[개인정보 A to Z] "내 정보 팔지 마시오!" 캘리포니아주 소비자 프라이버시법(CCPA)이 주목받는 이유

데이터가 곧 경쟁력이 되는 세상,
지금은 '제4차 산업혁명 시대'입니다.
생년월일, 소셜미디어 계정 등 우리의 다양한 개인정보들이
여러 서비스에서 데이터로 활용되고 있는데요.
그에 발맞춰 개인정보보호 정책을 강화해야 한다는 목소리도 나옵니다.
이런 가운데, 해외의 한 개인정보보호법이 큰 주목을 받고 있습니다.

 

올해 1월 1일, 미국 캘리포니아주에서 새로운 주법(State Law)이 시행되었습니다. '캘리포니아주 소비자 프라이버시법(The California Consumer Privacy Act)'이라는 것입니다. 영어 명칭의 앞글자를 딴 'CCPA'라는 약칭으로도 불립니다. 프라이버시법이란, 명칭 그대로 캘리포니아주 거주민들의 프라이버시를 위한 법을 가리킵니다. 즉 개인정보보호법이죠. CCPA는 연방법(Federal Law)이 아닌 주법이라서, 캘리포니아주 안에서만 효력을 갖습니다. 그런데 이 법이 세계 여러 곳의 주목을 받고 있어요. 그 이유를 지금부터 알아보겠습니다.

미국의 한 개인정보 보호법이 지금 주목받고 있습니다. 법 이름도 직관적이에요. '캘리포니아주 소비자 프라이버시법'입니다.

l 개인정보 주체인 소비자들, 5가지 강력한 권리를 갖다

CCPA는 2018년 제정되었습니다. 이미 그때도 세간의 관심을 모았죠. 앞서 언급했듯 법 시행은 올 1월 1일부터였습니다. 7월부터는 본격적인 집행에 들어가게 되고요. 여기서 말하는 '집행'이란, 이 법에 대한 캘리포니아주 법무부 장관의 집행권이 발동한다는 뜻입니다. 따라서 7월로 접어들고 시간이 점차 흐르면 CCPA 위반 및 처벌 판례가 나올 것이고(물론 안 나와야 좋겠지만요), 이는 세계 각국의 개인정보보호법 관련 판결에 영향을 미칠 수 있어요.

CCPA가 왜 세간의 관심을 모았는지 아직 얘기를 안 했군요. 이유는 간단합니다. 개인정보보호법으로서는 드물게 대단히 엄격하기 때문이에요. 처벌 규정이 강력해서라기보다는, 소비자들―자신의 개인정보를 사업자에게 제공하는 사람들―에게 막강한 권한을 주었다는 의미에서 '엄격'합니다.

CCPA는 개인정보와 관련하여 소비자에게 부여하는 5가지 종류의 데이터 프라이버시 권리를 열거하고 있음. 이러한 권리는 사업자에게 다양한 의무를 부여함. - 알 권리(right to know), 접근권(right to access), 삭제권(right to deletion), 거부권(right to opt out), 서비스 평등 권리(right to equal service) 등임. * 김성천, 「미국 캘리포니아주 소비자 프라이버시법(CCPA)의 주요 내용과 시사점」, 『소비자 정책 동향』 제93호(2018. 9. 28.), 한국소비자원, 9쪽 / 출처: 한국소비자원 홈페이지(바로 가기)

캘리포니아 거주민들의 개인정보(데이터)를 활용하는 사업자들은 반드시 위 5가지 프라이버시 권리를 준수해야 합니다. 소비자들이 자신들의 개인정보가 어떻게 쓰이는 알게 해줘야 하고, 그 정보에 접근할 수 있게 해줘야 하고, 사업을 위해 수집된 개인정보를 해당 정보 주체가 원한다면 삭제해줘야 하고, 소비자가 자기 개인정보를 제삼자에게 판매되는 걸 거부한다면 그대로 따라야 하며, 이 같은 권리들을 행사했더라도 해당 소비자에게 제공되는 서비스 품질은 다른 소비자들과 차등이 없어야 한다는 것! 개인정보 주체인 소비자들에게 정말 강력한 권리가 부여된 것이죠. 사업자가 이 권리들을 지키지 않으면 당연히 법적 제재가 따릅니다.

