캘리포니아 소비자 프라이버시법(CCPA) 시행의 함의와 전망
Ⅰ. 들어가는 글
「캘리포니아 소비자 프라이버시법(이하 ‘CCPA’라 한다)」이 올해부터 시행됐다. CCPA는 공식적으로 2020년 1월 1일부터 시행되지만 정보이동, 정보공개 등의 의무가 2019년 1월 1일까지 소급해서 적용되므로 미국의 주요 IT기업은 지난해 초부터 CCPA 준비에 들어갔다. 다만, 시행규칙 제정 지연으로 주 법무장관의 법 집행권은 2020년 7월 1일까지 보류된다.
미국 역사상 가장 강력하고 고비용적인 개인정보보호법으로 평가받는 CCPA는 미국에서 온라인 광고시장 환경에 지대한 영향을 미칠 것으로 예상된다. 반면 우리나라 기업들은 CCPA의 시행에도 불구하고 비교적 차분하고 무관심하기까지 하다. EU GDPR(개인정보보호 규정)과 달리 전세계 시장의 매출액을 기준으로 부과하는 천문학적 과징금 규정이 없는 탓도 있겠으나, CCPA의 잠재적 위험에 대한 이해가 부족한 탓도 있을 것이다.
CCPA는 국내법 및 GDPR과 다른 점이 많고, 역외 기업에 대해서도 적용될 수 있으며, 법 위반에 대한 권리구제수단과 민사벌칙도 만만치 않아 소송 리스크에 대한 철저한 대비가 필요하다.
Ⅱ. CCPA의 내용상 특징
CCPA는 캘리포니아 민법전 제1.81.5편에 19개 조문으로 편제된 작은 법이다. CCPA는 개인정보처리 활동의 투명성 강화와 함께 개인정보처리에 대한 정보주체의 통제권 및 사업자의 책임성 강화를 기본 철학으로 하고 있다는 점에서 유럽연합 GDPR과 입법 목적이 유사하지만 그 목적을 달성하기 위한 수단과 방법에서는 많은 차이가 있다.
1. CCPA의 적용범위
미국은 전통적으로 개별법주의(patchwork system)를 선호하지만 CCPA는 일반법주의(umbrella system)를 채택하고 있다.
첫째, CCPA는 공공부문과 연방 데이터 보호법에 따라 별도로 보호받고 있는 분야를 제외하고 모든 산업에 적용된다. 예컨대, 건강보험법(HIPAA) 등의 적용을 받고 있는 보건서비스 제공자 및 보험회사, 금융현대화법 등의 적용을 받는 은행 및 금융회사, 공정신용보고법의 적용을 받는 신용보고기관, 운전자 프라이버시 보호법에 따른 운전자 정보에 대해서는 CCPA의 전부 또는 일부 적용이 제외된다.
둘째, CCPA의 보호대상인 ‘소비자’는 캘리포니아 주민인 자연인을 의미한다. 여기에는 물품이나 서비스 구매자 이외에 근로자, 협력업체 또는 공급업체 임직원, 개인사업자 등도 포함된다. 다만 2019년 10월 법 개정으로 사업자 임직원과 거래상대방 임직원은 1년간 한시적으로 면제된다.
셋째, CCPA의 의무 주체인 ‘사업자’는 캘리포니아에서 영리 목적으로 사업을 경영하는 자이다. 정부 및 비영리단체는 적용되지 않는다. 연간 총 매출액 2천5백만 달러 이하, 연간 5만 명/개 미만의 상업적 목적의 개인정보 처리, 연간 매출액의 50% 미만이 캘리포니아 소비자의 개인정보 판매로 발생한 자에 대해서도 적용 제외된다. 전세계 매출로 보아야 한다는 의견이 있다.
