CCPA 관련 질문 및 답변

다음은 브랜드가 CCPA 준수를 보장할 수 있는 방법에 대한 저희 법무 자문위원과의 질문 및 답변 세션입니다. 자세히 알아보기 - 퍼블리셔를 위한 CCPA 준수 옵션 개요를 읽어보세요.

CCPA란 무엇인가요?

캘리포니아 소비자 보호법은 캘리포니아 거주자에게 개인 정보의 사용 및 판매에 대한 추가 권리를 부여하기 위해 고안된 법률입니다. 이는 소비자가 브랜드에서 수집한 개인 데이터에 대해 다음과 같은 특정 권리를 가진다는 것을 의미합니다:

• 접근 권한: 소비자가 수집된 데이터에 접근할 수 있을 뿐만 아니라 데이터가 어떻게 사용되는지 문의할 수 있음을 의미합니다.
• 삭제 권한: 소비자는 수집된 데이터의 삭제를 요청할 수 있습니다. 다만, 예외가 몇몇 경우 존재합니다. 예를 들어, 쿠폰을 제공하는 브랜드는 소비자와의 거래를 완료하기 위해 이 정보를 사용할 수 있으며, 거래를 처리해야 하는 금융 회사는 보안 또는 법률 준수 목적으로 이 정보를 요구하는 회사와 마찬가지로 소비자 데이터를 보유할 수 있습니다.
• "판매"를 거부할 수 있는 권리: 이 권리는 브랜드에 가장 큰 영향을 미칠 것으로 예상되는 권리입니다. 소비자는 자신의 데이터가 기업에서 제3자에게 "판매"되는 것을 거부할 수 있습니다.

CCPA는 언제 시행되었습니까?

2020년 1월 1일에 처음 시행되었으며, 6개월 간의 계도기간 후 2020년 7월 1일부터 브랜드에 적용되었습니다.

누가 CCPA의 영향을 받습니까?

온라인 소비자로부터 개인 정보를 수집, 판매 또는 구매하는 캘리포니아에서 사업을 하는 모든 브랜드는 어떤 식으로든 영향을 받습니다. 브랜드가 이 데이터를 어떻게 활용하냐에 따라 준수해야 하는 규정이 달라지며, 각 브랜드는 "비즈니스", "서비스 제공업체" 또는 "제3자", 세 가지 카테고리 중 하나에 속합니다

브랜드는 자신이 속한 카테고리를 어떻게 알 수 있습니까?

이러한 카테고리는 소비자 데이터의 사용 목적에 따라 정해집니다. 각 회사는 법률 부서에 문의하여 회사가 어떤 카테고리에 속하는지 결정해야 합니다만, 아래에 각 카테고리의 정의를 간단하게 설명해 두었습니다.

• "비즈니스": 캘리포니아에서 사업을 하는 영리 단체로서 소비자의 개인 정보를 자체적으로 수집하거나 타인/타사를 대신하여 (단독 또는 공동으로) 수집하면서:
• 총 수익이 25,000,000달러 이상입니다; 또는
• 상업적 목적으로 매년 5만 이상의 소비자, 가정 또는 기기로부터 개인 정보를 구매, 판매, 수신 또는 공유합니다; 또는
• 개인 정보 판매에 의한 연간 수익이 50% 이상입니다.
• "서비스 제공자": 사업체를 대신하여 정보를 처리하는 영리 법인. "서비스 제공자"는 비즈니스 목적으로 또는 준수 계약에 따라 정보를 수신하는 비즈니스입니다.
• "제3자": 소비자로부터 개인 정보를 수집하는 사업체나 서비스 제공자가 아닙니다.

여기서 주목해야 할 점은 애드테크 회사는 주어진 순간에 데이터로 무엇을 하느냐에 따라 다른 카테고리로 분류될 수 있다는 점입니다. 또한, 브랜드가 수집한 개인 정보를 광고 목적으로 사용하는 경우 스스로를 "비즈니스"로 분류하는 것이 가장 좋습니다. 그렇지 않는 경우, 광고 가치가 제한됩니다 (자세한 내용은 Q6 참조).

CCPA는 브랜드에 어떤 영향을 미칩니까?

CCPA는 브랜드가 관련 광고를 유도하는 데 사용되는 소비자 데이터를 수집하고 관리하는 방법을 제한하는 새로운 규정을 도입하기 때문에, 이는 디지털 광고에 큰 영향을 미칩니다. 브랜드는 다음을 보장해야 합니다:

1. CCPA가 발효되는 2020년 1월 1일까지 캘리포니아 주민들에게 필수로 "옵트아웃" 옵션을 제공해야 합니다.
2. 파트너/기술 회사에 필요한 시그널(예: 소비자가 옵트아웃을 함, 삭제를 요청함 등)을 전달할 수 있어야 합니다.

