보안 / 프라이버시

새로운 미국 캘리포니아주 개인정보보호 권리법, ‘CPRA’에 따른 데이터 사용 제한 강화

Maria Korolov | CSO 2021.01.05
미국 캘리포니아 개인정보보호 권리법(California Privacy Rights Act, CPRA)은 EU의 일반 데이터 보호법(General Data Protection Regulation)을 준수하지 않는 중견 기업이 가장 큰 영향을 받는다.
 
ⓒ Getty Images Bank
     
지난해 11월, 미국 캘리포니아 주는 새로운 소비자 데이터 개인정보 기관을 설립하기 위한 발의안 24, 즉 캘리포니아 개인정보보호 권리법(CPRA)를 승인했다. 캘리포니아 주는 소비자를 위한 개인정보보호 운영 및 기업의 데이터 보안 요구사항 측면에서 미국의 다른 주보다 한 발 더 앞서 있다. 캘리포니아 주는 이미 개인정보보호법, 즉 2018년에 채택된 캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act, CCPA)를 시행하고 있다. CCPA는 2020년 1월에 발효됐으며, 2020년 7월부터 공식적으로 시행됐다. 


CCPA보다 좀 더 엄격한 개인정보보호, CPRA 

ESG 분석가인 크리스토프 버트란드는 “CCPA는 오늘날 소비자를 보호하는 미국의 주요 개인정보보호법 가운데 하나”라고 말했다. 원래 이 법은 좀 더 엄격했다. 버트란드는 "최종 법안을 약화된 것은 많은 정치적 협상으로 인한 것이다”라고 비판했다.

버트란드는 "이제 새로운 법에서는 이런 일이 일어나지 않을 것이다. 일단 통과되면 강화될 수 있을 뿐, 약화시킬 수는 없다"라고 말했다. 그리고 이 법은 통과됐다. CPRA는 44% 유권자의 56% 찬성표를 얻어 승인됐다. 

놀랍게도 투표 발의안에 반대하는 대기업의 로비는 많지 않았다. 롭&롭(Loeb & Loeb)의 파트너이자 이 회사 개인정보보호 및 보안 관행 공동 의장인 제시카 리는 "이는 2020년 엄청난 대혼란의 일부로, 팬데믹과 선거의 준비로 인한 것이라고 생각한다"라고 말했다. 리는 "많은 일이 동시에 일어나고 있었다. 또한 지난 몇 년동안 우리는 IT 대기업에 대한 반발과 많은 개인정보보호 사건들을 겪었다. 따라서 IT 기업이 개인정보보호 법안에 반대하는 입장을 취하는 데에는 홍보 및 브랜드 이미지에 대한 고려 사항이 있었을 것이다"라고 설명했다. 

또한 대기업은 이미 유럽의 GDPR을 준수해야 한다. 리는 “이 법안은 대기업에게 비즈니스 파괴적인 제안이 아니다”라고 덧붙였다. 


CPRA, 일부 요구사항을 강화하고 위험을 줄인다 

CPRA는 일부 요구사항을 강화하고, 캘리포니아를 GDPR에 더 적합하게 만들고, 캘리포니아 개인정보호보국(California Privacy Protection Agency)이라는 새로운 규제 기관을 신설한다. 이전에는 주 법무장관이 다른 모든 책임과 함께 소비자 개인정보보호 문제를 처리했다. 이제 데이터 개인정보보호는 기본 예산 1,000만 달러를 가진 전담 기관을 갖게 되며, 또한 법을 위반한 기업으로부터 징수하는 벌금과 합의금의 일부를 받게 된다. 

이 법은 2023년 1월 1일부터 발효되며, 6개월 후에 시행될 것이다. 리는 “기업은 기본적으로 2년동안 준비할 시간이 있다"라고 말했다.
 
KPMG 사이버보안 서비스 책임자인 오손 루카스는 “2년 동안 추가 조사, 처벌 및 집행 활동에는 많은 변화가 있을 수 있다. 이는 IT 및 비즈니스 환경 변화의 결과일 수 있다. 예를 들어 지금부터 2023년 1월 사이에 중대한 침해 사건이 발생한다면 말이다”라고 예측했다. 

