미국캘리포니아 소비자프라이버시보호법(ccpa) - naver · 01 ccpa...
TRANSCRIPT
미국캘리포니아
소비자프라이버시보호법(CCPA)
준수가이드
Intro
1. CCPA란?
2. 가이드 소개 및 공개 목적
3. 주의사항
Outro
1. CCPA FAQ
2. 참고 자료 및 사이트
CCPA 적용대상
1. CCPA 적용 범위 및 대상
2. 소비자 정의 및 확인 방법
CCPA 준수사항
1. Privacy Policy 작성하기
2. Right to know
3. Right to delete
4. Right to opt-out
5. Right to Non-discrimination
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
CCPA란?01
미국 캘리포니아 소비자 프라이버시 보호법(CCPA, California Consumer Privacy
Act)이 2020년 7월 1일부터 본격 시행되었습니다. 유럽 일반 개인정보보호법(General
Data Protection Regulation, GDPR)에 나오는 정보주체의 프라이버시 관련 권리
내용을 대폭 반영하여 ’미국판 GDPR’이라고도 불리는 CCPA는 현재까지 미국 역사상
가장 강력한 개인정보보호법으로 평가 받고 있습니다.
미국 법률 체계는 연방법(federal law)과 특정 주에서만 적용되는 주법(state law)으로
이원화되어 있습니다.
캘리포니아 주에서 제정하여 시행하는 CCPA는
전체 미국인이 아닌 캘리포니아 주민들을
보호대상으로 하여 적용되는 주법입니다.
캘리포니아 주는 미국에서 인구가 가장 많은
주(state)로, 미국 인구의 10% 이상을 차지하고
있을 뿐 아니라 세계 5위의 경제 규모를 가진
지역입니다. 글로벌 IT 기업이 다수 있는 실리콘
밸리가 위치한 곳으로 수많은 데이터 처리의
거점이기 때문에 향후 미국 내 프라이버시 관련
법제에 많은 영향을 끼칠 것으로 예상됩니다.
CCPA는 캘리포니아 주민들에게 본인의 개인정보에 대해 강화된 통제권을 부여하고
있습니다. CCPA는 투명성, 프라이버시 통제, 책임성을 강조하고 있으며, 열람권, 삭제권,
판매거부권 등 다양한 정보주체 권리를 보장하고 있습니다.
지역적으로 캘리포니아에 위치하여 사업을 하지 않더라도, 해외 사업자가 CCPA에서
정의하는 ‘소비자’에 해당하는 캘리포니아 주민의 개인정보를 처리하는 경우 CCPA가
적용될 수 있기 때문에 미국 진출을 희망하는 경우 해당 법률의 적용 여부를 검토하고,
적용을 받는 것으로 판단되는 경우 이에 대한 대응이 필요합니다.
가이드소개및공개목적02
주의사항03
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
2020년 7월 1일부터 미국 캘리포니아 소비자 프라이버시 보호법(CCPA, California
Consumer Privacy Act)이 본격 시행되면서 미국 시장에 진출하였거나, 진출을
희망하는 기업의 경우 CCPA 대응이 필요합니다. CCPA의 경우 캘리포니아 주민의
개인정보를 처리하는 사업자에게 판매거부권(right to opt-out) 등 다양하고 새로운
정보주체의 권리 보장을 요구하고 있습니다. 이러한 내용을 분석하고 실제로 서비스에
적용하기 위해서는 적지 않지 않은 리소스가 들어갈 것으로 예상되며, 특히 정보보호
인력이 부족한 스타트업 기업의 경우 더 많은 부담이 될 수 있습니다. 이에, 미국 시장에
진출하고자 하는 스타트업 기업들을 대상으로 CCPA의 적용 여부 검토 및 요구사항
준수를 위한 준비 사항 등에 대한 실무적인 도움을 제공하기 위해 본 가이드라인을
공개합니다.
• 본 가이드라인은 CCPA 집행기관인 캘리포니아 법무장관(Attorney General)이
2020년 8월 14일에 공식 발표한 CCPA Regulation final version의 내용을
토대로 작성되었습니다.
• 본 가이드라인은 스타트업 기업을 대상으로 CCPA의 이해에 도움이 될 수 있는 정보
제공만을 목적으로 하며, 법률적인 자문이나 해석을 제공하는 것은 아닙니다. 따라서
해당 가이드에 포함된 내용은 법률 자문으로 간주될 수 없으며, 법률에 관한 조언은
전문 법률 기관에 문의해주셔야 합니다.
CCPA 적용범위및대상01
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
CCPA는 ⓐ 캘리포니아에서 사업을 영위하며 ⓑ 소비자의 ⓒ 개인정보를 수집,
처리하는 ⓓ 일정규모 이상의 영리 사업자(business)에게 적용됩니다.
ⓐ캘리포니아에서사업을영위
• CCPA는 사업자가 지리적으로 캘리포니아에 존재하지 않더라도 캘리포니아 주민의
개인정보를 수집, 판매 등 처리하는 경우에 적용됩니다.
• 공동 브랜드를 공유하는 모회사 또는 자회사가 캘리포니아 주민의 개인정보를
처리하는 경우에도 CCPA가 적용됩니다.
• 반대로 캘리포니아 기업이라도 모든 상업적 활동이 캘리포니아 밖에서만 이루어진
경우, CCPA가 적용되지 않습니다.
01
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
• CCPA에서는 소비자를 “캘리포니아 주민(resident)인 자연인으로서, 고유식별자에
의해서 식별되는 자”로 정의하고 있습니다.
• 물건을 구매하는 사람 뿐만 아니라 ‘자연인’에 해당하는 모든 근로자, 협력업체 또는
공급업체 임직원, 개인사업자 등도 ‘소비자’에 포함됩니다.
• ’캘리포니아 주민’에 해당하기 위해서는 다음 두 가지 중 하나의 요건을 만족해야
합니다.
• CCPA에서는 개인정보를 “직, 간접적으로 특정 소비자 또는 가계(a household)를
식별 또는 설명하거나, 특정 소비자 또는 가계와 관련되어 있거나, 연관될 수 있거나,
합리적으로 연결될 수 있는 정보” 라고 정의하고 있습니다.
• 자연인 뿐만 아니라 가계(a household)에 관한 정보도 포함한다는 특징이 있으며,
기기식별자, 행태정보, 추론정보, 추정식별자 등 까지도 개인정보에 포함한다는
점에서 개인정보의 범위를 비교적 넓게 정의하고 있습니다.
