August 9, 2025
2 min read
버지니아 소비자 데이터 보호법(VCDPA)과 캘리포니아 소비자 개인정보 보호법(CCPA), 그리고 그 개정안인 캘리포니아 개인정보 보호 권리법(CPRA)은 개인 데이터에 대한 소비자의 통제권을 강화한다는 포괄적인 목표를 공유하지만 몇 가지 중요한 법적 및 운영적 측면에서 차이가 있습니다.
주요 차이점은 다음과 같습니다.
예외 조항:
VCDPA는 HIPAA, GLBA의 규제를 받는 기관, 비영리 단체, 고등 교육 기관을 명시적으로 면제합니다. 반면, CCPA는 이러한 부문에 대한 예외 조항이 더 적어 적용 범위가 더 넓습니다(Virginia General Assembly, 2021).
옵트아웃 및 동의 요건:
VCDPA는 기업이 민감한 데이터 범주(예: 인종, 건강 데이터)를 처리하기 전에 소비자 동의를 얻도록 요구하며, 이는 민감한 정보에 대한 옵트인 프레임워크를 나타냅니다. 반대로 CPRA는 옵트아웃 모델을 따르며, 소비자가 개인 데이터의 판매 또는 공유를 금지할 수 있도록 허용하지만 사전 동의는 요구하지 않습니다(Cal. Civ. Code §1798.100; Va. Code Ann. §59.1-575).
옵트아웃 권리의 범위:
버지니아 법은 소비자에게 다음을 포함하여 더 넓은 옵트아웃 권리를 부여합니다.
캘리포니아 법은 주로 개인 정보의 판매 및 공유에 중점을 두지만 프로파일링에 대해서는 덜 명시적입니다(Cal. Civ. Code §1798.120; Va. Code Ann. §59.1-575).
사적 소송권:
중요한 차이점은 VCDPA에 사적 소송권이 없다는 것입니다. 캘리포니아 법은 소비자가 특정 데이터 유출 또는 위반에 대해 소송을 제기할 수 있도록 허용하여 규제 감독을 넘어선 직접적인 집행 경로를 만듭니다(California Attorney General, 2023). 버지니아는 소비자의 소송 경로 없이 정부 집행에만 의존합니다.
집행 기관:
CPRA는 집행권을 가진 전담 규제 기관인 캘리포니아 개인정보 보호국(CPPA)을 설립했습니다(Cal. Civ. Code §1798.185). 버지니아에는 전담 개인정보 보호 집행 기관이 없으며, 집행은 주 법무장관실의 소관입니다(Va. Code Ann. §59.1-577).
이러한 차이점들은 서로 다른 규제 철학을 강조합니다. 캘리포니아는 소비자의 소송권과 전문화된 집행 인프라를 강조하는 반면, 버지니아는 민감한 데이터에 대한 동의를 우선시하고 규정 준수를 간소화하기 위해 사적 집행을 제한합니다.
참고 문헌:
