비즈니스 리더는 고객의 요구 사항을 탁월하게 해결하여 고객이 다시 찾게 하는 것을 최우선 목표로 삼아야 합니다. 지금까지는 완전무결한 제품을 적합한 가격에 공급하는 것이 해법이었습니다.
하지만 현대의 소비자를 유치하려면 훨씬 더 많은 것을 제공해야 합니다. 예컨대 브랜드에서는 고객이 공감할 만한 가치와 함께 수월하고 만족스러운 소비자 여정을 마련해야 합니다. 최근 사이버 보안 및 데이터 유출 사고가 연이어 발생함에 따라, 소비자는 귀사가 과연 본인의 데이터를 맡길 만한 기업인지를 알고 싶어 합니다.
PEW Research Report에 의하면, 미국인들 사이에서는 기업의 데이터 사용에 관한 의구심이 확산되고 있으며, 79%가 이 문제를 우려하는 것으로 나타났습니다. 그로 인해 소비자 대부분은 본인의 데이터를 브랜드 기업과만 공유하려 합니다.
캘리포니아주는 주민을 더 효과적으로 보호하는 진일보한 조치로, 엄격한 개인정보 보호 규정을 마련했습니다. 그 대표적인 예가 2018년에 통과되어 2020년 1월부터 시행 중인 캘리포니아 소비자 개인정보 보호법(CCPA)입니다.
하지만 향후 캘리포니아 주민을 대상으로 비즈니스를 하는 기업이라면 더 엄격한 규정도 준수해야 합니다. CCPA의 연장선상에 있는 2020년 캘리포니아 개인 정보 보호 권리법(CPRA)이 적용되기 때문입니다.
이 법의 적용 범위 및 파급 효과를 고려한다면, 그 제반 사항을 올바르게 이해하고 대비해야 합니다. 이에 따라 CPRA에 관해 알아야 할 내용을 간추려 소개합니다.
CPRA가 귀사에 미칠 영향을 알아보기에 앞서 캘리포니아의 개인 정보 보호 법률 및 규정 현황을 짚어볼 필요가 있습니다. CPRA는 CCPA를 근간으로 하므로 CCPA를 먼저 이해해야 합니다.
첫째, CCPA는 여러 대형 데이터 유출 사고로 여론이 악화하자 그에 대한 대책으로 나온 것으로, 이 법에서는 다음과 같이 캘리포니아 주민에게 각자의 개인 정보에 대한 더 확실한 통제권을 부여합니다.
이 법은 캘리포니아에서 영업하는 모든 영리 기업에 적용되며, 해당 기업이 캘리포니아에 물리적 거점을 두고 있는지 여부는 상관없습니다. 이 법을 준수하지 않은 기업에는 위반 건당 최대 7,500달러의 과징금이 부과될 수 있습니다.
CPRA는 2020년에 캘리포니아 주민 투표를 거쳐 승인된 CCPA의 연장선상에 있습니다. 2023년 1월에 발효되는 이 법은 캘리포니아 주민에게 본인의 데이터에 대한 더 강력한 통제권을 부여합니다.
CPRA는 CCPA에 의해 마련된 기존 규정을 기반으로 합니다. 뿐만 아니라 소비자의 개인 정보를 더 확실히 보호하기 위한 새로운 조항도 포함합니다. 예를 들어 CPRA에 의하여
아울러 CPRA는 개인 정보의 정의를 확대하여 IP 주소, 생체 인식 데이터, 지리 정보 데이터 등도 포함할 것입니다.
CPRA는 CCPA를 대체하지 않습니다. 실제로는 기존 규정을 토대로 소비자의 개인 정보를 보호하기 위한 훨씬 더 강력한 프레임워크를 마련합니다. CCPA를 준수하는 기업이라면 2023년에 발효되는 CPRA도 준수해야 합니다.
지금까지 CPRA의 기본 사항을 살펴봤으므로 이제 이 법의 시행이 무엇을 수반하는지를 더 상세히 설명하겠습니다.
