글로벌 서비스를 향해 나아가는 스타트업들이 서비스 시작부터 반드시 마련해야 하는 것이 Terms of Use(이용약관)과 Privacy Policy(개인정보처리방침)이죠. 지난 시간에는 Terms of Use를 살펴보았고, 오늘은 Privacy Policy의 내용에 대해 말씀드리려 합니다.
Privacy Policy는 Terms of Use와는 약간 결이 다른데요, Terms of Use가 회사와 고객의 권리의무 관계를 규율하는 문서였다면, Privacy는 고객이 이미 보유하고 있는 개인정보에 관한 권리를 회사가 어떻게 이용하고 처리하는지를 담은 문서입니다.
Terms of Use는 혹시 없더라도 큰 문제가 생기지 않을 수도 있지만, Privacy Policy는 각국의 규제가 점점 더 빠르게 강화되고 있는 상황이기 때문에 반드시 주의가 필요합니다. 각국 규제의 내용은 당연히 다르지만, 기본적으로 개인정보에 대한 규제는 EU가 주도하고 있고, 다른 나라들이 따라가고 있는 형국입니다. 따라서 이번 칼럼은 EU의 GDPR을 위주로 살펴보고 덧붙여 미국 캘리포니아주의 규제를 살펴보겠습니다.
EU는 2018년 GDPR(General Data Protection Regulation)이라는 법령을 시행하였고 이 법령 위반시 과징금 등 행정처분이 부과될 수 있습니다. 그리고 미국과 달리 기업의 규모에 관련 없이 적용되기 때문에 주의가 필요합니다.
GDPR이 규정하고 있는 개인정보와 관련한 권리는 다음과 같습니다.
· The Right to be informed: 정보를 제공받을 권리
· The Right of Access: 정보주체의 열람권
· The Right of Rectification: 정정권
· The Right to Erasure: 삭제권
· The Right to Restrict Processing: 개인정보 처리 제한권
· The Right to Data Portability: 개인정보이동권
· The Right to Object: 반대권
· The Rights Related to Automated Decision-Making and Profiling, Facilitating User’s Rights: 프로파일링을 포함한 자동화된 의사결정에 대한 권리
다른 권리는 잘 이해가 되실 것 같아 생략하고, 마지막 프로파일링과 관련된 권리는 “개인의 사적인 측면(직장내 업무수행, 경제 상황, 건강, 개인적 취향 등)을 분석, 예측하기 위한 자동화된 처리”에 의해 인적 개입 없는 결정의 적용을 받지 않을 권리를 의미합니다. 최근 신설된 권리라, 이후 어떤 방식으로 적용될지 주의 깊게 살펴보아야 하는 상황입니다.
서비스제공자가 Privacy Policy를 작성하면서 일단 중요한 건 The Right to be informed(정보를 제공받을 권리)입니다. 고객이 요구하기 전에 선제적으로 알기 쉽게 제공해야 하는 정보들이 있기 때문이죠. 그럼 어떤 정보를 제공해야 하는지가 중요할 텐데요.
· 개인정보처리자의 신원 및 연락처
· 개인정보의 처리 목적 및 처리의 법적근거
· 처리하는 개인정보의 유형
· 개인정보 수령인(recipient) 또는 수령인의 유형
· 제3국으로 이전 관련 상세 내용 및 보호 방법, 보유기간 또는 보유기간 결정을 위해 적용한 기준
· 정보주체의 각 권리의 존재, 동의를 철회할 수 있는 권리
· 감독기구에 민원을 제기할 수 있는 권리
· 개인정보의 출처 및 공개적으로 접근이 허용된 출처인지 여부
· 개인정보의 제공이 법률이나 계약상의 요건이나 의무인지 여부 및 개인정보 제공을 하지 않을 경우 생길 수 있는 영향
· 프로파일링 등 자동화된 결정의 존재 및 어떻게 결정되는지에 대한 정보와 그 중요성 및 영향
위와 같은 정보들을 Privacy Policy로 공지하여야 합니다. 생각보다 상당히 많은 정보를 제공해야 하지요. 그런데 글로벌 서비스 제공자들은 (Terms of Use와 달리) Privacy Policy에 대해서는 철저하게 지키고 있는 경우가 많습니다. 과징금 등의 제재가 강하기 때문이죠. 특히 글로벌서비스들은 EU 거주자에 대해서 별도의 조항을 기재하는 방법으로라도 규정하고 있지요.
다음으로 미국을 살펴보겠습니다. 일단 미국은 연방법으로 개인정보 이용 및 처리를 구체적으로 제재하거나 규제하고 있지는 않습니다. 즉, 각 주별로 입법이 되어 가고 있는 상황이죠.
이중에 글로벌 서비스를 고려하시는 분들이 가장 신경쓰셔야 할 법은 캘리포니아의 California Consumer Privacy Act(CCPA)입니다. CCPA는 미국 전역에서도 가장 선제적으로 개인정보의 이용 및 처리를 규제하고 있고, GDPR의 내용을 많이 차용하였으며, 다른 주에서도 CCPA의 내용을 참고하고 차용하여 법을 제정하는 경향이 있기 때문입니다.
다만, CCPA는 EU의 GDPR과 달리 적용 대상에서 영세한 비즈니스를 제외하고 있습니다. 즉, 총 매출액이 2,500만 달러 이상이거나 50,000명 이상의 캘리포니아 주민들의 개인정보를 판매하는 등의 비즈니스를 하거나, 소비자 개인정보 판매로 연간 매출의 50% 이상을 창출하는 경우 중 하나에 해당해야만 CCPA의 규제를 받습니다.
CCPA에 기재된 정보주체 권리의 주요내용은 다음과 같습니다.
· 공개요구권 및 공개의무
· 삭제요구권 및 삭제의무
· 정보접근권 및 정보제공의무
· 판매거부권 및 판매중지의무
· 평등대우의무
· 온라인개인정보보호정책공개
CCPA 또한 위반시에는 정부에서 과징금을 부과할 수 있고, 민사적으로도 소비자 1명당 100~750달러의 손해 또는 이보다 큰 실제 손해를 배상하여야 합니다.
한편, 최근 캘리포니아는 CCPA의 범위를 확대한 CPRA(The California Privacy Rights Act)를 통과시켰고 2023. 1. 1. 시행될 예정입니다.
다만, CPRA 또한 적용범위에서 영세한 사업장들을 제외하였습니다. CPRA에서는 민감정보(Sensitive Personal Information) 개념이 도입되었고, 기존의 CCPA에서 정보주체의 권리에 더하여 GDPR과 유사한 ‘프로파일링’ 규정이 추가되었으며, 개인정보 제3자 제공에 대한 거부권을 명시하였고, 차별을 당하지 않을 권리 또한 명시하였습니다. 보시다시피 GDPR에서 규정한 개인정보에 관한 권리들을 따라가고 있지요. 하지만 구체적인 내용이 완전히 같지는 않습니다.
개인정보에 관한 권리는 그 개념이 자리잡기 시작한지도 얼마 되지 않았고 여전히 많은 변화가 예상되는 권리입니다. 그럼에도 확고한 권리로 자리잡았고 그 규제의 강도와 범위는 적어도 당분간 확대되면 확대되지 줄어들지는 않을 것으로 예상됩니다. 규제에 적합한 Privacy Policy를 준비하셔서 잘 대응하시는 여러분 되시기를 바라겠습니다.
긴 글 읽어주셔서 감사합니다.