주요 콘텐츠로 건너뛰기

캘리포니아 소비자 개인정보 보호법(CCPA)

캘리포니아 소비자 개인정보 보호법(CCPA)은 캘리포니아 주민에 대한 프라이버시권 및 소비자 보호를 강화하기 위해 2018년에 제정된 주 법령입니다. 2020년 1월에 발효된 이 법은 소비자에게 기업이 수집하는 개인 정보에 대해 더 큰 제어권을 부여하며 다음과 같은 새로운 소비자 프라이버시권을 수립합니다.

  • 기업이 수집하는 개인 정보와 정보 이용 및 공유 방법에 대해 알 권리
  • 자신의 개인 정보를 삭제할 권리
  • 개인 정보 판매를 거부할 권리
  • CCPA 권리 행사로 차별받지 않을 권리

CCPA는 누구에게 적용됩니까?

CCPA는 캘리포니아에서 사업을 수행하고 다음 기준을 충족하는 모든 영리 기업에 적용됩니다.

  • 연간 총 수익이 2,500만 달러 이상인 경우
  • 50,000명 이상의 캘리포니아 거주자, 가구 또는 기기의 개인 정보를 구매하거나 판매하는 경우
  • 연간 수익의 50% 이상을 캘리포니아 거주자의 개인 정보를 판매하여 창출하는 경우

CCPA 규정 준수를 위해 데이터 암호화가 필요합니까?

CCPA를 준수하려면 법의 1798.150항에 명시된 대로 소비자 개인 정보를 암호화해야 합니다. "개인정보를 보호하기 위해 정보의 성격에 적합하게 합리적인 보안 절차 및 관행을 이행하고 유지해야 하는 기업이 의무를 위반한 결과로 인해 제1798.81.5항 하위 조항 (d)의 (1)절 (A)호에 정의된 “암호화되지 않고 삭제되지 않은” 개인 정보가 무단 액세스 및 유출, 도난 또는 공개된 모든 소비자는 다음 중 하나에 해당하는 민사소송을 제기할 수 있습니다.

  1. 소비자 한 명당 사건 하나에 대해 100달러($100) 이상 750달러($750) 이하의 금액 또는 실제 피해 금액 중 더 큰 금액을 제공하여 손해를 복구해야 합니다.
  2. 금지 명령 구제 또는 선언적 구제
  3. 법원이 적절하다고 판단하는 기타 모든 구제."

CCPA에서는 데이터 침해를 어떻게 처리합니까?

소비자는 특정 조건이 충족되는 경우에만 CCPA에 따라 기업을 고소할 수 있습니다. 도난당한 개인 정보에 소비자의 이름(또는 이름의 이니셜)과 성이 다음과 함께 포함되어야 합니다.

  • 주민등록번호
  • 운전면허증 번호, 납세자 식별 번호, 여권 번호, 군인 식별 번호 또는 개인의 신원을 식별하기 위해 일반적으로 사용되는 정부 문서에 발급된 기타 고유 식별 번호
  • 금융 계좌 번호, 신용 카드 번호 또는 직불 카드 번호(누군가가 소비자의 계정에 액세스할 수 있도록 하는 필수 보안 코드, 액세스 코드 또는 비밀번호와 결합된 경우)
  • 의료 또는 건강 보험 정보
  • 지문, 망막 또는 홍채 이미지 또는 개인의 신원을 식별하는 데 사용되는 기타 고유한 생체 인식 데이터(단, 얼굴 인식 목적으로 사용하거나 저장하지 않는 한, 사진은 포함되지 않음)

특히, 이 정보가 암호화되지 않고 리댁션되지 않은 형태로 도난당했어야 합니다.

관련 법안에서는 이에 더해, 기록이 암호화되지 않았거나 암호화된 데이터와 암호화 키가 모두 도난당한 소비자 정보 침해로 인해 기업이 직면하는 결과에 대해 다룹니다. 특히, 의회 법안 1130에 대한 수정의 일환으로, 캘리포니아 민법 1798.82항의 일부에는 다음과 같은 내용이 있습니다.

"캘리포니아에서 사업을 수행하고 개인정보를 포함하는 컴퓨터화된 데이터를 소유하거나 라이선스를 부여하는 개인 또는 기업은 다음과 같은 캘리포니아 거주자의 데이터 보안 침해 사실을 발견하거나 통보한 후 시스템 보안 침해를 공개해야 합니다 (1) 해당 거주자의 암호화되지 않은 개인정보가 인가되지 않은 개인에 의해 취득되었거나 취득되었다고 합리적으로 믿는 경우 또는 (2) 권한이 없는 사람이 암호화된 개인 정보를 획득했거나 획득했다고 합리적으로 믿을 수 있으며 암호화 키 또는 보안 자격증명도 획득했거나 획득했다고 합리적으로 믿는 경우 및 암호화된 정보를 소유하거나 라이선스를 부여한 개인 또는 기업이 해당 암호화 키 또는 보안 자격증명을 통해 해당 개인 정보를 읽을 수 있거나 사용할 수 있다고 합리적으로 믿는 경우. 공개는 하위 조항 (c)에서 규정하는 법 집행의 합법적 요구 또는 위반 범위를 결정하고 데이터 시스템의 합리적인 무결성을 회복하기 위해 필요한 모든 조치에 부합하도록 비합리적인 지연 없이 가능한 한 가장 적합한 시간에 이루어져야 합니다."