1편에서는 먼저 시행된 캘리포니아 개인정보보호법의 기본이 되는 ‘캘리포니아 소비자개인정보보호법(California Consumer Privacy Act, 이하 CCPA)’에 대해 알아보았다. 본 편에서는 새로 시행되는 ‘캘리포니아 개인정보권리보호법(California Privacy Rights Act, 이하 CPRA)’을 알아보고 기타 미국 내 다른 주의 개인정보보호법 시행에 대한 움직임을 살펴보도록 하겠다.

캘리포니아 개인정보권리보호법(CPRA)의 새로운 사항

• 새로운 단속 에이전시인 ‘캘리포니아 개인정보보호에이전시’의 등장

충분한 예산을 확보한 새로운 단속 기관인 캘리포니아 개인정보보호에이전시(California Privacy Protection Agency, 이하 CPPA)가 앞으로는 캘리포니아 내에서의 새로운 개인정보보호법을 관리 단속하게 된다. 업계에서는 본 에이전시가 과거 캘리포니아주 법무부장관(Attorney General)이 취한 집행 조치보다 훨씬 더 공격적인 집행을 시행할 것으로 예상한다.

• 확장된 관점에서의 데이터에 대한 ‘판매’ 및 ‘공유’ 정의

2022년 8월 캘리포니아주 법무부장관은 유명 화장품 회사인 세포라(Sephora)와 120만 달러의 합의를 본 바 있다. 세포라가 할인 서비스 또는 기타 비현금 보상 등의 목적으로 소비자 데이터를 분석하기 위해 소셜 미디어 회사에 ‘공유’한 것 역시 캘리포니아 소비자개인정보보호법(CCPA)에 의거 ‘판매’라고 결론지어졌으며, 'Do Not Sell My Personal Information' 링크를 회사 웹사이트에 게시하게 하는 등 명령이 내려졌다.

<세포라의 개인정보 보호 정책 페이지>

[자료: 세포라 웹사이트(https://www.sephora.com/beauty/privacy-policy)]

Do Not Sell My Personal Information 링크란, 소비자가 자신의 개인정보 판매를 거부할 수 있는 권리를 행사할 수 있는 메커니즘을 의미한다. 기업에서 취합된 사용자들의 데이터를 판매하는 경우, 사이트에 Do Not Sell My Personal Information 링크를 포함해야 한다.

<CNN의 Do Not Sell My Personal Information 링크>

[자료: CNN 웹사이트(https://www.cnn.com/)]

<디즈니의 Do Not Sell My Personal Information 링크>

[자료: 디즈니 웹사이트(https://www.disney.com/)]

캘리포니아 소비자개인정보보호법(CCPA)에 의거, 회사가 벤더나 서비스 제공자에 개인정보를 공개해야 할 때는 반드시 계약상 해당 정보의 사용을 제한하는 조항을 삽입해야 하겠다.

• 데이터 추적 메커니즘

캘리포니아 개인정보보호에이전시(CPPA)는 기업이 개인정보를 추적하는 방법과 제공하는 통지 및 정보 수집의 동의 유형을 더욱 면밀히 조사할 예정이다. 기업들은 쿠키 정책과 타깃 광고 등을 위해 제3자와 기업의 개인 정보를 공유하는 경우에 대해 소비자가 동의해야 하는 사항도 꼼꼼히 관리해야 한다.

세포라 집행 조치에서 캘리포니아주 법무부장관은 회사가 ‘GPC(Global Privacy Control)’* 브라우저 도구를 받아들이면 이러한 의무 중 일부를 충족할 수 있지만, 지금 현 상황에는 GPC의 사용과 수락이 널리 보급되지는 않았다고 말했다.

  주*: GPC(Global Privacy Control)는 인터넷 사용자가 자신의 개인정보 판매나 공유를 원하는지 여부와 같은 개인정보 기본 설정을 기업에 알릴 수 있도록 설계돼 있다. 이는 사용자 브라우저 또는 모바일 장치의 설정 또는 확장으로 구성되며, 웹사이트가 사양을 지원함을 나타내는 데 사용할 수 있는 메커니즘 역할을 한다. 이는 범용 opt-out 신호를 전송하기 위한 기술 사양으로, ‘범용 opt-out 메커니즘’이라고도 부른다.

