CCPA 규정 준수를 위한
상세한 가이드

새로운 캘리포니아 프라이버시 법률은 모든 규모의 조직을 대상으로 수 많은 규정 준수 이슈가 존재합니다.

피해야하는 처벌이 무엇인지 알아보고 DLP 솔루션이 CCPA 규정 준수에 도움이 되는 방법을 알아보겠습니다.

1

CCPA는 무엇인가?

CCPA (California Consumer Privacy Act)는 소비자 프라이버시 법률로 기업이 고객 정보를 다루는 방법을 규제합니다. 캘리포니아 주 정부는 2018년 6월 말에 긴급하게 CCPA (국회 법안 375호)를 제정하고 2018년 9월에 개정하였습니다.

GDPR (General Data Protection Regulation) 및 최근 데이터 위반을 기반으로 CCPA는 새로운 권한을 소비자에게 부여해서 이들의 프라이버시를 더 강력하게 보호하는 것을 목표로 합니다. 기업의 투명성을 고무시키고 개인 정보가 오용을 줄이는 목적으로 사용되는 방법에 대한 수 많은 제어 권한을 부여합니다.

2

주요 구성요소

"개인 정보"의 확장된 정의
캘리포니아 주민의 새로운 데이터 권리
캘리포니아의 새로운 법적 손해 프레임워크
미성년자의 개인 정보 사용시 새로운 규제 도입
3

누가 규정을 준수해야 하는가?

CCPA에 관련해서 모든 기업이 준수해야 한다는 약간의 혼란이 있었습니다. 실제로 이 프라이버시 법률은 아래 3가지 조건에 해당하고 캘리포니아에서 사업을 하는 영리 조직에게만 적용됩니다:

연 총 매출 $25,000,000 이상
적어도 50,000명 소비자 데이터를 수집, 공유, 판매 및 구매
개인 정보 판매로 적어도 50% 매출 달성
4

CCPA의 새로운 권리

CCPA는 캘리포니아 주민을 대상으로 새로운 몇 가지 소비자 권리를 도입합니다.

정보열람권

  • 기업은 수집된 고객의 개인 정보가 무엇이고 어떻게 수집 및 사용되는지 뿐만 아니라 누구에게 공개되고 판매되는지 소비자에게 알려야 합니다. 일반적으로 공개는 프라이버시 통지로 공공연하게 그리고 특히 소비자의 요청으로 이루어져야 합니다.

접근권

  • 캘리포니아 주민의 개인 정보를 수집하는 CCPA 규정을 준수해야 하는 기업은 아래의 요청에 따라 아래 내용을 제공해야 합니다:
    • 수집된 개인 정보의 범주 (예: 이름, 전화번호, 생년월일 등)
    • 수집된 개인 정보의 특정 부분
    • 개인 데이터 소스의 범주
    • 상업적 목적으로 수집 또는 판매한 개인 정보
    • 개인 정보가 공유된 제 3업체의 범주
  • 기록 요구사항: 기업은 2020년 1월 1일 이전의 12개월 즉 2019년 1월 1일부터 수집된 개인 정보 기록이 필요합니다.

거부권

  • 거부권은 CCPA의 가장 영향력이 큰 권리이며 예외는 없습니다.
    비록 이것이 특정 방어 대상이라도 기업은 소비자의 요청에 따른 제 3업체 개인 정보 판매 거부를 준수하고 이행해야 합니다.
  • 기업이 개인 정보를 판매한다면 홈페이지에 소비자나 일반인이 개인 정보 거부권을 행사할 수 있도록 "나의 개인 정보를 판매하지 마시오."라는 문구로 명료하고 눈에 잘 띄는 링크를 만들어야 합니다.

동일한 서비스와 가격을 받을 수 있는 권리

  • 기업은 이 법에 따라 권리를 행사하는 캘리포니아 소비자를 차별하는 것이 금지되어 있습니다. 차별은 국한되지 않고 거부, 다른 요금 부과 또는 다른 품질의 상품 및 서비스 제공이 포함됩니다.
  • 그러나 CCPA는 기업이 만약 이러한 차이가 "소비자 데이터에 의해 소비자에게 제공되는 가치에 합리적인 관련이 있는 경우" 다른 가격 또는 서비스 수준을 허용합니다. 기업은 또한 개인 정보 수집이나 판매 대가로 소비자에게 재정적 인센티브를 제공할 수 있습니다.

개인 정보 삭제 요구권

  • 소비자는 특정 예외에 따라 조직에 데이터 삭제를 요청할 권리가 있습니다. 기업은 또한 서비스 제공 업체에게 데이터를 삭제하도록 지시해야 합니다.

미성년자 특별 보호

  • 기업은 16세 미만 소비자 개인 정보 판매로 간주될 수 있는 모든 활동 가능성 여부를 평가하고 그렇다면 위험 완화를 위한 프로토콜과 절차를 수립하는 것을 고려해야 합니다.
  • CCPA는 기업이 16세 미만 소비자가 있다는 실질적 인식 (Actual Knowledge)가 있다면 모든 미성년자 개인 정보 판매에 적극적 동의 (Affirmative Consent) 요구사항을 부과합니다.
  • "적극적 동의 (Affirmative Consent)" 적용:
    • 13세 미만의 소비자는 보모님 또는 보호자
    • 13~16세 소비자는 자신이 직접
5

데이터 범주

CCPA는 소비자가 관리하기 원하는 모든 민감한 개인 정보를 아우르는 것을 목적으로 합니다. 좀 더 구체적으로 특정 소비자나 가정에서 합리적으로 직접 또는 간접적으로 관련될 수 있거나 연관할 수 있는 식별 및 서술 가능한 개인 정보를 말합니다.

CCPA에서 개인 정보로 분류되는 추가 목록:

    • IP 주소
    • 지정학 데이터
    • 생체 정보
    • 장치 및 쿠키 ID
    • 검색 내역, 구매 내역 또는 성향과 관련된 인터넷 활동 정보
    • 인종, 색, 성별, 연령, 종교, 유전 정보, 성적 성향, 정치적 선호도, 국적, 장애 또는 시민권 여부에 관려된 특성
    • "소비자 선호도, 성격, 심리학적 성향, 선호, 행동, 태도, 지능, 능력 및 적성을 반영한 프로파일을 만들어진" 개인 정보로 도출된 추론
6

규정 준수 기한

실시일: 2020년 1월 1일
시행일: 2020년 7월 1일

7

처벌

민사 처벌:

부주의 위반 최대 $2,500
의도적 위반 최대 $7,500

법정손해배상:

사건 당 $100-$750/소비자
8

규정 준수 체크리스트

CCPA 소비자 프라이버시 권리를 설명한 프라이버시 정책 업데이트

기업은 소비자가 모든 개인 데이터 판매 거부 뿐만 아니라 간략한 소비자 권리 및 제안된 개인 정보 판매를 행사할 수 있도록 제공하는 새로운 절차를 만들어야 합니다.

기업은 소비자가 자신의 정보 판매를 거부할 수 있는 권리가 있음을 분명히 해야 합니다.

조직 전체에서 중요한 개인 데이터를 식별 및 위치를 알 수 있는 데이터 분류

기업은 이전에 수집된 소비자 개인 정보를 식별해야 합니다.

기업은 또한 개인 정보를 수집한 이유, 어떤 범주의 개인 정보가 판매되었는지, 어떤 범주가 비즈니스 목적으로 공개되었는지도 알아야 합니다.

CCPA 적용 범위에 속하는 기업은 최신 기록을 자세하게 유지하는 것이 중요합니다.

소비자 권리 요청에 대응하는 내부 프로세스 실행

기업은 개인 데이터와 관련된 모든 소비자 요청을 처리하기 위한 프로토콜을 구현해야 합니다. 여기에는 소비자가 자신의 데이터 판매를 거절하는 상황 뿐만 아니라 제 3업체에게 데이터 공개를 허용하지 않는 상황도 포함됩니다.

소비자가 직접적으로 권리를 행사하는 방법을 위한직원 교육

기업은 CCPA의 프라이버시 관행과 관련된 소비자 문의와 소비자가 자신의 권리를 행사할 수 있는 방법에 대한 질문을 다루는 직원 모두를 교육해야 합니다.

암호화 및 DLP 제품과 같은데이터 보안 관행 및 솔루션 수용

엔드포인트, 게이트웨이 및 클라우드 서비스는 무단 접근 및 변경을 방지하고 데이터 무결성을 손상시키려는 악의적인 위협으로부터 개인 데이터를 보호할 수 있도록 충분한 보안이 있어야 합니다.

보안 도구는 지속적으로 엔드포인트, 서버 및 기타 시스템을 평가하여 구식 운영 체제 및 패치되지 않은 응용프로그램으로 인한 새로운 위협을 방지해야 합니다.

9

DLP 솔루션을 활용한 규정 준수

1. 민감한 데이터에 데이터 보호 정책 적용하기
2. 장소에 상관없이 데이터 보호하기
3. 무단 데이터 전송 보고 및 차단하기
4. 이메일 알림 및 상세한 보고 받기

저장 데이터 (Data at Rest) 보호

  • 인가되지 않은 저장 데이터 보호
  • Windows, macOS, Linux 및 USB 장치와 같은 이동식 매체에서 의도적인 데이터 도난 및 우발적인 분실 방지
  • 사전 정의 또는 사용자 정의, 파일 등을 기반으로 직원의 엔드포인트에 저장된 저장 데이터 검색
  • 잠재적 위반으로 데이터를 보호하기 위해 암호화

이동 데이터 (Data in Motion) 보호

  • 무단 전송 보호
  • 여러 채널을 이용한 이동 데이터 보안 및 네트워크 이탈로 데이터 보호
  • 이동 데이터를 모니터링 및 제어를 통해서 다양한 엔드포인트로 어떤 기밀 파일이 나갈 수 있는지 알 수 있음