캘리포니아 소비자 개인정보 보호법(CCPA)은 캘리포니아 주민에 대한 정보 수집 및 처리에 엄격한 제한을 부과합니다. 마켓플레이스 스크래핑, 경쟁사 가격 모니터링 또는 프록시를 통한 공개 데이터 수집을 수행하는 경우, 법의 요구 사항과 이를 준수하는 방법을 이해하는 것이 중요합니다.
이 가이드에서는 CCPA의 맥락에서 프록시 작업의 실용적인 측면을 다룹니다: 어떤 데이터를 수집할 수 있는지, 법에 맞게 프로세스를 설정하는 방법, 위반 시 최대 $7,500의 벌금을 피하는 방법에 대해 설명합니다.
CCPA란 무엇이며 법이 적용되는 대상
캘리포니아 소비자 개인정보 보호법(CCPA)은 2020년 1월 1일 발효된 캘리포니아의 개인정보 보호법입니다. 이는 미국에서 가장 엄격한 개인정보 보호법 중 하나로, 종종 유럽의 GDPR과 비교됩니다. 2023년에는 CPRA(캘리포니아 개인정보 권리법) 개정안으로 법이 강화되었습니다.
CCPA는 캘리포니아 주민의 개인 데이터를 수집하는 상업적 조직에 적용되며, 다음 중 하나 이상의 기준을 충족해야 합니다:
- 연간 수익이 $2,500만 이상
- 회사가 연간 100,000명 이상의 소비자, 가구 또는 장치의 개인 데이터를 처리함
- 50% 이상의 수익이 소비자 개인 데이터 판매에서 발생함
중요한 점: 법은 회사의 위치에 관계없이 적용됩니다. 러시아, 카자흐스탄 또는 우크라이나에서 작업하더라도 캘리포니아 주민의 데이터를 수집하면 CCPA가 귀하의 활동에 적용됩니다.
실용적인 예: 미국 마켓플레이스(Amazon, eBay, Walmart)에서 데이터를 스크래핑하거나 미국 내 경쟁사 가격 정보를 수집하는 경우, 이 데이터 중에는 캘리포니아 주민에 대한 정보가 포함될 가능성이 높습니다.
CCPA에 따라 개인 데이터로 간주되는 데이터
CCPA는 개인 정보를 매우 광범위하게 정의합니다. 이는 특정 소비자 또는 가구를 식별하거나 관련되거나 설명할 수 있는 모든 데이터입니다. 목록에는 10개 이상의 데이터 카테고리가 포함됩니다.
| 데이터 카테고리 | 예시 | 스크래핑 시 위험 |
|---|---|---|
| 식별자 | 이름, 이메일, 전화번호, IP 주소, 쿠키 ID | 높음 |
| 상업적 정보 | 구매 이력, 상품 선호도 | 중간 |
| 인터넷 활동 데이터 | 브라우저 기록, 검색 쿼리, 사이트와의 상호작용 | 높음 |
| 지리적 위치 데이터 | 물리적 위치, GPS 좌표 | 중간 |
| 생체 인식 데이터 | 지문, 얼굴 인식 | 낮음 |
| 전문 정보 | 직위, 고용주, 고용 이력 | 중간 |
핵심 사항: 이름과 이메일을 직접 수집하지 않더라도, 프록시를 사용할 때 전송되는 IP 주소와 쿠키는 이미 CCPA에 따라 개인 식별자로 간주됩니다.
프록시 사용이 CCPA 요구 사항과 관련된 방법
프록시 서버 자체는 CCPA를 위반하지 않습니다. 이는 트래픽을 라우팅하기 위한 기술적 도구입니다. 문제는 프록시를 통해 어떤 데이터를 수집하고 이를 어떻게 처리하는지에서 발생합니다.
