CCPA/CPRA Reference

CCPA/CPRA는 6가지 권리를 제공합니다: (1) 수집, 사용, 공유되는 개인정보를 알 권리, (2) 수집된 데이터 삭제권, (3) 판매 또는 공유 옵트아웃 권리, (4) 권리 행사에 따른 비차별 권리, (5) 부정확한 정보 정정권(CPRA 추가), (6) 민감한 개인정보 사용 제한 권리(CPRA 추가)입니다.

세 가지 기준 중 하나라도 충족하면 준수 의무가 발생합니다: 연간 총 매출 $25M 초과, 연간 10만 명 이상의 소비자 또는 가구의 개인정보를 구매/판매/공유, 또는 연간 매출의 50% 이상을 소비자 개인정보 판매 또는 공유에서 얻는 경우입니다.

비의도적 위반은 건당 $2,500의 민사 과태료가 부과됩니다. 의도적 위반이나 미성년자 관련 위반은 건당 $7,500입니다. 또한 소비자는 비암호화 개인정보 관련 데이터 유출에 대해 소비자당 사건당 $100~$750의 법정 손해배상 또는 그보다 큰 실제 손해배상을 청구할 수 있습니다.

캘리포니아 개인정보 보호 기관(CPPA)은 CPRA에 따라 조사, 집행, 규정 발행에 대한 전체 행정 권한을 가진 전담 집행 기관으로 설립되었습니다. 민사 소송을 처리하는 법무장관과 달리 CPPA는 전문화된 역할을 하며, CPRA에서 30일 시정 기간이 폐지되었습니다.

소비자 권리 설명, 수집하는 개인정보 범주, 데이터 출처, 수집 목적, 데이터 공유 제3자 명시, 소비자 요청 제출 방법을 포함해야 하며, 최소 연 1회 업데이트해야 합니다.

CPRA는 소비자가 민감한 개인정보의 사용을 제한할 수 있도록 합니다. 민감한 개인정보에는 사회보장번호, 금융계좌 정보, 정밀 위치정보, 인종/민족 출신, 건강 데이터 등 높은 개인정보 위험을 수반하는 범주가 포함됩니다.

데이터 최소화(CPRA)는 공개된 목적에 합리적으로 필요한 개인정보만 수집하도록 요구합니다. 목적 제한은 원래 공개된 목적과 양립할 수 없는 용도로 개인정보를 사용하는 것을 금지하며, 새로운 고지 없이는 사용할 수 없습니다.

네. 기업은 GPC(Global Privacy Control) 브라우저 신호를 유효한 옵트아웃 요청으로 인정해야 합니다. 또한 홈페이지에 "판매/공유 거부" 링크를 표시하여 소비자가 직접 옵트아웃 권리를 행사할 수 있도록 해야 합니다.