검색
지평

한국 기업의 CCPA 준수 관련 이슈

[ 2020.03.25. ] 


미국 캘리포니아주는 2018년 6월 28일 캘리포니아 소비자프라이버시법(California Consumer Privacy ACT, ‘CCPA’)을 제정하여, 2020년 1월 1일부터 시행하고 있습니다. CCPA는 미국 연방법이 아닌 일개 주법에 불과하나, 미국인들에게도 온라인을 통해 서비스를 제공하면서 캘리포니아 주민의 개인정보를 수집, 처리하는 한국 기업의 경우, 특정 조건을 만족시킨다면, CCPA 적용 가능성을 염두에 두고 준수 방안을 모색해야 합니다.


이미 많은 한국 기업들이 2018년 5월 25일부터 시행된 유럽연합(EU)의 일반개인정보보호법(General Data Protection Regulation, ‘GDPR’)을 준수하기 위해 많은 노력을 기울여 왔습니다. CCPA의 목적은 기본적으로 GDPR과 다르지 않고, 두 법령에서 규정한 권리, 의무도 유사합니다. 하지만 주요 개념의 정의나 소비자 권리의 내용, 권리를 행사할 수 있는 시기 및 방식에는 상당한 차이가 있습니다. 따라서 이미 GDPR을 준수하여 강력한 개인정보 보호장치를 마련한 기업이라 하더라도 CCPA 준수를 위한 추가 조치를 취해야 합니다.



1. CCPA 적용범위

CCPA는 (i) 캘리포니아주에서 사업을 수행하고, (ii) 캘리포니아 주민의 개인정보를 수집하며, (iii) 이들의 개인정보 처리 목적 및 수단을 결정하고, (iv) 다음 3가지 조건 중 하나를 충족하는 (v) 영리 조직에 적용됩니다(CCPA 1798.140조):


(1) 연간 총 매출액이 25,000,000달러를 초과하는 경우;

(2) 연간 50,000명 이상의 소비자(캘리포니아 주민), 가계 또는 장치의 개인정보를 사업 목적을 위해 전달받거나 구매하거나, 이들 개인정보를 판매, 공유하는 경우; 또는

(3) 소비자(캘리포니아 주민) 개인정보 판매로 연간 매출의 50% 이상을 창출하는 경우


따라서 캘리포니아 주민의 개인정보를 수집, 처리하는 한국 기업들의 경우, 실제 수집, 처리하는 캘리포니아 주민의 개인정보가 미미하더라도 총 매출액이 상당하다면, 혹은 총 매출은 높지 않더라도 캘리포니아에서 접속이 많이 발생하고 있다면, 모두 CCPA 적용 가능성을 염두에 두고 준수 방안을 모색해야 합니다. 당장 매출액이나 정보 처리 건수가 기준에 미치지 못하더라도 매출 및 사업 성장으로 향후 12개월 내에 기준이 만족될 가능성이 있기 때문입니다.



2. CCPA가 보장하는 소비자 권리

첫째, CCPA는 소비자에게 사업자가 최근 12개월 동안 소비자들에 대해 수집한 개인정보의 카테고리 및 정보의 특정 부분 공개를 요청할 권리를 부여합니다(CCPA 1798.100조). 또한 사업자는 소비자들로부터 수집될 정보의 카테고리 및 해당 카테고리의 수집 목적을 공지해야 합니다(CCPA 1798.100조).


둘째, CCPA는 소비자에게 사업자가 자신에 대하여 수집한 정보 삭제를 요청할 권리를 부여합니다(CCPA 1798.105조).


셋째, CCPA는 소비자에게 사업자가 지난 12개월 동안 해당 소비자에 대하여 수집한 개인정보의 카테고리, 해당 개인정보가 수집된 원천의 카테고리, 개인정보 수집, 판매의 사업적, 상업적 목적, 개인정보가 공유된 제3자의 카테고리 및 수집된 개인정보 특정 부분의 공개를 사업자에게 요청할 수 있는 권리를 부여합니다. 또한, 소비자들에게 사업자가 수집한 개인정보의 카테고리, 해당 개인정보가 수집된 원천의 카테고리, 개인정보 수집, 판매의 사업적, 상업적 목적, 개인정보가 공유된 제3자의 카테고리 및 소비자가 수집된 개인정보 특정 부분의 공개를 요청할 수 있는 권리가 있음을 공지해야 합니다(CCPA 1798.110조).


