이제 얼마 남지 않은 2020년 1월부터 캘리포니아 소비자 프라이버시 법(CCPA: California Consumer Privacy Act)가 발효된다. 이 법률안은 지금까지 미국 내에서 추진한 개인 정보 보호를 위한 법규 중, 기업으로부터 소비자의 개인 정보를 가장 강력하게 보호하는 것으로 알려져 있다.

CCPA란?

CCPA는 이름 그대로 미국인이 아닌, 캘리포니아 주민들의 개인 정보 보호를 위한 제도이다. 미국은 잘 알려진 대로 연방법이 있고, 각 주마다 별도의 주법을 제정해서 시행하고 있다. CCPA가 캘리포니아 주에만 한정된다면, 별로 큰일이 아닐 것이라 생각할 수 있지만, 실상은 그렇지 않으며 여기에는 많은 이유가 있다.

일단 캘리포니아 주 자체가 미국에서 가장 인구가 많은 주이며 세계 5위의 엄청난 경제 규모를 가지고 있다. 미 상무부에 따르면 2017년 캘리포니아에서만 국내 총생산량은 2조 7500억 달러로 미국, 중국, 일본, 독일 다음 세계 5번째 경제 수준이다. 구글, 페이스북, 넷플릭스, 애플 등 세계적인 IT 기업이 본사를 두고 있는 실리콘 밸리가 큰 줄기의 수입원이다. IT 공룡 기업들은 비단 캘리포니아뿐만 아니라 전 세계 사용자의 정보를 수집하고 필요에 맞게 재가공 및 공유하며 활용하고 있다.

캘리포니아는 영화 산업을 대표하는 할리우드가 있는 곳이기도 하며, 수많은 다국적 기업에 의해 경제와 학술, 금융 서비스가 만들어지고 전 세계로 뻗어나가는 곳이다. 이런 환경에서 개인의 정보 보호 유출에 따른 과거 일련의 사고에 대해 사회적 책임과 예방의 필요성이 미국 내 어느 지역보다 더욱 강조되어 있었다.

이런 흐름에서, 미국 최초로 제정된 포괄적인 개인정보보호법이 캘리포니아 주에서 처음 시작된 것은 자연스러운 흐름이며, CCPA의 발효 이후 비슷한 개인 정보 관련 법안들이 미국 내 또 다른 주(state)로 확산될 가능성이 높기 때문에 상징적인 의미를 내포하고 있다.

CCPA의 실제 내용은?

CCPA는 개인 정보를 통해 사업적 영위를 취득하는 기업에게 다음과 같이 소비자의 권리를 제정하였다.

① 정보를 취득한 기업이 제3업체에 정보를 판매하는 행위를 거절할 수 있는 권리.
② 어떤 정보를 어디서 취득하고 어디에 사용하는지에 대해 명확한 공개를 요구하는 권리.
③ 기업이 수집한 소비자 개인 정보의 사본을 요청할 수 있는 권리.
④ 기업이 수집한 소비자 개인 정보의 폐기를 요청할 수 있는 권리.
⑤ CCPA의 내용대로 권리를 수행하였을 때 서비스상에서 차별받지 않을 권리.

CCPA는 기업이 캘리포니아 혹은 미국에 위치하고 있지 않더라도 기업의 이윤을 위해 캘리포니아에서 소비자의 개인 정보를 취득하여 사업을 영위하는 기업을 대상으로 한다. 캘리포니아 거주자의 개인 정보를 처리하는 영리 법인이 다음 세 가지 조건 중, 하나 이상을 충족하는 한다면 CCPA를 준수해야 하는 사업자가 된다.

① 연간 순 매출액이 2.500만 달러 이상인 사업자.
② 캘리포니아 주민과 가정의 개인 정보 50,000건을 초과하여 구매, 판매, 공유하는 사업자.
③ 소비자의 개인 정보 판매를 통해 연간 총매출의 50% 이상을 취득하는 기업.

