캘리포니아 소비자 개인 정보 보호 법(CCPA) 은 모바일 앱이 사용자 데이터를 처리하는 방식을 재구성하고 있습니다. 여기서 알아야 할 내용은 다음과 같습니다.
- 영향을 받는 사람: 매년 25만 달러 이상의 매출을 올린 앱, 10만 명 이상의 사용자 데이터를 보유한 앱, 데이터 판매로 50% 이상의 매출을 올린 앱
- 중요한 요구 사항:
- 데이터 수집 방법을 공개하십시오(장치 ID 및 IP 주소와 같은)
- 사용자에게 데이터 접근, 삭제, 또는 데이터 공유에 대한 선택권을 제공하십시오.
- 데이터를 암호화하고 접근 제어를 통해 데이터를 보호하십시오.
- 집행: 위반은 7988 달러의 과태료로 이어질 수 있습니다. 유명한 사례에는 세프라 ($1.2M 벌금)과 도어 댄스 ($375K 벌금).
- 일반적인 실수: "판매하지 마십시오" 링크를 누락하고, 전 세계 개인 정보 보호 제어 (GPC) 신호를 무시하고, 규제되지 않은 데이터 공유.
빠른 팁: 데이터 감사부터 시작하여 개인 정보 보호 정책을 업데이트하고, 도구들인 "OneTrust"와 같은 것을 사용하세요. 개인 정보 보호 정책OneTrust OneTrust OneTrust Osano compliance를 간소화합니다.
CCPA 앱용 기본 요구 사항
데이터 수집 공개
앱 개발자는 사용자 식별자, IP 주소 및 주택 정보와 같은 수집하는 데이터에 대한 명확하고 명확한 공지 사항을 제공해야합니다. [1]이 공지 사항은 데이터가 수집되기 전에 앱 설정에서 쉽게 접근할 수 있도록 데이터가 사용되는 방법을 설명해야합니다. [3]이 공지 사항에는 데이터 카테고리와 목적이 포함되어야합니다. [3].
앱이 사용자 데이터를 판매하거나 공유한다면, 사용자 개인 정보를 판매하거나 공유하지 말아주세요.
CCPA는 사용자 권리를 보호하는 중요성을 강조합니다.
사용자 개인 정보 권리 [4].
CCPA는 개발자가 특정 시간 프레임 내에 존중해야하는 사용자에게 특정 권리를 부여합니다.
- 사용자 요청을 처리하는 방법: __CAPGO_KEEP_0__일 내에 수령 확인 및 45일 이내에 요청된 데이터 제공을 완료하세요.
- 개인 정보 삭제 요청: 2단계 확인 절차를 통해 요청을 확인하세요.
- opt-out 요청: 15일 이내에 opt-out 절차를 완료하고, 사용자의 데이터를 전달받은 3자에게 알립니다.
“개인 정보 보호를 위해 CCPA를 준수하려는 사람들의 주요 요인은 GDPR의 데이터 주체 접근 권한 요청과 유사한 소비자 요청 관리 프로세스를 구현하는 것입니다.” - TrustArc [4]
사용자 데이터 보호는 이러한 개인 정보 보호 권한의 중요한 요소입니다.
데이터 보안 요구 사항
CCPA를 통해 이러한 개인 정보 보호 조치를 지원하기 위해 엄격한 데이터 보안 표준을 강제합니다. 주요 실천 방식은 다음과 같습니다.
- 암호화: 저장된 데이터와 전송된 데이터 모두에 대해 강력한 암호화를 적용하세요.
- 접근 제어: __CAPGO_KEEP_0__ 인증 및 권한 부여 프로토콜을 엄격하게 구현하십시오.
- 정기적인 테스트: __CAPGO_KEEP_0__ 보안 평가 및 침투 테스트를 정기적으로 수행하십시오.
- 사고 대응: __CAPGO_KEEP_0__ 침해 알림 절차를 최신 상태로 유지하고 준비하십시오.
개인 정보 보호 관련 활동 및 사용자 요청에 대한 기록을 24개월 동안 보존해야 합니다. [5].
CA 법무 장관의 모바일 앱 개인 정보 보호 강제
CCPA 집행 예시
최근 사례는 캘리포니아의 개인 정보 보호 법을 준수하지 않은 모바일 앱 개발자에게 엄격한 경고를 내리는 대가로 큰 벌금을 부과하는 캘리포니아의 적극적인 접근 방식을 보여줍니다.
큰 벌금 및 벌칙
캘리포니아 법무 장관과 캘리포니아 개인 정보 보호 보호 기구(CPPA)는 캘리포니아 소비자 개인 정보 보호 법(CCPA) 위반에 대해 적극적으로 대응했습니다. 두 가지 유의미한 사례를 아래에 나열했습니다.
