지난 10년간 사이버 위협은 기업과 개인 사용자의 최대 관심사였습니다. 이는 미국인의 92%가 인터넷 사용 시 개인 정보 보호를 중요하게 생각하는 이유이기도 합니다. 이에 미국 캘리포니아주는 2018년 6월 28일 자로 캘리포니아 소비자 개인정보 보호법(CCPA)을 통과시켜 소비자에게 데이터에 대한 더 강력한 통제권을 부여했습니다.
이 법은 2020년 1월 1일 자로 제정되었으며, 캘리포니아주 법무부에서 시행합니다. 캘리포니아 거주자로부터 개인 데이터를 수집하는 모든 기업은 이 법을 준수해야 합니다.
여기서는 CCPA 및 CCPA가 귀사에 미칠 영향과 관련하여 반드시 알아야 할 내용을 정리했습니다.
CCPA(California Consumer Privacy Act)는 캘리포니아 거주자에게 본인에 관해 어떤 개인 정보가 수집되는지 알 권리, 해당 정보를 삭제할 권리, 해당 정보의 판매를 거부할 권리를 부여하는 법률입니다.
이 법은 캘리포니아에서 영업을 하면서 다음 기준 중 하나 이상에 해당하는 모든 영리 기업에 적용됩니다.
기업은 4가지 기본 요건을 이행해야 합니다.
이때 기업은 홈페이지에 'Do Not Sell My Personal Information(개인 정보 판매 금지)'이라는 제목으로 명확하고 눈에 잘 띄는 링크를 제공하여 개인 사용자를 옵트아웃 페이지로 안내해야 합니다.
GDPR과 달리 CCPA에서는 중요 데이터를 보다 폭넓게 정의합니다. GDPR은 특정 데이터의 보호에 초점을 맞추지만, CCPA는 중요 정보의 구성 내용에 더 주목합니다.
예를 들어 후각 데이터, 웹사이트 검색 기록, 사용자 활동 기록이 모두 포함됩니다. AB 375에 따르면, '개인 정보'는 다음을 가리킵니다.
CCPA 위반 시 캘리포니아 법무부에서 제재하며, 위반 건당 최대 2,500달러, 또는 고의적 위반 건당 최대 7,500달러 상당의 민사 제재를 받을 수 있습니다.
CCPA는 기업이 합당한 보안 조치를 이행하지 않아 개인 정보가 유출된 경우 해당 개인 사용자가 소송을 제기할 권리도 부여합니다. 이 경우 개인 사용자는 개인 사용자 1인 기준 사고 건당 최대 750달러, 또는 실제 피해액 중 더 큰 금액으로 보상받을 수 있습니다.
'제3자'는 CCPA의 적용을 받지 않는 개인이나 단체로 정의됩니다. 여기에는 면제 대상 기업, 그리고 특정 기업을 대신해 개인 정보를 처리하는 임의의 서비스 제공업체가 포함됩니다.
개인 정보를 매매하는 데이터 중개업체도 제3자에 포함될 수 있습니다. 데이터 중개업체는 현재 CCPA의 적용을 받지 않지만 2023년에는 적용 대상이 됩니다.
면제 대상의 대표적인 예로 GLBA(Gramm-Leach-Bliley Act), HIPAA(Health Insurance Portability and Accountability Act) 등 다른 개인정보 보호법이 적용되는 기업을 꼽을 수 있습니다.
그밖에도 다음과 같은 경우에는 CCPA 적용이 면제됩니다.
연수익이 2,500만 달러 미만인 기업, 개인 정보를 판매하지 않는 기업, 수집하는 개인 정보의 양이 제한적인 기업도 CCPA 면제 대상입니다.
기업은 CCPA 준수와 관련하여 어느 정도 재량을 발휘할 수 있습니다. 그러나 이 법이 캘리포니아 거주자의 개인 정보를 수집하는 모든 기업에 적용된다는 점에 유의해야 합니다.
CCPA가 때때로 캘리포니아의 GDPR로 불리기도 하지만, 이는 사실이 아닙니다. GDPR은 EU 시민의 개인 정보 보호 권리를 보장한다는 점 외에도 몇 가지 측면에서 CCPA와 다릅니다.