넷째, CCPA는 역외 사업자에 대한 적용에 대해서 명확한 규정을 두고 있지 않으나 온라인 환경에서 인정된 ‘doing business’ 이론에 따라 캘리포니아에 있는 소비자 또는 근로자의 개인정보를 처리하는 역외의 사업자에게도 적용되는 것으로 해석되고 있다. 예컨대 캘리포니아 소비자가 캘리포니아에 있는 동안 캘리포니아 밖에 있는 식당을 예약한 경우에는 CCPA 적용대상이 된다.
마지막으로, CCPA의 보호대상인 ‘개인정보’는 GDPR의 정의와 유사하나 가계에 관한 정보가 포함된다는 점이 특징이다. 정부 기록에서 합법적으로 이용 가능한 정보는 개인정보로 보지 않고, 비식별 조치된 정보 및 총계화된 정보도 개인정보로 인정하지 않는다.
2. 소비자의 권리
CCPA는 GDPR의 영향을 받아 소비자에게 다양한 권리를 부여하고 있다. CCPA가 인정한 소비자의 권리로는 개인정보 열람권 및 이동권, 정보공개 요구권(알권리), 삭제 요구권, 판매중단 지시권 등이 있다. GDPR이 명시적으로 규정하고 있는 동의권, 정정요구권, 처리제한권, 처리반대권, 자동화된 의사결정 거부권 등의 권리는 인정하지 않거나 부분 인정하고 있다.
첫째, CCPA는 사업자가 소비자의 개인정보를 처리할 때 소비자의 사전 동의를 요구하지 않는다. 대신 소비자는 언제든지 사업자에게 개인정보의 판매 중단을 지시할 권리(opt-out 권리)를 갖는다. GDPR에서는 개인정보 판매는 물론 수집, 이용, 제공, 공개 그 밖의 모든 처리 활동의 중단 또는 정지를 요구할 수 있는 반면, CCPA는 판매중단 지시권만 제한적으로 인정한다.
둘째, 소비자가 16세 미만이라는 사실을 사업자가 실질적으로 알고 있는 경우에는 해당 소비자의 명확한 승인 없이 개인정보를 판매할 수 없고, 13세 미만이면 법정대리인 또는 보호자가 승인한 경우가 아니면 개인정보를 판매할 수 없다. 소비자의 나이를 의도적으로 무시한 사업자는 소비자의 나이를 알고 있었던 것으로 간주한다.
셋째, 소비자는 사업자에게 수집한 ‘개인정보의 범주와 항목’에 대해서 공개 요구할 권리를 가진다. 요구받은 개인정보는 문서 형태로 일반우편 또는 전자방식으로 제공해야 한다. 개인정보는 무료로 제공돼야 하지만, 사업자는 12개월 동안 2회 이상 제공할 의무는 없다.
사업자는 소비자의 모든 요구에 대해 45일 이내(최대 45일까지 1회 연장 가능)에 요구받은 정보를 제공·전달하거나 요구받은 행위를 이행해야 한다. 제공 또는 공개된 정보는 사업자가 요구를 접수받은 날 이전 12개월 동안 처리한 것을 모두 커버해야 한다. 다만, 소비자의 요구가 명백히 근거가 없거나, 과도하거나, 반복적인 경우 사업자는 합리적인 비용을 부과하거나 사유를 밝히고 요구를 거부할 수 있다.
3. 사업자의 의무
CCPA는 개인정보 수집 시 각종 정보 고지, 개인정보처리방침 등 작성·공개, 소비자에 대한 차별금지, 개인정보 판매 중단 지시 링크, 위·수탁 계약 체결, 개인정보취급자 등에 대한 교육·홍보 등의 의무를 부여함으로써 사업자의 책임을 강화했다. 그러나 GDPR과 달리 이용 및 보유 기간의 제한, 처리 활동의 기록·관리, 기술적·관리적 조치, 프라이버시 영향평가, DPO 및 대리인 지정, 개인정보 국외이전 등에 대해서는 규정을 두고 있지 않거나 부분적으로만 규정하고 있다. CCPA 의무 중 가장 특징적인 제도는 개인정보 판매 중단 지시 링크 의무와 소비자에 대한 차별금지 의무라고 할 수 있다.
