고객센터
/
전송 가능성 및 규정 준수
/
GDPR 및 CCPA

CCPA 및 CPRA에 대해 자주 묻는 질문

예상 7 읽은 시간(분)
|
업데이트 2025년 7월 7일 오전 10:26 EST
학습 내용

학습 내용

CCPA(캘리포니아 소비자 개인정보 보호법) 및 CPRA(캘리포니아 개인정보 보호 권리법)와 관련하여 자주 묻는 질문에 대해 알아보세요.

 여기에 제공된 정보는 교육용으로 제공되며 법률 자문으로 해석되어서는 안 됩니다. 클라비요는 모든 고객과 모든 이커머스 판매자가 CCPA 및 CPRA를 구체적으로 어떻게 준수해야 하는지에 대해 법률 자문을 구할 것을 권장합니다.   

CCPA란 무엇인가요?

CCPA란 무엇인가요?

CCPA는 2020년 1월 1일에 발효된 법률로, 기업이 캘리포니아 거주자의 개인정보를 처리하는 방식을 규율합니다.

CCPA는 미국 내 개인정보 보호에 대한 인식의 격차에 대한 대응책입니다. 캘리포니아 거주자의 개인정보를 취급하는 회사는 거주자에게 회사의 개인정보 보호 관행과 거주자의 개인정보 보호 권리(권리 포함)를 알려야 합니다:

  • 비즈니스에서 수집하는 개인 정보 및 사용 방법에 대해 알기
  • 수집한 개인 정보 삭제(일부 예외)
  • 개인 정보 판매 거부
  • CCPA 권리 행사에 대한 차별 금지
CPRA란 무엇인가요?

CPRA란 무엇인가요?

CPRA는 다음을 포함하여 CCPA의 요건을 수정하고 확대하는 법률입니다:

  • "민감한 개인 정보" 카테고리 추가 
  • 민감한 개인정보의 사용 및 공개를 제한할 권리 설정하기
  • 부정확한 개인 정보를 수정할 권리 확립하기
  • '판매 금지' 옵트아웃 요건을 교차 컨텍스트(또는 제3자) 광고 목적의 개인정보 '공유'로 확대합니다.

CPRA는 2023년 1월 1일부터 시행됩니다.

누가 CCPA 및 CPRA를 준수해야 하나요?

누가 CCPA 및 CPRA를 준수해야 하나요?

비즈니스

비즈니스

대부분의 CCPA 및 CPRA 요건은 캘리포니아 소비자의 개인 정보를 자체적으로 또는 공급업체를 통해 수집하는 회사로 정의되는 '비즈니스'에 적용됩니다. 

CCPA는 다음 조건 중 하나를 충족하는 비즈니스에 적용됩니다:

  • 캘리포니아 거주자의 개인 정보 취급
  • 캘리포니아에서 '사업'을 하는 경우(전자상거래 또는 대화형 웹사이트 또는 애플리케이션을 통해 캘리포니아에 위치한 개인과 거래하는 경우 포함)
  • 다음 임계값 중 하나 이상을 충족합니다:
    • 연간 총 매출이 2,500만 달러 이상
    • 매년 50,000명 이상의 캘리포니아 거주자, 가구 또는 기기의 개인 정보를 구매, 수신 또는 판매하는 경우
    • 연간 수익의 50% 이상을 캘리포니아 거주자의 개인 정보를 '판매'하여 얻는 경우(즉, 판매에는 금전적 또는 기타 가치 있는 대가를 받고 제3자에게 개인 정보를 공개, 제공, 이전 또는 전달하는 것이 포함됨).

CPRA는 이 적용 가능성을 다음과 같이 수정합니다:

  • 다음 임계값 중 하나 이상을 충족합니다:
    • 지난해연간 총 수익이 2,500만 달러 이상인 경우
    • 매년 10만 명 이상의 캘리포니아 거주자 또는 가구의 개인 정보를 구매, 판매 또는 공유하는 경우
    • 캘리포니아 거주자의 개인 정보를 판매하거나 공유하여 연간 수익의 50% 이상을 창출하는 경우(공유에는 금전적 또는 기타 가치 있는 대가 여부에 관계없이 콘텐츠 간 행동 광고를 위해 제3자에게 개인 정보를 공개, 제공, 전송 또는 전달하는 행위가 포함됨).
서비스 제공업체 및 계약업체 

서비스 제공업체 및 계약업체 

서비스 제공업체로 간주되려면 개인 또는 법인이여야 합니다:

