주요 콘텐츠로 건너뛰기
이미지
보라색 육각형 패턴

GDPR이란 무엇입니까?

GDPR은 2016년 4월에 발효된 유럽 연합(EU) 법률입니다. GDPR은 유럽 연합 거주자를 보호하기 위해 개인 데이터 보호와 데이터 침해에 대한 조직의 책임을 강화하도록 설계되었습니다. GDPR를 위반하는 경우 전 세계 수익의 최대 4% 또는 2,000만 유로(둘 중 더 높은 금액)의 벌금이 부과됩니다. 그리고 조직이 있는 지역과 관계없이 EU 거주자의 개인 데이터를 처리하거나 통제하는 경우 조직에 이 규정이 적용됩니다.

GDPR의 주요 데이터 보안 요구 사항
GDPR의 일부 주요 조항에 따르면 조직은 다음을 수행해야 합니다.

  • 개인 데이터를 "무단 또는 불법 처리로부터 보호하는 노력을 포함"하여 보안을 보장하는 방식으로 처리해야 합니다(제5조).
  • "개인 데이터의 익명화 및 암호화"를 포함하여 위험 수준에 적합한 데이터 보안을 보장하는 기술적/조직적 조치를 구현해야 합니다. (제32조)
  • 데이터 침해로 인해 개인의 “권리와 자유에 높은 위험을 초래할 가능성이 있는 경우” 데이터 침해 주체에게 “지나친 지체 없이” 개인 데이터의 침해 사실을 알려야 합니다(제34조).
  • "개인 데이터에 대한 무단 공개 또는 무단 액세스"를 방지해야 합니다. (제32조)

GDPR에 대해 자세히 알아보기:

GDPR은 개인 데이터의 암호화를 요구합니까?

제6조(처리의 합법성)에서는 "암호화 또는 익명화"를 데이터 주체의 개인 데이터를 보호해 주는 "적절한 보호 수단"으로 인정합니다.

제32조(처리의 보안)에 따라 "처리자는 위험 수준에 적합한 보안 수준을 보장하기 위해 특히 다음을 포함한 적절한 기술적/조직적 조치를 구현해야 합니다.

(a) 개인 데이터의 익명화 및 암호화…”

제34조(개인 데이터 침해에 대한 데이터 주체와의 커뮤니케이션)에서는 데이터 위반 문제를 겪고 있는 조직은 암호화를 사용하여 "개인 데이터에 액세스할 수 없는 사람이 알 수 없도록 개인 데이터를 렌더링"하는 경우 커뮤니케이션과 관련한 책임을 피할 수 있다고 명시합니다.

CCPA란?

캘리포니아 소비자 개인정보 보호법(CCPA)은 2020년 초부터 시행되었습니다. CCPA는 캘리포니아 주민이 수집되는 개인 데이터와 개인 데이터가 사용되는 방식에 대해 더 많은 권한을 부여하도록 설계되었습니다.

CCPA를 위반한 것으로 밝혀진 기업은 의도적인 각 위반 행위에 대해 $7,500의 벌금을 부과받게 됩니다. 비의도적인 위반은 그보다는 덜 부담스럽지만 각 행위당 $2,500으로 여전히 무겁습니다. 그러나 민사 소송은 규정을 준수하지 않는 조직에 잠재적으로 부정적인 영향을 미칠 수 있습니다. 조직은 CCPA 비준수로 인해 영향을 받은 소비자에 대해 1인당 최대 $750의 민사 피해를 입을 수 있습니다.

CCPA에 대해 자세히 알아보기:

CCPA는 개인 데이터의 암호화를 요구합니까?

CCPA의 1798.150항에 명시된 내용은 다음과 같습니다. "개인정보를 보호하기 위해 정보의 성격에 적합하게 합리적인 보안 절차 및 관행을 이행하고 유지해야 하는 기업이 의무를 위반한 결과로 인해 제1798.81.5항 하위 조항 (d)의 (1)절 (A)호에 정의된 '암호화되지 않고 삭제되지 않은' 개인 정보가 무단 액세스 및 유출, 도난 또는 공개된 모든 소비자는 민사소송을 제기할 수 있습니다..."

또한 CCPA 관련 법률에서는 암호화 키 보호에 관한 내용이 명시되어 있습니다. 특히 의회 법안 1130의 경우 캘리포니아 침해 통지 법령을 업데이트하기 위해 도입된 것으로, 데이터가 침해되는 경우 데이터 침해 주체에게 이를 통지해야 합니다(데이터가 암호화되었거나 암호화 키가 데이터와 함께 획득되지 않은 경우는 제외).

CCPA와 GDPR

GDPR과 CCPA는 어떤 면에서 유사합니까?
GDPR과 CCPA는 모두 해당 지역에 거주하는 사람들의 개인정보 및 데이터 권리를 보호하기 위한 것입니다. 두 법률 모두 조직이 있는 지역과 관계없이, 해당 지역의 거주자와 사업하는 조직을 대상으로 합니다.

CCPA와 GDPR은 모두 개인에게 개인 데이터에 대한 특정 권리를 부여하며, 개인 데이터를 보유하고 처리하는 조직에 투명성을 요구합니다.

CCPA와 GDPR에서 모두 해당하는 사항:

  • 기업이 해당 개인에 대해 수집한 개인 정보를 공개하도록 요구합니다.
  • 조직이 개인 데이터를 이용해 수행하는 일을 공개하도록 요구합니다.
  • 개인 데이터를 보유하고 있는 조직이 개인 데이터와 관련된 개인의 요청 시 해당 데이터를 삭제하도록 요구합니다.
  • 조직이 개인의 개인 데이터를 보호하기 위한 사이버 보안 조치를 마련하도록 요구합니다.
  • 규정을 준수하지 않는 경우 벌금을 부과합니다.

GDPR과 CCPA는 어떤 면에서 다릅니까?

  • GDPR은 회사가 법적 근거에 따라 거주자에 대한 데이터를 처리하도록 요구합니다. 그러나 CCPA는 그렇지 않습니다.
  • GDPR은 위에서 언급한 법적 근거 요건을 준수하는 모든 기업에 적용됩니다. CCPA는 연간 총수익이 2,500만 달러 이상인 기업에만 적용됩니다.
  • CCPA에 따라 개인은 회사가 개인 데이터를 판매하지 못하도록 막을 수 있으며, 조직은 이러한 개인을 차별할 수 없습니다.
  • GDPR은 "유전자 데이터" 및 "생체 데이터"와 같은 용어를 포함하여 더 구체적으로 명시하고 있기 때문에, 건강 관련 정보를 처리하는 회사에 추가적인 조건이 적용됩니다. CCPA는 일반적이고 포괄적인 용어를 사용합니다.
  • 일반적으로 GDPR 벌금은 CCPA 벌금보다 높을 가능성이 큽니다. 그러나 CCPA의 경우 민사 소송이 가능합니다. 따라서 규정을 준수하지 않는 조직은 많은 벌금이 부과받을 수 있습니다.