• 홈페이지
  • 조항
  • 주제
  • 캘리포니아 소비자 개인 정보 보호법(CCPA) 준수에 대한 궁극적인 가이드

캘리포니아 소비자 개인 정보 보호법(CCPA) 준수에 대한 궁극적인 가이드

게시 됨: 2019-12-23

2018년 캘리포니아 소비자 개인 정보 보호법(CCPA)은 거주자의 데이터와 개인 정보를 보호하기 위해 캘리포니아에서 통과된 법률입니다. CCPA는 현재 캘리포니아 개인정보 보호법을 대체하는 것이 아니라 대신 그와 함께 기능할 것입니다.

CCPA에 따르면 기업은 수집한 내용과 사용 방법에 대해 보다 솔직해야 합니다. 또한 정보를 판매하기 전에 미성년자의 동의를 받아야 합니다. 또한 사용자는 이제 기업이 데이터를 판매하는 것을 방지할 수 있습니다.

하지만 CCPA가 수집한 사용자 정보를 더 이상 판매할 수 없다는 의미는 아닙니다. 그러나 캘리포니아 거주자의 경우 몇 가지 더 많은 장애물을 건너야 합니다.

CCPA는 2020년 1월 1일에 발효되지만 기업은 2020년 7월 1일까지 완전히 준수해야 합니다. 이것을 미룰 핑계가 아닙니다. 그러나 시행 조치가 몇 달 동안 시작되지 않기 때문에 기업은 정책, 프로세스 및 웹사이트를 조정할 시간이 있습니다.

CCPA는 "개인 데이터"를 무엇으로 간주합니까?

개인 데이터는 개인을 설명하거나 식별하는 모든 것, 또는 개인이나 가정과 연결된 모든 것입니다. 그것은 포함:

  • 이메일 주소
  • 고용 정보
  • 지리적 위치
  • IP 주소
  • 이름

기술적으로 공개적으로 사용 가능한 정보는 CCPA에 의해 개인 데이터로 간주되지 않습니다. 그러나 그것은 회색 영역이며 전체 규정 준수 측면에서 위험을 감수하는 것보다 실수하는 것이 가장 좋습니다. 또한 한 사용자의 개인 데이터가 공개적으로 사용 가능하더라도 다른 모든 사용자에게 적용되는 것은 아닙니다. 여전히 전반적으로 규정을 준수해야 합니다.

CCPA가 비즈니스에 영향을 미칩니까?

CCPA는 캘리포니아 거주자로부터 데이터를 수집하고 처리하는 경우 비즈니스에 영향을 미칩니다. 귀하의 비즈니스, 모회사 또는 자회사도 다음 중 하나 이상을 충족해야 합니다.

  • 연간 총 수익이 2,500만 달러 이상입니다.
  • 매년 50,000개 이상의 캘리포니아 기기, 가구 또는 거주자로부터 개인 데이터를 구매, 수신 또는 판매합니다.
  • 연간 수익의 최소 50%는 캘리포니아 거주자의 개인 데이터 판매에서 발생합니다.

이러한 기준을 충족하기 위해 캘리포니아에 사업체가 있을 필요는 없습니다. 캘리포니아 거주자는 귀하의 사업이 운영되는 위치에 관계없이 귀하의 웹사이트를 방문할 수 있습니다. 미국의 다른 주에 있는 기업과 전 세계 기업은 CCPA를 고려해야 합니다.

임계값을 참조하는 것 외에는 비즈니스 규모도 중요하지 않습니다. 개인 벤처와 소규모 기업도 CCPA를 따라야 합니다. 그러나 4백만 명 이상의 소비자에 대한 데이터를 처리하는 기업은 추가 요구 사항을 충족해야 합니다. 예를 들어 기록 보관과 관련하여 더 엄격한 지침이 있습니다.

임계값을 충족했지만 데이터를 수집하지 않는 경우(웹사이트에 어떤 유형의 추적 도구도 없음) 기술적으로 CCPA를 준수하는 것입니다. 반면에 캘리포니아 고객으로부터 정보를 수집하고 있지만 아직 임계값을 충족하지 못하는 경우에도 CCPA를 준비하는 데 비용이 듭니다. 비즈니스가 빠르게 성장하면 CCPA를 준수하기 전에 실수로 매출 2,500만 달러 또는 캘리포니아 주민 50,000명을 초과할 수 있습니다.

캘리포니아 거주자는 어떻게 정의됩니까?

캘리포니아 법에 따르면 거주자는 다음과 같은 사람입니다.

  • 일시적 또는 일시적인 이유가 아닌 다른 이유로 캘리포니아에 있는 경우
  • 일시적 또는 일시적인 이유로 캘리포니아 주에 거주하지 않는 경우에도 캘리포니아에 거주합니다.

