CCPA 규정 준수
CCPA(캘리포니아 소비자 개인 정보 보호법)는 개인 정보를 수집, 저장 및 사용하는 방법을 결정하기 위해 캘리포니아 소비자의 권리를 확장합니다. 무허가 판매·교환 또는 소비자의 개인 정보로부터의 보호를 강조하고 있다. CCPA는 2018년에 제정되어 2020년 1월 1일부터 시행되었습니다.
CCPA는 소비자에게 다음과 같은 새로운 권한을 부여합니다.
- 알 권리 지난 12개월 동안 수집, 사용, 공유 또는 판매된 개인 정보 범주.
- 비즈니스 및/또는 서비스 공급자가 보유한 특정 유형의 개인 정보를 삭제할 권한.
- 개인 정보 판매를 거부할 권리.
- CCPA에 따라 개인 정보 보호 권한을 행사한 경우 가격 또는 서비스 측면에서 차별을 금지할 권리.
CCPA 목적으로 이 컨텍스트에서 개인 정보는 다음과 같이 정의됩니다.
특정 소비자 또는 가구를 직접 또는 간접적으로, 식별하거나, 관련짓거나, 설명하거나, 연관될 수 있거나, 논리적으로 연결시킬 수도 있는 정보. (섹션 1798.140)
이와 관련하여 다른 법률이나 규정의 맥락에서 개인 데이터로 간주되지 않을 수 있는 특정 데이터 요소를 망라하고 있다. 상인들은 법을 준수할 것인지, 어떻게 해야 하는지를 판단할 때 이를 염두에 두어야 한다.
또한 CCPA는 기업이 합리적인 보안 을 제공하도록 요구하며, 데이터 침해가 있는 경우 법적 조치를 취할 수 있는 권리를 포함하여 소비자를 위한 확장된 데이터 보호 조항을 포함합니다.
귀하와 귀하의 비즈니스에 적용될 수 있는 모든 CCPA 요구 사항을 준수해야 하는지 여부와 그 방법을 결정하려면 법률 고문과 상의하십시오. 여기에는 기업이 법에 따라 이행해야 하는 새로운 고지 사항, 옵트아웃, 기록 보존 요구 사항이 포함됩니다.
비즈니스 요구 사항
CCPA는 캘리포니아에서 사업을 하고 다음 중 하나를 충족하는 영리 기업에 적용됩니다.
- 연간 총수입이 2,500만 달러가 넘는다
- 10만 명 이상의 캘리포니아 거주자, 가구 또는 장치의 개인 정보를 구매, 수신 또는 판매
- 캘리포니아 거주자의 개인 정보를 판매하여 연간 매출의 50% 이상을 얻습니다.
CCPA 규정 준수 안내서
이 섹션에서는 판매자가 캘리포니아 소비자 개인 정보 보호법(CCPA)과 같은 개인 정보 보호 규정을 준수하는 데 필요한 단계에 대한 높은 수준의 개요를 제공합니다.
GDPR 및 CCPA
귀사에서 일반 데이터 보호 규정(GDPR) 및 CCPA를 모두 준수해야 하는 경우 CCPA에 대한 GDPR 준수 프로그램의 작업 중 일부를 사용할 수 있습니다. 규정에는 몇 가지 유사성이 있지만 몇 가지 차이점이 있습니다.
- 개인 정보의 정의는 규정마다 서로 다르다.
- GDPR은 소비자가 개인 데이터를 특정 용도로 사용하기 전에 옵트인하도록 요구합니다. CCPA는 소비자에게 옵트아웃 권한을 제공합니다.
- CCPA에는 추가 데이터 인벤토리 및 매핑 요구 사항이 있습니다.
- 규정에는 서로 다른 개인정보 처리방침 요구 사항이 있습니다.
GDPR을 준수하는 기업은 CCPA에 따라 추가적인 의무가 있을 수 있습니다. 자세한 내용은 CCPA 팩트시트{:target="_blank"}를 참조하십시오.
규정 준수 로드맵
규정 준수를 해결하기 위한 계획을 수립하고 실행하기 위해 조정된 노력이 필요합니다. 이 로드맵을 리소스를 동원하고 작업의 우선 순위를 지정하는 지침으로 사용하여 여러 측면에서 앞서 나갈 수 있습니다. 이 프로세스는 기본적으로 모든 Commerce 설치에 대해 동일하며, 다음 예외가 있습니다.