첫째, 사업자는 소비자 또는 소비자가 위임한 자가 이용할 수 있는 인터넷 홈페이지에 ‘Do Not Sell My Personal Information’라는 제목으로 명확하고 눈에 잘 띄는 링크를 제공해야 하고, 온라인 개인정보보호 방침과 캘리포니아 소비자 개인정보권리 설명서에 소비자의 개인정보 판매 중단 지시권을 설명해야 한다.
둘째, 사업자는 소비자가 CCPA에 따른 권리를 행사했다는 이유로 해당 소비자에 대해서 상품 또는 서비스의 제공거부, 품질·가격 차등화 등 어떤 차별도 해서는 안 된다. 다만, 개인정보 수집, 판매, 삭제에 대한 보상으로 소비자에게 대가를 지불하는 금전적 인센티브 제공은 가능하다. 다만, 상품 또는 서비스 가격이나 품질의 차이가 사업자가 소비자의 개인정보로부터 얻게 되는 가치와 직접 관련되어 있다면 합리적 차별은 가능하다.
셋째, CCPA는 GDPR과 달리 사업자에게 명시적으로 기술적·관리적 조치의무를 부여하는 규정을 두고 있지 않다. 다만, 사업자가 정보의 성격에 따라 적절하고 합리적인 보안조치를 해야 할 의무를 위반한 결과 암호화, 부분삭제 등 비식별조치가 되지 않은 개인정보가 유출, 도난, 공개되거나 무단으로 접근된 경우에는 손해배상책임을 져야 한다. ‘합리적으로’ 요구되는 보호조치란 (i) 사회보장번호, (ii) 운전면허번호 또는 주민카드번호, (iii) 계정번호·신용카드번호·직불카드번호, (iv) 의료정보, (v) 이름을 암호화하거나 부분 삭제한 것을 의미한다.
마지막으로, 사업자는 소비자가 정보열람 요구, 정보공개 요구 등 자신의 권리를 행사할 수 있도록 신뢰할 수 있는 확인 수단을 제공해야 하고, 소비자가 정보제공 요구권 등을 쉽게 행사할 수 있도록 무료 전화번호를 포함해 두 개 이상의 방법을 제공해야 한다. 다만, 온라인으로만 사업을 운영하고 있고 소비자와 직접적인 관계를 가지고 있는 경우라면 이메일주소만 제공해도 된다.
4. 권리구제와 벌칙
CCPA는 법 위반에 대한 제재 수단으로 형사벌제도를 도입하지 않은 대신, 소비자 집단소송, 법정손해배상, 실제손해배상 등 민사적 구제수단과 함께 민사벌금제도를 도입했다.
암호화, 부분삭제 등이 되지 않은 개인정보가 권한이 없는 자에 의해 무단 접근되거나 유출, 도난, 공개된 경우 소비자는 개인 또는 집단으로 손해배상소송 등을 제기할 수 있다. 소비자는 실제 손해배상액과 사건 당 소비자 당 100∼750달러의 법정 손해배상액 중 높은 금액을 손해배상액으로 청구할 수 있다. 다만, 소비자가 소송을 제기하려면 30일 전에 사업자에게 위반사항을 통지(thirty days’notice)해야 한다. 사업자가 30일 이내에 통지받은 위반 사항을 치유하면 소비자는 법정 손해배상소송을 제기할 수 없다.
한편, 주 법무장관은 사업자에게 CCPA 미준수를 통지할 수 있다. 통지를 받은 후 30일 이내에 위반행위를 시정하지 않으면 각각의 위반에 대해 2,500달러 이하의 민사벌금을 처분받게 된다. 특히 고의적인 위반에 대해서는 3배인 7,500달러의 민사벌금에 처해 진다.
