본문 바로가기
privacy/해외

[privacy] CCPA, 적용 대상이라면 실제로 무엇을 해야 할까?

by ramo 2025. 8. 1.

이전에 "우리 회사가 CCPA 적용 대상인가"를 확인했다면, 이번엔 구체적으로 무엇을 준비해야 하는지를 알아보려고 한다.

사업자 일반 의무사항, 출발점은 투명성

CCPA가 사업자에게 요구하는 것 중 가장 기본은 투명성이다. 어떤 개인정보를 왜 수집하는지, 어디에 쓰는지, 누구에게 제공하는지를 소비자가 알 수 있게 해야 한다. 이게 말로는 쉬운데, 실제로 Privacy Policy 하나를 제대로 작성하려 하면 생각보다 손이 많이 간다.

CCPA 가이드라인에 따르면 Privacy Policy에는 수집하는 개인정보의 범주, 수집 목적, 제3자 공개·판매 여부, 소비자가 행사할 수 있는 권리, 그리고 권리 행사 방법이 모두 기재되어야 한다. 단순히 법적 면피용 문서가 아니라, 소비자가 실제로 읽고 이해할 수 있는 형태여야 한다는 취지다. 업데이트 주기도 중요한데, 수집하거나 판매한 개인정보의 범주는 적어도 12개월에 한 번 이상 갱신해서 공개해야 한다.

Privacy Policy 외에도 '수집 시점 고지(notice at collection)'를 별도로 제공해야 한다. 개인정보를 수집하는 시점에, 수집 항목과 목적을 간략하게 알리는 것이다. Privacy Policy 전문으로 대체되지 않는다는 점이 중요하다.

소비자 권리 여섯 가지

CCPA(CPRA 개정 포함)가 보장하는 소비자 권리는 크게 여섯 가지다. 각각의 이행 방식을 간략히 짚어본다.

열람권(Right to Know)은 소비자가 사업자에게 "지난 12개월간 내 개인정보를 어떻게 수집·사용·공유·판매했는지 알려달라"고 요청할 수 있는 권리다. 사업자는 요청을 받은 날로부터 45일 이내에 무료로 응답해야 하고, 한 번에 한해 같은 기간만큼 연장할 수 있다. 여기서 흥미로운 부분이 있다. 소비자가 구체적인 개인정보 항목을 특정해서 열람을 요청할 경우, 사업자는 "기술적으로 실현 가능하다면" 구조적이고 기계 판독 가능한 형태로 제공해야 한다. CCPA에 '개인정보 이동권'이라는 용어가 직접 등장하지는 않지만, 이 조항이 사실상 이동권을 담고 있다고 볼 수 있다.

수정권(Right to Correct)은 CPRA에서 새로 추가된 권리다. 소비자가 자신에 관한 부정확한 개인정보의 수정을 요청할 수 있고, 사업자는 요청의 성격과 개인정보 처리 방식을 고려해 상업적으로 합리적인 노력을 기울여 수정해야 한다.

삭제권(Right to Delete)은 소비자가 수집된 개인정보의 삭제를 요청할 수 있는 권리다. 다만 예외가 존재한다. 계약 이행, 보안 탐지, 오류 수정, 법적 의무 준수, 연구 목적 등 정당한 사유가 있는 경우 사업자는 삭제 요청에 응하지 않을 수 있다.

판매 및 공유 거부권(Right to Opt-Out)은 CCPA의 가장 대표적인 권리 중 하나다. 소비자는 언제든지 자신의 개인정보가 제3자에게 판매되거나 공유되는 것을 거부할 수 있다. 사업자는 홈페이지에 "Do Not Sell or Share My Personal Information" 링크를 제공해야 하고, 소비자의 거부 요청을 받으면 즉시 그에 따라야 한다. 16세 미만 소비자의 경우 기본값이 반대다. 13세 이상 16세 미만은 소비자 본인이, 13세 미만은 보호자가 판매에 동의해야만(opt-in) 판매가 가능하다.

민감정보 처리제한권(Right to Limit the Use)도 CPRA에서 신설된 권리다. 건강정보, 생체정보, 인종·민족, 성적 지향 등 민감정보의 처리를 광고·마케팅 등 부가적 목적으로 사용하는 것을 제한해달라고 요청할 수 있다. 사업자가 이러한 민감정보를 부가 목적으로 활용한다면, "Limit the Use of My Sensitive Personal Information" 링크를 제공해야 한다.

