2021년 7월 7일, 콜로라도 주지사 재러드 폴리스는 콜로라도 개인정보보호법(“CPA”)에 서명하여 법으로 제정했습니다. 이로써 콜로라도는 캘리포니아와 버지니아에 이어 포괄적인 개인정보 보호 법안을 제정한 세 번째 주가 되었습니다. 그러나 같은 날 폴리스 주지사는 콜로라도 주 의회를 대상으로 성명을 발표하며, "이 법안을 서둘러 통과시키는 과정에서" 다수의 미해결 문제가 남아 있으며, 향후 콜로라도 주 의회 회기에서 보완 입법이 필요할 것이라고 설명했습니다. 성명에서 폴리스 주지사는 이 보완 입법이 "소비자 보호와 혁신 억제 방지, 그리고 콜로라도의 비즈니스 최적 주로서의 위상 유지 사이에서 적절한 균형을 이루어야 한다"고 촉구했습니다. 또한 콜로라도 법무장관은 2025년 1월 1일 이전에 법안 내용이나 시행 방식을 추가로 변경할 수 있는 규칙을 제정할 수 있습니다. 따라서 이 법은 2023년 7월 1일 시행 전후로 상당한 변경이 있을 가능성이 높아, 해당 법의 적용을 받는 조직들은 지금부터 준수를 위한 작업을 시작할 것인지, 아니면 개정안이 통과될 때까지 기다렸다가 시행일 전에 허둥지둥 준수해야 할지라는 딜레마에 직면하게 됩니다.
현재 제정된 법률은 유럽연합의 일반 데이터 보호 규정(GDPR)과 많은 유사점을 공유하며 캘리포니아주와 버지니아주에서 통과된 포괄적인 개인정보 보호법과도 유사하지만, 몇 가지 중요한 차이점이 존재합니다. 따라서 GDPR 또는 캘리포니아주·버지니아주의 개인정보 보호법 준수가 반드시 현재 버전의 CPA(캘리포니아 개인정보 보호법) 하에서의 준수를 보장하지는 않습니다.
| 공인회계사(CPA): 꼭 알아야 할 사항 | |
|
• CPA는 콜로라도 소비자를 의도적으로 대상으로 삼고 최소 10만 명의 소비자 데이터를 수집·저장하거나 최소 2만 5천 명의 소비자 데이터 판매로 수익을 창출하는 기업에 적용됩니다. 특히 수익 기준은 명시되지 않았습니다. |
|
| 준비하기 위해 해야 할 일 | |
|
법률이 변경될 수 있으므로, 조직은 필요한 자원과 다른 개인정보 보호 체제에서의 잠재적 재사용 가능성 또는 회사에 대한 기타 이점을 고려하여 다음 활동을 우선순위화해야 합니다: • 데이터 매핑 작업을 수행한다. • 개인정보 영향 평가를 수행하십시오. • 회사가 고위험 처리를 수행하는 경우, 사이버 보안 감사 기관을 선임하십시오. • 새 법률 준수를 위한 정책 및 절차 업데이트 • 소비자 권리 준수를 위해 정책을 검토하고 수정하거나 채택합니다. • 개인정보 처리방침을 검토하고 필요 시 수정합니다. • 규정 준수 데이터 처리 부속서를 검토 및 수정하거나 채택하십시오. |
|
공인회계사(CPA) 적용 범위 및 면제 사항
현재 시행 중인 CPA는 "콜로라도에서 사업을 영위하거나 콜로라도 거주자를 대상으로 의도적으로 상업적 제품 또는 서비스를 생산·제공하는" 사업체(이하 "통제자") 중 다음 기준 중 하나 또는 둘 모두를 충족하는 경우에 적용됩니다:
- 해당 관리자는 연간 최소 10만 명의 콜로라도 소비자에 대한 개인정보를 처리하거나 통제합니다. 이는 CCPA(캘리포니아 소비자 개인정보 보호법)의 기준치보다 높지만, 캘리포니아의 새로운 CPRA(캘리포니아 개인정보 권리법) 및 버지니아 CDPA(버지니아 소비자 데이터 보호법)에서 정한 기준치와 동일합니다.
- 컨트롤러는 연간 최소 25,000명의 콜로라도 소비자에 대한 개인정보를 처리하거나 통제하며, 개인정보 판매로 인해 수익을 창출하거나 상품 또는 서비스 가격에 대한 할인을 받습니다. CCPA 및 버지니아 CDPA와 달리 CPA에는 비율 기준이 없으며, 개인정보 판매로 인한 수익이나 할인이 최소한일지라도 이를 충족시키기에 충분할 수 있습니다. 이 기준이 개정 과정에서 유지된다면, 해당 법률 시행 후 이 기준의 적용 여부가 소송의 주요 쟁점이 될 가능성이 높다.