CPRA는 기업의 잠재적인 위험과 책임을 줄여준다. 첫째, CCPA는 최소 5만의 캘리포니아 거주자, 가정, 또는 기기에 서비스를 제공하는 기업에 적용된다. 사이버 보험 업체인 콜리션(Coalition) 청구 책임자 캐서린 라일은 “CPRA가 이를 10만으로 올리고 해당 목록에서 '기기'를 제외시켰다. 특정 계약이 체결되어 있고, 비즈니스 협력업체 자체가 CPRA를 준수할 경우, 기업은 서드파티가 저지른 CPRA 위반에 대해 책임을 지지 않는다. 이는 곧 기업의 잠재적인 책임을 줄일 수 있다”라고 설명했다.

  
준비된 기업만이 최소한의 영향 받는다 

이미 2018년 CCPA, 특히 유럽의 GDPR을 준수하는 기업의 경우, 변경 사항은 미미할 것이다. 에어비엔비(Airbnb), 타겟(Target) 및 옐프(Yelp) 등 수천의 비즈니스 고객을 보유한 브랜치 매트릭스(Branch Metrics)가 여기에 해당한다. 이 기업은 수십억 개의 소비자 기록을 처리하는데, 이 법에 정확하게 적용받는다. 

브랜치 매트릭스 CEO 알렉스 오스틴은 “CPRA에 대해 좋은 점은 어떤 면에서 CCPA보다 GDPR과 더 밀접하게 일치한다는 것이다. 따라서 GDPR를 준비했다면 큰 문제가 되지 않는다”라고 밝혔다. 이는 CPRA를 준수하기 위해 수행해야 하는 변경 사항이 상대적으로 사소한 것임을 의미한다. 오스틴은 “필요한 사항을 변경하는 데 많은 시간도 확보되어 있다. 이 법은 2023년까지 발효되지 않으며, 일반적으로 2022년까지의 데이터에만 영향을 미친다. 즉, 집을 정리하는 데 1년 이상의 기간이 남아있다”라고 말했다.
  
일반적으로 오스틴은 "전 세계적으로 생겨나는 다양한 개인정보보호법 간의 조화로울수록 더 좋다. 브랜치와 같이 전 세계적으로 운영되는 기업의 경우, 이런 긴밀한 협력은 좋은 일이다"라고 덧붙였다.


새로운 데이터 최소화 요구 사항 

딜로이트 미국 개인정보보호 및 데이터 보호 책임자 댄 프랭크는 일부 기업의 경우, CCPA와 CPRA 간의 변화가 상당할 것이라고 말했다. 예를 들어, 데이터 최소화를 수행하는 데, 이 새로운 규정은 기업이 필요한 기간보다 더 오랫동안 개인정보를 보유하는 것을 금지하고 있다. 데이터 삭제와 관련해 기업은 전염병처럼 데이터를 삭제하기 때문에 문제가 될 수 있다. 프랭크는 "일부 데이터는 좋고, 더 많은 데이터는 더 좋고, 모든 데이터는 최고다. 머신러닝 및 AI 시스템으로 데이터를 분석할 수 있으며, 기업이 새로운 제품, 서비스 및 애플리케이션을 개발하는 데 도움을 줄 수 있다"라고 설명했다. 

데이터 삭제는 어려운 문제다. 첫째, 데이터를 보존하기 위한 법적 보존 기간 및 기타 규제, 규정 준수 요건이 있다. 그리고 기술적인 측면도 있다. 데이터 삭제를 두려워하는 요소 중에는 시스템 전반에 걸쳐 존재하는 상호의존성(Interdependencies)이 있다. 프랭크는 "우리는 그 어떤 것도 깨뜨리고 싶지 않다"라고 말했다.
 
프랭크는 대부분의 기업은 만료된 데이터를 익명으로 처리할 계획이라고. "해당 데이터를 AI 시스템을 교육하는 데 계속 사용할 수 있으며, 종속성 문제를 줄일 수 있다. 장기적으로 어떻게 진행될 지 지켜봐야 한다. 만약 해당 데이터가 직접적으로든, 추론에 의해서든 개인 데이터로 귀속될 수 있다면 이는 더 이상 익명화라 볼 수 없다. 어려운 문제다"라고 토로했다. 

