캘리포니아 개인정보 보호법(CPRA): CCPA 2.0을 사용할 준비가 되셨습니까?

2020년 5월, 개인 정보 보호 옹호 그룹 Californians for Consumer Privacy는 2020년 11월 투표에 California Privacy Rights Act(CPRA, CCPA 2.0, Proposition 24 또는 Prop 24라고도 함)를 추가하기 위해 900,000명의 서명을 수집했다고 발표했습니다.

11월 3일, 캘리포니아 주민의 56%가 총선에서 CPRA에 찬성했습니다. 이 법은 2023년 1월 1일부터 시행되는 캘리포니아 소비자 개인정보 보호법(CCPA)을 개정하고 계승하기 위한 것입니다.

요컨대, 이 법은 GDPR에 부합하도록 사용자 개인정보 보호 권리를 확대하고, 기업에 추가 의무를 부과하며, 미국에서 개인정보 보호 구현 및 집행을 전담하는 최초의 정부 기관인 캘리포니아 개인정보 보호국(CPPA) 을 설립합니다.

CCPA는 이미 캘리포니아 외 지역에서 상당한 영향을 미치며 미국 전역의 데이터 개인 정보 보호 표준이 되었습니다. 이것이 이 법안이 주의 깊게 관찰되어야 하는 이유입니다. 캘리포니아에 있지 않더라도 기업에 영향을 미칠 수 있습니다. 아래에는 마케터가 새로운 규정 준수 요구 사항을 준비하기 위해 알아야 할 핵심 사항이 요약되어 있습니다.

새로운 개인 정보 보호 집행 기관

일반 데이터 보호 규정(GDPR)이 발효되었을 때 EU는 데이터 보호 기관을 임명하여 법률을 시행했습니다. 미국에는 새로운 소비자 개인 정보 보호 권리를 부과할 수 있는 유사한 권한이 없습니다.

여기서 CPPA(California Privacy Protection Agency)가 등장합니다. 그 역할은 새로운 지침을 명확히 하고 벌금을 부과하며 개인 정보 침해에 대한 청문회를 개최하는 것입니다.

새로운 소비자 권리 및 PII 개념

CPRA는 캘리포니아의 데이터 개인 정보 보호 환경에 새로운 개념(GDPR 덕분에 이미 EU에 존재)을 도입합니다.

다음은 그 중 일부입니다.

• 정정 권리 – 소비자에게 부정확한 개인 정보를 정정할 권리를 부여합니다.
• 제한 권리 – 소비자에게 민감한 개인 정보의 사용 및 공개를 제한할 수 있는 권리를 부여합니다.
• "민감한" 개인 식별 정보 – 새 법률에 따라 사회 보장 번호, 여권 번호, 정확한 지리적 위치, 생체 인식 정보 등과 같은 특정 유형의 정보는 "민감한" 정보로 표시됩니다.

변경된 사항은 무엇입니까?

개인정보 판매의 새로운 정의

CPRA는 회사가 캘리포니아 거주자로부터 수집한 개인 정보로 무엇을 할 수 있는지 새로운 방식으로 정의합니다. CCPA에서는 판매를 "일부 유형의 재정적 고려를 위한 데이터 교환"으로 정의했는데, 이는 많은 사람들에게 너무 모호한 정의였습니다. CPRA는 사람들의 개인 정보 공유 및 판매를 두 가지 범주로 분할하여 이 문제를 해결합니다.

변경된 사항은 무엇입니까?

16세 미만 아동의 더 많은 권리

• 아동 개인정보 불법 공유에 대한 과태료 인상 : 16세 미만 아동의 개인정보 위반 시 위반 건당 7,500달러의 벌금이 부과됩니다. 현행법에 따르면 이 형벌은 고의적 위반에 대해서만 유보되었다. 16세 이상인 사람이 관련된 기타 모든 비의도적 행위에 대한 최고 $2,500의 벌금은 그대로 유지됩니다.
• 16세 미만 아동의 개인 정보 공유에 대한 동의 요구 사항 : CPRA에 따라 소비자는 자신의 PI 판매를 거부할 수 있을 뿐만 아니라 구체적으로 제3자에게 판매하지 않을 수도 있습니다. 마찬가지로 CCRA는 기업이 16세 미만 아동의 PI를 공유하거나 판매하기 위해 긍정적인 옵트인 동의를 수집해야 할 필요성을 다룹니다. 소비자 또는 소비자의 부모 또는 보호자는 소비자가 13세 미만 또는 13세 이상 16세 미만임을 명시합니다.

계약업체를 위한 새로운 기능은 무엇입니까? 서비스 제공업체에 대한 계약상의 의무

CPRA는 "계약자"라는 용어를 도입하여 비즈니스가 서면 계약에 따라 비즈니스 목적으로 소비자의 개인 정보를 제공하는 사람을 설명합니다(CCPA의 "서비스 제공자"와 유사하며 개인 정보를 처리하는 사람을 가리킴 " "를 대신하여).

