CCPA(캘리포니아주 소비자 개인정보 보호법)란?

캘리포니아주 소비자 개인정보 보호법(CCPA)은 캘리포니아 거주자로부터 기업이 수집하는 개인 데이터에 대한 통제권을 부여합니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 캘리포니아주 주민이 CCPA에 따라 어떤 권리를 갖는지 알아보기
  • CCPA가 기업에 적용되는 경우 설명
  • CCPA와 다른 데이터 개인정보 보호법의 대비

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

캘리포니아주 소비자 개인정보 보호법(CCPA)이란?

캘리포니아주 소비자 개인정보 보호법(CCPA)은 캘리포니아주 거주자의 개인 데이터를 처리하는 대부분의 기업에 적용되는 데이터 개인정보 보호 법률의 일부입니다. CCPA는 캘리포니아주 거주자에게 기업이 수집하는 개인 데이터에 대해 일정 수준의 통제권을 부여합니다.

CCPA는 2020년 1월 1일에 발효되었습니다. 2020년 말, 캘리포니아주 유권자들은 CCPA를 개정하고 확대하는 캘리포니아 개인정보 보호 권리법(CPRA) 발의안을 통과시켰습니다. CCPA는 시간이 지남에 따라 계속 개정될 예정입니다.

CCPA에서는 소비자에게 어떤 권리를 부여할까요?

CCPA에서는 소비자에게 다음과 같은 중요한 권리를 부여합니다.

  • 알 권리: 소비자는 조직이 자신에 대해 어떤 개인 정보를 수집하고 해당 정보가 어떻게 사용되는지 알아야 합니다.
  • 삭제할 권리: 일부 예외를 제외하고 소비자는 자신에 대해 수집된 정보를 삭제할 수 있습니다.
  • 거부할 권리: 소비자는 자신의 정보가 제3자에게 판매되는 것을 예방할 수 있습니다.
  • 차별 금지 권리: 조직에서는 CCPA 권리를 행사하는 사용자를 일반 서비스에 대해 더 많은 요금을 부과하는 등 차별적으로 대우해서는 안 됩니다.그러나 CCPA 권리를 행사하면 조직에서 제공할 수 있는 서비스에 영향이 미치는 경우가 있습니다. 예를 들어 전자상거래 웹 사이트 사용자가 "삭제할 권리"를 행사하여 계정을 삭제하면 해당 웹 사이트에 배송 주소나 신용카드 정보를 더 이상 저장할 수 없게 될 수 있습니다.

Alice가 news.example.com 웹 사이트를 방문한다고 가정해 보겠습니다.해당 웹 사이트에서는 브라우저 쿠키 및 사용자 위치 추적을 사용합니다.Alice가 캘리포니아주 산호세에 있는 아파트에서 노트북으로 이 웹 사이트를 로드하고 있습니다.캘리포니아주에 있으므로 news.example.com을 로드하면 배너가 나타납니다.배너는 웹 사이트의 쿠키 및 위치 데이터 사용에 대해 Alice에게 알려줍니다.이런 일은 Alice가 알 권리를 가지고 있으므로 발생합니다.

또한 이 배너는 Alice에게 선택권을 제공합니다. Alice는 "내 개인 정보 판매 금지" 버튼을 클릭하여 news.example.com에서 광고 네트워크에 자신의 위치 정보를 판매하는 것을 허용하지 않도록 선택할 수 있습니다.또는 "수락 후 계속" 을 클릭하여 이 데이터 판매를 허용할 수 있습니다.Alice는 옵트아웃할 권리가 있으므로 이러한 선택을 할 수 있습니다.

이제 Alice가 자신의 위치를 최대한 비공개로 유지하고 싶어서 "내 개인 정보 판매 금지"를 클릭한다고 가정해 보겠습니다.갑자기 news.example.com의 모든 콘텐츠가 잠기고 Alice는 더 이상 웹 사이트에서 동영상을 보거나 기사를 읽을 수 없게 됩니다.Alice는 차별 금지 권리를 가지고 있으므로, news.example.com에서는 데이터 판매를 허용한 다른 사용자에게 제공하는 것과 동일한 서비스를 Alice에게 동일한 가격으로 제공해야 하므로, 이는 CCPA 위반에 해당합니다.

