편집자 주: WRAL TechWire는 최근 가장 빠르게 성장하고 가장 복잡한 기술 법률 영역 중 하나를 명확하게 하기 위해 데이터 개인 정보 보호법에 대한 5부작 시리즈를 시작했습니다. 3부입니다.이 스토리에는 이전 게시물이 포함되어 있습니다.

Steve Britt는 사이버, 데이터 개인 정보 보호 및 기술(CIPP/E, CIPM) 고문, Parker Poe 및 Sarah Hutchins는 사이버, 데이터 개인 정보 보호 및 기술(CIPP/US), Parker Poe 파트너입니다.

+ + +

캘리포니아가 2002년에 데이터 침해 통지법을 제정한 첫 번째 주였던 것처럼(앨라배마주는 50개 주였습니다.)^th 2018년 주), 캘리포니아 소비자 개인 정보 보호법(CCPA)으로 알려진 포괄적인 데이터 개인 정보 보호법을 2020년에 제정한 최초의 주입니다. GDPR을 지침으로 사용하지만 최종 결과에 자체 도장을 찍는 캘리포니아는 다음을 포함하여 GDPR과 공통되는 많은 요소를 공유했습니다.

• 의 넓은 정의 개인 정보, IP(인터넷 프로토콜) 주소, 장치 데이터 및 기타 온라인 식별자를 포함하여 자연인과 관련되거나 이를 식별하는 데 사용될 수 있는 모든 정보를 포함합니다.
• GDPR의 데이터 주체 권리의 대부분(전부는 아님) 채택, 이러한 권리가 행사되는 방법에 대한 명확하고 투명한 설명에 따라,
• 수집되는 데이터, 수집 목적 및 제XNUMX자와 공유 여부에 대한 자세한 개인 정보 보호 고지에 대한 요구 사항,
• 데이터가 공유되는 특정 유형의 제XNUMX자에 대한 제한적인 계약에 대한 요구 사항,
• 위험 기반 데이터 보안 표준의 부과,
• 개인정보를 취급하는 모든 직원에 대한 포괄적인 직원 교육 요구,
• 합리적인 데이터 보안을 제공하지 못하여 발생하는 데이터 침해에 대한 제한된 사적 소송 사유로, 그러한 조치에서 사건당 소비자당 $100-$750의 법적 손해가 발생하며, 마지막으로,
• 정부 기관(이 경우 캘리포니아 법무장관)에 의한 CCPA 시행.

데이터 프라이버시와 당신: 법적 관점에서 당신이 정말로 알아야 할 것

제정 당시 CCPA는 GDPR 라이트, 그러나 CCPA가 몇 가지 의미 있는 방식으로 GDPR과 다르기 때문에 개념적 의미에서만 사실이었습니다. 예를 들어, CCPA:

• 2년 동안 비영리 또는 정부 기관 및 면제 직원 및 기업 간(B3B) 접촉에 적용되지 않음,
• 캘리포니아에서 비즈니스를 하는 영리 기업에만 적용되며, 공통 브랜드 계열사와 함께 글로벌 연간 매출이 $25,000,000 이상이고 최소 50,000명의 소비자(기기 포함)에 대한 데이터를 처리하거나 매출의 50%를 판매에서 받습니다. 개인정보의,
• 적절한 데이터 보안 제공 실패로 인한 데이터 침해 피해에 대한 사적 소송 사유 부여(현재 14개 주에서는 데이터 침해 통지법에서 사적 소송 사유를 허용함),
• Gramm-Leach-Bliley, 공정 신용 보고법, 운전자 개인 정보 보호법 및 HIPAA(Health Insurance Portability and Accountability Act)에 의해 규제되는 정보에 의해 규제되는 제외 법인,
• "라고 표시된 회사의 홈페이지에 웹 버튼이 필요합니다.내 개인 정보를 판매하지 마십시오"서비스 제공자에 해당하지 않는 제XNUMX자에게 개인정보를 양도하는 경우,
• 광고 기술 및 마케팅 기술 제공업체를 포착한 "비금전적 대가"를 위한 모든 전송 데이터의 "판매"로 정의
• 마케팅 커뮤니케이션을 위해 쿠키 팝업이나 긍정적인 동의를 요구하지 않았습니다.

