CCPA란 무엇인가요?

The 캘리포니아 소비자 개인 정보 보호법 (CCPA) 소비자의 개인정보 보호 권리를 강화하고 캘리포니아에서 운영되는 기업의 개인정보 수집, 사용 및 판매를 규제하는 주법입니다. CCPA는 유럽연합의 GDPR에 대한 캘리포니아의 답변입니다. 이는 소비자에게 데이터 관행에 대한 투명성과 책임을 제공하기 위해 액세스, 삭제, 수정 등의 권리를 부여합니다.

CCPA 개요

  • 법: 캘리포니아 소비자 개인 정보 보호법
  • 지역 : 캘리포니아
  • 서명일: 28-06-2018
  • 발효 일 : 01-01- 2020
  • 업종 : 캘리포니아에서 사업을 하는 모든 산업

CCPA에 따른 개인 데이터

CCPA에서는 개인정보를 데이터 주체를 식별할 수 있는 정보와 특정 데이터 주체와 합리적으로 연결될 수 있는 정보로 정의합니다.

직접 식별자: 이름, 주소, 이메일, 전화번호, 주민등록번호, 운전면허증 번호, ​​여권 번호, 온라인 식별자 등
간접 식별자: IP 주소, 검색 기록, 구매 기록, 지리적 위치 데이터, 건강 데이터, 생체 인식 데이터, 오디오 녹음, 교육 정보, 고용 정보, 수집된 데이터에서 추론한 내용(예: 지출 습관, 정치적 견해) 및 결합하면 개인을 식별할 수 있는 기타 세부 정보.

CCPA의 핵심 구성 요소

캘리포니아 소비자 개인정보 보호법(CCPA)은 포괄적인 데이터 보호 프레임워크를 집합적으로 확립하는 몇 가지 필수 구성 요소를 기반으로 구축됩니다. 이러한 구성 요소는 다음을 포함합니다.

  • 데이터 주체 권리
  • 데이터 보호 원칙
  • 규정 준수 요구 사항
  • 데이터 요청 처리
  • 시행
  • 개인 정보 보호 정책 업데이트

데이터 보호 원칙

캘리포니아 소비자 개인정보 보호법(CCPA)의 데이터 보호 원칙은 다음과 같은 기본 원칙을 중심으로 합니다.

  • 목적 제한: 수집된 PII는 수집 중에 소비자에게 공개된 특정 목적에만 사용해야 합니다. 기업은 추가 동의 없이 관련 없는 목적으로 사용할 수 없습니다.
  • 데이터 최소화: 기업은 명시된 목적을 위해 합리적으로 필요한 PII만 수집할 수 있습니다. 과도하거나 관련 없는 데이터를 수집하면 개인 정보 보호 문제가 발생하고 규정 준수 위험이 증가합니다.
  • 데이터 보안: 기업은 PII를 무단 액세스, 공개, 변경 또는 파괴로부터 보호하기 위해 합리적인 보안 조치를 구현해야 합니다. 이러한 조치에는 암호화, 액세스 제어, 정기적인 보안 평가 등이 포함됩니다.
  • 투명성 : 기업은 수집하는 PII, 그 목적, 데이터가 공유되는 제3자에 대해 투명해야 합니다. 또한 소비자가 권리를 행사하고 우려 사항을 해결할 수 있는 메커니즘도 필요합니다.
  • 책임: 기업은 소비자 요청에 응답하고 제3자 서비스 제공자가 법을 준수하도록 하는 등 CCPA 요구 사항을 준수할 책임이 있습니다.

CCPA에 따른 권리

CCPA는 캘리포니아 주민에게 PII와 관련된 다양한 권리를 부여합니다.

  • 알릴 권리
  • 접근 할 권리
  • 삭제할 권리
  • 교정할 권리
  • 사용 제한 권리
  • 판매 거부 권리
  • 차별 금지 권리

누가 준수해야 합니까?

CCPA는 다음과 같은 기업에 적용됩니다.

  • 캘리포니아에서 사업을 하세요.
  • 캘리포니아 거주자의 PII를 수집합니다.
  • 연간 총수입이 25만 달러를 넘습니다.
  • 매년 캘리포니아 거주자 50,000명 이상의 PII를 사고 팔 수 있습니다.
  • 캘리포니아 거주자의 PII 판매로 총 수익의 50% 이상을 얻습니다.

예외

CCPA는 포괄적인 데이터 개인 정보 보호를 목표로 하지만 몇 가지 예외를 포함합니다.

