Privacy Policy
Privacy Policy (개인정보처리방침)과 Terms of Use(이용약관)는 글로벌 서비스를 향해 나아가는 스타트업들이 서비스 시작부터 반드시 마련해야 하는 것 입니다.
Terms of Use가 계약으로서 회사와 고객의 권리의무 관계를 규율하는 문서라면, Privacy Policy 회사가 이용자들이 권리를 보유한 Privacy Policy를 어떻게 이용하고 처리하는지를 담은 문서입니다.
Privacy Policy 각국의 규제가 점점 더 빠르게 강화되고 있는 상황이기 때문에 반드시 주의가 필요합니다. 기본적으로 개인정보에 대한 규제는 EU가 주도하고, 다른 나라들이 따라가고 있는 형국입니다.
EU의 GDPR
EU는 2018년 GDPR(General Data Protection Regulation)이라는 법령을 시행하였고 이 법령 위반시 과징금 등 행정처분이 부과될 수 있습니다.
미국과 달리 기업의 규모에 관련 없이 적용되기 때문에 주의가 필요합니다.
GDPR이 규정하고 있는 개인정보와 관련한 권리는 다음과 같습니다.
서비스제공자가 Privacy Policy 작성하는 과정에서 중요한 건 The Right to be informed(정보를 제공받을 권리)입니다.
고객이 요구하기 전에 선제적으로 알기 쉽게 제공해야 하는 정보들이 있기 때문입니다. 주로 어떤 정보를 제공해야 하는지는 다음과 같습니다.
위와 같은 정보들을 Privacy Policy 공지하여야 합니다.
글로벌 서비스 제공자들은 (Terms of Use와 달리) Privacy Policy 대해서는 철저하게 지키고 있는 경우가 많습니다.
과징금 등의 제재가 강하기 때문입니다. 특히 글로벌서비스들은 EU 거주자에 대해서 별도의 조항을 기재하는 방법으로라도 규정하고 있지요.
미국의 Privacy Code
일단 미국은 연방법으로 개인정보 이용 및 처리를 구체적으로 제재하거나 규제하고 있지는 않으며, 각 주별로 입법이 되어 가고 있는 상황이죠.
이중에 글로벌 서비스를 고려하시는 분들이 가장 신경쓰셔야 할 법은 캘리포니아의 California Consumer Privacy Act(CCPA)와 The California Privacy Rights Act(CPRA)입니다.
CCPA는 미국 전역에서도 가장 선제적으로 개인정보의 이용 및 처리를 규제하고 있고, GDPR의 내용을 많이 차용하였으며, 다른 주에서도 CCPA의 내용을 참고하고 차용하여 법을 제정하는 경향이 있습니다.
CPRA는 CCPA의 범위를 확대한 법이며, 민감정보(Sensitive Personal Information) 개념이 도입되었고, 기존의 CCPA에서 정보주체의 권리에 더하여 GDPR과 유사한 ‘프로파일링’ 규정이 추가되었으며, 개인정보 제3자 제공에 대한 거부권을 명시하였고, 차별을 당하지 않을 권리 또한 명시하였습니다.
CCPA 또한 위반시에는 정부에서 과징금을 부과할 수 있고, 민사적으로도 소비자 1명당 100~750달러의 손해 또는 이보다 큰 실제 손해를 배상하여야 합니다.
다만, CCPA와 CPRA는 (EU의 GDPR과 달리) 적용 대상에서 영세한 비즈니스를 제외하고 있습니다.
즉, 총 매출액이 2,500만 달러 이상이거나 50,000명 이상의 캘리포니아 주민들의 개인정보를 판매하는 등의 비즈니스를 하거나, 소비자 개인정보 판매로 연간 매출의 50% 이상을 창출하는 경우 중 하나에 해당해야만 규제를 받습니다.
CCPA에 기재된 정보주체 권리의 주요내용은 다음과 같습니다.
스타트업 관련 질의 [바로가기]