1) 임시적 또는 일시적 목적 이외의 목적으로 캘리포니아에 거주하고 있는 모든 개인
2) 임시적 또는 일시적 목적으로 캘리포니아 밖에 있지만, 캘리포니아에 주소를 두고
있는 모든 개인
*캘리포니아 밖을 여행 중인 캘리포니아 주민 소유의 모바일 기기의 웹브라우징 내역이나
위치정보도 CCPA 적용 대상에 해당합니다.
ⓑ소비자
ⓒ개인정보
CCPA 적용범위및대상
① 비식별정보
직·간접적으로 특정 소비자 또는 가계를 식별, 설명할 수 없고, 관련되거나 연관되어 있지 않으며
합리적으로 연결될 수 없는 ‘비식별정보’의 경우 개인정보에서 제외됨
비식별 정보에 해당하기 위해서는 아래와 같은 요건을 모두 충족해야 함
② 총계정보(aggregated consumer information)
특정 개인 소비자나 가계와 연결되어 있지 않고 합리적으로 연결할 수도 없는 정보로, 개인
식별성이 제거된 특정 소비자의 범주 또는 그룹에 관한 정보가 이에 해당함
③ 공개적으로 사용 가능한 정보(publicly available information)
연방, 주 또는 지방 정부기록에서 합법적으로 제공하는 정보의 경우 개인정보에 해당하지 않음
01
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
<CCPA 개인정보 사례>
필명·별명, 계정이름, 기기ID, IP주소, 온라인 식별자(쿠키·beacon·pixel tags·모바일광고ID·
그밖에 이와 유사한 추적기술), 인터넷 활동정보(브라우징 내역, 검색 기록,
웹사이트·애플리케이션·광고 이용내역 등), 프로파일 목적의 추론정보
• 개인정보에서 제외되는 정보로는 ①비식별정보 ②총계정보 ③공개적으로 사용
가능한 정보가 있습니다.
<CCPA 개인정보 제외 정보>
a. 재식별을 금지하는 기술적 보호조치의 시행
b. 재식별을 구체적으로 금지하는 비즈니스 프로세스의 시행
c. 비식별정보의 부주의한 배포를 막기 위한 비즈니스 프로세스의 시행
d. 비식별정보의 재식별 시도 금지
CCPA 적용범위및대상
01
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
• 사업자란 1) 캘리포니아에서 영리를 목적으로 사업을 경영하는 자로서 2)주민의
개인정보를 직접 또는 타인을 통해 수집하고 3)단독 또는 다른 사업자와 공동으로
개인정보 처리의 목적과 방법을 결정하는 4)개인회사, 조합, 유한회사, 법인, 협회 그
밖의 법률 주체를 의미합니다. 즉, 비영리 단체나 법인, 주 또는 지방정부는 사업자에
해당하지 않습니다.
• CCPA에는 실리콘밸리 스타트업 등 소규모 사업자 보호를 위해 아래와 같은 요건 중
하나를 충족한 사업자에게만 적용됩니다.
ⓓ일정규모이상의영리사업자
① 연간 총 매출이 2천 5백만 달러를 초과하는 사업자
② 연 50,000건 이상의 캘리포니아 소비자, 가계 또는 기기정보를 구매하거나,
사업자의 상업적 목적으로 수령하거나, 판매하는 사업자
③ 연간 총 매출의 50%이상을 캘리포니아 주민의 개인정보 판매에서 얻는 사업자
CCPA 적용범위및대상
CCPA 소비자정의및확인방법02
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
캘리포니아주민확인절차
• 캘리포니아 주민 확인을 위해 사업자가 소비자로부터 구체적으로 수집해야 하는
정보나 절차에 대해 현재까지 공식적으로 정해진 바는 없습니다.
• 이용자가 권리 요청을 접수하기 전 ”캘리포니아 주민입니까?”라는 질문에
체크하도록 하거나, 드롭 다운 메뉴(drop-down menu)로 거주하는 주(state)
정보를 설정하도록 하거나, ZIP코드를 입력 받는 방법 등으로 권리 요청자에게
캘리포니아 주민인지를 물어볼 수 있습니다. 즉, 사업자는 권리 요청자가 본인이
캘리포니아 주민이라고 알릴 수 있는 방법을 제공하기만 하면 됩니다.
• 사업자는 권리 요청자가 실제로 캘리포니아 주민인지를 검증하는 절차없이 권리
요청자의 self-certification을 통해 캘리포니아 주민이라고 주장하는 경우 권리
요청에 응해야 합니다.
CCPA에 명시된 소비자(정보주체)의 권리는 CCPA에서 정의하는 ‘소비자’ 에 해당하는
캘리포니아 주민에게만 보장됩니다. 많은 글로벌 기업에서 IP 주소 등을 이용해 미국
또는 캘리포니아 이용자에게만 CCPA 소비자 권리 보장 페이지나 판매 거부권을 행사할
수 있는 ‘Do not sell my personal information’ 링크가 노출되도록 하고 있습니다.
모든 이용자에게 CCPA 소비자 권리 보장 페이지를 노출하는 경우, 소비자가 캘리포니아
주민임을 확인하는 절차를 두어 캘리포니아 주민으로 확인되는 이용자의 권리 요청에만
응할 수 있습니다.
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
<CCPA 권리 요청 시 거주지, ZIP CODE 확인 절차 예시 - SAMSUNG>
<CCPA 권리 요청 시 거주지 확인 절차 예시 - American Express>
CCPA 소비자정의및확인방법02
CCPA 준수사항00
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
CCPA-compliant Privacy Policy 작성
Right to know (알권리)
Right to delete (삭제권)
Right to opt-out (판매 거부권)
Right to Non-discrimination(차별취급 금지권)
CCPA에서는 다양한 소비자(정보주체)의 권리를 명시하고 있으며, 해당 권리는
CCPA에서 정의하는 ‘소비자’에 해당하는 캘리포니아 주민에게만 보장됩니다. 이를
보장하기 위해 CCPA 에서 요구하는 사항이 반영된 CCPA compliant Privacy Policy
작성이 필요하며, 개인정보 판매 중지 요구(Do not sell my personal information)
링크 제공 등 다양한 의무를 준수해야 합니다.