<GPC 웹사이트 메인 페이지>

[자료: Global Privacy Control 웹사이트(https://globalprivacycontrol.org/)]

현재 이 시그널은 캘리포니아 개인정보권리보호법(CPRA)에 맞추어 제작돼 있으며, 캘리포니아 거주자들이 자신들의 데이터 판매를 거부할 수 있는(Opt-out) 권리를 주고 있다.

GPC는 Brave Browser 및 DuckDuckGo와 같은 개인 정보 보호에 중점을 둔 브라우저와 New York Times 및 The Washington Post와 같은 유명 언론사의 컨소시엄에서 지원한다. GPC 도구를 사용하려면, 사용자는 신호를 지원하는 브라우저 또는 확장 프로그램을 다운로드해야 한다. 광고 차단 확장 프로그램을 관리하는 것과 유사하게 사용자는 방문하는 모든 웹사이트 또는 개별 웹사이트에 대해 GPC 시그널을 켤 수 있다. 그러나 아직까지는 많은 브라우저에서 사용할 수 없는 점, 한정된 컨소시엄 등에서 제공하는 점으로 인해 널리 보급되기에는 시간이 걸릴 것으로 예상된다.

• 직원 및 지원자의 데이터

캘리포니아 소비자개인정보보호법(CCPA)에 대한 캘리포니아 개인정보권리보호법(CPRA) 수정안은 2023년 1월 1일 자로 직원 및 지원자 데이터에 대한 유예를 제거했다. 따라서, 직원 및 지원자들도 회사에 자신의 개인정보 삭제나 수정 또는 사용 및 공유의 제한을 요청할 수 있다.

• B2B 관계의 일부로 수집된 개인정보

이제 공급업체 또는 고객 담당자의 비즈니스 이메일 주소 역시 캘리포니아개인정보권리보호법(CPRA)에 따라 ‘개인정보’에 해당하게 됐다. 지금까지는 대부분의 사업체와 그 대리인에게 이러한 데이터 관리에 대한 특별한 문제가 발생하지 않았지만, 향후로는 위반 시 캘리포니아 법에 따라 처리되게 된다.

• 기존 캘리포니아 소비자개인정보보호법(CCPA)에서 추가된 캘리포니아 개인정보권리보호법(CPRA)상 권리

기존 캘리포니아 소비자 개인정보 보호법(CCPA)은 소비자에게 6가지 특정 권리를 부여한다. 

  (1) 사업자가 수집한 소비자, 수집 대상, 수집 이유, 판매한 경우 대상에 대해 알 권리(공개 요청)

  (2) 소비자로부터 수집한 개인정보를 삭제할 수 있는 권리

  (3) 개인정보 판매 거부권(해당되는 경우)

  (4) 만 16세 미만 소비자의 개인정보 판매 동의권(해당되는 경우)

  (5) 모든 권리를 행사함에 있어 비차별적 대우를 받을 권리

  (6) 데이터 위반에 대한 사적 소송을 제기할 권리

새로이 발효된 캘리포니아 개인정보권리보호법(CPRA)은 아래와 같은 추가 권리를 생성하며, 기존 권리를 확대했다.

1) 부정확한 개인정보를 정정할 수 있는 권리

캘리포니아 소비자는 자신의 잘못된 정보를 가지고 있는 기업에 이를 정정하도록 요구할 수 있다.

2) 민감한 개인정보의 사용 및 공개를 제한할 권리

캘리포니아 소비자는 개인의 민감한 개인정보(예: 사회보장번호(Social Security number), 금융 계좌번호, 지리적 위치 데이터 또는 유전적 데이터 등)를 본인이 기업에 요청한 서비스의 제공을 위한 제한된 목적으로만 한정 사용하도록 기업에 요청할 수 있다.

3) 비차별적 대우를 받을 권리의 확대

차별취급금지권을 확대해 본 법률에 따른 권리 행사로 인해 고용과 계약에 있어서 차별당하지 않을 것을 명시적으로 보장하고 있다.

타 주의 새로운 개인정보보호법

• 주별 개인정보보호법 관할권의 발생 기준 차이

버지니아주와 콜로라도주는 유사한 개인정보보호법에 대한 관할권 체계를 가지고 있지만, 캘리포니아주와 동일하지는 않다. 일반적으로는 기업이 해당 주에서 비즈니스를 하거나 해당 주를 타깃으로 해 제품을 생산한 경우, 전년도에 기업이 해당 주 거주자들의 개인정보를 통제 또는 처리하거나 해당 정보 판매로 일정 수익 이상을 얻은 경우에 개인정보보호법의 관할권을 가지게 된다. 한편, 코네티컷주는 이러한 연간 수익 기준이 없다. 즉, 상당한 수준의 수익이 자동으로 개인정보보호법의 적용 범위를 확정하지 않으며, 일정 수익이 나지 않았다고 해서 면제되지 않는다. 또, 코네티컷주에서는 지불거래에 사용되는 개인정보는 개인정보보호법에서 면제하고 있다.

