미국에서 서비스 론칭을 희망하는 스타트업들이 종종 문의하는 내용 중 하나가 바로 CCPA (California Consumer Privacy Act)의 적용 여부다. CCPA는 이미 지난 2020년 1월 1일부터 시행이 되고 있기 때문에, 현재 캘리포니아에서 비즈니스를 하고 있는 기업들 뿐 아니라 장차 캘리포니아에서 비즈니스를 계획하고 있는 기업이라면 필수적으로 검토해야 하는 중요한 법률이다. 오늘은 기업 입장에서 CCPA와 관련하여 반드시 알아야 하는 3가지를 간추려 설명해보고자 한다.
첫째, 나의 비즈니스가 CCPA 적용 대상인지 여부를 확인한다.
가장 중요한 부분으로, CCPA 적용 대상에서 빠진다면 뒤에 더 복잡한 내용들은 머리 싸매면서 검토할 필요도 없기 때문이다. CCPA는 다음의 기준 중 하나 이상에 해당하는, 캘리포니아 내에서 비즈니스를 영위하는 모든 사업체에 적용된다.
- 2,500만 달러 이상의 연간 매출
- 단독으로 또는 조합하여, 상업적인 목적으로 연간 50,000명 이상의 캘리포니아 주민, 가구 또는 기기로부터 개인정보를 구매, 수령, 판매하거나 공유
- 연간 매출의 50% 이상을 캘리포니아 주민의 개인정보를 판매함으로써 창출
1번과 3번 요건은 상대적으로 해당 여부를 판단하기 용이할 것으로 보이나, 2번 요건은 경우에 따라서는 판단하기 상당히 애매할 수 있다. CCPA가 개인정보의 정의를 상당히 넓게 보고 있음을 염두하여, 나의 서비스 웹사이트에 방문하는 캘리포니아 거주민이 연간 5만명 이상일 경우 2번 요건이 충족될 수도 있음을 명심하고 보수적으로 접근할 필요가 있다.
둘째, 나의 비즈니스가 수집하는 정보가 CCPA의 적용을 받는 정보인지 여부를 확인한다.
기본적으로 CCPA는 ‘소비자(consumers)의 ‘개인정보(personal information)’에 적용되는데, 여기에는 캘리포니아 거주민을 개인 식별할 수 있는 광범위한 정보가 포함된다. 개인 식별할 수 있는 정보의 예는 다음과 같으며, 한정적 열거가 아닌 예시적 열거임을 명심해야 한다.
- 이름 (가명 포함), 주소, 전화번호, 이메일 주소 등
- 캘리포니아 운전면허번호 (DL), 사회보장번호 (SSN), 여권번호 등
- 은행 계좌번호, 신용카드/체크카드 번호, 보험 policy 번호 등
- 병력 등 건강정보, 의료보험 정보, 지문 등 생체정보 등
- 직업 정보, 고용 관련 정보 등
- 공개적으로 접근가능하지 않은 학력 정보 등
- 성별, 인종, 나이, 결혼여부, 종교 등의 개인정보 등
- 인터넷 접속 기록, 검색 기록, 온라인 활동 이력 등
- 계정이름, IP 주소, 온라인 상에 개인을 특정할 수 있는 정보 등
- 개인의 재산 내역, 쇼핑 기록, 소비 이력 등
단, 여기서 개인의 신원을 식별할 수 없이 특정 그룹이나 단체와 관련한 정보 (aggregate consumer information) 또는 특정 개인을 식별할 수 없도록 식별성을 제거한 정보 (deidentified information)의 경우에는 CCPA의 적용대상에서 제외된다. 따라서 최근에는 많은 기업들이 비식별 정보 (deidentified information)의 형태로 정보를 저장하는 것에 많은 관심을 기울이고 있다.
셋째, 나의 비즈니스의 사업활동이 CCPA의 적용대상이 되는 활동인지 여부를 확인한다.
CCPA의 핵심은, 영리적 목적으로 개인정보를 ‘수집’하는 행위와 정보의 ‘판매’ 행위 및 ‘공개’ 행위를 규율하는 데에 있다.
수집 (collection) 행위에는, 능동적인 행위 뿐만 아니라 수동적으로 소비자로부터 정보를 수신하거나 소비자의 행동을 관찰하는 모든 행위가 포함된다. 즉, 소비자로부터 직접 정보를 입력받는 경우 뿐만 아니라, 제3자로부터 소비자의 정보를 전달받는 것 또는 개인정보를 자동적으로 수집하는 서버 로그, 쿠키, 기타 온라인 수집 툴을 활용한 모든 형태의 정보수집이 포함될 수 있다.
판매 (sales) 행위에는, 반드시 금전적 대가의 교환을 요구하지 않으며 다른 가치있는 대가를 목적으로 제공되는 경우도 해당할 수 있다. 단, 소비자에게 사전고지를 하고 사업목적을 수행하는 데 반드시 필요한 범위 내에서 서비스 제공자에게 판매한 경우는 CCPA에서 금지하는 판매 행위에 해당하지 않는다.
개인정보를 공개 (disclosure)하는 경우 중 사업목적 수행을 위한 경우는, CCPA에서 규정하는 사전에 소비자의 동의를 얻거나 옵트아웃 (opt-out) 옵션을 제시해야 하는 경우에 해당하지 않는다. 단, 사업목적 수행을 위한 경우의 예로는, 다음의 7가지로만 한정적 예시를 들고 있으니 주의가 필요하다.
- 감사
- 보안
- 디버깅
- 단기간 일시적 사용
- 사업체 또는 서비스 제공자를 대신하여 서비스를 수행하는 경우
- 내부 연구
- 장치의 안전 및 품질 점검
앞서 설명하였다시피, 위 3가지 내용은 가장 핵심적이면서 CCPA를 처음 검토하는 기업들이 가장 먼저 확인해봐야 할 내용만을 간추린 것으로, 위 3가지 내용을 검토하였다고 하여 CCPA를 문제없이 준수하고 있다고 판단하면 결코 안된다. 위 기본적인 이해를 바탕으로, 각 기업의 상황에 따라 세부적인 예외규정 해당 여부에 대하여는 반드시 전문가와 상담하여 조언을 구할 것을 권한다.
테크니들 인사이트
CCPA를 처음 검토하는 기업들은 다음의 3가지만큼은 반드시 확인하자.
첫째, 나의 비즈니스가 CCPA의 적용 대상인지 여부를 확인한다.
둘째, 나의 비즈니스가 수집하는 정보가 CCPA의 적용을 받는 정보인지 여부를 확인한다.
셋째, 나의 비즈니스의 사업활동이 CCPA의 적용대상이 되는 활동인지 여부를 확인한다.