CCPA/CPRA 상 개인정보 제3자 제공에 관한 주요 규정

§1798.120. 개인정보의 판매 또는 공유에 대한 소비자의 옵트아웃 권리

(a)
(1) 소비자는 언제든지, 소비자에 관한 개인정보를 제3자에게 판매하거나 공유하는 사업자에게, 자신의 개인정보를 판매하거나 공유하지 말 것을 지시할 권리를 가집니다. 이 권리는 **개인정보 판매 또는 공유에 대한 옵트아웃 권리(right to opt out of sale or sharing)**라 합니다.

(2) 합병, 인수, 파산 또는 그 밖의 거래의 일부로서 소비자의 개인정보가 자산으로 이전되고, 그 이전받은 자가 이전한 자의 전부 또는 일부에 대한 통제권을 승계하는 경우, 해당 개인정보를 이전받은 사업자는 본 항에 따라 소비자가 이전한 사업자에게 행사한 지시를 준수하여야 합니다.

(b) 소비자의 개인정보를 제3자에게 판매하거나 공유하는 사업자는, 제1798.135조 (a)항에 따라, 해당 정보가 판매되거나 공유될 수 있으며 소비자가 자신의 개인정보의 판매 또는 공유에 대해 옵트아웃할 권리를 가진다는 사실을 소비자에게 고지하여야 합니다.

(c) (a)항에도 불구하고, 사업자는 소비자가 16세 미만임을 실제로 알고 있는 경우, 다음 각 목의 사전 명시적 승인(affirmative authorization)이 없는 한, 해당 소비자의 개인정보를 판매하거나 공유하여서는 아니 됩니다.

• 소비자가 13세 이상 16세 미만인 경우에는 해당 소비자의 승인
• 소비자가 13세 미만인 경우에는 해당 소비자의 부모 또는 법정대리인의 승인

사업자가 소비자의 연령을 **의도적으로 무시(willfully disregard)**한 경우에는, 소비자의 연령을 실제로 알고 있었던 것으로 간주됩니다.

(d) 소비자로부터 개인정보를 판매하거나 공유하지 말라는 지시를 받은 사업자, 또는 미성년 소비자의 개인정보에 대하여 판매 또는 공유에 대한 동의를 받지 못한 사업자는, 제1798.135조 (c)항 (4)에 따라, 해당 지시를 수령한 이후에는 소비자가 이후에 개인정보의 판매 또는 공유에 대해 동의하지 않는 한, 소비자의 개인정보를 판매하거나 공유하여서는 아니 됩니다.

(2024년 법률 개정, 2025년 1월 1일 시행)

 

1798.135. 개인정보의 판매·공유 및 민감 개인정보의 이용 제한 방법

(a) 소비자의 개인정보를 판매하거나 공유하는 사업자, 또는 제1798.121조 (a)항에서 허용된 목적 외의 목적으로 소비자의 민감 개인정보를 이용하거나 공개하는 사업자는, 소비자가 합리적으로 접근할 수 있는 방식으로 다음을 이행하여야 합니다.

(1) 사업자의 인터넷 홈페이지에 “Do Not Sell or Share My Personal Information(내 개인정보를 판매하거나 공유하지 마십시오)”이라는 제목의 명확하고 눈에 띄는 링크를 제공하여, 소비자 또는 소비자가 권한을 부여한 자가 소비자의 개인정보 판매 또는 공유를 거부(opt out)할 수 있도록 하는 인터넷 웹페이지로 연결되게 하여야 합니다.

(2) 사업자의 인터넷 홈페이지에 “Limit the Use of My Sensitive Personal Information(내 민감 개인정보의 이용을 제한하십시오)”이라는 제목의 명확하고 눈에 띄는 링크를 제공하여, 소비자 또는 소비자가 권한을 부여한 자가 소비자의 민감 개인정보의 이용 또는 공개를 제1798.121조 (a)항에서 허용된 이용으로 제한할 수 있도록 하여야 합니다.