앞서 언급한 대로, CPRA는 CCPA에 의거한 기존 규정을 토대로 합니다. 그와 더불어 소비자의 개인 정보 보호를 강화하는 새로운 조항도 포함합니다.
CPRA는 캘리포니아에서 영업하면서 캘리포니아 주민의 개인 정보를 수집하는 모든 영리 기업에 적용되며, 해당 기업이 캘리포니아에 물리적 거점을 두고 있는지 여부는 상관없습니다.
CPRA를 준수해야 하는 기업은 줄고 있지만, 적용 대상인 기업이 컴플라이언스를 달성하려면 훨씬 더 큰 노력이 필요합니다.
이 법이 시행되면
CPRA가 가져올 또 하나의 중요한 변화는 중요 개인 정보(sensitive personal information)의 범위가 확대된다는 것입니다. CPRA에 의하면 중요 개인 정보는 다음 항목을 포함합니다.
즉, 사회 보장 번호와 운전 면허증 번호만 포함했던 CCPA에서 대폭 확장되었습니다.
이렇게 중요 개인 정보의 정의가 확장됨에 따라, 각 기업은 이러한 유형의 데이터를 보호하기 위해 각별한 주의를 기울여야 합니다. 그와 함께 중요 개인 정보를 수집, 사용, 공유하기 전에 소비자의 명시적인 동의를 받아야 합니다.
CPRA에서는 중요 정보의 정의와 함께 소비자의 권리도 확대합니다. CPRA에 의거하여 캘리포니아 주민은 다음과 같은 권리를 갖습니다.
이는 CCPA에서 규정한 권리와 비슷합니다. 그러나 CPRA는 더 나아가 기업이 소비자의 데이터를 사용하는 방법을 지시할 권리까지 소비자에게 부여합니다.
예를 들어 CPRA에 의하면, 소비자가 본인의 데이터가 판매되는 것을 거부할 경우 해당 기업은 판매를 중단해야 합니다. 즉, CCPA와 달리 기업은 고객의 데이터를 어떻게 사용하고 있는지 고객에게 알리는 게 아니라 일차적으로 그 사용 방법에 관해 고객의 승인을 받아야 합니다.
캘리포니아의 현행 개인정보 보호법에 따라, 기업은 홈페이지에 'Do Not Sell My Personal Information(개인 정보 판매 금지)'링크를 수록해야 합니다. 이 링크는 소비자가 개인 정보 판매 거부 권리를 행사할 수 있는 전용 페이지로 연결되어야 합니다.
CPRA에 의하면, 'Limit The Use of My Sensitive Personal Information(중요 개인 정보 사용 제한)'이라는 두 번째 링크도 추가해야 하며, 이 링크는 기업이 개인 정보를 사용하는 방법을 소비자가 지시할 수 있는 전용 페이지로 연결되어야 합니다. 더 나아가 고객의 의도가 명확하다면 고객이 다른 방식으로 이를 표현하게 할 수 있습니다.
CPRA에 의해 이러한 규정을 집행할 주 정부 기관, 즉 캘리포니아 개인정보 보호국(CPPA)이 신설됩니다. CPPA에서는 법 위반 건당 최대 75,000달러의 과징금을 부과할 수 있습니다. 아울러 법을 위반하는 기업을 상대로 민사 소송을 제기할 수도 있습니다.
CCPA 집행을 주 정부 법무장관실이 담당하는 것과 비교하면 진일보한 변화입니다. CPPA는 법무장관실보다 더 많은 자원과 권한을 가지고 효과적으로 법을 집행할 것입니다.
CCPA에 의하면, 소비자는 기업이 본인의 데이터를 판매하는 것을 거부할 수 있습니다. CPRA는 여기서 더 나아가 개인이 본인의 정보를 유료 또는 무료로 제3자에 공개하거나 공유하는 것을 거부할 수 있는 권리를 부여합니다.
