2024년 1월 16일, 뉴저지 주지사 필 머피는 상원 법안(SB) 332에 서명하여 뉴저지 소비자 데이터 개인정보 보호법인 뉴저지 데이터 개인정보 보호법(NJDPA)을 제정하였으며, 이는 2025년 1월 15일부터 시행될 예정이다. 이 법안은 뉴저지를 2024년 포괄적 개인정보 보호법을 시행하는 첫 번째 주로 만들었으며, 유사한 법률을 가진 다른 13개 주와 어깨를 나란히 하게 되었습니다. 연방 차원의 입법이 당분간 지연될 전망인 가운데, NJDPA는 주 차원에서 소비자 개인 데이터 보호 강화에 대한 전국적 관심이 커지고 있음을 상징합니다.
뉴저지 소비자 데이터 보호법(NJDPA)은 캘리포니아 개인정보 보호법(CPRA), 콜로라도 개인정보 보호법(CPA), 버지니아 소비자 데이터 보호법(CDPA) 등 다른 포괄적인 주 개인정보 보호법과 많은 유사점을 공유하지만, 동시에 상당한 차이점도 존재합니다. 따라서 기존 소비자 데이터 개인정보 보호법 준수는 NJDPA 요건을 충족시키기에 충분하지 않을 수 있으며, 기업들은 각 주가 채택한 고유한 요건과 접근 방식을 준수해야 합니다.
적용 범위 및 예외 사항
적용 기준
NJDPA는 "뉴저지에서 사업을 영위하거나 뉴저지 주민을 대상으로 한 제품 또는 서비스를 생산하는" 모든 사업체(관리자)에 적용되며, 해당 연도 동안 다음 기준 중 하나를 충족하는 경우에 해당됩니다:
- 뉴저지주 소비자 100,000명 이상의 개인정보를 처리하거나 관리하는 경우(단, 결제 거래 완료 목적으로만 처리되거나 관리되는 데이터는 제외), 또는
- 뉴저지주 소비자 25,000명 이상의 개인정보를 처리하거나 관리하며, 개인정보 판매를 통해 수익을 창출하거나 상품 또는 서비스 가격에 대한 할인을 받는 경우.
특히, 콜로라도주 개인정보보호법(CPA)과 마찬가지로 뉴저지주 개인정보보호법(NJDPA)은 기업이 데이터 판매로 얻어야 하는 수익 비율에 대한 수익 기준을 제시하지 않습니다. 현재 대부분의 다른 주 개인정보 보호법은 일반적으로 기업이 연간 수익의 25%에서 50%를 개인 데이터 판매로 창출하는 경우에만 적용됩니다. 또한 NJDPA의 적용 여부는 어떠한 형태의 수익 기준도 포함하지 않으므로, 개인 데이터 처리가 최소한인 기업은 수익이 높더라도 해당 법률의 적용을 받지 않을 수 있습니다.
개인 데이터
NJDPA는 사업체 또는 "관리자"가 "개인 데이터"를 처리하는 경우에 적용되며, "개인 데이터"는 "식별된 또는 식별 가능한 개인과 연결되거나 합리적으로 연결될 수 있는 정보"로 정의됩니다. 개인 데이터에는 명시적으로 비식별화된 데이터 및 공개적으로 이용 가능한 데이터가 제외됩니다.
소비자 데이터 대 상업용 데이터
중요한 점은, 뉴저지 소비자 개인정보 보호법(NJDPA)이 소비자 데이터와 고용 또는 상업적 데이터 사이에 명확한 경계를 설정한다는 것입니다. NJDPA는 "소비자"에 관한 정보에만 적용되며, 소비자는 뉴저지 거주자로서 개인 또는 가정 차원에서만 행동하는 자로 정의됩니다. 따라서 NJDPA는 캘리포니아의 CPRA를 제외한 대부분의 주 개인정보 보호법과 마찬가지로, 취업 지원자나 취업 맥락에서 행동하는 다른 개인의 수혜자 등 상업적 또는 고용 맥락에서 행동하는 개인에 관한 정보에는 적용되지 않습니다.