이가 브랜드의 광고 노력에 부정적인 영향을 미칠까요?

저희게 생각하기에는 그렇지 않습니다. 다만, 이에 답변은 둘로 나누어 할 수 있습니다.

• 첫 번째: 소비자가 개인정보의 판매를 옵트 아웃하면 해당 소비자에 대한 광고는 데이터 수집 또는 판매가 불가하도록 소소비자가 선택했기 때문에 분명히 영향을 받을 것입니다. 연관성이 있는 광고를 제공하기 위해서는 소비자가 브랜드 웹사이트를 방문할 때 데이터를 수집해야 합니다. 이렇게 수집된 데이터는 브랜드의 이상적인 소비자의 쇼핑 습관을 더 잘 이해하는 데 사용됩니다. 쇼핑 습관을 분석한 데이터는 유사한 쇼핑 습관을 가진 다른 소비자를 끌어들이는 광고를 만드는 데 사용할 수 있습니다 - 이로써 광고를 보고 접속할 가능성이 더 높은 소비자를 유인할 수 있습니다. 이 데이터가 없으면 관련 광고를 제공할 수 없습니다.
• 두 번째: CCPA는 궁극적으로 소비자와 기업 모두에 대해 광고 생태계를 개선할 수 있습니다. 브랜드의 경우, 광고 프로모션에 실제로 관심이 없거나 참여하지 않는 소비자에게 광고를 제공하지 않을 수 있습니다. 즉, 브랜드는 이제 어떤 소비자가 개인화된 광고 또는 제안을 확인할지 더 쉽게 알 수 있습니다. 결론을 내자면, 저희는 CCPA를 브랜드의 광고 비용이 "올바른" 소비자에게 더 많이 도달하여 광고비 대비 매출액을 높일 수 있는 방법이라고 생각합니다.

궁극적으로 저희는 CCPA가 소비자 개인 정보의 사용 및 판매에 대한 더 많은 투명성과 권리를 가져오는 동시에 기업이 광고 수익을 더 많이 얻을 수 있을 것이라 생각합니다.

소비자가 개인 정보의 판매를 거부하는 경우 브랜드가 해당 소비자의 개인 정보로 할 수 있는 것과 할 수 없는 것은 무엇인가요?

사용자가 판매를 거부한다고 해서 회사가 이 정보를 삭제하거나 사용을 자제해야 한다는 의미는 아닙니다 (소비자가 수집된 데이터 삭제를 요청할 권리를 행사하지 않는 경우에 한합니다). 이가 의미하는 바는 해당 소비자의 개인 정보가 더 이상 상업적 이득을 위해 사용되거나 용도가 변경될 수 없다는 것입니다. 예를 들어, 브랜드가 신발 한 켤레 가격의 20% 할인을 광고하는 경우에도 브랜드는 소비자와의 거래를 완료할 수 있을 뿐만 아니라 광고를 제공한 회사에 수수료를 지불할 수 있습니다; 다만, 브랜드 혹은 커미션을 받은 회사 모두 이 거래를 수행하는 것 외의 목적으로 해당 소비자의 개인 정보를 사용할 수 없습니다.

규정 미준수시 어떤 영향이 있나요?

많은 법률의 경우와 마찬가지로, 위반의 심각성에 따라 취해지는 조치가 달라집니다. 다음은 CCPA의 시행 메커니즘에 대한 요약입니다.

• 사적 집행: CCPA는 데이터 침해가 발생한 경우 소비자가 자체적으로 소송을 제기할 수 있도록 권한을 부여하여 소비자가 침해 건당 최대 $750 또는 실제 손해중 더 큰 금액을 보상받을 수 있도록 합니다.
• 정부 집행: 주 법무장관도 민사 소송을 제기할 수 있습니다. 사업체는 30일 이내로 위반 사항을 시정하거나 위반 건당 최대 $7,500의 벌금을 지불해야 합니다.

광고주들이 CCPA 요구 사항을 충족하려면 무엇을 해야 하나요?

광고주들은 가장 적합한 카테고리가 무엇인지 결정해야 합니다(4번 질문 참조). 다만, 정보를 수집하고 파트너에게 제공하는 모든 광고주는 "비즈니스"로 간주될 가능성이 높습니다. 이러한 광고주들은 또한 소비자에게 명시적 통지와 옵트아웃의 기회를 제공해야 합니다. 이를 통해, 소비자 데이터가 수집되어 광고 목적으로 다른 당사자에게 전송되기 전 CCPA 요구 사항이 이미 충족될 수 있습니다.

