기사캘리포니아 소비자 개인 정보 보호법에 대한 완전한 가이드
게시 됨: 2022-08-12캘리포니아 소비자 개인정보 보호법이 거주자의 데이터를 관리하는 사업체에 어떤 영향을 미치는지, 그리고 이 법의 규정을 위반할 위험을 줄이기 위해 할 수 있는 일은 무엇인지 알아보십시오.
*이 글은 2018년에 작성되었습니다. CCPA는 2020년 1월 1일에 발효되었습니다.
2018년 GDPR 패닉 이후 몇 개월이 지났습니다. 우리 모두는 규정 준수를 마무리하고 숨을 고르고 미래를 내다볼 시간을 가졌습니다(그러나 GDPR 규정 준수를 아직 다루지 않았거나 GDPR이 무엇인지 모르는 경우 , 미국 기반 웹 사이트의 GDPR에 대한 내 기사를 확인하십시오. 미국 기반 법인에 대한 개인 정보 보호 규정의 다음 단계는 무엇입니까?
2018년 9월 23일에 서명된 캘리포니아 소비자 개인정보 보호법(CCPA)입니다. 이번에는 GDPR에서 본 히스테리를 모두 피할 수 있어야 합니다.
계속하기 전에 이 문서는 중대형 B2B(기업 간 거래) 웹 사이트 소유자를 대상으로 합니다. 조직이 캘리포니아에 있는지 여부와 마찬가지로 조직이 공개 또는 비공개인지 여부는 관련이 없습니다.
나는 이와 유사한 주제에 대한 대부분의 블로그 게시물이 매우 의심스럽기 때문에 이 기사에 대한 연구는 전적으로 법률 텍스트에 의존합니다. 귀하의 정보를 어디서 얻든지 관계없이 해당 주제를 전문으로 하는 변호사에게 확인하십시오. 회사에서 핵심 비즈니스의 일부로 개인 정보를 취급하는 경우 이 기사는 귀하를 위한 것이 아닙니다.
내가 다룰 내용은 다음과 같습니다.
- 캘리포니아 소비자 개인 정보 보호법이란 무엇입니까?
- CCPA의 보호를 받는 사람은 누구입니까?
- 정확히 무엇을 보호합니까?
- 어떤 조직이 준수해야 합니까?
- 소비자의 권리는 무엇입니까?
- CCPA 준수를 보장하기 위한 단계는 무엇입니까?
- 불이행에 대한 처벌은 무엇입니까?
뛰어들자!
캘리포니아 소비자 개인 정보 보호법이란 무엇입니까?
1972년 캘리포니아 유권자들은 캘리포니아 헌법을 수정하여 모든 사람의 "양도할 수 없는" 권리 중 사생활의 권리를 포함시켰습니다. 수정안은 모든 캘리포니아 주민을 위한 법적 및 집행 가능한 사생활 보호 권리를 확립했습니다. 이 프라이버시 권리의 기본은 개인이 자신의 개인 정보 판매를 포함한 사용을 통제할 수 있는 능력입니다. – AB 375, 섹션 2(a)
이 수정안을 지원하기 위해 온라인 개인 정보 보호법, 디지털 세계 법의 캘리포니아 미성년자 개인 정보 보호 권리 및 Shine Light와 같은 많은 캘리포니아 법률이 이미 통과되었습니다.
CCPA는 거주자의 권리를 더욱 보호하기 위한 법률입니다. 제안된 투표 발의로 시작했지만 지지자들은 2018년 6월 28일 이전에 새 법안이 통과될 수 있다는 조건 하에 철회에 동의했습니다.
그것이 투표용지에 무엇을 기재할지를 최종 결정하는 기한이었습니다. 이를 충족시키기 위해 이전에 지지를 얻지 못한 불완전한 법안(Assembly Bill 375)이 부활되었습니다. 급하게 통과되었습니다. 투표 발의안과 AB 375는 투표 발의안과 결과 법률이 매우 다른 것으로 판명되었음에도 불구하고 둘 다 캘리포니아 소비자 개인 정보 보호법이라고 합니다.