면제
뉴저지 개인정보 보호법(NJDPA)에는 현재 일반적으로 적용되는 많은 예외 조항이 포함되어 있으며, 여기에는 주 정부 기관 및 건강보험 이동성 및 책임법(HIPAA), 그램-리치-블라이리법(GLBA), 공정 신용 보고법(FCRA)에 의해 규제되는 데이터가 포함됩니다. 그러나 뉴저지주 개인정보보호법(NJDPA)에는 HIPAA 규제 기관에 대한 기관 면제 조항이나 비영리 단체 또는 고등교육기관(또는 FERPA 적용 대상 교육 데이터)이 처리하는 면제 데이터에 대한 조항은 포함되어 있지 않습니다.
또한 앞서 언급한 바와 같이, NJDPA의 개인정보 정의는 비식별화 데이터 및 공개적으로 이용 가능한 데이터를 명시적으로 제외합니다. NJDPA의 비식별화 데이터에 대한 접근 방식은 버지니아 CDPA와 유사하며, 관리자에게 데이터를 비식별화 상태로 유지하겠다는 "공개적 약속"을 요구하고, 데이터 수령자에게 동일한 준수를 계약상 의무화하도록 규정합니다. 따라서 NJDPA 적용 대상 기업은 비식별화된 데이터 공유와 관련된 계약을 검토하고 수정해야 할 수 있습니다. 또한 NJDPA의 "공개적으로 이용 가능한 정보" 정의는 CPRA와 같은 법률보다 더 광범위하여, 정부 기록에서 합법적으로 제공된 정보뿐만 아니라 관리자가 소비자가 일반 대중에게 합법적으로 제공했다고 합리적으로 믿을 근거가 있는 정보도 포함합니다.
사업상 의무
NJDPA는 개인정보 처리자에게 여러 의무를 부과합니다. 이러한 의무는 기업이 개인정보를 책임감 있고 투명하게 처리하도록 보장하기 위해 마련되었습니다.
투명성
다른 소비자 데이터 개인정보 보호법과 마찬가지로, 개인정보 처리자는 소비자에게 합리적으로 접근 가능하고 명확하며 의미 있는 개인정보 처리방침을 제공해야 합니다. 개인정보 처리방침에는 다음 정보가 포함되어야 합니다:
– 처리되는 개인 데이터의 범주.
– 개인정보 처리 목적.
– 데이터가 공개되는 제3자의 범주.
– 소비자가 법률에 따라 권리를 행사하는 방법(아래 소비자 권리참조 ).
– 개인정보 처리방침의 중요한 변경 사항을 소비자에게 알리는 방법.
– 문의용 능동형 전자 연락 방법
개인정보 처리자가 개인정보를 제3자에게 판매하거나 타겟팅 광고 또는 프로파일링 목적으로 개인정보를 처리하는 경우, 개인정보 처리방침에 그러한 판매 또는 처리를 명확하고 눈에 띄게 공개해야 합니다. 또한 소비자가 그러한 판매 또는 처리에서 제외될 수 있는 방법을 설명해야 합니다. 개인정보 처리자는 소비자가 판매, 타겟팅 광고 또는 프로파일링을 위한 처리에서 제외되기를 선택한 것을 이유로 차별하는 것이 금지됩니다.
보편적 선택 거부 메커니즘
뉴저지 개인정보 보호법(NJDPA) 시행일로부터 6개월 후부터, 타겟팅 광고, 개인정보 판매 또는 프로파일링 목적으로 개인정보를 처리하는 모든 관리자는 소비자가 사용자 선택형 통합 거부 메커니즘을 통해 해당 처리를 거부할 수 있도록 허용해야 합니다. 캘리포니아주와 콜로라도주는 이미 이러한 목적을 위해 일반 개인정보 제어(GPC) 브라우저 신호 사용을 승인했습니다.
