2022년 5월 10일, 주지사 Ned Lamont가 법안에 서명하고 코네티컷의 개인정보보호법(Connecticut Data Privacy Act, 이하 CTDPA)이 제정되었습니다.
이번에 제정된 CTDPA는 2023년 7월 1일자로 본격 시행될 예정입니다.
이번 포스팅에서는 CTDPA의 주요 내용을 살펴보겠습니다.
법의 적용 대상
CTDPA는 코네티컷 주에서 사업을 하거나, 코네티컷 주의 주민을 대상으로 한 제품이나 서비스를 생산하는 사람으로, 이하 중 하나에 해당하는 경우에 적용됩니다.
1)100,000명 이상의 소비자 개인 정보를 관리(controlled)또는 처리(결제를 완료하기 위한 목적에서만 관리(controlled)또는 처리된(processed)개인 정보를 제외) 할 경우 2)25,000명 이상의 소비자 개인 정보를 관리(controlled)또는 처리(processed) 하면서 개인 정보 판매에서 총수익의 25%이상을 창출한 경우 CTDPA는 포괄적인 개인 정보 보호 관련 법률이지만, 주/지역 정부, 비영리 기관, 고등 교육 기관에는 적용되지 않습니다.
또한, GLBA(Gram-Leach-Bliley Act), HIPPA(Health Information Portability and Accountability Act), COPPA(Children’s Online Privacy Protection Rule), FRCA(Fair Credit Reporting Act), FERPA(Family Educational Rights and Privacy Act), FCA(Farm Credit Act), ADA(Airline Deregulation Act), DPPA(Driver’s Privacy Protection Act)등 다른 연방법의 적용을 받는 경우에도 적용 대상에서 배 제외합니다.
용어 정의
1. 소비자(Consumer) CTDPA의 보호대상인 소비자는 코네티컷주 주민을 의미하며 상업적 또는 고용관계상의 개인(피고용자, 계약주체 등)은 제외됩니다.
[CTDPA★★ – 섹션 1] (7) “소비자”란 이 주의 거주자인 개인을 말한다.
“소비자”에는 상업적 또는 고용적인 상황에서 또는 회사, 파트너십, 개인 소유권, 비영리 단체 또는 정부 기관의 종업원, 소유자, 이사, 임원 또는 도급업자로 행동하는 개인은 포함되지 않습니다.
해당 개인의 역할 맥락 내에서만 컨트롤러와의 통신 또는 거래가 발생합니다.
회사, 파트너십, 개인사업, 비영리단체 또는 정부기관과의
2. 개인정보(Personal Data) 개인정보란 식별되거나 식별 가능한 개인과 연결되거나 합리적으로 접속할 수 있는 모든 정보를 말하며, 비식별 처리된 정보 또는 대중에게 공개된 정보는 제외됩니다.
[CTDPA 문 – Section 1] (18) “개인 데이터”란 특정 또는 식별 가능한 개인에게 링크되어 있거나 합리적으로 링크 가능한 모든 정보를 말한다.
‘개인 데이터’에는 식별되지 않은 데이터나 공개된 정보는 포함되지 않습니다.
3.민감정보(Sensitive data) 민감정보란 인종 또는 민족, 종교적 신념, 정신 또는 육체적 건강상태나 진단기록, 성생활, 성적지향, 시민권 또는 이민자격상태를 나타내는 정보, 개인을 식별하기 위하여 처리되는 유전정보 또는 생체정보, 13세 미만 아동의 개인정보, 정확한 지리적 위치정보 등의 정보를 말합니다.
[CTDPA 문 – Section 1] (27) “기밀 데이터”란 (A) 인종적 또는 민족적 기원, 종교적 신념, 정신적 또는 신체적 건강상태 또는 진단, 성생활, 성적 지향 또는 시민권 또는 이민상태를 밝히는 데이터, (B) 고유 식별을 위한 유전적 또는 생체정보 처리를 포함하는 개인 데이터를 말한다.
개인, (C) 이미 알려진 아동으로부터 수집된 개인 데이터 또는 (D) 정확한 지리적 위치 데이터를 제공한다.
