CCPA에서 '판매'란 무엇인가요?

캘리포니아 소비자 개인정보 보호법(CCPA)은 소비자 개인 정보의 맥락에서 “판매”에 대한 광범위한 정의를 확립합니다. 법령에 따르면 판매란 소비자의 개인 정보를 다른 기업이나 제3자에게 “금전적 또는 기타 가치 있는 대가”를 받고 “판매, 대여, 공개, 누설, 유포, 제공, 이전 또는 기타 방식으로 전달”하는 모든 행위를 의미합니다(Cal. Civ. Code § 1798.140(t)(1)). 이 법적 용어는 전통적인 판매 개념을 넘어 비금전적 이익을 포함한 가치와 교환되는 모든 이전이나 공유를 포괄하는 것으로 특히 확장됩니다.

법적 용어를 분석하면 몇 가지 핵심 사항을 알 수 있습니다.

• “판매”라는 용어는 대가가 반드시 금전적일 필요는 없으며 “기타 가치 있는 대가”일 수 있는 이전을 포함합니다.
• “제3자”로 간주되는 수령인은 정보를 수집하는 사업체 자체를 제외한 모든 법인입니다.
• 이 법은 “판매”를 직접적인 거래에 국한하지 않으며, 간접적인 이전과 공개도 포함합니다.

CCPA 내에 “대가”에 대한 명시적인 정의가 없어 그 해석은 일반 계약법 원칙과 캘리포니아 민법에 의존하게 됩니다. 이러한 모호함으로 인해 기업들, 특히 디지털 광고 및 분석 서비스 제공업체들 사이에서 서로 다른 이행 방식과 위험 평가가 이루어지고 있습니다.

규정 준수 관행에 대한 실증적 검토는 다음을 보여줍니다.

• 많은 기업들이 직접적인 금전 지불이 없더라도 마케팅 도구나 분석 서비스에 대한 접근을 위해 사용자 데이터를 교환하는 것을 고려하여, 광고 네트워크나 데이터 브로커와 데이터를 공유하는 것을 “판매”로 해석합니다.
• 법률 고문은 정보 공유와 관련된 가치 교환이 있을 경우, 안전을 위해 옵트아웃(거부) 메커니즘을 제공하는 편이 낫다고 조언하는 경우가 많습니다.
• CCPA는 기업이 소비자에게 이러한 판매를 거부할 명확한 권리를 제공하도록 요구하며, 가장 눈에 띄게는 “개인정보 판매 금지” 링크 또는 이와 동등한 메커니즘을 통해 이루어집니다(Cal. Civ. Code § 1798.135(a)(1)).

이해관계자의 대응은 다음과 같습니다.

• 전용 옵트아웃(거부) 웹 페이지 및 쿠키 배너 구현.
• 개인 정보의 사용 및 추가 이전에 관해 제3자와의 계약 심사 강화.
• CCPA의 정의에 따라 판매에 해당할 수 있는 사례를 식별하기 위한 데이터 흐름의 내부 추적 강화.

전반적으로 CCPA의 판매 정의는 직접적인 금전 지불 여부와 관계없이 제3자 접근을 포함하는 수많은 일반적인 데이터 관행으로 확장됩니다. 필수적인 옵트아웃(거부) 메커니즘을 통한 소비자 선택에 대한 법적 강조는 기업 운영 및 개인정보 보호 준수 전략에 실질적인 영향을 미쳤습니다. 사법 및 규제 해석이 발전함에 따라 CCPA에 따른 판매의 범위는 활발한 법적 발전 영역으로 남아 있습니다.