CPRA의 주요 내용 및 국내 기업들에 대한 시사점
페이지 정보
작성자 관리자5 작성일20-11-27 11:51 조회1,512회 댓글0건관련링크
본문
미국 캘리포니아주에서 2020년 11월 3월 주민 투표로 The California Privacy Rights Act of 2020(캘리포니아주 프라이버시 권리법, 이하 “CPRA”)가 통과되었으며, CPRA는 2023년 1월 1일부터 시행될 예정이며, 그에 따른 하위 규칙은 2022년 7월 1일에 마련될 예정입니다.
CPRA는 The California Consumer Privacy Act(이하 “CCPA”)를 바탕으로 유럽연합의 GDPR에 보다 근접하도록 소비자의 프라이버시에 대한 권리를 확대함으로써 사업자에 대한 규제가 강화되었으며, 특히 미국 최초로 프라이버시 분야를 담당하는 규제기관(캘리포니아 프라이버시 보호국, California Privacy Protection Agency, 이하 “Cal-PPA”) 설립의 근거를 마련하였다는 점에 의미가 있습니다. 이러한 이유로 CCPA 2.0이라고 불리기도 합니다.
CPRA는 CCPA와 마찬가지로 캘리포니아 주 내에 사업장을 두고 있는지 여부와 관계없이 캘리포니아주 내에서 사업을 수행하는 주민의 개인정보를 처리하고 있다면 적용대상이 되므로 사업자들의 주의가 필요합니다.
1. CPRA의 주요 내용
* (적용시기) CPRA는 2023년 1월 1일부터 시행되며, 시행일까지는 기존 법률인 CCPA가 적용됩니다. 또한 CPRA는 2022년 1월 1일 이후에 수집된 정보에 대하여만 적용됩니다.
* (적용대상) CPRA가 적용되는 사업의 범위는 매출액과 개인정보 처리량에 따라 결정됩니다. ① 연간 매출이 2,500만 달러 이상이거나, ② 100,000건 이상의 소비자 등에 대한 개인정보를 보유하거나 ③ 개인정보 판매 및 공유에 따른 매출이 기업의 총 매출의 50% 이상을 차지하는 경우로 변경됨
- (연간매출 요건) CCPA의 요건과 동일하게 연간 매출이 2,500만 달러 이상인 경우 적용됩니다.
- (개인정보보유 요건) CCPA에서는 50,000건 이상의 개인정보를 보유할 것을 요구하였으나, CPRA는 100,000건 이상의 소비자 등에 대한 개인정보를 보유한 경우 적용되도록 적용기준을 보다 상향하여 소규모 사업자들은 CPRA의 적용대상에서 제외됩니다.
- (개인정보 매출 요건) 그 밖에 개인정보 판매 및 공유에 따른 매출이 기업의 총 매출의 50% 이상을 차지하는 경우도 CCPA와 동일하게 적용대상이 됩니다. 다만, CCPA에서는 개인정보 매출 산정 시 개인정보 ‘판매’로 인한 매출만 포함되었으나, CPRA에서는 개인정보 ‘공유’로 인한 매출도 모두 포함되도록 변경되었습니다.
* (정의조항) CPRA에서는 CCPA와 비교할 때 아래와 같이 일부 정의 조항이 개정되었습니다.
- (민감정보) 민감정보의 개념이 새롭게 도입되었습니다. 이에 따라 소비자들은 민감정보가 포함되는 경우 해당 정보의 이용이나 공개를 제한할 수 있는 보다 강력한 권리를 가지게 됩니다.
※ CPRA에서 민감정보란 (1) 사회보장번호, 운전면허번호, 주(State)ID 번호, 여권번호, (2) 비밀번호를 사용한 계정 로그인 정보, (3) 소비자의 정확한 위치 정보, (4) 인종?민족적 배경, 종교적 신념, 조합 가입에 관한 정보, (5) 사업자가 수취인인 아닌 소비자의 우편, 이메일, 서류의 내용, (6) 소비자의 유전자 정보, (7) 소비자를 인식하기 위한 생체 정보, (8) 개인의 건강과 관련한 분석 정보, (9) 소비자의 성생활이나 성적 지향에 관한 분석 정보를 의미합니다.
- (제3자) 서비스 제공자, 계약자, 소비자와의 상호 관계에 따라 소비자 정보를 수집한 사업자가 아닌, 제3자에 대한 개념을 도입하였습니다.
- (프로파일링) 개인의 선호, 경제상황, 업무 성과, 건강, 관심사, 행동, 위치, 신뢰도, 움직임을 분석하기 위한 모든 형태의 자동화된 처리를 의미하는 프로파일링의 개념 도입하였습니다.
- (공유) 경제적 대가를 수취하는지 여부와 무관하게 행태정보를 활용한 광고를 위하여 제3자에게 개인정보를 공유, 공개, 이전하는 것을 의미하는 공유 개념을 도입하였습니다.
* (소비자 권리 강화) CPRA는 다음과 같은 사업자의 의무를 신설하였습니다.
- (데이터 보관 제한 및 보관 기간 공개) 사업자는 민감정보를 포함한 개인정보의 보관 기간을 소비자에게 알릴 의무를 부담하게 됩니다. 보관기간의 특정이 불가능한 경우 소비자에게 보관기간 결정을 위한 기준을 공개하여야 하며, 공개된 목적에 합리적으로 필요한 기간을 초과하여 소비자의 개인정보를 보관할 수 없습니다.
- (민감정보의 이용과 공개를 제한할 권리) 민감정보의 개념이 새롭게 도입됨에 따라 소비자는 소비자의 특성을 유추할 목적으로 민감정보를 수집?처리하는 것을 서비스나 상품 제공을 위하여 필요한 경우로 제한할 권리를 가지게 됩니다. 또한 소비자는 민감정보의 이용과 공개를 제한할지 여부를 사전에 선택(opt-in)할 수 있는 권리를 가지며, 사업자는 소비자가 이러한 권리를 가진다는 점에 대하여 통지하여야 합니다.
- (부정확한 정보를 정정할 권리) 소비자는 부정확한 정보를 정정할 권리를 가지게 되며, 사업자는 개인정보처리방침(Privacy Policy)에 소비자가 이러한 권리를 가진다는 점을 명시하고, 소비자의 요청에 대응하기 위한 정책과 절차를 마련하여야 합니다.
- (개인정보를 광고에 활용하는 것을 거부할 권리) 소비자들은 사업자가 행태정보를 활용한 광고를 위하여 자신의 개인정보를 제3자에게 제공하는 것을 거부할 권리를 가지게 됩니다.
※ 참고로 소비자들은 CCPA에 따라 자신의 개인정보를 판매하는 것을 거부할 권리를 가지고 있었으며, 이러한 권리가 확대?강화된 것 입니다.
- (비차별 조항 확대) 비차별조항 확대를 통해 소비자들은 법률에 따른 자신의 권리 행사로 인하여 고용이나 계약에 있어 차별을 당하지 않도록 할 권리를 가지게 됩니다.
- (개인정보 제공 시 계약 작성 의무) 사업자는 개인정보를 제공하는 경우 해당 개인정보가 특정 목적으로 제공되고, 개인정보를 제공받는 자가 CPRA를 준수하며, 이를 준수하기 어려운 경우 해당 사실을 통지하여야 하고, 그 경우 사업자는 개인정보의 이용을 정지할 권리를 가진다는 점을 명시한 계약서를 작성할 의무를 부담하게 됩니다.
- (개인 행동권 확대) 소비자가 암호화된 개인정보의 무단 액세스?유출?도난이나 비밀번호를 포함한 이메일 주소 등에 대해서도 개인 행동권을 행사할 수 있도록 그 범위가 확대됩니다.
※ 현행 CCPA는 비암호화된 개인정보의 무단 액세스?유출?도난 등에 대해서만 개인의 행동권을 행사할 수 있도록 제한하고 있습니다.
* (규제기관 신설 및 규칙 제정권) CPRA는 캘리포니아 프라이버시 보호 기관을 신설하기 위한 법적 근거 및 새로운 규칙 제정의 필요성을 규정하고 있습니다.
- (프라이버시 규제기관 신설) CCPA와 CPRA를 실행하고 집행하기 위한 새로운 규제기관으로서 캘리포니아 프라이버시 보호국(CalPPA)을 설립하기 위한 법적 근거가 마련되었습니다. 해당 규제기관은 미국 최초의 소비자 프라이버시 관련 전문 기관으로 법률의 위반 가능성을 조사하고 행정처분을 집행하며, 규칙을 공포할 수 있는 권한을 가집니다.