캘리포니아 주의회 의원들은 법안이 제시간에 통과되지 않고 발의안이 투표용지에 부쳐지면 유권자들이 기업이 준수하는 것이 불가능하지는 않더라도 어려운 법안을 통과시킬 것을 두려워했습니다.
2018년 후반에 수정된 버전이 캘리포니아 주 상원을 통과했습니다(상원 법안 1121). 그러나 법은 아직 완벽하지 않으며 추가 수정이 가능할 것으로 보입니다.
법의 세부 사항에 들어가기 전에 일부 부분이 변경될 수 있음을 인정해야 합니다. 아마도 법 자체가 집행되지 않을 수도 있습니다.
현재 모든 주 데이터 개인 정보 보호법을 무시하는 연방 데이터 개인 정보 보호법을 제정하기 위한 이니셔티브가 있습니다. 연방 입법자들은 캘리포니아 법이 과도하거나 충분하지 않다고 생각하고 연방법을 서두를 수 있습니다... 캘리포니아 주 의회가 취한 조치를 반영하는 조치입니다.
주 및 연방 입법부가 유권자 주도의 발의와 개별 주법의 무리를 경계하는 것은 합리적입니다. 기업은 비실용적인 기술 지침이나 50개 주의 법률을 준수해야 하는 압도적인 부담을 안고 있을 수 있습니다.
웹 개발자로서 저는 이 두 가지 시나리오가 모두 두렵습니다. 그러나 개인 소비자로서 저는 캘리포니아 법에 실망했습니다. 개인의 식별 가능한 데이터를 보호하는 것만으로는 충분하지 않습니다.
무슨 일이 일어나든 앞으로 몇 년은 꽤 혼란스러울 것이지만, 지금 우리가 서 있는 곳은 여기입니다...
CCPA의 보호를 받는 사람은 누구입니까?
CCPA는 캘리포니아에 거주하는 모든 사람에게 적용됩니다. 법의 내용은 다음과 같습니다.
소비자는 2017년 9월 1일에 읽은 캘리포니아 규정집 제목 18의 섹션 17014에 정의된 캘리포니아 거주자인 자연인을 의미하지만 고유 식별자를 포함하여 식별됩니다. – AB 375, 섹션 3, 1798.140
"자연인"은 단순히 개별 인간으로 생각할 수 있습니다. 대조적으로 "법인"은 법인일 수 있습니다. 거주자의 정의는 다음과 같습니다.
법에 정의된 "거주자"라는 용어에는 (1) 임시 또는 일시적 목적 이외의 목적으로 주에 있는 모든 개인 및 (2) 주에 주소를 두고 있는 모든 개인이 포함됩니다. 일시적 또는 일시적인 목적. 다른 모든 개인은 비거주자입니다. – 캘리포니아 규정집, 제목 18, 섹션 17014
조직의 영리한 기술자가 주별로 사용자를 필터링하여 캘리포니아에 있는 사용자에게 다른 경험을 제공할 것을 제안할 수 있습니다. 그러나 이 접근 방식에는 세 가지 결함이 있습니다.
첫째, 캘리포니아 거주자는 당시 주에 있는지 여부에 관계없이 보호됩니다. 둘째, 사용자의 위치를 파악하는 데 사용하는 도구가 불완전합니다. 셋째, 캘리포니아 사용자만을 위한 별도의 웹사이트 환경을 유지하는 것은 추가로,
법률 본문(제목 포함) 전체에서 "소비자"라는 단어는 캘리포니아에 거주하는 모든 자연인을 의미하는 데 사용됩니다. 개인이 법으로 보호되는 상품이나 서비스를 구매할 필요가 없기 때문에 이상한 선택입니다.
무엇을 보호합니까?
CCPA는 캘리포니아 거주자의 개인 정보를 보호합니다. 개인정보는 개인 또는 가구와 직간접적으로 연관될 수 있는 정보입니다.
예를 들어 쿠키 또는 IP 주소를 사용하여 익명의 사용자에 대한 데이터를 수집한 다음 나중에 해당 데이터를 개인과 연결하는 것은 전적으로 가능합니다. 이는 데이터가 사람과 "연결될 수 있음"을 의미합니다.
