Loading…
GDPR과 CCPA/CPRA는 전 세계에서 가장 많이 인용되는 두 개인정보 보호 체계입니다. 언뜻 비슷해 보이지만, 역외 적용 범위, 처리의 적법 근거, 옵트인 대 옵트아웃 구조, 침해 통지 기한, 과징금 수위에서 크게 갈립니다. 이 가이드는 모든 개인정보 팀이 참고할 정확한 나란히 비교를 제공합니다.
| 항목 | 🇪🇺 GDPR | 🇺🇸 CCPA |
|---|---|---|
| 법적 문서 | 규정(EU) 2016/679 | 캘리포니아 민법전 §1798.100 이하(CCPA, 2020년 CPRA에 의해 개정됨) |
| 시행일 | 2018년 5월 25일 | CCPA: 2020년 1월 1일; CPRA 강화: 2023년 1월 1일 |
| 적용 지역 범위 | EU 내 개인의 개인정보를 처리하는 모든 자(제3조 — 역외 적용) | 기준을 충족하며 캘리포니아에서 사업을 영위하는 영리 사업자(§1798.140(d)) |
| 적용 기준 하나의 요건 충족 | 모든 컨트롤러/프로세서 — 매출/규모 하한 없음 | 매출 2,500만 달러, 또는 캘리포니아 소비자/가구 10만 명 이상, 또는 개인정보 판매/공유에서 매출의 50% 이상 |
| 동의 모델 | 대부분의 처리에 대해 옵트인(제6조) | 판매 또는 공유에 대한 옵트아웃; 16세 미만 미성년자에 대해 옵트인 |
| 적법 근거 필요 여부 | 예 — 6가지 중 하나(제6조) 또는 특수 범주 조건(제9조) | 공식적 적법 근거 없음; "사업 목적" + 수집 시 통지 |
| 민감 데이터 | 특수 범주 데이터(제9조)는 명시적 동의 + 안전조치 필요 | 민감 개인정보(CPRA §1798.140(ae)) — 제한할 권리이며 절대적 금지는 아님 |
| 침해 통지 | 72시간 내 감독기관에 통지(제33조); 고위험 시 부당한 지체 없이 영향받은 정보주체에게 통지 | 구체적 기한 없음; 캘리포니아 민법전 §1798.82에 따라 "가능한 한 가장 신속한 시간 내" |
| 최대 과징금 | 2,000만 유로 또는 전 세계 연간 매출의 4% 중 더 높은 금액(제83조 제5항) | 비고의 건당 2,500달러 / 고의 또는 미성년자 관련 위반 건당 7,500달러(기록당) |
| 규제기관 | 27개 EU 회원국 DPA + EDPB(원스톱숍) | 캘리포니아 개인정보 보호국(CPPA) + 캘리포니아 법무장관 |
| DPO 요건 | 특정 경우 의무(제37조) | 의무 아님; SDF에 대한 위험 평가 요건 |
| 현지 대리인 | 비EU 컨트롤러/프로세서의 경우 제27조 EU 대리인 필요 | 필요 없음; 물리적 존재 의무 아님 |
| DSAR 응답 기한 | 1개월 + 복잡한 요청의 경우 2개월 연장(제12조 제3항) | 45일, 추가 45일 연장 가능(§1798.130) |
| 국경 간 이전 | 제한됨 — SCC/BCR/적정성 필요(제5장) | 명시적 제한 없음; 분야별 법률에 따른 계약적 안전조치 |
| 사적 소권 | 예 — 제79조(제한적) + 제82조 손해배상 | §1798.150에 따른 데이터 침해에 한함 |
| 아동 데이터 | 기본 동의 연령 16세 미만(회원국은 13세까지 낮출 수 있음) | 16세 미만 판매/공유에 대해 옵트인; 13세 미만은 부모 필요 |
| 삭제권 | 삭제권(제17조), 예외 있음 | 삭제권(§1798.105), 예외 있음 |
| 알 권리/열람권 | 제15조 — 확인 + 사본 | §1798.110 + §1798.115 — 범주 및 특정 개인정보 공개 |
| 옵트아웃권 | 정당한 이익 또는 직접 마케팅에 근거한 처리에 대한 이의 제기(제21조) | 개인정보 판매 또는 공유에 대한 옵트아웃(§1798.120); GPC 준수 필수 |
| 이동권 | 제20조 — 구조화되고 일반적으로 사용되며 기계 판독 가능 | 이동 가능한 형식으로 수령할 권리(§1798.100(d)) |
예, EU 개인과 캘리포니아 소비자를 모두 대상으로 하는 경우 그렇습니다. 핵심 요건(통지, 열람, 삭제)은 중복되지만, 동의, 침해 기한, 지역성에서 차이가 있습니다. 매핑된 단일 통제 세트가 양쪽에 모두 적용됩니다.
실질적으로는 그렇습니다. GDPR은 모든 처리 활동에 대해 적법 근거를 요구하고, 72시간 침해 통지를 의무화하며, 국경 간 이전을 제한하고, 매출 기반의 상한 없는 과징금을 둡니다. CCPA/CPRA는 옵트아웃 성격이 강하고 매출이 아닌 위반 건당 과징금을 부과하지만 — Meta의 12억 달러 합의는 누적 노출이 GDPR에 필적할 수 있음을 보여줍니다.
아닙니다. GDPR 제3조는 역외로 적용됩니다. EU 내 사람들에게 상품이나 서비스를 제공하거나 그들의 행동을 모니터링하는 경우, 적용 대상이 되며 제27조 EU 대리인을 지정해야 합니다.
공식적인 상응 제도는 없습니다. CCPA는 지정 현지 대리인을 요구하지 않습니다. 다만 민감한 금융 또는 건강 데이터는 자체 연락 창구 요건을 갖춘 병행 연방 제도(HIPAA, GLBA)를 적용받을 수 있습니다.
GDPR: 주무 감독기관에 72시간. CCPA: 고정된 기한 없이 "가능한 한 가장 신속한 시간" — 다만 §1798.150 집단소송의 원고 측 변호사들은 며칠을 초과하는 어떠한 지연도 부당하다고 주장합니다.
예 — 그리고 그래야 합니다. 검증 가능한 단일 소비자 요청 파이프라인을 구축하고, 그 결과물을 GDPR 제15조와 CCPA §1798.110 공개 요건 모두에 매핑하십시오. 다만 기한은 더 짧은 쪽(EU 거주자 1개월, 캘리포니아 거주자 45일)으로 유지하십시오.
통제 항목을 한 번 매핑하면 두 번 준수합니다. RegulatoryBridge는 단일 DSAR 파이프라인, 단일 DPO, 단일 침해 대응 매뉴얼을 제공하여 — 두 프레임워크를 모두 커버합니다.