캘리포니아 소비자 개인정보 보호법(CCPA)은 2020년 1월 1일부터 오늘부터 발효됩니다.

우선, 법의 효력은 캘리포니아 거주자에게제한됩니다. 그러나 이것이 캘리포니아 외부의 기업이 이 주의 고객을 상대하는 경우 해당 법률을 준수할 필요가 없다는 것을 의미하지는 않습니다. 캘리포니아 거주자는 운영 위치에 관계없이 모든 웹사이트에 액세스할 수 있으므로 기본적으로 미국 및 해외의 모든 웹사이트 소유자는 CCPA 준수를 위한 조치를 취해야 합니다.

EU 시민의 개인 정보를 취급하는 모든 회사를 대상으로 하는 유럽의 GDPR 법에서 이미 본 적이 있습니다. GDPR이 발효될 당시 미국 및 기타 지역의 웹사이트 소유자는 모든 고객에 대해 GDPR을 준수하거나 유럽 연합의 IP에서 방문하는 경우 웹사이트에 대한 액세스를 차단하기로 결정했습니다.

다른 미국 주에서 웹 사이트를 운영하는 경우 여기에서도 비슷한 선택에 직면할 수 있습니다. 캘리포니아에 거주하는 고객을 제외할 수 있는 경우 캘리포니아 IP의 방문을 차단하는 옵션이 있습니다. 그러나 데이터 개인정보 보호법은 미래에도 입법부의 의제일 가능성이 높습니다. 앞으로 모든 주가 아니더라도 더 많은 주가 유사한 법안을 통과시킬 것이라고 예측할 수 없습니다. 따라서 잠재 고객을 점진적으로 차단하는 대신 비즈니스 위치에 관계없이 지금 준수하는 것이 더 현명할 수 있습니다.

둘째, GDPR과 달리 법의 영향은 다소 제한적입니다. CCPA는 다음 회사에만 적용됩니다.

• 총수입이 2500만 달러 이상인자
• 연간 최소 50,000명의 캘리포니아 주민/가구/기기에 대한 개인 정보를 보유하고 있는 자
• 연간 수익의 최소 50%는 캘리포니아 주민의 개인 데이터 판매에서 발생합니다.

귀하의 웹사이트가 개인 정보를 수집하지만 위의 범주 중 하나에 속하지 않는 경우 평소와 같이 자유롭게 업무를 수행할 수 있습니다. 이러한 경고는 이 법이 소기업 소유자를 염두에 두고 설계되지 않았으며, 오히려 대량의 개인 정보를 판매하여 이익을 얻는 기업을 대상으로 한다는 분명한 신호입니다. 그러나 웹사이트에 있는 캘리포니아의 고유 방문자 수를 확인하십시오. 그 수가 1년에 50,000을 초과하면 CCPA 준수를 고려해야 합니다.

여전히 개인 정보를 수집하고 판매할 수 있지만 사용자가 이 프로세스를 쉽게 거부할 수 있도록 해야 합니다. 법에 따르면 사업체가 사용자의 개인 정보를 판매하는 경우 "내 개인 정보를 판매하지 마십시오"라는 제목의 명확한 링크를 홈페이지에 제공해야 합니다. 또한 옵트인 또는 옵트아웃 선택에 따라 다른 서비스나 기능을 제공하는 것은 불법입니다. 모든 고객은 여전히 동일한 서비스의 혜택을 받아야 합니다.

GDPR과 마찬가지로 고객에게 데이터 액세스 권한, 개인 데이터 삭제권한, 수집 및 판매 중인 모든 범주의 개인 데이터 공개를 요청할수 있는 권한을 부여해야 합니다(해당 경우). 이것은 매년 수행될 것입니다. 요청 시 이전 12개월 동안의 개인 데이터를 제공해야 합니다. 또한 고객은 이러한 청구를 1년에 최대 두 번만제기할 수 있습니다.

또한 개인 정보 보호 정책에 다음을 포함하십시오.

• 수집 및 처리하는 모든 범주의 정보
• 이러한 정보 범주가 사용되는 용도
• 정보가 수집되는 방법
• 자신의 개인 데이터에 대한 접근, 변경, 이동 또는 삭제를 요청하는 절차는 무엇입니까
• 요청을 제출한 사람의 신원을 확인하는 방법
• 개인 데이터가 판매되는 경우 여기에 설명해야 합니다.
• 데이터 판매를 거부하는 방법

웹사이트 소유자가 직면한 주요 위험은 데이터 침해입니다. 법률에 따라 회사는 소비자 데이터의 무단 액세스 및 도난을 방지할 책임이 있습니다. 이 경우 데이터가 유출된 사용자 는 $100에서 $750 사이의 손해 배상을 청구할 권리가 있습니다. 수천 명의 사용자 데이터가 도난당하는 대규모 데이터 침해는 잠재적으로 회사를 파산으로 이끌 수 있습니다. 1000 x $750를 곱하면 영향을 추정할 수 있습니다.

그러나 민사 소송이 있기 전에 회사는 가능한 경우 "알려진 위반 사항을 시정"할 수 있는 30일이 허용됩니다.