미국 디지털 개인 정보 보호법

미국이 재채기를 하면 세계는 감기에 걸린다. 이 진술은 특히 디지털 기술의 세계에서 사실입니다. 결국 미국은 세계에서 가장 성공적인 온라인 기업의 본고장입니다. 그러나 우리의 유럽 사촌이 책임을 주도하는 영역 중 하나는 디지털 개인 정보 보호입니다.

GDPR은 세상이 프라이버시를 보는 방식을 바꾸었습니다.

2018년으로 마음을 돌린다면 유럽 연합이 일반 데이터 보호 규정(GDPR) 으로 어떻게 전 세계를 뒤흔들었는지 기억할 것입니다.

당시 GDPR은 데이터를 누구와 어디서 공유했는지에 관계없이 유럽 시민의 개인 정보를 보호하도록 설계된 포괄적인 규정이었기 때문에 독특했습니다. 이 규정은 미국 조직이 위치에 관계없이 유럽에서 또는 유럽 시민과 계속 운영하려면 GDPR을 준수해야 함을 의미했습니다.

이전 개인 정보 보호 규정과 달리 GDPR에는 위반에 대해 막대한 벌금을 부과하는 유럽 위원회의 힘과 무게가 있었습니다.

규정 준수를 보장하기 위해 전 세계적으로 수백만 달러와 수많은 직원 시간이 소요되었습니다. 여러 면에서 이 투자는 성숙하지만 여전히 규제가 거의 없는 디지털 비즈니스 부문에서 채택된 "황량한 서부" 비즈니스 관행의 마지막 잔재를 정리하는 데 도움이 되었습니다. 그럼에도 불구하고 수많은 미국 기업들이 GDPR을 위반했습니다.

여전히 GDPR이 귀하에게 적용되지 않는다고 생각하십니까? 비준수에 대해 부과되는 가장 큰 벌금 목록을 확인하십시오. "누가 누구입니까?" 아마존, 메타(페이스북), 알파벳(구글)이 가장 중요한 벌금 상위 10위권을 장악하고 있는 미국의 위대한 기업들입니다.

미국 개인 정보 보호법의 변화하는 모습

GDPR 이전에 미국은 본질적으로 개인 정보 보호 측면에서 캔(CAN-SPAM)을 걷어차고 있었다고 주장할 수 있습니다.

여러 면에서 GDPR은 미국 기업이 미국 규정 없이도 자신의 행위를 정리하도록 강요했습니다. 그러나 이것이 미국이 프라이버시를 심각하게 받아들이지 않는다는 의미는 아닙니다. 현재 여러 개인 정보 보호법이 시행 중이며 미국 전역에서 다른 많은 법이 시행되고 있습니다. 그러나 개별 주에서 법률을 제정하는 방식으로 인해 이러한 법률은 GDPR보다 덜 연결되거나 포괄적입니다. 주 경계선을 넘어 운영되는 사업체의 경우 이는 혼란스러울 수 있습니다.

CCPA/CPRA

2023년 7월 1일부터 시행되는 CCPA(California Consumer Privacy Act) 및 후속 California Privacy Rights Act(CPRA)는 GDPR에 가장 가까운 것으로 설명되었습니다.

CPRA는 CCPA에 포함되지 않은 여러 규칙의 토대를 마련한 GDPR에 의해 설정된 토대 위에 구축됩니다. 이러한 규칙에는 다음이 포함됩니다.

• 데이터 최소화: 특정 목적을 달성하려면 데이터 수집이 필요합니다.
• 목적 제한: 수집된 데이터를 새롭고 호환되지 않는 목적으로 사용할 수 없도록 합니다.
• 저장소 제한: 데이터를 필요 이상으로 오래 저장할 수 없도록 합니다.

GDPR은 또한 CPRA가 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 성적 취향, 유전학 및 건강 관련 데이터와 같은 민감한 개인 정보(SPI)를 처리하는 방법에 영향을 미쳤습니다.

유사점에도 불구하고 GDPR과 CPRA 사이에는 몇 가지 주요 차이점이 있습니다.

GDPR은 회사 규모, 위치 또는 목적에 관계없이 EU 시민으로부터 데이터를 수집하고 처리하는 모든 조직에 적용됩니다. GDPR은 또한 개인 데이터와 비즈니스 데이터를 구분하지 않습니다.

한편, 캘리포니아 프라이버시 권리법(CPRA)은 캘리포니아 거주자의 개인 정보를 수집 및 처리하고 다음 기준 중 하나 이상을 충족하는 기업에만 적용됩니다.

• 연간 총 수익이 2,500만 달러 이상이어야 합니다.
• 연간 100,000명 이상의 소비자 또는 가구의 개인 정보를 구매, 판매 또는 공유하는 행위, 또는
• 연간 매출의 50% 이상을 소비자의 개인정보 판매로 유도합니다.

GDPR과 비교할 때 기업이 CCPA/CCPR의 감시 아래 날아갈 여지가 많습니다. 이것은 아마도 유럽과 비교할 때 미국의 조직이 개인 정보에 액세스하고 저장하는 것에 대해 보다 편안한 태도를 반영하는 것일 수 있습니다. 그러나 수천 명의 미국 시민에게 불편을 끼친 몇 차례의 세간의 이목을 끄는 데이터 유출 이후 이러한 태도는 점점 완화되고 있으며 더 많은 미국 주에서 프라이버시 악대차에 편승하고 있습니다.