• 주별 직원 데이터 개인정보보호법 포함 차이

캘리포니아개인정보권리보호법(CPRA)과는 달리 버지니아, 코네티컷, 콜로라도 및 유타주의 법률은 소비자에게만 적용되며 직원에게는 적용되지 않는다.

• 주별 HIPPA 및 GLBA 적용의 차이

캘리포니아는 ‘연방건강보험 이동성 및 결과보고 책무활동에 관한 법률(Health Insurance Portability and Accountability Act, 이하 HIPAA)’ 및 ‘금융서비스 현대화법(Gramm-Leach-Bliley Act, 이하 GLBA)’의 적용은 어떤 데이터인지에 따라 다르며, 기관 자체에 개인정보보호법의 적용을 면제시켜주지 않는다. 따라서, 캘리포니아 개인정보보호법은 HIPPA의 규제를 받고 있는 관계 기관에서 수집한 보호돼야 하는 건강 정보(Protected Health Information)에 대해서는 적용되지 않는다. 마찬가지로, GLBA의 프라이버시 및 안전규정(Privacy and Safeguards Rules) 하에 있는 비공개 개인정보에도 적용되지 않는다. 그러나 코네티컷 및 버지니아주는 위의 데이터들의 개인정보 보호법 적용을 면제할 뿐만 아니라 HIPPA 및 GLBA의 규제가 적용되는 기관 및 기업 자체에 대해서도 개인정보보호법의 적용을 면제시켜 준다.

시사점: 새로운 개인정보 보호법으로 더욱 신중해야 하는 다음 단계

과거 타인의 정보가 자산이며, 귀중히 모은 타인의 정보를 잘 활용해 사업에 이용해야 한다는 좋은 의도의 정보 수집과 활용도 분명 존재했다. 그러나 어쩌면 좋은 의도였던 이 귀중한 자료의 활용은 시간이 흐르며 합법, 불법적인 기업들에 의해 부적절한 방법과 의도로 수집 및 사용, 판매되기 시작했고 이에 대한 정부 규제는 불가피하게 됐다. 캘리포니아는 이러한 필요성을 인지하고 빠르게 반응해 미국의 개인정보보호법의 중심에서 기준을 세우는 역할을 하고 있다.

캘리포니아 및 미국 내에서 사업을 하고 있거나 준비 중인 우리 기업은 이러한 새로운 법적 의무에 비추어 개인정보 보호정책, 쿠키, 추적 메커니즘 및 개인정보 보호 프로그램을 제대로 관리하고 검토해야 한다. 강화된 새로운 단속기관이 직접 단속하는 만큼 기업의 더욱 면밀한 준비가 필요하다.

새로운 법률에 대한 기업의 적용 및 준수는 복잡하고 다면적인 프로세스이며, 어렵고 복잡한 사항이 될 수 있다. 이에 우리 기업들은 개인정보와 관련된 법규 위반과 이로 인한 책임 소재를 만들지 않도록 캘리포니아 개인정보권리보호법(CPRA)으로부터 파생하는 보호 프로그램의 활용 등 기업의 의무를 적극 수행해야 하며, 새로운 법률이 발효됨에 따라 변화되는 상황에 지속적으로 적응해야 하겠다.

자료: CPRA 전문(https://thecpra.org/), Forbes(https://www.forbes.com/sites/tomchavez/2022/10/27/on-privacy-regulators-are-awakening-the-consumerand-its-an-innovation-imperative/?sh=6f53459a56b3), 캘리포니아주 법무부장관 언론보도(https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-sephora-part-ongoing-enforcement), Global Privacy Control 웹사이트(https://globalprivacycontrol.org/), National Law Review(https://www.natlawreview.com/article/preparing-new-consumer-privacy-laws-colorado-connecticut-and-utah), CDC(미국질병통제예방센터) HIPAA(https://www.cdc.gov/phlp/publications/topic/hipaa.html), FTC(미국연방거래위원회) GLBA(https://www.ftc.gov/business-guidance/privacy-security/gramm-leach-bliley-act), 그 외 KOTRA 로스앤젤레스 무역관 자료 종합