GDPR 대 CCPA: 2020년 캘리포니아 소비자 개인정보 보호법에 대한 모든 것(및 GDPR에 대한 누적 방법)

GDPR 4조, CCPA 1798.140

개인 데이터와 관련된 식별되거나 식별 가능한 개인으로 정의되는 데이터 주체.

다음 중 하나에 해당하는 캘리포니아 거주자로 정의되는 소비자:

• 일시적 또는 일시적인 목적이 아닌 다른 목적으로 캘리포니아에 있는 경우.
• 캘리포니아에 주소가 있지만 현재 임시 또는 임시 목적으로 주 외부에 있습니다.

소비자는 다음과 같습니다.

• 가정용품 및 서비스 고객.
• 직원.
• B2B 거래.

GDPR이나 CCPA는 법인에 적용되지 않지만 둘 다 자연인에 적용되지만 정의 방식에 차이가 있습니다. CCPA는 캘리포니아 거주자에게 적용된다고 분명히 명시하고 있지만 GDPR은 거주지 또는 시민권 요구 사항을 언급하지 않고 "EU 데이터 주체"라는 보다 모호한 용어를 사용합니다. CCPA는 또한 GDPR처럼 개인뿐만 아니라 특정 가정과 연결될 수 있는 데이터를 보호합니다 .

GDPR 3조, CCPA 1798.140

데이터 컨트롤러 및 데이터 프로세서:

• 데이터 처리가 EU 내에서 발생하는지 여부에 관계없이 EU 설립 활동의 맥락에서 개인 데이터를 처리하는 EU에 설립되었습니다.
• EU에서 상품이나 서비스를 제공하거나 행동을 모니터링하는 것과 관련하여 EU 데이터 주체의 개인 데이터를 처리하는 EU에 설립되지 않았습니다.

다음 중 하나를 충족하는 캘리포니아에서 사업을 하는 모든 영리 법인:

• 총 수익이 2500만 달러 이상입니다.
• 상업적 목적으로 매년 50,000명 이상의 소비자, 가구 또는 장치의 개인 정보를 구매, 수신, 판매 또는 공유합니다.
• 연간 매출의 50% 이상을 소비자의 개인 정보 판매에서 얻습니다.

GDPR의 범위는 광범위합니다. 기업에서 공공 기관 및 비영리 부문에 이르기까지 모든 조직에 적용됩니다. 한편 CCPA는 매우 명확한 요구 사항을 충족하는 영리 회사에 적용을 제한했습니다.

지리적 위치와 관련하여 GDPR은 위치에 관계없이 EU 데이터 주체의 데이터를 처리하는 모든 회사에 적용됩니다. CCPA는 이 점에서 명확하지 않습니다. 해당 관할권에 속하는 회사는 "캘리포니아에서 사업을 하고" 있어야 하지만 회사가 캘리포니아 주에 위치해야 하는지 또는 자격을 갖추기 위해 특정 수익 기준을 충족해야 하는지는 명확하지 않습니다.

GDPR 4조, CCPA 1798.140

개인 데이터는 식별되거나 식별 가능한 데이터 주체와 관련된 모든 정보입니다. GDPR은 처리에 대한 합법적인 정당화가 적용되지 않는 한 정의된 특별 범주의 개인 데이터 처리를 금지합니다.

특정 소비자 또는 가구를 식별, 관련, 설명, 관련될 수 있거나 합리적으로 연결될 수 있는 개인 정보.

GDPR은 모든 범주의 개인 데이터에 적용되는 반면 CCPA는 GLBA(Gramm-Leach-Bliley Act) 또는 HIPAA(Health Information Portability and Accountability Act)와 같은 기존 연방 개인정보 보호법이 적용되지 않는 데이터에만 적용됩니다.

GDPR 4조, CCPA 1798.140

가명 데이터는 개인 데이터로 간주됩니다. 익명 데이터는 개인 데이터로 간주되지 않습니다.

CCPA는 익명화되거나 집계된 소비자 정보를 수집, 사용, 유지, 판매 또는 공개하는 기업의 능력을 제한하지 않습니다. 그러나 CCPA는 데이터가 비식별화되거나 집계되었다고 주장하는 높은 기준을 설정합니다. 가명 데이터는 특정 소비자 또는 가구와 연결될 수 있기 때문에 CCPA에 따라 개인 정보로 간주될 수 있습니다.

GDPR 및 CCPA에 따른 "가명화"의 정의는 추가 정보를 사용하지 않고는 개인 데이터가 더 이상 식별되거나 식별 가능한 사람에게 귀속될 수 없는 방식으로 개인 데이터를 처리한다는 점에서 매우 유사합니다. 식별에 필요한 추가 정보를 별도로 보관하는 기술적 및 조직적 조치를 취합니다.

