캘리포니아 소비자 개인정보 보호법 (CCPA) 은 사용자 데이터 관리에 있어 모바일 앱을 변화시키고 있습니다. 여기서 알아야 할 점은?
- 영향을 받는 사람: 연간 수입 25만 달러 이상, 10만 명 이상의 사용자 데이터, 또는 데이터 판매로 수입 50% 이상을 벌어들이는 앱
- 주요 요건:
- 데이터 수집 방법을 공개하십시오 (장치 ID 및 IP 주소 등)
- 사용자에게 데이터 접근, 삭제 또는 데이터 공유 거부를 위한 도구를 제공하십시오
- 데이터를 암호화하고 접근 제어를 통해 데이터를 보호하십시오
- 강제: 위반 사례는 79880 달러까지의 벌금이 될 수 있습니다. 유명한 사례로는 세파로 ($1.2M 벌금)와 도어 댈쉬 ($375K 벌금)
- 일반적인 실수: "판매하지 않는" 링크가 누락된 경우, Global Privacy Control (GPC) 신호를 무시한 경우, 규제되지 않은 데이터 공유.
빠른 팁: 데이터 감사 시작, 개인 정보 정책 업데이트, 그리고 "OneTrust"나 "Osano"와 같은 도구를 사용하여 준수성을 단순화하세요. 준수성은 벌금만 피하는 것이 아니라 사용자 신뢰를 구축하고 비즈니스를 보호하는 것입니다. CCPA 앱의 핵심 준수 요건데이터 수집 공개 __CAPGO_KEEP_0__ __CAPGO_KEEP_1__ __CAPGO_KEEP_2__ __CAPGO_KEEP_3__
__CAPGO_KEEP_4__
__CAPGO_KEEP_5__
앱 개발자는 사용자가 수집하는 데이터에 대한 명확하고 앞서 알리는 공지사항을 제공해야 합니다. 예를 들어, 장치 식별자, IP 주소 및 주소 정보와 같은 데이터입니다. [1]이 공지사항은 데이터가 수집되기 전에 데이터가 어떻게 사용될 것인지 설명하고 쉽게 접근할 수 있도록 해야 합니다. 이 공지사항은 앱의 설정에서 가장 좋습니다. [3]이 공지사항에는 데이터 카테고리와 목적이 모두 포함되어야 합니다. [3].
만약 앱이 사용자 데이터를 판매하거나 공유한다면, 사용자 개인 정보를 판매하거나 공유하지 않기를 원하는 링크를 명확하게 표시해야 합니다.
CCPA는 이러한 공개에 사용자 권리를 보호하는 중요성을 강조합니다.
사용자 개인 정보 권리 [4].
CCPA는 개발자가 특정 시간대에 이 권리를 존중해야 하는 사용자에게 특정 권리를 부여합니다. 사업체는 사용자가 최소 두 가지 방법으로 요청을 제출할 수 있도록 해야 합니다. 예를 들어, 무료 전화 번호.
- 앱의 경우, 상호 작용 웹 형식도 사용할 수 있어야 합니다.사용자 요청을 처리하는 방법
- 접근 요청: 10일 이내에 수신 확인을 하며, 45일 이내에 요청된 데이터를 제공해야 합니다.
- 삭제 요청 : 요청 확인을 위한 2단계 확인 과정을 사용해야 합니다.: 15일 이내에 옵트아웃 절차를 완료하고, 사용자 데이터를 90일 이내에 수신한 제 3 자에게 알립니다.
A CCPA 준수에 대한 주요 요인은 사용자 요청을 관리하는 프로세스를 구현하는 것입니다. - TrustArc. GDPR 하의 데이터 주체 접근 요청과 유사합니다. [4]
사용자 데이터 보호는 이러한 개인 정보 보호 권리가 중요한 요소입니다.
데이터 보안 요구 사항
CCPA를 통해 이러한 개인 정보 보호 조치를 지원하기 위해 엄격한 데이터 보안 표준을 강제합니다. 주요 실천 방식은 다음과 같습니다.
- 암호화: 저장된 데이터와 전송된 데이터 모두에 강력한 암호화를 적용합니다.
- 접근 제어: 엄격한 인증 및 권한 부여 프로토콜을 구현합니다.
- 정기적인 테스트: 정기적인 보안 평가 및 침투 테스트를 수행합니다.
- 사고 대응: __CAPGO_KEEP_0__ 알림 절차를 최신 상태로 유지하고 준비하십시오.
또한, 사업체는 24개월 동안 개인 정보와 관련된 활동 및 사용자 요청의 기록을 보관해야 합니다. [5].
CA 법무장관의 모바일 앱 개인 정보 강제 시행
CCPA 집행 사례
최근 사례는 캘리포니아의 개인 정보 법률 집행에 대한 적극적인 접근을 보여주며, 개발자가 준수 표준을 충족하는 데 필요한 대가로 무거운 벌금을 내는 것을 명확히 보여주고 있습니다.
