미국에서도 유럽의 개인정보보호법(GDPR)을 빼닮은 법안이 시행될 전망이다.
벤처비트(VentureBeat)는 12일(현지시각) 미국 캘리포니아주 소비자프라이버시법(CCPA, California’s Consumer Privacy Act)이 2020년 1월부터 시행된다고 보도했다. 뉴욕에서도 유사 법안(SHIELD Act)이 모습을 드러낸 상태며 이 흐름이 향후 미국 다수 지역으로 확산할 전망이다.
기업은 고객의 정보를 얻기 전 수집 이유를 명확히 공개할 의무가 있다. 개인정보와 관련한 변경사항이 생길 경우 즉시 고객에게 통보해야 한다. 이용자가 개인정보 수집과 사용에 동의하지 않는다고 해서 동의한 이용자와 서비스에 차별을 둬선 안 된다.
외신은 CCPA가 GDPR과 유사한 형태지만 세부 법안에는 차이가 있다고 말한다. CCPA는 GDPR보다 전반적인 규제 정도가 낮다. 위반 사항에 대해서도 많은 사용자가 불만을 제기하지 않는 한 벌금이 GDPR보다 크지 않다.
법 적용에 있어 사업장 규모에 하한선을 두지 않는 GDPR과 달리 CCPA는 적용 대상 범위도 구분돼 있다. 회사 수익이 2500만 달러(296억원) 아래이며 5만 명 이상의 개인 데이터를 보유한 게 아니라면 CCPA 규제 대상에 포함되지 않는다.
다만 규제 대상에 포함되며 고객 정보가 유출되는 명백한 위법 사항이 생길 경우 그 처벌은 GDPR보다 엄격할 수 있다는 게 외신의 설명이다.
GDPR은 법 위반 시 벌금이 해당 사업장의 수익을 초과하지 않도록 상한선을 둔다. 반면 CCPA는 벌금 상한선 없이 피해자 1명당 100~750달러(11~88만원)의 벌금을 부과한다. 만약 100만 명의 사용자 계정에 피해가 생기면 소규모 웹서비스는 존폐 위기에 몰릴 수 있다.
CCPA를 맞이하는 업계는 어떤 상황일까. 최근 국제프라이버시전문가협회(IAPP)와 보안 솔루션 기업 원트러스트(OneTrust)가 모든 규모의 기업 임직원을 조사한 결과 응답자의 47%만이 자사의 CCPA 대응 역량이 있다고 답했다. 시행을 2개월 남짓 남겼지만 절반이 넘게 법안 대비를 미뤄둔 상태다.
구글은 올해 1월 개인정보 수집과 광고 타깃팅 이용에서 문제가 발생해 프랑스에 5000만 유로(653억원)의 벌금을 납부해야만 했다. 덴마크의 한 택시 회사는 신상정보가 담긴 900만 개 이상의 고객 데이터베이스(DB)를 보관해오다 120만 크로네(2억989만원)의 벌금을 부과받았다. 두 사례 모두 필요하지 않을 경우 개인정보를 삭제하라는 GDPR 조항에 어긋났다는 이유다.
한국인터넷진흥원(KISA)은 "CCPA의 경우 한국의 개인정보보호법이나 GDPR과는 결이 다른 부분이 있어 주의가 요구된다"고 조언했다. CCPA는 다수의 기기(디바이스)에서 나오는 데이터까지 포함해 개인정보로 보기에 세심한 데이터 관리가 필요하다는 요지다.
CCPA 조항은 각 기업이 개인정보 보호 의무를 공시하도록 하는데, 이 역시 주의가 요구된다. 12개월마다 한 번씩 공시를 업데이트하지 않을 경우에도 법에 위배되기 때문이다. 집단 소송이 가능한 점도 CCPA 대응에 힘써야 하는 이유다. 대규모로 개인정보를 처리하는 기업일수록 한 번 소송에 휘말릴 경우 큰 타격을 입을 수 있다.
CCPA는 주(州)의 일반법이지만 연관된 연방법이나 특별법도 있기에 함께 살펴야 한다는 게 KISA의 주장이다. KISA는 "법의 성격을 분명히 파악해 방어적이고 사전적인 대응이 필요하다"고 강조했다.