제3자 및 캘리포니아 소비자 개인정보 보호법(CCPA)

끊임없이 변화하는 오늘날의 데이터 환경에서 모든 기업은 비즈니스 활동을 추진하는 데 도움이 되는 제3자와의 파트너십에 의존합니다. 우리의 데이터 중심 경제를 통해 조직은 고객 참여를 구축하고 소비자 통찰력을 높이며 수익을 늘릴 수 있지만 CCPA가 조직에 가하는 새로운 제한으로 인해 타사 데이터 사용이 과거의 일이 되었습니까? 다행히도 많은 조직에서 CCPA의 이러한 제한을 준수하는 것은 단순히 타사 공급업체를 식별하고 계약 내에서 이러한 관계를 정의하고 새로운 판매 거부 규칙을 준수하기 위한 프로세스를 구현하는 문제가 될 것입니다.

시작하려면 조직에서 CCPA가 제3자를 정의하는 방법을 이해해야 합니다. 섹션 1798.140 (w) 에 따르면 "제3자"는 다음 중 어느 하나에 해당하지 않는 사람을 의미합니다.

1. 이 제목에 따라 소비자로부터 개인 정보를 수집하는 사업.
2. 사업자가 서면 계약에 따라 사업 목적으로 소비자의 개인 정보를 공개하는 사람.
   1. 다음으로부터 개인정보를 받는 사람을 금지합니다.
      1. 개인정보를 판매합니다.
      2. 계약에 명시된 서비스 제공 이외의 상업적 목적으로 개인 정보를 보유, 사용 또는 공개하는 것을 포함하여 계약에 명시된 서비스의 특정 목적 이외의 다른 목적으로 개인 정보를 보유, 사용 또는 공개하는 행위 .
      3. 개인과 비즈니스 간의 직접적인 비즈니스 관계를 벗어나 정보를 보유, 사용 또는 공개하는 행위.
   2. 개인정보를 제공받는 자가 (가)의 제한사항을 이해하고 준수할 것이라는 인증을 포함합니다.

이것은 "서비스 제공자"와 혼동되지 않는 "사업을 대신하고있는 상태 프로세스 정보가 사업 계약서에 사업 목적에 따라 대한 소비자의 개인 정보를 개시한다"고 법인으로 CCPA의 정의 . 즉, 지침에 따라 데이터를 사용하는 비즈니스 조직 자체와 서비스 제공자는 제3자로 간주되지 않습니다. 그러나 비즈니스와 데이터를 교환하는 다른 많은 조직은 타사 범주에 속합니다.

조직에서 이러한 공급업체 관계를 처리하는 방법을 결정하려면 먼저 조직에서 데이터를 수신하는 모든 공급업체 및 제3자의 목록을 작성해야 합니다. CCPA vs. GDPR 에 대한 이전 블로그에서 언급했듯이 GDPR 준비에서 기존 데이터 맵이 있으면 이 프로세스에 도움이 됩니다. 데이터 맵에는 비즈니스가 데이터를 공유하는 모든 조직과 데이터 공유 목적이 포함되어야 합니다. 엔지니어링에서 HR, 재무에 이르기까지 조직의 모든 기능 영역도 고려해야 합니다. 회사에서 설명해야 하는 일상적인 비즈니스를 수행하기 위해 단순한 제품 개발 이외의 데이터를 공유할 수 있습니다.

데이터가 조직 외부로 전송되는 위치를 파악한 후에는 해당 조직과의 계약을 검토하여 데이터에 대한 파트너/벤더의 권리를 평가하고 추가 개인정보 영향 평가가 필요한지 결정해야 합니다. 제3자가 조직에 지정된 서비스를 제공할 목적으로만 데이터를 사용할 수 있습니까? 아니면 컨트롤러 역할을 하고 데이터로 수행할 수 있는 작업을 결정할 수 있습니까? (CCPA에는 컨트롤러/프로세서 언어(GDPR과 다름)는 계약에서 컨트롤러와 프로세서를 식별하는 데 도움이 될 수 있으므로 조직 간에 공유되는 데이터와 관련하여 의사 결정자가 누구인지 알 수 있습니다. 후자의 경우 조직은 소비자와의 이러한 관계를 공개하고 데이터 판매를 "선택 해제"할 수 있는 옵션을 제공해야 할 것입니다.

여기에서 상황이 까다로워지고 많은 데이터 기반 비즈니스 관계가 중단될 수 있습니다. CCPA에 따른 "판매" 데이터의 광범위한 정의로 인해 조직은 공급업체/파트너 관계를 실제로 검토하여 데이터를 "판매"할 수 있는 대상과 "옵트아웃" 기능을 추가해야 하는지 여부를 결정해야 합니다. 그들의 웹사이트. 1798.140 (t) 항 에 따라 "판매", "판매", "판매" 또는 "판매된"은 다음을 의미합니다.