CCPA-compliant Privacy Policy 작성01
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
게시내용
ⓐ 12개월 내 발생한 개인정보 수집에 대한 사항
1) 수집된 개인정보의 카테고리
2) 해당 카테고리의 정보 수집 출처 및 목적
ⓑ 12개월 내 발생한 개인정보 공개/제공(disclosure)에 대한 사항
Service Provider 등 사업적인 목적(business purpose)으로 개인정보
공개/제공(disclosure)이 발생한 경우, 1) 공개된 개인정보의 카테고리 2) 개인정보가
공개/제공된 제3자의 카테고리 (공개/제공이 발생하지 않은 경우 발생하지 않았다는 사실)
ⓒ 12개월 내 발생한 개인정보 판매(sale)에 대한 사항
개인정보가 금전 또는 가치 있는 대가를 위해 판매된 경우, 1) 판매된 개인정보의
카테고리와 옵트아웃 권리 행사 방법, 2) 개인정보가 판매된 제3자의 카테고리 (판매가
발생하지 않은 경우, 발생하지 않았다는 사실)
ⓓ CCPA에 명시된 소비자 권리의 종류와 구체적인 행사 방법
1) 소비자의 알권리, 삭제권, 차별 취급 금지권 내용 및 행사 방법
2) 개인정보 열람 요청과 삭제권 처리를 위해 사업자가 수행하는 권리 요청자 신원 확인
절차에 대한 설명
3) 개인정보 판매가 발생하는 경우, 판매 금지권 내용과 “Do not sell my personal
information” 페이지 링크
CCPA에 따라 개인정보 처리 발생 시 소비자는 이에 대해 ‘고지 받을 권리(right to
notice)’가 있습니다. 사업자는 소비자에게 개인정보 처리에 관련된 내용을 Privacy
Policy(개인정보처리방침)를 통해 알려야 하며, Privacy Policy는 12개월마다 최소 1회
이상 의무적으로 업데이트해야 합니다.
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
ⓐ12개월 내 발생한 개인정보 수집에 대한 사항
1) 12개월 내 수집된 개인정보의 카테고리
2) 해당 카테고리의 정보 수집 출처
3) 해당 카테고리의 정보 수집 목적을 공개해야 합니다.
• Privacy Policy에는 구체적인 개인정보 항목이 아닌 개인정보 ‘카테고리’를
기재해야 하며, 총 11가지의 개인정보 카테고리가 존재합니다.
CCPA-compliant Privacy Policy 작성01
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
<표로 제공하는 경우 예시 - ABB>
<카테고리별 수집, 공개, 판매 여부를 표로 제공하는 경우 예시 - Digital Ocean>
• 11개 개인정보 카테고리 수집에 대한 사항은 수집 여부(‘YES’/’NO’), 수집 출처,
수집 목적을 표 형태로 제공할 수 있습니다.
CCPA-compliant Privacy Policy 작성01
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
ⓑ 12개월 내 발생한 개인정보 공개(disclosure)에 대한 사항
• ”사업적인 목적(business purpose)”으로 개인정보 공개/제공(disclosure)이
발생한 경우, 공개된 개인정보의 카테고리와 해당 정보가 공개/제공된 제3자의
카테고리를 명시해야 합니다. 공개/제공이 발생하지 않은 경우에는 발생하지
않았다는 사실을 명시해야 합니다.
• ”사업적인 목적”으로 발생하는 개인정보 공개/제공은 개인정보 판매(sale)
행위와 구분되며, CCPA는 7가지 카테고리의 활동을 “사업적인 목적”으로
정의하고 있습니다. 해당 활동을 목적으로 개인정보를 제3자에게 공개/제공하는
경우, 공개/제공되는 개인정보의 카테고리를 Privacy Policy에 명시해야 합니다.
CCPA-compliant Privacy Policy 작성01
*위 표에 나오는 활동은 예시이며, 해당 사례 외 다른 사례가 존재할 수 있습니다.
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
CCPA-compliant Privacy Policy 작성01
<공개되는 개인정보 카테고리의 Privacy Policy 게시 예시 - Horne LLP>
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
ⓒ 12개월 내 발생한 개인정보 판매(sale)에 대한 사항
• 개인정보가 금전 또는 가치 있는 대가를 위해 판매(sale)된 경우, (1) 판매된
개인정보의 카테고리 및 해당 정보가 판매된 제3자의 카테고리와 (2) 판매
거부권(옵트아웃) 행사 방법을 공개해야 합니다. 판매가 발생하지 않은 경우에는
판매가 발생하지 않았다는 사실을 명시해야 합니다.
CCPA-compliant Privacy Policy 작성01
<개인정보 판매 시 Privacy Policy 게시 내용 예시 - Nexroll>
<개인정보 판매가 발생하지 않는 경우 Privacy Policy 게시 내용 예시 - Microsoft>
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
ⓓ CCPA에 명시된 소비자 권리의 종류와 구체적인 행사 방법
• CCPA에서 보장하는 소비자의 권리인 (1) 알권리의 내용 및 행사 방법,
(2 )삭제권의 내용 및 행사 방법, (3) 차별취급 금지권 내용, (4) 개인정보 판매
거부권 관련 내용과 해당 권리를 행사할 수 있는 링크를 공개해야 합니다.
CCPA-compliant Privacy Policy 작성01
<소비자 권리 내용 및 행사 방법에 대한 Privacy Policy 게시 내용 예시-Snapchat>
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
• 또한 소비자가 해당 권리를 행사할 수 있는 구체적인 권리 행사 방법을 두 가지
이상 공개해야 합니다. 이와 같은 방법의 예시로는 전화, 이메일, 웹사이트 양식
제출, 오프라인 문서 제출 등이 있습니다. 권리 요청을 할 수 있는 방법으로 “무료
전화“는 필수적으로 제공해야 합니다. 단, 온라인으로만 서비스를 제공하고
정보주체와 직접적인 관계(direct relationship)를 가지는 사업자의 경우 권리를
요청할 수 있는 “이메일”만 제공하는 것이 허용됩니다.
• 구체적인 권리 행사 방법과 함께 해당 권리를 행사하는 권리 요청자가 정당한
권리자인지 여부를 확인하는 절차에 대한 설명도 기재해야 합니다.
CCPA-compliant Privacy Policy 작성01
<구체적인 소비자 권리 행사 방법에 대한 Privacy Policy 게시 내용 예시 - Techbuyer>
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
• Privacy Policy는 “소비자가 합리적으로 접근할 수 있는 방식”으로 공개해야
합니다. Privacy Policy는 일반적으로 홈페이지의 경우 홈페이지 하단에,
모바일의 경우 앱다운로드 페이지 혹은 앱 설정에서 소비자가 상시로 확인할 수
있도록 게시해야 합니다.