  • 비즈니스를 대신하여 개인 정보 처리 
  • 개인정보 사용과 관련하여 특정 제한 및 의무를 부과하는 서면 계약에 구속되어야 합니다(추가 금지 포함):
    • 수집
    • 판매
    • 사업 목적 수행에 필요한 경우를 제외한 개인정보 이용

서비스 제공업체와 마찬가지로 판매 또는 공유에 대한 예외는 CPRA에 따라 계약자에게도 적용됩니다. 수탁업체는 서비스 제공업체에 적용되는 것과 유사한 제한 및 의무를 부과하는 서면 계약에 따라 비즈니스가 개인 정보를 제공하는 개인 또는 단체를 말합니다. 계약자는 또한 계약자가 제한 사항을 이해하고 이를 준수할 것임을 증명하는 인증서를 보유해야 합니다.

비즈니스 목적을 수행하기 위해 필요한 경우 비즈니스가 서비스 제공업체나 계약업체에 데이터를 공개하는 것은 판매 또는 공유로 간주되지 않는다는 점에 유의하세요.

개인 컴플라이언스로 분류되는 것은 무엇인가요?

개인 컴플라이언스로 분류되는 것은 무엇인가요?

CCPA는 특정 소비자 또는 가구를 식별, 설명하거나 합리적으로 연관시킬 수 있는 정보를 포함하도록 개인 정보를 매우 광범위하게 정의합니다. 실제로 이러한 광범위한 정의는 연락처 정보, 거래 데이터, 인터넷 프로토콜(IP) 주소, 모바일 장치 식별자, 클릭스트림 데이터, 주문 세부 정보와 같은 정보가 CCPA의 개인정보 정의 범위에 포함될 수 있으며 CCPA의 요건을 따라야 함을 의미합니다.

CPRA는 '민감한 개인정보'라는 새로운 범주의 개인 정보를 생성하고 소비자에게 민감한 정보의 사용 및 공개를 제한할 수 있는 새로운 권리를 부여합니다. 

CPRA에 따른 민감한 개인 정보에는 다음이 포함됩니다: 

  • 사회 보장 번호
  • 운전면허증 번호 
  • 여권 번호
  • 계정 자격 증명
  • 정확한 지리적 위치
  • 인종 또는 민족 출신
  • 종교적 신념
  • 생체 인식 데이터
  • 유전자 데이터
  • 건강 데이터 
  • 소비자의 성생활 또는 성적 취향에 관한 정보
  • 사업자가 의도된 통신 수신자가 아닌 소비자의 우편, 이메일 및 문자 메시지 내용 

 클라비요는 민감한 개인정보를 수집하거나 플랫폼에 저장하는 것을 허용하지 않습니다.

준비하려면 어떻게 해야 하나요?

준비하려면 어떻게 해야 하나요?

CCPA와 CPRA는 복잡한 법률입니다. 이 문서에서는 클라비요 서비스 사용과 관련하여 CCPA 및 CPRA에 따른 주요 의무 사항을 설명하지만, 귀하의 비즈니스에 적용될 수 있는 모든 요건을 고려한 것은 아닙니다. 구체적인 조언은 법률 고문에게 문의하세요. 

CCPA 및 CPRA가 비즈니스에 적용되는 경우 다음과 같은 권리 및 공개 사항을 고려해야 합니다.

공지사항

공지사항

비즈니스는 가입 양식 등 개인정보를 수집하는 모든 지점에서 액세스할 수 있는 개인정보 처리방침을 웹사이트에 게시해야 합니다. 정책에는 무엇보다도 다음 사항이 포함되어야 합니다:

  • 비즈니스 목적으로 수집, 판매 및 기타 공개하는 개인 정보의 범주
  • 개인 정보의 출처 범주 
  • 개인 정보의 수집 또는 판매를 위한 사업적 또는 상업적 목적
  • 다음과 같은 소비자의 권리와 지정된 요청 제출 방법에 대한 설명:
    • 개인 정보를 삭제할 권리
    • 카테고리 및 특정 개인 정보에 액세스할 수 있는 권리
    • 개인 정보의 판매 또는 공유를 거부할 권리
    • 보복 금지의 권리

CPRA는 이 소비자 권리 목록을 확장하여 다음을 포함합니다: 

  • 부정확한 정보를 수정할 권리
  • 민감한 개인정보의 사용 및 공개를 제한할 권리
  • 자동화된 의사 결정 기술을 거부할 권리

또한 CPRA는 비즈니스에 다음과 같은 추가 공개 사항을 포함하도록 요구합니다:

  • 개인의 개인 정보 판매 또는 공유 여부
  • 비즈니스가 각 범주의 개인 정보를 보유하려는 기간 또는 해당 정보를 보유할 기간을 결정하는 데 사용할 기준입니다.
  • 비즈니스에서 '민감한 개인 정보'를 수집하는 경우:
    • 수집된 민감한 정보의 범주를 식별하는 별도의 공개 사항
    • 이 데이터의 사용 및 목적
    • 해당 정보의 판매 또는 공유 여부
옵트아웃 권한

옵트아웃 권한

소비자는 언제든지 자신의 개인 데이터를 제3자에게 판매하는 것을 거부할 권리가 있습니다. 비즈니스는 소비자가 추후 명시적인 승인을 제공하지 않는 한 요청을 받은 즉시 개인 정보 판매를 중단해야 합니다. 기업은 소비자에게 개인 정보 판매에 다시 동의하도록 요청하기 전에 최소 12개월을 기다려야 합니다. 이 옵트아웃 권리를 사용하려면 무엇보다도 비즈니스는 다음과 같은 사항을 준수해야 합니다:

  • 비즈니스 홈페이지에 "내 개인정보 판매 금지"라는 제목의 명확하고 눈에 잘 띄는 링크를 제공합니다. 링크를 통해 소비자 또는 소비자의 권한을 위임받은 사람이 소비자의 개인 정보 판매를 거부할 수 있어야 합니다.
  • 비즈니스에 소비자의 개인 정보를 판매하지 않도록 지시하기 위해 소비자에게 계정을 만들도록 요구하지 않습니다.

CPRA는 기존의 옵트아웃 권리 및 옵트인 요건을 확장하여 개인정보 판매 및 공유를 모두 포함하도록 했습니다. 따라서 비즈니스 홈페이지에 게시된 링크를 업데이트하고 "내 개인 정보를 판매하거나 공유하지 마세요"라는 제목을 달아야 합니다.

또한 소비자는 비즈니스에서 소비자의 개인 데이터를 구매한 제3자가 자신의 개인 데이터를 판매하는 것을 언제든지 거부할 수 있는 권리가 있습니다. 타사는 소비자의 후속 명시적 승인이 없는 한 수신 거부 요청을 받은 즉시 판매를 중단해야 합니다.

기타 소비자 권리

기타 소비자 권리

기업은 개인정보 액세스 또는 삭제 요청에 응답할 때 캘리포니아 거주자의 신원을 확인할 수 있는 프로세스를 갖추어야 합니다. 캘리포니아 거주자로부터 요청이 접수되어 신원이 확인되면, 해당되는 경우 요청을 작성할 때 다음 사항을 반드시 포함하여 거주자의 권리를 존중해야 합니다. 

알 권리: 소비자는 비즈니스에 개인정보 수집 및 처리 내역을 공개하도록 요청할 수 있습니다: 

  • 해당 소비자에 대해 수집한 개인 정보의 범주(이전 12개월 동안)
  • 개인 정보를 수집하는 출처의 범주 
  • 개인 정보 수집 또는 판매를 위한 사업적 또는 상업적 목적
  • 비즈니스가 개인 정보를 공개한 제3자의 범주
  • 비즈니스가 제3자에게 판매하거나 공개하는 정보의 범주
  • 해당 소비자에 대해 수집한 특정 개인 정보

CPRA는 이 권리를 수정하고 확대하여 요구 사항을 규정합니다:

  • 제3자와 "공유"하는 개인정보의 범주에 대한 정보 제공
  • 공개가 "불가능하거나" 또는 "불균형적인 노력을 수반하지 않는 한, 비즈니스가 12개월 이상의 정보를 제공하도록 요구함으로써 12개월 룩백 제한을 제거합니다(이 요건은 2022년 1월 1일 이전에 비즈니스에서 수집한 데이터에는 적용되지 않습니다" ).

삭제 권리: 비즈니스는 특정 예외를 제외하고 소비자의 정보를 삭제하고 서비스 제공업체에 통보하여 소비자의 정보를 삭제해야 합니다. CPRA에 따라 비즈니스는 서비스 제공업체 및 계약업체에 통지해야 하며, "불가능하거나 불균형적인 노력을 수반하지 않는 한" 비즈니스가 소비자의 개인정보를 판매하거나 공유한 제3자(문맥 간 광고 목적)에게도 통지해야 합니다. 또한 각 서비스 제공업체는 자신의 다운스트림 서비스 제공업체에도 소비자 정보를 삭제하도록 통지해야 합니다. 

