CDPA 준비: 버지니아가 개인 정보 보호법에 서명함에 따라 동부 해안이 서부 해안을 만나다
게시 됨: 2021-04-22
버지니아 주는 최근 기업이 소비자의 개인 데이터를 보호하는 방법을 규율하는 법률을 제정하기 위해 동부 해안에서 첫 번째 주가 되기로 투표했습니다. 새로운 법은 기술 대기업이 개인 정보 취급에 대해 국회의원과 소비자의 반발에 직면함에 따라 나온 것입니다.
버지니아 소비자 데이터 보호법(CDPA) 법안은 2021년 3월 2일에 서명되었으며 2023년에 발효됩니다.
2018년 캘리포니아 소비자 개인 정보 보호법(CCPA), 2020년 캘리포니아 개인 정보 보호 권리법(CPRA) 및 유럽의 GDPR과 마찬가지로 CDPA는 미국 개인 정보 보호 법안의 분수령이 된 해의 최신 개발품입니다.
그러나 다른 법률을 준수하기 위해 노력한 기업은 자신의 명성에 안주해서는 안 됩니다. 그들은 여전히 CCPA 또는 CPRA의 조항과 다른 조항이 있는 CDPA를 준비해야 합니다.
이 기사에서는 버지니아 법의 이러한 별개의 조항을 살펴보고 이를 CCPA(CPRA에 의해 수정됨) 및 GDPR과 비교합니다.
| 주요 조항 | 버지니아 CDPA | 캘리포니아 CCPA + CPRA | 유럽 GDPR | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 처리 능력 | |||||||||||||||||||||||
| 데이터 최소화 | 예 | 아니 | 예 | ||||||||||||||||||||
| 허용 목적 | 예 | 아니 | 예 | ||||||||||||||||||||
| 개인의 권리 | |||||||||||||||||||||||
| 처리 활동에 대한 통지를 받을 권리 | 예 | 예 | 예 | ||||||||||||||||||||
| 개인 데이터에 접근할 수 있는 권리 | 예 | 예 | 예 | ||||||||||||||||||||
| 데이터 이식성에 대한 권리(즉, 데이터는 한 엔티티/플랫폼에서 다른 엔티티/플랫폼으로 이전될 수 있도록 쉽게 사용할 수 있는 형식으로 제공되어야 함) | 예 | 예 | 예 | ||||||||||||||||||||
| 개인 데이터의 오류를 수정할 권리 | 예 | 아니 | 예 | ||||||||||||||||||||
| 개인 데이터를 삭제할 권리 | 예 | 예 | 예 | ||||||||||||||||||||
| 행동 광고를 거부할 권리 | 예 | 아니 | 예 | ||||||||||||||||||||
| 자동화된 프로파일링 및 의사 결정에 반대할 권리 | 예 | 아니 | 예 | ||||||||||||||||||||
| 이러한 권리의 행사에 대한 차별을 받지 않을 권리 | 예 | 예 | 예 | ||||||||||||||||||||
| 개인정보 판매 거부권 | 예 | 예 | 아니 | ||||||||||||||||||||
| 민감한 정보 처리에 대한 옵트인 또는 옵트아웃 | 옵트 | 옵트아웃 | 옵트 | ||||||||||||||||||||
| 요청 거부에 대해 항소할 권리 | 예 | 아니 | 아니 | ||||||||||||||||||||
| 책임/거버넌스 | |||||||||||||||||||||||
| 데이터 보호 평가 | 예 | 아니 | 예 | ||||||||||||||||||||
| 보안 | |||||||||||||||||||||||
| 정보 보호를 위한 적절한 데이터 보안 | 예 | 예 | 예 | ||||||||||||||||||||
| 위반 알림 | 예 | 예 | 예 | ||||||||||||||||||||
| EEA 외부로 데이터 전송 | |||||||||||||||||||||||
| 국제 송금에 대한 추가 조치 | 아니 | 아니 | 예 | ||||||||||||||||||||
| 제3자에게 양도 | |||||||||||||||||||||||
| 서비스 제공업체 계약의 계약 요건 | 예 | 예 | 예 | ||||||||||||||||||||
| 마케팅 | |||||||||||||||||||||||
| Adtech 쿠키에 대한 동의 | 예 | 예 | 예 | ||||||||||||||||||||
| 다이렉트 마케팅 이전에 얻은 동의 | 아니 | 아니 | 예 | ||||||||||||||||||||
| 집행 기관 | |||||||||||||||||||||||
| 법무 장관 | CPPA 법무장관 | DPA | |||||||||||||||||||||
| 영업일 | |||||||||||||||||||||||
| 2023년 1월 1일 | 2020년 1월 1일 / 2023년 1월 1일 | 2018년 5월 25일 | |||||||||||||||||||||
CCPA 또는 GDPR을 준수하기 위해 노력한 기업은 이러한 법률에 유사한 표현과 용어가 많다는 것을 알게 될 것입니다. 그러나 버지니아 법에 동일한 요구 사항이 있다고 가정하는 것은 실수입니다.
