검색
LAW&스마트

캘리포니아 소비자 프라이버시 보호법(CCPA)

158664.jpg

GDPR에 이은 또다른 글로벌 수준의 개인정보보호 입법으로 알려진 CCPA는 캘리포니아 소비자 프라이버시 보호법(California Consumer Privacy Act 2019)의 준말이다. EU에서 2018년 5월부터 시행하였던 GDPR(일반정보보호법, General Data Protection Regulation)이 유럽 내 각 국가별로 상이하였던 개인정보보호체계를 단일화하고자 하는 시도였던 반면, CCPA에는 법명에서도 보듯이 연방법도 아닌 캘리포니아 주법으로 제정되었고 올해 1월 1일부터 발효되었다.

 

CCPA는 캘리포니아 주 이외에 거주하는 주민에게는 적용되지 않지만 캘리포니아주민을 대상으로 서비스를 제공하는 서비스에는 원칙적으로 적용된다. 즉, 캘리포니아 내에 사업장이 없더라도 미국의 거주자를 대상으로 일반적으로 서비스가 제공되는 경우에는 CCPA의 영향권 안에 있다고 할 수 있다.

 

CCPA에 의하면, 개인정보 수집 시 일정한 사항을 소비자에게 고지하여야 한다. 그리고, 개인정보를 제3자에게 판매하는 경우 ‘Do not Sell my info’ 문구와 링크를 웹사이트를 통해서 제공하여야 하고, 정보주체에게 사후 거부 의사를 밝힐 수 있도록 하여야 한다. 미성년자의 정보 처리와 관련하여서도 제3자 판매 시 나이에 따라 미성년자 본인 또는 보호자의 동의를 얻도록 의무화하고 있다. 나아가 CCPA는 데이터 주체에게 통지를 요구할 수 있는 권리, 데이터에 대한 접근을 허용할 권리 및 개인정보에 대한 자신의 권리를 행사하는 소비자에 대한 차별을 금지하는 권리를 부여하고 있다. 특히 CCPA는 개인정보처리방침에 캘리포니아의 개인정보에 대한 권리에 대한 설명을 수립하고 이를 공개하여야 하며, 개인정보의 판매 여부 및 목적의 고지 및 공개 의무뿐만 아니라 이러한 사항에 대한 연 1회 이상의 업데이트 의무도 부과하고 있다.

 

글로벌 매출액의 4%이내라는 가공할 만한 수치의 과징금 체계를 갖추고 있는 GDPR과는 다르게 CCPA는 고의 위반에 대하여 소비자당 최대 7500달러까지의 민사벌이 부과될 수 있고 소비자 1명당 750달러까지의 배상 및 집단소송을 보장하고 있다. 금액이 얼마 되지 않는다고 생각할 수 있지만 법 위반이 발생하는 경우 소비자 1인을 기준으로 배상액을 정할 수 있기 때문에 실제 사고가 발생하면 기업 입장에서는 상당한 부담이 될 수 있다. 개인정보보호에 관한 일반법이 없던 미국에서 CCPA가 사실상 기업에 대한 일반법으로 작동할 것으로 기대되고 있다. 글로벌 서비스를 지향하는 우리 기업들 역시 그 준수의무가 발생할 수 있기에 주의를 기울일 필요가 있다.

 

 

강태욱 변호사 (법무법인 태평양)

리걸에듀

관련 법조인