• 개인정보 처리에 관한 사항을 소비자에게 “개인정보 수집이 발생하거나 그
이전에” 고지해야하기 때문에 Privacy Policy는 이용자로부터 개인정보를
수집하는 시점에 제공하거나, 그 전에 이용자가 Privacy Policy를 확인할 수 있는
기회를 다양한 방법으로 제공해야 합니다. 구체적인 방법으로는 (1) 페이지 팝업
등으로 Privacy Policy 링크를 제공하거나 (2) 소비자로부터 개인정보를
수집하는 시점에 Privacy Policy 링크를 제공하는 방법 등이 있습니다.
CCPA-compliant Privacy Policy 작성01
고지방법
[방법1] 팝업 등을 통해 Privacy Policy 링크 제공 예시 - SeaLights
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
CCPA-compliant Privacy Policy 작성01
[방법2] 소비자로부터 개인정보 수집 시점에 Privacy Policy 링크를 제공하는 방법-
SeaLights
Right to know (알권리)02
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
권리보장방법
CCPA에서는 개인정보 처리 발생 시 개인정보 처리에 대한 소비자의 ‘알권리(right to
know)’를 보장하고 있습니다. 소비자는 (1) 사업자가 수집한 개인정보의
카테고리(categories of personal information)와 (2) 사업자가 수집한 구체적인
개인정보(specific pieces of personal information)에 대한 열람을 요구할 수
있습니다.
• 사업자는 소비자가 개인정보의 열람을 요청할 수 있는 최소 두 가지 이상의
방법을 제공해야 합니다. 구체적인 방법 예시로는 (1) 전화를 통한 요청 (2)
웹사이트 양식을 통한 요청 (3) 이메일, 우편물, 또는 대면 요청 등이 있습니다. 이
중에서 (1) 전화를 통한 요청 방법은 필수로 제공해야 하며, 권리 행사를 위한
전화는 무료로 제공되어야 합니다. 단, 예외적으로 온라인 서비스만 운영하는
사업자의 경우, 권리를 요청할 수 있는 이메일만 제공하는 것이 허용됩니다.
• 만약 지정되지 않은 방법으로 소비자가 권리를 요청한 경우, 사업자는 해당
요청을 처리하거나 소비자에게 지정된 방법으로 권리를 요청할 것을 요구할 수
있습니다.
Right to know (알권리)02
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
• 개인정보의 열람 요청을 받은 사업자는 해당 요청에 대해 10일 이내 접수 확인
사실 및 해당 요청을 어떻게 처리할 예정인지 알려야 하며, 요청을 받은
시점으로부터 45일 이내 정보를 제공해야 합니다. 해당 기간은 권리 요청자의
신원 확인 기간을 포함하며, 사업자는 합리적으로 필요한 경우, 소비자에게
알리고 이 기간을 1회(45일) 연장할 수 있습니다.
• 사업자는 소비자의 요구가 있더라도 12개월 동안 같은 소비자에게 2회 이상
정보를 제공할 의무는 없습니다.
• 소비자가 인터넷 계정을 가지고 있는 경우, 인터넷 계정으로 정보 전송이
가능합니다. 인터넷 계정이 없는 경우 권리 요청을 위한 계정 개설을 강제할 수
없습니다. 인터넷 계정이 없는 경우 이메일 또는 우편물로 전송 가능하며, 이러한
방법으로 정보 제공 시 합리적인 보안 수단을 적용해야 합니다.
권리요청의처리
• 아래의 경우에 모두 해당하는 경우 사업자는 소비자의 열람권 요청을 거부할 수
있습니다. 아래 조건을 모두 충족하여 소비자의 권리 요청을 거부하는 경우,
사업자는 소비자에게 해당 사실을 설명해야 합니다
권리의제한
(1) 사업자가 개인정보를 찾을 수 있거나(searchable) 합리적으로 접근
가능한(accessible) 형태로 저장하지 않은 경우
(2) 법률 준수 및 컴플라이언스 목적으로만 개인정보를 저장한 경우
(3) 개인정보를 판매하거나, 상업적인 목적으로 이용하지 않는 경우
(4) 사업자가 소비자에게 개인정보가 포함될 수 있으나, 위 조건을 충족하기 때문에
찾아보지 않은 기록의 카테고리에 대한 설명을 제공한 경우
Right to know (알권리)02
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
제공정보의유형
[유형1] 개인정보 카테고리 요청(categories of personal information)
• 소비자가 “개인정보의 카테고리” 정보를 요청하는 경우, 사업자는 이용자에게
아래 정보를 제공해야 합니다. 해당 정보는 모든 소비자에게 동일하게 제공되는
Privacy Policy 내용이 아닌, 맞춤으로 정보를 제공해야 합니다.
(1) 12개월 내 수집된 개인정보의 카테고리, 수집 출처
(2) 개인정보가 수집 또는 판매된 비즈니스 또는 상업적 목적
(3) 사업자가 개인정보를 공유한(share) 제3자의 카테고리
(4) 12개월 내 판매된 개인정보의 카테고리와 각 카테고리별 판매된 제3자의
카테고리
(5) 12개월 내 비즈니스 목적으로 공개/제공된(disclosed) 개인정보의
카테고리와 각 카테고리별 공개/제공된 제3자의 카테고리
[유형2] 구체적인 개인정보 항목 요청(specific pieces of personal information)
• “구체적인 개인정보 항목” 정보를 요청하는 경우, 사업자는 소비자로부터 수집한
구체적인 개인정보 항목이 무엇인지 알려야 합니다. 단, 아래 항목에 대한 정보는
제공하지 않아야 합니다.
(1) 사회보장번호 Social Security number
(2) 운전면허 번호 Driver's license number
(3) 정부 발행 식별 번호 Any government-issued identification number
(4) 계좌 번호 Financial account number
(5) 건강보험 또는 의료 식별 번호 Any health insurance or medical identification number
(6) 계정(계좌) 비밀번호 Account password
(7) 보안 질문과 답변 Security questions and answers
(8) 인체 특성에 대한 측정 또는 기술 분석에서 생성된 고유한 생체 인식 데이터 Unique
biometric data generated from measurements or technical analysis of human
characteristics
Right to know (알권리)02
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
권리요청자의신원확인방법
• 사업자는 권리 요청한 자가 사업자가 가지고 있는 개인정보에 대한 정당한
권리를 가지고 있는 자인지 확인할 수 있는 합리적인 신원 확인 절차를 두어야
합니다. 권리 요청자의 신원 확인이 불가한 경우, 사업자는 권리 요청자에게 해당
사실을 알리고 거부할 수 있습니다.