CCPA는 입증된 소비자 피해가 없더라도 잠재적으로 상당한 벌칙이 기업에 부과될 수 있도록 허용하고 있고, 캘리포니아주 법무부 장관에게 광범위한 시행 권한을 부여하고 있음. * 위의 글, 9쪽

 

캘리포니아 하면 왠지 로스앤젤레스, 영화 <라라랜드>, 할리우드가 떠오르는데요. 이젠 '개인정보보호의 도시'로 기억될 지도 모르겠습니다.

ㅣ 소비자들, "내 개인정보를 팔지 마!"라고 당당히 외치게 되다

앞서 살펴본 5가지 프라이버시 권리 중, '거부권'에 대해 좀 더 살펴보겠습니다. CCPA는 소비자들의 거부권 행사 방식을 매우 구체적으로, 그리고 굉장히 확고하게 규정하고 있어요. 이렇게 말입니다.

사업자는 웹페이지에 소비자의 '거부권(right to opt-out)'을 반드시 명시해야 한다: "내 개인정보를 판매하지 마시오" 또는 "내 정보 팔지 마시오"라는 문구를 웹페이지에 띄우고, 해당 문구를 소비자들이 클릭하면 '거부권'에 대한 공지문을 확인 또는 다운로드할 수 있도록 한다. 모바일 애플리케이션의 경우, 해당 문구를 누르면 랜딩 페이지로 넘어갈 수 있게 한다. A business shall post the notice of right to opt-out on the Internet webpage to which the consumer is directed after clicking on the "Do Not Sell My Personal Information" or "Do Not Sell My Info" link on the website homepage or the download or landing page of a mobile application. * CCPA 법 조항 원문 중 '거부권' 관련 부분 발췌 / 출처: 캘리포니아주 법무부 홈페이지(바로 가기)

 

여기서 중요한 것은, 위 규정이 단지 개인정보 판매 거부권을 '설명'하는 데서 그치는 게 아니라는 점이에요. 소비자들이 실제로 거부권을 행사할 수 있는 기능까지 제공해야 한다는 것이 핵심입니다. 여기에 더해 CCPA는 "내 개인정보를 판매하지 마시오"나 "내 정보 팔지 마시오"라는 문구가 "명확하고 눈에 띄는 링크(clear and conspicuous link)"의 형태로 소비자들에게 제공돼야 한다는 부분까지 명시해 놓았어요. 소비자들의 목소리를 기업이 앞장서서 보장하게끔 법제화해놓은 셈이죠.

한 사람 한 사람의 개인정보가 '빅데이터'라는 대명사로 묶여 보이지 않게 된다면, 그래서 제대로 보호받지 못한다면 안 되겠죠? 그래서 개인정보보호법은 이제 일반 시민들에게도 큰 사안이 됐습니다.

 

이렇듯 CCPA는 그 엄격한 법 규정으로 인해 주목받고 있습니다. 소비자들뿐 아니라 기업들, 그리고 법학자들에게도 큰 이슈라 할 수 있죠. 제4차 산업혁명 시대의 또 다른 이름이 '데이터 경제 시대'라고 하죠. 그런 만큼, 소비자들의 데이터, 즉 개인정보를 다루기 위한 법적 토대 마련도 중요해졌으니까요. 캘리포니아주 소비자 프라이버시법은 과연 어떤 영향을 미치게 될까요. 부디 우리의 소중한 개인정보가 더욱 안전하게 관리되는 데 일조해주었으면 좋겠습니다.