첫째, CCPA는 개인 정보에만 적용되지만, GDPR은 모든 데이터에 적용됩니다. 여기에는 개인 데이터와 비개인 데이터가 모두 포함됩니다.
둘째, CCPA에서는 개인 사용자에게 본인에 관해 어떤 개인 정보가 수집되는지 알 권리, 개인 정보를 삭제할 권리, 개인 정보 판매에 관해 옵트아웃을 행사할 권리를 부여합니다. GDPR에서는 이 모든 권리와 함께 개인 사용자에게 개인 데이터에 액세스할 권리, 본인의 의사를 변경할 권리(옵트인), 개인 데이터 카피본을 휴대 가능한 형식으로 받아볼 권리까지 부여합니다.
셋째, CCPA는 캘리포니아 거주자의 개인 정보를 수집하거나 판매하는 기업에만 적용됩니다. GDPR은 기업의 소재지에 관계없이 EU 시민의 데이터를 처리하거나 처리할 의향이 있는 모든 기업에 적용됩니다.
넷째, CCPA는 연수익이 2,500만 달러 이상인 기업에 적용됩니다. GDPR은 기업의 규모에 관계없이 EU 시민의 데이터를 처리하거나 처리할 의향이 있는 모든 기업에 적용됩니다.
감독 기관에서 이 법을 위반한 기업에 그 사실을 통지하며, 해당 기업은 30일 이내에 문제를 시정해야 합니다. 이 기한 내에 해결되지 않으면 해당 기업에는 기록 건당 최대 7,500달러의 과징금이 부과됩니다.
7,500달러가 대기업에는 그리 부담되지 않는 금액으로 보일 수도 있지만, 반드시 그런 것은 아닙니다. 실제로 각 위반 사건에서 해당 기록 건수까지 고려하면 이 금액이 대폭 증가할 가능성이 있습니다.
게다가 CCPA에서는 기업의 CCPA 위반으로 인해 암호화하지 않았거나 민감한 부분을 삭제 처리하지 않은 개인 정보가 무단 액세스 및 유출, 도용, 공개될 때 개인 사용자가 직접 소송을 제기하는 것도 허용합니다.
이 경우 개별 사용자가 기업에 대해 소송을 제기함으로써 배상 금액이 천문학적으로 증가할 수도 있습니다. 아울러 캘리포니아주 법무 장관은 법 위반을 근거로 기업에 민사 소송을 제기할 권리를 가집니다.
결국 CCPA를 위반하는 기업은 경제적 제재는 물론 이미지 실추까지 감수해야 합니다. 개인 정보 보호 권리에 관한 개인 사용자의 인식이 높아짐에 따라, 개인 사용자가가 법 위반 기업을 상대로 행동에 나설 가능성도 커집니다.
또한 캘리포니아 개인정보 보호법에 따르면, 기업은 웹사이트의 하단에 눈에 잘 띄는 문구를 사용하여 개인 사용자에게 데이터 공유를 거부할 옵트아웃 옵션을 제공해야 합니다. 그렇지 않으면 위반 건당 100~700달러의 과징금이 부과될 수 있습니다. 더 나아가 개인 사용자가 소송을 제기하는 것도 허용됩니다.
과징금과 소송 외에도 법 위반과 관련하여 치러야 할 비용이 있습니다. 여기에는 개인 사용자에게 위반 사실을 알리고, 신용 모니터링 서비스를 제공하며, 기업의 평판을 지키는 차원에서 그 파급 효과를 처리하는 데 드는 비용이 포함될 수 있습니다.
이 모든 비용이 발생하면서 부담이 가중되는 만큼 CCPA 컴플라이언스는 기업의 중대 과제에 해당합니다. 이 법을 제대로 알고 충실히 이행하기 위해 노력함으로써 기업이 무거운 처벌을 받거나 이미지가 실추되는 등의 상황을 방지할 수 있습니다.
