편집

캘리포니아 소비자 개인 정보 보호법(CCPA) 질문과 대답

  • FAQ

참고

이 항목은 "있는 그대로" 제공됩니다. URL 및 기타 인터넷 웹 사이트 참조를 포함하여 이 항목에 표현된 정보 및 보기는 예고 없이 변경될 수 있습니다. 내용 사용으로 발생하는 위험은 귀하의 책임입니다. 이 항목은 안내서로 작성되었으며 법적 자문으로 해석되어서는 안 됩니다. 귀하의 법률 전문가와 상담하십시오. 이 항목은 Microsoft 제품에 대한 어떠한 법적 권한이나 지적 재산권도 제공하지 않습니다. 사용자는 내부에서 참조할 목적으로 이 항목을 복사하고 사용할 수 있습니다.

빠른 FAQ

CCPA 무엇인가요?

CCPA(캘리포니아 소비자 개인 정보 보호법)는 미국 최초의 포괄적인 개인 정보 보호법입니다. 2018년 6월 말에 법으로 제정되었으며 캘리포니아 소비자에게 다양한 개인 정보 보호 권리를 제공합니다. CCPA가 규제하는 기업은 공개, 소비자에 대한 GDPR(일반 데이터 보호 규정) 같은 권리, 특정 데이터 전송에 대한 '옵트아웃' 및 미성년자에 대한 '옵트인' 요구 사항을 포함하여 해당 소비자에게 많은 의무를 집니다.

누가 CCPA에 대해 알고있어야 하나요?

CCPA는 캘리포니아에서 다음 중 하나 이상을 충족하는 회사에만 적용됩니다. (1) 총 매출이 2천 5백만 달러 이상이고, (2) 소비자 개인 정보를 판매하여 연간 매출의 50% 이상을 도출하고, 또는 (3) 5만 명 이상의 소비자 개인 정보를 구매, 판매 또는 공유합니다.

CCPA는 언제 발효되나요?

CCPA는 2020년 1월 1일에 발효됩니다. 그러나 AG(법무 장관)의 적용은 2020년 7월 1일까지 시작되지 않습니다.

CCPA는 우리 회사에 어떤 영향을 주나요?

캘리포니아 주민에게 제공되는 많은 CCPA의 권리는 액세스, 삭제 및 이식성과 같은 DSR(Data Subject Right) 요청과 유사한 공개 및 소비자 요청을 포함하여 GDPR이 제공하는 권리와 유사합니다. 따라서 고객은 기존 GDPR 솔루션을 확인하여 CCPA 규정을 준수하는 데 도움을 줄 수 있습니다.

CCPA 여정을 시작하려면 5가지 주요 단계를 중점적으로 따라야 합니다.

  • 발견: 보유하고 있는 개인 정보와 그 위치를 식별합니다.
  • 지도: 제삼자와 개인 정보를 공유하는 방법을 확인하고 제삼자가 CCPA 옵트아웃 요구 사항에서 예외의 대상인지 확인합니다.
  • 관리: 데이터 사용과 액세스 방법을 제어합니다.
  • 보호: 보안 제어를 설정하여 취약점과 데이터 유출을 방지, 감지, 대처합니다.
  • 문서: 데이터 유출 대응 프로그램을 문서화하고 해당 제삼자와의 계약에서 옵트아웃 예외를 활용할 수 있도록 합니다.

귀하의 CCPA 여정을 Microsoft가 지원하기는 하나, CCPA 하에 조직의 구체적인 의무가 무엇인지, 그리고 이러한 의무를 어떻게 이행할 것인지 자체적으로 파악해야 합니다.

포괄적인 FAQ

CCPA에 따라 기업에서는 어떤 권리를 지원해야 하나요?

CCPA는 다음과 같은 개인 정보를 수집, 사용, 양도 및 판매하는 규제된 비즈니스를 요구합니다.