• 사업자는 기존에 가지고 있는 정보로 권리 요청자의 신원 확인이 가능한 경우,
추가적인 정보를 요청하지 않아야 합니다. 다만 사업자가 기존에 보유하고 있는
정보만으로는 요청자의 신원 확인이 불가한 경우, 추가적인 정보를 요구할 수
있습니다. 해당 정보는 권리 요청 처리를 위한 신원 확인 용도로만 이용해야 하며,
소비자의 권리 요청 처리가 끝난 후 지체없이 파기되어야 합니다.
• 신원 확인 절차 구축 시, 사업자는 아래와 같은 내용을 고려하여 구축해야 합니다.
a. 소비자에 대해 수집되고 저장되는 개인 정보의 유형, 민감성 및 가치(민감하거나
귀중한 개인정보는 보다 엄격한 검증과정을 보장해야 함)
b. 무단 액세스 또는 삭제로 인해 발생하는 소비자 위해 위험(무단 접근 또는 삭제에
의해 소비자에게 더 큰 위험을 가져오는 경우 보다 엄격한 검증 과정을 보장해야 함)
c. 사기 또는 악의적인 행위자가 개인 정보를 획득하려는 가능성(가능성이 높을수록
검증 프로세스는 더 엄격해야 함)
d. 소비자가 자신의 신원을 확인하기 위해 제공해야 할 개인 정보가 사기성
요청이나 스푸핑 또는 조작으로부터 보호하기에 충분히 견고한지 여부
e. 기업이 소비자와 상호작용하는 방식
f. 검증에 이용 가능한 기술
• 소비자의 계정이 별도로 존재하는 경우, 사업자는 계정 인증을 통해 권리 요청자의
신원을 확인할 수 있습니다. 권리 요청자의 개인정보 열람 요청에 따라 정보 공개 시
재인증 절차가 필요합니다.
Right to know (알권리)02
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
권리요청자의신원확인방법
• 소비자의 서비스 계정이 별도로 존재하지 않는 경우, “개인정보의 카테고리” 열람
요청에 대해 사업자는 “합리적인 수준의 확실성(a reasonable degree of
certainty)”을 가지고 요청을 처리할 수 있는 신원 확인 절차를 두어야 합니다.
“합리적인 수준의 확실성”을 가지기 위한 신원 확인 절차로는 권리 요청자가 제공한
최소 두 가지 이상의 데이터 항목을 사업자가 가지고 있는 데이터와 매칭하는
방법이 있습니다.
• ”개인정보에 대한 구체적인 항목(specific pieces of personal information)”의
열람 요청에 대해 사업자는 “합리적으로 높은 수준의 확실성(a reasonably high
degree of certainty)” 을 가지고 요청을 처리할 수 있는 신원 절차를 두어야
합니다. “합리적으로 높은 수준의 확실성”을 가지기 위한 신원 확인 절차로는 권리
요청자가 제공한 최소 세 가지 이상의 데이터 항목을 사업자가 가지고 있는
데이터와 매칭하는 방법이 있습니다. 이와 함께 권리 요청자에게 해당 권리를 가진
소비자가 아닌 경우 위증에 대한 처벌을 받겠다는 내용에 서명을 요구해야 합니다.
해당 방법을 신원 확인 절차로 사용하는 경우, 서명 기록을 의무적으로 보관해야
합니다.
Right to know (알권리)02
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
<알권리/삭제권 요청 방법 예시(웹사이트 양식으로 요청) - Acxiom>
Right to delete (삭제권)03
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
권리보장방법
CCPA에서는 개인정보 처리 발생 시 소비자의 개인정보를 삭제할 권리(right to
delete)를 보장하고 있습니다. 소비자는 사업자에게 자신에 관한 모든 형태의 개인정보
삭제를 요청할 수 있으며, 소비자의 삭제 요청 시 사업자는 소비자로부터 수집한
개인정보를 삭제해야 합니다.
• 사업자는 소비자가 삭제권을 요청할 수 있는 최소 두 가지 이상의 방법을 제공해야
합니다. 단, 예외적으로 온라인 서비스만 운영하는 사업자의 경우, 권리를 요청하는
이메일만 제공할 수 있습니다.
• 구체적인 방법 예시로는 (1) 전화를 통한 요,청 (2) 웹사이트 양식으로 요청, (3)
이메일, 우편물, 또는 대면 요청이 있습니다. 이 중에서 (1) 전화를 통한 요청 방법은
필수로 제공해야 하며, 권리 행사를 위한 전화는 무료로 제공되어야 합니다.
• 만약 지정된 방법이 아닌 방식으로 소비자가 권리를 요청한 경우, 사업자는 해당
요청을 처리하거나 소비자에게 지정된 방법으로 권리를 요청할 것을 요구할 수
있습니다.
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
삭제권의처리
• 사업자는 소비자의 삭제 요청 시, (1) 시스템에서 영구적으로 개인정보를
삭제하거나 (2) 비식별화 하거나 (3) 소비자의 정보를 총계처리(aggregating) 하는
방법으로 처리할 수 있습니다.
• 삭제권 행사 요청을 받은 사업자는 해당 요청에 대해 10일 이내 접수 확인 사실 및
해당 요청을 어떻게 처리할 예정인지 알려야 하며, 요청을 받은 시점으로부터 45일
이내 정보를 삭제해야 합니다. 해당 기간은 권리 요청자의 신원 확인 기간을
포함하며, 사업자는 합리적으로 필요한 경우 소비자에게 알리고 이 기간을
1회(45일) 연장할 수 있습니다.
Right to delete (삭제권)03
권리의제한
• 아래와 같은 경우에 삭제권을 거부할 수 있습니다.
(1)거래관계 · 계약이행을 위해 합리적으로 필요한 경우
(2)보안사고의 탐지 및 유지·관리를 위해 필요한 경우
(3)악의적 · 기만적 · 불법적 활동 방지를 위해 필요한 경우
(4)오류를 식별하고 수정하기 위해 필요한 경우
(5)언론의 자유 및 그 밖의 권리를 보장하기 위하여 필요한 경우
(6)공익적 차원에서 과학, 역사, 통계를 위해 필요한 경우
(7)소비자의 기대와 합리적으로 일치하는 내부 용도로만 이용하는 경우
(8)소비자의 요구가 명백히 근거가 없거나 과도하거나 반복적인 경우
(9)신청한 사람이 정당한 권리자인지 합리적으로 확인할 수 없는 경우 등
• 삭제권을 거부한 경우, 소비자에게 해당 정보가 삭제되지 않았다는 사실과 사유를
알려야 합니다. 예외 사례에 해당하지 않는 개인정보는 삭제해야 하며, 예외 사례에
해당하여 삭제되지 않은 정보는 예외 사례로 명시된 목적으로만 이용할 수 있습니다.