이 법에서 ‘합리적(reasonable)’이라는 단어를 사용한 것도 위험 신호다. 합리적이라는 것을 누가 결정하는가? 강력한 데이터 거버넌스 시스템은 기업이 새로운 법의 또 다른 측면을 해결하는 데 도움을 줄 수 있으며, 소비자가 자신에 대한 부정확한 데이터를 수정할 수 있도록 한다. 

EY(Ernst & Young) 미국 개인정보보호 책임자 안젤라 사비체-로한은 "기업이 마스터 데이터 관리를 실제로 효율화하지 않고 해당 데이터에 대한 골드 레코드를 갖고 있지 않다면 이는 어려운 과제다. 한 시스템에서 특정 데이터를 변경하면 다른 모든 프로세스에 어떤 영향을 미치는가"라고 말했다. 


새로운 데이터 공유 요구 사항

기업은 이제 데이터를 공유하는 모든 비즈니스 협력업체도 CPRA를 준수하는지 확인해야 한다. 사비체-로한은 이 법에는 합리적인 사이버보안 조치가 포함되어 있기 때문에 CISO가 개입해야 할 수도 있다고 말했다. 이 작업은 일반적으로 보안 위험 평가 중에 수행된다.  

또 다른 큰 변화는 소비자가 정보를 공유하는 방법과 관련되어 있다. 이전 CCPA에 따라 기업은 캘리포니아 거주 고객에게 데이터를 서드파티에게 판매하지 않도록 선택할 수 있는 기회를 제공해야 했다. 딜로이트의 프랭크는 “이제 판매뿐만 아니라 모든 종류의 공유가 포함된다”라며, “소비자는 개인정보의 특정 사용을 거부할 수 있어야 한다. 소바자가 거부한다면 사용을 중단할 수 있어야 한다. 이를 생각하면 상당히 힘든 작업이다. 데이터 거버넌스가 매우 중요하며 세분화된 동의 관리가 필요할 것이다"라고 설명했다.

 
데이터 침해에 대한 더 많은 책임 

또 다른 차이점은 기업이 데이터 침해에 대해 추가적으로 걱정할 것이 생겼다는 점이다. 예를 들어, 위반 책임은 이제 보안 질문과 함께 사용할 경우, 이메일 주소를 포함한다. 데이터 유출시 미성년자에 대한 정보가 포함된 경우, 벌금이 3배가 될 수 있다. 프랭크는 “어린이에 대한 어떤 정보를 갖고 있는지 인지하고, 사고 발생시 향상된 데이터 보호를 적용해야 한다"라고 충고했다. 

원래 CCPA 법과 새로운 CPRA 법 모두 데이터 침해 사고 후 개별 소비자가 해당 기업을 고소할 수 있도록 허용한다. 프랭크는 "이제 사람들은 이런 소송을 제기할 수 있는 더 많은 기회를 갖게 될 것이다. 아마도 소비자가 허용한 것보다 더 많은 정보를 수집했을 수 있다"라고 말했다. 

법률업체 베이커호스테틀러(BakerHostetler) 파트너인 앨런 프릴에 따르면, CPRA는 또한 다른 방법으로 침해 관련 소송의 가능성을 확대한다. CCPA에 따르면, 소비자들이 불만을 제기하면, 기업이 문제를 해결할 수 있는 기회를 가졌다. 프릴은 "이런 방식으로 문제를 '해결'할 수 있는지 의문이다"라고 비판했다. 

이제 CPRA는 침해 사건이 발생한 후, 보안 허점을 막아 처벌을 피할 수 있는 기능이 포함되어 있지 않다고 분명히 밝히고 있다. 프릴은 “적절한 보안을 유지하지 못하고 침해 사고가 발생한 경우, 해당 사고의 원인을 해결하더라도 여전히 개인적 조치 및 법적 손해에 대한 권리가 남아있다”라며, “이런 상황은 분명히 원고의 변호사에게 환영받을 것이다"라고 예상했다.