따라서 CCPA가 비즈니스에 적용되는 경우 데이터가 수집될 때 개인에게 이 수집을 공개해야 합니다. 개인이 아직 식별되지 않았거나 식별되지 않을 경우에도 마찬가지입니다. 사람을 식별할 수 있다는 것은 준수해야 한다는 의미입니다. 개인 정보에는 다음이 포함되지만 이에 국한되지 않습니다.
(A) 실명, 별칭, 우편 주소, 고유한 개인 식별자, 온라인 식별자 인터넷 프로토콜 주소, 이메일 주소, 계정 이름, 주민등록번호, 운전면허증 번호, 여권 번호 또는 기타 유사한 식별자와 같은 식별자.
(B) 섹션 1798.80의 (e)호에 설명된 모든 범주의 개인 정보.
(C) 캘리포니아 또는 연방법에 따라 보호되는 분류의 특성.
(D) 개인 자산, 구매, 획득 또는 고려한 제품 또는 서비스, 기타 구매 또는 소비 이력 또는 경향에 대한 기록을 포함한 상업적 정보.
(E) 생체 정보.
(F) 검색 기록, 검색 기록, 인터넷 웹 사이트, 응용 프로그램 또는 광고와의 소비자 상호 작용에 관한 정보를 포함하되 이에 국한되지 않는 인터넷 또는 기타 전자 네트워크 활동 정보.
(G) 지리적 위치 데이터.
(H) 오디오, 전자, 시각, 열, 후각 또는 이와 유사한 정보.
(I) 전문 또는 고용 관련 정보.
(J) 가족 교육 권리 및 개인 정보 보호법(20 USC 섹션 1232g, 34 CFR 파트 99)에 정의된 대로 공개적으로 이용 가능한 개인 식별 정보가 아닌 정보로 정의된 교육 정보.
(K) 소비자의 선호도, 특성, 심리적 경향, 선호도, 소인, 행동, 태도, 지능, 능력 및 적성을 반영하는 소비자에 대한 프로필을 생성하기 위해 이 항에서 식별된 정보에서 도출된 추론.
– AB 375, 섹션 3, 1798.140
어떤 조직이 준수해야 합니까?
귀하의 조직이 캘리포니아 주에서 사업을 하지 않는 경우에는 분명합니다. 그리고 캘리포니아 내에서 귀하의 웹사이트를 탐색하는 사람은 해당 주에서 사업을 할 의사가 없음을 의미합니다. 그러나 귀하의 회사가 캘리포니아에서 사업을 하고 있다면 다음과 같은 몇 가지 질문을 스스로에게 던져야 합니다.
- 귀하의 조직은 연간 총 수익이 2,500만 달러를 초과합니까? (이 수치는 소비자 물가 지수에 따라 조정됩니다.)
- 귀하의 조직은 매년 50,000명 이상의 소비자, 가구 또는 장치의 개인 정보를 처리합니까?
- 귀하의 조직은 연간 수익의 50% 이상을 소비자의 개인 정보 판매로 얻습니까?
이 세 가지 질문 중 하나라도 예라고 답할 수 있다면 조직은 이를 준수해야 합니다. 조직이 이러한 모든 임계값에 해당하지만 그 중 하나를 초과하는 더 큰 기업(50% 이상의 통제력)이 소유하고 있는 경우에도 조직은 이를 준수해야 합니다.
이 법에 따라 캘리포니아 거주자에게 부여된 권리는 GDPR에 따라 EU 시민에게 부여된 권리와 많은 유사점이 있습니다. GDPR과 마찬가지로 기업은 정보를 수집하기 전에 사용자가 데이터를 수집할 때와 정확히 무엇을 할 것인지 알려야 합니다.
소비자의 개인 정보를 수집하는 사업체는 수집 시점 또는 그 이전에 수집할 개인 정보의 범주와 개인 정보 범주가 사용되는 목적을 소비자에게 알려야 합니다. – AB 375, 섹션 3, 1798.100(b)
그리고 기업이 수집한 모든 데이터를 요청할 수 있습니다.