일부 광고주들는 수집된 데이터를 다른 당사자에게 전달할 때 캘리포니아 기반 트래픽을 지리적으로 차단하거나 캘리포니아 기반 트래픽을 억제하는 것을 선택했습니다.

상위 수준에서 브랜드가 규정 준수를 보장하기 위해 취할 수 있는 솔루션은 다음과 같습니다:

1. CMP 통합: 이전에 GDPR용으로 만든 CMP도구 를 이미 사용 중인 광고주들의 경우에는, 통합을 시도해보실 수 있습니다.
2. JavaScript 태그를 통해 시그널 전달: 광고주들은 기존 태그를 활용하여 파트너에게 동의 정보를 전달할 수 있습니다. 광고주들은 JavaScript 태그의 변수로 소비자의 옵트아웃 시그널을 수집해야 합니다.
3. 공개 및 옵트아웃 링크: 광고주들은 웹사이트의 각 페이지에 "귀하의 개인정보 보호 권리" 링크를 포함할 수 있으며, 이를 통해 사용자는 디지털 자산과 상호 작용할 때 회사 측에서 어떤 개인 정보를 수집할 수 있는지 확인할 수 있습니다. 당사의 정보 공개에는 어떤 종류의 개인 정보가 수집되는지 (IP 주소, 디지털 식별자 등), 그리고 이 정보가 어디에 사용되는지 (개인 맞춤형 광고, 웹사이트와 광고에 사용자가 어떻게 참여하는지에 대한 분석 등)가 포함되어 있습니다.

광고주들이 어떤 옵션을 선택하든지, 당사는 광고주들이 웹사이트의 각 페이지에 회사의 개인정보 보호정책에 대한 링크를 포함하고 개인정보 보호정책에 Rakuten Advertising의 데이터 수집 및 당사의 개인정보 보호정책에 대한 링크를 포함할 것을 권장합니다.

Rakuten Advertising 광고주들의 경우, 새로운 CCPA 요구사항이 광고주에게 미치는 영향에 대한 자세한 정보가 포함된 이메일이 발송되었습니다.

퍼블리셔가 CCPA 요구 사항을 충족하려면 무엇을 해야 하나요?

자신을 "비즈니스"로 분류하는 퍼블리셔의 경우, 사이트의 링크를 통해 개인 정보 보호 권리를 공개하고 사용자에게 개인 데이터 추적을 거부하거나 판매를 방지할 수 있는 옵션을 제공해야 합니다.

퍼블리셔가 캘리포니아 사용자 트래픽을 IP 주소로 차단하는 경우, 이러한 의무가 면제됩니다. 퍼블리셔에게 제안하는 방법은 다음과 같습니다:

1. 어필리에이트 링크 옵트아웃 시그널: 웹 사이트의 각 페이지에 회사의 개인정보 보호정책에 대한 링크를 포함합니다. 이 개인정보 보호정책은 Rakuten Advertising의 데이터 수집 및 당사의 개인정보 보호정책에 대한 링크를 참조해야 합니다. 퍼블리셔는 동의 정보를 파트너에게 전달하기 위해 소비자로부터 옵트아웃 시그널을 수집하는 방법 또한 구현해야 합니다.
2. CMP 통합: 이미 GDPR용으로 만든 CMP도구를 사용하는 퍼블리셔의 경우, 통합을 시도해보실 수 있습니다.
3. 공개 및 옵트아웃 링크: 퍼블리셔는 웹사이트의 각 페이지에 "귀하의 개인정보 보호 권리" 링크를 포함할 수 있으며, 이를 통해 사용자는 회사의 디지털 자산과 상호 작용할 때 회사 측에서 수집할 수 있는 개인 정보를확인할 수 있습니다. 당사의 정보 공개에는 수집되는 개인 정보의 종류(IP 주소, 디지털 식별자 등)와 이 정보의 용도(광고 개인화, 웹사이트 및 광고에 대한 분석 등)가 포함되어 있습니다.

CCPA의 요구 사항에 따라, 퍼블리셔 마케팅 동의(PMA)를 업데이트 했으며 이 업데이트된 PMA는 2020년 1월 1일부터 효력이 발효되었습니다. PMA의 가장 큰 실질적인 변경 사항은 CCPA를 준수하는 데 필요한 통지 및 옵트아웃 요구 사항을 충족하도록 업데이트된 언어입니다.

Rakuten Advertising 퍼블리셔의 경우, 새 PMA에 대한 링크와 함께 이 정보가 안내되어 있는 이메일이 발송되었습니다. 다른 질문이 있는 경우 퍼블리셔는 언제든지 퍼블리셔 개발 관리자에게 문의해보실 수 있으며, Rakuten Advertising 퍼블리셔의 경우 새 PMA에 대한 링크와 함께 이 정보가 안내되어 있는 이메일이 발송되었습니다. 다른 질문이 있는 경우, 퍼블리셔는 언제든지 퍼블리셔 개발 관리자 또는 고객 지원에 문의할 수 있습니다.