사람은 캘리포니아에 거주하고 거주자가 아니거나 캘리포니아 외부에 거주하면서 거주자일 수 있습니다. 자신을 보호하기 위해 많은 사업이 캘리포니아 주민에게서 나온다고 생각하는 이유가 있다면 CCPA를 준수하십시오.

비즈니스가 CCPA를 준수하도록 하는 방법

CCPA의 요구 사항을 충족하려면 비즈니스에서 여러 단계를 거쳐야 하며, 그 중 많은 단계에서 정책과 프로세스를 변경해야 합니다. 비즈니스가 CCPA를 준수하도록 하는 방법은 다음과 같습니다.

데이터 수집, 사용 및 변경 방법을 명확히 하기 위해 개인 정보 보호 정책을 업데이트하십시오.

이미 개인 정보 보호 정책이 있을 수 있지만 CCPA를 준수하려면 약간의 작업이 필요합니다. 기본적으로 귀하의 개인 정보 보호 정책은 귀하가 수집하는 데이터와 그 데이터로 수행하는 작업을 사용자에게 알려줍니다. CCPA의 경우 데이터 관행에 대해 이전보다 더 투명해야 합니다. 개인 정보 보호 정책에 추가해야 하는 사항은 다음과 같습니다.

  • 개인정보 수집 및 처리 대상, 이유, 방법
  • 사용자가 귀하가 수집한 개인 데이터에 액세스, 변경 또는 제거하는 방법
  • 이러한 요청 중 하나를 수행하는 사용자의 신원을 확인하는 방법
  • 개인 데이터가 판매되는 방법 및 사용자가 개인 데이터 판매를 거부하는 방법

이것이 최소 CCPA 요구 사항임을 명심하십시오. 데이터 수집 프로세스에 사용자가 알고 싶어하는 것이 더 있다고 생각되면 추가하십시오.

미성년자 동의 받기

13세에서 16세 사이의 미성년자 또는 13세 미만의 자녀를 둔 부모로부터 동의를 받아야 합니다. 자녀가 웹사이트를 방문할 때 또는 데이터를 판매하기 전에 동의를 요청할 수 있습니다. 어느 쪽이든, 동의를 얻기 전에 데이터를 판매할 수 없습니다. 사용자가 동의를 거부한 경우에도 받은 모든 응답을 저장합니다. 미성년자를 제외하고 데이터를 수집 및 사용하기 전에 사용자 동의가 필요하지 않습니다.

사용자가 자신의 정보를 변경할 수 있도록 허용

CCPA의 일부는 캘리포니아 사용자가 개인 데이터에 액세스, 변경, 이동 또는 삭제할 수 있는 기능을 제공합니다. 사용자가 이러한 유형의 요청을 제출할 수 있는 방법을 만들어야 하며 이러한 방법 중 하나는 무료 전화 번호여야 합니다. 그런 다음 웹 사이트에 연락처 양식을 추가하거나 이메일 또는 우편 주소를 제공할 수 있습니다.

요청 시 사용자의 신원 확인

사용자가 정보를 변경하기 위해 연락을 취하면 그들이 자신이 누구인지 확인할 수 있는 방법이 필요합니다. 운전 면허증과 같은 정부 발행 문서를 통해 신분증을 요청할 수 없습니다. 대신 사용자가 데이터를 제출할 때 사용한 것과 동일한 유형의 인증을 사용할 수 있습니다. 또한 과거에 제공한 정보를 확인하도록 요청하여 신원 확인을 시도할 수도 있습니다.

비즈니스에서 사용자의 신원을 확인할 수 없는 경우 가능한 한 준수해야 합니다. 예를 들어 사용자가 자신의 정보를 삭제하기를 원하지만 회사에서 사용자의 신원을 확인할 수 없다고 가정해 보겠습니다. 정보를 삭제하는 대신 정보를 유지하지만 사용자가 정보 판매를 거부할 수 있습니다. 준수할 방법이 없는 경우 해당 업체는 요청을 거부할 수 있습니다.

홈페이지에 "내 개인 정보 판매 금지" 링크 추가

웹사이트 홈페이지의 눈에 띄는 위치에 "내 개인 정보 판매 금지" 링크를 배치해야 합니다. 사용자가 귀하가 개인 데이터를 판매하는 것을 방지하기 위해 클릭하는 경우입니다. 사용자 데이터 판매를 거부하는 절차는 가능한 한 간단하고 쉬워야 합니다. 기업은 옵트아웃 요청에도 응답해야 합니다. 공식 CCPA 팩트 시트에 따르면 "...기업은 소비자가 옵트아웃을 선택했음을 알리는 사용자 활성화 개인 정보 설정을 유효하게 제출된 옵트아웃 요청으로 처리해야 합니다."