이와 같이 중대한 사안인 만큼 각 기업은 CCPA를 이해하고 컴플라이언스에 필요한 조치를 수행해야 합니다.
CCPA 컴플라이언스는 결코 만만치 않은 과제이지만, 각 기업은 몇 가지 노력을 통해 이 법을 제대로 준수할 수 있습니다.
일차적으로 CCPA가 해당 기업에 적용되는지 확인해야 합니다. 이 법은 캘리포니아에서 영업을 하면서 다음 기준 중 하나 이상에 해당하는 모든 영리 기업에 적용됩니다.
CCPA가 기업에 적용되는 경우 컴플라이언스를 보장하기 위한 조치를 수행해야 합니다.
다음 단계는 해당 기업이 수집하고 저장하는 개인 정보를 식별하는 것입니다. CCPA에서는 개인 정보를 '특정 개인 사용자 또는 가구를 식별하거나 나타내거나 설명하는 정보, 특정 개인 사용자 또는 가구를 연상할 수 있거나 직간접적으로 합당하게 연결될 수 있는 정보'로 정의합니다.
여기에는 이름, 주소, 이메일 주소, 전화번호, 주민등록번호, 운전면허증 번호 등이 포함됩니다. 수집 및 저장하는 개인 정보를 식별했다면 이러한 정보를 보호하는 조치를 이행해야 합니다.
CCPA에 따르면, 기업은 개인 사용자의 개인 정보가 무단 액세스, 파괴, 사용, 수정되거나 공개되지 않도록 보호하는 합당한 보안 조치를 수행해야 합니다. 여기에는 개인 정보를 암호화하고, 권한 있는 직원만 이 정보에 액세스하게 하는 것이 포함됩니다.
개인 정보 보호 및 정보 보안 체계에 대한 감사를 수행하여 CCPA 컴플라이언스를 보장해야 합니다. 여기에는 데이터 보관 정책이 있는지 확인하고, 개인 정보가 수집 및 사용되는 방법을 이해하며, 개인 사용자가 법에 의거하여 본인의 권리를 행사하게 하는 것이 포함됩니다.
CCPA에서는 개인 사용자에게 본인에 관해 어떤 개인 정보가 수집되는지 알 권리, 이 정보가 어떻게 사용되는지 알 권리, 이 정보를 삭제할 권리, 데이터 공유에 관해 옵트아웃을 행사할 권리를 부여합니다.
이러한 권리를 다루는 정책과 절차를 반드시 마련해야 합니다.
CCPA 컴플라이언스는 팀워크를 통해 이루어집니다. IT 부서에서 마케팅 부서에 이르기까지 모든 팀과 부서를 CCPA 컴플라이언스 프로세스에 참여시키는 것이 중요합니다.
각 팀은 CCPA와 관련하여 각자의 책임이 있습니다. 예를 들어, 마케팅 팀은 CCPA에서 금지하는 방식으로 개인 정보를 수집하거나 사용하지 않도록 주의해야 합니다. IT 팀은 개인 정보가 제대로 보호되도록 관리 감독해야 합니다.
모든 팀과 부서를 참여시켰다면 이제 CCPA 컴플라이언스 계획을 마련할 차례입니다. 이 계획에는 컴플라이언스를 위해 이행해야 할 조치, CCPA 컴플라이언스에 관한 책임 소재, 컴플라이언스 모니터링 방법이 포함되어야 합니다.
CCPA는 유동적인 법률이라는 점을 염두에 두어야 합니다. 이 법은 끊임없이 개정되며, 언제든지 새로운 규정이 추가될 수도 있습니다. 따라서 CCPA 컴플라이언스 계획을 정기적으로 검토하면서 최신 버전으로 유지하는 것이 중요합니다.
CCPA 컴플라이언스를 준비할 때 기업의 모든 레벨에서 혼란을 겪을 수도 있습니다. 성공적인 CCPA 이행을 위해 이를 전담할 팀을 지정해야 합니다.
이 CCPA 전담 팀은 CCPA 컴플라이언스 계획을 수립하고 이행하는 책임을 맡습니다. 직원을 대상으로 CCPA에 관해 교육하고 모든 직원이 CCPA에 따른 각자의 의무를 이해하게 할 책임도 있습니다.
