캘리포니아 개인정보 보호법이 고용주에게 점점 더 복잡하고 엄격한 의무를 부과하고 있습니다.
이러한 규제를 준수하지 않을 경우, 고의 위반 1건당 최대 7,500달러까지 부과 될수 있습니다.
추가적으로 직원들이 개인 또는 집단 민사 소송을 할수 있기때문에 회사에게 주어지는 손해배상액수는불어날 확률이 높습니다.
다만, 현제 개인 정보법이 internet 이나 online data 와 직결 되는 부분이 많고 technology 가 너무 빨리 앞서 나가고 있기때문에 개인 손해배상 입증을 하기가 어려운건 사실입니다.
캘리포니아 개인정보 보호권법(CPRA)은 기존의 캘리포니아 소비자 개인정보 보호법(CCPA)을 확대하면서 고용주에게 추가적인 의무를 부과하고 있습니다.
그러나 많은 기업들이 특히 직원 개인정보 보호와 프라이버시 권리와 관련된 이러한 포괄적인 요건을 아직 충분히 준비하지 못하고 있는 것이 현실입니다.
이제 법적 의무를 이해하는 것은 선택이 아닌 사업의 지속성과 직원 신뢰 유지를 위한 필수 요소입니다.
개인정보법의 목적은 개인에게 자신의 개인정보에 대한 통제권 부여, 기업의 과도한 데이터 수집·보관·공유 제한, 개인정보 침해에 대한 강력한 제재를 하겠다는 정부의 의도입니다.
개인정보법이 보호하는 정보는 통상적으로 몇가지가 있습니다.
개인정보 (Personal Information): 이름, 주소, 이메일, 전화번호, 급여, 인사 기록, 온라인 활동 정보, 위치 정보
민감 개인정보 (Sensitive Personal Information, SPI): social security number, 운전면허number, 인종, 종교,노동조합 가입 여부, 건강·유전 정보, 생체정보, 사적 통신 내용등등이 되겠습니다.
이 법이 보장하는 개인 직원의 주요 권리는 알 권리 (어떤 정보를 수집하는지), 열람권 (내 정보 사본 요청), 정정권, 삭제 요청권, 판매·공유 거부권, 민감 개인정보 사용 제한권, 권리 행사에 대한 보복 금지등이 되겠습니다.
기업은 다음을 반드시 해야 합니다: 개인정보 수집 전 고지,개인정보보관 기간 제한, 데이터 요청 45일 내 대응, 개인정보 보호를 위한 합리적 보안조치, 제3자와의 CPRA 준수 계약 체결, 데이터 유출 시통지 의무
집행기관은 캘리포니아 개인정보 보호청(CPPA)이 되겠습니다.
어떤 조직이 캘리포니아 개인정보 보호법의 적용 대상인지 판단하려면, 단순한 지리적 기준을 넘어선 요건을 이해해야 합니다. 모든 기업이 적용 대상은 아니지만, 해당될 경우 상당한 준수 의무가 발생합니다.
적용 대상 기업은 캘리포니아에서 사업을 하는 영리 목적 기업에 적용됩니다.
그리고, 세가지 조건중에 하나를 충족시켜야만 적용이 됩니다.
전년도 총매출이 2,500만 달러 초과, 연간 10만 명 이상의 캘리포니아 소비자 또는 가구의 개인정보를 구매·판매·공유하는 회사, 아니면 연 매출의 50% 이상을 개인정보 판매 또는 공유로 창출내는 민간 기업이 되겠습니다.
최근 접한 대표적인 적용대상 기업을 보면 캘리포니아에 사무실이 있는 중견 기업이 가장 많습니다.
예를 들어, 로스앤젤레스에 본사를 둔 화장품 제조·유통 회사, 연 매출이 3,200만 달러 이상이라 적용이 됩니다.
온라인 쇼핑몰 (이커머스)도 많은데요. 뉴욕 소재 온라인 의류 쇼핑몰이지만 캘리포니아 고객이 많고연간 캘리포니아 고객 15만 명의 개인정보 수집하기때문에 적용이 되겠습니다.
적용되지 않는 대표적 예시는 비영리 단체, 소규모 로컬 사업체 (연 매출 300만 달러, 직원 12명, 고객 수: 2,000명) 들이 되겠습니다.
하지만, 향후 5 년네에 적용대상이 더 광범위 해질것으로 예상되며 결국은 대부분의 소규모 업체도 적용될것으로 예상됩니다.
2023년 1월 1일부터 캘리포니아 개인정보 보호법은 근로자 데이터까지 보호 범위를 확대했습니다.
보호 대상은 다음을 포함합니다.
현직 직원, 독립계약자, 구직자, 퇴직자, 캘리포니아 거주 이사(Board Member), 고용주의 소재지와 무관한 캘리포니아 거주 원격 근무자등이 포함되겠습니다.
개인정보를 처리하는 제3자·서비스 제공자·계약자외부 회사도 포함됩니다.
예를들어 서비스 제공자(Service Provider: 계약에 따라 기업을 대신해 개인정보를 처리해주는 회사)가 있겠습니다.
보호대상 정보는 지원자와 직원 데이터 모두가 되겠습니다.
지원자의 이력서, 배경조사, 면접 기록이 있겠습니다. 재직자는 인사 평가, 보상, 감시 데이터, 의료 정보, 업무용 시스템 통신등이 포함되겠습니다.