(3) 사업자는 (1) 및 (2)항을 준수하는 대신, 사업자의 재량으로, 단일한 명확한 표시가 된 링크를 사업자의 인터넷 홈페이지에 제공할 수 있으며, 해당 링크는 소비자가 (i) 개인정보의 판매 또는 공유를 거부하고, (ii) 민감 개인정보의 이용 또는 공개를 제한할 수 있도록 용이하게 하여야 합니다.

(4) 사업자가 (1), (2) 또는 (3)항에 따른 거부 요청에 응답하면서 소비자에게 어떤 상품 또는 서비스의 이용에 대한 요금(부과)을 고지하는 경우, 제1798.125조 (b)항에 따른 소비자 개인정보의 보유, 이용, 판매 또는 공유에 관하여 제공되는 금전적 인센티브(financial incentive)의 조건을 제시하여야 합니다.

 

(b)

(1) 사업자가 제1798.185조 (a)항 (19)에 따라 채택된 규정에 정한 기술적 사양에 근거하여, 플랫폼·기술 또는 메커니즘이 소비자의 동의를 받아 사업자에게 전송한 옵트아웃 선호 신호(opt-out preference signal)를 통해, 소비자가 (i) 개인정보 판매 또는 공유를 거부하거나, (ii) 민감 개인정보의 이용 또는 공개를 제한하거나, 또는 그 모두를 거부·제한하려는 의사를 표시할 수 있도록 허용하는 경우, 사업자는 (a)항을 준수할 의무가 없습니다.

(2) (1)항에 따라 소비자가 개인정보의 판매 또는 공유를 거부하고 민감 개인정보의 이용을 제한할 수 있도록 허용하는 사업자는, 다음 각 요건을 모두 충족하는 경우, 소비자가 해당 사업자에 대하여 옵트아웃 선호 신호를 무시하도록 동의할 수 있게 하는 웹페이지로 연결되는 링크를 제공할 수 있습니다. 다만, 이는 해당 사업자의 개인정보 판매 또는 공유 또는 소비자 민감 개인정보의 추가 목적 이용에 관한 것입니다.

(A) 동의 웹페이지는 소비자 또는 소비자가 권한을 부여한 자가, 동의를 적극적으로 부여하는 것과 동일한 정도로 용이하게 동의를 철회할 수 있도록 하여야 합니다.

(B) 동의 웹페이지로의 링크는 소비자가 방문하려는 웹페이지에서의 소비자 경험을 저해하여서는 아니 되며, 동일한 웹페이지 내 다른 링크들과 비교하여 유사한 외관, 느낌 및 크기를 가져야 합니다.

(C) 동의 웹페이지는 제1798.185조 (a)항 (19)에 따라 채택된 규정에서 정한 기술적 사양을 준수하여야 합니다.

(3) (a)항을 준수하는 사업자는 (b)항을 준수할 의무가 없으며, 명확성을 위하여, 사업자는 (a)항을 준수할지 또는 (b)항을 준수할지를 선택할 수 있습니다.

 

(c) 본 조의 적용을 받는 사업자는 다음을 준수하여야 합니다.

(1) 소비자가 사업자에게 소비자의 개인정보를 판매하거나 공유하지 말 것을 지시하거나, 소비자의 민감 개인정보의 이용 또는 공개를 제한하도록 지시하기 위하여, 소비자에게 계정 생성을 요구하거나, 그 지시에 필요한 범위를 초과하는 추가 정보를 제공하도록 요구하여서는 아니 됩니다.

(2) 사업자는, 해당하는 경우, 제1798.120조 및 제1798.121조에 따른 소비자의 권리에 관한 설명과 함께,
(i) “Do Not Sell or Share My Personal Information” 웹페이지로의 별도 링크 및
(ii) “Limit the Use of My Sensitive Personal Information” 웹페이지로의 별도 링크를,
또는 단일 링크(양자 선택 가능), 또는 (b)항에 따라 플랫폼·기술·메커니즘이 전송한 옵트아웃 선호 신호에 응답하고 이를 준수한다는 진술을, 다음 각 문서에 포함하여야 합니다.

