Posted by 2021-07-08 / IAPP / Sarah Rippy
원문기사보기 :
Colorado Privacy Act becomes law
IAPP Westin Research Fellow Sarah Rippy breaks down the newly passed Colorado Privacy Act.
2021년 7월 8일, 콜로라도주, 개인정보보호법 공식 제정됨
- 지난 5월 26일, 콜로라도 상원은 만장일치로 CPA 통과
- 6월 7일, 하원이 해당 법안을 수정하여 승인
- 7월 8일, 주지사가 법안에 서명하여 공식 제정됨
법안의 적용 범위
- 콜로라도에서 사업을 수행하거나, 콜로라도 거주자를 의도적으로 대상으로 하는 상업용 제품 / 서비스 제공자
- 연중, 최소 10만명 이상의 개인 데이터 제어/처리
- 2.5만명 이상의 개인데이터 처리/ 판매하여 수익을 얻거나, 상품/서비스에 대한 할인을 제공하는 경우
법안 정의 개념
- 소비자 : 개인 또는 가정 상황에서만 행동하는 콜로라도 거주자 (*상업적, 고용, 구직상황에서 행동하는 대상인 직원의 개인 데이터를 고려하지 않음)
- 개인정보 판매 : 컨트롤러가 금전적 또는 기타 가치있는 대가로 개인데이터를 교환하는 것 (*화폐 이외 가치도 포함)
- 공개적으로 사용 가능한 정보 제외 : 정부 기록에서 합법적으로 사용가능한 정보 및 소비자가 합법적으로 일반 대중에게 제공했다고 믿을 수 있는 합리적 근거가 있는정보
의무
- 투명성 : 수집/처리 범주, 처리목적, 권리행사 방법 등을 고지
- 목적 지정 : 개인정보 수집 및 처리되는 목적을 명시적 지정
- 데이터 최소화 : 목적 관련 합리적으로 이용 최소화
- 2차 사용 방지 : 양립할 수 없는 목적 처리 금지
- 보안조치 : 데이터 저장 및 사용시 보안 조치
- 불법적 차별 방지 : 소비자에 대한 불법적 차별을 금지하는 연방법을 위반하여 개인데이터 처리 금지
- 민감 데이터 : 동의 없는 민감정보 처리 금지
- 데이터 보호 평가 : 보호 평가 수행
- 데이터 처리 계약 : 컨트롤러와 프로세서간 계약에 의해 개인정보 처리되어야 함
시행 절차
- 2023년 7월 1일
- 위반사항 통지시 60일 시정 기간 제공 (2년만 제공)
- 2025년 1월 1일부터 시정기간 없음
벌금
- 명시적 벌금은 없음
- 사기성 거래로 간주되어, 콜로라도 소비자 보호법에 의한 벌금 (위반 건당 최대 2만달러) 부과됨