CCPA/CPRA 상 Sensitive Information 관련 주요 규정 정리

 

§1798.100. 개인정보를 수집하는 사업자의 일반적 의무

(a) 소비자의 개인정보 수집을 통제하는 사업자는, 개인정보 수집 시점 또는 그 이전에, 다음 각 사항을 소비자에게 고지하여야 합니다.

(1) 수집되는 개인정보의 범주, 해당 개인정보가 수집 또는 이용되는 목적, 그리고 해당 정보가 판매되거나 공유되는지 여부.
사업자는 본 항에 따라 고지된 수집 목적과 양립할 수 없는 추가적인 목적을 위하여, 또는 추가적인 개인정보 범주를 수집하기 위하여, 소비자에게 본 조에 부합하는 고지를 제공하지 아니한 채 개인정보를 수집하거나 이용하여서는 아니 됩니다.

(2) 사업자가 민감 개인정보를 수집하는 경우, 수집되는 민감 개인정보의 범주, 해당 민감 개인정보가 수집 또는 이용되는 목적, 그리고 해당 정보가 판매되거나 공유되는지 여부. 사업자는 본 항에 따라 고지된 수집 목적과 양립할 수 없는 추가적인 목적을 위하여, 또는 추가적인 민감 개인정보 범주를 수집하기 위하여, 소비자에게 본 조에 부합하는 고지를 제공하지 아니한 채 민감 개인정보를 수집하거나 이용하여서는 아니 됩니다.

(3) 사업자가 각 개인정보 범주(민감 개인정보를 포함함)를 보유하려는 기간 또는 해당 기간을 특정할 수 없는 경우에는 그 기간을 결정하기 위한 기준. 다만, 사업자는 개인정보가 수집된 각 고지된 목적에 비추어 합리적으로 필요한 기간을 초과하여 소비자의 개인정보 또는 민감 개인정보를 보유하여서는 아니 됩니다.

 

§1798.121. 민감 개인정보의 이용 및 공개를 제한할 권리

(a) 소비자는 언제든지, 자신에 관한 민감 개인정보를 수집하는 사업자에게, 평균적인 소비자가 해당 상품 또는 서비스를 요청할 경우 합리적으로 기대하는 범위 내에서 상품 또는 서비스를 제공하기 위하여 필요한 이용, 제1798.140조 (e)항 (2), (4), (5) 및 (8)에 규정된 서비스를 수행하기 위한 이용, 그리고 제1798.185조 (a)항 (18)(C)에 따라 채택된 규정에서 허용된 범위의 이용으로 민감 개인정보의 이용 또는 공개를 제한하도록 지시할 권리를 가집니다. 사업자가 본 항에서 명시된 목적 이외의 목적으로 민감 개인정보를 이용하거나 공개하는 경우, 제1798.135조 (a)항에 따라, 해당 정보가 추가적으로 특정된 목적을 위하여 이용되거나 서비스 제공자 또는 계약자에게 공개될 수 있으며, 소비자가 민감 개인정보의 이용 또는 공개를 제한할 권리를 가진다는 사실을 소비자에게 고지하여야 합니다.

(b) 소비자로부터 본 조 (a)항에 따른 지시를 받은 사업자는, 해당 지시를 수령한 이후에는 소비자가 추가적인 이용 또는 공개에 동의하지 않는 한, 본 항에서 허용된 목적을 제외하고 민감 개인정보를 이용하거나 공개하여서는 아니 됩니다.

(c) 본 조 (a)항에서 허용된 목적 수행을 위하여 사업자를 보조하는 서비스 제공자 또는 계약자는, 해당 정보가 민감 개인정보임을 실제로 인지하고 있는 범위 내에서, 사업자로부터 지시를 받은 이후에는 그 목적 외의 용도로 민감 개인정보를 이용하여서는 아니 됩니다.
서비스 제공자 또는 계약자는 사업자와의 서면 계약에 따라 수령한 민감 개인정보에 대하여서만, 그리고 해당 사업자와의 관계에 한하여, 사업자의 지시에 따라 이용을 제한할 의무를 부담합니다.

