California Privacy Rights Act

미국 캘리포니아주의 개인정보보호 일반법으로, 기존 CCPA 대비 강화된 후속법

추진 경과

• 2018년 6월, 캘리포니아 소비자 프라이버시법(CCPA) 주 의회 통과, 2020년 1월 발효
• 2020년 7월, CPPA 시행규칙 제정 등 하위법령의 제도 정비 후 본격 시행
• 2020년 11월, 주민투표를 통해 기존 CCPA 대비 강화된 캘리포니아 개인정보 권리법(CPRA) 통과
• 2023년부터 시행 예정

배경

미국의 각 주(州)에서도 연방법과 마찬가지로 EU GDPR이나 한국의 개인정보보호법 같은 포괄적인 일반법은 없으며, 각 분야별로 개별적 개인정보보호 법률을 규정하고 있다. 그러나 EU GDPR 제정 이후 각 주에서 일반 개인정보보호법 입법 요구 및 제정 움직임이 활발히 전개되었다.

특히 캘리포니아 주는 미국 최초로 민간 분야의 포괄적인 개인정보보호법을 도입했다. 2018년 6월 28일 캘리포니아 주는 소비자의 개인정보보호 권리와 사업체의 개인정보보호 관련 의무사항 등을 규정한 캘리포니아 주 소비자 프라이버시법(California Consumer Privacy Act of 2018, CCPA)을 채택했다. CCPA는 2018년 6월 캘리포니아 주 의회 통과 이후 경과기간을 거쳐 2020년 1월 발효되었으나, 시행규칙 제정 등 하위법령의 제도 정비를 이유로 2020년 7월 1일부터 본격적으로 시행되었다.

CCPA는 캘리포니아 민법전(California Civil Code) 제1.81.5편에 총 19개 조문을 추가하여 편제되어 있다. 동 법은 거주민들에게 소비자로서 개인정보에 대한 폭넓은 통제권을 부여하고, 사업체에게도 다양한 개인정보보호 의무를 부과하는 등 개인정보보호 일반법으로서 EU GDPR과 유사한 점이 많다. 그러나 EU GDPR과는 달리 해당 법률을 관장하는 감독기구가 따로 존재하지 않아, 소비자는 사업체의 CCPA 위반 행위에 대해 감독기구를 통한 피해 구제를 요청할 수 없다. 또한, 동 법이 캘리포니아 주 영토 밖 범위까지 적용되지 않으며, 캘리포니아 주 이외의 지역에 거주하는 캘리포니아 주민에게 적용되지 않기 때문에 EU 역외 국가에도 적용되는 EU GDPR과는 차이가 있다.

캘리포니아 주에서는 이후 2020년 11월 주민투표를 통해 기존 CCPA 대비 소비자의 권리를 확대하고 캘리포니아 개인정보 감독기구 설립 근거를 마련한 캘리포니아 개인정보보호 권리법(California Privacy Rights Act of 2020, CPRA)이 통과되었으며, 오는 2023년부터 시행될 예정이다.

2023년부터 시행될 CPRA는 적용대상, 개인정보 개념 정의, 소비자 권리, 기업 의무 등에서 CCPA와 여러 차이점을 보이며, 특히 미국 내 최초로 개인정보 감독기구를 도입한 것이 특징이다.

주요 내용

주로 CCPA 대비 변화 위주로 기술

참고 문헌

• 개인정보보호위원회 - 국가별 정보 - 미국