브랜드는 어떻게 파트너에게 적절한 시그널을 전달할 수 있나요?

기업이 규정 준수를 보장할 수 있는 방법에 대해 아직 모호한 부분이 있으며, 이에 대한 보완이 필요합니다. 다만, GDPR을 위한 CMP 도구를 위한 산업계의 노력과 비슷하게, IAB 및 ANA와 같은 그룹은 파트너와 클라이언트가 거부 및 삭제 요청을 전달할 수 있도록 하는 범용 시그널 세트를 만들기 위해 노력하고 있습니다. 현재 IAB/IAB Tech Lab이 고안해둔 CCPA를 위한 규정 준수 프레임워크 가 있습니다. 이 프레임워크에는 퍼블리셔와 파트너 간의 표준화된 계약과 회사가 계약을 따를 수 있도록 일련의 기술이 포함되어 있습니다. 또한, DAA(디지털 광고 연합)는 디지털 공급망의 퍼블리셔, 브랜드, 대행사 및 애드테크 회사가 소비자에게 판매를 거부할 수 있는 명확하고 인식 가능한 메커니즘을 제공할 수 있는 규정 준수 도구를 제공합니다. 저희는 이러한 그룹들이 규정 준수를 위한 모범 사례에 대해 업계를 안내하는 도구 및 기타 자료를 제공하는 데 도움을 줄 것이라 기대합니다.

Rakuten Advertising에서 광고주 및 퍼블리셔 파트너에게 요구하는 준수사항은 무엇입니까?

자신의 사이트에서 추적 기능을 제공하는 Rakuten Advertising이 적용된 모든 파트너는 데이터가 수집되는 모든 페이지에 "귀하의 개인정보 보호 권리" 링크를 포함해야 합니다. 이 링크는 소비자를 Rakuten Advertising의 개인정보 보호정책 및 옵트아웃 페이지로 연결할 것입니다. 자체적으로 옵트아웃을 수집하는 브랜드의 경우, IAB의 CCPA 준수 프레임워크를 통해 옵트아웃 신호를 당사에 전달하는 방법을 구현해야 합니다. 또한, 사이트에 아무 내용이 없지만 전환 정보(예:API)를 당사에 직접 제공하는 브랜드는 IAB의 프레임워크를 통해 Rakuten Advertising에 옵트아웃 신호를 전달하는 방법을 구현해야 합니다.

2018년 5월, 브랜드가 GDPR을 준수하도록 돕기 위해 Rakuten Advertising은 동의 관리 플랫폼(CMP)을 개발했지만, 저희는 이를 보다 더 발전시켰습니다. 또한, 브랜드의 규정 준수 노력을 지원하기 위해 타사 CMP와 함께 작동하는 "래퍼"도 만들었습니다. CCPA는 소비자의 사전 동의를 요구하지 않지만, Rakuten Advertising은 종종 불투명한 세계로 간주되는 애드테크에서 투명성을 전파하기 위해 최선을 다하고 있습니다. 따라서, 당사는 당사 네트워크의 퍼블리셔 및 브랜드와 긴밀히 협력하여 기회가 되는대로 소비자에게 당사의 개인정보 보호정책에 대한 액세스 및 옵트아웃을 제공하고 있습니다.

CCPA는 미국 이외의 브랜드에 어떤 영향을 미칩니까?

캘리포니아에 거주하는 소비자와 중요한 비즈니스를 하는 모든 브랜드는 위치에 관계없이 CCPA를 준수해야 하며, Rakuten Advertising 켐페인이 위에 안내되어 있는 규정을 준수하도록 해야 합니다. 중요한 점은 "최소 5만 명의 캘리포니아 거주자의 개인 정보를 매년 구매, 수신, 판매 또는 공유하는" 사업체라는 점입니다.

이 개인 정보 보호 정책이 연방 수준으로 발전할 가능성이 있습니까?

대부분의 경우, 이는 아직 멀었다고 말합니다. 다만, 이미 유사한 개인 정보 보호 규정을 채택하는 다른 많은 주들이 있습니다. 네바다주는 이미 한 법률이 시행되고 있으며 하와이, 메릴랜드, 뉴멕시코, 워싱턴 등은 유사한 법률 초안이 있습니다. 브랜드는 개인 정보 보호 규정이 연방 차원의 관심사일 뿐만 아니라 전 세계적인 관심사가 되고 있다는 사실을 받아들여야 합니다. GDPR은 이미 시행되고 있으며, 브라질, 뉴질랜드, 바레인 등에서는 새로운 국제법이 제정되고 있습니다.