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
권리요청자의신원확인방법
• 사업자는 권리 요청한 자가 사업자가 가지고 있는 개인정보애 대한 정당한 권리를
가지고 있는 자인지 확인할 수 있는 합리적인 신원 확인 절차를 두어야 합니다. 권리
요청자의 신원 확인이 불가한 경우, 사업자는 권리 요청자에게 해당 사실을 알리고
거부할 수 있습니다.
• 사업자는 기존에 가지고 있는 정보로 권리 요청자의 신원 확인이 가능한 경우,
추가적인 정보를 요청하지 않아야 합니다. 다만 사업자가 기존에 보유하고 있는
정보만으로는 요청자의 신원 확인이 불가한 경우, 사업자는 요청자에게 추가적인
정보를 요청할 수 있습니다. 해당 정보는 권리 요청 처리를 위한 신원 확인 용도로만
이용해야 하며, 소비자의 권리 요청 처리가 끝난 후 지체없이 파기되어야 합니다.
• 신원 확인 절차 구축 시, 사업자는 아래와 같은 내용을 고려하여 구축해야 합니다.
Right to delete (삭제권)03
a. 소비자에 대해 수집되고 저장되는 개인 정보의 유형, 민감성 및 가치(민감하거나
귀중한 개인정보는 보다 엄격한 검증과정을 보장해야 함)
b. 무단 액세스 또는 삭제로 인해 발생하는 소비자 위해 위험(무단 접근 또는 삭제에
의해 소비자에게 더 큰 위험을 가져오는 경우 보다 엄격한 검증 과정을 보장해야 함)
c. 사기 또는 악의적인 행위자가 개인 정보를 획득하려는 가능성(가능성이 높을수록
검증 프로세스는 더 엄격해야 함)
d. 소비자가 자신의 신원을 확인하기 위해 제공해야 할 개인 정보가 사기성
요청이나 스푸핑 또는 조작으로부터 보호하기에 충분히 견고한지 여부
e. 기업이 소비자와 상호작용하는 방식
f. 검증에 이용 가능한 기술
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
권리요청자의신원확인방법
• 소비자의 계정이 별도로 존재하는 경우. 사업자는 계정 인증을 통해 권리 요청자의
신원을 확인할 수 있습니다. 삭제 요청에 따라 정보 삭제 시 재인증 절차가
필요합니다.
• 소비자의 서비스 계정이 별도로 존재하지 않는 경우, 개인정보 삭제 요청에 대해
개인정보의 민감성과 인가되지 않은 삭제로 인해 소비자에게 끼칠 수 있는 피해의
정도를 고려하여 “합리적인 수준의 확실성(a reasonable degree of certainty)”
또는 “합리적으로 높은 수준의 확실성(a reasonably high degree of
certainty)”을 가지고 삭제 요청을 처리해야 합니다. 예를 들어, 가족 사진 및 문서
삭제는 “합리적으로 높은 수준의 확실성(a reasonably high degree of
certainty)”을 가질 수 있는 수준의 신원 확인 절차를 요구하는 반면, 인터넷
이용내역 삭제는 “합리적인 수준의 확실성(a reasonable degree of certainty)”
을 가질 수 있는 수준의 신원 절차를 요구할 수 있습니다.
Right to delete (삭제권)03
소비자는 자신의 개인정보를 제3자에게 판매(sale)하는 사업자에 대해서 개인정보를
판매하지 말 것을 지시할 권리인 개인정보 판매 거부권(right to opt-out)을 갖습니다.
소비자가 판매 거부권을 행사한 경우, 사업자는 판매 행위를 중단해야 하며 최소 12개월
동안 소비자에게 판매 허락 요청을 할 수 없습니다. 판매 거부 요청은 ‘Do not sell my
personal information’이라는 명확한 링크를 통해 소비자가 해당 권리를 쉽게 요청할
수 있도록 구현되어 있어야 합니다.
Right to opt-out (판매 거부권)04
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
개인정보판매(sale)의범위
• CCPA는 개인정보의 수집(collect)와 판매(sale) 행위를 구분하여 정의하고 있으며,
법에서는 판매를 아래와 같이 정의하고 있습니다. 수집 및 이용에 대해서는
판매와는 달리 별도 거부권을 보장하고 있지 않습니다.
“Sell,” “selling,” “sale,” or “sold,” means selling, renting, releasing,
disclosing, disseminating, making available, transferring, or otherwise
communicating orally, in writing, or by electronic or other means, a
consumer's personal information by the business to another business or
a third party for monetary or other valuable consideration.
• 제3자 데이터 공유 행위 중 ‘금전적인 또는 다른 가치 있는 대가’를 위한 것만 판매에
해당한다고 해석해야 하며, 데이터 공유 행위 중 (1)사업적인 목적으로 Service
Provider(개인정보처리 수탁자 개념과 유사)에게 개인정보 제공하거나 (2)
소비자가 사업자에게 의도적으로 개인정보 공개를 지시(direct)하거나, 제3자와
의도적으로 교류(interact)하기 위해 사업자를 이용하는 경우 판매 예외에
해당(=판매에 해당하지 않음)합니다.
Right to opt-out (판매 거부권)04
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
CCPA에따른판매행위여부판단
ⓐ 판매 사례 예외에 해당하는가?
• 예외사례1) 우리나라에서 위탁자의 개인정보 처리 업무를 대신하여 처리하는
‘수탁자’와 유사한 개념인 Service Provider에게 개인정보를 제공하는 경우
판매에 해당하지 않습니다. Service Provider에 해당하기 위해서는 Service
Provider의 개인정보 이용을 특정한 목적으로 제한한다는 내용이 담긴 계약서가
존재해야 합니다.
• 예외사례2) “소비자가 사업자에게 의도적으로 개인정보 공개를
지시(direct)하거나, 제3자와 의도적으로 교류(interact)하기 위해 사업자를
이용하는 경우”는 (CCPA에 따라 허용된 경우를 제외하고) 정보를 제공받는 자가
정보를 판매하지 않는 한 판매에 해당하지 않습니다. 즉, 소비자가 제3자의
서비스 이용 등을 위해 제3자와 상호 교류를 원하여 사업자에게 개인정보를
제공할 것을 의도적으로 지시한다면 판매에 해당하지 않습니다.
Right to opt-out (판매 거부권)04
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
ⓑ ‘가치 있는 대가’ 를 위한 데이터 제공인가?