  • 수집 전에 범주 및 수집 목적과 관련하여 소비자에게 공개를 제공합니다.
  • 이러한 범주가 다른 엔터티로 판매되거나 양도되는 방식을 포함하여 수집되는 개인 정보의 출처, 비즈니스 목적, 범주와 관련하여 개인 정보 취급 방침에 관한 자세한 정보를 제공합니다.
  • 귀하가 수집한 특정 개인 정보에 대한 액세스, 삭제, 이식성과 관련된 소비자 권리를 활성화합니다.
  • 소비자가 소비자 데이터의 '판매'를 옵트아웃할 수 있도록 하는 컨트롤을 사용하도록 설정합니다. 그러나 서비스 공급자로의 양도와 같은 특정 양도는 허용됩니다.
  • 16세 미만 미성년자의 경우 옵트인 프로세스를 사용하여 판매를 적극적으로 선택하지 않고도 미성년자의 개인 정보를 판매하지 않도록 할 수 있습니다.
  • CCPA에 따라 소비자가 자신의 권리를 행사한 것에 대해 차별을 받지 않도록 하십시오.

CCPA 필수 공개란 무엇인가요?

CCPA에서 다음 사항을 공개해야 합니다.

  • 수집된 소비자의 개인 정보 범주.
  • 수집에 사용되는 원본 범주.
  • 수집을 위한 비즈니스 또는 상업적 목적.
  • 개인 정보가 '공유'되는 제3자의 범주입니다.
  • '판매'된 개인 정보의 범주 및 각 개인 정보 범주가 판매된 '제3자'의 범주입니다.
  • '비즈니스 목적으로 공개'된 개인 정보 범주(즉, '판매'는 아니지만 양도됨) 및 각 개인 정보 범주가 전송된 '제3자'의 범주입니다.
  • 해당 소비자에 대해 수집된 특정 개인 정보.

CCPA에서 데이터는 어떻게 '판매'합니까?

CCPA에서 '판매'의 정의는 금액 또는 기타 가치있는 고려를 위해 제 3 자에게 '개인 정보를 제공하는 것'을 포함하여 매우 광범위합니다. 소비자가 '옵트아웃'을 선택한 경우 비즈니스는 제3자에게 개인 정보의 흐름을 해제해야 합니다.

CCPA는 이 '판매' 옵트아웃 제어에 대한 여러 가지 개척을 제공합니다. 세 가지 주요 개척은 (i) 서비스 공급자에게 전송, (ii) 소비자의 지시에 따라 '면제 엔터티' 또는 '계약자'로 전송하고 (iii)입니다. 소비자가 '옵트아웃'을 선택하더라도 개인 정보는 이러한 개척에 적합한 제3자에게 계속 전송될 수 있습니다.

첫 두 예외를 활용하려면, 사업체는 양도가 CCPA에서 요구하는 특정 조건을 포함하는 서면 계약으로 관리되도록 해야 합니다.

CCPA의 컨텍스트에서 '기업' 및 '서비스 공급자'는 무엇을 의미합니까?

CCPA와 관련하여 사업체는 소비자 개인 데이터 처리의 목적과 수단을 결정하는 개인 또는 엔터티이며 서비스 제공자는 사업체를 대신하여 정보를 처리하는 개인 또는 엔터티입니다. 이는 넓게 보면 GDPR에 사용되는 컨트롤러프로세서와 동의어입니다.

규정을 준수하지 않은 기업에는 어느 정도의 벌금이 부과되나요?

CCPA의 개인 행동권은 데이터 유출로 제한됩니다. 개인의 행동권에 따라 피해는 소비자당 사고당 $100에서 $750 사이입니다. California AG는 또한 위반당 $2,500 또는 의도적 위반당 $7,500 이하의 민사 벌금을 부과할 수 있는 능력으로 CCPA 전체를 적용할 수 있습니다.

CCPA 준수를 달성하기 위해 Microsoft는 무엇을 하고 있나요?

Microsoft는 GDPR 관련 DSR을 전 세계적으로 구현했으므로 현재 관련 CCPA 요구 사항을 충족하는 절호의 위치에 있습니다. 우리는 또한 타사 데이터 공유 계약을 검토하고 개인 정보를 '판매'하지 않도록 필요한 계약 조건이 마련되었음을 확립하는 조치를 취했습니다.

조직에서 CCPA 준비를 시작하는 데 도움이 되는 몇 가지 도구는 무엇인가요?

  • CCPA 개인 정보 보호 프로그램의 일부로 규정 준수 관리자의 GDPR 평가를 활용합니다.
  • 소비자 요청에 효과적으로 대응하는 프로세스를 설정합니다.
  • 레이블 및 정책을 설정하여 & 레이블을 검색, 분류 및 Microsoft Purview Information Protection 사용하여 중요한 데이터를 보호합니다.
  • 전자 메일 암호화 기능을 사용하여 중요 한 정보를 더욱 강력하게 제어합니다.
  • 블로그 게시물에서 자세히 알아보세요.