(d) 소비자의 특성을 추론하기 위한 목적 없이 수집되거나 처리된 민감 개인정보는 본 조의 적용 대상이 아니며, 제1798.185조 (a)항 (18)(C)에 따라 채택된 규정에서 정의되는 바에 따릅니다. 이러한 정보는 제1798.100조를 포함한 본 법의 다른 모든 조항에 대하여 개인정보로 취급됩니다.

(2024년 법률 개정, 2025년 1월 1일 시행)

 

1798.135. 개인정보의 판매·공유 및 민감 개인정보의 이용 제한 방법

(a) 소비자의 개인정보를 판매하거나 공유하는 사업자, 또는 제1798.121조 (a)항에서 허용된 목적 외의 목적으로 소비자의 민감 개인정보를 이용하거나 공개하는 사업자는, 소비자가 합리적으로 접근할 수 있는 방식으로 다음을 이행하여야 합니다.

(1) 사업자의 인터넷 홈페이지에 “Do Not Sell or Share My Personal Information(내 개인정보를 판매하거나 공유하지 마십시오)”이라는 제목의 명확하고 눈에 띄는 링크를 제공하여, 소비자 또는 소비자가 권한을 부여한 자가 소비자의 개인정보 판매 또는 공유를 거부(opt out)할 수 있도록 하는 인터넷 웹페이지로 연결되게 하여야 합니다.

(2) 사업자의 인터넷 홈페이지에 “Limit the Use of My Sensitive Personal Information(내 민감 개인정보의 이용을 제한하십시오)”이라는 제목의 명확하고 눈에 띄는 링크를 제공하여, 소비자 또는 소비자가 권한을 부여한 자가 소비자의 민감 개인정보의 이용 또는 공개를 제1798.121조 (a)항에서 허용된 이용으로 제한할 수 있도록 하여야 합니다.

(3) 사업자는 (1) 및 (2)항을 준수하는 대신, 사업자의 재량으로, 단일한 명확한 표시가 된 링크를 사업자의 인터넷 홈페이지에 제공할 수 있으며, 해당 링크는 소비자가 (i) 개인정보의 판매 또는 공유를 거부하고, (ii) 민감 개인정보의 이용 또는 공개를 제한할 수 있도록 용이하게 하여야 합니다.

(4) 사업자가 (1), (2) 또는 (3)항에 따른 거부 요청에 응답하면서 소비자에게 어떤 상품 또는 서비스의 이용에 대한 요금(부과)을 고지하는 경우, 제1798.125조 (b)항에 따른 소비자 개인정보의 보유, 이용, 판매 또는 공유에 관하여 제공되는 금전적 인센티브(financial incentive)의 조건을 제시하여야 합니다.

 

(b)

(1) 사업자가 제1798.185조 (a)항 (19)에 따라 채택된 규정에 정한 기술적 사양에 근거하여, 플랫폼·기술 또는 메커니즘이 소비자의 동의를 받아 사업자에게 전송한 옵트아웃 선호 신호(opt-out preference signal)를 통해, 소비자가 (i) 개인정보 판매 또는 공유를 거부하거나, (ii) 민감 개인정보의 이용 또는 공개를 제한하거나, 또는 그 모두를 거부·제한하려는 의사를 표시할 수 있도록 허용하는 경우, 사업자는 (a)항을 준수할 의무가 없습니다.

(2) (1)항에 따라 소비자가 개인정보의 판매 또는 공유를 거부하고 민감 개인정보의 이용을 제한할 수 있도록 허용하는 사업자는, 다음 각 요건을 모두 충족하는 경우, 소비자가 해당 사업자에 대하여 옵트아웃 선호 신호를 무시하도록 동의할 수 있게 하는 웹페이지로 연결되는 링크를 제공할 수 있습니다. 다만, 이는 해당 사업자의 개인정보 판매 또는 공유 또는 소비자 민감 개인정보의 추가 목적 이용에 관한 것입니다.

(A) 동의 웹페이지는 소비자 또는 소비자가 권한을 부여한 자가, 동의를 적극적으로 부여하는 것과 동일한 정도로 용이하게 동의를 철회할 수 있도록 하여야 합니다.