• CCPA ‘판매’의 정의를 살펴보면 가치 있는 것을 대가로 제3자와 개인 정보를
공유하는 모든 행위를 포함한다는 점에서 광범위하게 해석될 여지가 있습니다.
하지만 모든 공유 행위를 의미한다고 볼 수는 없으며 “금전적인 또는 가치 있는
대가”라는 문구에 초점을 맞추어 판매 여부 판단이 필요합니다.
• 사업자가 다른 사업자에게 데이터를 공유하는 경우, 해당 데이터 자체가
“교환으로 인해 기대되는 대상”이 아닌 경우에는 개인정보 판매에 해당하지
않습니다. 예를 들어, 벤더(vendor)사와의 계약에서 상호간 계약의 ‘동기’ 및
‘유인’은 ‘계약된 서비스 제공’에 대한 ‘돈의 지급’입니다. 계약된 서비스의 제공
과정에서 데이터가 벤더사에 제공될 수 있지만, 데이터를 제공받는 행위는
쌍방이 계약 행위에 참여한 유인이라고 볼 수 없습니다. 심지어 벤더사가
제공받은 데이터를 서비스 품질 향상 등에 이용하여 부수적인 이익을 얻게
되더라도, 그러한 결과가 쌍방이 “대가가 지급된 계획과 목적”으로 “이해하고
의도한” 것이 아닌 이상 데이터의 공유는 여전히 ‘대가’의 요건을 구성하지
못합니다.
• CCPA 판매의 범위에 대한 논의는 CCPA에서 가장 논란이 많은 영역 중 하나로,
해당 영역에 대해서는 산업계에서도 계속해서 합의를 이루어 나가고 있는
상황입니다.
Right to opt-out (판매 거부권)04
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
권리제공방법
1. ‘Do not sell my personal information’ 링크 제공
• 판매 거부권은 “Do Not Sell My Personal Information”이라는 링크 제공을
통해 제공해야 하며, 소비자는 해당 링크를 통해 개인정보의 판매 중지를 요청할
수 있어야 합니다.
• 링크는 사업자 홈페이지에 명확(clear)하고 눈에 잘 띄는(conspicuous)
방식으로 제공해야 합니다. 주변 텍스트와 다른 크기, 타입, 글꼴 또는 색깔
등으로 표시했을 때에만 “conspicuous” 조건을 만족한다고 볼 수 있습니다.
<‘conspicuous’ 조건을 만족한 DNSMPI 링크 제공 예시 - Transunion>
Right to opt-out (판매 거부권) 04
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
권리제공방법
• 모바일 앱의 경우 (1) 앱의 플랫폼 또는 다운로드 페이지, (2) 앱 내 설정 메뉴, (3)
그 외 소비자가 고지사항을 확일 할 수 있는 위치에 링크를 제공해야 합니다. 즉,
앱 다운로드 마켓 화면에 “Do Not Sell My Personal Information” 링크를
제공하고, 앱 내 기능으로 해당 메뉴를 넣으면 됩니다.
<앱 내 DNSMPI 메뉴 제공 예시 - Uber>
Right to opt-out (판매 거부권)04
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
권리제공방법
2. 판매 거부권 관련 고지사항
• “Do Not Sell My Personal Information” 링크 클릭 후 연결되는 페이지에서는
아래와 같은 내용을 고지해야 합니다.
(1)소비자의 개인정보 판매 옵트아웃(opt-out) 권리에 대한 설명
(2)소비자가 자신의 옵트아웃 권리를 행사할 수 있는 “상호적인
양식”(interactive form)
(3)사업자가 제공하는 모든 옵트아웃 요청 방법에 대한 설명
• 위 내용은 별도 페이지에서 제공할 수 있으며, Privacy Policy에서 해당 내용을
설명하고 있는 경우에는 링크 클릭 시 Privacy Policy에서 해당 내용을 설명하는
섹션으로 바로 이동시키는 방식으로도 고지 가능합니다. 옵트아웃 권리 행사를
위해 사업자는 소비자에게 소비자 식별을 위한 필요한 기본적인 개인정보를
요청할 수 있습니다. 사업자는 기존에 이미 수집한 개인정보로 소비자 식별이
가능한 경우, 해당 정보 외 새로운 정보를 요구하지 않아야 합니다.
(1) 소비자의 개인정보 판매 옵트아웃(opt-out) 권리에 대한 설명 - DISNEY
Right to opt-out (판매 거부권)04
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
권리제공방법
(3) 사업자가 제공하는 모든 옵트아웃 요청 방법에 대한 설명
(2) 소비자가 자신의 옵트아웃 권리를 행사할 수 있는 “상호적인 양식”
Right to opt-out (판매 거부권)04
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
나이에따른권리보장방법
• 판매거부권은 기본적으로 이용자가 이미 발생한 판매 행위를 사후적으로 중지시킬
수 있는 옵트아웃(opt-out) 권리입니다. CCPA는 16세 미만의 개인정보를 판매하는
경우에는 옵트아웃 권리가 아닌, 개인정보 판매 전 본인으로부터 사전동의(Opt-
in)를 받아야 한다고 명시하고 있습니다. 또한 13세 미만 아동의 개인정보 처리의
경우 아동 온라인 프라이버시 보호법(Children Online Privacy Protection Act,
COPPA)가 적용되어 판매 시 아동이 아닌 부모 또는 대리인으로부터 동의를 받아야
합니다.
16세 이상판매 행위에 대해 중지를 요청할 수 있는 사후 동의(Opt-out) 권리를 제공해야 함
13세 이상~16세 미만
판매 시 본인으로부터 사전동의(Opt-in)를 받아야 함
13세 미만 COPPA에 따라 부모 또는 대리인으로부터 사전동의(Opt-in)를 받아야 함
차별취급 금지권이란 열람권, 판매 거부권, 삭제권 등 소비자가 권리를 행사한 경우에도
사업자로부터 동등한 품질과 가격으로 재화 또는 서비스를 제공받을 권리를 의미합니다.
차별취급 금지권은 다른 권리와는 다르게 수동적(passive)인 소비자 권리입니다.
사업자는 privacy policy에 해당 권리에 대한 내용을 설명하고 지켜야 하며, 소비자가
해당 권리를 직접 행사할 수 있는 절차를 별도로 마련하지 않아도 됩니다.
Right to Non-discrimination(차별취급 금지권)04
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
금지되는 차별 행위 유형
• 아래와 같은 사업자의 소비자 차별 취급 행위가 금지됩니다.