  • 기업 간 커뮤니케이션: 이 정책은 기업 간 커뮤니케이션을 위해 수집된 개인정보에는 적용되지 않습니다. 기업 간 커뮤니케이션은 회사와 개인 간이 아닌 기업 간의 상호작용을 의미합니다.
  • 직원 데이터: 고용 관계의 맥락에서만 수집되고 사용되는 직원에 대한 정보는 CCPA의 범위를 벗어납니다. 그러나 구직자에 대해 수집된 데이터는 CCPA 보호에 해당합니다.
  • 공개적으로 이용 가능한 정보: 공개 기록에서 이미 사용 가능한 PII는 CCPA 규정에서 면제됩니다.
  • 금융 기관: 공정 신용 보고법(FCRA)이나 그램-리치-블라일리법(GLBA)과 같은 특정 연방법에 의해 관리되는 정보는 특정 CCPA 조항에서 면제됩니다.
  • 연구: 과학적, 역사적 또는 통계적 연구 활동은 정보에 대한 동의 및 공익적 정당성과 같은 특정 조건에 따라 CCPA 삭제 요구 사항에서 면제될 수 있습니다.
  • 차량 소유권 정보: 운전자 개인정보 보호법(DPPA)은 보증 또는 리콜 목적으로 딜러십과 제조업체 간에 공유되는 차량 소유권과 같은 정보에 관한 CCPA보다 우선합니다.
  • 건강 관리 분야 : 보호된 건강 정보(PHI) 문제에 있어서 캘리포니아 의료 정보 비밀 유지법(CMIA)은 CCPA보다 우선합니다.
  • 법 집행 활동: 법 집행 목적으로 수집되고 사용되는 개인정보는 CCPA의 범위를 벗어납니다.

규제 처벌

CCPA는 불이행에 대해 두 가지 유형의 벌금을 부과합니다.

위반당 벌금: 고의적 위반: 위반당 $7,500, 최대 한도 없음. 즉, 영향을 받는 개인 수와 위반에 따라 처벌이 빠르게 늘어날 수 있습니다.
의도치 않은 위반: 위반당 $2,500, 데이터 침해 사건당 $2,500로 제한됨. 이는 의도치 않은 오류를 피하기 위한 예방 조치의 중요성을 강조합니다.
소비자 소송: 법정 손해배상: 피해 소비자 한 명당 발생당 $100-$750 또는 실제 발생한 손해(어느 쪽이 더 높은지). 이를 통해 개인은 개인정보 침해에 대한 직접 보상을 요구할 수 있습니다.
가처분 명령: 법원은 불법 활동을 중단하고 미래의 피해를 방지하기 위한 명령을 내릴 수 있습니다.

CCPA 준수 기관

캘리포니아 소비자 개인정보보호법에 대한 주요 준수 기관은 캘리포니아 법무장관실(CAO)입니다. 캘리포니아 개인정보보호기관은 2023년 XNUMX월에 운영을 시작했습니다. 그러나 CPPA는 주로 규칙 제정과 교육에 중점을 두고 CAO에서 이러한 책임의 대부분을 인계받았습니다. CAO는 CCPA 및 기타 진행 중인 법적 의무에 따라 집행 권한을 유지합니다. 따라서 CPPA가 CCPA 준수에 점점 더 큰 역할을 하는 반면, 캘리포니아 법무장관실은 여전히 ​​이 법의 주요 집행 기관입니다.

결론적으로 CCPA 규정을 이해하고 준수하는 것은 캘리포니아에서 운영하거나 캘리포니아 거주자의 개인 정보를 처리하는 기업에 가장 중요합니다. 데이터 익명화, 데이터 암호화, 데이터 삭제와 같은 데이터 마스킹 기술은 개발, 테스트 및 분석 환경에서 민감한 PII를 가려서 불이행 및 데이터 침해 위험을 크게 줄일 수 있습니다. 이를 통해 개인 식별 정보(PII), 재무 기록, 보호된 건강 정보, 사회 보장 번호 등과 같은 민감한 정보의 노출을 최소화하여 CCPA 준수를 간소화하고 데이터 보안 및 개인 정보 보호를 강화합니다.

Solix로 할 수 있는 일

데모 신청
무료 체험판에 가입하고 Amex 기프트 카드를 받으세요

$100 Amex 기프트 카드를 받기 위해 참여하세요

자료

다른 관련 리소스에 액세스하세요