(A) 사업자가 온라인 프라이버시 정책을 보유한 경우, 해당 온라인 프라이버시 정책

(B) 캘리포니아 소비자의 개인정보 권리에 관한 캘리포니아 전용 설명문(또는 고지)

(3) 사업자의 개인정보 관행 또는 본 편(Title)에 대한 사업자의 준수와 관련하여 소비자 문의를 처리하는 책임이 있는 모든 개인이, 제1798.120조, 제1798.121조 및 본 조의 모든 요건과, 소비자가 해당 조항에 따른 권리를 행사하도록 안내하는 방법을 숙지하도록 보장하여야 합니다.

(4) 개인정보의 판매 또는 공유에 대한 거부권 또는 민감 개인정보의 이용·공개 제한권을 행사한 소비자에 대하여, 사업자는 해당 소비자의 개인정보를 판매하거나 공유하거나 민감 개인정보를 이용 또는 공개하는 행위를 중단하고, 소비자가 개인정보의 판매·공유 또는 민감 개인정보의 추가 목적 이용·공개를 승인하도록 요청하기 전에, 규정에서 달리 허용되는 경우를 제외하고, 최소 12개월을 기다려야 합니다.

(5) 16세 미만의 소비자가 개인정보의 판매 또는 공유에 동의하지 않는 경우, 사업자는 해당 16세 미만 소비자의 개인정보를 판매하거나 공유하는 행위를 중단하고, 소비자에게 재차 동의를 요청하기 전에, 규정에서 달리 허용되는 경우 또는 소비자가 16세에 도달하는 경우를 제외하고, 최소 12개월을 기다려야 합니다.

(6) 사업자는 소비자의 옵트아웃 요청 제출과 관련하여 소비자로부터 수집한 개인정보를, 옵트아웃 요청에 준수하기 위한 목적에 한하여 사용하여야 합니다.

 

(d) 본 편(Title) 어떠한 규정도, 사업자가 일반적으로 대중에게 제공하는 홈페이지에 본 조에서 요구하는 링크 및 문구를 포함하여 준수하도록 요구하는 것으로 해석되어서는 아니 됩니다. 다만, 사업자가 캘리포니아 소비자를 위한 별도의 추가 홈페이지를 유지하고 그 홈페이지에 요구되는 링크 및 문구를 포함하며, 캘리포니아 소비자가 일반 대중용 홈페이지가 아니라 캘리포니아 소비자용 홈페이지로 안내되도록 합리적인 조치를 취하는 경우에 한합니다.

 

(e) 소비자는, (b)항 (1)에서 정의된 옵트아웃 선호 신호를 포함하여, 다른 사람을 자신의 대리인으로 권한 부여하여 소비자 본인을 대신해 소비자의 개인정보 판매·공유 거부 및 민감 개인정보의 이용 제한을 요청할 수 있습니다. 사업자는, (a)항 또는 (b)항 준수 방식 선택과 무관하게, 법무장관(Attorney General)이 채택한 규정에 따라 소비자를 대리하도록 권한을 부여받은 자로부터 접수된 옵트아웃 요청을 준수하여야 합니다. 명확성을 위하여, (a)항을 준수하기로 선택한 사업자는 제1798.125조에 부합하는 방식으로 소비자의 옵트아웃 요청에 응답할 수 있습니다.

 

(f) 사업자가 소비자의 옵트아웃 요청을, 사업자를 대신하여 개인정보를 수집하도록 승인된 자(authorized person)에게 전달하는 경우, 해당 자는 그 이후 해당 소비자의 개인정보를 사업자가 특정한 사업 목적(business purpose)을 위하여, 또는 본 편에서 달리 허용된 경우에 한하여서만 사용할 수 있으며, 다음 각 행위가 금지됩니다.

(1) 개인정보의 판매 또는 공유.

(2) 해당 소비자의 개인정보를 보유, 이용 또는 공개하는 행위. 다만 다음 목적 외에는 금지됩니다.