4. 컨트롤러(Controller)와 프로세서(Processor) CTDPA는 GDPR과 같이 컨트롤러와 프로세서의 개념 및 용어를 도입했습니다.
CTDPA 상 컨트롤러는 개인정보 처리의 목적과 수단을 결정하는 개인 또는 법인을 의미하며 프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 개인 또는 법인을 의미합니다.
[CTDPA 문 – 제1절](8)”컨트롤러”란 개인 데이터를 처리하는 목적과 수단을 단독 또는 다른 사람과 공동으로 결정하는 개인 또는 법인을 말한다.
(21) “프로세서”란 컨트롤러 대신 개인 데이터를 처리하는 개인 또는 법인을 말한다.
소비자 권리 보장소비자 권리 보장CTDPA는 다음과 같은 소비자의 권리를 보장합니다.
-접근권(Right to access):기업이 자신의 개인 정보를 처리하고 있는지 확인하고 해당 개인 정보에 액세스 할 권리-수정권(Right to correct):개인 정보가 부정확한 경우 수정을 요청할 권리-삭제권(Right to delete):자신이 제공한(보유한)개인 정보의 삭제를 요청할 권리-데이터 이동권(Right to data portability):자신이 요구할 권리 개인 정보의 이전에 오프 꼴찌 티 Righttoopt-out):기업이 타겟팅 광고, 판매 또는 소비자에게 법적 또는 이에 해당하는 영향을 주는 자동화된 의사 결정을 촉진하기 위한 프로파일링 때문에 개인 정보를 처리하기를 거부할 수 있는 권리 소비자의 상기의 권리 행사 요청은 45일 이내에 처리되야않고 요청의 복잡성과 양에 따라서 처리 시한을 45일 간 연장할 수 있습니다.
시한이 연장된 경우 컨트롤러는 시한이 연장된 것, 연장된 기한 및 기한 연장의 이유를 소비자에게 통지할 필요가 있습니다.
컨트롤러가 소비자의 이런 요청을 이행하지 않기로 한 경우에도 소비자에게 요청을 거부한 사실과 이유, 이의 제기 방법을 알려야 합니다.
콘트롤러는 12개월 이내의 최초의 리퀘스트의 경우는 수수료를 청구할 수 없습니다.
소비자는 이런 권리를 대신 행사할 수 있는 대리인을 지정할 수도 있습니다.
컨트롤러가 합리적인 노력을 기울이고 대상 소비자의 신원과 해당 대리인이 소비자의 자리에 권리를 행사할 수 있는 권한이 있음을 확인할 수 있는 경우 컨트롤러는 접수된 요청을 처리할 의무가 부여됩니다.
기타 사업자 의무 사항CTDPA는 콘트롤러와 프로세서의 의무 사항을 구분하여 명시하고 있습니다.
CTDPA로 콘트롤러가 준수해야 할 개인 정보 보호 원칙과 의무 사항은 다음과 같습니다.
1. 수집 제한 원칙 콘트롤러는 소비자에게 공개된 처리 목적에 적합하고 관련성이 있고, 합리적으로 필요한 개인 정보만 수집할 수 있습니다.
2. 이용 제한 원칙 소비자에게 사전 동의를 구하등 예외적인 경우가 없는 한, 컨트롤러는 공개된 처리 목적의 범위 내에서 합리적으로 필요한 경우에만 개인 정보를 이용할 수 있습니다.
3. 데이터 보호 의무 콘트롤러는, 개인 정보의 기밀성, 완전성, 가용성 및 가용성을 보호하기 위해서 적합성과 개인 정보를 위해서 4. 사전 동의 의무”민감 정보(Sensitive data)”처리 때는 반드시 정보 주체의 동의를 받아야 합니다.
만약 소비자가 동의를 철회할 경우 컨트롤러는 동의 철회 날로부터 15일 이내에 해당 개인 정보의 사용을 중단해야 합니다.
5. 차별 금지 원칙 소비자가 자신의 권리를 행사했다고 해서, 제품 또는 서비스 제공을 거부하거나 제품 또는 서비스의 가격 또는 품질을 달리하고 제공해서는 안 됩니다.
6. 공개 의무 콘트롤러는 다음 사항을 포함한 개인 정보 처리에 관한 사항을 소비자에게 공개해야 합니다.
