콜로라도 개인 정보 보호법 살펴보기: 사용자 데이터 보호의 미래에 대한 예측
게시 됨: 2021-09-16
지난 7월 콜로라도는 콜로라도 개인정보 보호법(CPA)을 통과시켜 캘리포니아, 네바다, 버지니아에 이어 미국에서 포괄적인 개인정보 보호법을 제정한 네 번째 주가 되었습니다.
CPA 및 이와 유사한 법률은 시간이 지남에 따라 변경될 수 있지만 문제 는 비즈니스가 각각의 새로운 개별 법률을 준수하기 위해 작업을 시작해야 하는지 아니면 어떤 상황에서도 사용자의 권리가 보호되는 일종의 계획을 수립해야 한다는 것입니다. 정책 변경 측면에서 발생합니까?
각 주의 고유한 개인 정보 보호 규정으로 인해 기업이 이러한 변경 사항을 추적하고 규정 준수를 보장하며 처벌을 피하기가 점점 더 어려워지고 있습니다.
이 프로세스를 보다 쉽게 하기 위해 여러 주에서 최근의 몇 가지 예를 비교하고 사용자 데이터 보호의 미래 동향과 비즈니스 관행에 영향을 미칠 수 있는 방법에 대한 통찰력을 제공할 것입니다.
이 블로그 게시물에서 우리는 콜로라도 개인 정보 보호법을 살펴보고 네바다의 SB20, 버지니아의 CDPA, 캘리포니아의 CPPA 및 가장 최근의 CPRA, 유럽 GDPR과 같은 다른 개인 정보 보호법과 어떻게 비교되는지 살펴봅니다.
먼저, 이러한 법률의 모든 주요 조항을 요약하면 다음과 같습니다.
| 주요 조항 | 콜로라도 CPA | 네바다 SB220 | 버지니아 CDPA | 캘리포니아 CDPA + CPRA | 유럽 GDPR | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 처리 능력 | |||||||||||||||||||||||||||||||||||
| 데이터 최소화 | 예 | 예 | 아니 | 예 | |||||||||||||||||||||||||||||||
| 허용 목적 | 예 | 예 | 아니 | 예 | |||||||||||||||||||||||||||||||
| 개인의 권리 | |||||||||||||||||||||||||||||||||||
| 처리 활동에 대한 통지를 받을 권리 | 예 | 예 | 예 | 예 | 예 | ||||||||||||||||||||||||||||||
| 개인 데이터에 접근할 수 있는 권리 | 예 | 예 | 예 | 예 | |||||||||||||||||||||||||||||||
| 데이터 이식성에 대한 권리(즉, 데이터는 한 엔티티/플랫폼에서 다른 엔티티/플랫폼으로 이전될 수 있도록 쉽게 사용할 수 있는 형식으로 제공되어야 함) | 예 | 예 | 예 | 예 | |||||||||||||||||||||||||||||||
| 개인 데이터의 오류를 수정할 권리 | 예 | 예 | 아니 | 예 | |||||||||||||||||||||||||||||||
| 개인 데이터를 삭제할 권리 | 예 | 예 | 예 | 예 | |||||||||||||||||||||||||||||||
| 행동 광고를 거부할 권리 | 아니 | 예 | 아니 | 예 | |||||||||||||||||||||||||||||||
| 자동화된 프로파일링 및 의사 결정에 반대할 권리 | 아니 | 예 | 아니 | 예 | |||||||||||||||||||||||||||||||
| 이러한 권리의 행사에 대한 차별을 받지 않을 권리 | 예 | 예 | 예 | 예 | |||||||||||||||||||||||||||||||
| 개인정보 판매 거부권 | 예 | 예 | 예 | 예 | 아니 | ||||||||||||||||||||||||||||||
| 민감한 정보 처리에 대한 옵트인 또는 옵트아웃 | 옵트 | 옵트 | 옵트아웃 | 옵트 | |||||||||||||||||||||||||||||||