빅데이터 시대에 데이터 프로파일링은 기업에 귀중한 자산입니다. 이를 활용하여 타깃 광고를 제작하고 컨텐트를 개인화하고 고객 경험을 개선할 수 있기 때문입니다.
그러나 CPRA는 자동화된 의사 결정에 몇 가지 제한을 둡니다. 기업의 자동화된 의사 결정은 계속 허용되지만, 먼저 소비자의 명시적 동의를 얻어야 합니다. 또한 해당 절차를 소비자가 쉽게 이해할 수 있도록 설명해야 합니다.
CPRA에서는 기업이 보유한 부정확하거나 불완전한 데이터를 바로잡을 권리도 소비자에게 부여합니다. 이는 소비자의 데이터 삭제 요청만 허용하는 CCPA와 뚜렷이 구별되는 점입니다.
이제 소비자는 기업이 보유한 본인에 관한 정보가 잘못되었다고 생각하면 해당 기업에 연락하여 수정을 요청할 수 있습니다. 기업이 그러한 요청을 따르지 않을 경우, 소비자는 CPPA에 불만을 제기할 수 있습니다.
CCPA에 의거하여 각 기업은 수집하는 데이터, 그 사용 방법, 그리고 다른 당사자와 공유하는지 여부를 상세히 설명해야 합니다. 그밖에도 데이터 범주별로 데이터 주체에게 해당 데이터를 보존할 기간을 알리거나 그 기간을 결정하는 방법을 설명해야 합니다.
아울러 CPRA에서는 기업에서 소비자 데이터를 보관할 수 있는 기간에도 몇 가지 제한을 둡니다. 기업은 데이터를 수집한 본래의 목적에 필요한 기간에만 데이터를 보존할 수 없습니다.
이는 기업에서 최대 7년간 데이터를 보관할 수 있게 한 CCPA와 크게 다른 점 중 하나입니다. CPRA에 따라 각 기업은 기존 데이터 보존 프랙티스를 다시 평가해야 하며, 필요 이상으로 데이터를 보유해서는 안 됩니다.
CPRA의 핵심 내용과 함께 다음과 같이 달라지는 점에도 주목해야 합니다.
CPRA는 'GDPR 캘리포니아 버전'으로 불리기도 합니다. 이 두 규정은 몇 가지 측면에서 비슷하지만 근본적인 차이점도 있습니다.
첫째, CPRA는 GDPR보다 범위가 훨씬 좁습니다. 캘리포니아에서 영업하거나 캘리포니아 주민의 데이터를 처리하는 기업에만 적용됩니다. 이와 달리 GDPR은 기업의 소재지에 관계없이 EU 시민의 데이터를 처리하는 모든 기업에 적용됩니다.
둘째, CPRA는 GDPR보다 더 많은 권리를 소비자에게 부여합니다. 예를 들어 CPRA에서는 소비자가 자신의 정보를 유료 또는 무료로 제3자에 공개하거나 공유하는 것을 거부할 권리를 부여합니다. GDPR에서는 개인 데이터가 마케팅 목적으로 사용되는 것을 거부하는 것만 허용합니다.
CPRA는 법 집행과 관련하여 처벌 조항이 훨씬 더 관대합니다. CPRA 위반 시 최대 과징금은 7,500달러이지만, GDPR 위반 시에는 최대 2천만 유로(약 2,400만 달러)에 이를 수 있습니다.
CPRA는 미국에서 가장 포괄적인 개인 정보 보호법입니다. 그리고 다른 주에서도 캘리포니아의 선례를 따라 이외 비슷한 법을 제정할 것입니다. 따라서 변화에 미리 대비하려는 기업에 CPRA 컴플라이언스는 선택이 아니라 필수입니다.
캘리포니아 주민의 개인 정보를 수집하는 기업이라면 서둘러 CPRA에 대비해야 합니다. 그러면 2023년에 발효되는 이 법을 수월하게 준수할 수 있습니다.