게스트 의견: 일반 데이터 보호 규정(GDPR) – 모든 것이 시작된 곳

그러나 CCPA만큼 광범위한 영향을 미치는 것은 잉크가 마르기 전에 2020년 1월 캘리포니아에서 2023년 XNUMX월 XNUMX일부터 발효되는 투표 발의로 캘리포니아 개인정보 보호법(CPRA)을 제정했습니다. CPRA는 CCPA를 수정하고 여러 국가로 확장했습니다. 의미있는 방법. 예를 들어, CPRA:

• CCPA에 대한 관할권 트리거를 100,000명의 소비자(50,000명이 아닌)에 대한 데이터 수집으로 높이고 소비자의 "기기"에 대한 적용 범위를 축소했습니다.
• 캘리포니아 사업체가 캘리포니아 주민의 개인 정보를 계열사와 실제로 공유하지 않는 한 적용 대상 사업의 정의에서 공통 브랜드 계열사 제외,
• "민감한 정보"라는 새로운 범주의 개인 정보를 포함하고 이러한 데이터를 포함하도록 거부 권한을 확장했습니다.
• "공유"라는 데이터의 제XNUMX자 공개 범주를 만들고 "판매 금지" 버튼을 "내 개인 정보를 판매하거나 공유하지 마십시오"로 확장했습니다.
• 기업의 직원과 B2B(기업 간 거래) 연락처를 포함하도록 데이터 권한을 확장했습니다.
• 잠재적인 새로운 규제를 위한 22개의 새로운 영역을 포함하여 광범위한 규제 권한을 가진 전국 최초의 전용 주 데이터 프라이버시 규제 기관(캘리포니아 개인 정보 보호국이라고 함)을 만들었습니다.

캘리포니아 개인정보 보호국(CPPA)의 광범위한 권한을 간과해서는 안 됩니다. 특히 CCPA는 이미 XNUMX차례의 법무장관 규정의 대상이 되었으며 일부 경우에는 법령에 제공된 것 이상의 규칙을 부과하기 때문입니다. 또한 캘리포니아의 사적 사유와 기타 특정 관할권에서는 데이터 침해법에 따른 소송 가능성이 데이터 관리와 관련된 위험을 기하급수적으로 증가시켰습니다.

CPRA에 의해 수정된 CCPA의 복잡성은 이미 GDPR에 필적하지만 캘리포니아와 유럽 연합은 국경 간 이전 제한 및 기타 EU 이니셔티브에 대해 협력한다는 목표를 표명했습니다. 한편, 다음 기사에서 살펴보겠지만, 미국의 다른 주들도 캘리포니아에서 힌트를 얻고 있습니다.

스티브 브릿, CIPP/E, CIPM은 법률 회사 Parker Poe의 사이버, 데이터 개인 정보 보호 및 기술 변호사입니다. 그는 자신의 연습을 다음과 같이 집중합니다. 사이버 보안 및 데이터 개인 정보 보호 법률 및 규정. Britt는 모든 범위의 데이터 보호법에 대해 고객에게 조언합니다. 그는 다음 시간에 도달할 수 있습니다. stevebritt@parkerpoe.com.

사라 허친스, CIPP/US는 법률 회사 Parker Poe의 사이버, 데이터 개인 정보 보호 및 기술 변호사입니다. 그녀는 고객이 비즈니스 소송, 정부 조사, ​​데이터 개인 정보 보호 및 사이버 보안을 탐색하도록 돕습니다. Hutchins에 도달할 수 있습니다. sarahutchins@parkerpoe.com.