합리적인 차별이 허용되는 경우
• 아래와 같은 합리적인 소비자 차별 취급 행위는 허용됩니다.
(1) 재화나 용역의 제공을 거부하는 행위
(2) 할인이나 기타 혜택을 이용하거나 벌칙을 부과하는 방식을 포함하여, 다른
가격이나 요금을 적용하는 행위
(3) 다른 품질의 재화나 용역을 제공하는 행위
(4) 다른 가격이나 요금, 다른 품질의 제품이나 서비스를 받게 될 것이라고 암시하는
행위
(1) 차별이 제공된 개인정보에 의해서 창출되는 가치와 합리적으로 관련이 있는
경우
(2) 개인정보 수집 · 판매에 동의(또는 삭제권을 미행사)하도록 소비자에게 보상
차원의 경제적 인센티브를 제공하는 경우. 단, 경제적 인센티브 도입을 위해서는
소비자가 언제든지 동의를 철회할 수 있는 사전 옵트인 동의 시스템을 도입하여야 함
CCPA FAQ01
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
Q. 캘리포니아 주민에게만 CCPA를 보장하기 위해 geo-fencing(지역에 따라 다른콘텐츠를 노출)을 사용할 수 있나요?
방문자의 IP 주소 등으로 거주 지역을 식별하여 캘리포니아 주민에게만 CCPA 관련
권리 보장 페이지를 제공하는 geo-fencing 행위의 허용 여부에 대해 캘리포니아
법무장관(Attorney General, AG)이 공식적으로 밝힌 바는 없습니다. 다만, IP
주소를 방문자 거주 지역 식별에 사용할 수 있다는 코멘트 내용으로 미루어 보아
현지에서는 IP 주소를 이용한 geo-fencing의 정확성이 높은 경우, 이를 허용하는
분위기이며 실제로 많은 기업에서 CCPA 대응을 위해 geo-fencing을 사용하고
있습니다. 다만 캘리포니아 주민이 오류에 의해 geo-fenced 당하는 상황을
방지하기 위해 별도로 CCPA 관련 권리 요청이 가능한 절차를 만드는 것이
권고됩니다.
Q. 캘리포니아 주민인 만 13세 미만 아동의 개인정보 처리에 대해서도 CCPA가적용되나요?
만 13세 미만 아동의 개인정보 처리에 대해서는 아동 온라인
개인정보보호법(COPPA)이 우선 적용됩니다. COPPA에 따라 아동의 개인정보 처리
시 부모로부터 동의를 받아야 하며, COPPA compliant privacy policy 등의 내용을
준수해야 합니다.
Q. Service Provider(수탁자)의 경우 소비자의 권리 요청에 응하지 않을 수 있나요?
CCPA는 소비자의 권리 보장 의무를 수탁자가 아닌 개인정보의 처리를 위탁하는
사업자(위탁자)에게 요구하고 있습니다. 따라서 특정 개인정보 처리에 대해
수탁자의 지위에 있는 경우, 정보주체의 권리 요청을 위탁자를 대신하여 처리할 수도
있지만, 직접 처리하지 않고 소비자에게 위탁자에게 요청할 것을 안내할 수 있습니다.
CCPA FAQ01
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
Q. CCPA 위반 시 처벌 조항은 무엇인가요?
Q. ‘Do not sell my personal information’ 링크를 게시할 때 반드시 다른 색깔등으로 강조 표시를 해야 하나요?
사업자는 인터넷 홈페이지에 명확(clear)하고 눈에 잘 띄는(conspicuous) 링크를
제공해야 합니다. 미국 통일 상법전(Uniform Commercial Code)에 명시된 정의에
따라 “conspicuous” 조건을 만족하기 위해서는 주변 텍스트와 다른 크기, 타입,
글꼴 또는 색깔 등으로 표시해야 합니다. 하지만 일부 기업에서만 “Do Not Sell My
Personal Information” 링크를 다른 색깔 등으로 표시하여 해당 조건을 만족하는
방법으로 링크를 제공하고 있으며, 대부분의 기업에서는 별다른 강조 없이 주변
텍스트와 동일한 서식으로 링크를 제공하여 이에 대해 문제가 제기되고 있는
상황입니다.
사업자에게 합리적으로 요구되는 보호조치의 시행 및 유지 실패로 인해 민감정보에
대한 무단접근, 침입, 도난, 유출이 발생한 경우 소비자는 이에 대해 법정 손해
배상을 청구할 수 있습니다. 손해 배상액은 실제 손해 발생액과 사건(또는 소비자)당
$100~750의 법정 손해 배상액 중 높은 금액으로 청구 가능합니다. 법정 손해 배상
청구 시 소비자는 사업자에게 소 제기 30일 전에 서면으로 위반에 대한 내용을
통지해야 하며, 사업자가 30일 이내 법 위반사항을 수정하는 경우 법정손해배상
청구가 불가합니다. (단, 실 손해 배상청구는 가능함)
캘리포니아 법무장관(Attorney General, AG)은 위반 건 당 최대 $2,500의 civil
penalty(민사 벌칙금)을 부과할 수 있습니다. 사업자는 30일 내 위반사항을
수정하는 경우 civil penalty를 면제 받을 수 있습니다. civil penalty는 위반 행위의
성격, 지속여부, 고의성, 심각성 등을 고려하여 결정되며 고의적인 법 위반에
대해서는 건당 최고 $7,500의 civil penalty가 부과될 수 있습니다.
CCPA 참고사이트02
02
적용대상
03
준수사항
04
Ou
tro0
1
Intro
글로벌 기업의 CCPA 관련 권리 보장 페이지를 한 눈에 확인할 수 있는 웹사이트
https://caprivacy.github.io/caprivacy/full/
미국 California Consumer Privacy Act 전문(한글/영어) 다운로드 가능한 페이지
https://www.privacy.go.kr/pic/reference.do?divtype=3
[캘리포니아 법무장관] CCPA FAQ
https://oag.ca.gov/privacy/ccpa
[캘리포니아 법무장관] Final Regulation Package under CCPA
https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/oal-sub-final-text-of-
regs.pdf
[캘리포니아 법무장관] Final Statement of Reason(FSOR)
https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/ccpa-fsor.pdf
[국회입법처] 미국 캘리포니아 주의 개인정보보호 강화 연구보고서
https://www.nars.go.kr/report/list.do?cmsCode=CM0043
[캘리포니아 법무장관] 새로운 캘리포니아 소비자 권리에 대한 권고
https://oag.ca.gov/news/press-releases/attorney-general-becerra-issues-
advisory-outlining-new-data-privacy-rights