미국 CCPA는 뭐가 다를까? 캘리포니아 개인정보보호법 쉽게 정리

메타 설명 캘리포니아 소비자 프라이버시법(CCPA)은 미국 내에서도 가장 강력한 개인정보 보호법 중 하나입니다. 본 글에서는 CCPA의 핵심 개념, GDPR과의 차이점, 실무 대응 포인트를 쉽고 자세하게 안내합니다.

---

 

CCPA란? 캘리포니아 소비자 프라이버시법의 핵심 이해

 

CCPA는 California Consumer Privacy Act(캘리포니아 소비자 프라이버시법) 의 약자로, 2018년 제정되고 2020년부터 본격 시행된 미국 최초의 종합 개인정보 보호법입니다. 이 법은 캘리포니아 주민의 개인정보에 대한 통제권을 강화하는 데 목적이 있으며, 다음과 같은 소비자의 권리를 명시하고 있습니다: 개인정보 수집 여부 및 항목을 사전에 알 권리 수집된 정보를 열람할 권리 수집·판매된 정보를 삭제 요청할 권리 제3자 판매를 거부할 권리 (opt-out) 차별받지 않을 권리 즉, 단순히 ‘보호’에 그치는 것이 아니라 사용자 스스로 개인정보의 흐름을 통제할 수 있는 권리 중심의 법이라는 점이 특징입니다. CCPA는 특히 "판매(sale)"의 개념을 넓게 정의하여, 금전적 이익이 없어도 제3자와 데이터를 공유하면 ‘판매’로 간주될 수 있기 때문에 광고나 마케팅 툴을 사용하는 모든 웹사이트 운영자가 해당될 수 있습니다.

 

GDPR과 CCPA의 차이점: 적용 범위와 요구 사항 비교

유럽의 GDPR과 미국의 CCPA는 모두 강력한 개인정보 보호법이지만, 적용 방식과 법적 성격, 요구 사항에서 큰 차이가 있습니다.

항목	GDPR	CCPA
적용 대상	EU 내 사용자	캘리포니아 주민
데이터 수집 기준	사전 동의 (opt-in)	사후 통제 (opt-out)
법 적용 주체	모든 기억 및 조직	일정 규모 이상의 기업만 해당
제재 수준	최대 매출의 4%	위반당 최대 $7,500 벌금
정보 삭제 요청	보편적 권리	일정 조건 충족 시 가능
법적 성격	포괄적 규제	소비자 중심 권리법

 

 

GDPR은 “모든 데이터 활동에 대한 명시적 동의” 를 중심으로 한 반면, CCPA는 “데이터 공유 이후의 제어권” 을 강화한 구조입니다. 특히 CCPA는 ‘opt-out’ 방식이기 때문에 사용자의 명시적 거부가 없는 한 데이터 활용이 가능한 구조로 해석되기도 합니다. 그렇다고 CCPA가 약한 법이라는 뜻은 아닙니다. 캘리포니아주 정부는 2023년부터 CPRA(California Privacy Rights Act) 라는 보완법을 도입하며 GDPR에 가까운 방향으로 강화 중입니다.

 

 

누가 CCPA 적용 대상일까? 국내 블로그나 사이트도 해당될까?

 

많은 분들이 "나는 미국 사람이 아닌데 이 법과 관련 있을까?"라고 묻습니다. 결론부터 말씀드리면, CCPA는 특정 조건을 만족하는 사업자에게만 적용됩니다. CCPA는 다음 중 하나라도 해당하는 사업자에게 적용됩니다: 연간 매출 $2,500만 이상 캘리포니아 주민 5만 명 이상의 개인정보 수집 개인정보 판매 수익이 전체 매출의 50% 이상 이 조건만 보면 대부분의 한국 블로그 운영자는 해당되지 않는다고 생각할 수 있지만, 문제는 “캘리포니아 사용자에 광고 또는 데이터 제공을 하는 경우” 입니다. 예를 들어 구글 애드센스를 통해 미국 지역에 광고를 노출하고 있다면 기본적으로 ‘캘리포니아 소비자 대상 사업자’로 간주될 수 있습니다. 특히 애드센스, GA4, 타겟 마케팅 등 제3자 서비스가 포함된 경우 “쿠키 배너 + 프라이버시 정책 명시”는 사실상 필수입니다. 이 때문에 글로벌 서비스가 아니더라도 방문자 데이터의 국적을 알 수 없는 블로그 운영자라면 CCPA 대응 문서를 미리 준비해 두는 것이 가장 안전합니다.

 

 

웹사이트 운영자를 위한 CCPA 실무 대응 포인트

 

실제 CCPA를 법적으로 완벽하게 대응하려면 미국 법률 자문이 필요하지만, 개인 블로그나 소규모 사이트 운영자도 다음 요소들을 점검하면 기본 대응 요건은 갖출 수 있습니다.  

 

1. 개인정보처리방침(Privacy Policy) 내 CCPA 관련 문구 삽입 예: “본 사이트는 캘리포니아 소비자의 개인정보 보호 권리를 존중합니다. 관련 요청은 이메일(info@example.com)로 가능합니다.” 

2. 데이터 판매 거부 링크 제공 (Do Not Sell My Personal Information) CCPA는 ‘판매 금지’ 요청 링크를 사이트에 명확히 표시할 것을 요구합니다. 티스토리에서는 링크 페이지를 만들어 하단 메뉴에 배치하는 방식이 가장 효율적입니다. 

3. 쿠키 배너 및 동의 팝업 구현 CookieYes, Osano, Cookiebot 같은 툴을 사용하여 쿠키 동의 배너를 설정하고, 거부할 수 있는 선택권을 제공해야 합니다. 

4. 데이터 요청 대응 채널 확보 사용자가 자신의 정보 열람, 수정, 삭제를 요청할 수 있도록 이메일 등 연락처를 정책 문서에 반드시 기재합니다. 

5. 연 1회 이상의 정책 검토 및 업데이트 법 개정이나 서비스 변경에 따라 프라이버시 정책도 주기적으로 업데이트해야 하며, 업데이트 일자를 명시하는 것도 중요합니다.

 

 

CCPA, GDPR 그리고 글로벌 프라이버시 환경의 변화

 

이제는 단순히 국내 법만 지키는 것으로는 충분하지 않은 시대입니다. 구글, 애플, 메타 등 글로벌 플랫폼들이 전 세계 개인정보 규제에 민감하게 대응하고 있고, 그 기준이 유럽(GDPR)과 미국(CCPA/CPRA) 를 중심으로 설정되고 있습니다. 사이트 운영자도 이런 변화에 맞춰 기본적인 프라이버시 정책 문서 준비와 쿠키 구조 설정을 필수적으로 고려해야 하며, 장기적으로는 서비스 대상 국가에 따라 개별 국가별 대응 문서도 준비하는 것이 신뢰받는 웹사이트 운영자로서의 첫걸음이 될 수 있습니다.