| 요청 거부에 대해 항소할 권리 | 아니 | 예 | 아니 | 아니 | |||||||||||||||||||||||||||||||
| 책임/거버넌스 | |||||||||||||||||||||||||||||||||||
| 데이터 보호 평가 | 예 | 예 | 아니 | 예 | |||||||||||||||||||||||||||||||
| 보안 | |||||||||||||||||||||||||||||||||||
| 정보 보호를 위한 적절한 데이터 보안 | 예 | 예 | 예 | 예 | |||||||||||||||||||||||||||||||
| 위반 알림 | 예 | 예 | 예 | 예 | |||||||||||||||||||||||||||||||
| EEA 외부로 데이터 전송 | |||||||||||||||||||||||||||||||||||
| 국제 송금에 대한 추가 조치 | 예 | 아니 | 아니 | 예 | |||||||||||||||||||||||||||||||
| 제3자에게 양도 | |||||||||||||||||||||||||||||||||||
| 서비스 제공업체 계약의 계약 요건 | 예 | 예 | 예 | 예 | |||||||||||||||||||||||||||||||
| 마케팅 | |||||||||||||||||||||||||||||||||||
| Adtech 쿠키에 대한 동의 | 아니 | 예 | 예 | 예 | |||||||||||||||||||||||||||||||
| 다이렉트 마케팅 이전에 얻은 동의 | 예 | 아니 | 아니 | 예 | |||||||||||||||||||||||||||||||
| 집행 기관 | |||||||||||||||||||||||||||||||||||
| 법무 장관 | 법무 장관 | CPPA 법무장관 | DPA | ||||||||||||||||||||||||||||||||
| 영업일 | |||||||||||||||||||||||||||||||||||
| 2023년 7월 1일 | 2019년 10월 1일 | 2023년 1월 1일 | 2020년 1월 1일 / 2023년 1월 1일 | 2018년 5월 25일 | |||||||||||||||||||||||||||||||
이 모든 개인정보 보호법의 공통점은 무엇입니까?
CPA는 GDPR, 캘리포니아 법 및 버지니아 법과 같은 다른 개인 정보 보호법과 유사합니다. 하지만 네바다주는 온라인으로 수집된 특정 데이터의 판매에 대해 훨씬 더 제한적인 법률을 제정했을 뿐이므로 아래 비교에서 제외됩니다.
- 데이터 처리 계약 — 이는 모든 개인정보 보호법에 공통적입니다. 간단히 말해서 조직은 서비스나 제품을 사용할 때 발생하는 개인 데이터 처리 활동을 설명하는 법적 템플릿 초안을 작성해야 합니다. 간단히 말해서 데이터 처리가 어떻게 일어나고, 누가 무엇을 책임지고, 어떤 보안 조치를 취할 것인지에 대해 이야기합니다. 2018년에 GDPR에 대한 템플릿을 준비했으며 여기에서 사용할 수 있습니다. 모든 새로운 법률이 있을 때마다 템플릿 조항을 업데이트하여 모든 새로운 법률 용어에 맞게 조정합니다.
- 개인정보 보호법 간의 두 번째 공통점은 소비자가 권리를 행사할 때 조직이 신속하고 적절하게 대응하기 위해 적절한 기술적 및 조직적 조치 를 취하도록 요구한다는 것입니다. 위의 표에서 볼 수 있듯이 이러한 권리의 내용은 법률에 따라 다르지만 조치는 동일합니다.
- 개인 데이터 침해 통지 는 법률에 존재하는 또 다른 일반적인 용어입니다. 개인 데이터 보안 위반은 모든 형식으로 조직이 보유한 개인 데이터의 기밀성, 무결성 또는 가용성에 영향을 미칠 가능성이 있는 모든 이벤트입니다.