부정확한 개인정보를 수정할 권리: 부정확한 개인 정보를 수정하라는 확인된 요청을 받은 비즈니스는 소비자의 지시에 따라 해당 개인 정보를 수정하기 위해 '상업적으로 합리적인 노력'을 기울여야 합니다. 이 의무에 대한 추가 지침은 캘리포니아 법무장관으로부터 나올 예정입니다.

또한 소비자가 만 13세 미만인 경우 개인정보를 판매하기 전에 부모 또는 보호자의 명시적 동의(옵트인)가 필요하다는 점에 유의해야 합니다. 소비자가 13세에서 16세 사이인 경우 개인 정보를 판매하기 전에 해당 개인의 명시적인 동의가 필요합니다.

소비자 요청 이행 

소비자 요청 이행 

소비자가 정보 요청을 제출할 수 있는 지정된 방법이 2개 이상 있어야 합니다.

여기에는 최소한 다음과 같은 내용이 포함되어야 합니다:

  • 수신자 부담 전화 번호(온라인에서만 운영되고 개인 정보를 수집하는 소비자와 직접적인 관계가 있는 특정 비즈니스는 수신자 부담 전화 번호 요건에서 면제됨)
  • 웹 주소(비즈니스에 웹사이트가 있는 경우) 

소비자 요청은 요청을 받은 날로부터 45일 이내에 우편 또는 전자적 방법(소비자가 다른 단체에 제공할 수 있는 형식) 또는 사용자 계정을 통해 처리해야 합니다. 복잡성 및 요청 건수에 따라 합리적으로 필요한 경우, 그리고 요청자에게 연장 사유를 상세히 통보하는 경우 응답 시간이 추가로 45일 연장될 수 있습니다. 또한 요청 절차는 무료여야 합니다.

비즈니스는 12개월 동안 소비자당 두 번 이상의 요청을 수행할 필요가 없습니다.

클라비요 서비스와 관련하여 CCPA 및 CPRA에 따른 클라비요의 역할은 무엇인가요?

클라비요 서비스와 관련하여 CCPA 및 CPRA에 따른 클라비요의 역할은 무엇인가요?

클라비요는 고객이 개인 정보를 수집하여 플랫폼에 저장하는 개인과 직접적인 관계가 없습니다. 클라비요는 고객을 대신하여 개인정보를 처리하기 때문에 클라비요는 서비스 제공자 역할을 하고, 고객은 기업입니다.

클라비요의 서비스 제공자로서 고객에 대한 의무는 당사의 데이터 처리 계약에 명시되어 있습니다. 

고객이 규정을 준수할 수 있도록 클라비요는 무엇을 하고 있나요?

고객이 규정을 준수할 수 있도록 클라비요는 무엇을 하고 있나요?

클라비요 고객은 CCPA 및 CPRA에 따라 캘리포니아 거주자의 개인정보 액세스, 삭제 또는 수정에 대한 소비자 권리를 행사하기 위한 요청을 수용할 수 있는 역량과 도구를 갖추고 있습니다. 구체적으로

  • 이 플랫폼을 통해 고객은 액세스 요청에 대한 응답으로 최종 사용자에 대해 보유하고 있는 개인 정보에 대해 보고할 수 있습니다.
  • 플랫폼은 삭제 요청에 대응하여 최종 사용자에 대해 보유하고 있는 개인정보를 삭제하고 클라비요의 프로필에 있는 부정확한 개인정보를 수정할 수 있습니다.
  • 클라비요는 당사의 이용 제한 정책에 따라 민감한 개인정보의 수집 및 저장을 지원하거나 제한하지 않습니다.

추가 지원이 필요한 경우 클라비요는 기술적 한계로 인해 지원이 필요할 수 있는 부분을 합리적으로 수용할 준비가 되어 있습니다.

추가 리소스

추가 리소스

이 도움말 문서가 유용했나요?
이 형식은 도움말 문서 피드백 용도로만 사용하세요. 지원 팀에 문의하는 방법.

Klaviyo에서 자세히 살펴보기

커뮤니티
동료, 파트너, Klaviyo 전문가와 연결되어 영감을 받고 인사이트를 공유하며, 모든 궁금한 사항에 대해 답을 얻으세요.
커뮤니티 방문
라이브 교육
Klaviyo 전문가와 함께하는 라이브 세션에 참여하여 모범 사례, 주요 기능 설정 방법 등에 대해 알아보세요.
지금 등록하기
지원

계정을 통해 지원에 액세스하세요.

이메일 지원 (무료 체험 및 유료 계정) 연중무휴 24시간 사용 가능

채팅/가상 비서
 사용 가능 여부는 위치 및 요금제 유형에 따라 다름

로그인