캘리포니아 CPRA와는 달리, 버지니아 CDPA와 마찬가지로 현행 CPA 역시 어떠한 형태의 매출 기준도 두지 않아, 매출 규모는 크지만 개인 데이터 처리가 상대적으로 적은 기업들이 단순히 매출액 때문에 CPA 적용 범위에 얽매이는 것을 방지한다.
현재의 CPA는 콜로라도 거주자로서 개인 또는 가정 차원에서만 활동하는 소비자에 관한 정보에만 적용됩니다. 상업적 또는 고용 관련 맥락(구직자 또는 고용 관련 맥락에서 활동하는 다른 개인의 수혜자 포함)에서 활동하는 개인에 관한 정보에는 적용되지 않습니다. 반면, 고용 및 기업 간 거래 정보는 해당 유형 데이터에 대한 임시 제외 조항이 2023년 1월 1일에 만료되면 캘리포니아 CPRA의 적용을 받게 됩니다. 단, 임시 제외 조항이 연장되거나 해당 정보를 포괄하는 다른 법률이 제정되는 경우는 예외입니다.
본 법률은 "개인 데이터"의 처리에 적용되며, 법률상 "개인 데이터"는 "식별된 개인 또는 식별 가능한 개인과 연결되거나 합리적으로 연결될 수 있는 정보"로 정의됩니다. 다만, 이 정의는 명시적으로 비식별 정보 또는 공개적으로 이용 가능한 정보를 제외합니다. "공개적으로 이용 가능한 정보"는 CPRA와 같은 법률에서 규정하는 것보다 다소 광범위한 제외 범위를 가지며, 정부 기록에서 합법적으로 제공된 정보뿐만 아니라, 데이터 관리자가 소비자가 일반 대중에게 합법적으로 제공했다고 합리적으로 믿을 근거가 있는 정보도 포함합니다. 이는 소셜 미디어에 게시된 정보를 포함할 가능성이 높으나, 제한된 대상에게 게시된 소셜 미디어 정보가 공개적으로 이용 가능한 것으로 간주될지는 불분명합니다.
특정 유형의 기관 및 특정 범주는 CPA 요건에서 면제됩니다. 그램-리치-블라이리법(GLBA)의 규제를 받는 기관은 CPA에서 면제됩니다. 법은 HIPAA에 의해 규제되는 기관을 완전히 면제하지는 않지만, HIPAA 하에서 보호 건강 정보로 간주되는 건강 관련 정보를 비롯해 특정 임상 연구 데이터, 공정 신용 보고법(FCRA), 아동 온라인 개인정보 보호법(COPPA), 가정교육권리 및 개인정보보호법(FERPA), 운전자 개인정보보호법(DPPA)의 적용을 받는 특정 정보 등이 포함됩니다.
소비자 권리
CPA는 콜로라도 소비자에게 개인 데이터와 관련하여 다음과 같은 권리를 제공합니다:
- 접근권. 소비자는 사업자가 자신의 개인정보를 처리하고 있는지 확인할 권리와 자신의 개인정보에 접근할 권리를 가집니다.
- 거부권. 소비자는 타겟팅 광고, 개인정보 판매 또는 자신에게 법적 또는 유사한 중대한 영향을 미치는 결정을 내리기 위한 프로파일링을 목적으로 하는 개인정보 처리에 대해 거부할 권리가 있습니다.
- 정정권. 소비자는 자신의 개인 데이터에 있는 부정확한 내용을 정정할 권리가 있습니다. 다만, 소비자의 개인 데이터 처리의 성격과 목적을 고려해야 합니다.
- 삭제 권리. 소비자는 자신에 관한 개인 데이터를 삭제할 권리가 있습니다.
- 데이터 이동권. 소비자는 연간 두 차례 자신의 개인 데이터를 이동 가능한 형식으로 제공받을 권리가 있습니다. 해당 데이터는 기술적으로 가능한 범위 내에서 소비자가 제3자에게 부담 없이 전송할 수 있도록 즉시 사용 가능한 형식이어야 합니다.
- 이의 제기 권리. 사업자는 소비자보호법(CPA)에 따른 소비자 요청을 접수 후 45일 이내에 응답해야 합니다. 초기 45일 기간 내에 소비자에게 통지하고 연장이 합리적으로 필요한 경우, 이 기한은 추가 45일까지 연장될 수 있습니다. 사업자가 소비자의 요청에 대해 조치를 취하지 않기로 결정한 경우, 소비자에게 해당 결정에 대해 어떻게 항소할 수 있는지 알려야 합니다. 항소 절차는 "눈에 띄게 제공"되어야 하며 소비자가 쉽게 이용할 수 있어야 합니다.