CCPA 컴플라이언스 계획을 수립했다면 이제 CCPA 컴플라이언스 정책 및 절차를 이행할 차례입니다. 이러한 정책 및 절차는 기업이 이 법을 준수하는 데 도움이 되는 방향으로 설계해야 합니다.
데이터 보관 정책, 옵트아웃 프로세스, 교육 프로그램 등이 CCPA 컴플라이언스 정책 및 절차에 포함될 수도 있습니다.
CCPA 규정은 캘리포니아 거주자에게 적용됩니다. 하지만 캘리포니아주가 아닌 지역의 고객에게 서비스를 제공하거나 제공할 예정인 경우, 이를 위해 별도의 보안 체계를 마련할 필요는 없습니다. 즉, CCPA 컴플라이언스를 보장하기 위해 모든 고객을 캘리포니아 거주자처럼 대해야 합니다.
여기에는 모든 개인 정보를 제대로 보호하는 것, 그리고 권한 있는 직원만 이 정보에 액세스하게 하는 것이 포함됩니다. 개인 사용자가 거주지에 관계없이 CCPA에서 지정한 권리를 행사할 수 있도록 보장하는 것도 포함됩니다.
기업은 이러한 노력을 통해 다른 지역(주)에서 보안 체계가 구현될 때 이에 맞게 조정해야 하는 번거로움을 방지할 수 있습니다.
CCPA 컴플라이언스를 일회성 이벤트로 간주해서는 안 되며, 오히려 기업 문화의 일부로 자리잡게 해야 합니다. CCPA 컴플라이언스는 필요에 따라 정기적으로 검토 및 업데이트되는 상시 프로세스가 되어야 합니다.
그 방법 중 하나는 CCPA 컴플라이언스를 직원 온보딩 프로세스에 포함하는 것입니다. 그러면 모든 신입 직원이 법에 따른 의무를 인식하고 이해하는 데 도움이 됩니다.
CCPA 컴플라이언스를 기업 문화에 통합함으로써 CCPA 컴플라이언스를 우선 과제로 강조하면서 직원이 항상 이 법에 따른 의무를 인식하게 할 수 있습니다.
다른 활동과 마찬가지로, CCPA 컴플라이언스를 달성하고 유지하는 회사의 역량을 좌우하는 주체는 바로 직원입니다. 따라서 기업은 직원이 CCPA에 관해 알고 CCPA가 각자의 직무에 어떻게 적용되는지 이해할 수 있도록 합당한 조치를 해야 합니다.
그 방법 중 하나는 모든 직원을 대상으로 정기적인 CCPA 교육을 실시하는 것입니다. 이 교육은 직원이 CCPA, 그리고 CCPA가 본인의 일상 업무에 미치는 영향을 이해하는 데 도움이 되도록 설계해야 합니다.
정기적인 직원 교육 프로그램을 통해 직원이 항상 최신 CCPA를 숙지하고 이 법에 따른 의무를 이해하도록 도울 수 있습니다.
마지막으로, CCPA 컴플라이언스를 모니터링해야 합니다. 여기에는 개인 정보 및 정보 보안 체계를 정기적으로 감사하고, 개인 사용자가 CCPA에서 지정한 권리를 행사할 수 있게 하고, 변경 사항을 모니터링하는 것이 포함됩니다.
CCPA 컴플라이언스를 모니터링함으로써 해당 기업이 컴플라이언스 상태를 유지하고 있는지 확인할 수 있습니다.
2020년 11월, 캘리포니아 주민들은 캘리포니아 개인정보 보호 권리법(CPRA)으로도 알려진 발의안 24를 투표로 승인했습니다. CPRA는 몇 가지 핵심 영역에서 CCPA를 개정하며, 2023년 1월에 발효됩니다.
가장 중요한 변화 중 하나는 새로운 집행 기관인 캘리포니아 개인정보 보호국(CPPA) 신설입니다. CPPA는 불만 사항을 조사하고 과징금을 부과하며 규정을 만드는 권한을 갖게 됩니다.
