CPRA란 무엇인가요?

캘리포니아 개인정보 보호 권리법(CPRA)은 2023년 1월 1일부터 발효된 캘리포니아 소비자 개인정보 보호법(CCPA)의 연장선이자 강화된 버전입니다. CPRA 시행 이후 관찰된 주요 결과와 영향은 다음과 같습니다.

• 소비자 권리 확대:
  CPRA는 네 가지 새로운 소비자 권리를 도입합니다.

  1. 부정확한 개인 정보 수정 권리
  2. 민감한 개인 정보의 사용 및 공개 제한 권리
  3. 자동화된 의사 결정 기술 거부 권리
  4. 자동화된 의사 결정에 관한 정보 접근 권리
     이러한 권리는 캘리포니아의 개인정보 보호 체제를 EU의 GDPR에 더 가깝게 만들어 개인이 자신의 데이터를 더 잘 통제할 수 있도록 합니다.

• 규제 대상 사업체의 범위 확대:
  CPRA는 다음과 같은 방법으로 규제 준수 대상 사업체의 기준을 낮춥니다.

  • 연간 소비자 데이터 처리 최소 기준 하향 조정
  • 개인 정보 판매뿐만 아니라 공유를 통해 수익을 창출하는 사업체 포함
  • 특정 합작 투자 및 파트너십을 포함하도록 “사업체”의 정의 확장
    이러한 범위 확대로 강력한 개인정보 보호 통제 장치를 구현해야 하는 주체의 수가 증가합니다.

• 제3자 사용에 대한 책임 강화:
  이 법은 제3자, 서비스 제공업체 및 계약업체와 개인 데이터를 공유하는 사업체에 새로운 계약 요건과 실사 의무를 부과합니다. 사업체는 이러한 당사자들이 동등한 수준의 개인정보 보호를 유지하도록 보장해야 하며, 이는 연쇄적인 규제 준수 효과를 창출합니다.

• 민감한 개인 정보 카테고리:
  “민감한 개인 정보”(SPI)에 대한 새로운 카테고리가 도입되었으며, 여기에는 사회 보장 번호, 정확한 지리적 위치, 건강 및 생체 인식과 같은 데이터가 포함됩니다. 소비자는 SPI의 사용 및 공개를 제한할 명시적인 권리를 가지며, 이는 더욱 세분화된 개인정보 보호 통제로의 중요한 전환을 의미합니다.

• GDPR과 유사한 동의 및 투명성 요건:
  CPRA는 더 명확한 동의 메커니즘, 개인정보 처리방침의 투명성 향상, 민감한 데이터 처리에 대한 강화된 의무를 규정합니다. 이러한 요건은 캘리포니아 법과 GDPR 원칙 간의 수렴되는 표준을 반영합니다.

전반적으로 CPRA는 캘리포니아에서 사업을 운영하는 기업들이 더 엄격한 개인정보 관리 관행을 구현하고, 강화된 소비자 통제 장치를 채택하며, 증가된 규제 감독에 대비하도록 강제합니다. 이 법의 GDPR과 유사한 요소들은 미국과 유럽의 개인정보 보호 프레임워크가 조화를 이루는 추세를 보여줍니다.