※ 캘리포니아주 프라이버시 규제기관인 캘리포니아 프라이버시 보호국(CalPPA)은 법률 제정과 동시에 설립되어, 법률 제정일로부터 90일 이내에 위원장을 포함한 5명의 위원이 임명될 예정입니다.
※ 다만, 캘리포니아 프라이버시 보호국이 설립되기 이전까지는 캘리포니아 주 법무장관이 관련된 규칙을 제정할 권리를 가집니다.
- (보험에 관한 규칙 제정권) 규제기관은 소비자 프라이버시에 관한 기존의 캘리포니아 보험 법규를 검토하고, CPRA보다 강력한 프라이버시 보호를 제공하지 않는 경우 새로운 규칙을 제정할 의무를 부담합니다.
- (사이버 보안에 관한 규칙 제정권) 규제기관은 사업자의 소비자 개인정보 처리가 소비자의 프라이버시나 보안에 중대한 위협을 초래하는 경우 연간 사이버보안 감사를 실시하고 개인정보 처리와 관련된 위험성 평가 결과를 제출하도록 하는 규칙을 제정할 의무를 부담합니다.
2. 국내 기업들에 대한 시사점
* CPRA는, 미국 역사상 가장 엄격한 개인정보 관련 법률로 평가받는 CCPA의 내용을 더욱 강화하여 소비자의 권리를 더욱 강화한 법률입니다.
- CPRA는 CCPA와 마찬가지로 캘리포니아 주에서 사업을 하는 일정한 범위의 사업자에게만 적용되고, 여전히 우리나라 개인정보보호법이나 유럽의 GDPR에 비하여 높은 수준의 규제라고 평가하기는 어렵습니다.
- 그러나 CCPA와 비교하였을 때, 소비자의 권리 보호를 위한 추가적인 의무를 부담하게 될 것으로 보이므로, 현행 사업자 정책이나 방침이 향후 시행될 CPRA의 규정에 부합하는지 여부에 대하여 점검하여 볼 필요가 있습니다.
About Shin & Kim’s TMT Team
법무법인 세종은 방송정보통신 분야의 독보적인 전문성과 인적 네트워크를 보유하고 있으며, 기업들을 위하여 국내외 개인정보보호에 관한 전문적인 자문을 제공하고 있습니다. 그 외에도 개인정보 관련 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.
CPRA는 The California Consumer Privacy Act(이하 “CCPA”)를 바탕으로 유럽연합의 GDPR에 보다 근접하도록 소비자의 프라이버시에 대한 권리를 확대함으로써 사업자에 대한 규제가 강화되었으며, 특히 미국 최초로 프라이버시 분야를 담당하는 규제기관(캘리포니아 프라이버시 보호국, California Privacy Protection Agency, 이하 “Cal-PPA”) 설립의 근거를 마련하였다는 점에 의미가 있습니다. 이러한 이유로 CCPA 2.0이라고 불리기도 합니다.
CPRA는 CCPA와 마찬가지로 캘리포니아 주 내에 사업장을 두고 있는지 여부와 관계없이 캘리포니아주 내에서 사업을 수행하는 주민의 개인정보를 처리하고 있다면 적용대상이 되므로 사업자들의 주의가 필요합니다.
1. CPRA의 주요 내용
* (적용시기) CPRA는 2023년 1월 1일부터 시행되며, 시행일까지는 기존 법률인 CCPA가 적용됩니다. 또한 CPRA는 2022년 1월 1일 이후에 수집된 정보에 대하여만 적용됩니다.
* (적용대상) CPRA가 적용되는 사업의 범위는 매출액과 개인정보 처리량에 따라 결정됩니다. ① 연간 매출이 2,500만 달러 이상이거나, ② 100,000건 이상의 소비자 등에 대한 개인정보를 보유하거나 ③ 개인정보 판매 및 공유에 따른 매출이 기업의 총 매출의 50% 이상을 차지하는 경우로 변경됨
- (연간매출 요건) CCPA의 요건과 동일하게 연간 매출이 2,500만 달러 이상인 경우 적용됩니다.