개인 데이터 보안 침해는 다음을 포함한 여러 가지 이유로 발생할 수 있습니다.- 권한이 없는 개인에게 기밀 데이터 공개
- 데이터 또는 데이터가 저장된 장비의 분실 또는 도난;
- 정보의 무단 사용을 허용하는 부적절한 액세스 제어;
- 해킹과 같은 컴퓨터 시스템에 대한 무단 액세스 시도; 데이터 "소유자"의 승인 없이 변경 또는 삭제된 기록
- IT 장비 시스템 또는 네트워크에 대한 바이러스 또는 기타 보안 공격;
- 다른 사람이 정보에 액세스하지 못하도록 화면을 잠그지 않고 사용자 계정에 로그인할 때 IT 장비를 무인 상태로 두는 것;
- 잘못된 수신자에게 잘못 전송된 개인 정보 또는 민감한 정보가 포함된 이메일.
- GDPR, CCPA, VCDPA 및 CPA의 또 다른 일반적인 요구 사항은 새로운 고위험 처리 프로젝트에 대해 DPIA(데이터 처리 영향 평가) 를 수행하는 프로세스입니다. DPIA는 프로젝트 또는 이니셔티브가 개인의 프라이버시에 미칠 수 있는 잠재적 영향을 체계적으로 고려하는 프로세스입니다. 이를 통해 조직은 잠재적인 개인 정보 문제가 발생하기 전에 식별하고 이를 완화할 방법을 찾을 수 있습니다. GDPR은 먼저 고위험 처리와 관련된 조직에 대해 의무적인 DPIA를 도입했습니다. 예를 들어, 새로운 기술이 배치되는 곳, 프로파일링 작업이 개인에게 중대한 영향을 미칠 가능성이 있는 곳, 또는 공개적으로 접근 가능한 영역에 대한 대규모 모니터링이 있는 곳.
예를 들어, Convert가 사용하는 개인 데이터에 액세스할 수 있는 권한을 행사하려면 [email protected]으로 서면 요청을 보내야 합니다. 요청에서 귀하의 요청이 귀하가 관심 있는 특정 개인정보 보호법에 따라 액세스할 수 있는 권리를 행사하는 것임을 언급하십시오. DPO는 귀하의 서면 요청에 응답해야 합니다. 개인 정보가 잘못된 사람에게 제공되지 않도록 DPO가 귀하에게 요구해야 하는 귀하의 신원 증거를 제공할 준비를 하십시오. 위의 프로세스는 GDPR, CCPA, CPA에만 해당되며 이미 개인 정보 페이지에 문서화되어 있습니다.
마찬가지로 귀하가 귀하의 Convert 계정을 폐쇄하고 서비스를 종료하고 귀하의 모든 Convert 데이터의 백업을 원하는 경우 데이터 이동성에 대한 권리를 행사할 수 있습니다. 데이터를 다운로드하는 옵션을 즉시 사용할 수 없는 경우 위의 동일한 이메일 주소로 이메일을 작성하고 DPO에 서비스 전체에서 사용되는 데이터의 백업을 요청할 수 있습니다. DPO는 귀하의 서면 요청에 따라 조치를 취해야 합니다.
GDPR 프로젝트에서 Convert는 직원을 위한 지침과 DPIA를 수행하는 데 사용할 템플릿을 개발했습니다. 여기에서 선별 질문이 미리 채워진 템플릿을 찾을 수 있습니다. 이 템플릿은 이후 새로운 미국 개인정보 보호법에 맞게 조정되었습니다.
그러나 몇 가지 주요 차이점이 있습니다!
GDPR은 개인 데이터를 보호합니다. 미국 법률은 주로 개인 데이터를 보호하기로 선택한 소비자를 보호합니다.
- 데이터 대 소비자 보호 에 대한 논쟁은 이러한 모든 개인 정보 보호 이니셔티브의 핵심입니다. GDPR을 다른 모든 개인정보 보호법과 구별하는 핵심 사항이기도 합니다. GDPR을 통해 개인 데이터는 수집, 처리, 저장, 제3자 전달에 이르는 다양한 단계에서 보호됩니다. 미국 법률은 소비자가 온라인 상태에서 서비스를 사용하거나 제품을 탐색하거나 테스트하는 동안 보호되도록 합니다. 새로운 법률이 시행되더라도 회사의 개인정보 보호정책이 그대로 유지될 수 없는 이유입니다. 새로운 법률 용어 및 조항을 반영하기 위해 새로운 섹션을 추가해야 합니다. 각 법률을 준수하기 위해 추가해야 할 사항을 정확히 알기 위해 항상 변호사와 상의하십시오.