CCPA가 서비스 제공자와 하위 서비스 제공자에 대한 정의가 모호한 반면, CPRA는 새로운 규칙을 매우 명확하게 설정합니다. 모든 계약자 또는 서비스 제공자는 다른 하청 처리자와의 모든 협력에 대해 투명하게 서면 계약을 맺을 의무가 있습니다. 서비스 제공자는 개인 정보가 비윤리적으로 획득되거나 사용되지 않도록 "합리적이고 적절한 조치를 취할" 권리를 기업에 부여하여 다른 소비자 데이터를 추가하거나 보유할 수 없습니다.

마케터가 CPRA에 대해 알아야 할 사항

2023년이 오면 마케팅 담당자는 광고주가 사용하는 잠재고객 구축 및 타겟팅 정보와 같이 자사 데이터이든 타사 데이터이든 상관없이 소비자에게 다가가기 위해 수집하고 사용하는 데이터에 더 주의를 기울여야 합니다. 직접 또는 다른 서비스 제공자 또는 계약자를 통한 모든 데이터 수집에는 명시적인 소비자 동의 가 필요합니다. 이후에 개인 정보를 사용, 공유 또는 판매하는 경우에도 공개해야 합니다.

마케터가 CPRA를 준비하기 위해 해야 할 일은 다음과 같습니다.

1. 회사의 투명성을 우선시하십시오

CPRA는 기업이 수집하는 데이터에 대해 투명해야 함을 분명히 합니다. 데이터를 수집하는 방법, 저장 위치, 보관 기간 및 전체 수명 주기 동안 데이터를 관리하는 방법에 이미 주의를 기울이고 있다면 이제 이러한 모든 측정값을 사용자와 공유할 때입니다. 같은 맥락에서 CPRA에 따라 기업은 동의 구조를 사용하여 사용자가 특정 작업을 수행하도록 하는 방식이 제한됩니다. 이것이 마케팅 부서에서 하는 일이라면 다크 패턴과 묵시적 동의를 피하기 위해 동의를 수집하는 방법을 분석하기 시작합니다.

2. 쿠키 검토 및 정책 업데이트

GDPR과 유사하게 CPRA는 쿠키 사용을 포함하는 특정 데이터 공유 기능을 제한합니다. 웹사이트에 있는 쿠키의 인벤토리를 시작하고 정책을 업데이트하여 최신 규정을 준수하는지 확인하십시오. CPRA의 모든 새 조항을 포함하도록 표현을 업데이트했는지 확인하십시오. "민감한" PI를 수집하고 있습니까? 사용자는 어떻게 자동화된 의사 결정 기술을 선택 해제할 수 있습니까? 이러한 고려 사항이 소비자에게 명확해야 합니다.

3. 파트너(퍼블리셔 포함)와의 모든 계약 검토

CPRA가 적용되는 비즈니스로서 파트너가 귀하와 동일한 수준의 개인정보 보호법 준수를 제공하도록 해야 합니다. 모든 사용자 데이터가 명시적 동의를 통해 확보되고 윤리적으로 관리되는지 확인하기 위해 모든 계약(필요한 경우 법률 관련)을 철저히 검토합니다.

CPRA는 특히 청중 및 행동 타겟팅과 관련하여 데이터 판매 관행을 제한합니다. 퍼블리셔와의 파트너십을 검토하고 자사 데이터 풀을 사용하고 이러한 개인정보 보호 규정을 준수하는 데이터를 획득한 퍼블리셔를 선호하는지 확인하십시오.

4. 개인정보 보호 전문가와 협력

누군가를 고용하든 외부 컨설턴트 또는 에이전시와 협력하든 최신 규정을 파악하는 데 도움을 줄 전문가가 필요합니다. CPRA는 아마도 귀하의 비즈니스에 영향을 미칠 마지막 데이터 개인 정보 보호법이 아닐 것입니다. 사실, 이 법은 미래에 전국적으로 채택될 새로운 표준을 설정하고 있습니다.

준비 되었나요?

법안이 통과되었으므로 기업은 새로운 규정 준수 요구 사항에 익숙해져야 합니다. 이 법은 2023년 1월 1일부터 시행되어 2023년 7월 1일부터 시행되지만 이르면 2022년 1월 1일부터 기업이 수집하는 개인정보에 이미 적용될 수 있다.

새로운 개인 정보 보호 규정에 적응하기 위한 긴 알림은 과도하게 들릴 수 있지만, 특히 많은 파트너와 협력하는 경우 더 큰 조직에서는 상황이 빠르게 복잡해질 수 있습니다. 그렇기 때문에 바로 시작하는 것이 좋습니다.

질문이 있으신가요? Convert는 시장에서 가장 개인 정보 보호를 준수하는 A/B 테스트 도구입니다. 당사 전문가는 개인 정보 보호 규정의 모든 내용과 완전한 준수를 위해 필요한 사항을 알고 있습니다. 여기에서 질문을 보내주십시오.