CCPA 적용 대상 기업이라면 CPRA 컴플라이언스와 관련하여 대체로 준비된 상태일 것입니다. 그럼에도 반드시 거쳐야 할 몇 가지 주요 단계가 있습니다.
CPRA 컴플라이언스를 달성하려면 먼저 미흡한 부분을 파악해야 합니다. 격차 평가를 통해 개인 정보 보호 프랙티스가 CPRA 기준에 부합하지 않는 영역을 찾아내야 합니다.
무엇을 바꿔야 하는지를 알면 개인 정보 보호 정책을 업데이트할 수 있습니다. 정책은 명확하고 간결하며 기본 요건을 모두 다뤄야 합니다. 기업이 수집하는 개인 데이터와 수집 이유, 사용 방법 및 보존 기간에 관한 정보를 포함해야 합니다.
개인 정보 보호 정책을 업데이트했다면 데이터 취급 프랙티스를 변경할 차례입니다. CPRA에 의거하여 데이터 수집 또는 처리 방법을 바꿔야 하는 경우, 이러한 변경 사항이 시스템 및 프로세스에 반영되었는지 확인하십시오.
직원은 CPRA 컴플라이언스에 핵심적인 역할을 합니다. 따라서 이 법률과 회사의 개인 정보 보호 방침의 최신 버전을 잘 알고 있어야 합니다. 개인 데이터 사용이 가능한 분야와 그렇지 않은 분야, 그리고 CPRA의 옵트아웃 조항을 정확히 이해하게 하십시오.
CPRA에서는 중요 개인 정보를 CCPA보다 더 광범위하게 정의합니다. 이제 개인 정보에는 인종, 민족, 성적 지향, 건강 데이터가 포함됩니다. 기업은 이러한 유형의 정보를 수집하고 사용하는 모든 경우를 확인해야 합니다. 그러면 각 상황에서 CPRA를 준수하는지 여부를 확인할 수 있습니다.
데이터 맵은 기업이 수집하는 모든 개인 데이터, 그 출처와 이동 위치를 추적하는 데 도움이 됩니다. 그러면 CPRA 요건 충족 여부를 한눈에 볼 수 있어 CPRA 컴플라이언스를 달성하는 데 매우 유용합니다.
CPRA에 의거하여 각 기업은 개인 데이터를 수집하기 전에 고객에게 구체적인 사항을 공개해야 합니다. 여기에는 해당 기업의 연락처 정보와 CPRA에 따른 고객의 권리에 관한 설명이 포함됩니다.
그리고 중요 개인 정보를 수집하기 전에 고객의 명시적 동의를 받아야 합니다. 따라서 옵트아웃 및 개인 정보 사용에 관한 필수 링크를 포함하십시오.
개인 데이터를 제3자와 공유하는 기업은 CPRA 컴플라이언스를 보장하는 계약을 체결해야 합니다. 이러한 계약에는 제3자가 계약에 명시된 목적으로만 데이터를 사용하고 CPRA 요건에 따라 데이터를 보호해야 한다는 내용이 있어야 합니다.
컴플라이언스를 달성하지 못할 경우 겪게 될 상황을 고려하면, 개인 정보 보호 관련 리스크 분석을 정기적으로 하는 것이 중요합니다. 가장 좋은 방법은 태그 관리 소프트웨어를 사용하는 것입니다. 이 소프트웨어를 활용하여 리스크를 식별하고 평가함으로써 완화 조치를 수행할 수 있습니다.
태그 관리 소프트웨어는 동의를 관리하고, 옵트아웃을 트래킹하고, 보고리포트를 생성하는 데도 도움이 됩니다. 이러한 기능은 CPRA 컴플라이언스를 달성하려는 과정에 매우 유용합니다.
CPRA 집행 및 소송과 관련하여 몇 가지 위험에 직면할 수 있습니다. 이를 피하려면 이 법률과 이 법률에서 정하는 권리와 의무를 숙지해야 합니다.
