CCPA(California Consumer Privacy Act)란?

CCPA(California Consumer Privacy Act)란?

CCPA(California Consumer Privacy Act)는 2018년에 캘리포니아 주에서 통과된 개인정보 보호법입니다. 이 법은 개인정보 보호 및 소비자 데이터 사용에 관한 규제를 목적으로 하고 있으며, 소비자의 개인정보 보호를 강화하고 개인정보를 처리하는 기업의 의무를 강화하기 위해 도입되었습니다.

 

CCPA의 주요 내용과 규정

1. 개인정보 정의

CCPA에 따르면, 개인정보는 개인을 식별하거나 연락할 수 있는 정보로 정의됩니다. 예를 들어, 성명, 주소, 전화번호, 이메일 주소, 신용카드 번호, 소셜 미디어 계정 정보 등이 개인정보에 해당합니다.

2. 적용 범위

CCPA는 캘리포니아 주에 위치한 기업 및 일부 다른 주와 국가에 소재한 기업에 적용됩니다. 만약 기업이 일정 기준을 충족하고 소비자 데이터를 처리하거나 캘리포니아의 소비자와 거래를 한다면, CCPA의 규정을 준수해야 합니다.

3. 소비자 권리

CCPA는 소비자에게 다음과 같은 권리를 부여합니다.

- 정보 공개 요청 : 소비자는 기업이 수집한 개인정보에 대한 공개 요청을 할 수 있습니다.

- 정보 삭제 요청 : 소비자는 개인정보 삭제를 요청할 수 있으며, 기업은 이를 수행해야 합니다.

- 정보 유출 금지 요청 : 소비자는 개인정보의 판매 및 유출을 금지하는 요청을 할 수 있습니다.

- 정보 제공 요청 : 소비자는 개인정보의 제공 목적 및 이용 목적에 대한 정보를 요청할 수 있습니다.

4. 기업 의무

CCPA는 기업에게 다음과 같은 의무를 부과합니다.

- 개인정보 공개 : 기업은 소비자에게 개인정보의 수집 및 이용 목적, 제3자와의 공유 등을 명시적으로 공개해야 합니다.

- 보안 조치 : 기업은 개인정보를 보호하기 위해 적절한 기술적 및 조직적 조치를 취해야 합니다.

- 소비자 권리 응답 : 기업은 소비자의 정보 요청에 대해 정당한 시간 내에 응답하고 이에 따른 조치를 취해야 합니다. 정보 요청에 대한 응답은 보통 45일 이내에 이루어져야 합니다.

5. 개인정보의 판매 및 공유 제한

CCPA는 개인정보의 판매와 공유를 제한합니다. 기업은 소비자의 명시적인 동의 없이 개인정보를 판매하거나 공유할 수 없으며, 소비자는 이를 금지하는 선택권을 가지고 있습니다.

6. 가맹점과 데이터 처리자의 책임

CCPA는 기업이 개인정보 처리를 위해 제3자 업체나 가맹점과 계약을 맺을 경우, 그들에게도 일정한 개인정보 보호 의무를 부과합니다. 기업은 개인정보 처리자와의 계약에서 개인정보 보호에 관한 조항을 명시해야 합니다.

7. 제재 및 소송

CCPA는 개인정보 보호 규정을 준수하지 않는 기업에 대해 벌칙을 부과할 수 있습니다. 소비자는 CCPA에 따른 권리의 침해를 주장할 수도 있고, 해당 기업에 대해 소송을 제기할 수도 있습니다.

 

CCPA는 캘리포니아 주에서 개인정보 보호를 강화하기 위해 도입된 법률로, 소비자의 개인정보 보호와 권리를 중시하고 기업의 개인정보 처리에 제한과 의무를 부과합니다. 이는 개인정보 보호와 데이터 프라이버시를 높이는 데 큰 역할을 하고 있으며, 기업들은 CCPA의 규정을 준수하기 위해 내부 프로세스와 정책을 개선해야 합니다.

