• Law Office Sung

CCPA, 당신이 반드시 알아야 하는 것 3가지

2021. 2. 3.



미국에서 서비스 론칭을 희망하는 스타트업들이 종종 문의하시는 내용 중에 하나가 바로 CCPA(California Consumer Privacy Act)의 적용여부이다. CCPA는 이미 지난 2020년 1월 1일부터 시행이 되고 있기 때문에, 현재 캘리포니아에서 비즈니스를 하고 있는 기업들 뿐만 아니라 장차 캘리포니아에서 비즈니스를 계획하고 있는 기업이라면 필수적으로 검토해야 하는 중요한 법률이다. 오늘은 기업 입장에서 CCPA와 관련하여 반드시 알아야 하는 것, 딱 3가지만 정리해서 설명하고자 한다. 사실 구글에 CCPA 체크리스트라고 검색하면 나오는 내용들은 양이 굉장히 방대하고 검토해야 할 내용도 3가지보다는 훨씬 더 많다. 그러나 나머지 복잡하고 세부적인 내용들은(ex. 예외규정 등) 변호사에게 맡기더라도, 기업 입장에서 반드시 알고 있어야 할 핵심적인 내용 3가지만 간추려보고자 한다.

첫 번째, 나의 비즈니스가 CCPA의 적용대상인지 여부를 확인한다. 가장 중요한 부분으로, CCPA 적용 대상에서 빠진다면 뒤에 더 복잡한 내용들은 머리 싸매면서 검토할 필요도 없겠다. CCPA는 다음의 기준에 하나 이상 해당하는 캘리포니아 내에서 비즈니스를 영위하는 모든 사업체에 적용된다.1) 2,500만 달러 이상의 연간 매출 2) 단독으로 또는 조합하여, 상업적인 목적으로, 연간 50,000명 이상의 캘리포니아 주민, 가구 또는 기기로부터 개인정보를 구매, 수령, 판매하거나 공유 ​3) 연간 매출의 50% 이상을 캘리포니아 주민의 개인정보를 판매함으로써 창출 1)번과 3)번 요건은 상대적으로 해당 여부를 판단하기 용이할 것으로 보이나, 2)번 요건은 경우에 따라서는 판단하기 상당히 애매할 수 있다. CCPA가 개인정보의 정의를 상당히 넓게 보고 있음을 염두하여, 나의 서비스 웹사이트에 방문하는 캘리포니아 거주민이 연간 5만명 이상일 경우 2)번 요건이 충족될 수도 있음을 명심하고 보수적으로 접근할 필요가 있다.

두 번째, 나의 비즈니스가 수집하는 정보가 CCPA의 적용을 받는 정보인지 여부를 확인한다. 기본적으로 CCPA는, "소비자(Consumers)"의 "개인정보(Personal Information)"에 적용되는데, 여기에는 캘리포니아 거주민을 개인 식별할 수 있는 광범위한 정보가 포함된다. 개인 식별할 수 있는 정보의 예는 다음과 같으며, 한정적 열거가 아닌 예시적 열거임을 명심해야 한다. 1) 이름(가명 포함), 주소, 전화번호, 이메일 주소 등 2) 캘리포니아 운전면허번호(DL), 사회보장번호(SSN), 여권번호 등 3) 은행 계좌번호, 신용카드/체크카드 번호, 보험 policy 번호 등 4) 병력 등 건강정보, 의료보험 정보, 지문 등 생체정보 등 5) 직업 정보, 고용 관련 정보 등 6) 공개적으로 접근가능하지 않은 학력 정보 등 7) 성별, 인종, 나이, 결혼여부, 종교 등의 개인정보 등 8) 인터넷 접속 기록, 검색 기록, 온라인 활동 이력 등 9) 계정이름, IP 주소, 온라인 상에 개인을 특정할 수 있는 정보 등 10) 개인의 재산 내역, 쇼핑 기록, 소비 이력 등 단, 여기서 개인의 신원을 식별할 수 없이 특정 그룹이나 단체와 관련한 정보(Aggregate Consumer Information) 또는 특정 개인을 식별할 수 없도록 식별성을 제거한 정보(Deidentified Information)의 경우에는 CCPA의 적용대상에서 제외가 됨을 유념할 필요가 있다. 따라서 최근에는 많은 기업들이 비식별 정보(Deidentified Information)의 형태로 정보를 저장하는 것에 많은 관심을 기울이고 있다.