특히 다음 항목을 알고 있어야 합니다.
데이터 최소화란 특정 목적에 필요한 데이터만 수집하고 보존하는 프랙티스입니다. 그러면 데이터 유출 및 개인 데이터 무단 사용 리스크가 줄기 때문에 효과적인 CPRA 컴플라이언스 전략입니다.
어떤 기업에서든 보안은 최우선순위가 되어야 하지만, 개인 데이터를 다룰 때 특히 중요합니다. CCPA에 따르면, 기업은 개인 정보가 무단 액세스, 파괴, 사용되지 않도록 보호하는 합당한 보안 조치를 수행해야 합니다.
다음과 같은 방법으로 보안을 강화할 수 있습니다.
CPRA 컴플라이언스에 큰 노력이 필요한 것처럼 보일 수 있으나, 그만한 가치가 있습니다. 기업은 CPRA 컴플라이언스를 통해 다음과 같은 여러 이점을 누릴 수 있습니다.
CPRA 시행이 임박한 만큼 데이터 컴플라이언스/거버넌스 정책 및 절차를 강화하는 것이 중요합니다. 시간이 흐르면서 다른 개인 정보 보호 규정이 등장할 수도 있음을 기억하십시오. 따라서 CPRA를 준수하는 것은 물론 올바른 데이터 취급 프랙티스를 채택하는 것이 중요합니다.
이러한 측면에서 데이터 아카이빙 기능을 갖추는 것이 좋습니다. 관련 정보를 효과적으로 보존하고 그 검색 속도를 향상하는 데 도움이 되기 때문입니다. 여기서 Veritas Digital Compliance 포트폴리오와 같은 솔루션이 도움이 됩니다.
데이터 아카이빙 솔루션을 활용하여 데이터를 인덱싱, 검색, 감사하는 동시에 정보 보안 및 개인 정보 보호를 보장할 수 있습니다.
이 포트폴리오에는 머신 러닝을 활용하여 조직의 전체 네트워크에서 중요 데이터를 식별하는 Data Insight 솔루션도 포함되어 있습니다. 이 솔루션을 통해 데이터가 어떻게 사용, 공유, 액세스되고 있는지 파악할 수 있습니다. 그러면 리스크를 완화하고 컴플라이언스를 강화하기 위한 조치가 가능해집니다.
CPRA는 많은 요건으로 이루어진 복잡한 법입니다. 다른 주에서도 캘리포니아의 선례를 따라 이외 비슷한 법을 제정할 것입니다. 따라서 변화에 미리 대비하려는 기업에 CPRA 컴플라이언스는 선택이 아니라 필수입니다.
캘리포니아 주민의 개인 정보를 수집하는 기업이라면 서둘러 CPRA에 대비해야 합니다. 그러면 2023년에 발효되는 이 법을 수월하게 준수할 수 있습니다.
격차 평가를 통해 개인 정보 보호 프랙티스가 CPRA 기준에 부합하지 않는 영역을 찾아내고, 개인 정보 보호 정책을 업데이트하여 이 새로운 법을 반영해야 합니다. CPRA 컴플라이언스에 큰 노력이 필요한 것처럼 보일 수 있으나, 그만한 가치가 있습니다.
베리타스가 어떻게 기업의 지속적인 컴플라이언스를 지원하는지 자세히 알아보려면 지금 문의하십시오.
베리타스 고객 중에는 Fortune지 선정 100대 기업의 95%가 포함되어 있으며 NetBackup™은 방대한 데이터를 보호할 방법을 찾는 기업들 사이에서 선택 1순위에 오른 제품입니다.
베리타스 데이터 보호 솔루션이 가상 워크로드, 물리적 워크로드, 클라우드 워크로드, 레거시 워크로드를 어떻게 완벽하게 보호하는지 궁금하다면 엔터프라이즈 비즈니스를 위한 데이터 보호 서비스에서 확인하십시오.