We will find a way across all Nations 자세히보기

Road to GLOBAL

미국 Privacy Policy 체크리스트 (캘리포니아주)

BNL Law 2024. 2. 20. 07:00

Privacy에 관한 법제는 주로 유럽에서 발달해왔고, 미국은 State 별로 그 법제를 따라가고 있는 모양새입니다. 
 
미국의 여러 State들 중에서도 가장 앞장서서 Privacy 보호 법제를 도입하고 있는 주는 역시 캘리포니아 주입니다. 
 
오늘은 캘리포니아주에서 제공되는 서비스의 Privacy Policy의 체크리스트를 안내드리도록 하겠습니다. 
 
Privacy Policy 작성을 가장 효율적으로 하고 싶으시다면 아래 메일로 연락 주시기 바랍니다. 
 

장건 변호사 (한국/미국) david@bnl.legal

미국 Privacy Policy 체크리스트

 장건 변호사(한국/미국)  

BNL Law

 

BNL Law

글로벌 통합 법률서비스, 투자, M&A, 법인설립 및 운영, 인사노무, 계약, 기업분쟁 및 소송, 지식재산권, 법무교육

www.bnl.legal

연락처: david@bnl.legal , 010-6836-7578

 

캘리포니아의 Privacy Policy 관련 법제 

 
먼저 캘리포니아의 Privacy와 관련된 법제는 크게 3개가 있습니다. 
 

California Online Privacy Protection Act of 2003 (CalOPPA)

2003년 통과된 캘리포니아 온라인 개인정보 보호법(CalOPPA)은 2004년 7월 1일부터 시행되었으며 2013년에 개정된 법입니다.
 
이 법은 미국에서 처음으로 웹 상의 비즈니스 웹사이트 및 온라인 서비스가 특정 요건을 충족시키는 Privacy Policy를 포함하도록 강제하는 주 법입니다.
 
위 법에 따르면 웹사이트 운영자는 명확하고 쉽게 찾을 수 있는 링크를 게시해야 합니다.
 
그리고 Privacy Policy는 웹사이트에 의해 수집되는 정보의 종류, 제3자에게 어떻게 공유될 수 있는지, 사용자가 자신의 개인정보를 검토하고 변경할 수 있는 과정을 설명해야 합니다.
 
또한 정책의 효력 발생일과 그 이후에 발생하는 변경 사항에 대한 업데이트를 포함해야 합니다. 


California Consumer Privacy Act of 2018 (CCPA)

2018년 캘리포니아 소비자 개인정보 보호법(CCPA)은 기업이 그들에 대해 수집하는 개인정보에 대해 소비자들이 더 많은 통제권을 갖도록 하는 법입니다.
 
이 통제권에는 다음이 포함됩니다:

  • 기업이 그들에 대해 수집하는 개인정보와 그 정보의 사용 및 공유 방법에 대해 알 권리;
  • 수집된 개인정보를 삭제할 권리(일부 예외를 포함);
  • 개인정보의 판매 또는 공유에 대해 거부할 권리; 
  • 자신의 CCPA 권리를 행사하는 것에 대해 차별받지 않을 권리.

특히 CCPA 에서는 개인정보의 판매(Sale) 또는 공유(Share)에 대해 별도의 소비자 동의 및 거부(Opt-Out) 절차를 요구하므로, 개인정보 자체를 통해 이익을 얻는 경우에는 해당 법령을 준수할 수 있도록 유의하실 필요가 있습니다.

 

GDPR과 달리 CCPA는 적용 요건이 있는데, 소비자의 개인 데이터를 수집하고 캘리포니아에서 사업을 영위하는 영리법인 중 적어도 다음 중 하나에 해당하여야 CCPA가 적용됩니다. 

  • 연간 총수입이 2,500만 달러를 초과하는 경우;
  • 50,000명 이상의 소비자 또는 가구의 개인 정보를 구매, 수신, 또는 판매하는 경우; 
  • 연간 수입의 절반 이상을 소비자의 개인 정보 판매로부터 벌어들이는 경우.

 

California Privacy Rights Act of 2020 (CPRA)

2020년 11월, 캘리포니아 유권자들은 Proposition 24, CPRA를 승인하여 CCPA를 개정하고 2023년 1월 1일부터 시작되는 새로운 추가적인 개인정보 보호 조치를 추가했습니다.
 
