California Privacy Rights Act의 프로파일링이란 무엇인가?

California 개인정보 보호법(CPRA)에 따른 프로파일링은 “자연인과 관련된 특정 개인적 측면을 평가하고 특히 해당 자연인의 업무 성과, 경제 상황, 건강, 개인적 선호, 관심사, 신뢰성, 행동, 위치 또는 이동에 관한 측면을 분석하거나 예측하기 위한 ... 모든 형태의 개인정보 자동 처리”로 명시적으로 정의됩니다(Cal. Civ. Code § 1798.140(z)). 이 법적 언어는 프로파일링이 한 가지 유형의 데이터에 국한되지 않고 자동 분석의 대상이 되는 광범위한 개인적 특성을 포함한다는 점을 명확히 합니다.

CPRA에 따른 프로파일링과 관련된 소비자 권리는 그 범위와 구체성에서 주목할 만합니다. 이 법은 개인의 특성을 평가하거나 예측하기 위해 데이터의 자동 처리를 기반으로 하는 프로파일링 결정에 대해 개인이 거부할 권리를 부여합니다. 언급된 프로파일링의 범주는 다음과 같습니다.

• 업무 성과
• 경제 상황
• 건강
• 개인적 선호 및 관심사
• 신뢰성
• 행동
• 위치 및 이동

이러한 권리가 비즈니스에 미치는 운영상의 영향은 상당합니다. CPRA의 적용을 받는 조직은 데이터 처리 작업에서 프로파일링 활동을 식별하는 메커니즘을 구현하고 소비자가 거부권을 행사할 수 있는 명확한 방법을 제공해야 합니다. 여기에는 프로파일링을 정의하고 그 사용을 설명하기 위해 개인정보처리방침을 업데이트하는 것뿐만 아니라, 거부권을 행사한 소비자에 대한 프로파일링을 중단하기 위한 기술적 통제를 유지하는 것이 포함됩니다.

프로파일링에 대한 CPRA의 접근 방식 결과는 자동화된 의사 결정의 투명성과 소비자 자율성에 대한 강조가 증가했음을 나타냅니다. 기업은 프로파일링의 존재를 공개할 뿐만 아니라 그러한 데이터 관행에 대한 소비자 선호를 존중해야 합니다. 이 법의 요구 사항은 알고리즘 예측 및 분류에 대한 개인의 통제를 강화하는 방향으로의 전환을 반영하며, 이는 미국 개인정보 보호법의 중요한 규제 발전입니다(Greenleaf, 2023; California 법무장관실, 2023).

주요 결과:

• CPRA에 따른 프로파일링은 광범위하게 정의되며 광범위한 개인적 특성을 다룹니다.
• 소비자는 자동화된 프로파일링에 대해 명시적인 거부권을 가집니다.
• 기업은 명확한 고지와 실행 가능한 거부 메커니즘을 제공해야 합니다.
• 자동화된 데이터 처리에서 투명성과 소비자 선택에 대한 규제 초점이 있습니다.

CPRA의 프로파일링 조항은 캘리포니아 개인정보 보호법 체계 내에서 알고리즘 평가 및 예측을 위한 개인 데이터 사용을 규제하는 데 있어 의미 있는 단계를 나타냅니다.