캘리포니아 개인정보 권리법

IT 위키

California Privacy Rights Act

미국 캘리포니아주의 개인정보보호 일반법으로, 기존 CCPA 대비 강화된 후속법

추진 경과[편집 | 원본 편집]

  • 2018년 6월, 캘리포니아 소비자 프라이버시법(CCPA) 주 의회 통과, 2020년 1월 발효
  • 2020년 7월, CPPA 시행규칙 제정 등 하위법령의 제도 정비 후 본격 시행
  • 2020년 11월, 주민투표를 통해 기존 CCPA 대비 강화된 캘리포니아 개인정보 권리법(CPRA) 통과
  • 2023년부터 시행 예정

배경[편집 | 원본 편집]

미국의 각 주(州)에서도 연방법과 마찬가지로 EU GDPR이나 한국의 개인정보보호법 같은 포괄적인 일반법은 없으며, 각 분야별로 개별적 개인정보보호 법률을 규정하고 있다. 그러나 EU GDPR 제정 이후 각 주에서 일반 개인정보보호법 입법 요구 및 제정 움직임이 활발히 전개되었다.

특히 캘리포니아 주는 미국 최초로 민간 분야의 포괄적인 개인정보보호법을 도입했다. 2018년 6월 28일 캘리포니아 주는 소비자의 개인정보보호 권리와 사업체의 개인정보보호 관련 의무사항 등을 규정한 캘리포니아 주 소비자 프라이버시법(California Consumer Privacy Act of 2018, CCPA)을 채택했다. CCPA는 2018년 6월 캘리포니아 주 의회 통과 이후 경과기간을 거쳐 2020년 1월 발효되었으나, 시행규칙 제정 등 하위법령의 제도 정비를 이유로 2020년 7월 1일부터 본격적으로 시행되었다.

CCPA는 캘리포니아 민법전(California Civil Code) 제1.81.5편에 총 19개 조문을 추가하여 편제되어 있다. 동 법은 거주민들에게 소비자로서 개인정보에 대한 폭넓은 통제권을 부여하고, 사업체에게도 다양한 개인정보보호 의무를 부과하는 등 개인정보보호 일반법으로서 EU GDPR과 유사한 점이 많다. 그러나 EU GDPR과는 달리 해당 법률을 관장하는 감독기구가 따로 존재하지 않아, 소비자는 사업체의 CCPA 위반 행위에 대해 감독기구를 통한 피해 구제를 요청할 수 없다. 또한, 동 법이 캘리포니아 주 영토 밖 범위까지 적용되지 않으며, 캘리포니아 주 이외의 지역에 거주하는 캘리포니아 주민에게 적용되지 않기 때문에 EU 역외 국가에도 적용되는 EU GDPR과는 차이가 있다.

캘리포니아 주에서는 이후 2020년 11월 주민투표를 통해 기존 CCPA 대비 소비자의 권리를 확대하고 캘리포니아 개인정보 감독기구 설립 근거를 마련한 캘리포니아 개인정보보호 권리법(California Privacy Rights Act of 2020, CPRA)이 통과되었으며, 오는 2023년부터 시행될 예정이다.

2023년부터 시행될 CPRA는 적용대상, 개인정보 개념 정의, 소비자 권리, 기업 의무 등에서 CCPA와 여러 차이점을 보이며, 특히 미국 내 최초로 개인정보 감독기구를 도입한 것이 특징이다.

주요 내용[편집 | 원본 편집]

주로 CCPA 대비 변화 위주로 기술

항목 주요 내용
적용대상 축소 소규모 사업체 중 연간 5만~10만 명의 개인정보를 관리·처리하는 사업체를 CPRA 적용대상에서 제외함으로써 영세 사업체의 법률 준수 부담 축소
민감정보 정의 규정 개인정보 개념에서 민감정보 개념을 분리하여 새로이 정의하고 민감정보 공개 및 활용을 엄격히 제한하는 등 기업에 민감정보 관련 추가 의무 부과
GDPR 원칙 일부 도입 GDPR상의 개인정보 처리 원칙 중 ▲개인정보 최소처리 원칙 ▲목적 제한 원칙 ▲보유기간 제한 원칙을 조문에 반영
소비자 권리 확대 소비자에게 ▲부정확한 정보에 대한 정정 요청권 ▲자동화된 의사결정 거부권 ▲자동화된 의사결정에 대한 알 권리 ▲민감정보 공유 및 사용 거부권 등을 추가적으로 부여
기업의 의무 강화 사업체에게 ▲개인정보보호 의무 등을 명시한 계약 작성 의무화 ▲기업의 보안 절차 등을 합리적으로 구현하여 개인정보를 보호하는 보안책임을 부담하는 등 기업 의무 강화
개인정보 감독기구 설립 미국 최초의 개인정보 감독기구인 캘리포니아 개인정보 감독기구(California Privacy Protection Agency) 창설을 위한 근거조항이 신설되어, 감독기구가 동 법을 위반한 사업체, 서비스 제공업체, 계약업체, 개인 등에 대해 각 위반 당 행정벌금을 부과할 근거를 마련

참고 문헌[편집 | 원본 편집]

  • 개인정보보호위원회 - 국가별 정보 - 미국