(A) 사업자에게 제공되는 서비스를 수행하기 위한 특정 목적

(B) 해당 자와 사업자 사이의 직접적인 사업 관계 범위를 벗어난 이용·공개

(C) 사업자에게 서비스를 제공하는 것 외의 상업적 목적을 위한 이용·공개

 

(g) 사업자가 (f)항에 따라 소비자의 옵트아웃 요청을 특정 자에게 전달한 경우, 해당 요청을 받은 자가 본 편의 제한을 위반하더라도, 사업자가 그 요청을 전달하는 시점에 그 자가 그러한 위반을 저지를 의도임을 실제로 알았거나 알 만한 이유가 없는 한, 사업자는 본 편에 따른 책임을 부담하지 아니합니다. 본 항을 어떠한 방식으로든 포기하거나 제한하려는 계약 또는 합의의 어떠한 조항도 무효이며 집행될 수 없습니다.

 

(2024년 법률 개정, 2025년 1월 1일 시행.)

 

§1798.140. 정의

(본 편의 목적상)

 

(j) “계약자(Contractor)”의 의미

(j)
(1) “계약자(contractor)”란, 사업자가 **사업 목적(business purpose)**을 위하여, 사업자와 체결한 서면 계약에 따라 소비자의 개인정보를 제공하는 자를 의미합니다.
다만, 해당 계약은 다음 각 요건을 모두 충족하여야 합니다.

(A) 계약자는 다음 각 행위를 하여서는 아니 됩니다.

(i) 개인정보를 판매하거나 공유하는 행위.

(ii) 계약에 명시된 사업 목적 외의 목적을 위하여 개인정보를 보유, 이용 또는 공개하는 행위.
여기에는, 사업자와의 계약에 명시된 사업 목적 외의 상업적 목적을 위하여 개인정보를 보유, 이용 또는 공개하는 행위가 포함되며, 본 편에서 달리 허용된 경우는 제외합니다.

(iii) 계약자와 사업자 간의 직접적인 사업 관계 범위를 벗어나 개인정보를 보유, 이용 또는 공개하는 행위.

(iv) 계약자가 사업자와의 서면 계약에 따라 수령한 개인정보를, 다른 자로부터 또는 다른 자를 대신하여 수령한 개인정보나, 소비자와의 자체적인 상호작용을 통하여 수집한 개인정보와 결합하는 행위.
다만, 제1798.185조 (a)항 (9)에 따라 채택된 규정에서 정의된 사업 목적을 수행하기 위하여 개인정보를 결합하는 경우에는 허용되며, 본 조 (e)항 (6)호 및 캘리포니아 개인정보 보호청(California Privacy Protection Agency)이 채택한 규정에서 달리 정한 경우는 제외합니다.

(B) 계약자는, (A)호에 규정된 제한 사항을 이해하고 이를 준수할 것임을 확인하는 **인증(certification)**을 계약에 포함하여야 합니다.

(C) 계약은, 계약자와의 합의에 따라, 사업자가 계약자의 계약 준수 여부를 모니터링할 수 있도록 허용하여야 하며, 이는 다음 각 조치를 포함할 수 있습니다.

– 지속적인 수동 검토
– 자동화된 스캔
– 정기적인 평가
– 감사
– 기타 기술적·운영상의 점검
이러한 점검은 최소 12개월에 1회 이상 이루어져야 합니다.

(2) 계약자가 사업 목적을 위하여 개인정보 처리에 있어 다른 자를 참여시키는 경우, 또는 계약자가 참여시킨 자가 다시 다른 자를 참여시키는 경우, 계약자는 그 사실을 사업자에게 통지하여야 하며, 해당 참여는 본 항 **(1)**에 규정된 모든 요건을 준수하도록 구속하는 서면 계약에 따라 이루어져야 합니다.