-
클라우드 인프라의 Adobe Commerce: Adobe 클라우드 인프라{:target="_blank"}에서 호스팅된 스토어를 사용하는 판매자는 Adobe Commerce 기술 계정 관리자 또는 고객 지원 팀에 소비자 요청에 대한 도움을 요청할 수 있습니다.
-
온-프레미스: Adobe Commerce 또는 Magento Open Source의 온-프레미스 설치를 사용하는 판매자는 개인 정보 보호 규정과 관련된 소비자 요청에 대응하고 관리할 수 있는 고유한 프로세스 및 도구를 개발해야 합니다.
1단계: 다양한 분야의 사람들이 함께 일하는 팀을 구성하여 규정 준수 문제 해결
비즈니스에서 다음 기능 역할을 나타내는 팀을 구성하고 교육 세션을 예약하여 법률을 신속하게 추진할 수 있습니다. 그런 다음 역할별로 이해 당사자에게 필요한 작업을 할당합니다.
- 비즈니스 전략 및 운영
- 리걸
- 정보 기술
- 사용자 경험
- 고객 서비스
- 관리 지원
비즈니스 관점에서 귀사가 이러한 개인 정보 보호 조치를 캘리포니아의 소비자에게만 적용할지, 아니면 지역에 상관없이 모든 소비자가 사용할 수 있도록 할지 결정해야 합니다.
2단계: 디지털 속성의 인벤토리 가져오기
이해 당사자: 정보 기술, 법률, 관리 지원
모든 통합 및 소비자 데이터에 액세스할 수 있는 사용자를 포함하여 디지털 속성의 인벤토리를 작성합니다.
-
웹 사이트 및 모바일 애플리케이션을 통해 수집되는 공개 및 비공개 개인 정보를 파악합니다. 예를 들어 표준 Commerce 데이터베이스에는 다음과 같은 유형의 공개 및 비공개 개인 정보가 저장됩니다.
-
공개: 위시리스트, 제품 리뷰
-
개인: 고객 정보, 주문 정보, 보상 포인트, 선물 등록, 주소록, 상점 크레딧, 결제 방법, 청구 계약, 뉴스레터 구독, 초대.
Commerce 설치를 사용자 지정한 경우 추가 개인 정보가 수집될 수 있습니다. 개인 정보는 정보를 수집하는 쿠키, 태그 및 기타 기술에 있을 수도 있습니다.
-
-
데이터를 공유하는 당사자를 식별합니다. 서비스 공급자와 서드파티가 포함되어야 합니다. 제3자에는 고객으로부터 직접 개인 정보를 수집하지 않는 광고 네트워크, 인터넷 서비스 제공자, 데이터 분석 제공자, 정부 주체, 운영 체제 및 플랫폼, 소셜 네트워크 및 소비자 데이터 리셀러가 포함됩니다.
-
서비스 공급자: 비즈니스 목적으로 소비자 데이터에 액세스할 수 있으며 귀하를 대신하여 서비스를 제공하는 엔터티입니다. 예를 들어, Adobe은 일부 사용자 지정, 확장 및 서비스 개발자와 마찬가지로 서비스 공급자입니다.
Google Universal Analytics, Google Tag Manager 및 사용하는 기타 데이터 서비스의 기본 설정을 확인하고 규정 준수에 필요한 변경을 수행합니다. 자세한 내용은 Google 개인 정보 설정을 참조하세요.
-
기타 타사: 소비자 데이터를 공유하거나 판매하는 엔터티입니다. 예를 들어, 광고의 대가로 소비자 데이터를 광고 네트워크와 공유할 수 있습니다.
-
3단계: 스토어에서 고객 여정 및 데이터 수집 프로세스 매핑
이해 당사자: 사용자 경험, 정보 기술, 관리 지원
-
[고객 여정]에서 개인 정보를 수집하는 각 지점과 각 단계에서 수집되는 정보의 유형을 식별합니다.
사이트 방문자에게 미리 또는 데이터 수집 시점에 알려야 합니다. 예를 들어 사용자 정의 통합이 없는 스토어는 고객 계정이 만들어지고 체크아웃 중에 개인 정보를 수집합니다. 스토어에 사용자 정의 통합이 있는 경우 식별할 추가 데이터 항목 및 속성이 있을 수 있습니다.
