CCPA란?

캘리포니아 소비자 개인정보 보호법(CCPA)은 캘리포니아 주민에 대한 프라이버시권 및 소비자 보호를 강화하기 위해 2018년에 제정된 주 법령입니다. 2020년 1월에 발효된 이 법은 소비자에게 기업이 수집하는 개인 정보에 대해 더 큰 제어권을 부여하며 다음과 같은 새로운 소비자 프라이버시권을 수립합니다.

• 기업이 수집하는 개인 정보와 정보 이용 및 공유 방법에 대해 알 권리
• 자신의 개인 정보를 삭제할 권리
• 개인 정보 판매를 거부할 권리
• CCPA 권리 행사로 차별받지 않을 권리

위에 나열된 권리는 기업의 개인정보취급방침에 포함되어야 하며, 이는 소비자에게 읽기 쉽고 이해하기 쉬우며 인쇄할 수 있는 형식으로 제공되어야 합니다.

CCPA는 기업이 소비자에게 읽기 쉽고 이해하기 쉬운 형식으로 다음과 같은 고지 사항을 제공할 것을 요구합니다.

• 개인정보취급방침
• 개인정보 수집에 관한 고지 사항
• 개인정보 판매거부권 고지 사항
• 재정적 인센티브 고지 사항

CCPA는 캘리포니아에서 사업을 수행하고 다음 기준을 충족하는 모든 영리 기업에 적용됩니다.

• 연간 총 수익이 2,500만 달러 이상인 경우
• 50,000명 이상의 캘리포니아 거주자, 가구 또는 기기의 개인 정보를 구매하거나 판매하는 경우
• 연간 수익의 50% 이상을 캘리포니아 거주자의 개인 정보를 판매하여 창출하는 경우

CCPA를 준수하지 않는 것으로 밝혀진 기업은 우발적 위반 건당 2,500달러, 고의적 위반 건당 7,500달러, 그리고 관련 소비자당 민사 피해액 750달러의 배상금이 부과됩니다.

CCPA 규정 준수를 충족하기 위해 기업은 다음과 같은 법 제1798.150항에 명시된 대로 소비자 개인 정보를 암호화해야 합니다. "개인정보를 보호하기 위해 정보의 성격에 적합하게 합리적인 보안 절차 및 관행을 이행하고 유지해야 하는 기업이 의무를 위반한 결과로 인해 제1798.81.5항 하위 조항 (d)의 (1)절 (A)호에 정의된 “암호화되지 않고 삭제되지 않은” 개인 정보가 무단 액세스 및 유출, 도난 또는 공개된 모든 소비자는 다음 중 하나에 해당하는 민사소송을 제기할 수 있습니다.

a. 소비자 한 명당 사건 하나에 대해 100달러($100) 이상 750달러($750) 이하의 금액 또는 실제 피해 금액 중 더 큰 금액을 제공하여 손해를 복구해야 합니다.

b. 금지 명령 구제 또는 선언적 구제

C. 법원이 적절하다고 판단하는 기타 모든 구제."

간단히 말해 기업에서 암호화되지 않은 소비자 데이터를 도난당한 경우 관련 개인은 소비자당 최대 750달러 또는 실제 손해액 중 더 큰 금액으로 해당 기업을 고소할 수 있습니다.

소비자는 특정 조건이 충족되는 경우에만 CCPA에 따라 기업을 고소할 수 있습니다. 도난당한 개인 정보에 소비자의 이름(또는 이름의 이니셜)과 성이 다음과 함께 포함되어야 합니다.

• 주민등록번호
• 운전면허증 번호, 납세자 식별 번호, 여권 번호, 군인 식별 번호 또는 개인의 신원을 식별하기 위해 일반적으로 사용되는 정부 문서에 발급된 기타 고유 식별 번호
• 금융 계좌 번호, 신용 카드 번호 또는 직불 카드 번호(누군가가 소비자의 계정에 액세스할 수 있도록 하는 필수 보안 코드, 액세스 코드 또는 비밀번호와 결합된 경우)
• 의료 또는 건강 보험 정보
• 지문, 망막 또는 홍채 이미지 또는 개인의 신원을 식별하는 데 사용되는 기타 고유한 생체 인식 데이터(단, 얼굴 인식 목적으로 사용하거나 저장하지 않는 한, 사진은 포함되지 않음)

특히, 이 정보가 암호화되지 않고 리댁션되지 않은 형태로 도난당했어야 합니다.