VCPDA(버지니아 소비자 데이터 보호법)

VCDPA(Virginia Consumer Data Protection Act)는 CCPA/CPRA 및 GDPR과 유사한 개인정보 보호법으로 2023년 1월 1일부터 시행되었습니다.

VCDPA는 버지니아에서 사업을 수행하거나 버지니아 거주자를 대상으로 하고 특정 임계값 요구 사항을 충족하는 기업에 적용됩니다. 이러한 요구 사항에는 연간 최소 100,000명의 버지니아 소비자의 개인 데이터를 처리하거나 개인 데이터 판매에서 총 수익의 50% 이상을 창출하고 연간 최소 25,000명의 버지니아 소비자의 개인 데이터를 처리하는 것이 포함됩니다.

VCDPA에 따라 버지니아 소비자는 자신에 대해 어떤 개인 데이터가 수집되고 있는지 알 권리, 자신의 데이터에 액세스할 권리, 해당 데이터의 부정확성을 수정할 권리, 특정 상황에서 자신의 데이터를 삭제할 권리, 그들의 데이터 판매를 거부합니다.

콜로라도 개인 정보 보호법(CPA)

CPA는 2023년 7월 1일부터 시행될 예정입니다.

CCPA/CPRA 및 GDPR과 유사하게 CPA는 콜로라도에서 사업을 수행하거나 콜로라도 거주자를 대상으로 하고 특정 임계값 요구 사항을 충족하는 비즈니스에 적용됩니다. 이러한 요구 사항에는 연간 최소 100,000명의 콜로라도 소비자의 개인 데이터를 처리하거나 개인 데이터 판매에서 총 수익의 50% 이상을 창출하고 연간 최소 25,000명의 콜로라도 소비자의 개인 데이터를 처리하는 것이 포함됩니다.

다시 한 번 CPA에 따라 콜로라도 소비자는 자신에 대해 어떤 개인 데이터가 수집되는지 알 권리, 개인 데이터에 액세스할 권리, 개인 데이터의 부정확성을 수정할 권리, 특정 상황에서 개인 데이터를 삭제할 권리가 있습니다. , 개인 데이터 판매를 거부할 수 있는 권리.

미국 전역에서 더 큰 프라이버시를 위한 움직임 증가

CCPA/CCPR, VCDPA 및 CPA는 모두 지역 규정이지만 점을 연결하고 개인 정보 보호에 대한 "국가적" 약속을 만드는 개인 정보 보호 규정을 도입하는 주 수가 증가하는 추세입니다.

코네티컷, 아이오와, 유타는 모두 향후 2년 안에 시행될 규정이 있습니다. IAPP(International Association of Privacy Professionals) 추적기 에 따르면 많은 다른 주에서 규정을 도입하는 과정에 있습니다.

그러나 주 경계를 넘어 연방 수준에서 개인을 보호하는 기존 미국 개인 정보 보호법이 있습니다.

HIPAA – 연방법

HIPAA(Health Insurance Portability and Accountability Act)는 1996년에 제정된 연방법으로 GDPR과 광범위한 인터넷 사용보다 앞서 제정되었습니다.

HIPAA는 개인 정보 보호 및 보안 표준을 제공하여 환자의 개인 건강 정보를 보호하도록 설계되었습니다. 이 법은 보호 건강 정보(PHI)의 개인 정보 보호 및 보안에 대한 국가 표준을 설정하고 특정 전자 거래를 수행하는 건강 보험, 의료 제공자 및 의료 정보 센터에 적용됩니다.

HIPAA에 따라 적용되는 엔터티는 PHI의 기밀성, 무결성 및 가용성을 보호하기 위한 안전 장치를 구현해야 합니다. 이러한 안전 조치에는 PHI의 개인 정보 보호 및 보안을 보장하기 위한 관리적, 물리적 및 기술적 조치가 포함됩니다.

HIPAA는 또한 개인에게 PHI에 접근할 수 있는 권리, PHI 수정을 요청할 수 있는 권리, 개인 정보 보호 권리가 침해되었다고 생각하는 경우 불만을 제기할 수 있는 권리를 포함하여 PHI와 관련된 특정 권리를 부여합니다.

기업들은 어떻게 반응하고 있습니까?

전반적으로 기업들은 사생활 보호 규제의 증가하는 물결에 긍정적으로 반응하고 있습니다. 이러한 추세가 사라지지 않는다는 사실을 알고 많은 회사에서 비즈니스 모델에 프라이버시를 구축하기 위해 서비스를 조정하고 있습니다. 우리는 이미 Apple의 Mail Privacy Protection 업데이트를 보았고 Google은 Google Analytics의 최신 버전인 GA4에서 사용자 참여를 추적하는 방법을 재창조하고 있습니다.

그러나 지금은 개인 정보 보호 규정의 요구 사항을 추적하고 보조를 맞출 리소스가 없는 중소기업에게 혼란스러운 시간이 될 수 있습니다. 이것은 데이터가 여러 기술 플랫폼에서 수집되고 처리될 때 특히 그렇습니다. 이러한 기업의 경우 규정을 준수하는 데 도움을 줄 수 있는 전문가와 상담하여 고객의 개인 정보와 조직의 미래를 보호하는 것이 좋습니다.

더 알아보기

emfluence의 마케팅 전문가가 귀하의 비즈니스가 현재 및 향후 개인 정보 보호 규정의 올바른 편을 유지하도록 돕는 방법에 대해 자세히 알아보려면 지금 [email protected] 으로 문의하십시오.