- 법률은 또한 옵트인 / 옵트아웃 제도 의 범위에서 다릅니다. GDPR은 옵트인 제도에 따라 운영됩니다. 즉, 유럽 연합 회원국은 탐색 중인 사이트에 표시되는 동의 배너의 확인란을 선택하여 명시적으로 동의할 때까지 방문자의 개인 데이터를 수집하지 않습니다. 미국에 기반을 둔 퍼블리셔 사이트에서는 그 반대가 일어나고 있습니다. 방문자가 데이터 처리를 거부하기로 결정할 때까지 데이터를 수집할 수 있습니다. 캘리포니아는 약간의 하이브리드 옵트아웃/옵트인 체제 하에서만 운영됩니다. CCPA를 통해 조직은 기본적으로 소비자 데이터를 수집할 수 있지만 데이터 수집기는 데이터 수집 전에 소비자에게 개인 정보 보호 고지를 제공해야 합니다. CPA, VCDPA는 명확한 옵트아웃 체제 하에 있습니다.
Convert에서 우리는 투명성과 방문자의 선택을 중요하게 여기고 요구 사항에 맞게 사용자 경험을 조정하기 때문에 옵트인 체제에서 운영됩니다. - 차이점은 국제 데이터 전송 규칙에서도 볼 수 있습니다. GDPR은 이러한 전송에 대해 다시 매우 엄격하며 수령 국가가 유사한 개인 정보 보호 규정을 가지고 있는 경우에만 허용합니다. 그렇지 않으면 조직이 표준 계약 조항 또는 사용자 동의를 사용해야 합니다. 반면 CCPA 및 VCDPA는 사고가 발생할 때까지 전 세계적으로 국제 데이터 전송을 허용합니다. 그런 다음 조직에 책임이 있으며 벌금이 부과됩니다. CPA는 다소 관대하여 조직에서 국제 데이터 전송이 발생할 때 사용자/방문자에게 알리지만 제한하지는 않습니다.
Convert에서는 GDPR을 준수하고 요청 시 필요한 이전 도구를 제공합니다(표준 계약 조항은 사용자가 서명하는 계약의 일부임). - 마지막으로, 법률은 개인 정보 침해에 대한 대응 기간 이 다릅니다. GDPR 및 VCDPA는 컨트롤러 또는 프로세서가 개인 정보 침해에 대응할 수 있는 30일을 제공합니다. CPPA는 허용되지만 CPRA 위반을 시정할 기간을 제공해야 하는 것은 아닙니다. CPA는 60일의 응답 기간을 제공해야 합니다.
Convert는 개인정보 침해가 없었기 때문에 테스트하기 쉽지 않았지만 내부적으로 이러한 요청을 시뮬레이션한 결과 7-10일 이내에 응답할 수 있다는 것을 알았습니다. 많은 사람과 도구가 관련될 수 있다는 사실을 감안할 때 매우 인상적입니다.
귀사는 CPA를 준비하고 있습니까?
이러한 법률의 대부분은 유사한 표현을 사용하므로 차이점을 파악하기가 매우 어렵습니다. 그러나 위의 비교를 통해 더 명확하게 하기 위해 노력했습니다. 이러한 개인정보 보호법을 준수하려면 해당 법률을 검토하고 법률 전문가와 상담하는 데 많은 시간을 할애할 준비를 하십시오.
고맙게도 일부 조치는 모든 조치에 보편적으로 적용됩니다. 우리는 이전 기사 중 하나에서 그것들을 나열했지만 여기에 다시 당신의 기억을 새로 고칠 것입니다.
- 포괄적인 데이터 인벤토리를 만들고 유지 관리하여 관련된 데이터 유형과 처리 활동의 특성에 대한 통찰력을 제공합니다.
