캘리포니아주 소비자 개인정보 보호법(CCPA)은 캘리포니아 거주자로부터 기업이 수집하는 개인 데이터에 대한 통제권을 부여합니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
캘리포니아주 소비자 개인정보 보호법(CCPA)은 캘리포니아주 거주자의 개인 데이터를 처리하는 대부분의 기업에 적용되는 데이터 개인정보 보호 법률의 일부입니다. CCPA는 캘리포니아주 거주자에게 기업이 수집하는 개인 데이터에 대해 일정 수준의 통제권을 부여합니다.
CCPA는 2020년 1월 1일에 발효되었습니다. 2020년 말, 캘리포니아주 유권자들은 CCPA를 개정하고 확대하는 캘리포니아 개인정보 보호 권리법(CPRA) 발의안을 통과시켰습니다. CCPA는 시간이 지남에 따라 계속 개정될 예정입니다.
CCPA에서는 소비자에게 다음과 같은 중요한 권리를 부여합니다.
Alice가 news.example.com 웹 사이트를 방문한다고 가정해 보겠습니다.해당 웹 사이트에서는 브라우저 쿠키 및 사용자 위치 추적을 사용합니다.Alice가 캘리포니아주 산호세에 있는 아파트에서 노트북으로 이 웹 사이트를 로드하고 있습니다.캘리포니아주에 있으므로 news.example.com을 로드하면 배너가 나타납니다.배너는 웹 사이트의 쿠키 및 위치 데이터 사용에 대해 Alice에게 알려줍니다.이런 일은 Alice가 알 권리를 가지고 있으므로 발생합니다.
또한 이 배너는 Alice에게 선택권을 제공합니다. Alice는 "내 개인 정보 판매 금지" 버튼을 클릭하여 news.example.com에서 광고 네트워크에 자신의 위치 정보를 판매하는 것을 허용하지 않도록 선택할 수 있습니다.또는 "수락 후 계속" 을 클릭하여 이 데이터 판매를 허용할 수 있습니다.Alice는 옵트아웃할 권리가 있으므로 이러한 선택을 할 수 있습니다.
이제 Alice가 자신의 위치를 최대한 비공개로 유지하고 싶어서 "내 개인 정보 판매 금지"를 클릭한다고 가정해 보겠습니다.갑자기 news.example.com의 모든 콘텐츠가 잠기고 Alice는 더 이상 웹 사이트에서 동영상을 보거나 기사를 읽을 수 없게 됩니다.Alice는 차별 금지 권리를 가지고 있으므로, news.example.com에서는 데이터 판매를 허용한 다른 사용자에게 제공하는 것과 동일한 서비스를 Alice에게 동일한 가격으로 제공해야 하므로, 이는 CCPA 위반에 해당합니다.
CCPA는 캘리포니아주 거주자의 개인 데이터에만 적용됩니다. 그러나 조직의 소재지와 관계없이 캘리포니아주 주민에 대한 데이터를 수집하는 경우 모든 조직이 CCPA의 적용을 받을 수 있습니다.
CCPA는 캘리포니아주에서 사업 규모와 관계없이 다음 설명 중 하나를 충족하는 조직에 적용됩니다.
CCPA는 비영리 단체, 정부 기관, 특정 종류의 금융 기관에는 적용되지 않습니다. 예를 들어, 캘리포니아주 거주자는 채권 추심 기관에 개인 정보 삭제를 요청하여 빚을 갚지 않을 수 없습니다.
CCPA는 "개인 정보" 를 다음과 같이 정의합니다.
"'개인정보'란 특정 소비자 또는 가구를 직간접적으로 식별하거나 해당 소비자 또는 가구와 관련되거나 설명하거나 합리적으로 연관될 수 있거나 합리적으로 링크될 수 있는 정보를 의미합니다."
또한 CCPA에는 다음과 같이 개인 정보로 간주되는 다양한 유형의 데이터가 나열되어 있습니다.
전체 목록은 캘리포니아 소비자 개인정보 보호법 1798.140조에서 확인할 수 있습니다.
또한 CCPA에서는 합법적으로 입수한 정부 기록의 정보 등 공개적으로 이용 가능한 정보는 개인 정보로 간주되지 않는다는 점을 명확히 하고 있습니다.
"개인 정보"에 대한 이 정의는 CCPA에 고유합니다.유럽연합의 일반 데이터 보호 규정(GDPR)과 같은 기타 개인정보 보호 프레임워크에서는 자체적인 정의를 사용합니다.
이 두 가지 개인정보 보호 프레임워크는 서로 다른 지역에 적용된다는 점 외에도 CCPA와 GDPR은 동일하지 않습니다. 용어 정의가 다르고, 기업에 대한 요구 사항이 다르며, 벌금 및 처벌 구조가 다릅니다. GDPR을 준수한다고 해서 CCPA 준수가 보장되는 것은 아니며, 그 반대의 경우도 마찬가지입니다.
의료정보 이동 및 책임에 관한 법률(HIPAA)은 의료 데이터 개인정보 보호 및 보호를 규율하는 미국 연방법입니다. CCPA는 이미 HIPAA에 의해 규제되는 개인 의료 정보에는 적용되지 않습니다.
"쿠키"는 사용자가 웹 사이트를 방문할 때 웹 사이트에서 생성되어 사용자의 웹 브라우저로 전송되는 작은 정보 파일입니다. 일부 쿠키에서는 사용자 브라우징 기록, 사용자 검색 기록, 사용자와 웹 사이트와의 상호 작용을 수집합니다. 이들은 모두 CCPA에 따라 "개인 정보"로 간주됩니다. 알 권리에 따라 조직에서는 쿠키를 통해 수집하는 데이터의 종류와 해당 데이터가 어떻게 사용되는지를 사용자에게 알려야 합니다.
그러나 다른 개인정보 보호 프레임워크와는 달리 CCPA에서는 조직에서 쿠키에 대해 사용자의 동의를 받을 것을 요구하지 않습니다.
쿠키 또는 데이터 개인정보 보호에 대해 자세히 알아보세요.