개인정보 통보는 수집 시점 또는 그 이전에 제공되어야 하며, 채용 단계와 재직 단계에 따라 고지 내용이 달라질 수 있습니다.
2026년에도 직원 개인정보 보호 강화하는 새로운 법이 발효됬습니다.
SB 497 – 성별확정(성전환) 의료정보 보호 (2026년 1월 1일 시행)는 직원 또는 그 가족의 성별확정 의료(gender-affirming care) 관련 정보를 요구하거나 공개하는 행위를 금지합니다.
SB 497의 목적은 직원 또는 그 가족의 성별정체성·성전환 관련 의료 정보(gender-affirming care)요구·조사·공개를 금지합니다. 다시말해서, 직원 또는 직원 가족이 남자인지 여자인지, 성전환 했는지 조사하거나 물어볼수 없습니다. 그리고 이러한 정보를 인사 결정(해고, 징계, 승진, 근무조건 변경)에 사용할수 없습니다.
따라서, 실무상 가장 위험한 상황은 인사부나 HR이 의료보험 서류를 이유로 “성전환 수술을 받았는지” 질문하는것이 되겠습니다. SB 497은 성별정체성·성전환 관련 정보는 묻지도, 기록하지도, 활용하지도 말라는 캘리포니아 고용법의 명확한 선언입니다.
직원 개인정보를 포함한 데이터 유출 발생 시, 30일 이내 통지해야할 의무가 있습니다. 500명 이상의 캘리포니아 거주자가 영향을 받은 경우, 주 검찰총장(Attorney General) 통지 해야할 의무가 또 추가적으로 있습니다.
개인정보법위반으로 최근에는 법적 분쟁도 늘어나고 있는 추세입니다. 작년말에 판결이 난 Price v. Converse, Inc. 소송 내용을 보면 회사가 웹사이트에 TikTok이 개발한 소프트웨어를 설치했으며, 이 소프트웨어가 이른바 “디지털 지문(fingerprinting)” 기술을 사용해 웹사이트 방문자의 정보를 수집했다는 것입니다.
수집된 정보에는 기기 정보, 브라우저 정보, 위치 정보 등이 포함되며, TikTok이 보유한 다른 데이터와 결합되어 방문자의 신원을 식별할 수 있다고 주장했습니다.
원고는 이러한 행위가 캘리포니아 트랩 및 추적 장치 법(Trap and Trace Law, 캘리포니아 형법 § 638.51) 및 **캘리포니아 사생활 침해법(CIPA)**을 위반했다고 주장했습니다.
연방법원은 회사의 소송 각하(Motion to Dismiss) 신청을 인용하여, 원고의 수정된 소장(First Amended Complaint)을 기각했습니다. 법원은 원고가 연방법원에 소송을 제기하기 위해 필요한 구체적인 손해(injury in fact)를 충분히 주장하지 못했다고 판단했습니다.
단순히 법 위반이 있었다는 주장만으로는, 실제로 발생한 구체적 손해가 없는 한 연방 소송적격이 자동으로 인정되지 않는다는 판결입니다.
이 사건은 최근 개인정보 및 데이터 추적 관련 소송의 중요한 흐름을 보여줍니다.
원고는 법률 위반 주장만으로는 부족하며, 실제로 발생한 구체적이고 현실적인 피해, 또는 전통적인 불법행위와 유사한 손해를 주장해야 합니다.
법원은 점점 더구체적이고 현실적인 피해를 요구합니다. 예를 들면,많은 사건에서 개인정보가 유출되었더라도 실제 악용이 발생하지 않습니다.
데이터는 노출되었으나 실제 사용된 증거가 없고, 신원 도용이나 사기 피해가 없으며, 피해가 “불안감” 또는 “가능성” 수준에 그친다는 주장입니다.
법정 손해를 주장하더라도 인과관계(causation) 입증이 어렵고, 유출이 정말 보안 조치 미흡으로 발생했는지 알기가 힘들고, 피고는 합리적인 보안 체계가 있었다는 점으로 반박할 수 있습니다
회사는 신원 도용이 발생했더라도, 정보는 다른 유출 사건에서 나왔을 수 있고, 이미 공개된 정보였으며, 이번 사건과 피해 사이의 직접적 연결이 없다고 주장하면 법원은 이러한 항변을 받아들이는 경우가 많습니다
위반 주장 자체는 쉽지만, 손해배상은 극히 제한되어 있고, 법원이 구체적·추적 가능한 피해를 요구하기 때문에 손해 입증이 매우 어렵습니다고 볼수 있겠습니다.
처음에 말씀드린것처럼, 기술이 고도로 그리고 빠른 속도로 발전하고 있기때문에 피해입은 원고가 예를들어 인과관계를 설득하기는 역부족이고 어렵습니다.
하지만, 정보수집과 정보 유출은 당연히 이유와 목적이있다고 볼수 밖에 없습니다.
개인들에게 직접적인 그리고 입증할수 있는 금전적 손해는 당장 없을지라도 유출해가는 조직에서 어떠한 혜택이나 부당이득을 본다면, 그 행위가 일단 처벌을 받아야하고 부당이득을 개인들에게 반환할 의무가 반드시 있다는 생각입니다.
