▶답= 2020년 캘리포니아 소비자 개인정보보호법(CCPA)이 시행된 후 더욱 강화된 개인정보보호법(CPRA)이 2023년부터 시행되게 됩니다. 캘리포니아 고객에 대해 비즈니스를 영위하는 기업 중 연 매출 2500만 달러 이상 또는 연간 10만 명 이상에 대한 개인정보를 취급하는 기업 또는 개인정보 처리를 주요 사업모델로 하는 기업 등이 CPRA의 적용 대상입니다.
CPRA의 적용 대상 기업은 어떠한 개인정보를 어떠한 목적으로 수집하고 있는지 각 정보에 대해서 얼마 기간 동안 보유하는지 그리고 개인정보를 판매하거나 공유하는지 등에 대해서 개인정보 정책 등을 통해 공지해야 합니다. 합리적으로 필요한 기간 이상으로 개인정보를 저장해서는 안 되며 수집되는 개인정보의 범위도 필요한 목적에 부합하는 수준으로 제한됩니다. 또한 개인정보 유출을 방지하기 위해 합리적인 수준의 보안을 유지할 것도 요구하고 있습니다.
CPRA는 개인정보에 대한 개인의 알 권리나 통제권 같은 권리들을 보장하고 있습니다. 가령 개인은 기업에게 어떠한 개인정보가 어떻게 수집되고 저장되어 있는지 문의할 수 있고 해당 정보에 대한 접근을 요청할 수 있으며 개인정보가 판매되거나 공유되고 있는지와 그렇다면 누구에게 판매되거나 공유되는지 문의할 수 있으며 기업은 이러한 요청에 대해서 답변해야 합니다. 또한 개인은 수집된 개인정보에 대해서 전체 혹은 일부의 삭제를 요청할 수 있고 정보가 잘못되어 있을 때 수정할 것을 요청할 수 있으며 개인정보를 판매하지 못하게 할 권리도 있습니다.
CPRA를 위반했을 경우 각 위반 당 최대 2500달러의 벌금(고의적 위반에 대해서는 최대 7500달러)가 부과될 수 있으며 CPRA 위반의 결과로 개인정보유출이 발생했다면 개인정보가 유출된 개인은 해당 기업으로부터 적어도 100달러에서 많게는 750달러까지의 법정손해배상액을 받을 수 있습니다. 대량의 개인정보유출이 발생했을 경우 집단소송이 제기될 수도 있고 거액의 법정손해배상액을 지불해야 할 수도 있으므로 주의해야 합니다.
질문하기