또 다른 주요 변경 사항은 CCPA의 개인 행동권 확대입니다. CCPA에 따르면, 기업의 CCPA 위반 때문에 암호화하지 않았거나 민감한 부분을 삭제 처리하지 않은 개인 정보가 무단 액세스, 유출, 도용, 공개되는 경우에 한해 개인 사용자가 소송을 제기할 수 있습니다.
CPRA는 이 개인 행동권을 확대하여 피해 위험 여부에 관계없이 모든 CCPA 위반을 적용 범위에 포함합니다. 그러면 더 많은 개인 사용자가 CCPA 위반으로 기업을 고소할 수 있게 되며, 그에 따라 잠재적 피해 규모도 커질 것입니다.
그리고 CPRA는 CCPA의 옵트아웃 요건을 강화합니다. CCPA에 따르면, 기업은 홈페이지에 'Do Not Sell My Personal Information(개인 정보 판매 금지)' 링크를 제공해야 합니다.
CPRA는 여기서 더 나아가 기업이 개인 사용자의 개인 정보를 판매하는지 여부, 그리고 판매하는 개인 정보의 유형을 개인 정보 보호 정책에 명시하도록 요구합니다. 개인 정보를 판매하는 기업은 개인 정보 수집이 이루어지는 모든 페이지에 옵트아웃 버튼을 제공해야 합니다.
CPRA는 개인 사용자에게 인종, 민족, 종교, 성적 취향과 같은 민감한 개인 정보의 판매를 거부하는 옵트아웃 권리도 부여합니다.
개인 정보 보호에 관한 우려가 커짐에 따라 더 많은 규정이 마련되고 기존 규정도 업데이트될 것입니다. 따라서 개인 사용자의 데이터를 처리하는 방법과 관련하여 더욱 주의를 기울이고 세심하게 처리해야 합니다.
물론 데이터 컴플라이언스 및 거버넌스는 결코 쉽지 않은 과제일 수 있습니다. 새로 제정되고 발전하는 규정 때문에 더욱 그렇습니다. 먼저 아카이빙 기능이 필요하며, 이 기능으로 관련 정보를 빠르게 찾을 수 있습니다. 여기서 베리타스가 진가를 발휘합니다.
Veritas Digital Compliance 포트폴리오를 활용하면 데이터 및 규정에 대한 가시성과 통제력을 높일 수 있습니다. 120여 개 컨텐트 소스에서 관련 데이터를 캡처, 아카이빙, 검색하는 기능을 제공합니다. 이 기능으로 데이터 컴플라이언스를 최적화하고 데이터 거버넌스의 허점을 해결할 수 있습니다.
CCPA, 즉 캘리포니아 소비자 개인정보 보호법은 개인 사용자에게 개인 정보 보호에 관한 더 강력한 통제권을 부여하면서 큰 전환점을 마련하는 법률입니다. CCPA에 따르면, 기업은 개인 정보를 보호하기 위한 조치를 이행해야 합니다. 그리고 개인 사용자는 본인의 개인 정보 판매를 거부하는 옵트아웃 권리를 비롯해 여러 가지 권리를 행사할 수 있습니다.
곧 시행될 CPRA에 대한 준비도 시작해야 합니다. CPRA는 몇 가지 핵심 영역에서 CCPA를 개정하며, 2023년 1월에 발효됩니다.
베리타스가 어떻게 기업의 지속적인 컴플라이언스를 지원하는지 자세히 알아보려면 지금 문의하십시오.
Fortune지 선정 100대 기업의 95%가 베리타스 제품을 사용하고 있으며 NetBackup™은 방대한 데이터를 보호할 방법을 찾는 기업들 사이에서 선택 1순위에 오른 제품입니다.
베리타스 데이터 보호 솔루션이 가상 워크로드, 물리적 워크로드, 클라우드 워크로드, 레거시 워크로드를 어떻게 완벽하게 보호하는지 궁금하다면 엔터프라이즈 비즈니스를 위한 데이터 보호 서비스에서 확인하십시오.