스타트업 미국진출 가이드
미국에서 서비스 론칭을 희망하는 스타트업들이 종종 문의하시는 내용 중에 하나가 바로 CCPA(California Consumer Privacy Act)의 적용여부이다. CCPA는 이미 지난 2020년 1월 1일부터 시행이 되고 있기 때문에, 현재 캘리포니아에서 비즈니스를 하고 있는 기업들 뿐만 아니라 장차 캘리포니아에서 비즈니스를 계획하고 있는 기업이라면 필수적으로 검토해야 하는 중요한 법률이다.
오늘은 기업 입장에서 CCPA와 관련하여 반드시 알아야 하는 것, 딱 3가지만 정리해서 설명하고자 한다. 사실 구글에 CCPA 체크리스트라고 검색하면 나오는 내용들은 양이 굉장히 방대하고 검토해야 할 내용도 3가지보다는 훨씬 더 많다. 그러나 나머지 복잡하고 세부적인 내용들은(ex. 예외규정 등) 변호사에게 맡기더라도, 기업 입장에서 반드시 알고 있어야 할 핵심적인 내용 3가지만 간추려보고자 한다.
첫 번째, 나의 비즈니스가 CCPA의 적용대상인지 여부를 확인한다.
가장 중요한 부분으로, CCPA 적용 대상에서 빠진다면 뒤에 더 복잡한 내용들은 머리 싸매면서 검토할 필요도 없겠다. CCPA는 다음의 기준에 하나 이상 해당하는 캘리포니아 내에서 비즈니스를 영위하는 모든 사업체에 적용된다.
1) 2,500만 달러 이상의 연간 매출
2) 단독으로 또는 조합하여, 상업적인 목적으로, 연간 50,000명 이상의 캘리포니아 주민, 가구 또는 기기로부터 개인정보를 구매, 수령, 판매하거나 공유
3) 연간 매출의 50% 이상을 캘리포니아 주민의 개인정보를 판매함으로써 창출
1)번과 3)번 요건은 상대적으로 해당 여부를 판단하기 용이할 것으로 보이나, 2)번 요건은 경우에 따라서는 판단하기 상당히 애매할 수 있다. CCPA가 개인정보의 정의를 상당히 넓게 보고 있음을 염두하여, 나의 서비스 웹사이트에 방문하는 캘리포니아 거주민이 연간 5만명 이상일 경우 2)번 요건이 충족될 수도 있음을 명심하고 보수적으로 접근할 필요가 있다.
두 번째, 나의 비즈니스가 수집하는 정보가 CCPA의 적용을 받는 정보인지 여부를 확인한다.
기본적으로 CCPA는, "소비자(Consumers)"의 "개인정보(Personal Information)"에 적용되는데, 여기에는 캘리포니아 거주민을 개인 식별할 수 있는 광범위한 정보가 포함된다. 개인 식별할 수 있는 정보의 예는 다음과 같으며, 한정적 열거가 아닌 예시적 열거임을 명심해야 한다.
1) 이름(가명 포함), 주소, 전화번호, 이메일 주소 등
2) 캘리포니아 운전면허번호(DL), 사회보장번호(SSN), 여권번호 등
3) 은행 계좌번호, 신용카드/체크카드 번호, 보험 policy 번호 등
4) 병력 등 건강정보, 의료보험 정보, 지문 등 생체정보 등
5) 직업 정보, 고용 관련 정보 등
6) 공개적으로 접근가능하지 않은 학력 정보 등
7) 성별, 인종, 나이, 결혼여부, 종교 등의 개인정보 등
8) 인터넷 접속 기록, 검색 기록, 온라인 활동 이력 등
9) 계정이름, IP 주소, 온라인 상에 개인을 특정할 수 있는 정보 등
10) 개인의 재산 내역, 쇼핑 기록, 소비 이력 등
단, 여기서 개인의 신원을 식별할 수 없이 특정 그룹이나 단체와 관련한 정보(Aggregate Consumer Information) 또는 특정 개인을 식별할 수 없도록 식별성을 제거한 정보(Deidentified Information)의 경우에는 CCPA의 적용대상에서 제외가 됨을 유념할 필요가 있다. 따라서 최근에는 많은 기업들이 비식별 정보(Deidentified Information)의 형태로 정보를 저장하는 것에 많은 관심을 기울이고 있다.
세 번째, 나의 비즈니스의 사업활동이 CCPA의 적용대상이 되는 활동인지 여부를 확인한다.
CCPA의 핵심은, 영리적 목적으로 개인정보를 "수집"하는 행위와 정보의 "판매" 행위 및 "공개" 행위를 규율하는 데에 있다.
수집(Collection) 행위에는, 능동적인 행위 뿐만 아니라 수동적으로 소비자로부터 정보를 수신하거나 소비자의 행동을 관찰하는 모든 행위가 포함된다. 즉, 소비자로부터 직접 정보를 입력받는 경우 뿐만 아니라, 제3자로부터 소비자의 정보를 전달받는 것 또는 개인정보를 자동적으로 수집하는 서버 로그, 쿠키, 기타 온라인 수집 툴을 활용한 모든 형태의 정보수집이 포함될 수 있다.
판매(Sales) 행위에는, 반드시 금전적 대가의 교환을 요구하지 않으며 다른 가치있는 대가를 목적으로 제공되는 경우도 해당할 수 있다. 단, 소비자에게 사전고지를 하고 사업목적을 수행하는 데 반드시 필요한 범위 내에서 서비스 제공자에게 판매한 경우는 CCPA에서 금지하는 판매 행위에 해당하지 않는다.
개인정보를 공개(Disclosure)하는 경우 중 사업목적 수행을 위한 경우는, CCPA에서 규정하는 사전에 소비자의 동의를 얻거나 옵트아웃(Opt out) 옵션을 제시해야 하는 경우에 해당하지 않는다. 단, 사업목적 수행을 위한 경우의 예로는, 다음의 7가지 한정적 예시를 들고 있다. 따라서 아래 7가지에 해당하지 않는 목적으로 정보를 공개할 경우에는 반드시 CCPA 규정을 준수하여 소비자들의 사전동의를 구하면서 옵트아웃 옵션을 제시해야 한다.
1) 감사
2) 보안
3) 디버깅
4) 단기간 일시적 사용
5) 사업체 또는 서비스 제공자를 대신하여 서비스를 수행하는 경우
6) 내부 연구
7) 장치의 안전 및 품질 점검
앞서 설명하였다시피, 위 3가지 내용은 가장 핵심적이면서 CCPA를 처음 검토하는 기업들이 가장 먼저 확인해봐야 할 내용만을 간추린 것으로, 위 3가지 내용을 검토하였다고 하여 CCPA를 문제없이 준수하고 있다고 판단하면 결코 안된다. 위 기본적인 이해를 바탕으로, 각 기업의 상황에 따라 세부적인 예외규정 해당 여부에 대하여는 반드시 캘리포니아 변호사와 상담하여 조언을 구할 것을 권한다.