세 번째, 나의 비즈니스의 사업활동이 CCPA의 적용대상이 되는 활동인지 여부를 확인한다. CCPA의 핵심은, 영리적 목적으로 개인정보를 "수집"하는 행위와 정보의 "판매" 행위 및 "공개" 행위를 규율하는 데에 있다. 수집(Collection) 행위에는, 능동적인 행위 뿐만 아니라 수동적으로 소비자로부터 정보를 수신하거나 소비자의 행동을 관찰하는 모든 행위가 포함된다. 즉, 소비자로부터 직접 정보를 입력받는 경우 뿐만 아니라, 제3자로부터 소비자의 정보를 전달받는 것 또는 개인정보를 자동적으로 수집하는 서버 로그, 쿠키, 기타 온라인 수집 툴을 활용한 모든 형태의 정보수집이 포함될 수 있다. 판매(Sales) 행위에는, 반드시 금전적 대가의 교환을 요구하지 않으며 다른 가치있는 대가를 목적으로 제공되는 경우도 해당할 수 있다. 단, 소비자에게 사전고지를 하고 사업목적을 수행하는 데 반드시 필요한 범위 내에서 서비스 제공자에게 판매한 경우는 CCPA에서 금지하는 판매 행위에 해당하지 않는다. 개인정보를 공개(Disclosure)하는 경우 중 사업목적 수행을 위한 경우는, CCPA에서 규정하는 사전에 소비자의 동의를 얻거나 옵트아웃(Opt out) 옵션을 제시해야 하는 경우에 해당하지 않는다. 단, 사업목적 수행을 위한 경우의 예로는, 다음의 7가지 한정적 예시를 들고 있다. 따라서 아래 7가지에 해당하지 않는 목적으로 정보를 공개할 경우에는 반드시 CCPA 규정을 준수하여 소비자들의 사전동의를 구하면서 옵트아웃 옵션을 제시해야 한다. 1) 감사 2) 보안 3) 디버깅 4) 단기간 일시적 사용 5) 사업체 또는 서비스 제공자를 대신하여 서비스를 수행하는 경우 6) 내부 연구 7) 장치의 안전 및 품질 점검 앞서 설명하였다시피, 위 3가지 내용은 가장 핵심적이면서 CCPA를 처음 검토하는 기업들이 가장 먼저 확인해봐야 할 내용만을 간추린 것으로, 위 3가지 내용을 검토하였다고 하여 CCPA를 문제없이 준수하고 있다고 판단하면 결코 안된다. 위 기본적인 이해를 바탕으로, 각 기업의 상황에 따라 세부적인 예외규정 해당 여부에 대하여는 반드시 캘리포니아 변호사와 상담하여 조언을 구할 것을 권한다.

Recent Posts

See All

스타트업의 지분 배분 (Stock Allocation)

2021. 5. 10. 둘 이상의 창업자들이 함께 설립한 기업의 경우 거의 항상 지분을 어떻게 배분할 것이냐에 대한 이슈가 생긴다. 물론 최초의 창업시점부터 함께한 창업자들이라면 1/n으로 지분을 나누면 깔끔하지 않냐고 반문할 수 있겠지만 각자의 역할과 기여도를 고려하지 않고 단순히 최초에 같이 시작했다는 이유만으로 전부 동일한 지분을 나눠가지는 것은 장

미국 저작권 등록하기 (Registering a Copyright with the U.S. Copyright Office)

2021. 4. 26. 이전의 AI와 IP (저작권) 관련한 글에서 저작권 등록은 필수는 아니지만 다음과 같은 장점들이 있음을 소개한 바 있다. 첫째, 저작물 출판 후 3개월 이내 또는 저작권 침해 행위에 앞서 저작권을 등록할 경우, 저작권자가 소송에서 법정 손해와 변호사 비용도 청구할 수 있다. 반면에 출판 후 3개월 이내에 등록하지 않았거나 실제 저작권

미국에서 사업체 인수하기 (Steps to buying a business in the U.S.)

2021. 4. 20. 요근래 미국에서 창업을 생각하시는 분들의 문의가 굉장히 많아졌다. 동시에 완전한 신규 창업이 아닌 기존의 사업체를 인수하는 방식으로 사업을 시작하시려는 분들의 문의도 늘어나고 있는 추세이다. 흔히들 사업체의 인수라고 하면 구글이 LOOKER를 3조원에 샀네, 삼성이 50조원 규모로 NXP를 인수하네 마네와 같이 대규모의 M&A 딜