Sephora의 $1.2 백만 달러 손해배상 (2022)
Sephora는 여러 비준 결함으로 인해 $1.2 백만 달러를 지불하기로 합의했습니다.
- 소비자 데이터 판매에 대한 정보 공개를 하지 않음
- 글로벌 PRIVACY CONTROL (GPC) 신호를 존중하지 않음
- opt-out 요청을 무시함
- 위반을 해결하기 위한 30일 창구를 놓침 [2]
“소비자 데이터 개인정보 권리를 행사하기 위해 글로벌 PRIVACY CONTROL과 같은 기술은 게임 체이너입니다. 그러나 이 권리는 비즈니스들이 고객 데이터를 사용하는 방법에 대해 숨기고 opt-out 요청을 무시하는 경우 의미가 없습니다. 오늘의 손해배상은 캘리포니아 소비자 개인정보 보호법을 준수하지 않는 비즈니스들에게 강력한 메시지를 보내는 것입니다. 내 사무실은 지켜보고 있으며, 책임을 지우겠습니다.” – AG Rob Bonta [6]
DoorDash의 $375,000 벌금 (2024)
DoorDash는 고객 데이터를 마케팅 협력체에 공유하기 위해 명시적인 동의를 얻지 않고 $375,000의 벌금을 받았습니다. [2].
이 사례들은 반복적인 준수 결함을 강조하고 비즈니스들이 개인정보 보호법을 준수하는 데 어려움을 겪고 있음을 보여줍니다.
준수 오류
모바일 앱은 CCPA의 특정 요구 사항에 어려움을 겪고, 일반적인 위반으로 이어집니다. 여기에는 자주 발생하는 오류와 이를 피하는 방법에 대한 설명이 포함되어 있습니다.
| 위반 유형 | 영향 | 예방 조치 |
|---|---|---|
| 판매하지 마세요 | 금지 알림이 누락된 경우 | $7,500 1인당 최대 벌금 |
| 앱 설정에서 명확한 거부 링크를 추가하십시오 | 개인 정보 보호 허가 관리 | $22,500 미성년자당 최대 벌금 |
| 16세 미만 사용자에 대한 명확한 동의 도구 사용 | 통제되지 않은 데이터 공유 | 고위험 법적 책임 |
| GPC 신호 무시 | 강제 집행의 일반적인 트리거 | 앱이 GPC 신호를 인식하고 반응하도록 보장 |
강제 집행의 두 가지shift가 주목할 만하다:
- 위반에 대한 30일의 치료 기간이 제거되었습니다.
- 글로벌 개인 정보 보호 제어(GPC) 요구 사항 준수에 대한 준수에 대한 집중적인 감시가 있습니다. [6].
“The Attorney General’s focus is on compliance with the law, giving consumers choices and control. But the intent is not to run up revenue in California’s privacy fund. It’s to encourage compliance.” – Melissa G. Powers, Associate at LewisRice [6]
“변호 총장의 초점은 법을 준수하고 소비자에게 선택과 통제를 제공하는 것입니다. 하지만 캘리포니아 개인 정보 보호 펀드의 수입을 늘리려는 것은 아닙니다. 그것은 캘리포니아의 개인 정보 보호 펀드의 수입을 늘리려는 것이 아닙니다. 그것은 준수를 장려하는 것입니다.” – Melissa G. Powers, LewisRice의 협력 변호사
이 강제 집행 조치는 분명합니다: 모바일 앱 개발자는 준수를 우선시하여 진화하는 개인 정보 보호 환경을 탐색하면서 마케팅 목표를 유지해야 합니다.
sbb-itb-f9944d2
캘리포니아 개인 정보 보호법(CCPA) 준수 안내서
준수의 최신 강제 집행 조치에 대한 최근 강제 집행 조치에 따라 모바일 앱의 준수를 유지하는 것은 중요합니다. 여기에는 준수하는 데 도움이 되는 실용적인 안내서가 포함되어 있습니다.
앱이 수집, 처리 및 공유하는 모든 사용자 데이터에 대한 상세한 목록을 만들기 시작하세요. 그 방법은 다음과 같습니다:
- 데이터 수집 지점 식별하기: 데이터 입력의 원천을 모두 문서화하세요. 예를 들어, 등록폼, 구매, 분석 도구 및 제3자 SDK 등이 있습니다.
- 데이터 분류하기: 다음과 같은 유형으로 나누세요.
