2020년 1월부터 시행되는 CCPA(California’s Consumer Privacy Act)는 EU GDPR과 유사한 경향을 보인다고 평가받고 있다. CCPA는 캘리포니아주에서 시행되는 개인정보보호법 또는 프라이버시보호법인데, 이는 상대적으로 완화된 개인정보보호 성향이 있었다고 평가되던 미국에 엄격한 개인정보보호 방향성을 제시하고 있다. 한국 기업에 미치는 영향도 적지 않을 것으로 보이는바, 그 내용을 전반적으로 살펴보고자 한다.
CCPA는 캘리포니아주 민법전(Civil Code) 제3장 제4절의 1798.100부터 시작하는 19개의 조문을 의미한다.
1. 정의규정
1) 개인정보 : 개인정보란, 어떤 정보가 특정인 또는 가계를 식별하거나, 관련되거나, 묘사하거나, 합리적으로 결부되거나 또는 합리적으로 직간접적으로 연결할 수 있으면, 그 정보를 개인정보라 한다. 바이오식별정보, 온라인 식별자, 소비자의 온라인 활동, 기존 정보로부터 유추된 정보 역시 개인정보에 해당하지만, 공공기록으로부터 공개적으로 구할 수 있는 정보, 비식별화된 정보나 집합 소비자정보는 개인정보에 포함되지 않는다. '가계'가 포함되어 있는 점이 우리나라나 GDPR과 상이한 점이다.
2) 비식별정보, 가명처리 : 비식별정보는 특정정보가 특정 소비자를 합리적으로 식별하거나, 관련되거나, 묘사하거나, 결부될 수 없거나 또는 직간접적으로 연결되지 않으면, 그 정보를 비식별정보라고 한다. 비식별화란 재식별을 방지하는 기술적 보호조치, 재식별을 방지하는 관리적 보호조치 등을 사용하는 것을 의미한다. 가명처리란 보호조치가 취해진 추가정보 사용 없이는 더 이상 특정 소비자에게 귀속시킬 수 없게 하는 개인정보 처리 방법을 의미한다.
3) 사업자 : 주사무소 위치에 무관하게 캘피포니아주에서 사업을 수행하는 사업자로서 3가지 즉 연간 총 매출액이 2,500만 달러 이상이거나, 50,000 이상의 소비자나 가계, 장치 등의 개인정보를 상업목적으로 구매하거나 받거나 상업목적으로 판매하거나 공유하거나, 소비자 개인정보 판매로 연간 매출의 50% 이상을 창출하는 경우 중의 하나를 만족하면 사업자로서 규율 대상이 된다. 비영리기관이나 중소기업에는 적용되지 않지만 일단 적용대상이면 온라인 사업자에 한정하지 않는다.
4) 소비자 : 캘리포니아 거주 자연인을 의미한다. CCPA는 연방법이 아니고 주법이기 때문이다.
5) 사업목적과 상업목적 : 사업자의 개인정보 활용 목적을 사업목적과 상업목적으로 구분하고 있는바, 전자는 사업자 또는 서비스 제공자의 수집시의 운영 목적 또는 통지된 목적을 위한 활용을 의미하고, 후자는 상품 등의 판매 등을 유인하기 위한 목적을 위한 활용을 의미한다.
6) 기타 집합 소비자정보, 바이오식별정보, 연구 등에 대한 정의규정이 존재한다.
2. 소비자의 권리 및 사업자의 의무
1) 공개요구권 및 공개의무
소비자는 수집시 사업자에게 수집하는 개인정보의 범주와 항목의 공개를 요구할 권리를 가진다. 사업자는 수집시 소비자에게 수집되는 개인정보의 항목, 개인정보가 이용되는 목적, 지난 12개월 동안 실제로 수집되거나 판매된 소비자개인정보의 범주에 대하여 공개하여야 한다. 이를 위해서 사업자는 지난 12개월 동안 수집했던 개인정보 범주를 12개월마다 갱신해야 한다. 다만 일회성 거래의 경우는 적용되지 않는다.
2) 삭제요구권 및 삭제의무
소비자는 사업자가 수집한 소비자정보에 대하여 삭제를 요구할 권리를 가진다. 소비자로부터 거부 요구를 받은 사업자는 삭제 조치를 취해야 한다. 다만 이행된 계약에 관한 정보, 데이터보안 탐지 목적, 오류 수정 목적, 법적 의무 준수 목적, 연구 등의 목적, 호환된 범주에서의 내부적 사용 목적 등을 위해서 개인정보를 유지할 필요가 있는 경우는 삭제요구에 응하지 않을 수 있다.
