August 11, 2025
4 min read
GDPR과 CCPA는 어떻게 다른가요?
| 측면 | GDPR (일반 데이터 보호 규정) | CCPA (캘리포니아 소비자 개인정보 보호법) |
|---|---|---|
| 지리적 범위 | EU 거주자 (기업 위치와 무관) | 캘리포니아 거주자 (기업 위치와 무관) |
| 법적 근거 | 데이터 처리에 대한 법적 근거 필요 | 데이터 수집에 대한 법적 근거 불필요 |
| 사업자 적용 대상 | 법적 근거를 충족하는 모든 사업자 | 연 매출 2,500만 달러 초과 또는 기타 기준을 충족하는 사업자 |
| 소비자 권리 | 접근, 수정, 삭제, 제한, 반대, 이동성 | 접근, 삭제, 판매 거부, 차별 금지 |
| 민감 데이터 | 구체적: 유전/생체 데이터 포함 | 일반적: “개인정보” 포괄 |
| 벌금/집행 | 최대 2,000만 유로 또는 전 세계 매출액의 4% | 위반 건당 최대 $7,500, 민사 소송 가능 |
| 아동 데이터 | 16세 미만은 부모 동의 필요 | 13세 미만은 부모 동의 필요 |
| 데이터 판매 | 명시적인 “판매” 조항은 없으나 이전을 포함 | 개인정보 판매 거부권 |
GDPR과 CCPA는 데이터 개인정보 보호 법규에서 두 가지 중요한 프레임워크를 대표하지만, 범위, 요구 사항 및 집행에서 근본적으로 다릅니다. 이러한 차이점은 국제적으로 또는 미국 내에서 운영되는 기업의 규정 준수 전략을 형성합니다.
GDPR은 기업이 EU 거주자의 개인 데이터를 처리하기 전에 명확한 법적 근거를 갖도록 의무화합니다. 이 규정은 동의, 계약의 필요성 또는 정당한 이익과 같은 6가지 합법적인 처리 근거를 명시합니다. 반면, CCPA는 개인정보를 수집하거나 처리하기 전에 법적 근거를 요구하지 않습니다. 이로 인해 GDPR에 따른 규정 준수 기준이 더 높아지며, 특히 민감한 데이터 범주를 다루는 조직의 경우 더욱 그렇습니다.
CCPA는 특정 사업자에게만 적용됩니다. 즉, 연간 총수입이 2,500만 달러를 초과하거나, 50,000명 이상의 소비자/가구/기기의 개인정보를 구매/판매하거나, 연간 수입의 50% 이상을 소비자 개인정보 판매로 얻는 사업자입니다. GDPR은 법적 근거 요건을 충족하는 경우 EU 거주자의 개인 데이터를 처리하는 모든 조직(규모와 무관)에 적용됩니다.
두 법률에 따른 소비자 권리는 강력하지만 강조하는 바가 다릅니다. GDPR은 개인에게 접근, 수정, 삭제(“잊힐 권리”), 처리 제한, 데이터 이동성, 처리 반대 등의 권리를 부여합니다. CCPA는 수집 및 판매되는 정보에 대해 알 권리, 삭제권(예외 있음), 개인정보 판매 거부권, 이러한 권리 행사 시 차별로부터 보호받을 권리 등을 제공합니다. CCPA는 다음과 같이 명시합니다:
“사업자는 소비자가 이 법에 따른 소비자 권리를 행사했다는 이유로 소비자를 차별해서는 안 됩니다.”
민감 데이터와 관련하여, GDPR이 더 구체적입니다. 이 법은 “유전 데이터”, “생체 데이터”, “건강 데이터”와 같은 특별 범주를 정의하고 규제합니다. 이러한 유형의 데이터를 처리하려면 명시적인 동의나 다른 특정 법적 근거가 필요합니다. CCPA는 더 광범위한 용어인 “개인정보”를 사용하는데, 이는 광범위한 식별자를 포함하지만 유전 또는 생체 데이터를 동일한 명확성으로 특정하지는 않습니다.
집행 및 처벌은 상당히 다릅니다. GDPR 위반은 최대 2,000만 유로 또는 전 세계 매출액의 4%(둘 중 더 높은 금액)의 벌금을 초래할 수 있습니다. 최근 집행 조치들은 규제 당국이 심각한 위반에 대해 상당한 벌금을 부과할 의지가 있음을 시사합니다. CCPA의 법정 벌금은 더 낮지만(고의적 위반 건당 최대 $7,500), 특정 위반에 대해 소비자가 민사 소송을 제기할 수 있도록 독특하게 허용하여 상당한 합의금이나 집단 소송 비용으로 이어질 수 있습니다.
아동 데이터는 두 법률에서 모두 추가적인 보호를 받지만, 연령 기준이 다릅니다. GDPR은 일반적으로 16세 미만 아동의 데이터 처리에 대해 부모의 동의를 요구하며(회원국은 이를 13세로 낮출 수 있음), CCPA는 13세 미만 아동의 데이터를 “판매”하는 것에 대해 부모의 동의를 요구합니다.
주요한 차이점은 CCPA의 “판매” 개념으로, 이는 소비자에게 자신의 개인정보를 판매하지 않도록 사업자에게 지시할 권리를 부여합니다. GDPR은 이 용어를 사용하지 않지만 조직 간의 모든 형태의 데이터 공유 및 이전을 규제합니다.
요약하자면, 투명성과 개인의 권리에 중점을 두는 것과 같은 유사점이 있지만, GDPR은 일반적으로 적용 범위가 더 넓고 요구 사항이 더 엄격합니다, 특히 법적 근거와 민감 데이터 보호와 관련하여 그렇습니다. CCPA는 범위와 적용 가능성이 더 좁지만, 데이터 판매 거부권 및 개인정보 보호 권리 행사 시 차별로부터의 보호와 같은 독특한 개념을 도입합니다. 두 법률의 적용을 받는 조직은 하나의 법률을 준수한다고 해서 다른 법률을 준수하는 것이 보장되지 않는다는 점을 인식하고 규정 준수 의무를 신중하게 분석해야 합니다. 개인정보 보호 규정이 계속 진화함에 따라 이러한 핵심적인 차이점을 이해하는 것은 위험 관리 및 소비자 신뢰 구축에 매우 중요합니다.