 

(k) “교차 맥락 행동 광고(Cross-context behavioral advertising)”의 의미

(k) “교차 맥락 행동 광고”란, 소비자가 의도적으로 상호작용하는 특정 사업자, 또는 해당 사업자의 고유하게 구별되는 브랜드의 인터넷 웹사이트, 애플리케이션 또는 서비스가 아닌 다른 사업자, 또는 다른 고유 브랜드의 웹사이트·애플리케이션·서비스 전반에 걸친 소비자의 활동으로부터 취득한 소비자의 개인정보를 기반으로, 소비자에게 광고를 타겟팅하는 행위를 의미합니다.

 

(ad) “판매(Sell / Sale)”의 의미

(1) “판매(sell)”, “판매하는 행위(selling)”, “판매(sale)” 또는 “판매된(sold)”이란, 사업자가 소비자의 개인정보를 금전적 대가 또는 기타 가치 있는 대가를 받고, 구두, 서면, 전자적 또는 기타 수단을 통해 제3자에게 판매, 임대, 공개, 배포, 제공, 이전 또는 기타 방식으로 전달하는 행위를 의미합니다.

(2) 본 편의 목적상, 다음 각 호의 경우에는 사업자가 개인정보를 판매한 것으로 보지 아니합니다.

(A) 소비자가 사업자를 이용하거나 사업자에게 의도적으로 다음 각 목의 행위를 지시하는 경우
  (i) 개인정보를 공개하도록 하는 행위
  (ii) 하나 이상의 제3자와 상호작용하도록 하는 행위

(B) 사업자가 개인정보 판매에 대하여 옵트아웃한 소비자, 또는 민감 개인정보의 이용 제한을 요청한 소비자의 식별자를, 해당 소비자가 개인정보 판매를 옵트아웃하였거나 민감 개인정보의 이용을 제한하였다는 사실을 타인에게 알리기 위한 목적으로 이용하거나 공유하는 경우

(C) 합병, 인수, 파산 또는 그 밖의 거래의 일부로서, 소비자의 개인정보가 자산으로 제3자에게 이전되고, 해당 제3자가 사업자의 전부 또는 일부에 대한 통제권을 승계하는 경우. 다만, 해당 개인정보는 본 편에 부합하는 방식으로 이용 또는 공유되어야 합니다.
제3자가 소비자의 개인정보 이용 또는 공유 방식을, 수집 시점에 약속된 내용과 중대하게 불일치하도록 변경하는 경우에는, 해당 제3자는 새로운 또는 변경된 관행에 대하여 소비자에게 사전 고지를 제공하여야 하며, 해당 고지는 기존 소비자가 본 편에 따라 자신의 선택권을 쉽게 행사할 수 있도록 충분히 눈에 띄고 실효성 있게 제공되어야 합니다.
본 목은, 사업자가 중대한 소급적 프라이버시 정책 변경을 하거나, 「부정경쟁 및 기만행위 방지법」(California Business and Professions Code §17200 이하)을 위반하는 방식으로 프라이버시 정책을 변경하는 것을 허용하는 것으로 해석되어서는 아니 됩니다.

 

(ag) “서비스 제공자(Service provider)”의 의미

(1) “서비스 제공자”란, 사업자를 대신하여 개인정보를 처리하고, 서면 계약에 따라 사업 목적을 위하여 사업자로부터 또는 사업자를 대신하여 소비자의 개인정보를 수령하는 자를 의미합니다. 다만, 해당 계약은 다음 각 사항을 금지하여야 합니다.

(A) 개인정보를 판매하거나 공유하는 행위

(B) 계약에 명시된 사업 목적 외의 목적을 위하여 개인정보를 보유, 이용 또는 공개하는 행위(사업자와의 계약에 명시된 사업 목적 외의 상업적 목적을 위한 이용 또는 공개를 포함함). 다만, 본 편에서 달리 허용된 경우는 제외합니다.