1. 금전적 또는 기타 가치 있는 대가로 사업체에서 다른 사업체 또는 제3자에게 소비자의 개인 정보를 판매, 임대, 릴리스, 공개, 보급, 사용 가능하게 하거나 이전하거나 구두, 서면 또는 전자적 또는 기타 수단으로 전달 .
2. 이 제목의 목적을 위해 기업은 다음과 같은 경우 개인 정보를 판매하지 않습니다.
   1. 소비자는 개인 정보를 의도적으로 공개하도록 비즈니스를 사용하거나 지시하거나, 제3자와 의도적으로 상호 작용하기 위해 비즈니스를 사용합니다. 단, 공개가 이 제목의 조항과 일치하지 않는 한, 제3자도 개인 정보를 판매하지 않습니다. 의도적 상호 작용은 소비자가 하나 이상의 고의적 상호 작용을 통해 제3자와 상호 작용하려고 할 때 발생합니다. 특정 콘텐츠 위로 마우스를 가져가거나, 음소거하거나, 일시 중지하거나, 닫는 것은 제3자와 상호 작용하려는 소비자의 의도를 구성하지 않습니다.
   2. 기업은 소비자가 소비자의 개인 정보 판매를 거부했음을 제3자에게 알리기 위해 소비자의 개인 정보 판매를 거부한 소비자의 식별자를 사용하거나 공유합니다.
   3. 사업자는 사업 목적을 수행하는 데 필요한 소비자의 개인정보를 다음의 두 가지 조건을 모두 충족하는 경우에 사용하거나 서비스 제공자와 공유합니다. 개인정보를 판매하지 않습니다.
      1. 사업체는 정보가 1798.135항과 일치하는 약관에 따라 사용되거나 공유된다는 통지를 제공했습니다.
      2. 서비스 제공자는 사업상 필요한 경우를 제외하고는 소비자의 개인정보를 더 이상 수집, 판매, 이용하지 않습니다.
   4. 기업은 소비자의 개인 정보를 자산으로 제3자에게 양도, 합병, 인수, 파산 또는 정보가 사용되는 경우 제3자가 비즈니스의 전부 또는 일부를 통제하는 기타 거래를 양도합니다. 섹션 1798.110 및 1798.115와 일관되게 공유됩니다. 제3자가 수집 당시의 약속과 실질적으로 일치하지 않는 방식으로 소비자의 개인 정보를 사용하거나 공유하는 방법을 크게 변경하는 경우 새로운 관행 또는 변경된 관행을 소비자에게 사전 통지해야 합니다. 통지는 기존 소비자가 1798.120항에 따라 일관되게 선택을 쉽게 행사할 수 있도록 충분히 눈에 띄고 강력해야 합니다. 이 하위 조항은 사업체가 불공정하고 기만적인 관행법(제5장(섹션 17200부터), Division 7, Part 2)을 위반하는 방식으로 중요하고 소급적인 개인 정보 보호 정책을 변경하거나 개인 정보 보호 정책을 변경할 수 있는 권한을 부여하지 않습니다. 사업 및 직업법).

조직이 개인 정보에 대한 대가로 반드시 대가를 받는 것은 아니지만 여전히 데이터의 "판매"로 간주될 수 있다는 것은 말이 안 됩니다. 이메일 컨텍스트의 예로서, 발신자는 상세한 인구통계학적 통찰력을 제공하기 위해 제3자 분석 조직이 사용할 수 있는 구독자에 대해 수집된 정보(추적 또는 온라인 수집을 통해)를 만들 수 있습니다. 제3자가 이메일 발신자가 제공한 데이터를 더 큰 데이터베이스에 추가하기 때문에 돈이 교환되지 않습니다. 제3자는 이제 자신의 사용 또는 다른 고객의 사용을 위해 데이터를 획득하므로 돈을 교환하지 않더라도 CCPA에서 정의한 제3자 우산에 해당합니다. 이는 이메일 발신자가 자신의 데이터가 제3자에게 전달되는 것을 쉽게 거부할 수 있는 방법을 구독자에게 제공해야 함을 의미합니다. 복잡성의 또 다른 계층을 추가하면 조직은 소비자가 권리를 행사할 때 모든 제3자와 의사 소통해야 하며 일반적으로 조직은 원활한 프로세스를 보장하기 위해 기술적 조치를 구현해야 합니다.

그러면 조직은 어디로 가나요? 정말 지루한 프로세스처럼 보일 수 있지만 언급된 모든 것은 CCPA가 시행되면 조직과 함께 일하는 회사가 규정을 준수하도록 하는 데 필수적입니다. 고의적 위반 건당 최대 7,500달러의 벌금이 부과될 수 있으며 규정 준수를 위반한 조직에 수백만 달러의 벌금이 부과될 수 있습니다. 아무도 제3자 관계가 제대로 유지되도록 하는 것을 소홀히 하여 수백만 달러의 벌금에 직면하고 싶어하지 않습니다.

CCPA는 계속해서 발전하고 있지만, 조직이 공급업체 관리 프로세스가 발효될 때 대비할 수 있도록 조직화된 공급업체 관리 프로세스를 시작하는 것이 중요합니다. 이것은 CCPA 시리즈 의 마지막 예정된 게시물이지만 법률이 확정되는 대로 임시 게시물을 계속 게시할 예정이므로 계속 지켜봐 주십시오!