-
각 버전에 적용할 수 있는 데이터 흐름 다이어그램 및 데이터베이스 엔티티 매핑에 대해서는 다음 항목을 참조하십시오.
4단계: 고객 요청에 응답할 절차 및 메커니즘 설정
이해 당사자: 고객 서비스, 정보 기술, 사용자 경험, 관리 지원
데이터 관리 관점에서 각 개인 정보 요청에는 다음 당사자가 포함됩니다.
-
데이터 주체(소비자): CCPA에 따라 캘리포니아에서 구매 및/또는 고객 계정 관리를 위해 개인 정보를 제공하는 사람은 개인 데이터에 액세스하거나 삭제하도록 요청을 제출할 수 있습니다.
-
CCPA의 범위 내에서 비즈니스 역할을 하는 엔터티(브랜드): Commerce 상인은 상점에서 구매를 수행하는 고객 및 게스트의 개인 정보를 수집하고 저장합니다.
-
데이터 프로세서(기술 공급업체): Adobe Commerce 및 Magento Open Source은 판매자에게 제공되는 서비스의 일부로 저장된 개인 데이터의 처리자 역할을 합니다. Adobe은 처리자로서 라이선스 계약에 따라 상인의 허가 및 지시에 따라 개인 데이터를 처리합니다.
상인은 다음 작업을 수행할 책임이 있습니다.
-
DSAR(데이터 주체 액세스 요청)와 관련된 당사자를 식별하고, 확인, 옵트 아웃 또는 삭제를 요청하는 사람의 ID를 확인합니다. 암호로 보호된 고객 계정이 있는 사람 또는 게스트로 스토어에 쇼핑을 하는 사람이 적용됩니다.
-
소비자의 확인 가능한 소비자 요청을 받은 후 45일 이내에 소비자의 권리 요청에 따라 정보를 공개하고 소비자에게 전달합니다. 단, 가능하지 않은 경우는 예외입니다. (이 법에는 기업이 최대 45일의 지연 기간 동안 규정 준수를 유지하기 위한 기타 특정 요구 사항이 포함되어 있습니다.)
상인은 요청을 받은 날로부터 45일 이내에 각 DSAR에 응답해야 합니다. 필요시 가맹점은 요청이 접수된 날로부터 최대 90일 동안 최대 45일이 더 소요돼 응대할 수 있다. 이는 가맹점이 지체이유를 고객에게 설명하라고 통보하는 것이다.
-
스토어에서 필요한 알림을 제공하고 소비자 응답을 수집하기 위한 메커니즘을 개발합니다.
-
응답 절차를 설정하고 다음 요청을 각각 문서화합니다.
-
알아 둘 요청 - 스토어 방문자에게 판매 또는 서드파티와 개인 정보를 공유해야 하는 모든 계약에 대한 정보를 알리고 옵트아웃할 수 있도록 허용해야 합니다. 개인 정보 사용에 대한 세부 사항 및 데이터를 공유하거나 판매하는 당사자는 개인정보 처리방침에서 유지 관리할 수 있습니다.
-
옵트아웃에 대한 요청 - 개인 데이터가 가치 있는 대가를 받고 제3자에게 판매되거나 전송되는 경우 CCPA는 수집된 각 지점에서 내 정보 판매 금지 링크를 요구합니다. 확인란 및 버튼과 같은 추가 사용자 지원 입력 컨트롤은 개인이 유효한 옵트아웃 요청을 제출할 수 있도록 데이터 수집 시점에 이메일 통신, 웹 사이트 환경 설정 또는 웹 사이트 양식에 사용할 수 있습니다.
-
삭제 요청
- Adobe Commerce Cloud에서 스토어가 호스팅되는 가맹점은 Adobe 지원 센터에 문의하여 개인 정보 삭제 지원을 받아야 합니다. 자세한 내용은 Adobe 기술 계정 관리자 또는 고객 지원 센터에 문의하십시오.
- Adobe Commerce 또는 Magento Open Source 온프레미스의 설치를 실행하는 판매자는 요청 시 개인 정보를 삭제하기 위한 자체 프로세스와 스크립트를 구현해야 합니다.