- (개인정보보유 요건) CCPA에서는 50,000건 이상의 개인정보를 보유할 것을 요구하였으나, CPRA는 100,000건 이상의 소비자 등에 대한 개인정보를 보유한 경우 적용되도록 적용기준을 보다 상향하여 소규모 사업자들은 CPRA의 적용대상에서 제외됩니다.
- (개인정보 매출 요건) 그 밖에 개인정보 판매 및 공유에 따른 매출이 기업의 총 매출의 50% 이상을 차지하는 경우도 CCPA와 동일하게 적용대상이 됩니다. 다만, CCPA에서는 개인정보 매출 산정 시 개인정보 ‘판매’로 인한 매출만 포함되었으나, CPRA에서는 개인정보 ‘공유’로 인한 매출도 모두 포함되도록 변경되었습니다.
* (정의조항) CPRA에서는 CCPA와 비교할 때 아래와 같이 일부 정의 조항이 개정되었습니다.
- (민감정보) 민감정보의 개념이 새롭게 도입되었습니다. 이에 따라 소비자들은 민감정보가 포함되는 경우 해당 정보의 이용이나 공개를 제한할 수 있는 보다 강력한 권리를 가지게 됩니다.
※ CPRA에서 민감정보란 (1) 사회보장번호, 운전면허번호, 주(State)ID 번호, 여권번호, (2) 비밀번호를 사용한 계정 로그인 정보, (3) 소비자의 정확한 위치 정보, (4) 인종?민족적 배경, 종교적 신념, 조합 가입에 관한 정보, (5) 사업자가 수취인인 아닌 소비자의 우편, 이메일, 서류의 내용, (6) 소비자의 유전자 정보, (7) 소비자를 인식하기 위한 생체 정보, (8) 개인의 건강과 관련한 분석 정보, (9) 소비자의 성생활이나 성적 지향에 관한 분석 정보를 의미합니다.
- (제3자) 서비스 제공자, 계약자, 소비자와의 상호 관계에 따라 소비자 정보를 수집한 사업자가 아닌, 제3자에 대한 개념을 도입하였습니다.
- (프로파일링) 개인의 선호, 경제상황, 업무 성과, 건강, 관심사, 행동, 위치, 신뢰도, 움직임을 분석하기 위한 모든 형태의 자동화된 처리를 의미하는 프로파일링의 개념 도입하였습니다.
- (공유) 경제적 대가를 수취하는지 여부와 무관하게 행태정보를 활용한 광고를 위하여 제3자에게 개인정보를 공유, 공개, 이전하는 것을 의미하는 공유 개념을 도입하였습니다.
* (소비자 권리 강화) CPRA는 다음과 같은 사업자의 의무를 신설하였습니다.
- (데이터 보관 제한 및 보관 기간 공개) 사업자는 민감정보를 포함한 개인정보의 보관 기간을 소비자에게 알릴 의무를 부담하게 됩니다. 보관기간의 특정이 불가능한 경우 소비자에게 보관기간 결정을 위한 기준을 공개하여야 하며, 공개된 목적에 합리적으로 필요한 기간을 초과하여 소비자의 개인정보를 보관할 수 없습니다.
- (민감정보의 이용과 공개를 제한할 권리) 민감정보의 개념이 새롭게 도입됨에 따라 소비자는 소비자의 특성을 유추할 목적으로 민감정보를 수집?처리하는 것을 서비스나 상품 제공을 위하여 필요한 경우로 제한할 권리를 가지게 됩니다. 또한 소비자는 민감정보의 이용과 공개를 제한할지 여부를 사전에 선택(opt-in)할 수 있는 권리를 가지며, 사업자는 소비자가 이러한 권리를 가진다는 점에 대하여 통지하여야 합니다.
- (부정확한 정보를 정정할 권리) 소비자는 부정확한 정보를 정정할 권리를 가지게 되며, 사업자는 개인정보처리방침(Privacy Policy)에 소비자가 이러한 권리를 가진다는 점을 명시하고, 소비자의 요청에 대응하기 위한 정책과 절차를 마련하여야 합니다.
- (개인정보를 광고에 활용하는 것을 거부할 권리) 소비자들은 사업자가 행태정보를 활용한 광고를 위하여 자신의 개인정보를 제3자에게 제공하는 것을 거부할 권리를 가지게 됩니다.
※ 참고로 소비자들은 CCPA에 따라 자신의 개인정보를 판매하는 것을 거부할 권리를 가지고 있었으며, 이러한 권리가 확대?강화된 것 입니다.
