학습 내용
CCPA(캘리포니아 소비자 개인정보 보호법) 및 CPRA(캘리포니아 개인정보 보호 권리법)와 관련하여 자주 묻는 질문에 대해 알아보세요.
여기에 제공된 정보는 교육용으로 제공되며 법률 자문으로 해석되어서는 안 됩니다. 클라비요는 모든 고객과 모든 이커머스 판매자가 CCPA 및 CPRA를 구체적으로 어떻게 준수해야 하는지에 대해 법률 자문을 구할 것을 권장합니다.
CCPA란 무엇인가요?
CCPA는 2020년 1월 1일에 발효된 법률로, 기업이 캘리포니아 거주자의 개인정보를 처리하는 방식을 규율합니다.
CCPA는 미국 내 개인정보 보호에 대한 인식의 격차에 대한 대응책입니다. 캘리포니아 거주자의 개인정보를 취급하는 회사는 거주자에게 회사의 개인정보 보호 관행과 거주자의 개인정보 보호 권리(권리 포함)를 알려야 합니다:
- 비즈니스에서 수집하는 개인 정보 및 사용 방법에 대해 알기
- 수집한 개인 정보 삭제(일부 예외)
- 개인 정보 판매 거부
- CCPA 권리 행사에 대한 차별 금지
CPRA란 무엇인가요?
CPRA는 다음을 포함하여 CCPA의 요건을 수정하고 확대하는 법률입니다:
- "민감한 개인 정보" 카테고리 추가
- 민감한 개인정보의 사용 및 공개를 제한할 권리 설정하기
- 부정확한 개인 정보를 수정할 권리 확립하기
- '판매 금지' 옵트아웃 요건을 교차 컨텍스트(또는 제3자) 광고 목적의 개인정보 '공유'로 확대합니다.
CPRA는 2023년 1월 1일부터 시행됩니다.
누가 CCPA 및 CPRA를 준수해야 하나요?누가 CCPA 및 CPRA를 준수해야 하나요?
비즈니스비즈니스
대부분의 CCPA 및 CPRA 요건은 캘리포니아 소비자의 개인 정보를 자체적으로 또는 공급업체를 통해 수집하는 회사로 정의되는 '비즈니스'에 적용됩니다.
CCPA는 다음 조건 중 하나를 충족하는 비즈니스에 적용됩니다:
- 캘리포니아 거주자의 개인 정보 취급
- 캘리포니아에서 '사업'을 하는 경우(전자상거래 또는 대화형 웹사이트 또는 애플리케이션을 통해 캘리포니아에 위치한 개인과 거래하는 경우 포함)
- 다음 임계값 중 하나 이상을 충족합니다:
- 연간 총 매출이 2,500만 달러 이상
- 매년 50,000명 이상의 캘리포니아 거주자, 가구 또는 기기의 개인 정보를 구매, 수신 또는 판매하는 경우
- 연간 수익의 50% 이상을 캘리포니아 거주자의 개인 정보를 '판매'하여 얻는 경우(즉, 판매에는 금전적 또는 기타 가치 있는 대가를 받고 제3자에게 개인 정보를 공개, 제공, 이전 또는 전달하는 것이 포함됨).
CPRA는 이 적용 가능성을 다음과 같이 수정합니다:
- 다 음 임계값 중 하나 이상을 충족합니다:
- 지난해연간 총 수익이 2,500만 달러 이상인 경우
- 매년 10만 명 이상의 캘리포니아 거주자 또는 가구의 개인 정보를 구매, 판매 또는 공유하는 경우
- 캘리포니아 거주자의 개인 정보를 판매하거나 공유하여 연간 수익의 50% 이상을 창출하는 경우(공유에는 금전적 또는 기타 가치 있는 대가 여부에 관계없이 콘텐츠 간 행동 광고를 위해 제3자에게 개인 정보를 공개, 제공, 전송 또는 전달하는 행위가 포함됨).
서비스 제공업체 및 계약업체
서비스 제공업체로 간주되려면 개인 또는 법인이여야 합니다:
- 비즈니스를 대신하여 개인 정보 처리
- 개인정보 사용과 관련하여 특정 제한 및 의무를 부과하는 서면 계약에 구속되어야 합니다(추가 금지 포함):
-
- 수집
- 판매
- 사업 목적 수행에 필요한 경우를 제외한 개인정보 이용
서비스 제공업체와 마찬가지로 판매 또는 공유에 대한 예외는 CPRA에 따라 계약자에게도 적용됩니다. 수탁업체는 서비스 제공업체에 적용되는 것과 유사한 제한 및 의무를 부과하는 서면 계약에 따라 비즈니스가 개인 정보를 제공하는 개인 또는 단체를 말합니다. 계약자는 또한 계약자가 제한 사항을 이해하고 이를 준수할 것임을 증명하는 인증서를 보유해야 합니다.
비즈니스 목적을 수행하기 위해 필요한 경우 비즈니스가 서비스 제공업체나 계약업체에 데이터를 공개하는 것은 판매 또는 공유로 간주되지 않는다는 점에 유의하세요.