 

사업체가 가지는 의무

- 개인정보 거부 요청 수용: 사업체는 소비자들이 개인정보의 공유 또는 판매를 거부할 수 있는 요청을 받아들여야 하며, 이를 준수해야 합니다.

- 거부 요청 용이성 제공: 사업체는 소비자들이 개인정보의 공유 또는 판매를 쉽게 거부할 수 있는 방법을 제공해야 합니다. 이를 위해 웹사이트에 "Do Not Sell My Personal Information"과 같은 링크를 표시하거나 기타 편리한 옵션을 제공해야 합니다.

- 동등한 서비스와 가격 제공: 사업체는 소비자들이 개인정보의 공유 또는 판매를 거부한 경우에도 동등한 서비스와 가격을 제공해야 합니다. 다시 말해, 개인정보 거부를 한 소비자들을 차별하거나 불리하게 다룰 수 없습니다.

- 개인정보 보호 조치: 사업체는 소비자들의 개인정보 보호에 필요한 조치를 취해야 합니다. 이를 위해 다음과 같은 조치를 취할 필요가 있습니다:

- 개인정보 보호 정책 수립 및 공개: 사업체는 개인정보 보호에 관한 정책을 수립하고 이를 공개해야 합니다. 이 정책은 개인정보의 수집, 이용, 저장, 보안, 공유 등에 대한 원칙과 절차를 명시해야 합니다.

- 개인정보 보호 책임자 지정: 사업체는 개인정보 보호를 책임질 전문가나 책임자를 지정해야 합니다. 이 책임자는 개인정보 보호와 관련된 문의나 민원을 처리하고 적절한 조치를 취해야 합니다.

- 개인정보 보호 교육: 사업체는 직원들에게 개인정보 보호에 관한 교육을 실시해야 합니다. 이를 통해 직원들은 개인정보 처리에 대한 적절한 절차와 보안을 이해하고 준수할 수 있습니다.

 

CCPA의 위반 시 제재

- 법무장관에 의한 과태료 부과 : 캘리포니아주 법무장관은 CCPA 위반 사례에 대해 최대 2,500달러의 과태료를 부과할 수 있습니다. 의도적인 위반인 경우 최대 7,500달러의 과태료가 부과될 수도 있습니다.

- 개인정보 보호 권리 침해에 대한 소비자의 배상 청구 : 소비자는 개인정보 보호 권리가 침해된 경우 최대 7,500달러의 배상금을 청구할 수 있습니다.

- 집단소송 제기 : 소비자들은 CCPA에 따라 집단소송을 제기할 수 있습니다. 이를 통해 대규모 소비자들이 한꺼번에 개인정보 보호 침해에 대해 법적 조치를 취할 수 있습니다.

 

CCPA는 미국 내에서 가장 엄격한 개인정보 보호 법률로 인정되며, 다른 주나 연방에서도 유사한 법률이 제정될 가능성이 있습니다. 따라서 사업체가 미국 시장에서 사업을 수행하려면 CCPA를 준수하는 것이 필수적인 조건입니다. 사업체는 어떤 유형의 개인정보를 수집하고 처리하는지 파악하고, 소비자들의 요청에 대응할 수 있는 시스템과 절차를 갖추어야 합니다. 또한 CCPA의 변경사항이나 해석에 대해 주시하고 적절히 대응해야 합니다.

 

CCPA는 소비자들의 개인정보 보호 권리를 강화하는 법률로서, 사업체와 소비자 간의 신뢰와 투명성을 향상시킬 수 있는 기회로도 볼 수 있습니다. 따라서 사업체는 CCPA 준수를 통해 소비자들의 개인정보를 적절히 보호하고, 개인정보 처리에 대한 투명성을 제공함으로써 소비자들의 신뢰를 구축할 수 있습니다.