또한 사람들이 옵트아웃할 수 있도록 계정을 만들도록 요구할 수 없습니다. 일부 기업은 사용자를 식별하는 수단으로 계정을 요구할 수 있지만 CCPA는 이를 선택 해제의 전제 조건으로 방지합니다. 사용자에게 이미 계정이 있고 이를 통해 신원을 확인할 수 있다면 문제가 없습니다.

고객과의 교환 기록 보관

기업은 모든 사용자 요청에 대한 기록을 유지해야 하며 사용자에 대한 응답도 기록하고 저장해야 합니다. 최소 24개월 동안 기록을 유지하십시오. 더 안전하게 하려면 무기한 붙잡아 두십시오.

개인정보 보호 요청에 따른 차별 금지

CCPA는 기업이 개인 정보 보호 권리를 행사하는 경우 사용자를 차별할 수 없다고 말합니다. 즉, 사용자가 데이터를 판매할 수 없다고 말하면 서비스를 거부하거나 보복으로 가격을 조정할 수 없습니다.

비즈니스에서 데이터 판매를 허용하는 사람들에게 인센티브를 제공할 수 있습니다. 이 경우 개인 데이터의 가치를 계산하는 방법을 포함하여 인센티브의 세부 사항을 공개해야 합니다.

CCPA를 준수하지 않을 경우의 처벌

2020년 7월 1일까지 CCPA를 준수하지 않으면 법무장관이 알려드립니다. 30일 이내에 응답하고 규정 준수에 대한 최신 정보를 얻을 수 있습니다. 30일 이내에 이를 준수하지 않으면 민사 소송을 제기할 수 있습니다. 거기에서 위반 건당 $7,500의 벌금이 부과될 수 있습니다. 이는 캘리포니아 사용자당을 의미합니다. 예를 들어 2,000명의 캘리포니아 거주자로부터 데이터를 수집하는 경우 $7,500 x 2,000의 벌금이 부과될 수 있으며 이는 총 $15,000,000입니다. 그것은 당신이 확실히 피하고 싶은 법안입니다!

CCPA와 GDPR의 차이점

CCPA 가이드라인은 GDPR과 비슷하게 들리지만 두 가지 중요한 차이점이 있습니다. 귀하의 비즈니스가 현재 GDPR을 준수한다고 해서 자동으로 CCPA를 준수하는 것은 아닙니다. 일부 CCPA 지침을 충족할 수 있지만 전부는 아닙니다. GDPR을 초과할 수 있는 일부 CCPA 지침은 다음과 같습니다.

  • 홈페이지에 "내 개인 정보 판매 금지" 링크 추가
  • 사용자가 자신의 정보에 대한 변경 또는 삭제를 요청할 수 있는 방법 만들기
  • 그러한 유형의 요청을 할 때 개인의 신원 확인
  • 미성년자의 정보를 판매하기 전에 동의 받기

일부 프로세스가 이미 GDPR에 대해 설정되어 있을 수 있지만 방법이 CCPA를 준수하는지 다시 확인하고 싶을 것입니다. 둘 사이에는 작지만 중요한 차이점이 있습니다. 예를 들어 CCPA에서는 12개월 동안 판매한 개인 정보 범주를 표시해야 합니다. 이것은 GDPR의 요구 사항이 아닙니다. 반면 CCPA에는 GDPR에 있는 쿠키 동의 요구 사항이 없습니다.

마지막 생각들

첫 번째 단계는 2020년 1월 1일부로 귀하의 비즈니스가 CCPA를 준수해야 하는지 평가하는 것입니다. 또는 귀하의 비즈니스가 향후 준수해야 하는 수준까지 성장할 것인지 고려하십시오. 그렇다면 지금 당장 모든 것을 제자리에 두는 것이 가장 좋습니다. 그래야 나중에 뒤죽박죽을 하거나 벌금을 물 위험이 없습니다. CCPA를 준수하도록 웹사이트를 설정하는 방법은 현재 프로세스와 인력에 따라 다릅니다. 가능한 한 많이 자동화할 수 있습니다. 또는 너무 많은 변경 또는 제거 요청이 예상되지 않는 경우 사용자에게 직접 응답하는 몇 명의 직원을 둘 수 있습니다.

아직 개인 정보 보호 정책이 없다면 CCPA에 관심이 있든 없든 지금이 문서를 작성할 수 있는 좋은 기회입니다. 웹 사이트에 대한 개인 정보 보호 정책을 만드는 방법에 대한 기사를 확인하십시오.

Sammby/Shutterstock.com을 통한 주요 이미지