소비자는 소비자의 개인 정보를 수집하는 기업이 해당 소비자에게 기업이 수집한 개인 정보의 범주 및 특정 부분을 공개하도록 요청할 권리가 있습니다. – AB 375, 섹션 3, 1798.100(a)
이를 바탕으로 소비자는 정보가 수집된 출처의 범주, 데이터 수집의 비즈니스 목적 및 정보를 공유하는 제3자의 범주를 알 권리가 있습니다.
또한 사용자는 귀하의 기록과 모든 서비스 제공업체의 기록에서 자신의 데이터를 삭제하도록 요청할 권리가 있습니다.
소비자는 기업이 소비자로부터 수집한 소비자 개인 정보를 삭제하도록 기업에 요청할 권리가 있습니다. – AB 375, 섹션 3, 1798.105(a)
핵심 비즈니스가 소비자의 개인 데이터를 다루는 것이라면 추가로 알고 있어야 하고 대응할 준비가 되어 있어야 하는 권리가 있습니다. 그러나 다시 말하지만, 이 기사는 당신을 위한 것이 아닙니다.
무엇보다도 모든 데이터 수집에 대해 사용자에게 미리 알려야 합니다. GDPR과 달리 CCPA는 긍정적인 동의 메커니즘을 요구하지 않습니다. 예를 들어 사용자가 양식을 작성할 때 데이터로 수행할 작업을 공개하는 간단한 설명이면 충분합니다. 이용자는 수집을 이해하고 동의한다는 내용의 체크박스에 체크할 필요가 없습니다.
사용자에게 데이터를 요청하거나 데이터를 삭제하는 방법을 두 가지 이상 제공해야 합니다. 이러한 방법 중 하나는 무료 전화 번호여야 합니다. 다른 하나는 단순히 웹사이트 주소일 수 있습니다.
모든 요청은 45일 이내에 확인되고 응답되어야 합니다. 이 기간은 최초 45일 기간 내에 소비자에게 알리는 한 추가로 45일 연장될 수 있습니다. 사용자에 대한 공개에는 이전 12개월의 데이터 수집이 포함되어야 하므로 2019년 7월 1일부터 필요한 데이터를 저장하고 검색할 수 있는지 확인하십시오.
소비자로부터 개인 정보에 접근하기 위한 검증 가능한 소비자 요청을 받은 사업체는 이 섹션 - AB 375, 섹션 3, 1798.100(d)에서 요구하는 개인 정보를 소비자에게 무료로 공개하고 전달하기 위한 조치를 즉시 취해야 합니다.
귀하는 12개월 기간 동안 단일 사용자의 데이터 요청에 두 번 이상 응답할 의무가 없습니다.
CCPA 섹션 1798.110, 1798.115 및 1798.125에 따라 소비자 권리에 대한 설명을 공개하려면 개인정보 보호정책을 업데이트해야 합니다. 또한 데이터와 관련하여 요청을 수행하는 데 사용할 수 있는 방법을 제시해야 합니다.
위에서 언급했듯이 이러한 방법 중 하나는 무료 전화 번호여야 합니다. 또한 지난 12개월 동안 수집한 정보의 모든 범주를 공개하고 해당 정보를 12개월에 한 번 이상 업데이트해야 합니다.
동시에 기업의 개인 정보 보호 관행 또는 이 제목의 준수에 대한 소비자 문의를 처리하는 모든 개인에게 모든 요구 사항을 알려야 합니다. 또한 소비자가 해당 섹션에 따라 권리를 행사하도록 지시하는 방법을 알아야 합니다.
귀하의 홈페이지에 "내 개인 정보를 판매하지 마십시오"라는 제목의 링크가 있어야 한다고 조언하는 사람들이 있을 수 있지만 이 요구 사항은 소비자의 개인 정보를 판매하는 비즈니스에만 해당됩니다. 이 글의 앞부분에서 말씀드린 것처럼 소비자의 개인정보를 판매한다면 이 글은 당신을 위한 글이 아닙니다.
마지막으로 CCPA에서 부여한 개인정보 보호 권리를 행사한 사용자를 차별할 수 없습니다. 차별에는 상품이나 서비스를 거부하거나 더 높은 가격을 부과하거나 다른 수준이나 품질의 상품과 서비스를 제공하는 것이 포함됩니다.