(B) 동의 웹페이지로의 링크는 소비자가 방문하려는 웹페이지에서의 소비자 경험을 저해하여서는 아니 되며, 동일한 웹페이지 내 다른 링크들과 비교하여 유사한 외관, 느낌 및 크기를 가져야 합니다.

(C) 동의 웹페이지는 제1798.185조 (a)항 (19)에 따라 채택된 규정에서 정한 기술적 사양을 준수하여야 합니다.

(3) (a)항을 준수하는 사업자는 (b)항을 준수할 의무가 없으며, 명확성을 위하여, 사업자는 (a)항을 준수할지 또는 (b)항을 준수할지를 선택할 수 있습니다.

 

(c) 본 조의 적용을 받는 사업자는 다음을 준수하여야 합니다.

(1) 소비자가 사업자에게 소비자의 개인정보를 판매하거나 공유하지 말 것을 지시하거나, 소비자의 민감 개인정보의 이용 또는 공개를 제한하도록 지시하기 위하여, 소비자에게 계정 생성을 요구하거나, 그 지시에 필요한 범위를 초과하는 추가 정보를 제공하도록 요구하여서는 아니 됩니다.

(2) 사업자는, 해당하는 경우, 제1798.120조 및 제1798.121조에 따른 소비자의 권리에 관한 설명과 함께,
(i) “Do Not Sell or Share My Personal Information” 웹페이지로의 별도 링크 및
(ii) “Limit the Use of My Sensitive Personal Information” 웹페이지로의 별도 링크를,
또는 단일 링크(양자 선택 가능), 또는 (b)항에 따라 플랫폼·기술·메커니즘이 전송한 옵트아웃 선호 신호에 응답하고 이를 준수한다는 진술을, 다음 각 문서에 포함하여야 합니다.

(A) 사업자가 온라인 프라이버시 정책을 보유한 경우, 해당 온라인 프라이버시 정책

(B) 캘리포니아 소비자의 개인정보 권리에 관한 캘리포니아 전용 설명문(또는 고지)

(3) 사업자의 개인정보 관행 또는 본 편(Title)에 대한 사업자의 준수와 관련하여 소비자 문의를 처리하는 책임이 있는 모든 개인이, 제1798.120조, 제1798.121조 및 본 조의 모든 요건과, 소비자가 해당 조항에 따른 권리를 행사하도록 안내하는 방법을 숙지하도록 보장하여야 합니다.

(4) 개인정보의 판매 또는 공유에 대한 거부권 또는 민감 개인정보의 이용·공개 제한권을 행사한 소비자에 대하여, 사업자는 해당 소비자의 개인정보를 판매하거나 공유하거나 민감 개인정보를 이용 또는 공개하는 행위를 중단하고, 소비자가 개인정보의 판매·공유 또는 민감 개인정보의 추가 목적 이용·공개를 승인하도록 요청하기 전에, 규정에서 달리 허용되는 경우를 제외하고, 최소 12개월을 기다려야 합니다.

(5) 16세 미만의 소비자가 개인정보의 판매 또는 공유에 동의하지 않는 경우, 사업자는 해당 16세 미만 소비자의 개인정보를 판매하거나 공유하는 행위를 중단하고, 소비자에게 재차 동의를 요청하기 전에, 규정에서 달리 허용되는 경우 또는 소비자가 16세에 도달하는 경우를 제외하고, 최소 12개월을 기다려야 합니다.

(6) 사업자는 소비자의 옵트아웃 요청 제출과 관련하여 소비자로부터 수집한 개인정보를, 옵트아웃 요청에 준수하기 위한 목적에 한하여 사용하여야 합니다.

 

(d) 본 편(Title) 어떠한 규정도, 사업자가 일반적으로 대중에게 제공하는 홈페이지에 본 조에서 요구하는 링크 및 문구를 포함하여 준수하도록 요구하는 것으로 해석되어서는 아니 됩니다. 다만, 사업자가 캘리포니아 소비자를 위한 별도의 추가 홈페이지를 유지하고 그 홈페이지에 요구되는 링크 및 문구를 포함하며, 캘리포니아 소비자가 일반 대중용 홈페이지가 아니라 캘리포니아 소비자용 홈페이지로 안내되도록 합리적인 조치를 취하는 경우에 한합니다.

