• Legalinsight
  • Legaledu
  • 법률신문 뉴스

    뉴스레터

    CCPA의 주요 내용 및 국내 기업들에 대한 시사점

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [2019.12.06.] 


    미국 캘리포니아주는 2018년에 CCPA(The California Consumer Privacy Act, 캘리포니아주 소비자 프라이버시법)를 제정한 후 2020년 1월 1일부터 이를 시행할 예정입니다. CCPA는 미국에서 연방이나 주를 통틀어 최초로 제정된 포괄적 형태의 개인정보보호법이라는데 의미가 있으며, CCPA는 캘리포니아 주 내에 사업장을 두고 있는지 여부와 관계없이 주 내에서 사업을 수행하면서 주민의 개인정보를 처리하고 있다면 적용대상이 되므로 주의가 필요합니다.



    1. CCPA의 주요 내용

    (적용범위) CCPA는 캘리포니아 주에서 사업을 영위하며 캘리포니아 거주자의 개인정보 처리를 하는 영리법인으로서 ① 연간 매출이 2,500만 달러 이상이거나 ② 50,000건 이상의 소비자 등에 대한 개인정보를 보유하거나 ③ 개인정보 판매에 따른 매출이 기업의 총 매출의 절반 이상을 차지할 경우 적용됩니다.


    (소비자의 권리와 사업자의 의무) CCPA에 따라 소비자에게는 수집하는 개인정보의 범위·정보의 출처와 수집 목적·변경사항·개인정보 공유하는 제3자의 존재 등의 공개를 요구할 권리, 개인정보의 판매 정지권, 삭제요구권 등이 보장됩니다.


    - 특히 소비자는 개인정보를 제3자에게 판매하는 사업자에 대해 자신의 개인정보를 판매하지 말 것을 지시(direct)할 권리(Right to Opt out)를 가지며, 사업자는 특정 웹페이지에 “내 개인정보는 판매하지 말라(Do Not Sell My Personal Information)”는 제목의 “명확하고 눈에 띄는 링크(clear and conspicuous link)”를 게시하여 개인정보의 판매를 거부할 수 있는 기능을 제공하여야 합니다.


    - 13세 이상 16세 미만인 미성년 소비자의 개인정보를 판매하기 위해서는 기업은 해당 미성년자의 사전 동의가 얻어야 하고, 소비자가 13세 미만일 경우 부모나 후견인의 사전 동의까지도 얻어야 합니다.


    - 사업자는 소비자가 CCPA에 규정된 권리를 행사했다는 이유로 상품·서비스의 제공을 거부하거나, 다른 수준 또는 품질의 상품·서비스를 제공하는 방법 등으로 소비자를 차별해서는 안 됩니다.


    (사업자의 의무 준수 방법) 사업자는 소비자의 권리를 보장하기 위하여 ① 소비자의 권리행사를 위한 구체적인 절차와 방법, ② 직전 12개월 내 수집했던 개인정보의 범위, ③ 12개월 동안 판매한 개인정보의 범위 등의 정보를 공개하고, 해당 정보를 매 12개월마다 갱신하여야 합니다.


    (위반 시 제재) ① CCPA를 고의적으로 위반한 사업자에 대해서는 최대 7,500달러까지 민사벌이 부과 될 수 있습니다. ② 기업의 개인정보보호체계가 소비자의 개인정보를 충분하게 보호하지 못하여 무단 접근 또는 유출 등의 사고가 발생하는 경우, 소비자는 100달러에서 750달러의 법정손해배상 또는 실제 손해액 중 큰 금액을 청구하는 민사소송 등을 제기할 수 있습니다.



    2. 국내 기업들에 대한 시사점

    미국 연방차원에서 개인정보에 대하여 포괄적으로 규제하는 법률을 제정하기 위하여 많은 법안들이 제출되었으나 통과된 법률은 없습니다. CCPA는 특정 분야에 대한 개인정보보호법인 COPPA(Children’s Online Privacy Protection Act, 아동 온라인 프라이버시보호법), GLBA (Gramm Leach Bliley Act, 금융서비스현대화법), HIP-PA(Health Insurance Portability and Accountability Act, 건강보험 양도 및 책임에 관한 법) 등과 달리 캘리포니아 주에서 적용되는 개인정보와 관련한 일반법으로서 포괄적인 개인정보보호법이라는 점에서 의의가 있습니다.


    - CCPA에 대한 긍정적인 반응과 높아진 관심으로 인하여 향후 다른 주에서도 CCPA와 유사한 법이 도입될 가능성이 있으며, 일정한 형태로 미국 연방 차원의 포괄적인 개인정보보호법이 제정될 가능성 또한 존재합니다.


    - 따라서 캘리포니아 주에서 사업을 수행하는 사업자 뿐 아니라 미국에서 사업을 수행하거나 수행할 가능성이 있는 기업들은 CCPA의 시행과 미국 연방 차원의 개인정보보호법 제정 가능성에 대하여 예의주시할 필요가 있습니다.


    법무법인 세종은 IT 분야의 독보적인 전문성과 인적 네트워크(최재유 전 과학기술정보통신부 차관)를 보유하고 있으며, EU에서 사업을 영위하는 국내 기업들에게 GDPR 관련 자문을 다수 제공한 바 있고, 개인정보 유출사건 대응, 개인정보보호 컴플라이언스 체계 수립 등 개인정보보호에 관한 전문적인 자문을 제공하고 있습니다. 그 외에도 방송·통신 및 개인정보 관련 규제 동향 파악 및 대관, 법제개선·입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다. 



    강신욱 파트너변호사 (sokang@shinkim.com)

    장준영 파트너변호사 (jyojang@shinkim.com)

    이민영 소속변호사 (myolee@shinkim.com)

    윤호상 소속변호사 (hsyoon@shinkim.com)


    리걸북스

    더보기

    리걸에듀

    더보기

    리걸인사이트 TV

    더보기