CCPA/CPRA 2025: 캘리포니아 AI 개인정보법

CCPA/CPRA: 캘리포니아 개인정보법 가이드

2026년 업데이트.

캘리포니아 소비자 개인정보 권리법(CPRA)은 2023년부터 시행되었습니다. 캘리포니아 개인정보 보호청(CPPA)을 설립했습니다. CPPA는 미국 최초의 주 개인정보 전담 규제 기관입니다. 2024년 CPPA는 1억 달러 이상의 제재를 부과했습니다. 이는 실질적인 집행이 이루어지고 있다는 의미입니다.

적용 대상

세 가지 기준 중 하나를 충족하면 이 법의 적용을 받습니다.

• 연 매출 $2,500만 이상
• 10만 명 이상의 주 소비자 개인 데이터 보유
• 개인정보 판매에서 매출의 50% 이상 발생

이 주에는 4,000만 명의 거주자가 있습니다. 세계 5위 규모의 경제입니다. 대부분의 글로벌 기업은 세 기준 중 하나 이상을 충족합니다.

19가지 민감 데이터 범주

이 법률은 민감한 개인정보에 대한 특별 등급을 만들었습니다. 기업은 소비자에게 추가 고지를 하고 이용 제한권을 부여해야 합니다. 19가지 유형은 다음과 같습니다.

1. 사회보장번호, 운전면허증, 주 신분증, 여권 번호
2. 접근 코드가 포함된 금융 계좌 또는 카드 번호
3. 정밀 위치정보 (1,852미터 이내)
4. 인종 또는 민족 출신
5. 종교 또는 철학적 신념
6. 노동조합 가입 여부
7. 개인 이메일 또는 우편 내용
8. 유전 정보
9. 신원 확인을 위한 생체 기록
10. 건강 또는 의료 기록
11. 성적 지향 또는 성생활
12. 이민 신분 (2024년 추가)
13. 정신 건강 기록 (2024년 추가)
14. 시민권 신분
15. 접근 코드 없는 금융 계좌 번호
16. 장애 상태
17. 고용 상태 지표
18. 보험 정책 정보
19. 전과 또는 체포 기록

각 범주에 대해 소비자는 기업의 활용 및 공유 방식을 제한할 수 있습니다. 이 권리는 일반적인 판매 거부 권리와는 별도입니다.

CPPA의 2024년 집행 중점 분야

CPPA의 2024년 조치는 네 가지 영역에 집중되었습니다.

데이터 브로커 등록. 주 법률은 데이터 브로커의 CPPA 등록을 요구합니다. 기관은 소비자 프로파일을 판매하는 수백 개의 미등록 브로커를 적발했습니다.

비작동 옵트아웃 도구. 많은 동의 플랫폼이 실질적인 옵트아웃을 제공하지 않았습니다. 버튼이 작동하지 않거나, 옵트아웃이 일부 용도에만 적용되었습니다.

고지 없는 AI 결정. 2025년 AI 규정은 자동화 도구가 주요 결정을 내릴 때 고지를 요구합니다. 채용, 신용, 주거가 모두 해당됩니다. 여러 2024년 사건이 이 고지 없이 사용된 AI 도구를 대상으로 했습니다.

아동 기록. 캘리포니아 연령 적합 디자인 강령은 미성년자가 이용할 가능성이 있는 모든 서비스에 적용됩니다. 해당 기업은 데이터 보호 영향 평가(DPIA)를 완료해야 합니다. CPPA는 많은 기업이 이를 수행하지 않았음을 발견했습니다.

주 법률 vs. GDPR: 주요 차이점

GDPR 컴플라이언스가 캘리포니아 규정 준수를 대체하지 않습니다. 두 법률은 목표를 공유하지만 핵심 사항에서 다릅니다.

옵트아웃 vs. 옵트인. GDPR은 대부분의 민감 데이터 활용에 옵트인 동의를 요구합니다. 주 법률은 옵트아웃 방식을 사용합니다. 소비자가 이의를 제기하기 전까지 처리가 허용됩니다.

소비자 권리. 두 법률 모두 접근, 삭제, 정정 권리를 부여합니다. 주 법률은 자동화 결정에 대한 옵트아웃 권리를 추가합니다. GDPR 제22조도 이를 다루지만 더 좁은 범위입니다.

직원 기록. 주 법률은 직원 개인정보를 전면적으로 적용합니다. GDPR도 적용되지만 EU 회원국은 자체 고용 규정이 있습니다. 이 주의 직원 개인정보는 종종 별도의 컴플라이언스 트랙이 필요합니다.

민감 유형. 19가지 주 유형은 GDPR 제9조와 일부 겹칩니다. 이민 신분과 독립 계좌 번호는 주 법률에 특화된 항목입니다.

이러한 의무가 어떻게 중첩되는지는 법적 컴플라이언스 가이드를 참고하세요.

AI 공급업체 요건

2025년 AI 규정은 소비자 기록에 AI 도구를 활용하는 기업에 명확한 의무를 부과합니다.

공급업체 계약. 서비스 제공자는 서면 계약을 체결해야 합니다. 계약은 네 가지 사항을 포함해야 합니다. 첫째, 명시된 목적으로만 기록을 활용할 것. 둘째, 서비스 종료 시 기록을 삭제할 것. 셋째, 소비자 권리 요청을 전달할 것. 넷째, 적절한 보안을 유지할 것.

자동화 결정 고지. AI 도구가 신용, 사기, 채용에 관한 결정을 지원하면 소비자에게 고지해야 합니다. 또한 옵트아웃 권리도 제공해야 합니다.

AI 학습 제한. 소비자 기록으로 AI 모델을 학습시켰다면 해당 모델에는 제한이 따릅니다. 최초 수집 이유와 상충하는 목적에 활용할 수 없습니다.

대부분의 팀에 대한 직접적인 해결책: 기록이 AI 시스템에 투입되기 전에 개인 식별 정보를 제거하세요. 이는 AI 결정 규정을 충족하고 동시에 민감 유형 위험을 줄입니다.

anonym.legal이 AI 처리 전 식별자를 제거하는 방법은 /security-compliance를 참고하세요.

핵심 요약

주 법률은 이 주에 고객이 있는 대부분의 글로벌 기업에 적용됩니다. 19가지 민감 유형, 적극적인 집행 기관, AI 고지 규정이 추가됩니다. GDPR 컴플라이언스가 주 규정 준수를 대체하지 않습니다. 가장 명확한 조치: AI 도구에 기록이 투입되기 전에 개인 식별 정보를 제거하세요.

데이터 최소화에 대해서는 /docs/faq를 참고하세요.

출처

• CPPA: 캘리포니아 개인정보 보호청. cppa.ca.gov.
• 캘리포니아 개인정보 권리법(CPRA) 전문. leginfo.legislature.ca.gov.
• CPPA: 2025년 자동화 의사결정 기술 규정. cppa.ca.gov.
• 캘리포니아 연령 적합 디자인 강령. leginfo.legislature.ca.gov.