-처리하는 개인 정보의 카테고리-개인 정보를 처리할 목적-소비자가 권리를 행사하는 방법-컨트롤러가 제삼자와 공유하는 개인 정보의 카테고리(해당하는 경우)-컨트롤러가 개인 정보를 공유하는 제삼자의 카테고리(해당하는 경우)-소비자가 컨트롤러에 연락하기 위해서 사용할 수 있는 전자 메일 주소 또는 기타 온라인 메커니즘-소비자가 자신의 권리를 행사하기 위한 요청을 제출할 수 있는 1개 이상의 안전에서 신뢰할 수 있는 방법의 설명 7. 개인 정보 영향 평가(Data protectionassessments)개인 정보 처리 리스큰 컨트롤 ties that presents a heightened risk of harm to a consumer)”에 대해서는 개인 정보 영향 평가(Data protection assessment)을 행우와 아니면 안 됩니다.
소비자에게 위해를 가한 위험성이 높은 개인 정보 처리 활동의 유형에는 다음과 같은 활동이 포함됩니다.
-타겟팅 광고 목적의 개인 정보 처리-개인 정보 판매-소비자에게 상당한 손해를 초래할 위험이 합리적으로 예상되는 프로파일링 목적의 개인 정보 처리 8. 개인 정보 처리 위탁 시 준수 사항 개인 정보 처리 위탁이 필요한 경우 콘트롤러와 프로세서는 개인 정보 처리에 관한 지침, 개인 정보 처리의 성질과 목적, 처리하는 개인 정보 주체의 유형, 개인 정보 처리 기간 회사의 권리와 의무를 포함한 구속력 있는 계약을 체결해야 합니다.
한편 CTDPA에 의한 프로세서는 콘트롤러의 지시 사항을 준수할 필요가 있습니다.
또 콘트롤러가 상기의 의무를 다할 수 있도록 개인 정보 영향 평가에 필요한 정보를 제공하고 콘트롤러가 소비자의 권리 행사에 응답할 수 있도록 관리적·기술적 조치를 취해야 하고, 위탁된 개인 정보 보호를 위한 조치를 이행해야 합니다.
법률의 집행 및 벌금이번에 제정된 코네티컷 주의 개인 정보 보호 법은 먼저 제정된 콜로라도 주(주)법 및 버지니아 주 법의 내용과 상당히 비슷하지만 법 적용 범위, 소비자 권리 행사 때 예외 등 그 세부 사항에서 일부 차이가 있는 부분도 존재합니다.
그러므로, 코네티컷 주의 주민을 대상으로 개인 정보 처리가 큰 사업을 영위하는 기업은 법 시행 전에 CTDPA의 법 적용 범위, 사업자가 준수해야 할 사항 등을 확인하고 개인 정보 보호 관리 체계 개선이 필요하지 않을까 검토를 추진할 필요가 있다고 생각됩니다.
또 CTDPA외에도 뉴욕, 미네소타 등에서 주 차원의 개인 정보 보호 관련 법률 제정의 움직임이 계속되고 있는 만큼 미국 내 개인 정보 보호 관련 입법 동향에도 지속적인 관심과 주의를 기울여야 합니다.
네이버는 앞으로도 개인 정보나 프라이버시에 관한 국내외의 유익한 정보나 다양한 이슈에 대해서 소개하겠습니다.
감사합니다。<참고자료>·AN ACT CONCERNING PERSONAL DATA PRIVACY AND ONLINE MONITORING.·Connecticut enacts comprehensive consumer data privacy law(iapp.org)·Connecticut Data Privacy Act Has Been Signed| CompliancePoint-JDSupra* 이 게시물은 네이버 개인정보보호 공식 페이스북에서도 소개하고 있습니다.
작성 [2022.06.02 Data Protection & Privacy 민예진* 이 게시물은 네이버 개인정보보호 공식 페이스북에서도 소개하고 있습니다.
작성 [2022.06.02 Data Protection & Privacy 민예진* 이 게시물은 네이버 개인정보보호 공식 페이스북에서도 소개하고 있습니다.
작성 [2022.06.02 Data Protection & Privacy 민예진