- (비차별 조항 확대) 비차별조항 확대를 통해 소비자들은 법률에 따른 자신의 권리 행사로 인하여 고용이나 계약에 있어 차별을 당하지 않도록 할 권리를 가지게 됩니다.
- (개인정보 제공 시 계약 작성 의무) 사업자는 개인정보를 제공하는 경우 해당 개인정보가 특정 목적으로 제공되고, 개인정보를 제공받는 자가 CPRA를 준수하며, 이를 준수하기 어려운 경우 해당 사실을 통지하여야 하고, 그 경우 사업자는 개인정보의 이용을 정지할 권리를 가진다는 점을 명시한 계약서를 작성할 의무를 부담하게 됩니다.
- (개인 행동권 확대) 소비자가 암호화된 개인정보의 무단 액세스?유출?도난이나 비밀번호를 포함한 이메일 주소 등에 대해서도 개인 행동권을 행사할 수 있도록 그 범위가 확대됩니다.
※ 현행 CCPA는 비암호화된 개인정보의 무단 액세스?유출?도난 등에 대해서만 개인의 행동권을 행사할 수 있도록 제한하고 있습니다.
* (규제기관 신설 및 규칙 제정권) CPRA는 캘리포니아 프라이버시 보호 기관을 신설하기 위한 법적 근거 및 새로운 규칙 제정의 필요성을 규정하고 있습니다.
- (프라이버시 규제기관 신설) CCPA와 CPRA를 실행하고 집행하기 위한 새로운 규제기관으로서 캘리포니아 프라이버시 보호국(CalPPA)을 설립하기 위한 법적 근거가 마련되었습니다. 해당 규제기관은 미국 최초의 소비자 프라이버시 관련 전문 기관으로 법률의 위반 가능성을 조사하고 행정처분을 집행하며, 규칙을 공포할 수 있는 권한을 가집니다.
※ 캘리포니아주 프라이버시 규제기관인 캘리포니아 프라이버시 보호국(CalPPA)은 법률 제정과 동시에 설립되어, 법률 제정일로부터 90일 이내에 위원장을 포함한 5명의 위원이 임명될 예정입니다.
※ 다만, 캘리포니아 프라이버시 보호국이 설립되기 이전까지는 캘리포니아 주 법무장관이 관련된 규칙을 제정할 권리를 가집니다.
- (보험에 관한 규칙 제정권) 규제기관은 소비자 프라이버시에 관한 기존의 캘리포니아 보험 법규를 검토하고, CPRA보다 강력한 프라이버시 보호를 제공하지 않는 경우 새로운 규칙을 제정할 의무를 부담합니다.
- (사이버 보안에 관한 규칙 제정권) 규제기관은 사업자의 소비자 개인정보 처리가 소비자의 프라이버시나 보안에 중대한 위협을 초래하는 경우 연간 사이버보안 감사를 실시하고 개인정보 처리와 관련된 위험성 평가 결과를 제출하도록 하는 규칙을 제정할 의무를 부담합니다.
2. 국내 기업들에 대한 시사점
* CPRA는, 미국 역사상 가장 엄격한 개인정보 관련 법률로 평가받는 CCPA의 내용을 더욱 강화하여 소비자의 권리를 더욱 강화한 법률입니다.
- CPRA는 CCPA와 마찬가지로 캘리포니아 주에서 사업을 하는 일정한 범위의 사업자에게만 적용되고, 여전히 우리나라 개인정보보호법이나 유럽의 GDPR에 비하여 높은 수준의 규제라고 평가하기는 어렵습니다.
- 그러나 CCPA와 비교하였을 때, 소비자의 권리 보호를 위한 추가적인 의무를 부담하게 될 것으로 보이므로, 현행 사업자 정책이나 방침이 향후 시행될 CPRA의 규정에 부합하는지 여부에 대하여 점검하여 볼 필요가 있습니다.
About Shin & Kim’s TMT Team
법무법인 세종은 방송정보통신 분야의 독보적인 전문성과 인적 네트워크를 보유하고 있으며, 기업들을 위하여 국내외 개인정보보호에 관한 전문적인 자문을 제공하고 있습니다. 그 외에도 개인정보 관련 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.
댓글목록
등록된 댓글이 없습니다.