Ⅲ. CCPA의 영향 및 시사점
1. 국내 기업에 대한 영향
캘리포니아에 주소나 실체를 두고 있지 않은 국내 기업이라도 캘리포니아 소비자의 개인정보를 처리하면 CCPA의 적용을 받게 된다. 예컨대, 국내 게임사가 캘리포니아 주민과 상거래를 하거나, 국내 가전제품 회사가 IoT 기기를 이용해 캘리포니아 주민의 개인정보를 처리하려면 CCPA의 규정을 준수해야 한다.
첫째, CCPA에서는 개인정보 범위가 국내에서 이해되고 있는 것보다 훨씬 넓게 규정되어 있다. 온라인식별자, IP주소, 기기식별자, 행태정보, 쿠키·비콘·픽셀태그, 모바일 식별자, 구매내역·소비성향, 고객번호, 닉네임, 브라우징 기록, 검색기록, 웹사이트·애플리케이션·광고에 대한 소비자의 반응, 추론정보 등이 모두 개인정보에 포함되므로 주의가 필요하다.
둘째, 국내법이나 GDPR에 따라 개인정보처리에 대해서 사전 동의를 받고 있는 국내 기업이라도 인터넷 홈페이지에 ‘Do Not Sell’ 링크를 눈에 띄게 설정해야 한다. 써드파티 쿠키가 Do Not Sell 링크의 대상인지 여부는 분명하지 않다. 벤더가 타킷광고 또는 행태광고 목적으로 설치한 쿠키, 소셜 미디어 위젯이 설치한 쿠키, 콘텐츠에 내장된 쿠키 등도 논란이 있다.
셋째, 소비자가 CCPA에 따른 권리를 행사했다는 이유로 품질, 가격 등에 있어서 차등을 두는 등의 모든 차별적인 행위가 금지되므로 주의가 필요하다. 차별적인 표현을 암시해서도 안 된다. 금전적 인센티브는 가능하나 부당·불합리·강제적·착취적인 인센티브는 금지된다. 국내법에서는 재화 또는 서비스의 제공거부만 금지하고 있다.
넷째, 개인정보보호방침 등에 공개해야 할 정보의 내용과 방법도 국내법과 차이가 있다. 특히 무료 전화번호를 포함해 소비자가 자신의 권리를 쉽게 행사할 수 있도록 필요한 조치를 해야 한다.
마지막으로, GDPR과 같이 글로벌 매출액을 기준으로 하는 천문학적인 과징금 제도는 없지만, 고액의 법정 손해배상제도를 포함해 다양한 민사소송제도를 마련했다. 고액의 민사벌금제도도 도입했다. 사업자에게 ‘30일 이내 시정조치’라는 기회를 주지만 항상 집단소송 등에 대비해야 한다.
2. 국내 법제에 대한 시사점
CCPA는 국내법과 법체계가 다르지만 AI, IoT, 클라우드 등 데이터 경제 시대에 우리나라가 벤치마킹할 수 있는 독창적인 제도를 많이 포함하고 있다. CCPA의 가장 큰 특징은 개인정보의 활용 목적을 ‘사업 목적’과 ‘상업 목적’으로 나누고 개인정보의 처리를 수집·이용과 판매·제공으로 구분해 각각 규제와 보호 수준을 달리 규정하고 있다는 점이다.
첫째, 사업 목적의 개인정보 제3자 제공은 판매로 보지 않으므로 판매 중단 지시의 대상이 되지 않는다. 사업 목적은 국내법상 ‘정당한 이익’ 추구를 위한 개인정보처리와 유사한 개념이라고 할 수 있다. 국내에서는 정당한 이익을 매우 좁게 해석하고 있으나, CCPA는 기술 개발 및 실증을 위한 내부적 연구, 품질 또는 안전성의 확인·관리를 위한 활동, 서비스의 개선 및 향상 등도 사업 목적에 포함시키고 있다.
