정보주체 권리로 알아보는 GDPR과 CCPA 차이점과 유사점


세계 개인정보보호 법제에 주요한 영향을 주는 법이 있습니다. 바로 GDPR과 CCPA입니다. GDPR 출범 이후 EU 국가로 물건을 수출하는 나라들은 GDPR에 명시된 수준 높은 개인정보 보호 법규를 준수해야 합니다. GDPR과 CCPA를 통해 전세계적으로 데이터의 가치와 데이터 보호의 중요성 그리고 정보주체의 데이터 보호 권리가 향상되었는데요.


그런데 GDPR과 CCPA는 어떻게 다른걸까요? 정보주체 권리로 알아보는 GDPR과 CCPA 차이점과 유사점, 시작합니다.


[4개국 법제에 명시된 정보주체 권리]

* 한국의 개인정보보호법과 일본의 개인정보보호법의 차이점은 이후에 다루겠습니다. 오늘은 보너스로 봐주세요.



[유사한 정보주체 권리: GDPR & CCPA]

 GDPR과 CCPA 정보주체 권리 리스트에서 유사한 조항들이 눈에 띄셨을겁니다. 공통적인 조항들에 대해 먼저 설명드릴께요.


1. Right to be informed

 정보주체에게 데이터 수집 목적과 방법에 대해 고지할 의무가 있습니다. 


2. Right of access to information / Right of disclosure

 정보주체는 자신의 데이터를 열람할 권한을 갖습니다. 하지만 GDPR은 다양한 방법으로 정보 접근을 허용하나, CCPA는 서면상의 정보 공개만 허용합니다.


3. Right to erasure

 두 법에서 모두 삭제권을 명시했습니다. GDPR은 필요하지 않은 정보 혹은 데이터 사용목적이 사라졌을 때 데이터 삭제권을 발휘할 수 있지만, CCPA는 특정 상황에 대해서만 데이터 삭제가 가능합니다.


 4. Nondiscrimination

  개인정보권 행사를 했다는 이유로 정보주체를 차별하는 것은 금지되어 있습니다.


 5. Responding to requests

  정보주체의 요청에 대응할 의무가 두 법제에 명시되어있습니다.



[차이점: GDPR에만 존재하는 정보주체 권리]

 차이점입니다. GDPR에만 존재하고 CCPA에는 없는 정보주체 권리, 어떤 것들이 있을까요?


1. Right to rectification

 첫번째는 수정권입니다. 정보주체는 기업 혹은 기관이 수집한 자신의 개인정보가 부정확할 경우 수정권을 발휘해서 해당 정보를 수정할 수 있습니다.


2. Right to restrict processing

 다음은 처리제한권입니다. 정보주체는 기관이 자신의 정보를 사용하는 것에 대해 제한할 권리를 가집니다. 정보주체가 처리제한권을 발휘하면 조직은 이 개인 데이터를 처리하고 저장할 수 있지만 사용하는 것은 허용되지 않습니다. 개인은 데이터 제한을 원하는 특별한 이유가 있어야합니다. 아무런 이유 없이 데이터 사용을 제한하도록 요청할 수 없습니다. 예를 들어 개인은 조직이 수집하거나 저장 한 데이터의 내용에 대해 이의를 “제기하여" 데이터를 제한 할 수 있습니다.

 하지만 CCPA는 개인정보 판매를 거부할 권한만을 갖고 있습니다. 그 외 개인정보 처리에 대해서는 제한할 권한이 없습니다.


3. Right to object to processing

 GDPR 21조에 의하면 개인은 그들의 개인정보 처리에 대해 반대할 권리를 갖습니다. 정당한 절차를 통해 이의를 제기하면 조직은 개인정보를 처리하는 것을 거부 할 수 있음을 의미합니다. 프로파일링을 포함한 자동화된 의사 결정 과정에 대해 정보주체가 대상이 되지 않을 수 있는 권리를 보장하며 프로파일링에 대하여 반대권 제기 시 프로파일링 및 자동화된 의사 결정을 중단하고 필요할 경우 관련 정보를 삭제할 수 있습니다.


4. Rights in relation to automated decision-making and profiling

프로파일링은 ‘개인의 사적인 측면의 평가, 특히 다음 사항의 분석이나 예측을 위한 모든 형태의 자동화된 처리’를 의미합니다. 프로파일링을 포함한 자동화된 의사결정이 정보주체에게 법적 효력 또는 이와 유사한 중대한 효과를 미치는 경우 자동화된 처리에만 의존한 결정을 거부할 수 있도록 명시하고 있습니다.



[차이점: CCPA에만 존재하는 정보주체 권리]


1. Opt-out right for personal information sales

 GDPR은 개인정보 판매와 관련된 조항이 없습니다. 데이터 주체는 처리제한이나 처리반대 혹은 삭제권을 갖고 있습니다.

 하지만 CCPA는 개인의 정보가 상업적으로 판매되지 않을 권리에 대해 명시해 “Do not sell my information” 링크를 홈페이지에 게시할 것은 명시하고 있습니다.



[Wrap-up: GDPR vs CCPA]


 누군가 여러분에게 "GDPR과 CCPA, 가장 큰 정보주체 권리 차이점은 뭔가요?" 이렇게 물으신다면 어떻게 대답하시겠어요?

 저라면 미국은 독특하게 개인정보 주체 권한에 "개인정보 판매 제한권"을 명시되어있지만, GDPR은 폭 넓게 개인정보 제한권을 설정한게 주 차이점이라고 대답할 것 같습니다. :)

-----

[1] 개인정보 보호법

http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%20%EB%B3%B4%ED%98%B8%EB%B2%95


[2] Japan: Protection of Personal Information (APPI) Act to be Amended: Is your Business Ready? (DLA PIPER)

https://blogs.dlapiper.com/privacymatters/japan-protection-of-personal-information-appi-act-to-be-amended-is-your-business-ready/#:~:text=Under%20the%20current%20APPI%2C%20data,Rights%20of%20Data%20Subjects%E2%80%9C


[3] CCPA AND GDPR: SIMILARITIES AND DIFFERENCES YOU MUST KNOW

http://techgenix.com/ccpa-and-gdpr/ 


[4] Right to restrict processing(ICO)

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-restrict-processing/#:~:text=individual%20for%20ID%3F-,What%20is%20the%20right%20to%20restrict%20processing%3F,the%20erasure%20of%20their%20data


[5] GDPR Overview: Rights to Erasure, to Restrict, and to Object(SimplyCast)

https://www.simplycast.com/blog/gdpr-overview-rights-to-erasure-to-restrict-and-to-object/#post 


[6] 우리 기업을 위한 2020 EU일반개인정보보호법 가이드북

https://gdpr.kisa.or.kr/gdpr/bbs/selectArticleDetail.do?bbsId=BBSMSTR_000000000068&nttId=771