GDPR과 CCPA 사이의 차이점은 무엇인가요?

많은 차이점이 있습니다. 다음과 같은 유사성에 보다 쉽게 초점을 맞출 수 있습니다.

  • 투명/공개 의무.
  • 데이터 복사본에 액세스하고, 삭제하고, 복사본을 받을 수 있는 소비자 권한
  • GDPR이 유사한 계약 의무를 가진 '프로세서'를 정의하는 방법과 유사한 '서비스 공급자'의 정의입니다.
  • '컨트롤러'의 GDPR 정의를 포괄하는 '기업'의 정의입니다.

CCPA의 가장 큰 차이점은 데이터 판매를 제3자에게 옵트아웃할 수 있도록 하는 핵심 요구 사항입니다(가치 있는 고려를 위해 데이터 공유를 포함하도록 광범위하게 정의된 '판매'). 이는 이러한 유형의 '판매'를 포괄하지만 이러한 유형의 공유를 다루는 데 특별히 국한되지 않는 처리에 반대할 광범위한 GDPR 권리보다 더 좁고 구체적인 의무입니다.

'프로세서'와 '컨트롤러'란?

데이터 컨트롤러는 단독으로 또는 다른 데이터 컨트롤러와 함께 개인 정보 처리의 목적과 수단을 결정하는 자연인 또는 법인, 공공 당국, 기관 또는 기타 주체입니다. 데이터 프로세서는 데이터 컨트롤러를 대신하여 개인 정보를 처리하는 자연인 또는 법인, 공공 당국, 기관 또는 기타 주체입니다.

구체적으로 어떤 것이 개인 정보로 간주되나요?

개인 정보는 식별된 또는 식별 가능한 개인과 관련 있는 모든 정보입니다. 이때 개인의 비공개, 공개 또는 업무 역할이 구분되지 않습니다. 정의된 용어 '개인 정보'는 대략 GDPR에 따라 '개인 데이터'와 일치합니다. 그러나 CCPA에는 가족 및 가정 데이터가 포함되어 있습니다.

개인 정보의 예:

ID

  • 이름
  • 집 주소
  • 회사 주소
  • 전화 번호
  • 휴대폰 번호
  • 전자 메일 주소
  • 여권 번호
  • 주민등록증
  • 주민등록번호(또는 이와 동등한 정보)
  • 운전면허증
  • 신체적, 생리적 또는 유전적 정보
  • 의료 정보
  • 문화 정체성

재무

  • 은행 정보/계좌 번호
  • 납세 번호
  • 신용 카드/직불 카드 번호
  • 소셜 미디어 게시물

온라인 아티팩트

  • 소셜 미디어 게시물
  • IP 주소(EU 지역)
  • 위치/GPS 데이터
  • 쿠키

CCPA는 어린이에게 적용되나요?

  • CCPA는 13세 미만의 어린이를 위한 COPPA(어린이 온라인 개인 정보 보호법)에 따른 보호자의 동의 의무를 도입합니다.
  • 13 세에서 16 세 사이의 어린이의 경우 CCPA는 개인 정보의 '판매'에 대한 자녀의 옵트 인 동의를 얻을 수있는 새로운 의무를 부과합니다.

직원들이 보낸 개인 데이터는 어떻게 되나요?

2019 년 10 월, 개정의 숫자는 CCPA에 통과되었다. 한 수정안은 CCPA 의무가 사업체 직원의 개인 정보에는 적용되지 않는다고 명시했습니다. 그러나 입법자는 해당 면제에 대해 1년의 소멸 시효를 적용했습니다. 캘리포니아는 2020년 직원을 위해 새로운 데이터 보호법을 제정할 것으로 예상됩니다.  

Microsoft 고객인 경우 Microsoft로 양도하려면 옵트아웃 제어를 구현해야 하나요?

아니요. 온라인 서비스 공급자로서 CCPA에 따라 '서비스 공급자'로 자격이 있는지 확인하기 위한 조치를 취하고 있습니다. 위에서 설명한 것처럼 소비자가 옵트아웃한 경우에도 서비스 제공자에게 개인 정보를 양도할 수 있습니다.