넷째, 사업자가 소비자의 개인정보를 판매하거나 사업 목적을 위해 공개한 경우, 소비자는 사업자에게 자신에 대하여 수집된 정보, 판매된 정보 및 이를 구매한 제3자에 대한 정보 및 사업 목적으로 공개된 정보의 카테고리 목록을 요청할 권리가 있습니다. 또한 사업자는 소비자들에게 사업자가 판매하거나 사업 목적으로 공개한 소비자 개인정보 카테고리의 목록 혹은 판매나 공개가 이루어지지 않았다는 사실을 공지해야 합니다(CCPA 1798.115조).


다섯째, CCPA는 소비자는 언제든 사업자가 자신의 개인정보를 제3자에게 판매하지 못하도록 거부할 수 있는 권리를 부여합니다(CCPA 1798.120조).


여섯째, CCPA는 사업자가 위에서 열거한 정보 청구, 삭제, 판매 거부 등의 권리를 행사한 소비자를 차별하지 못하도록 금지합니다(CCPA 1798.125조).


GDPR과 CCPA가 소비자 권리를 보장하는 방식에서 나타나는 가장 큰 차이는 소비자가 사업자의 정보처리에 대해 동의하거나 거부할 수 있는 기회가 주어지는 시점 및 그 방식입니다. 즉, GDPR에서는 개인정보 처리 전에 반드시 법령에 열거된 근거 중 하나가 충족되도록 요구하며, 법적 근거 중 하나인 이용자의 사전 동의는 정보처리의 목적, 정도 및 기간에 대한 정보가 명확하게 제공된 경우에만 유효합니다(GDPR 6조). 반면, CCPA는 개인정보의 처리나 제3자 판매에 대해 소비자의 사전 동의를 요구하지는 않습니다. 대신, 사업자들에게 CCPA에서 보장하는 소비자 권리를 사업자 웹사이트에 공지하고, 사후적으로 소비자들에게 정보의 제공이나 삭제, 판매 거부 등을 요청할 수 있는 수단을 제공하도록 요구합니다. 따라서 이미 GDPR 준수를 위해 개인정보 처리에 대한 사전 동의 취득 절차를 마련하고 있는 사업자라 하더라도, CCPA 준수를 위해 CCPA가 보장하고 있는 권리를 공지하고, 소비자가 자신의 개인정보 삭제를 요청하거나 판매를 거부할 수 있는 장치들을 마련해야 합니다.



3. CCPA의 집행

사업자가 개인정보를 보호하기 위해 합리적인 보안절차 및 방침을 시행하고 유지해야 할 의무를 위반함으로써 암호 처리되거나 삭제되지 않은 개인정보가 무단으로 열람·추출·도용·제공되는 경우, 해당 소비자는 사업자를 상대로 손해배상, 금지명령구제나 선언적 구제 혹은 법원이 적합하다고 판단하는 기타 구제를 구하는 민사소송을 제기할 수 있습니다. 여기서 배상액은 각 소비자에 대한 위반 건당 최소 100달러에서 최대 750달러 및 실제 손해액 중 큰 금액으로 결정됩니다(CCPA 1798.150조).


또한 CCPA 미준수에 대한 통지를 받은 날로부터 30일 이내에 해당 미준수를 치유하지 않은 사업자는 CCPA를 위반한 것으로 간주됩니다. 이렇듯 CCPA를 위반한 사업자에게는 캘리포니아 법무장관이 캘리포니아 주민들의 이름으로 제기한 민사소송에서 위반 건당 최대 2,500달러, 고의적인 위반 건당 최대 7,500달러의 민사 범칙금이 부과될 수 있습니다(CCPA 1798.120조).


이와 같이 사업자의 CCPA 위반이 확인되면, 그 배상액 혹은 민사 범칙금은 실제 발생한 손해에 의해 결정되는 것이 아니라 법령에서 정한 금액에 따라 결정됩니다. 즉 소송을 제기한 당사자가 실제 발생한 손해 규모를 적절히 입증하지 못하는 경우에도 기본적으로 상당한 금액을 책임져야 하는 것입니다. 따라서 특별히 민감한 개인정보를 다루거나, 수집한 개인정보를 제3자와 거래하는 등 높은 위험을 수반하지 않는 사업을 영위하고 있는 일반적인 사업자라 하더라도 CCPA 위반에 따른 비용은 상당한 편입니다. 이러한 위험을 방지하기 위해 미리 CCPA에 대한 검토 및 그에 따른 조치를 강구할 필요가 있겠습니다. 



최승수 변호사 (sschoi@jipyong.com)

정진 미국변호사 (jjung@jipyong.com)

리걸에듀

관련 법조인