관리자는 요청 접수 후 45일 이내에 응답해야 하나, 특정 상황에서는 추가로 45일까지 연장될 수 있습니다. 관리자는 연간 1회까지 무료로 요청된 정보를 제공해야 하나, 12개월 이내 추가 요청에 대해서는 비용을 청구할 수 있습니다. 소비자는 개인정보 처리방침에 명시된 절차에 따라 요청을 제출함으로써 이러한 권리를 행사할 수 있습니다. 개인정보 처리자는 소비자가 이러한 권리를 행사하기 위해 새 계정을 생성하도록 요구할 수 없으나, 기존 계정을 사용하도록 요구할 수 있습니다.
사업상 의무
소비자가 권리를 행사할 수 있도록 허용하는 것 외에도, 개인정보보호법은 개인정보처리자에게 여러 가지 새로운 적극적 의무를 부과합니다.
- 투명성. 개인정보 처리자는 소비자에게 명확하고 의미 있는 개인정보 처리방침을 제공해야 합니다. 해당 고지는 합리적으로 접근 가능해야 하며 다음을 포함해야 합니다: (a) 수집 또는 처리되는 개인정보의 범주; (b) 개인정보 처리 목적; (c) 상기 기술된 소비자 권리 및 그 행사 방법에 대한 설명; (d) 제3자와 공유되는 개인정보의 범주; (e) 개인정보가 공유되는 제3자의 범주.
- 데이터 최소화. 데이터 처리자의 목적에 부합하고 합리적으로 필요한 범위 내에서만 개인 데이터 수집을 제한해야 합니다.
- 목적 제한. 개인정보 처리자는 개인정보 수집 및 처리의 명시적 목적을 명확하고 눈에 띄게 공개해야 합니다. 처리자는 공개된 목적과 합리적으로 필요하거나 부합하지 않는 개인정보 사용에 대해서는 반드시 사전에 소비자의 동의를 얻어야 합니다.
- 주의 의무. 관리자는 저장 및 사용 중 개인 데이터가 무단으로 취득되지 않도록 합리적인 조치를 취해야 합니다. 데이터 보안 관행은 사업의 성격과 처리되는 데이터의 양 및 유형에 적합해야 합니다.
- 불법적 차별 금지. 관리자는 소비자에 대한 불법적 차별을 금지하는 연방 또는 주 법률을 위반하여 개인 데이터를 처리하는 것이 금지됩니다.
- 민감 데이터 처리 동의. 관리자는 소비자의 민감 데이터를 처리하기 전에 동의를 얻어야 합니다. 아동의 민감 데이터를 처리하는 경우, 사업자는 먼저 아동의 부모 또는 법적 보호자의 동의를 얻어야 합니다. 민감 데이터란 인종 또는 민족적 출신, 종교적 신념, 정신적 또는 신체적 건강 상태나 진단, 개인의 성생활 또는 성적 지향, 국적 또는 시민권 상태를 드러내는 개인정보와 더불어, 개인을 고유하게 식별하기 위한 목적으로 처리될 수 있는 유전적 또는 생체 인식 데이터를 의미합니다. 민감 데이터에는 알려진 아동의 개인정보도 포함됩니다.
- 개인정보 판매. 개인정보 처리자는 개인정보 판매 또는 타겟팅 광고를 위한 개인정보 처리에 대해 명확하고 눈에 띄게 공개해야 하며, 소비자에게 해당 활동에 대한 거부권을 행사할 기회를 제공해야 합니다.
- 고위험 처리 활동에 대한 개인정보 보호 평가. 개인정보 처리자가 수행하는 활동이 소비자에게 피해 발생 위험을 높일 경우, 개인정보 처리자는 개인정보 보호 평가를 수행하고 이를 문서화해야 합니다. 해당 활동에는 민감한 데이터 처리, 개인정보 판매, 그리고 프로파일링이 합리적으로 예측 가능한 특정 위험을 초래하는 경우의 타겟팅 광고 또는 프로파일링이 포함됩니다.