(C) 서비스 제공자와 사업자 간의 직접적인 사업 관계 범위를 벗어나 개인정보를 보유, 이용 또는 공개하는 행위

(D) 서비스 제공자가 사업자를 대신하여 수령한 개인정보를, 다른 자로부터 수령한 개인정보 또는 소비자와의 자체적인 상호작용을 통해 수집한 개인정보와 결합하는 행위.
다만, 제1798.185조 (a)항 (9)에 따라 채택된 규정에서 정의된 사업 목적을 수행하기 위하여 개인정보를 결합하는 경우에는 허용되며, 제(e)항 (6)호 및 캘리포니아 개인정보 보호청(CPPA)이 채택한 규정에서 달리 정한 경우는 제외합니다.
계약은, 서비스 제공자와의 합의에 따라, 사업자가 서비스 제공자의 계약 준수 여부를 모니터링할 수 있도록 허용할 수 있으며, 이는 최소 연 1회 이상의 수동 검토, 자동화된 스캔, 정기적 평가, 감사 또는 기타 기술적·운영상의 점검을 포함할 수 있습니다.

(2) 서비스 제공자가 사업 목적을 위하여 개인정보 처리에 있어 다른 자를 참여시키는 경우, 또는 해당 자가 다시 다른 자를 참여시키는 경우, 서비스 제공자는 그 사실을 사업자에게 통지하여야 하며, 해당 참여는 제(1)항의 모든 요건을 준수하도록 구속하는 서면 계약에 따라 이루어져야 합니다.

 

(ah) “공유(Share / Sharing)”의 의미

(1) “공유(share)”, “공유된(shared)” 또는 “공유하는 행위(sharing)”란, 사업자가 소비자의 개인정보를 **교차 맥락 행동 광고(cross-context behavioral advertising)**를 목적으로, 금전적 대가 또는 기타 가치 있는 대가의 존재 여부와 무관하게, 제3자에게 구두, 서면, 전자적 또는 기타 수단을 통해 공유, 임대, 공개, 배포, 제공, 이전 또는 기타 방식으로 전달하는 행위를 의미합니다. 여기에는, 금전이 오가지 않더라도, 사업자의 이익을 위하여 교차 맥락 행동 광고를 목적으로 사업자와 제3자 간에 이루어지는 거래가 포함됩니다.

(2) 본 편의 목적상, 다음 각 호의 경우에는 사업자가 개인정보를 공유한 것으로 보지 아니합니다.

(A) 소비자가 사업자를 이용하거나 사업자에게 의도적으로 개인정보를 공개하도록 하거나, 하나 이상의 제3자와 상호작용하도록 지시한 경우

(B) 사업자가 개인정보 공유를 옵트아웃한 소비자, 또는 민감 개인정보의 이용 제한을 요청한 소비자의 식별자를, 해당 소비자가 개인정보 공유를 옵트아웃하였거나 민감 개인정보의 이용을 제한하였다는 사실을 타인에게 알리기 위한 목적으로 이용하거나 공유하는 경우

(C) 합병, 인수, 파산 또는 그 밖의 거래의 일부로서, 소비자의 개인정보가 자산으로 제3자에게 이전되고, 해당 제3자가 사업자의 전부 또는 일부에 대한 통제권을 승계하는 경우. 다만, 해당 개인정보는 본 편에 부합하는 방식으로 이용 또는 공유되어야 하며, 개인정보 이용·공유 방식이 수집 시점에 약속된 내용과 중대하게 불일치하도록 변경되는 경우에는, 제3자는 소비자에게 사전 고지를 제공하여야 합니다.
본 목은 「부정경쟁 및 기만행위 방지법」을 위반하는 방식의 소급적 프라이버시 정책 변경을 허용하는 것으로 해석되어서는 아니 됩니다.

 

(ai) “제3자(Third party)”의 의미

“제3자”란 다음 각 호의 어느 하나에도 해당하지 아니하는 자를 의미합니다.

(1) 소비자가 본 편에 따라 사업자와 현재 상호작용하는 과정에서 소비자로부터 개인정보를 수집하는, 소비자가 의도적으로 상호작용하는 사업자

(2) 해당 사업자의 서비스 제공자(service provider)

(3) 해당 사업자의 계약자(contractor)