- 민감한 데이터가 불필요한 위험 없이 분리되고 관리되도록 합니다.
- 데이터 보호 영향 평가(DPIA) 수행을 위한 프레임워크를 구현합니다.
- 사이버 보안 정책, 관행 및 통제를 평가하여 업계에서 인정하는 표준과 일치하는지 확인합니다.
- 소비자가 개인 정보 판매를 거부할 수 있도록 합니다(해당되는 경우).
- 공개 개인 정보 보호 정책을 업데이트하여 무엇보다도 비식별화된 개인 데이터를 재식별하지 않을 것을 약속하고 데이터 처리 활동에 대한 세부 정보를 제공합니다.
- CPA에 따라 개인 데이터에 대한 액세스, 수정, 삭제 및 선택 해제에 대한 소비자 요청을 수락, 추적, 확인 및 준수하기 위한 메커니즘을 개발합니다.
- 고객 서비스 직원이 규정에 대한 정확한 지식을 갖고 있는지 확인하여 소비자 요청을 효율적이고 예측 가능하게 충족시키십시오.
향후 10년 동안 개인 정보 보호 환경은 어떤 모습일까요?
데이터 프라이버시는 2010년의 정의 문제로 떠오르고 있습니다. 이것은 기업과 개인 모두가 더 이상 '개인'과 같은 것이 더 이상 없다는 것을 점점 더 자각하게 되는 개인 정보 보호에 더욱 민감한 세상이 될 것입니다.
최근의 개인정보 보호법에 따르면 이러한 이니셔티브는 신중하게 계획하고 개인정보 보호 메커니즘의 격차를 파악하며 새로운 정책, 프로세스 및 개선 노력을 구현하는 데 광범위한 노력과 시간이 필요합니다. 따라서 데이터 개인 정보 보호 환경은 빠르게 바뀌지 않을 것입니다.
개인 정보의 미래는 거의 알려지지 않았지만 여러 경향이 이미 다양한 방식으로 이를 형성하고 있습니다. 향후 10년 동안 이러한 추세를 가장 잘 탐색하는 조직은 계속해서 새로운 법률을 준수하는 조직보다 더 경쟁력이 있을 것입니다.
그들이 무엇인지 봅시다.
- 대부분의 소비자는 개인 데이터를 사전에 보호합니다. 우리는 더 나은 개인 정보 보호 도구 를 보게 될 것입니다(현재 개인 정보 침해 도구가 있는 것과 같은 방식). 이러한 보호를 준수하지 않는 조직은 고객을 잃을 위험이 있습니다.
- 국경 간 데이터 전송 이 더 간단해질 것입니다. 외국인이 진입할 수 없는 로컬 데이터 왕국을 구축할 필요가 없습니다.
- 개인 정보 보호 고객 경험 여정 : 개인 정보 보호법의 문화적, 법적 기대와 데이터 및 기술 윤리에 대한 각 회사의 입장에 부합하는 새로운 프로젝트가 개발될 것입니다.
- 직원 개인 정보 보호 문화: 인적 자원은 회사의 데이터 및 기술 가치와 일치하는 직원 개인 정보 보호 프로그램을 사용하여 균형 잡힌 개인 정보 보호 문화를 개발합니다. 그러한 프로그램에는 직장에서 새로운 기술 및 데이터 사용에 대한 개인 정보 보호 및 윤리적 영향 평가를 검토하고 전달하는 직원 위원회가 포함될 수 있습니다.
10년 안에 많은 것이 변할 수 있지만, 다시 조금만 변해도 변할 수 있습니다. 여기 Convert에서 방문자와 사용자의 개인 정보를 존중하는 것을 문화의 일부로 만들었습니다. 2030년 우리는 어디에 있을까? 2030년까지 규제 기관과 함께 사용자의 개인 정보를 존중하는 기업이 개인의 자유를 침해하지 않고 원활하게 협력하는 것을 보게 됩니다. 이 비전은 Convert 회사의 우리 팀에 가장 중요한 것이며 귀하가 우리와 함께 하기를 희망하는 곳입니다!