CCPA 자체에는 암호화 키에 대해 명시하고 있지 않습니다. 그러나 해당 법의 제1798.150조(상기 "CCPA 규정 준수를 위해 데이터 암호화가 필요합니까?" 참조) 및 "합리적인 보안 절차 및 관행을 이행하고 유지해야 하는 기업이 의무를 위반한 결과로 인해 ...무단 액세스 및 유출, 도난 또는 공개..."라는 문구를 다시 참조하십시오. 기록이 암호화되었다고 가정하면, 보안 침해 후 감사에서 암호화 키를 어디서, 어떻게 유지하는지에 대한 검토가 포함될 것으로 예상하는 것이 현명합니다. 키를 도난당한 기록이 있는 동일한 위치에 저장하거나 보호 수준이 유사한 다른 시스템에 보관한 경우, 이러한 절차와 관행은 감사인이 보기에 '합리적인' 수준에 오르지 못할 수도 있습니다. 그러므로 암호화된 데이터와 별도로 암호화 키를 보호하는 것이 좋습니다.

또한 관련 법안에서는 기록이 암호화되지 않았거나 암호화된 데이터와 암호화 키를 모두 도난당한 소비자 정보 침해로 인해 기업이 직면하는 결과에 대해 다룹니다. 특히, 의회 법안 1130에 대한 수정의 일환으로, 캘리포니아 민법 1798.82항의 일부에는 다음과 같은 내용이 있습니다.

"캘리포니아에서 사업을 수행하고 개인정보를 포함하는 컴퓨터화된 데이터를 소유하거나 라이선스를 부여하는 개인 또는 기업은 다음과 같은 캘리포니아 거주자의 데이터 보안 침해 사실을 발견하거나 통보한 후 시스템 보안 침해를 공개해야 합니다 (1) 해당 거주자의 암호화되지 않은 개인정보가 인가되지 않은 개인에 의해 취득되었거나 취득되었다고 합리적으로 믿는 경우 또는 (2) 권한이 없는 사람이 암호화된 개인 정보를 획득했거나 획득했다고 합리적으로 믿을 수 있으며 암호화 키 또는 보안 자격증명도 획득했거나 획득했다고 합리적으로 믿는 경우 및 암호화된 정보를 소유하거나 라이선스를 부여한 개인 또는 기업이 해당 암호화 키 또는 보안 자격증명을 통해 해당 개인 정보를 읽을 수 있거나 사용할 수 있다고 합리적으로 믿는 경우. 공개는 하위 조항 (c)에서 규정하는 법 집행의 합법적 요구 또는 위반 범위를 결정하고 데이터 시스템의 합리적인 무결성을 회복하기 위해 필요한 모든 조치에 부합하도록 비합리적인 지연 없이 가능한 한 가장 적합한 시간에 이루어져야 합니다."

CCPA 규정은 범위가 넓습니다. 그리고 기업이 소비자에게 어떤 권리가 있는지 알리고 개인 정보를 보호하기 위한 몇 가지 조치를 취하도록 요구합니다. 포괄적인 CCPA 솔루션에는 데이터 암호화, 적시 소비자 알림, 고객 서비스와 같은 기능이 통합될 예정입니다.

캘리포니아가 최초로 광범위한 데이터 개인정보보호법을 제정했지만, 다른 많은 주에서도 CCPA와 유사한 요건을 채택하는 것을 목표로 하는 법안을 채택했거나 입법 진행 중입니다. 2022년 중반을 기준으로 콜로라도, 코네티컷, 유타, 버지니아 등 4개 주에서 소비자 데이터 개인정보보호법을 제정했으며 각각 2023년에 발효됩니다. 그 외 12개 이상의 주에서 데이터 개인정보보호법 입법 진행 중이며 더 많은 주에서 이를 따를 것으로 예상됩니다.