국가 | 미국 | 장르 | 기타 |
---|---|---|---|
기관 | 정부 | 구분 | 기본법 |
제정일 | 2018년 6월 28일 | 개정일 | 2023년 1월 1일 |
캘리포니아 개인정보보호법은 캘리포니아 주민들의 개인정보를 보호하기 위한 캘리포니아 주법으로, 2020. 7. 1. 부터 시행되었습니다. 미국 내 여러 주들의 개인정보 관련 주법들 중 가장 높은 수준의 보호를 요구하고 있고, 미국에 진출하는 한국 기업으로서는 필히 숙지하고 있어야 할 법령에 해당합니다. 이 법은 정보주체의 개인정보에 대한 통제권을 보장하고, 개인정보 처리의 투명성, 책임성을 강조하며, 개인정보에 대한 열람권, 삭제권, 판매 거부권 등 정보주체의 폭넓은 권리를 규정하고 있습니다.
이 법은 캘리포니아 주민의 개인정보 처리를 수반하는 사업자 중, 일정 규모 이상의 영리사업자에게 적용됩니다. 캘리포니아 지역 내에 법인이 없더라도, 캘리포니아 주민의 개인정보를 수집, 판매할 경우 이 법을 준수해야 합니다. ‘일정 규모 이상’이란 다음 요건들 중 하나를 충족한 경우를 의미합니다.
가. 연간 총 매출이 2,500만 달러를 초과하는 경우
나. 연 50,000건 이상의 캘리포니아 소비자, 가계 또는 기기정보를 구매하거나, 사업자의 상업적 목적으로 수령하거나 판매하는 경우
다. 연간 총 매출의 50% 이상을 캘리포니아 주민의 개인정보 판매에서 취득하는 경우
이 법에 따라 사업자가 준수해야 할 사항은 크게 1) 이 법에 따른 개인정보 처리방침(Privacy Policy) 작성, 2) 정보주체의 알 권리 보장, 3) 정보주체의 개인정보 삭제권 보장, 4) 정보주체의 판매 거부권 보장, 5) 정보주체의 차별취급 금지권 보장으로 나누어 볼 수 있습니다.
가. 개인정보 처리방침 작성
· 이 법에 따라, 개인정보는 개인정보의 처리 현황에 대한 개인정보 처리방침(Privacy Policy)을 작성해야 하고, 특히 12개월 내 발생한 개인정보 수집, 공개 및 제공, 판매에 대한 사항을 명시해야 합니다. 따라서, 사업자는 12개월마다 최소 1회 이상 개인정보 처리방침을 업데이트 할 의무가 있습니다.
나. 정보주체의 알 권리 보장
· 사업자는 정보주체의 알 권리를 보장해야 하고, 그를 위해서 전화나 이메일 등을 통해 본인의 개인정보에 대한 열람을 청구할 수 있도록 해야 합니다. 이때 열람을 청구하는 당사자가 정보주체와 동일한 자인지, 또는 정보주체로부터 적법한 권리위임을 받은 자인지 확인하기 위해 사업자는 위증에 대한 처벌을 받겠다는 내용에 서명을 요구할 수 있습니다.
다. 정보주체의 삭제권 보장
· 정보주체의 요구가 있을 경우, 사업자는 시스템에서 영구적으로 개인정보를 삭제하거나, 비식별화하거나 총계처리(aggregating)하는 방법으로 삭제권을 보장해야 합니다. 또한, 정보주체의 삭제권 행사가 있을 경우, 사업자는 행사일로부터 10일 이내 접수 확인 사실 및 해당 요청에 대한 처리 계획을 알리고, 45일 내에 정보를 삭제해야 합니다.
라. 정보주체의 판매거부권 보장
· 정보주체는 본인의 개인정보를 제3자에게 판매하는 사업자에 대하여 판매의 중단을 요구할 수 있고, 이 경우 사업자는 판매행위를 즉시 중단하고 최소 12개월동안 정보주체에게 판매 허락 요청을 할 수 없습니다. 판매거부권 행사는 ‘Do not sell my personal information’이라는 명확한 링크 또는 웹페이지를 통해 정보주체가 손쉽게 권리행사를 할 수 있도록 보장해야 합니다.
마. 정보주체의 차별취급 금지권 보장
· 차별취급 금지권이란 정보주체가 열람권, 판매 거부권, 삭제권 등 이 법에 따라 보장된 권리를 행사한 경우에도 같은 품질과 가격으로 재화나 서비스를 제공받을 수 있는 권리를 의미합니다. 구체적으로, 만일 사업자가 정보주체의 권리 행사를 이유로 재화나 용역의 제공을 거부하거나, 할인이나 기타 혜택을 이용하거나 벌칙을 부과하는 방식을 포함하여 다른 가격이나 요금을 적용하거나, 다른 품질의 재화나 용역을 제공하거나, 다른 가격이나 요금, 다른 품질의 재화나 용역을 받게 될 것이라고 암시한다면 정보주체의 차별취급 금지권을 침해한 것으로 인정될 수 있습니다.
사업자의 보호조치 미이행 시, 정보주체는 법정 손해배상을 청구할 수 있으며, 손해배상액은 실제 손해 발생액과 사건 당 USD 100~750의 법정 손해배상액 중 높은 금액으로 인정될 수 있습니다. 또한 캘리포니아 법무장관은 사업자의 이 법 위반 건당 최대 USD 2,500의 민사 벌칙금을 부과할 수 있습니다. 고의적인 위반일 경우, 최고 USD 7,500의 벌칙금이 부과될 수 있습니다.