특정 처리에 대한 동의 획득
처리자는 민감한 데이터를 처리하기 전에 명시적 동의(옵트인 방식)를 얻어야 합니다. 여기에는 다음이 포함됩니다: * 금융 정보(소비자의 계좌 번호, 계정 로그인 정보, 금융 계좌, 신용카드 또는 체크카드 번호를 포함하며, 소비자의 금융 계좌 접근을 허용하는 데 필요한 보안 코드, 접근 코드 또는 비밀번호와 결합된 경우); 인종 또는 민족적 출신, 종교적 신념, 정신적 또는 신체적 건강 상태, 치료 또는 진단 정보를 드러내는 정보; 성생활 또는 성적 지향; 시민권 또는 이민 상태; 트랜스젠더 또는 비이분법적 성별 정체성 상태; 개인을 고유하게 식별하기 위한 목적으로 처리될 수 있는 유전적 또는 생체 인식 데이터; 또는 정확한 지리적 위치 데이터.
개인정보 처리자는 또한 다음의 경우 개인정보 처리 전에 동의를 얻어야 합니다: (i) 만 13세 미만 미성년자의 개인정보 처리 시(이 경우 연방 아동 온라인 개인정보 보호법(COPPA)에 따라 처리해야 함); (ii) 만 13세 이상 16세 미만 미성년자의 개인정보를 타겟팅 광고, 소비자 개인정보 판매, 또는 소비자에게 법적 또는 유사한 중대한 영향을 미치는 결정을 위한 프로파일링 목적으로 처리할 경우.
데이터 보호 평가
NJDPA(콜로라도 CPA와 유사)는 데이터 보호 평가를 수행하고 문서화하지 않은 상태에서 소비자에게 "높은 수준의 피해 위험"을 초래하는 데이터를 처리하는 것을 통제자에게 금지합니다. "높은 수준의 피해 위험"이란 용어는 다음과 같이 정의됩니다:
- 개인정보를 프로파일링 또는 타겟팅 광고 목적으로 처리하는 행위
- 개인정보의 "판매"
- "민감한 데이터" 처리
- 개인 데이터 처리를 통한 프로파일링이 다음과 같은 합리적으로 예측 가능한 위험을 초래하는 경우:
- 소비자에 대한 불공정하거나 기만적인 대우 또는 불법적인 차별적 영향
- 소비자에게 발생하는 금전적 또는 신체적 피해
- 소비자의 고독이나 은둔, 또는 사적인 일이나 관심사에 대한 물리적 또는 기타 침해로서, 해당 침해가 합리적인 사람에게 불쾌감을 줄 경우
- 소비자에게 발생하는 기타 중대한 피해.
가공업체와의 계약
다른 소비자 데이터 개인정보 보호법과 마찬가지로, 관리자는 뉴저지 개인정보 보호법(NJDPA)의 의무를 충족하는 처리자와 특정 약관이 포함된 계약을 체결해야 합니다.
소비자 권리
다른 소비자 데이터 개인정보 보호법과 마찬가지로, NJDPA는 소비자에게 사업자가 자신의 개인 데이터를 처리하고 있는지 확인할 권리, 개인 데이터에 접근할 권리, 개인 데이터의 부정확성을 수정할 권리, 개인 데이터를 삭제할 권리, 그리고 연간 두 차례 개인 데이터를 휴대 가능한 형식으로 제공받을 권리를 부여합니다. 소비자는 다음 목적을 위한 개인 데이터 처리에 대해 거부할 권리가 있습니다: (a) 타겟팅 광고, (b) 개인 데이터 판매, 또는 (c) 해당 소비자에게 법적 또는 유사한 중대한 영향을 미치는 결정을 내리기 위한 프로파일링.