- 식별자(예: 이름, 이메일, 장치 ID)
- 상업 데이터
- 온라인 활동
- 위치 정보
- 생체 인식 정보
- 전문 정보
개인 정보 보호 정책 업데이트
개인 정보 보호 정책에서 데이터 처리 방침을 명확하게 설명하여 CCPA 준수를 위해
| 구분 | 포함할 내용 | 구현 방법 |
|---|---|---|
| 데이터 수집 | 개인 정보의 모든 종류를 나열하세요 | 간단하고 명확한 언어를 사용하세요 |
| 사용자 권리 | 사용자가 데이터 접근, 삭제, 또는 데이터 공유 거부에 대한 방법을 설명하세요 | 단계별 지침을 제공하세요 |
| 데이터 공유 | 세계사회의 제3자와의 관계 및 데이터 판매를 설명하세요 | 데이터를 받는 사람에 대해 구체적으로 설명하십시오 |
| 연락처 방법 | 여러 가지 방법으로 연락할 수 있도록 해 주십시오 | 이메일, 전화번호, 웹폼을 포함하여 |
사용자 권리 요청을 효과적으로 처리하기 위한 업데이트는 필수적입니다.
사용자 권리 관리
CCPA를 준수하기 위해서는 45일 이내에 개인 정보 요청을 처리할 수 있는 시스템이 필요합니다. 다음을 집중하여야 합니다.
-
접근 요청:
- 앱 내에 개인 정보 대시보드를 추가하십시오.
- 사용자 편의를 위해 폼을 미리 채워 주십시오.
- 등록되지 않은 사용자에 대한 기기 ID 추적을 사용하십시오.
-
삭제 요청:
- 데이터 삭제를 처리하기 위해 워크플로를 자동화하세요.
- 세 번째 파티 SDK가 데이터 삭제를 지원하는지 확인하세요.
- 삭제 요청에 대한 모든 기록을 자세히 유지하세요.
데이터 보안 설정
데이터 보호는 규정 준수에 중요한 부분입니다. 보안을 강화하는 방법을 알려드리겠습니다.
-
기술적 조치:
- 데이터 전송 중 끝에서 끝으로 암호화하여 사용하세요.
- 저장된 데이터를 안전하게 유지하기 위해 암호화하세요.
- 엄격한 접근 제어 및 인증을 설정하세요.
- 정기적인 보안 감사 수행하세요.
-
세 번째 파티 SDK가 CCPA를 준수하는지 확인하세요.:
- 사용자 데이터 보호는 규정 준수에 중요한 부분입니다.
- __CAPGO_KEEP_0__의 데이터 공유 방법을 문서화하고 옵트아웃 옵션을 제공하십시오.
- 모든 제 3 자의 보안 관행을 정기적으로 검토하십시오.
예를 들어, Flurry SDK에는 사용자 선호도에 대한 존중을 표명하며 데이터 삭제 요청을 관리하는 옵트아웃 API가 포함되어 있습니다. [1].
CCPA 준수 리소스
CCPA 표준을 충족하기 위해 앱 개발자는 준수 프로세스를 단순화하는 올바른 도구를 필요로 합니다. 데이터 개인정보 보호에 투자하는 것은 신뢰를 구축하는 것만이 아니라 1 달러를 투자하는 것에 대해 2.70 달러의 수익을 얻을 수 있는 것입니다. [8]아래에 있는 도구는 준수 평가, 개인정보 관리 및 앱 업데이트와 같은 작업을 더 관리하기 쉽게 만듭니다. 준수 평가 도구 이 도구는 CCPA 요구 사항에 따라 앱이 얼마나 잘 일치하는지 평가하는 데 도움이 됩니다:
__CAPGO_KEEP_0__
__CAPGO_KEEP_1__
| 도구 | 등급 | 주요 기능 | 최적 |
|---|---|---|---|
| OneTrust | 3.8/5 | 데이터 매핑, 자동 스캔 | 대형 기업 |
| Osano | 4.6/5 | 쿠키 동의, 벤더 모니터링 | 소-중기업 앱 |
| TrustArc | 4.1/5 | 위험 평가, 개인 정보 관리 | 다양한 플랫폼 앱 |
이 플랫폼은 자동화된 격차 분석 및 실시간 준수 추적을 제공합니다. 예를 들어, Osano는 Lattice 운영 복잡성을 줄이고 마케팅을 준수 노력과 일치시키며 개인 정보 보호에 최우선 순위를 두는 약속을 유지하는 데 도움을 주었습니다. [8].
개인 정보 보호 관리 소프트웨어
개인 정보 보호 관리 도구는 네 가지 주요 영역을 중점으로 합니다.
- 동의 관리: 사용자 선호도 자동으로 수집하고 추적합니다.
- 데이터 발견: 개인 정보를 스캔하고 카탈로그합니다.
- 요청 자동화: 사용자 권한 요청을 45일 이내에 처리합니다.