 

(e) 소비자는, (b)항 (1)에서 정의된 옵트아웃 선호 신호를 포함하여, 다른 사람을 자신의 대리인으로 권한 부여하여 소비자 본인을 대신해 소비자의 개인정보 판매·공유 거부 및 민감 개인정보의 이용 제한을 요청할 수 있습니다. 사업자는, (a)항 또는 (b)항 준수 방식 선택과 무관하게, 법무장관(Attorney General)이 채택한 규정에 따라 소비자를 대리하도록 권한을 부여받은 자로부터 접수된 옵트아웃 요청을 준수하여야 합니다. 명확성을 위하여, (a)항을 준수하기로 선택한 사업자는 제1798.125조에 부합하는 방식으로 소비자의 옵트아웃 요청에 응답할 수 있습니다.

 

(f) 사업자가 소비자의 옵트아웃 요청을, 사업자를 대신하여 개인정보를 수집하도록 승인된 자(authorized person)에게 전달하는 경우, 해당 자는 그 이후 해당 소비자의 개인정보를 사업자가 특정한 사업 목적(business purpose)을 위하여, 또는 본 편에서 달리 허용된 경우에 한하여서만 사용할 수 있으며, 다음 각 행위가 금지됩니다.

(1) 개인정보의 판매 또는 공유.

(2) 해당 소비자의 개인정보를 보유, 이용 또는 공개하는 행위. 다만 다음 목적 외에는 금지됩니다.

(A) 사업자에게 제공되는 서비스를 수행하기 위한 특정 목적

(B) 해당 자와 사업자 사이의 직접적인 사업 관계 범위를 벗어난 이용·공개

(C) 사업자에게 서비스를 제공하는 것 외의 상업적 목적을 위한 이용·공개

 

(g) 사업자가 (f)항에 따라 소비자의 옵트아웃 요청을 특정 자에게 전달한 경우, 해당 요청을 받은 자가 본 편의 제한을 위반하더라도, 사업자가 그 요청을 전달하는 시점에 그 자가 그러한 위반을 저지를 의도임을 실제로 알았거나 알 만한 이유가 없는 한, 사업자는 본 편에 따른 책임을 부담하지 아니합니다. 본 항을 어떠한 방식으로든 포기하거나 제한하려는 계약 또는 합의의 어떠한 조항도 무효이며 집행될 수 없습니다.

 

(2024년 법률 개정, 2025년 1월 1일 시행.)

 

§1798.140. 정의

(본 편의 목적상)

(e) “사업 목적(Business purpose)”이란, 제1798.185조 (a)항 (10)에 따라 채택된 규정에서 정의되는 바에 따라, 사업자의 운영 목적, 기타 고지된 목적, 또는 서비스 제공자나 계약자의 운영 목적을 위하여 개인정보를 이용하는 것을 의미합니다. 다만, 개인정보의 이용은 해당 개인정보가 수집 또는 처리된 목적을 달성하기 위하여, 또는 해당 개인정보가 수집된 맥락과 양립 가능한 다른 목적을 위하여, 합리적으로 필요하고 비례적인 범위에 한하여 이루어져야 합니다.

사업 목적에는 다음 각 호의 목적이 포함됩니다.

(2) 소비자의 개인정보 이용이 해당 목적을 달성하기 위하여 합리적으로 필요하고 비례적인 범위 내에서, 보안 및 무결성을 보장하기 위한 활동.

(4) 단기적·일시적인 이용으로서, 소비자가 사업자와 현재 상호작용하는 과정에서 제공되는 비개인화 광고를 포함하되 이에 한정되지 아니합니다. 다만, 해당 개인정보가 다른 제3자에게 공개되지 아니하고, 소비자에 관한 프로필을 구축하거나, 현재의 상호작용을 벗어나 소비자의 경험을 변경하는 데 이용되지 아니할 것을 요합니다.

(5) 사업자를 대신하여 서비스를 수행하는 행위로서, 계정의 유지 또는 관리, 고객 서비스 제공, 주문 및 거래의 처리 또는 이행, 고객 정보의 검증, 결제 처리, 금융 제공, 분석 서비스 제공, 저장 서비스 제공 또는 이와 유사한 서비스를 사업자를 대신하여 제공하는 행위를 포함합니다.

