2020년 11월 3일, 새로운 캘리포니아 개인정보보호법인 CPRA가 투표로 의결될 예정입니다. 과반수 이상이 동의한 경우 2023년 1월 1일부터 효력을 발휘하게 됩니다.
CPRA. CCPA와 비교해서 어떤 점이 달라졌을까요?
규제되는 기업에 대한 새로운 기준
CCPA에 비해 처리하는 소비자 혹은 가계의 정보 수를 50,000에서 100,000으로 상향함으로 소기업에 대한 적용을 줄였습니다.
연간수익이 50%이상 개인정보를 팔거나 “공유"로 발생한 경우로 조건을 확대함으로, 제 3자 공유로 얻는 수익을 조건에 추가했습니다.
CCPA | CPRA |
(1) Has $25+ million in annual revenue;
(2) buys or sells, OR receives or shares for business’s commercial purpose, PI of 50,000+ consumers, households or devices; or
(3) derives at least 50% of annual revenue from selling consumer PI. | (1) Has $25+ million in annual revenue;
(2) buys, sells or shares PI of 100,000+ consumers or households; or
(3) derives at least 50% of annual revenue from selling or sharing consumer PI. |
민감정보에 대한 새로운 분류
CCPA | CPRA |
Implicitly includes sensitive PI in broader regulated dataset, but does not impose separate requirements and prohibitions for sensitive PI (other than increased verification requirements). | Imposes separate requirements and restrictions on sensitive PI: Disclosure requirements Opt-out requirements for use and disclosure Opt-in consent standard for use and disclosure Purpose limitation requirements
|
새로운 그리고 수정된 개인정보 권한
[신설된 개인정보 보호권]
Right to Correction: 소비자는 그들의 개인정보가 부정확하다면 수정을 요청할 수 있다.
Right to Opt Out of Automated Decision Making Technology: 자동화된 프로파일링에 대해 거부(Opt-Out) 할 수 있다.
Right to Access Information About Automated Decision Making: 자동화된 의사결정 로직에 대해 의미있는 정보를 요청할 수 있는 권리를 갖는다.
Right to Restrict Sensitive PI: 2차 목적을 위해 민감정보가 사용 혹은 공개되는 것을 제한할 수 있으며 제 3자에게 민감한 개인정보를 공개하는 것을 금지할 수 있다.
[수정된 개인정보 보호권]
Modified Right to Delete: 기업은 일부 예외에 해당할 경우, 제 3자에게 구매하거나 받은 소비자 개인정보를 삭제할 것을 요청해야 한다.
Expanded Right to Opt Out: 민감한 개인정보에 대한 판매를 Opt-out 할 수 있다.
Strengthened Opt-In Rights for Minors: 미성년자가 그들의 정보를 제공하는 것을 거부한 경우, 12개월 이후에 그들의 개인정보 판매나 공유 목적으로 동의를 요청할 수 있다.
Expanded Right to Data Portability: 소비자의 개인정보 제공을 비즈니스에 요청할 수 있다.
CCPA | CPRA |
1. Right to Know
2. Right to Delete
3. Right to Opt Out of Third-Party Sales
4. Right to Nondiscrimination
| 1. Right to Know
2. Right to Delete
3. Right to Opt Out of Third-Party Sales and Sharing
4. Right to Limit Use and Disclosure of Sensitive PI
5. Right to Correction
6. Right to Access Information About Automated Decision Making
7. Right to Opt Out of Automated Decision Making Technology
8. Right to Nondiscrimination |
타겟 광고를 위한 개인정보 제공 통제
광고를 타겟화 광고와 비타겟 광고로 구별했다. 타겟광고를 위한 개인정보 공유에 Opt-out할 수 있는 권한을 주었다.
CCPA | CPRA |
Opt-out right restricts sharing of PI only for advertising purposes in exchange for money or other valuable consideration. | Opt-out right explicitly extends to PI used for cross-context behavioral advertising, which may or may not involve an exchange for money or other valuable consideration. |
새로운 개인정보 집행 기관 생성
CPRA는 California Privacy Protection Agency (CPPA)을 설립할 것이며, 이 기관은 조사 권한을 부여받고, 집행 조치를 취하고 규정을 공포하는 임무를 맡게 될 것이다. 현재는 기업들은 위반 사항에 대해 30일간의 치유기간(Cure period)을 갖지만, CPRA는 이 치유기간을 제거할 예정이며 아동과 관련된 위반사항에는 현재의 3배인 최대 $7,500 벌금으로 상한선을 조정한다.
CCPA | CPRA |
California Office of the Attorney General (OAG) | California Privacy Protection Agency (CPPA) |
[요약]
Standard | CCPA | CPRA |
New criteria for which businesses are regulated | (1) Has $25+ million in annual revenue;
(2) buys or sells, OR receives or shares for business’s commercial purpose, PI of 50,000+ consumers, households or devices; or
(3) derives at least 50% of annual revenue from selling consumer PI. | (1) Has $25+ million in annual revenue;
(2) buys, sells or shares PI of 100,000+ consumers or households; or
(3) derives at least 50% of annual revenue from selling or sharing consumer PI. |
New category of ‘Sensitive personal information’ | Implicitly includes sensitive PI in broader regulated dataset, but does not impose separate requirements and prohibitions for sensitive PI (other than increased verification requirements). | Imposes separate requirements and restrictions on sensitive PI: Disclosure requirements Opt-out requirements for use and disclosure Opt-in consent standard for use and disclosure Purpose limitation requirements
|
New and expanded consumer privacy rights | 1. Right to Know
2. Right to Delete
3. Right to Opt Out of Third-Party Sales
4. Right to Nondiscrimination | 1. Right to Know
2. Right to Delete
3. Right to Opt Out of Third-Party Sales and Sharing
4. Right to Limit Use and Disclosure of Sensitive PI
5. Right to Correction
6. Right to Access Information About Automated Decision Making
7. Right to Opt Out of Automated Decision Making Technology
8. Right to Nondiscrimination |
Directly regulates the sharing of PI for cross-context behavioral advertising | Opt-out right restricts sharing of PI only for advertising purposes in exchange for money or other valuable consideration. | Opt-out right explicitly extends to PI used for cross-context behavioral advertising, which may or may not involve an exchange for money or other valuable consideration. |
New privacy enforcement authority | California Office of the Attorney General (OAG) | California Privacy Protection Agency (CPPA) |
---
[1] The California Privacy Rights Act, or “CCPA 2.0”: An Explainer(manatt)
https://www.manatt.com/insights/newsletters/client-alert/the-california-privacy-rights-act-or-ccpa-2-0-an#:~:text=a.&text=The%20CPRA%20modifies%20the%20definition,to%20small%20and%20midsize%20businesses
[2] The CPRA Will Bring New Rights, Responsibilities and Regulators to California Data Privacy Law(JDSUPRA)
https://www.jdsupra.com/legalnews/the-cpra-will-bring-new-rights-26767/
[3] Californians for Consumer Privacy