따라서 소비자들은 CCPA에 더하여 몇가지 권리를 가지게 되었으며, 여기에는 다음 권리들이 포함되어 있습니다.

  • 기업이 그들에 대해 가지고 있는 부정확한 개인정보를 정정할 권리; 
  • 그들에 대해 수집된 민감한 개인정보의 사용 및 공개를 제한할 권리

특히 CPRA는 기존 CCPA에 비해 민감한 개인정보(Sensitive Personal Information, SPI)의 수집 및 이용에 대한 별도 요건을 신설하였으며, 기업은 이를 수집할 경우 소비자에게 사용 목적을 고지하고 제한할 권리를 부여해야 하므로 유의하실 필요가 있습니다.

 

CPRA도 CCPA의 적용 요건을 거의 그대로 받아들이되 약간의 수정을 가했는데 이는 다음과 같고 이 중 적어도 한가지에 해당하여야 CPRA가 적용됩니다. 

  • 회계연도의 1월 1일 기준으로, 전년도에 2,500만 달러 이상의 총수입을 초과하는 경우;
  • 100,000명 이상의 소비자 또는 가구의 개인 정보를 구매, 판매 또는 공유하는 경우;
  • 연간 수입의 50% 이상을 소비자의 개인 정보를 판매하거나 공유함으로써 얻는 경우.

 
다만, 위 법의 시행일이 2023. 1. 1.임에도, 새크라멘토 카운티 고등법원이 2023년 6월 30일 상공회의소의 가처분 신청을 받아들여 CPRA 규정의 집행을 2024년 3월 29일까지 연기했습니다. 
 
그에 따라 기업들은 해당 규정을 적용할 기간을 약간 더 부여받은 상황이었습니다.

그런데  최근(2월) 위 가처분 신청이 항고심에서 뒤집히면서 CPRA는 효력이 있는 상태가 되었습니다(!).

이에 이제는 CPRA의 준수가 필요하게 된 것입니다.
 

캘리포니아 Privacy Policy Checklist

 

CCPA / CPRA 적용 여부

위에서 언급한 적용 요건을 충족시키는지 제일 먼저 확인하실 필요가 있습니다. 
 

기본 정보를 포함하고 있는지

  • 회사 이름
  • 이 정책이 적용되는 대상
  • 적절한 문서로의 링크 
  • ‘최종 업데이트’ 날짜와 버전 번호

수집하는 개인정보를 잘 나열하고 있는지

  • 모든 개인정보 카테고리
  • 모든 민감한 개인정보 카테고리 (정치적 소속, 종교적 신념, 철학적 신념, 인종 또는 민족성, 성적 지향, 건강 데이터, 생체 인식 데이터, 범죄 이력, 신용 또는 금융 데이터, 노동조합 가입정보, 개인 식별번호 — 면허증, 사회 보장 번호, 주 신분증, 여권)

데이터를 수집하는 이유를 잘 설명하고 있는지

  • 마케팅 및 연구 목적
  • 비즈니스 목적
  • 타겟 광고 또는 분석
  • 사용자 경험 향상
  • 로그인 또는 프로필 생성
  • 주문 완료

개인 데이터를 수집하는 방법을 잘 설명하고 있는지

  • 개인이 자발적으로 제공
  • 결제 화면 또는 체크아웃 페이지를 통해
  • 온라인 양식을 통해
  • 계정 또는 사용자 로그인을 생성함으로써
  • 사용자의 브라우저에 쿠키를 배치함으로써
  • 현장(또는 매장 내) 녹음을 통해

제3자와의 데이터 공유 방식 등에 대해 잘 설명하고 있는지

  • 개인정보를 공유하거나 판매하는 제3자의 카테고리를 나열
  • 정보를 공유하거나 판매하는 이유를 설명
  • 정보가 공유되는 방식을 명시

사용자의 법적 권리에 대한 설명이 잘 이루어지고 있는지

  • 개인 데이터에 접근할 권리
  • 데이터 수정 또는 정정을 요청할 권리
  • 데이터 삭제를 요청할 권리
  • 처리에 대한 동의 철회
  • 데이터 사용에 이의를 제기하거나, 사용을 제한할 권리
  • 데이터의 이동 가능한 사본을 얻을 권리
  • 특정 데이터 처리 활동에 동의하거나 그러한 활동에서 철회할 권리

