Breaking
사이버 보안(Cybersecurity)
고객 개인 정보 법안 CCPA 적용 초읽기, 기업들은 여전히 '어리둥절'
2019-05-28 17:29:42
유수연
▲CCPA는 고객의 개인 정보에 대한 소유권, 통제권 및 보안을 약속하기 때문에 기업에 강력하게 요구한다(사진=ⓒ셔터스톡) 

[라이헨바흐=유수연 기자] 캘리포니아소비자개인정보보호법(CCPA) 시행 시기가 1년이 채 남지 않은 상황에 몰이해와 모호함에 잡음이 생기고 있는 실정이다. 

법안이 실시 되면 기업들은 사이버 보안 준수, 특히 고객의 개인 정보 저장과 관련한 보안 규정에 더 많이 신경을 써야 할 것이다. 그러나 CCPA가 시행되어도 회사들은 일반 정보 보호 규정(GDPR)을 준수하면 큰 문제가 없다고 한다.

국제 개인 정보 보호 전문가 협회장 트레버스 휴즈는 "사실, CCPA는 GDPR과는 분명이 다르다"며 "GDPR는 대상의 범위가 넓고 비즈니스에서 공공 기관 및 비영리 부문에 이르는 모든 조직에 적용되지만, CCPA는 개인 정보 그 자체가 주목을 받을 자격이 있다"고 전했다. 
 

입법에 수반되는 것 

CCPA는 고객의 개인 정보에 대해 소유권, 통제권 및 보안을 약속하기 때문에 기업에 강력하게 요구한다.  

이 법안은 '어떤 개인 정보가 수집되고 있는지 알 권리'에 명시된 바와 같이 기업이 고객에게 자신과 가족, 특히 데이터 소유자의 자녀와 개인적인 장치에서 어떤 개인 정보 항목을 수집하는지 알 권리를 제공하는 것을 목표로 한다. 

또한 회사가 개인 정보를 제 3 자에게 공유하거나 판매하는 경우 고객에게 알릴 의무을 부여한다. 이 데이터의 소유자가 회사의 결정을 수용하지 않으면 '개인 정보 판매에 대해 거절할 권리'에 명시된 바와 같이, 고객은 거절의 선택권이 있다. 

그리고 회사가 개인 데이터를 판매하지 못하게 함으로써 회사가 사람들을 식별되지 못하도록 보호한다.  

고객에게 제품 및/또는 서비스를 제공하는 회사는 고객이 회사의 서비스에 접속하는 것을 거부할 권리가 없으며 '동등한 서비스와 가격에 대한 권리'에 명시된 바와 같이 고객이 개인 정보를 제3자에게 공유하거나 판매하지 못하도록 하는 경우, 회사는 고객에게 제공한 서비스의 품질을 변경하거나 추가 비용을 부과할 수 있다. 

결국, CCPA는 모든 기업이 '합리적인 보안 조치'를 이행해 데이터베이스에 저장된 고객의 개인 정보를 보호해야 한다. 여기에는 기업이 명시된 내용을 무시하는 경향이 있는 과거의 사례 때문에 기업은 더 엄격한 준수가 수반된다.  

법에 위배 되는 행위를 하는 사업체에 대해서는 벌금과 불이익이 부과된다. 법안 번호 1798.81.5는 사업체가 정보를 유지하거나 승인, 또는 소유하는 경우, 정보의 성격에 맞는 실질적인 사이버 보안 조치를 이행해야 한다고 명시한다. 이는 데이터 소유자의 동의 없이 데이터가 부적절하게 접속, 파괴, 오용, 수정 및 노출되지 않도록 보장하기 위함이다. 

▲CCPA는 회사가 고객의 개인 정보를 제 3 자에게 공유하거나 판매하는 경우, 고객에게 알릴 의무가 있다(사진=ⓒ셔터스톡)

기업들은 어떤 말을 해야 하나 

SC 미디어에 따르면, CCPA의 가치에도 불구하고 여전히 일부 회사에서는 이를 등한시하고 있다.  

차량 호출 어플리케이션 회사 우버의 개인정보 최고 책임자인 루비 제포는 개인정보 전문가들이 회사의 발전을 어렵게 하는 이 법규의 용어와 목적을 아직도 잘 모른다고 주장한다. 이는 해석에서 누락됐거나 오해된 CCPA의 일부 조항 때문인데, 제포가 이 법규에서 논의되지 않았다고 언급한 개인 데이터와 가족 데이터의 차이를 말한다. 

링크드인의 전무 이사이자 글로벌 개인정보 책임자인 캘린다 레이나는 CCPA를 브라질과 인도, 심지어 미국의 일부에서 유럽의 규정을 빼다 박은 것과 같은 유사한 데이터 보호 법률이 적용되는 'GDPR 법률의 세계화'라고 부른다.  

그러나 레이나는 제포와는 달리, 모든 조직이 준수해야 하는 전 세계 데이터 보안 조치의 포화로 인해 법안이 잘 조화를 이루고 있지 않다고 말했다.  

제포는 일반적인 접근법을 수립하는 가이드가 연구되어야 한다고 주장한다. 기업들이 신속하게 실행할 수 없고 중소 규모 기업은 이것을 알아낼 수 있는 자원이 아직 없기 때문이다. 

레이나는 미국은 곧 유사한 모든 주의 법을 포함하는 CCPA와 같은 지역의 정보 보호법을 연방법으로 적용해야 할 것이라고 믿고 있다. 

[라이헨바흐=유수연 기자]