그럼에도 불구하고 GDPR과 CCPA에는 차이점보다 유사점이 더 많습니다. 두 표준 모두 타사 위험으로 인한 문제에 직면해 있습니다. 이러한 문제는 한 회사가 기본적으로 개인 데이터 관리를 외부 회사에 아웃소싱할 때 발생합니다. 그러면 제3자인 타사는 CCPA 기반으로한 PI에 대한 동일한 책임을 법적으로 수행할 준비가 되어 있어야 합니다. 이는 해당 데이터를 원래 수집하거나 구매한 회사가 부담했던 것과 동일한 책임입니다. CCPA와 GDPR 모두 기업이 정보를 공유하는 타사의 범주, 각 타사와 공유하는 정보 및 그 이유를 공유하도록 규정하고 있습니다.

GDPR과 CCPA는 규정 위반을 저지른 서비스 제공 업체와 기타 기업에 금전적 불이익을 줄 수 있다는 또 다른 주요 특징도 공유합니다. 최근에는 사상 최대 규모의 데이터 프라이버시 벌금이 부과되어 이러한 능력을 극적으로 입증했습니다.

2023년 5월, 아일랜드 데이터 보호 위원회(DPC)는 Meta(구 Facebook)에 12억 유로(약 13억 달러)의 기록적인 벌금을 부과했습니다. 이는 인스타그램을 포함한 미국 내 사업에서 유럽 데이터를 불법적으로 사용한 혐의에 대한 벌금이었습니다.