GDPR 13조, CCPA 1798.100

데이터 컨트롤러는 개인 데이터 수집 및 데이터 처리 활동에 대한 자세한 정보를 제공해야 합니다. 통지에는 데이터가 데이터 주체 또는 제3자로부터 직접 수집되는지 여부에 따라 특정 정보가 포함되어야 합니다.

기업은 소비자에게 다음 사항을 알려야 합니다.

• 수집하는 개인정보 카테고리입니다.
• 각 카테고리의 사용 목적.

GDPR과 CCPA는 모두 조직이 수집한 개인 데이터로 수행하는 작업을 공개하도록 요구합니다. 그러나 CCPA는 기업이 지난 12개월 동안의 데이터 처리와 관련된 데이터 판매 및 활동을 공개하도록 요구하지만 GDPR은 그러한 제한을 두지 않습니다.

GDPR 24조, CCPA 1798.150

GDPR은 데이터 컨트롤러와 데이터 프로세서가 위험에 적절한 수준의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 취하도록 요구합니다.

CCPA는 데이터 보안 요구 사항을 직접적으로 부과하지 않습니다. 그러나 기존 캘리포니아 법률에서 발생하는 위험에 적절한 합리적인 보안 관행 및 절차를 구현하고 유지해야 하는 기업의 의무 위반으로 인해 발생하는 특정 데이터 위반에 대한 조치 권한을 설정합니다.

• 수집하는 개인정보 카테고리입니다.
• 각 카테고리의 사용 목적.

합리적인 보안 조치는 조직의 상황 및 규제 기관의 해석에 따라 어느 정도 달라질 수 있지만 법적 접근 방식은 실질적으로 유사합니다.

GDPR 12조 – 21조, CCPA 1798.120

확장된 개인의 권리 :

• 그들의 정보에 접근
• 부정확한 부분을 수정합니다.
• 정보를 지우다;
• 직접 마케팅을 방지합니다.
• 자동화된 의사 결정 및 프로파일링 방지
• 데이터 이식성.

확장된 개인의 권리 :

• 그들의 정보에 접근
• 부정확한 부분을 수정합니다.
• 정보를 지우다;
• 직접 마케팅을 방지합니다.
• 자동화된 의사 결정 및 프로파일링 방지
• 데이터 이식성.

GDPR은 조직이 데이터 처리 및 데이터에 대한 제3자 액세스에 대해 데이터 주체로부터 사전 동의를 받아야 하는 반면 CCPA는 데이터 주체가 데이터 판매를 거부할 수 있도록 허용하고 기업이 상단에 가시적인 링크를 갖도록 요구합니다. 이를 위해 홈페이지의

GDPR과 CCPA는 모두 데이터 이식성에 대한 권리를 제공합니다. 즉, 소비자에게 일반적으로 사용되는 기계 판독 가능한 형식으로 개인 데이터를 제공한 다음 다른 주체로 전송할 수 있는 권리를 제공합니다.

GDPR은 이러한 방향으로 한 걸음 더 나아가 요청 시 데이터 주체의 정보를 다른 데이터 컨트롤러에게 이전해야 하는 의무를 조직에 부여합니다.

CCPA에 따라 기업은 소비자에게 쉽게 사용할 수 있는 형식으로 전자적으로 정보를 제공하기만 하면 됩니다.

GDPR의 삭제 권한에는 표현의 자유를 행사하는 데 필요한 데이터 또는 EU 또는 EU 회원국 법률을 준수하는 데 필요한 데이터와 같은 몇 가지 주목할만한 예외가 있지만 CCPA는 언론의 자유 및 정보뿐만 아니라 포함하여 이러한 예외를 더욱 확대합니다. 계약에 필요하지만 특히 소비자가 데이터를 제공한 컨텍스트와 호환되는 내부 사용도 필요합니다.

GDPR 8조, CCPA 1798.120

GDPR의 기본 동의 연령은 16세이지만 개별 회원국 법률은 연령을 13세 이상으로 낮출 수 있습니다.

친권자는 동의 연령 미만 아동에 대한 동의를 제공해야 합니다. 어린이는 연령에 맞는 개인 정보 보호 고지를 받아야 합니다.

어린이의 개인 데이터는 강화된 보안 요구 사항의 적용을 받습니다.

CCPA는 16세 미만 소비자의 개인 정보를 동의 없이 판매하는 것을 금지합니다.

13~16세 아동은 직접 동의할 수 있습니다. 13세 미만의 어린이는 부모의 동의가 필요합니다.

GDPR은 아동에 대한 특별 보호를 강조하고 정보 사회 서비스 제공을 위해 처리될 때 아동의 개인 데이터를 보호하기 위한 특정 조항을 제공합니다.

CCPA는 개인 정보 "판매"와 관련하여 어린이를 위한 특별 규칙을 만들고 있지만 이 규칙은 정보 사회 서비스에만 국한되지 않습니다.