(8) 사업자가 소유하거나, 제조하거나, 제조를 위탁하거나, 통제하는 서비스 또는 기기의 품질 또는 안전성을 검증하거나 유지하기 위한 활동 및 해당 서비스 또는 기기를 개선, 업그레이드 또는 강화하기 위한 활동.

 

(ae) “민감 개인정보(Sensitive personal information)”의 의미

(ae) “민감 개인정보”란 다음 각 호의 정보를 의미합니다.

(1) 다음 각 목의 사항을 드러내는 개인정보

(A) 소비자의 사회보장번호, 운전면허번호, 주(州) 신분증 번호 또는 여권번호.

(B) 소비자의 계정 로그인 정보, 금융 계좌 번호, 직불카드 번호 또는 신용카드 번호로서, 계정에 접근할 수 있도록 하는 보안 코드, 접근 코드, 비밀번호 또는 인증 정보와 결합된 정보.

(C) 소비자의 정확한 위치정보(precise geolocation).

(D) 소비자의 인종 또는 민족적 출신, 시민권 또는 이민 신분, 종교적 또는 철학적 신념, 또는 노동조합 가입 여부.

(E) 사업자가 해당 통신의 수신인이 아닌 경우에 한하여, 소비자의 우편물, 이메일 및 문자메시지의 내용.

(F) 소비자의 유전자 정보.

(G)
  (i) 소비자의 신경 데이터(neural data).
  (ii) “신경 데이터”란 소비자의 중추 신경계 또는 말초 신경계의 활동을 측정하여 생성된 정보로서, 비신경 정보로부터 추론된 정보는 포함하지 아니합니다.

(2) 다음 각 목의 처리 행위

(A) 소비자를 고유하게 식별하기 위한 목적의 생체정보 처리.

(B) 소비자의 건강에 관한 개인정보의 수집 및 분석.

(C) 소비자의 성생활 또는 성적 지향에 관한 개인정보의 수집 및 분석.

(3) 제(v)항 (2)에 따라 “공개적으로 이용 가능한 정보(publicly available)”에 해당하는 민감 개인정보는, 본 편의 목적상 민감 개인정보 또는 개인정보로 보지 아니합니다.

 

 

§1798.185. 규정(Regulations)

(a) 법무장관(Attorney General)은 2020년 7월 1일 이전에 광범위한 공중 참여를 요청하고, 본 편(Title)의 목적을 추가로 달성하기 위하여 필요한 규정을 채택하여야 하며, 이는 다음 각 사항을 포함하되 이에 한정되지 아니합니다.

(18)

(C) 법무장관은, 소비자의 개인정보 보호를 강화하는 것을 목표로 하되 사업자의 정당한 운영상 이익을 고려하여, 소비자가 자신의 민감 개인정보의 이용 또는 공개를 제한하도록 지시한 경우에도 불구하고, 소비자의 민감 개인정보의 이용 또는 공개를 규율하기 위한 규정을 제정하여야 합니다. 이 규정에는 다음 각 사항이 포함됩니다.

(i) 사업자가 소비자의 민감 개인정보를 이용하거나 공개할 수 있는 추가적인 목적이 있는지 여부를 정하는 사항.

(ii) 제1798.121조 (a)항에 따라 허용된 범위 내에서, 제1798.140조 (e)항 (8)에 규정된 활동의 허용 범위를 정하는 사항으로서, 해당 활동이 건강 관련 연구를 포함하지 않도록 보장하는 것을 목적으로 하는 사항.

(iii) 사업자의 운영 기능(functionality)이 원활하게 유지되도록 보장하는 사항.

(iv) 제1798.121조 (d)항에 따른 민감 개인정보에 대한 적용 제외(exemption)가, 소비자의 특성을 추론하기 위한 목적 없이 부수적으로 또는 우연히 수집·처리된 정보에 적용되도록 하되, 동시에 사업자가 제1798.121조에 따른 소비자의 민감 개인정보 이용·공개 제한권을 회피하기 위한 목적으로 해당 적용 제외를 남용하지 못하도록 보장하는 사항.