중요한 벌금 및 벌칙
캘리포니아 법무장관과 캘리포니아 개인 정보 보호 보호 기구(CPPA)는 캘리포니아 소비자 개인 정보 보호 법(CCPA) 위반에 대한 적극적인 대응을 보여주고 있습니다. 여기에는 두 가지 유명한 사례가 있습니다.
세파로라의 1.2 백만 달러 합의 (2022)
세파로라는 여러 준수 실패로 인해 판매된 소비자 데이터를 공개하지 않아도 되지 않으며, 글로벌 개인 정보 제어(GPC) 신호를 존중하지 않아도 된다는 점을 포함하여 1.2 백만 달러를 지불했습니다.
- 세파로라는 여러 준수 실패로 인해 판매된 소비자 데이터를 공개하지 않아도 되지 않으며, 글로벌 개인 정보 제어(GPC) 신호를 존중하지 않아도 된다는 점을 포함하여 1.2 백만 달러를 지불했습니다.
- 세파로라는 여러 준수 실패로 인해 판매된 소비자 데이터를 공개하지 않아도 되지 않으며, 글로벌 개인 정보 제어(GPC) 신호를 존중하지 않아도 된다는 점을 포함하여 1.2 백만 달러를 지불했습니다.
- opt-out 요청을 무시하는 경우
- 위반을 해결하기 위한 30일 기간을 놓친 경우 [2]
글로벌 개인 정보 보호 제어와 같은 기술은 소비자가 자신의 데이터 개인 정보 보호 권리를 행사하기 위해 게임 체이저입니다. 그러나 소비자의 데이터를 판매하기 위해 고객의 데이터를 숨기고 opt-out 요청을 무시하는 비즈니스는 이러한 권리가 의미가 없습니다. 캘리포니아 소비자 개인 정보 보호 법을 준수하지 않는 비즈니스에 강력한 메시지를 보내는 오늘의 합의에 희망합니다. 내 사무실은 지켜보고 있으며, 우리는 책임을 지겠습니다. [6]
도어 댈쉬의 375만 달러 벌금 (2024)
도어 댈쉬는 고객 데이터를 마케팅 협력체와 공유하기 위해 명시적 동의를 얻지 않고 벌금 375만 달러를 받았습니다. [2].
이 사례는 반복적인 준수 문제를 강조하고 비즈니스들이 개인 정보 보호 법을 준수하는 어려움을 드러냅니다.
준수 오류
모바일 앱은 CCPA의 특정 요구 사항에 맞추기 어려워서 일반적인 위반을 일으키는 경우가 많습니다. 여기에는 자주 발생하는 오류와 이를 피하는 방법에 대한 설명이 포함되어 있습니다.
| 위반 유형 | 영향 | 예방 조치 |
|---|---|---|
| ‘판매하지 않음’ 알림이 누락된 경우 | __CAPGO_KEEP_0__ | __CAPGO_KEEP_0__ |
| __CAPGO_KEEP_1__ | __CAPGO_KEEP_0__ | __CAPGO_KEEP_2__ |
| __CAPGO_KEEP_0__ | __CAPGO_KEEP_3__ | __CAPGO_KEEP_0__ |
| __CAPGO_KEEP_4__ | __CAPGO_KEEP_0__ | __CAPGO_KEEP_5__ |
__CAPGO_KEEP_0__
- The 30-day cure period for violations has been removed.
- Global Privacy Control 요구 사항에 대한 준수에 대한 집중적인 감시가 있습니다. [6].
'법을 준수하는 데 집중하고 소비자에게 선택과 통제를 제공하는 것이 목표입니다. 그러나 캘리포니아 개인 정보 보호 자금의 수입을 늘리기 위한 것은 아닙니다. 캘리포니아 개인 정보 보호 자금의 수입을 늘리기 위한 것은 아닙니다. 준수를 장려하는 것입니다.' - Melissa G. Powers, LewisRice의 협력 변호사 [6]
이 행정 조치들은 분명합니다: 모바일 앱 개발자들은 준수를 우선시하여 변하는 개인 정보 보호 환경을.navigate하면서 마케팅 목표를 유지해야 합니다.
sbb-itb-f9944d2
CCPA 준수 가이드
준수를 유지하는 것은 모바일 앱에 매우 중요합니다. 최근 행정 조치로 인해 특히 중요합니다. 준수를 유지하는 데 도움이 되는 실용적인 가이드를 제공합니다.
데이터 감사 단계
준수를 유지하는 데 도움이 되는 실용적인 가이드를 제공합니다.
- 데이터 감사 단계준수를 유지하는 데 도움이 되는 실용적인 가이드를 제공합니다.