- 처리자 및 데이터 처리 계약. 처리자는 관리자를 대신하여 또는 관리자를 위해 개인 데이터를 처리하는 주체입니다. 처리자는 관리자의 지시를 준수해야 합니다. 또한 처리자는 소비자 요청에 대응하는 데 도움을 주고, 보안 및 침해 통지 의무를 이행하는 데 협력하며, 데이터 보호 평가를 수행하는 데 필요한 정보를 제공하는 등 적절한 조치를 취함으로써 관리자가 개인정보보호법상 의무를 이행하도록 지원해야 합니다. 관리자와 처리자는 GDPR과 유사한 조건을 포함한 서면 계약을 체결해야 합니다:
- 처리 목적, 처리 기간 및 처리 대상 개인 데이터 유형을 설명합니다;
- 처리 과정에 관여하는 모든 사람이 비밀 유지 의무를 부담하도록 요구한다;
- 처리자는 유사한 계약에 따라 하위 처리자만을 사용해야 하며, 처리자는 모든 하위 처리자에 대한 책임을 져야 합니다;
- 보안 조치에 대한 책임 배분을 설명합니다;
- 법률에 따라 보존이 요구되지 않는 한, 처리자에게 개인 데이터를 삭제하거나 관리자에게 반환하도록 요구합니다;
- 처리자는 컨트롤러 또는 제3자 감사인의 합리적인 감사 및 검사에 협조하고 기여해야 합니다. 다만, 컨트롤러의 동의가 있을 경우 처리자는 독립적인 감사인을 선임하여 처리자의 정책 및 보안 기준을 적절하고 인정된 통제 기준 또는 프레임워크에 따라 감사할 수 있습니다; 그리고
- 제어자가 규정 준수를 입증하는 데 필요한 모든 정보를 프로세서가 제공하도록 요구합니다.
시행
소비자보호법(CPA)은 소비자에게 사적 소송권이 명시적으로 없다고 규정합니다. 대신, CPA는 주 법무장관과 지방 검사 모두에 의해 집행될 수 있으며, 이들은 주를 대표하거나 주에 거주하는 개인을 대신하여 소송을 제기할 수 있습니다. 2025년 1월 1일까지는 법무장관이 해당 기관에 대해 소송을 제기하기 전에 위반 사항을 시정할 수 있도록 60일의 기간을 부여해야 합니다. 그러나 이 시정 기간은 2025년 1월 1일부로 종료되며, 해당 날짜 이후에는 시정 기간이 제공되지 않습니다.
과태료
법률에는 법정 벌금이 명시되어 있지 않습니다. 그러나 CPA 위반은 기만적 거래 관행으로 간주되며, 콜로라도 소비자 보호법에 따라 검찰총장의 소송 시 위반 건당 최대 2,000달러(총 50만 달러 한도)의 벌금이 부과될 수 있으며, 개별 소비자가 제기한 소송의 경우 최소 500달러의 벌금이 부과됩니다. 콜로라도 소비자들이 캘리포니아에서 그랬던 것처럼 CPA 위반을 소송하기 위한 우회로로 콜로라도 소비자보호법을 활용하려 할지는 불분명하다.
결론
현재 시행 중인 CPA는 해당 법률의 적용을 받을 수 있는 조직에 상당한 의무를 부과하지만, 캘리포니아의 CCPA 또는 CPRA, 혹은 GDPR 준수를 위해 노력해 왔거나 현재 노력 중인 조직들은 그러한 노력과 해당 법률에 따라 채택된 정책 및 절차 간 상당한 중복성을 발견할 것입니다. 그러나 캘리포니아, 버지니아 또는 유럽과 같은 다른 유사한 개인정보 보호법의 적용을 받지 않았던 조직들은 준수를 위해 상당한 자원을 투입해야 할 수 있습니다. 폴리스 주지사의 개정 요청으로 인한 법률의 불확실성으로 인해 기업들은 아직까지 준수를 위한 작업을 진행할 수 없는 상황입니다. 법률이 변경될 가능성이 있으므로, 조직들은 상당한 시간이 소요될 가능성이 높고 다른 개인정보 보호 체제에서도 재사용될 수 있거나 성숙한 개인정보 보호 프로그램에 일반적으로 적용 가능한 다음과 같은 활동들을 우선시해야 합니다:
- 데이터 매핑을 수행하여 조직이 저장하는 데이터의 유형, 사용 목적 및 모든 데이터가 필요한지 여부를 파악하십시오.
- 개인정보 영향 평가를 수행하십시오.
- 고위험 처리 업무에 대해 독립적인 사이버 보안 감사 기관과의 협의를 시작하십시오.
- CPA의 새로운 요구사항 및 의무를 준수하기 위해 정책과 절차를 업데이트하십시오.
- 소비자가 새로운 권리를 행사할 수 있도록 비즈니스 프로세스 개발을 시작하십시오.
- 조직이 CPA 요건을 준수하는 합리적으로 접근 가능하고 명확하며 의미 있는 개인정보 처리방침을 갖추도록 보장하십시오.
- 제3자 데이터 처리업체와의 비즈니스 관계를 검토하여 각 당사자의 역할과 잠재적 요구 사항을 파악하십시오.
- 제3자와 계약 시 사용하기 위해 CPA(개인정보보호법)에서 요구하는 조항을 포함한 개인정보 보호 부칙을 작성하고 채택한다.
콜로라도 개인정보 보호법 및 관련 요건에 대한 자세한 내용은 아래 기재된 저자 중 한 분 또는 폴리 법률사무소 사이버 보안 실무 그룹의 파트너 또는 선임 변호사 핵심 구성원에게 문의하시기 바랍니다.