차별 금지권(Right to Non-Discrimination)은 소비자가 위 권리들을 행사했다는 이유로 불이익을 받아선 안 된다는 원칙이다. 서비스 거부, 가격 차별, 품질 저하 등이 금지된다. 단, 개인정보 제공에 따른 합리적인 금전적 인센티브는 예외적으로 허용된다.

위험평가와 사이버보안 감사

CCPA 본문에는 사업자에게 위험평가(risk assessment)나 사이버보안 감사(cybersecurity audit)를 직접 의무화하는 조항이 없다. 그런데 가이드라인을 읽다 보면 여기서 멈칫하게 되는 대목이 있다.

CCPA는 집행기관인 CPPA(California Privacy Protection Agency)로 하여금, '소비자의 프라이버시와 보안에 중대한 위험을 야기할 수 있는 개인정보 처리'에 대해 연 1회 사이버보안 감사를 수행하고 주기적인 위험평가를 실시하도록 요구하는 하위 규정을 발행하게끔 규정하고 있다. 즉 현재 당장의 법적 의무는 아니지만, CPPA가 관련 규정안을 내놓고 공개 의견 수렴까지 진행한 상태다. 가이드라인 기준으로는 2025년 1월 시점에 규정안 공개와 Public Comment 수렴이 진행 중이었다. 미국 시장을 염두에 두는 기업이라면 이 흐름은 미리 파악해두는 편이 낫다.

위반하면 어떻게 되는가

처벌 조항을 보면 CCPA가 왜 "가장 강력한 미국 개인정보법"이라 불리는지 조금 더 실감이 간다. 크게 두 경로로 나뉜다.

첫 번째는 소비자의 직접 손해배상 청구다. 사업자가 합리적인 보호조치를 취하지 않아 민감정보에 대한 무단 접근·침입·도난·유출이 발생한 경우, 소비자는 사건(또는 소비자)당 $107~$799의 법정 손해배상을 청구하거나 실제 손해 중 더 큰 금액을 청구할 수 있다. 소를 제기하기 30일 전에 서면으로 위반 내용을 통지해야 하고, 사업자가 30일 내에 법 위반 사항을 수정하면 법정 손해배상 청구는 불가하다. 단, 실손해 배상 청구는 이 경우에도 가능하다.

두 번째는 캘리포니아 법무장관(Attorney General)의 민사 벌칙금이다. 위반 건당 최대 $2,663, 고의적 위반이나 16세 미만 미성년자 관련 위반의 경우 건당 최대 $7,988까지 부과할 수 있다. 이 금액은 고정된 게 아니다. 홀수년도 1월마다 소비자물가지수(CPI) 변동을 반영해 조정된다. 지금 이 수치가 2025년 기준이고, 다음 조정은 2027년으로 예정되어 있다.

여기서 중요한 포인트가 하나 있다. 소비자 1인이 각각 별도의 위반 건으로 산정될 수 있어, 피해자 규모가 커질수록 벌칙금이 빠르게 불어날 수 있다. 숫자 하나하나가 작아 보여도, 피해 소비자가 수만 명에 달하면 이야기가 달라진다.

집행 기관과 참고할 곳

CCPA의 주요 집행 기관은 CPPA(California Privacy Protection Agency)다. CPPA는 CPRA에 의해 설립된 기관으로, 불만을 조사하고, 벌금을 부과하며, 하위 규정을 제정할 권한을 갖고 있다. 캘리포니아 법무장관(AG)과 집행 권한을 나눠 갖는 구조다.

CCPA 가이드라인이 안내하는 주요 참고 사이트로는 CPPA 공식 사이트(cppa.ca.gov)와 캘리포니아 법무장관의 CCPA 법 집행 사례 페이지(oag.ca.gov)가 있다. 개인정보보호위원회 홈페이지에서는 CCPA 전문 한글 번역본도 내려받을 수 있으니, 처음 접근하는 입장에서는 이쪽부터 확인하는 게 편하다.

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS271&mCode=D060030010&nttId=9327#LINK