- 세계적인 서비스 제공: 외부 공급자와 데이터를 공유하는 방식을 추적합니다.
Solutions like Usercentrics and iubenda deliver these features effectively. For instance, iubenda, Capterra에서 4.5/5점으로 평가된 것은 앱을 준수하면서 운영 효율성을 최소화하는 능력으로 유명합니다. [7].
Capgo: CCPA 준수 앱 업데이트

개인 정보 관리 이외에도 플랫폼 Capgo 업데이트 시 CCPA 준수를 보장합니다. Capgo 준수성을 지원하기 위해 제공하는 기능은 다음과 같습니다.
- 끝에서 끝까지 암호화 업데이트 시 사용자 데이터를 보호하기 위해.
- 장치 간 추적 또는 지속적인 식별자 없이.
- 투명한 데이터 처리 aggregated-only 통계만 제공합니다.
- 사용자 통제 즉시 계정 및 데이터 삭제 옵션을 통해.
Capgo은 1,800개의 운영 앱에서 4,9240만 건의 업데이트를 성공적으로 전달했으며, 엄격한 개인 정보 보호 지침을 준수하고 있습니다. [9].
“Capgo은 개발자가 생산성을 높이고자 하는 개발자에게 필수적인 도구입니다. 버그 수정에 대한 리뷰를 피하는 것은 금이다.” - Bessie Cooper [9]
이러한 도구를 정기적인 감사와 함께 사용하면 CCPA 준수를 유지할 수 있습니다.
결론: CCPA 준수 단계
이전의 전략을 따르면, CCPA 준수를 보장하기 위한 주요 작업을 나열한 것입니다. 사용자 데이터를 보호하기 위한 철저한 접근 방식이 준수함을 의미하며, 비준수는 최근 집행 사례에서 비중이 있는 벌금을 포함하고 있으므로, 개발자는 개인 정보 보호를 심각하게 받아들이고 있어야 합니다.
다음 세 가지 주요 영역에 집중하세요:
-
데이터 관리 및 투명성
- 사용자 식별자 및 IP 주소와 같은 모든 개인 정보를 수집한 것을 매핑하기 위해 데이터 인벤토리를 수행하십시오. [1].
- 각 사용자의 데이터가 어떻게 처리되는지 추적하고 문서화하십시오.
- 데이터 수집을 시작하기 전에 사용자에게 데이터 수집 방법에 대한 정보를 명확하게 제공하십시오.
- 준수 표준을 충족하는지 확인하기 위해 3자 SDK를 검토하십시오.
-
사용자 권한 구현
- __CAPGO_KEEP_0__ 시스템을 설정하여 데이터 접근 및 삭제 요청을 처리하십시오.
- __CAPGO_KEEP_0__ 기간 내에 사용자 요청을 처리하십시오.
- '개인 정보를 판매하거나 공유하지 마십시오'라는 링크를 쉽게 찾을 수 있도록 하십시오.
- 사용자 요청을 안전하게 관리하기 위해 신분 인증 절차를 구축하십시오. [10].
-
기술 인프라
- __CAPGO_KEEP_0__를 사용하여 사용자 데이터를 안전하게 보호하십시오.
- 사용자 동의를 안전하게 저장하십시오.
- 개인 정보 보호에 초점을 맞춘 업데이트 도구를 선택하십시오. 예를 들어, Capgo를 사용하십시오.
- 개인 정보 보호 정책을 최신 상태로 유지하고 보안 감사 과정을 정기적으로 수행하십시오.
CCPA 규칙을 충족하기 위해 설계된 도구를 사용하여 지속적인 준수를 고려하십시오. 예를 들어, colenso는 Capgo에 대해 경험을 공유했습니다.
'Capgo를 사용하여 OTA 업데이트를 프로덕션에서 배포하여 5000명 이상의 사용자에게 업데이트를 제공했습니다. 거의 모든 사용자가 업데이트를 몇 분 만에 완료했습니다. @Capgo에서 OTA 업데이트를 배포했습니다.' [9]
CCPA 적용이 앱에 미치는 영향에 대해 계속 진행하십시오
If you are using CCPA 법적 준수에 대한 앱의 영향 __CAPGO_KEEP_0__을 보안 및 준수 계획에 사용하여 연결하세요. 암호화 __CAPGO_KEEP_0__의 구현 세부 정보에서 암호화 법적 준수 __CAPGO_KEEP_0__의 구현 세부 정보에서 법적 준수 Capgo 보안 스캐너 Capgo 보안 스캐너의 제품 워크플로우에 대해 Capgo 보안 Capgo 보안의 제품 워크플로우에 대해 Capgo 트러스트 센터 Capgo 제품 워크플로우에 대한 신뢰 센터에서.