-
5단계: 필요한 고객 알림에 대한 컨텐츠 작성
이해 당사자: 법률, 고객 서비스, 사용자 경험, 정보 기술, 관리 지원
-
법률 변호사와 협력하여 CCPA 의무를 준수하기 위해 웹 사이트에 추가해야 하는 공지 유형을 결정합니다.
-
수집 알림: 소비자로부터 개인 정보를 수집하는 시점 또는 그 이전에 제공된 알림입니다. 안내문은 일반 언어로 작성되어야 하며, 일반 사람들이 이해하기 쉽도록 작성되어야 합니다. 알림은 눈에 잘 띄고 웹 사이트 콘텐츠와 하나 이상의 동일한 언어로 제공되어야 합니다.
-
옵트아웃 권리 고지: 소비자에게 개인 정보 판매를 거부할 권리를 알리는 고지 사항입니다.
-
금융 인센티브 알림: 귀사에서 개인 정보와 교환하여 받는 각 금융 인센티브, 가격 또는 서비스 차이를 설명하는 알림입니다.
-
개인 정보 수집 및 사용 요청을 제출하는 방법: 개인 사용자가 다음에 대해 수집한 개인 정보를 공개하도록 요청하는 지침:
- 소비자에 대해 수집한 특정 개인 정보
- 소비자에 대해 수집한 개인 정보 범주
- 개인 정보가 수집되는 소스의 카테고리
- 비즈니스 목적으로 판매하거나 공개한 소비자에 대한 개인 정보의 범주
- 개인정보가 영업상 목적으로 판매 또는 공개된 제3자의 범주
- 귀사에서 개인 정보를 수집 및/또는 판매하는 이유
-
-
팀에 콘텐츠를 보내고, 가능한 경우 법률 자문을 구해 검토를 요청합니다.
-
알림이 표시되는 위치, 알림 작동 방식(각 방문에 대해, 인증 시 또는 클릭스루에 대해), 다른 콘텐츠와 관련한 알림의 위치와 형식을 결정합니다.
-
승인된 콘텐츠를 개발 팀에 전달합니다.
6단계: 서비스 공급자와의 계약 검토
이해 당사자: 법률, 관리 지원
CCPA 요구 사항을 반영하도록 모든 서비스 공급자 계약을 검토하고 필요한 경우 업데이트합니다.
7단계: 개인정보 처리방침 업데이트
이해 당사자: 법률, 관리 지원
현재 개인정보 처리방침을 검토하고 필요한 경우 추가 공개를 고려하십시오.
-
개인 정보 사용: 개인 정보 수집 내용과 개인 정보 판매 대가로 받는 금전적 혜택을 공개해야 합니다. 또한 CCPA에 따라 인센티브가 허용되는 방식 및 개인 정보의 가치가 계산되는 방식에 대한 설명이 필요합니다.
-
동의 연령: 미성년자에 대한 개인 정보를 수집하거나 사용하는 경우 다음 요구 사항이 적용될 수 있습니다.
-
미성년자 < 13: 13세 미만의 미성년자가 개인 정보 판매를 옵트인하려면 부모 승인이 필요합니다.
-
미성년자 13~16: 기업이 해당 조치를 문서화하는 합리적인 절차를 확립하는 경우 만 13세 이상 16세 미만의 미성년자는 개인 정보 판매를 선택할 수 있습니다. 프로세스는 회사의 개인정보 처리방침에 설명되어야 합니다. 사업자가 이 연령대의 미성년자로부터 요구를 받으면 나중에 퇴출할 수 있는 권리를 알리고, 그 방법을 설명해야 한다.
note important IMPORTANT 가맹점은 Commerce 플랫폼 또는 시스템에 자녀의 개인 데이터를 저장할 수 없습니다. 수집된 데이터가 미성년자의 것이라고 믿을 만한 이유가 있는 경우 Adobe 라이선스 약관 위반을 방지하려면 Commerce 플랫폼에서 즉시 제거해야 합니다. -
8단계: 모든 관련 절차 문서화 및 레코드 유지 관리
이해 당사자: 고객 서비스, 관리 지원
각 개별 권한 요청이 수신된 후 24개월 동안 요청 및 회사의 응답을 기록합니다.