- 데이터 감사 단계를 시작하기 위해 사용자 데이터를 모바일 앱이 수집, 처리 및 공유하는 모든 세부 사항을 자세히 작성하세요. 이 방법을 사용하세요: : 데이터 유형으로 나누어 보세요.
- 식별자 (예: 이름, 이메일, 장치 ID)
- 상업 데이터
- 온라인 활동
- 위치 정보
- 생체 인식 정보
- 전문 정보
개인 정보 보호 정책 업데이트
개인 정보 보호 정책은 CCPA 준수하기 위해 데이터 처리 방법을 명확하게 설명해야 합니다. 아래 표를 참고하세요.
| 구분 | 포함할 내용 | 구현 방법에 대한 팁 |
|---|---|---|
| 데이터 수집 | 개인 정보의 모든 종류를 열거하세요 | 간단하고 명확한 언어를 사용하세요 |
| 사용자 권리 | 사용자가 데이터 공유에 대한 접근, 삭제, 또는 거부 방법을 설명하세요 | 단계별 지침을 제공하세요 |
| 데이터 공유 | 세계적인 제3자와 데이터 판매에 대한 관계를 설명하세요 | 데이터가 누구에게 전달되는지 명확하게 설명하세요 |
| 연락처 방법 | 여러 가지 방법으로 연락할 수 있도록 제공하세요 | 이메일, 전화, 웹폼을 포함하여 |
이 업데이트는 사용자 권한 요청을 효과적으로 처리하기 위해 필수적입니다.
사용자 권한 관리
CCPA를 준수하려면 45일 이내에 개인 정보 요청을 처리할 수 있는 시스템이 필요합니다. 다음을 집중하세요:
-
접근 요청:
- 앱 내에 개인 정보 대시보드를 추가하세요.
- 사용자 식별자로 양식을 미리 채워 주세요.
- 등록되지 않은 사용자에 대한 디바이스 ID 추적을 사용하세요.
-
삭제 요청:
- 데이터 삭제를 처리하기 위한 워크플로를 자동화하세요.
- 세 번째 SDK가 데이터 삭제를 지원하는지 확인하세요.
- 삭제 요청에 대한 모든 기록을 자세히 유지하세요.
데이터 보안 설정
사용자 데이터 보호는 규정 준수에 중요한 부분입니다. 다음과 같이 보안을 강화하세요:
-
기술적 조치:
- 데이터 전송 중 끝에서 끝까지 암호화하여 사용하세요.
- __CAPGO_KEEP_0__
- 저장된 데이터를 암호화하여 안전하게 유지하세요.
- 엄격한 접근 제어 및 인증을 설정하세요.
-
정기적인 보안 감사 수행하세요.:
- 제 3 자 검토
- 사용하는 모든 Capacitor SDK가 CCPA를 준수하는지 확인하세요.
- 데이터가 공유되는 방법에 대한 문서화 및 거부 옵션 제공하세요.
모든 제 3 자의 보안 관행을 정기적으로 검토하세요. 예를 들어, SDK은 사용자 선호도에 대한 API을 포함하여 데이터 삭제 요청 관리를 포함합니다. [1].
CCPA 준수 리소스
CCPA 표준을 충족하기 위해 앱 개발자는 준수 프로세스를 단순화하는 데 필요한 올바른 도구가 필요합니다. 데이터 개인정보 보호에 투자하는 것은 신뢰를 구축하는 것뿐만 아니라 1 달러당 최대 2.70 달러의 수익을 창출할 수 있습니다. [8]아래는 준수 평가, 개인정보 관리 및 앱 업데이트 준수 평가 도구
이 도구는 CCPA 요구 사항에 따라 앱이 얼마나 잘 일치하는지 평가하는 데 도움이됩니다:
도구
| 등급 | 주요 기능 | 추천 대상 | Best For |
|---|---|---|---|
| OneTrust | 3.8/5 | 데이터 매핑, 자동 스캔 | 대형 기업 |
| Osano | 4.6/5 | 쿠키 동의, 벤더 모니터링 | 소-중기업 앱 |
| TrustArc | 4.1/5 | 위험 평가, 개인 정보 관리 | 다중 플랫폼 앱 |
이러한 플랫폼은 자동 간격 분석 및 실시간 준수 추적을 제공합니다. 예를 들어, Osano는 Lattice 운영 복잡성을 줄이기 위해, 마케팅과 준수 노력을 동기화하고, 개인 정보 최우선 약속을 유지하기 위해 [8].
개인정보 보호 관리 소프트웨어
__CAPGO_KEEP_0__
- 개인정보 보호 관리 도구는 네 가지 주요 영역에 집중합니다:Consent Management
- : 사용자 선호도 자동으로 수집하고 추적합니다.Data Discovery
- : 개인 정보를 스캔하고 카탈로그합니다.Request Automation
- : 사용자 권한 요청을 45일 이내에 처리합니다.Third-Party Monitoring
: 외부 공급자와 데이터를 공유하는 방법을 추적합니다. 솔루션들 중 하나는 Usercentrics 그리고 __CAPGO_KEEP_0__ iubenda 이러한 기능을 효과적으로 제공합니다. 예를 들어iubenda [7].
