캘리포니아 소비자 개인 정보 보호법(CCPA)
CCPA 개요
CCPA(캘리포니아 소비자 개인 정보 보호법)는 미국 최초의 포괄적인 개인 정보 보호법입니다. 캘리포니아 소비자에게 여러 개인 정보 보호 권한을 제공합니다. CCPA가 규제하는 기업은 공개, GDPR(일반 데이터 보호 규정) 같은 DSR(소비자 데이터 주체 권한), 특정 데이터 전송에 대한 '옵트아웃' 및 미성년자에 대한 '옵트인' 요구 사항을 포함하여 해당 소비자에게 많은 의무를 집니다.
CCPA는 캘리포니아에서 사업을 하고 다음 중 하나 이상을 만족하는 회사에만 적용됩니다. (1) 연간 총 수익이 2,500만 달러 이상이거나 (2) 캘리포니아 소비자 개인 정보 판매에서 연간 수입의 50% 이상을 파생시키거나 (3) 매년 50,000명 이상의 캘리포니아 소비자의 개인 정보를 구매, 판매 또는 공유합니다.
CCPA는 2020년 1월 1일에 발효되었습니다. 캘리포니아 법무 장관 (AG)의 집행은 2020 년 7 월 1 일에 시작되었습니다.
캘리포니아 AG는 CCPA를 시행하고 비준수 벌금을 부과할 권한이 있습니다. CCPA는 또한 데이터 침해로 제한되는 개인 작업 권한을 제공합니다. 개인의 행동권에 따라 피해는 소비자당 사고당 $100에서 $750 사이입니다. California AG는 또한 위반당 $2,500 또는 의도적 위반당 $7,500 이하의 민사 벌금을 부과할 수 있는 능력으로 CCPA 전체를 적용할 수 있습니다.
Microsoft 및 CCPA
캘리포니아에서 비즈니스를 수행하는 상용 고객의 경우 Microsoft는 온라인 서비스 및 전문 서비스 제품과 관련하여 '서비스 공급자' 역할을 합니다. OST(온라인 서비스 약관) 및 MSDPA(Microsoft Professional Services Data Protection 부록)의 조건은 이미 CCPA에 따라 서비스 공급자의 요구 사항을 충족하며 일반적으로 고객이 온라인 서비스로 데이터를 계속 전송할 수 있도록 허용하기에 충분합니다. 따라서 고객이 CCPA에 따라 Microsoft를 서비스 공급자로 사용할 수 있도록 추가 계약 변경이 필요하지 않습니다.
OST에 명시된 대로 Microsoft는 CCPA를 포함하는 온라인 서비스 제공에 적용되는 모든 법률 및 규정을 준수합니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
- Azure
- Azure Dev Ops
- Dynamics 365
- Intune
- Office 365
- 지원 및 전문 서비스
- Visual Studio
Microsoft 제품 및 서비스를 사용할 때 CCPA 규정 준수를 준비하는 방법
CCPA를 준비하기 위해 수행할 수 있는 몇 가지 단계는 다음과 같습니다.
- CCPA 개인 정보 프로그램의 일부로 준수 관리자 에서 GDPR 평가를 활용하기 시작합니다.
- 데이터 주체 요청 도구를 사용하여 DSAR(데이터 주체 액세스 요청)에 효율적으로 응답하는 프로세스를 설정합니다.
- 레이블 및 정책을 설정하여 & 레이블을 검색, 분류 및 Microsoft Purview Information Protection 사용하여 중요한 데이터를 보호합니다.
- 전자 메일 암호화 기능을 사용하여 중요 한 정보를 더욱 강력하게 제어합니다.
질문과 대답
CCPA는 우리 회사에 어떤 영향을 주나요?
캘리포니아주에 부여된 CCPA의 많은 권리는 액세스, 삭제 및 이식성과 같은 공개 및 DSR(데이터 주체 권리) 요청을 포함하여 GDPR이 제공하는 권리와 유사합니다. 따라서 고객은 이미 존재하는 GDPR 솔루션을 확인하여 CCPA 규정 준수를 도울 수 있습니다.
CCPA 여정을 시작하려면 정보 검색, 개인 정보 공유 방법 결정, 사용 방법, 보호 방법 및 공식적인 데이터 위반 대응 프로그램을 마련하는 데 중점을 두어야 합니다.
GDPR과 CCPA 사이의 차이점은 무엇인가요?
많은 차이점이 있습니다. 다음과 같은 유사성에 보다 쉽게 초점을 맞출 수 있습니다.
- 투명성/공개 의무,
- 데이터 복사본에 액세스, 삭제 및 수신하는 소비자 권한
- GDPR이 유사한 계약 의무를 가진 '프로세서'를 정의하는 방법과 유사한 '서비스 공급자'의 정의 및
- '컨트롤러'의 GDPR 정의를 포괄하는 '기업'의 정의입니다.
CCPA의 가장 큰 차이점은 데이터 판매를 제3자에게 옵트아웃할 수 있도록 하는 핵심 요구 사항입니다(가치 있는 고려를 위해 데이터 공유를 포함하도록 광범위하게 정의된 '판매').
CCPA에 따라 기업에서는 어떤 권리를 지원해야 하나요?
CCPA는 무엇보다도 개인 정보를 수집, 전송 및 판매하는 규제 된 기업이 필요합니다.
- 수집 전에 범주 및 수집 목적과 관련하여 소비자에게 공개를 제공합니다.
- 해당 범주를 다른 엔터티에 판매하거나 전송하는 방법을 포함하여 수집되는 개인 정보의 출처, 비즈니스 목적 및 범주에 관한 개인 정보 취급 방침에 더 자세한 공개를 제공합니다.
- 사용자가 수집한 특정 개인 정보에 대한 액세스, 삭제 및 이식성에 대한 DSR 권한을 사용하도록 설정합니다.
- 소비자가 소비자의 데이터 판매를 옵트아웃할 수 있도록 허용하는 컨트롤을 사용하도록 설정합니다. 그러나 서비스 공급자와 같은 예외 엔터티에 대한 전송은 허용됩니다.
- 미성년자의 경우 16세 미만의 미성년자는 적극적으로 판매에 옵트인하지 않고 미성년자의 개인 정보를 판매할 수 없도록 옵트인 프로세스를 사용하도록 설정합니다.
- CCPA에 따라 소비자가 자신의 권리를 행사한 것에 대해 차별을 받지 않도록 하십시오.
CCPA는 어린이에게 적용되나요?
- CCPA는 13세 미만의 어린이를 위한 COPPA(어린이 온라인 개인 정보 보호법)에 따른 보호자의 동의 의무를 도입합니다.
- 13세에서 16세 사이의 어린이의 경우 CCPA는 자녀로부터 옵트인 동의를 받아야 하는 새로운 의무를 부과합니다.
Microsoft Purview 준수 관리자를 사용하여 위험 평가
Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.