CPRA에서 ‘공유’란 무엇인가요?

캘리포니아 개인정보 보호 권리법(CPRA)은 개인정보 “공유”의 개념을 재정의하고 확장하며, 이는 주로 교차 컨텍스트 행동 광고의 맥락에서 이루어집니다. 법률 조항은 “공유(share, shared, or sharing)”를 다음과 같이 명시합니다: “금전적 또는 기타 유가적 대가 여부와 관계없이 교차 컨텍스트 행동 광고를 위해 기업이 소비자의 개인 정보를 구두, 서면, 전자 또는 기타 수단으로 제3자에게 대여, 공개, 누설, 배포, 제공, 이전 또는 달리 전달하는 것”(Cal. Civ. Code § 1798.140(ah)(1)). 이는 주로 금전적 대가를 위한 데이터 이전을 “판매”로 간주했던 캘리포니아 소비자 개인정보 보호법(CCPA)을 넘어선 중요한 확장입니다.

CPRA의 정의를 분석하면 다음을 알 수 있습니다.

• “공유”는 제3자에게 개인정보를 전달하거나 이전하는 모든 행위를 포함합니다.
• 이전의 목적, 특히 교차 컨텍스트 행동 광고를 위한 것이 핵심입니다. 이러한 광고는 다양한 비즈니스, 웹사이트, 애플리케이션 또는 서비스에 걸친 소비자의 활동을 기반으로 소비자를 타겟팅하는 것으로 정의됩니다.
• 금전적 가치에 대한 요구사항은 없으며, 유가적 대가 또는 대가가 전혀 없는 경우도 해당됩니다.
• 소비자가 의도적으로 상호작용하지 않는 경우, 데이터를 수신하는 주체는 “제3자”로 간주됩니다(Cal. Civ. Code § 1798.140(ai)).

운영상의 시사점을 검토한 결과는 다음과 같습니다.

• 기업은 결제 여부와 관계없이 표적 광고를 위한 정보 공개를 “공유”로 취급해야 합니다.
• 소비자의 권리가 직접적으로 관련되며, 개인은 CPRA에 따라 이러한 “공유”를 거부할 수 있습니다(Cal. Civ. Code § 1798.120(a)).
• 규정 준수를 위해 기업은 이러한 데이터 관행에 대해 소비자에게 명확한 고지와 거부 메커니즘을 제공해야 합니다.

CPRA 하에서 “판매”와 “공유”의 구분은 실제적으로 명확해집니다. “판매”는 가치를 대가로 교환되는 데이터와 관련이 있는 반면, “공유”는 특히 교차 컨텍스트 행동 광고를 위한 더 넓은 범위의 공개를 포함합니다. 기업은 제3자 광고와 관련된 경우 거래를 비금전적인 것으로 구성하여 의무를 회피할 수 없습니다.

요약하자면, CPRA의 “공유”에 대한 처리는 디지털 광고 생태계에서 소비자 보호와 투명성을 강화하는 방향으로의 전환을 반영합니다. 표적 광고를 위한 제3자 데이터 이전은 금전 거래 여부와 관계없이 규제 당국의 정밀 조사를 받게 됩니다. 이는 조직이 데이터 흐름을 재평가하고 그에 따라 규정 준수 전략을 조정하도록 강제합니다(IAPP, 2023; Cal. Civ. Code § 1798.140).