Capgo: CCPA-Compliant App Updates
__CAPGO_KEEP_0__: CCPA-Compliant App Updates Capgo __CAPGO_KEEP_0__ Capgo __CAPGO_KEEP_0__
- __CAPGO_KEEP_0__를 사용하여 업데이트 중에 사용자 데이터를 안전하게 보호합니다. __CAPGO_KEEP_0__는 사용자 데이터를 추적하거나 지속적인 식별자를 사용하지 않습니다.
- __CAPGO_KEEP_0__는 사용자 데이터를 처리하는 데 투명성을 제공하며, 통계는 집계 전용입니다. __CAPGO_KEEP_0__는 사용자가 즉시 계정 및 데이터 삭제 옵션을 통해 통제권을 가집니다.
- __CAPGO_KEEP_0__는 1,800 개의 생산 앱을 통해 492.4 만 개의 업데이트를 성공적으로 전달했습니다. __CAPGO_KEEP_0__는 엄격한 개인 정보 보호 지침을 준수하면서 이러한 업데이트를 수행했습니다. “__CAPGO_KEEP_0__는 개발자가 생산성을 높이고 리뷰를 피하기 원하는 개발자에게 필수적인 도구입니다. 버그 수정에 대한 리뷰를 피하는 것은 금이다.” - Bessie Cooper
- __CAPGO_KEEP_0__를 사용하는 앱은 정기적인 감사와 함께 이러한 도구를 사용하면 CCPA 준수를 유지하는 데 도움이 됩니다. 결론: CCPA 준수 단계
Capgo를 사용하여 업데이트 중에 사용자 데이터를 안전하게 보호합니다. [9].
Capgo는 사용자 데이터를 추적하거나 지속적인 식별자를 사용하지 않습니다. [9]
__CAPGO_KEEP_0__는 사용자 데이터를 처리하는 데 투명성을 제공하며, 통계는 집계 전용입니다.
__CAPGO_KEEP_0__는 사용자가 즉시 계정 및 데이터 삭제 옵션을 통해 통제권을 가집니다.
이전의 전략을 따르면 CCPA 준수에 도움이 되는 주요 작업의 분해를 살펴보겠습니다. 사용자 데이터를 보호하기 위한 철저한 접근 방식이 준수에 해당한다는 것을 기억하세요. 최근 집행 사례는 비준수에 대한 위험을 강조하며, 엄청난 벌금이 포함되어 있으므로 개발자는 개인 정보 보호를 심각하게 받아들이야 합니다.
다음은 세 가지 주요 영역입니다:
-
데이터 관리 및 투명성
- 개인 정보 수집에 사용된 모든 장치 식별자 및 IP 주소와 같은 모든 개인 정보를 매핑하기 위해 데이터 인벤토리를 수행하십시오. [1].
- 각 사용자의 데이터가 처리되는 방법을 추적하고 문서화하십시오.
- 데이터 수집을 시작하기 전에 사용자에게 데이터 수집 방법에 대한 명확한 정보를 제공하십시오.
- 준수 표준을 충족하는지 확인하기 위해 제 3 자 SDK를 검토하십시오.
-
사용자 권리 구현
- 데이터 접근 및 삭제 요청을 처리하기 위한 시스템을 설정하십시오.
- 사용자 요청이 45 일 이내에 처리되도록 보장하십시오.
- 쉽게 찾을 수 있는 '내 개인 정보를 판매하거나 공유하지 마십시오.' 링크를 추가하십시오.
- 사용자 요청을 안전하게 관리하기 위한 신원 확인 프로세스를 생성하십시오. [10].
-
기술적 인프라
- 사용자 데이터를 보호하기 위해 끝에서 끝까지 암호화하십시오.
- 사용자 동의를 안전하게 저장하십시오.
- Capgo와 같은 개인 정보 보호에 초점을 맞춘 업데이트 도구를 선택하십시오.
- 보안 감사와 개인 정보 보호 정책을 최신 상태로 유지하십시오.
CCPA 규칙을 충족하기 위해 설계된 도구를 사용하는 것이 지속적인 준수에 도움이 될 수 있습니다. 예를 들어, colenso는 Capgo에 대한 경험을 공유했습니다.
“Capgo OTA 업데이트 프로세스를 프로덕션 환경에서 배포하여 5,000명 이상의 사용자에게 제공했습니다. 사용자 대부분이 OTA 배포 후 몇 분 안에 업데이트가 완료되었습니다. @Capgo에서.” [9]
