미국에 쿠키 법이 있나요?

기존 규정을 분석한 결과, 미국에는 쿠키 사용을 구체적으로 규제하는 연방법이 없는 것으로 나타났습니다. 그러나 주 차원의 개인정보 보호법, 특히 캘리포니아 소비자 개인정보 보호법(CCPA)과 버지니아 소비자 데이터 보호법(CDPA)은 개인정보 처리와 관련된 쿠키 사용 문제를 다루고 있습니다.

CCPA는 쿠키가 소비자 데이터를 수집하는 데 사용될 경우 개인정보로 간주한다고 규정합니다(Cal. Civ. Code § 1798.140). CCPA의 적용을 받는 기업은 쿠키 사용 및 쿠키를 통해 데이터가 수집되는 목적을 공개해야 합니다(Cal. Civ. Code § 1798.100). 그러나 CCPA는 일반적인 사용에 대해 쿠키에 대한 옵트인 동의를 의무화하지는 않습니다. 특히, 쿠키가 타겟 광고 및 교차 컨텍스트 행동 광고에 사용될 경우, 이러한 활동은 CCPA에 따라 개인정보의 “판매”로 분류될 수 있으며(Cal. Civ. Code § 1798.140(t)), 기업은 소비자에게 옵트아웃 메커니즘(“내 개인정보 판매 금지”)을 제공해야 할 의무가 발생합니다.

버지니아의 CDPA도 마찬가지로 쿠키를 통해 처리된 데이터가 타겟 광고, 판매 또는 프로파일링에 사용될 경우 이를 개인 데이터로 간주합니다(Va. Code Ann. § 59.1-571). CDPA에 따라 소비자는 이러한 목적의 개인 데이터 처리를 거부할 명시적인 권리를 가지며, 이는 특히 제3자 쿠키 및 광고 쿠키에 영향을 미칩니다. 이러한 권리를 실행하려면 기업은 소비자가 자신의 옵트아웃 권리를 효과적으로 행사할 수 있도록 하는 메커니즘을 구현해야 합니다.

주요 결과는 다음과 같습니다:

• 미국에는 포괄적인 연방 쿠키 법이 없습니다.
• CCPA와 CDPA는 모두 특정 목적으로 사용될 때 쿠키에 의해 수집된 데이터를 개인정보로 취급합니다.
• CCPA는 쿠키 사용 공개를 의무화하고, 쿠키가 타겟 광고에 사용되거나 “판매”로 간주될 경우 옵트아웃을 요구합니다.
• CDPA는 소비자에게 타겟 광고, 판매 또는 프로파일링을 위한 개인 데이터 처리 거부권을 부여하며—이는 쿠키 관행에 명시적으로 영향을 미칩니다.

전반적으로 연방 쿠키 법은 없지만, CCPA 및 CDPA와 같은 주 차원의 법규는 특히 개인정보 및 타겟 광고 관행과 관련하여 기업의 쿠키 사용에 대한 특정 요구사항을 부과합니다. 규제 접근 방식은 다른 사법 관할권(예: EU의 GDPR)에서 볼 수 있는 포괄적인 요구사항을 부과하기보다는, 쿠키의 특정 사용에 대해 단편적이고 대체로 사후 대응적인 성격을 띱니다.