CCPA는 어디에 적용될까요?

CCPA는 캘리포니아주 거주자의 개인 데이터에만 적용됩니다. 그러나 조직의 소재지와 관계없이 캘리포니아주 주민에 대한 데이터를 수집하는 경우 모든 조직이 CCPA의 적용을 받을 수 있습니다.

CCPA는 캘리포니아주에서 사업 규모와 관계없이 다음 설명 중 하나를 충족하는 조직에 적용됩니다.

  1. 연간 총 매출이 2,500만 달러 이상인 기업입니다.
  2. 기업에서 최소 50,000명의 캘리포니아주 거주자, 가구, 장치의 개인 정보를 구매, 수신, 판매합니다.
  3. 캘리포니아주 주민의 개인 정보를 판매하여 연간 수익의 50% 이상을 얻는 기업입니다.

CCPA는 비영리 단체, 정부 기관, 특정 종류의 금융 기관에는 적용되지 않습니다. 예를 들어, 캘리포니아주 거주자는 채권 추심 기관에 개인 정보 삭제를 요청하여 빚을 갚지 않을 수 없습니다.

CCPA에서는 '개인 정보'를 어떻게 정의할까요?

CCPA는 "개인 정보" 를 다음과 같이 정의합니다.

"'개인정보'란 특정 소비자 또는 가구를 직간접적으로 식별하거나 해당 소비자 또는 가구와 관련되거나 설명하거나 합리적으로 연관될 수 있거나 합리적으로 링크될 수 있는 정보를 의미합니다."

또한 CCPA에는 다음과 같이 개인 정보로 간주되는 다양한 유형의 데이터가 나열되어 있습니다.

  • 이름
  • IP 주소
  • 우편 주소
  • 생체 인식 정보
  • 인터넷 브라우징 기록 또는 검색 기록
  • 위치 정보
  • 나열된 유형의 개인 정보로부터 추론되는 모든 정보

전체 목록은 캘리포니아 소비자 개인정보 보호법 1798.140조에서 확인할 수 있습니다.

또한 CCPA에서는 합법적으로 입수한 정부 기록의 정보 등 공개적으로 이용 가능한 정보는 개인 정보로 간주되지 않는다는 점을 명확히 하고 있습니다.

"개인 정보"에 대한 이 정의는 CCPA에 고유합니다.유럽연합의 일반 데이터 보호 규정(GDPR)과 같은 기타 개인정보 보호 프레임워크에서는 자체적인 정의를 사용합니다.

CCPA 규정 준수는 GDPR 규정 준수와 동일할까요?

이 두 가지 개인정보 보호 프레임워크는 서로 다른 지역에 적용된다는 점 외에도 CCPA와 GDPR은 동일하지 않습니다. 용어 정의가 다르고, 기업에 대한 요구 사항이 다르며, 벌금 및 처벌 구조가 다릅니다. GDPR을 준수한다고 해서 CCPA 준수가 보장되는 것은 아니며, 그 반대의 경우도 마찬가지입니다.

CCPA가 HIPAA보다 우선할까요?

의료정보 이동 및 책임에 관한 법률(HIPAA)은 의료 데이터 개인정보 보호 및 보호를 규율하는 미국 연방법입니다. CCPA는 이미 HIPAA에 의해 규제되는 개인 의료 정보에는 적용되지 않습니다.

CCPA는 쿠키 사용에 어떤 영향을 미칠까요?

"쿠키"는 사용자가 웹 사이트를 방문할 때 웹 사이트에서 생성되어 사용자의 웹 브라우저로 전송되는 작은 정보 파일입니다. 일부 쿠키에서는 사용자 브라우징 기록, 사용자 검색 기록, 사용자와 웹 사이트와의 상호 작용을 수집합니다. 이들은 모두 CCPA에 따라 "개인 정보"로 간주됩니다. 알 권리에 따라 조직에서는 쿠키를 통해 수집하는 데이터의 종류와 해당 데이터가 어떻게 사용되는지를 사용자에게 알려야 합니다.

그러나 다른 개인정보 보호 프레임워크와는 달리 CCPA에서는 조직에서 쿠키에 대해 사용자의 동의를 받을 것을 요구하지 않습니다.

쿠키 또는 데이터 개인정보 보호에 대해 자세히 알아보세요.