개인정보 수집에 대한 금전적 인센티브를 제공할 수 있습니다. 그러나 이러한 인센티브 프로그램은 본질적으로 강압적이거나 고리대금업자가 아니므로 주의하십시오.
불이행에 대한 처벌은 무엇입니까?
캘리포니아 법무장관이 부과하는 벌금은 GDPR 위반에 비해 상대적으로 적습니다. 위반 혐의가 있는 경우 문제를 시정할 수 있는 30일의 시간이 주어지며 그렇게 하지 않을 경우에만 벌금을 지불해야 합니다.
위반 사항이 발견되고 문제를 해결하지 않으면 의도하지 않은 위반에 대해 $2,500의 민사 벌금이 부과되고 고의적 위반에 대해 $7,500의 민사 벌금이 부과됩니다. 이러한 처벌은 너무 가벼우므로 일부 회사는 분명히 법을 무시할 것입니다. 그러나 그들은 큰 위험을 무릅쓰고 그렇게 합니다.
CCPA 위반으로 발견되어 더 큰 비용이 발생하면 집단 소송에 노출될 위험이 높아집니다. 법정 손해액은 사고당 소비자당 $100 - $750 또는 실제 손해 중 더 큰 금액으로 제한됩니다. 그러나 수천 명의 개인 데이터를 관리하는 것이 일반적이기 때문에 집단 소송으로 인한 총 손해는 상당할 수 있습니다.
권장 사항
아마도 이러한 새로운 법률에 대해 가장 우려되는 점은 앞으로 더 있을 것이라는 지식일 것입니다. 우리는 데이터 프라이버시를 보호하기 위해 고안된 더 많은 주법이나 통과되고 주법을 선점하거나 무시하는 연방법을 보게 될 것입니다.
이러한 미래의 법률이 무엇을 포함할지 아는 것은 불가능하지만, 우리는 약간의 교육받은 추측을 할 수 있습니다. 그리고 모든 주와 EU에서 규정 준수를 보장하는 데 도움이 되는 몇 가지 추가 관행이 있습니다.
- 일정 기간 후 고객 데이터를 폐기하는 프로세스 정의
- 데이터 수집의 모든 지점에서 긍정적인 동의 메커니즘 필요
- 더 적은 데이터를 수집하십시오!
그 마지막 제안은 깨닫기 쉽고 당신의 많은 책임을 면제해 줍니다. 대부분의 최신 웹 사이트에는 사용자 활동을 기록, 추적 및 활용하는 많은 것들이 있습니다.
이러한 것들의 대부분은 실제로 웹사이트 소유자에 대한 데이터를 수집하지 않습니다. 그들은 타겟 광고 네트워크에 대한 데이터를 수집합니다. 분석, 글꼴 호스팅, 콘텐츠 전달 네트워크, 위젯 공유 등과 같은 "무료" 서비스는 무료가 아닙니다.
사용자의 개인 정보로 비용을 지불하고 있습니다. 가능하면 웹사이트에서 사용하거나 더 이상 사용자의 개인 데이터를 공개하지 않는 방식으로 구성하지 마십시오.
자원
- 캘리포니아 주 의회 법안 No. 375
- 캘리포니아 주 상원 법안 번호 1121
- CCPA에 대한 Data Privacy Monitor의 기사 일반적으로 블로그 링크를 자제하지만 특히 DPM과 Alan L. Friel의 게시물은 일관되게 우수합니다.
CCPA 규정은 압도적일 수 있습니다. 여러분이 알아야 할 모든 것을 통합하는 데 도움이 되었기를 바랍니다. 귀하의 사이트에 대한 감사를 고려 중이시라면 기꺼이 채팅해 드리겠습니다. 브랜드에 대한 웹 및 디지털 고려 사항에 대한 자세한 정보를 보려면 다음과 같은 몇 가지 팁과 리소스를 참조하세요.
- 사이트에 액세스할 수 있도록 하려면 무엇이 필요한지 알아보세요.
- 웹사이트 보안의 핵심과 사이트를 안전하게 유지하는 방법을 알아보십시오.
- 매력적인(그리고 전환하는) 비즈니스 웹사이트를 만드는 방법을 살펴보십시오.