캘리포니아주 행정법 사무소에서 승인한 업데이트된 CCPA 규정

캘리포니아주 행정법무국은 지난 7월 캘리포니아주 개인정보 보호국이 승인한 업데이트된 CCPA 규정에 대한 승인 도장을 제공했으며, 개정된 규정은 이제 캘리포니아주 규정집(CCR)에 게시될 예정입니다. 개정된 규정에는 인공지능 사용, 위험 평가, 사이버 보안 감사 등 자동화된 의사 결정 기술(ADMT)에 대한 새로운 규정과 함께 개인정보 처리방침 고지, 서비스 제공자 계약, 기타 규제 요건 등의 기존 규정에 대한 업데이트 및 설명이 포함되어 있습니다. 개정된 규정에는 보험사만을 대상으로 하는 새로운 규정도 포함되어 있습니다. 

기존 규정의 변경 사항은 2026년 1월 1일부터 시행됩니다. 그러나 ADMT, 위험 평가 및 사이버 보안 감사와 관련된 일부 새로운 요건은 시행일이 더 늦어집니다:

• 사이버 보안 감사 시행일은 비즈니스의 연간 매출에 따라 달라지며, 매출 1억 달러 이상의 비즈니스는 2028년 4월 1일, 매출 5천만 달러에서 1억 달러 사이의 비즈니스는 2027년 4월 1일, 매출 5천만 달러 미만의 비즈니스는 2030년 4월 1일로 규정 준수 날짜가 정해져 있습니다. 
• 개정된 규정에 따라 위험 평가를 수행해야 하는 비즈니스는 2026년 1월 1일부터 규정 준수를 시작해야 하지만 2028년 4월 1일까지 위험 평가를 완료했다는 증명과 결과 요약을 제공할 의무는 없습니다. 
• ADMT 기술을 사용하여 중요한 의사 결정을 내리는 비즈니스는 2027년 1월 1일까지 새로운 ADMT 규정을 준수하지 않아도 됩니다. 

비즈니스에 미치는 영향

비즈니스는 모든 새로운 규정이 적용되는 것은 아니라는 점을 기억해야 합니다. 새로운 ADMT, 위험 평가 및 사이버 보안 감사 규정 각각에 적용될 수 있는 특정 기준이 있습니다. 예를 들어, ADMT 규정은 규정에서 정의한 '중요한 의사 결정'에 ADMT(인공지능 사용뿐만 아니라 다른 전통적인 기술에도 적용될 수 있음)가 사용되는 경우에만 적용됩니다. 기업은 새로운 규정 중 자신에게 적용되는 규정이 있는지 검토하고(해당 시행일 현재 적용될 수 있음), 적절한 경우 규정 준수를 위한 계획을 세워야 합니다. 

사이버 보안 감사 요건을 적용받는 비교적 소규모 비즈니스의 경우 일부 규정의 시행일이 4년이 넘을 수도 있지만, 새로운 규정 중 일부는 계획과 리소스가 필요하므로 조기에 시작하는 것이 유리할 수 있습니다. 반면에 비교적 규모가 큰 비즈니스(연 매출 1억 달러 이상)는 상당한 정보 기술 인프라를 보유하고 있을 가능성이 높으며, 사이버 보안 감사를 완료하는 데 걸리는 짧은 기간(3년 미만)이 금방 지나갈 것입니다. 이러한 기업은 기한을 준수하기 위해 즉시 리소스를 할당해야 합니다. 

캘리포니아 개인정보 보호국(CPPA)은 오늘 캘리포니아 행정법 사무소가 사이버 보안 감사, 위험 평가, 자동화된 의사 결정 기술(ADMT), 보험 회사 및 기존 CCPA 규정의 업데이트를 다루는 규정을 승인했다고 발표했습니다.

참조 문서 보기