CCPA 및 GDPR과 유사점이 있지만 CDPA에는 각 조직에 고유할 수 있는 뉘앙스가 포함되어 있습니다.
이 글을 읽는 것이 부담스럽다면 새로운 개인정보 보호법을 준수하는 데 도움이 되도록 아래에 나와 있는 단계별 지침을 확인하세요.
첫째, 조직 내의 변호사, IT 전문가 및 개인 정보 보호 전문가가 귀하의 비즈니스에 대한 법률의 적용을 평가하도록 하십시오. 그런 다음 격차를 식별하고 이러한 문제에 대한 솔루션이 포함된 규정 준수 계획 을 개발합니다.
좀 더 자세히 알아볼까요?
CDPA를 준수하려면 다음을 수행해야 합니다.
- 포괄적인 데이터 인벤토리를 만들고 유지 관리하여 관련된 데이터 유형과 처리 활동의 특성에 대한 통찰력을 제공합니다.
- 민감한 데이터가 불필요한 위험 없이 분리되고 관리되도록 합니다.
- 데이터 보호 영향 평가(DPIA) 수행을 위한 프레임워크를 구현합니다.
- 사이버 보안 정책, 관행 및 통제를 평가하여 업계에서 인정하는 표준과 일치하는지 확인합니다.
- 소비자가 개인 정보 판매를 거부할 수 있도록 합니다(해당되는 경우).
- 공개 개인 정보 보호 정책을 업데이트하여 무엇보다도 비식별화된 개인 데이터를 재식별하지 않을 것을 약속하고 데이터 처리 활동에 대한 세부 정보를 제공합니다.
- CDPA에 따라 개인 데이터에 대한 액세스, 수정, 삭제 및 옵트아웃에 대한 소비자 요청을 수락, 추적, 확인 및 준수하기 위한 메커니즘을 개발합니다.
- 고객 서비스 직원이 규정에 대한 정확한 지식을 갖고 있는지 확인하여 소비자 요청을 효율적이고 예측 가능하게 충족시키십시오.
마지막으로 2023년이 먼 미래처럼 보일 수 있지만 규정 준수 계획 수립을 연기하지 마십시오.
최근의 다른 개인정보 보호법이 우리에게 가르쳐 준 것이 있다면, 이러한 이니셔티브는 신중하게 계획하고, 개인정보 보호 메커니즘의 격차를 파악하고, 새로운 정책, 프로세스 및 개선 노력을 구현하기 위해 광범위한 노력과 시간이 필요하다는 것입니다.
뉴욕 및 워싱턴과 같은 더 많은 주에서 소비자 개인 정보 보호법을 제정하기 시작함에 따라 CDPA 준수 노력을 시작하는 것은 너무 이르지 않습니다.
더 많은 주 입법부가 소비자 개인 정보 보호 법안이나 법률을 통과시키는 데 적극적으로 나서면서 한 가지 분명한 사실은 고객 개인 정보 보호를 더 이상 나중에 생각할 수 없다는 것입니다. 비즈니스 모델에 반영되어야 합니다.