사용자가 그 데이터 프라이버시 권리를 행사할 수 있는 방법 또는 설명이 이루어지고 있는지

  • 기능하는 데이터 주체 액세스 요청(DSAR 또는 SAR) 양식으로의 링크
  • “Do Not Track” 요청 및/또는 Global Privacy Controls(GPC)를 준수하는지 여부를 명시
  • 적절하고 작동하는 연락처 정보 제공
  • “내 개인 정보 판매 또는 공유하지 않기” 링크(CCPA/CPRA 하에)
  • “내 민감한 개인 정보 사용 제한” 링크(CCPA/CPRA 하에)

재정적 인센티브 또는 제안에 관한 세부사항에 대한 설명이 이루어지고 있는지

  • 사용자가 자발적으로 정보를 공유하기로 선택한 경우 제공하는 인센티브(프로모션, 할인 또는 기타 거래)가 있는지 
  • 인센티브가 사용자가 당신과 공유하는 데이터의 가치와 동등한지

데이터 보존 정책이 잘 이루어지고 설명되고 있는지

  • 얼마나 오래 개인 사용자 데이터를 저장하는지
  • 개인정보처리방침에서 설명한 목적을 달성하기 위해 데이터를 보존하는 시간을 결정하는 프로세스
  • 필요 이상으로 데이터를 보관 불가

개인 데이터를 보호하기 위한 보안 조치가 이루어지고 있는지

  • 데이터의 익명화
  • 데이터 암호화
  • 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 회복 탄력성 및 가용성 확보
  • 사건이 발생한 경우 개인 데이터의 가용성 또는 접근성을 복원할 방법
  • 보안 프로토콜의 효과성을 정기적으로 테스트, 평가 및 검토하기 위한 프로세스

개인정보 처리방침 업데이트 및 소비자에게 알리는 방법에 대한 세부사항이 설명되고 있는지

  • 데이터 처리 또는 수집 활동을 변경할 때마다 개인정보 처리방침을 업데이트
  • CCPA/CPRA 하에 적어도 매 12개월마다 개인정보 처리방침을 업데이트
  • 적절할 때 사용자의 재 동의 획득
  • 정책 변경 사항에 대해 사용자에게 업데이트하는 방법 설명
  • 정책에 ‘최종 업데이트’ 날짜를 명확하게 게시

데이터 처리 영향 평가(DPIAs/DPAs/PIAs)에 관한 정보

회사 연락처 정보

  • 회사 또는 법인의 전체 이름
  • 실제 주소
  • 작동하는 이메일 주소 및/또는 전화번호
  • 데이터 보호 책임자의 연락처 세부사항(지명된 경우)

 

긴 글 읽어주셔서 감사합니다.
 
장건 변호사 올림
david@bnl.legal

 

 


관련글 https://kunchang.tistory.com/6

 

Privacy Policy 작성시 꼭 알아야 할 점

글로벌 서비스를 제공하는 기업들이 서비스 시작부터 반드시 마련해야 하는 것이 Privacy Policy(개인정보처리방침)이죠. 오늘은 Privacy Policy의 내용에 대해 말씀드리려 합니다. 장건 변호사(한국/미

kunchang.tistory.com

 

'Road to GLOBAL' 카테고리의 다른 글

LLC Employee Equity Plan (직원 보상 제도)  (1) 2024.03.25
C-Corp v. S-Corp v. LLC (미국 법인 설립 Entity 결정하기)  (0) 2024.03.04
미국 스톡옵션 베스팅과 클리프 (한국과 비교)  (0) 2024.02.19
Restricted Stock & Restricted Stock Unit (벤처기업법 개정: 성과조건부주식 도입)  (0) 2024.02.08
스톡옵션 한국 미국 차이  (0) 2024.02.07

'Road to GLOBAL'의 다른글

  • 현재글미국 Privacy Policy 체크리스트 (캘리포니아주)

관련글

티스토리툴바