조건을 해석해보면, 개인 정보를 다루고, 재판매하는 기업을 주대상으로 하는 법안임을 알 수 있다. 여기서 소비자란 캘리포니아 주안에 있는 서비스 사용자들을 의미한다.

CCPA 관련 법규를 고의적으로 어기고 위반 사항을 지정한 기일 내 개선하지 않은 사업자는 최대 7,500달러까지 벌금이 부과될 수 있다. 별도로 개인 정보 피해를 입은 소비자는 위반 행위 1건 당, 최대 750달러의 손해배상 혹은 실제 피해액 중 더 큰 금액을 민사소송으로 제기할 수 있다. 피해자가 많을수록 벌금의 액수가 천문학적으로 늘어날 수 있다.

이미지제공=게티이미지뱅크
이미지제공=게티이미지뱅크

IT 기업들은 CCPA를 어떻게 준비해야 하나?

개인 정보를 수집하고 저장 및 처리하는 IT 시스템을 운영하는 기업들은 CCPA의 주요 관리 대상이다. 명확하게 개인을 식별할 수 있는 사회보장번호, 운전면허번호, 여권번호, 이메일 주소 외에도 인터넷상의 브라우징 내역, 검색 내역, 웹 사이트에서의 활동 또한 동의 받고 보호받아야 할 대상이기에 이에 대한 기술적 준비가 필요하다. 행정적으로는 소비자의 권리를 제대로 명시해주고, 어떤 개인 정보를 어떻게 수집하고 활용하는지에 대해 명확하게 밝히고 동의를 얻어야 한다.

구체적으로는, 기업은 자사의 인터넷 홈페이지에 CCPA가 정의한 소비자의 권리에 대한 설명과 함께 “Do Not Sell My Personal Information”라는 링크를 달아 소비자 스스로가 개인 정보를 재판매하는 것에 대한 거부(Opt-Out) 의사를 밝힐 수 있는 기능을 제공해야 한다. 또한 지난 12개월 내 수집했던 개인 정보 범주와 12개월 동안 판매한 개인 정보의 범위를 공개하고, 이 정보는 12개월마다 갱신해야 한다.

IT 기업이 사용자에게 수집하는 개인 정보는 비단 텍스트 형태의 회원 정보뿐만 아니라 사진이나 동영상과 같은 멀티미디어 데이터, 음성, 지문, 목소리와 같은 생물학적 데이터 등, 점차 정형 데이터에서 비정형 데이터로 진화하고 있다. 다양한 형태의 데이터를 통해 서비스를 지속적으로 개발하는 것이 숙명인 기업의 입장에서 보면, 제품을 출시하는 시장마다 자체적으로 지정한 정보에 대한 법규와 규율을 모두 준수하는 것이 매우 까다롭고 어려울 수 있다.

작년에 발효된 GDPR를 준비하면서 까다로운 규정 때문에 유럽 시장을 차라리 포기하겠다는 기업들의 사례도 늘어나고 있다. 하지만 소비자로 하여금 개인 정보가 보호되고, 적절한 권리를 존중 받고 있는 점을 비즈니스의 장점으로 이끌어 낼 수 있는 방안을 찾아 보면 어떨까 한다.

강상진 sangjinn@gmail.com 필자는 삼성SDS, 마이크로소프트, 아카마이 테크놀로지스 등에서 소프트웨어 개발과 프로그램 매니저, 아키텍트 경험을 쌓았고, 페이스북에서 "Tech유람" 페이지를 운영하고 있다. 다양한 IT 관련 지식을 글과 컨퍼런스, 교육을 통해 많은 이들에게 전달하고 공유하며, 상호 작용하는 삶을 즐기고 있다.

(이 칼럼은 Nextdaily 편집 방향과 다를 수 있습니다.)

관련기사

저작권자 © 넥스트데일리 무단전재 및 재배포 금지