3) 정보접근권 및 정보제공의무
소비자는 사업자에게 수집한 소비자정보의 범주, 수집소스의 범주, 수집 또는 판매의 목적, 공유한 제3자 등에 대한 정보를 요구하고 접근할 권리를 가진다. 소비자로부터 정보요구를 받은 사업자는 상응하는 조치를 취해야 하고, 이를 위해서 지난 12개월 동안 판매하고 공개했던 개인정보 범주를 공개하고 12개월마다 이를 갱신해야 한다. 다만 소비자정보를 보관하지 않은 일회성 거래의 경우는 적용되지 않는다.
4) 판매거부권 및 판매중지의무
소비자는 소비자의 개인정보를 제3자에게 판매하는 사업자에게 언제라도 소비자의 개인정보를 판매하지 말 것을 지시할 권리를 가진다(opt-out). 소비자의 이러한 권리를 보장하기 위해서 인터넷 홈페이지에 소비자의 판매거부권을 상세하게 설명하고 "Do Not Sell My Personal Information" 링크를 제공하여야 한다.
다만 13세 이상 16세 미만 소비자의 경우는 소비자가 판매 동의를 할 때만, 13세 미만 소비자의 경우는 보호자가 판매 동이를 할 때만 소비자 개인정보를 판매할 수 있다(opt-in).
5) 평등대우의무
사업자는 소비자가 소비자에게 주어진 권리를 행사한다고 하여 서비스 제공을 거부하거나 가격 등을 차별해서는 아니 된다.
6) 온라인 개인정보보호 정책 공개 등
사업자는 온라인 개인정보보호정책에 위 소비자의 권리나 사업자의 의무에 대한 설명이나 권리행사 방법을 공개하고, 관련된 개인정보 범주 등을 적어도 12개월에 한번씩은 갱신하여 공개하여야 한다.
만일 사업자가 인터넷 웹사이트를 운영하는 경우, 소비자가 통지요구권이나 정보접근권을 행사할 수 있는 권리행사 서식을 제공하여야 한다. 소비자의 권리행사가 있는 경우 45일 이내에 무료로 필요한 정보를 소비자에게 제공하여야 하고, 1번에 한하여 같은 기간동안 연장할 수 있다.
3. 제재
1) 공적 제재
CCPA 위반에 대한 공적 제재는 캘리포니아주 법무장관의 권한이며, 사업자가 위반사실을 통지받은 날로부터 30일 이내에 조치하지 않은 경우 민사벌로서 건당 최대 2,500달러를 부과하며, 특히 고의에 의한 위반의 경우는 최대 3배수인 7,500달러를 부과할 수 있다.
2) 사적 소송
사업자는 합리적인 보안절차를 이행하지 않아 암호화되지 않거나 민감한 정보가 삭제되지 않은 채로 유출이 발생한 경우 소비자에 대한 법적 책임을 부담하는바, 소비자에게 위반당 100달러 ~ 750달러의 법정손해 및 실제 손해 중 큰 금액으로 손해배상을 하여야 한다. 개인소송이나 집단소송을 제기하고자 하는 소비자는 서면으로 30일 이전에 통보하여야 하며, 30일 이내에 사업자가 조치를 취하면 위 법정손해배상책임은 면하나 실제 손해가 존재하는 경우에는 법정손해배상 면책과 무관하게 배상책임을 진다.
4. 시행시기
2020년 1월 1일부터 시행되지만, 다만 해당 기업의 직원, 구직자, 오너, 디렉터 등에 적용되는 일부 조항은 2021년 1월 1일부터 시행된다.
5. 주의점
CCPA는 EU GDPR과 달리 동의 등 처리의 적법성을 요구하지 않으며, 우리나라와 달리 데이터 브로커가 적법하다고 보는 입장이다. 개인정보 처리의 기본적인 전제가 우리나라와 EU GDPR과 상이함을 먼저 이해해야 오해가 없을 것이다.
더불어, EU GDPR과 달리 집단소송이 가능한 미국의 소송환경을 고려하면 위반 기업에 대한 파급력은 훨썬 더 클 수 있다는 점에 유의하여야 한다. 특히 소비자 1인당 100달러 배상을 한다고 하더라도 예컨대 유출된 소비자가 1억명이면 100억달러, 한화로 약 12조에 달할 수 있다는 점을 고려하면 가볍게 보아서는 안 될 법률임이 틀림이 없다.
* 법무법인 민후 김경환 대표변호사 작성, 블로그(2020. 5. 11.), 디지털데일리(2020. 5. 11.) 기고.