개인 컴플라이언스로 분류되는 것은 무엇인가요?개인 컴플라이언스로 분류되는 것은 무엇인가요?
CCPA는 특정 소비자 또는 가구를 식별, 설명하거나 합리적으로 연관시킬 수 있는 정보를 포함하도록 개인 정보를 매우 광범위하게 정의합니다. 실제로 이러한 광범위한 정의는 연락처 정보, 거래 데이터, 인터넷 프로토콜(IP) 주소, 모바일 장치 식별자, 클릭스트림 데이터, 주문 세부 정보와 같은 정보가 CCPA의 개인정보 정의 범위에 포함될 수 있으며 CCPA의 요건을 따라야 함을 의미합니다.
CPRA는 '민감한 개인정보'라는 새로운 범주의 개인 정보를 생성하고 소비자에게 민감한 정보의 사용 및 공개를 제한할 수 있는 새로운 권리를 부여합니다.
CPRA에 따른 민감한 개인 정보에는 다음이 포함됩니다:
- 사회 보장 번호
- 운전면허증 번호
- 여권 번호
- 계정 자격 증명
- 정확한 지리적 위치
- 인종 또는 민족 출신
- 종교적 신념
- 생체 인식 데이터
- 유전자 데이터
- 건강 데이터
- 소비자의 성생활 또는 성적 취향에 관한 정보
- 사업자가 의도된 통신 수신자가 아닌 소비자의 우편, 이메일 및 문자 메시지 내용
클라비요는 민감한 개인정보를 수집하거나 플랫폼에 저장하는 것을 허용하지 않습니다.
준비하려면 어떻게 해야 하나요?
CCPA와 CPRA는 복잡한 법률입니다. 이 문서에서는 클라비요 서비스 사용과 관련하여 CCPA 및 CPRA에 따른 주요 의무 사항을 설명하지만, 귀하의 비즈니스에 적용 될 수 있는 모든 요건을 고려한 것은 아닙니다. 구체적인 조언은 법률 고문에게 문의하세요.
CCPA 및 CPRA가 비즈니스에 적용되는 경우 다음과 같은 권리 및 공개 사항을 고려해야 합니다.
공지사항공지사항
비즈니스는 가입 양식 등 개인정보를 수집하는 모든 지점에서 액세스할 수 있는 개인정보 처리방침을 웹사이트에 게시해야 합니다. 정책에는 무엇보다도 다음 사항이 포함되어야 합니다:
- 비즈니스 목적으로 수집, 판매 및 기타 공개하는 개인 정보의 범주
- 개인 정보의 출처 범주
- 개인 정보의 수집 또는 판매를 위한 사업적 또는 상업적 목적
- 다음과 같은 소비자의 권리와 지정된 요청 제출 방법에 대한 설명:
- 개인 정보를 삭제할 권리
- 카테고리 및 특정 개인 정보에 액세스할 수 있는 권리
- 개인 정보의 판매 또는 공유를 거부할 권리
- 보복 금지의 권리
CPRA는 이 소비자 권리 목록을 확장하여 다음을 포함합니다:
- 부정확한 정보를 수정할 권리
- 민감한 개인정보의 사용 및 공개를 제한할 권리
- 자동화된 의사 결정 기술을 거부할 권리
또한 CPRA는 비즈니스에 다음과 같은 추가 공개 사항을 포함하도록 요구합니다:
- 개인의 개인 정보 판매 또는 공유 여부
- 비즈니스가 각 범주의 개인 정보를 보유하려는 기간 또는 해당 정보를 보유할 기간을 결정하는 데 사용할 기준입니다.
- 비즈니스에서 '민감한 개인 정보'를 수집하는 경우:
- 수집된 민감한 정보의 범주를 식별하는 별도의 공개 사항
- 이 데이터의 사용 및 목적
- 해당 정보의 판매 또는 공유 여부
옵트아웃 권한
소비자는 언제든지 자신의 개인 데이터를 제3자에게 판매하는 것을 거부할 권리가 있습니다. 비즈니스는 소비자가 추후 명시적인 승인을 제공하지 않는 한 요청을 받은 즉시 개인 정보 판매를 중단해야 합니다. 기업은 소비자에게 개인 정보 판매에 다시 동의하도록 요청하기 전에 최소 12개월을 기다려야 합니다. 이 옵트아웃 권리를 사용하려면 무엇보다도 비즈니스는 다음과 같은 사항을 준수해야 합니다:
- 비즈니스 홈페이지에 "내 개인정보 판매 금지"라는 제목의 명확하고 눈에 잘 띄는 링크를 제공합니다. 링크를 통해 소비자 또는 소비자의 권한을 위임받은 사람이 소비자의 개인 정보 판매를 거부할 수 있어야 합니다.
- 비즈니스에 소비자의 개인 정보를 판매하지 않도록 지시하기 위해 소비자에게 계정을 만들도록 요구하지 않습니다.
CPRA는 기존의 옵트아웃 권리 및 옵트인 요건을 확장하여 개인정보 판매 및 공유를 모두 포함하도록 했습니다. 따라서 비즈니스 홈페이지에 게시된 링크를 업데이트하고 "내 개인 정보를 판매하거나 공유하지 마세요"