또 다른 변화는 소비자가 침해 사고로 인해 피해를 입었다는 사실을 더 이상 입증하지 않아도 된다는 것이다. 이전에도 소송을 제기할 수 있었지만, 피해를 입증해야 했다. 

베이커호스테틀러는 현재 캘리포니아에서 여러 개인정보보호 관련 소송에서 기업을 변호하고 있다. 프릴은 “우리는 피해 기준이 있는 소송에서 훨씬 더 성공적이었다. 대부분의 소비자는 데이터 유출로 인한 실제 금전적 피해를 입증하지 못하기 때문에 무료 신용 모니터링을 받을 수 있다. 여기서 이 게임의 판도를 바꾸는 것은 침해 사고가 발생했다는 사실만으로도 소송을 제기하기에 충분한 피해라고 인정했다는 점이다"라고 설명했다. 

  
입증 책임의 변화, 더 많은 개인정보보호 관련 소송 예상

기업은 이미 개인정보 보호 관련 소송을 예의주시하기 시작했다. 지난달 아동복 소매업체인 한나앤더슨(Hanna Andersson)은 2019년 데이터 유출로 인한 집단 소송에 대응해 40만 달러의 합의금을 지불하기로 했다. CCPA에 의해 이미 소송 중인 기업으로는 세일즈포스(Salesforce), 월마트(Walmart), 온라인 문구 소매업 체인 민티드(Minted), 선샤인 비헤비얼 헬스 그룹(Sunshine Behavioral Health Group), 틱톡(TikTok), 줌(Zoom), 하우스파티(Houseparty) 등이 있다. 

EY의 사비체-로한은 기업이 스스로를 방어해야 하는 대상은 소비자와 변호사뿐만이 아니다. CPRA 자체는 2023년까지 시행되지 않을 것이지만 새로운 캘리포니아 규제 기관은 기존의 법을 시행하면서 즉시 업무에 착수할 것으로 예상된다. 이 새로운 기관은 1월에 기존 CCPA를 시행할 수 있는 능력을 갖게 될 것이다. 그리고 이들은 조치를 강구할 것이다. 집행은 그저 가능성만 있는 것이 아니라 곧 다가올 일이다. 이는 2021년부터 일어날 것이다”라고 경고했다.
 
SANS 연구소의 미국 변호사이자 선임 강사 벤자민 라이트는 중견 기업이 특히 큰 타격을 입을 것이라고 예측했다. 또한 연간 매출이 2,500만 달러 미만인 기업의 경우, 요구사항이 덜 하다. 대기업은 이미 변호사와 규정 준수 전문가로 구성된 팀을 분쟁에 투입할 수 있다. 하지만 중견 기업의 경우, 변호사를 고용할 수 있는 규모의 경제를 갖고 있지 않다.  

또한 새 기관은 캘리포니아의 다른 기관과 의회로부터 얼마나 많은 지원을 받느냐에 따라 목표를 달성할 자원이나 역량이 없을 수도 있다. 라이트는 “이는 GDPR 하에서 이미 유럽에서 일어나고 있는데, 규제 기관은 중소기업에 대해 조치를 취할 가능성이 더 높다”라고 말했다. 
  
라이트는 “대기업은 유럽에서든 캘리포니아에서든 수년간 법정에서 싸울 수 있는 여력이 있다. 규제 기관의 경우, 수년동안 소송을 제기하는 것은 매우 소모적이고 비용이 많이 든다. 강력한 적을 상대로 오랫동안 소송을 제기하는 약한 기관은 직원 이직률이 높을 수 있다"라고 설명했다.

 
CPRA를 준수하는 기업에게는 기회가 온다 

CPRA가 기업에게 모두 나쁜 것은 아니다. ISF(Information Security Forum) 상무 이사 스티브 더빈은 “스마트한 기업이 이를 활용해 개인정보 보호에 대한 규정 준수 및 지원을 입증할 기회로 활용하길 바란다"라고 말했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.