둘째, CCPA는 개인정보 파기의무를 규정하고 있지 않다. 소비자가 삭제를 요구한 경우에만 삭제 의무가 발생한다. 그러나 개인정보를 사업 목적으로 처리하는 경우에는 삭제 요구를 거부할 수 있고, 나아가 언론 자유 보장, 다른 권리행사, 계약·보증·리콜 의무이행, 양립 가능한 범위 내에서의 내부적 이용, 공익상의 과학적·역사적·통계적 목적 이용의 경우에는 삭제 요구를 거부할 수 있다.
셋째, CCPA는 일정규모 이상 사업자에게만 적용된다. 연매출 2천5백만 달러(약 300억원) 이하거나 상업 목적으로 연간 5만 명/개 미만의 개인정보를 처리하는 소규모 사업자에게는 적용되지 않는다. 따라서 벤처기업은 물론 웬만한 규모의 중소기업도 모두 CCPA 적용 대상에서 제외된다.
넷째, CCPA는 고지·공개 의무를 간소화한 대신 이를 쉽고 명확하게 고지·공개하도록 하는 데 초점을 두고 있다. 판매한 개인정보의 구체적 항목과 제3자의 이름은 개인정보처리방침 공개의무 대상이 아니며, 개인정보의 보관기간, 개인정보보호책임자 등도 공개 대상이 아니다. 개정전 CCPA는 수집·판매하는 개인정보의 항목과 제3자의 이름도 공개하도록 했으나, 개정법은 개인정보의 범주만 공개하도록 했고 제3자도 범주만 공개 또는 제공하도록 했다.
다섯째, CCPA는 GDPR과 마찬가지로 개인정보 열람요구권, 정보이동권 등을 보장하고 있지만, 최근 12개월 내에 처리한 개인정보로 권리행사의 범위를 제한하고 있다. 소비자가 권리를 행사할 수 있는 횟수도 1년에 2회 이내로 제한했다. 정보이동권도 소비자 자신 이외에 다른 사업자에 대한 이동 지시권은 규정하고 있지 않다.
여섯째, CCPA는 다양한 권리침해 구제제도와 고액의 민사벌금제도를 도입하고 있지만, 법정손해배상은 암호화, 부분삭제 등의 비식별 조치가 되어 있지 않은 개인정보가 유출, 분실, 도난, 무단 접근된 경우로 제한하고 있고 thirty days’notice제도를 도입함으로써 사업자가 과도한 소송 위험이나 민사벌금에 노출되지 않도록 배려하고 있다. 형사처벌 규정도 없다.
마지막으로, CCPA는 소비자의 권리포기 규정 등 소비자에게 불리한 계약의 효력을 무효로 규정하고 있다. CCPA와 다른 법률의 규정이 충동하는 경우에는 소비자에게 유리한 법률을 적용하도록 하고 있다. 소비자로부터 개인정보 판매 중단 요구를 받은 경우 사업자는 해당 개인정보를 구입하거나 제공받은 자에게 소비자의 판매 중단 요구를 알리도록 하는 등 소비자 권리의 실효화에 초점을 두고 있다.
Ⅳ. 맺음말 : 향후 전망
CCPA는 2019년 10월 전문 수준의 대폭적인 개정이 있었다. 2020년 이후에도 추가적인 개정 또는 입법이 예상된다. 그러나 업계가 강하게 요구했던 시행시기 연기, 타킷광고에 대한 적용면제 확대, 비식별정보의 범위 확대 등과 관련된 개정안은 통과되지 않았다. 현재는 시행규칙이 입법예고 중이다. 시행규칙은 소비자와 사업자에게 CCPA 시행에 대한 실질적인 지침을 제공하는 것이 목적이지만, 다매체 영업시 고지의무, 가계정보 열람방법, 삭제의무 이행방법 등 법에 규정돼 있지 않은 중요한 내용이 다수 포함돼 있으므로 주의가 필요하다.