개인정보 처리자는 소비자 권리 요청 접수 후 45일 이내에 응답해야 하며, 특정 상황에서는 추가로 45일 연장이 허용됩니다. 또한 처리자는 연간 1회까지 요청된 정보를 무료로 제공하고 응답해야 하지만, 12개월 이내 추가 요청에 대해서는 비용을 청구할 수 있습니다.
시행
뉴저지 소비자 데이터 보호법(NJDPA)은 소비자에게 사적 소송권을 부여하지 않습니다. 대신 다른 많은 주 소비자 데이터 보호법과 마찬가지로, NJDPA는 뉴저지 법무장관에 의해 독점적으로 집행될 것입니다. 법 시행일로부터 첫 18개월 동안, 데이터 관리자는 위반 사항을 시정하기 위한 30일의 시정 기간을 부여받습니다. 해당 기간 내에 위반 사항을 시정하지 못할 경우, 법무장관이 집행 조치를 취할 수 있습니다.
소비자보호국은 뉴저지 소비자보호법(NJDPA)을 시행하기 위한 규정을 제정할 수 있다.
과태료
뉴저지 데이터 보호법(NJDPA)은 법정 벌금을 명시하지 않습니다. 그러나 NJDPA 위반은 뉴저지 소비자 사기 방지법 위반으로 간주되며, 이에 따라 최초 위반 시 최대 10,000달러, 이후 위반 시 최대 20,000달러의 벌금이 부과될 수 있습니다.
기업에 미치는 영향
NJDPA는 2024년 확대되는 부문별 및 주별 개인정보 보호법 체계에 합류할 것으로 예상되는 수많은 법률 중 첫 번째 사례입니다. 따라서 신규 법률의 적용 대상이 될 수 있는 조직들은 선제적으로 대응하여 규정 준수를 위한 노력을 기울이는 것이 중요합니다. 캘리포니아 CPRA, 콜로라도 CPA, 버지니아 CDPA 등 이미 시행 중인 소비자 데이터 개인정보 보호 법률을 준수 중이거나 준수 준비 중인 조직의 경우, 해당 법률에 따라 채택한 정책 및 절차와 상당 부분 중복될 가능성이 높습니다. 그러나 유사한 개인정보 보호법의 적용을 받지 않았던 조직들은 준수를 보장하기 위해 상당한 자원을 투입해야 할 가능성이 높습니다. 따라서 조직들은 향후 준수를 보장하고 준수 부담을 완화하기 위해 다음 활동을 우선적으로 수행해야 합니다:
- 데이터 매핑 작업을 수행하여 조직이 처리 및 유지 관리하는 데이터 유형, 데이터 사용 목적, 그리고 모든 데이터가 필요한지 여부를 파악하십시오.
- 개인정보 영향 평가를 수행하십시오.
- "피해 위험이 높은" 처리와 관련해 독립적인 사이버 보안 감사 기관과의 협의를 시작하십시오.
- NJDPA의 새로운 요구사항 및 의무를 준수하기 위해 정책과 절차를 업데이트하십시오.
- 소비자가 새로운 권리를 행사할 수 있도록 비즈니스 프로세스 개발을 시작하십시오.
- 해당 조직이 뉴저지 개인정보 보호법(NJDPA)의 요건을 준수하는 합리적으로 접근 가능하고 명확하며 의미 있는 개인정보 처리방침을 갖추도록 보장하십시오.
- 제3자 데이터 처리업체와의 비즈니스 관계를 검토하여 각 당사자의 역할과 잠재적 요구 사항을 파악하십시오.
뉴저지 데이터 개인정보 보호법 및 관련 요건에 대한 자세한 정보나 규정 준수 지원이 필요하신 경우, 본 문서의 저자 또는 폴리 법률사무소 사이버보안 및 데이터 개인정보 보호 분야 담당 파트너 또는 선임 변호사에게 문의하시기 바랍니다.
