CPRA의 ‘판매 또는 공유 금지’에 따라 무엇이 요구되나요?

캘리포니아 개인정보 보호 권리법(CPRA)은 기업이 개인 정보의 판매 및 공유 모두에 대해 명시적인 옵트아웃 옵션을 제공하도록 의무화함으로써 캘리포니아 소비자 개인정보 보호법(CCPA)을 넘어 소비자의 권리를 확대합니다. CPRA는 다음과 같이 명시합니다.

“소비자는 언제든지 소비자에 대한 개인 정보를 제3자에게 판매하거나 공유하는 사업자에게 소비자의 개인 정보를 판매하거나 공유하지 않도록 지시할 권리를 갖는다. 이 권리는 판매 또는 공유를 거부할 권리라고 할 수 있다.” (CPRA §1798.120)

이 개정안은 이중 옵트아웃 메커니즘을 도입하여 개인 데이터 판매에만 초점을 맞춘 이전의 의무를 확장합니다. 공유를 다루도록 한 요구 사항은 상황별 행동 광고를 위한 데이터 공유와 같이 거래적 판매를 넘어 개인 정보가 종종 유포되는 진화하는 데이터 생태계를 반영합니다.

CPRA에 따른 주요 의무는 다음과 같습니다.

• 명확하고 눈에 잘 띄는 링크: 기업은 소비자가 쉽게 접근할 수 있도록 웹사이트에 “내 개인정보 판매 또는 공유 금지” 링크를 눈에 잘 띄게 표시해야 합니다. 이 링크는 스크롤하거나 여러 페이지를 탐색할 필요 없이 보여야 합니다.

• 글로벌 옵트아웃 신호 존중: CPRA는 기업이 Global Privacy Control(GPC)과 같은 글로벌 개인정보 보호 제어 신호를 존중하도록 요구합니다. 이러한 신호는 사용자가 여러 웹사이트에서 판매 또는 공유를 거부하려는 선호도를 나타내는 표준화된 메커니즘 역할을 합니다.

실질적인 효과는 소비자 통제 범위가 더 넓어진다는 것입니다.

• 옵트아웃 메커니즘은 판매 및 공유 모두를 포함해야 합니다.
• 기업은 웹 링크 및 브라우저 신호를 통해 전달되는 사용자 선호도를 감지하고 존중하기 위한 기술적 및 절차적 조치를 구현해야 합니다.
• 이를 준수하지 않을 경우 CPRA에 따라 설립된 캘리포니아 개인정보 보호국(CPPA)의 집행 조치를 받을 수 있습니다.

이러한 이중 옵트아웃 요구 사항은 소비자 인식과 데이터 흐름에 대한 통제가 개인 정보 보호에 매우 중요하다는 점을 강조하는 개인 정보 보호 연구 결과와 일치합니다(Acquisti, Brandimarte, & Loewenstein, 2015). CPRA가 공유를 명시적으로 포함한 것은 판매에 해당하지 않는 데이터 교환이 소비자 통제 밖에 있었던 이전 법률에서 확인된 허점을 해결합니다(Englehardt & Narayanan, 2016).

CPRA의 ‘판매 또는 공유 금지’ 요구 사항 요약:

• 웹사이트에 명확하고 눈에 잘 띄는 “내 개인정보 판매 또는 공유 금지” 링크를 표시합니다.
• 소비자에게 개인 정보의 판매 및 공유 모두를 거부할 수 있는 기능을 제공합니다.
• Global Privacy Control과 같은 글로벌 옵트아웃 선호 신호를 존중합니다.
• 이러한 선택 신호를 실시간으로 준수할 수 있는 시스템을 구현합니다.

이 확장된 프레임워크는 디지털 환경에서 투명성을 강화하고 소비자의 개인정보 보호 권리를 강화하는 것을 목표로 하는 중요한 규제 변화를 반영합니다.