CCPA 준수에 대한 질문이 발생하는 전형적인 프록시 사용 시나리오는 다음과 같습니다:
1. 마켓플레이스 및 전자상거래 사이트 스크래핑
Amazon, Walmart, eBay에서 주거용 프록시를 통해 상품 데이터를 수집할 때, 고객의 이름이 포함된 리뷰, 사용자 평가, 고객 질문과 같은 개인 정보를 무심코 수집할 수 있습니다. 이러한 사용자가 캘리포니아 주민이라면 CCPA가 적용됩니다.
2. 경쟁사 가격 모니터링
프록시를 통해 가격을 모니터링할 때, 지리적 위치와 사용자 이력에 기반한 개인화된 가격을 볼 수 있습니다. 이러한 데이터 수집은 소비자 상업 정보 처리의 정의에 해당할 수 있습니다.
3. 소셜 미디어 데이터 수집
마케팅 연구를 위해 프록시를 통해 Instagram, Facebook, LinkedIn의 공개 프로필을 스크래핑하는 것은 개인 데이터를 직접 수집하는 것입니다. 프로필이 공개되어 있더라도 CCPA는 특정 규칙 준수를 요구합니다.
프록시 사용은 실제 신원과 위치를 숨기기 때문에 상황을 복잡하게 만듭니다. CCPA 관점에서 이는 자체적으로 위반이 아니지만, 개인 데이터를 은밀하게 수집하고 소비자에게 수집 거부 옵션을 제공하지 않는 경우 이는 문제가 됩니다.
프록시를 통한 데이터 수집의 합법적인 방법
CCPA는 데이터 수집을 완전히 금지하지 않습니다. 법은 투명성, 소비자가 자신의 데이터에 대한 통제 및 정보 사용 목적을 규제합니다. 다음은 프록시 작업 시 법의 범위 내에서 유지하는 데 도움이 되는 방법입니다.
방법 1: 공개 비개인 데이터만 수집하기
특정 개인을 식별하지 않는 데이터에 집중하십시오:
- 사용자와 연결되지 않은 상품 가격
- 집계된 통계(상품의 평균 평점, 리뷰 수)
- 제품의 기술 사양
- 재고의 상품 유무
- 기업에 대한 공개 데이터(개인에 대한 데이터 아님)
프록시를 통해 마켓플레이스를 스크래핑할 때, 사용자 콘텐츠가 포함된 블록(이름이 포함된 리뷰, 고객 질문, 사용자 프로필)을 무시하도록 스크립트를 설정하십시오.
방법 2: 데이터 익명화 및 집계
개인 정보를 포함할 수 있는 데이터를 수집해야 하는 경우, 즉시 익명화하십시오:
- 수집된 데이터에서 이름, 이메일, 전화번호를 자동으로 삭제하십시오
- 정확한 IP 주소를 범위 또는 지역으로 대체하십시오
- 데이터를 집계하십시오: "사용자 John이 상품 X를 구매했다" → "상품 X가 150회 구매됨"
- 분석에 필요하다면 식별자에 해시를 사용하십시오
중요: 익명화는 되돌릴 수 없어야 합니다. 익명화된 데이터 세트에서 개인 데이터를 복원할 수 있다면 CCPA는 여전히 적용됩니다.
방법 3: robots.txt 및 서비스 약관 준수
비록 CCPA의 직접적인 요구 사항은 아니지만, 사이트의 규칙을 준수하는 것은 성실성을 보여줍니다:
- 스크래핑 전에 robots.txt 파일을 확인하십시오 — 많은 사이트가 특정 데이터 수집을 명시적으로 금지합니다
- 대상 사이트의 서비스 약관을 읽으십시오 — 자동 데이터 수집에 대한 제한이 있을 수 있습니다
- 프록시를 통한 요청 간 합리적인 지연을 사용하십시오 (요청 제한)
- 가능한 경우 User-Agent를 통해 봇을 식별하십시오
방법 4: 투명성 및 목적 문서화
CCPA는 기업이 데이터 수집에 대해 투명해야 한다고 요구합니다:
- 수집하는 데이터와 그 목적을 문서화하십시오
- 웹사이트가 있는 경우 — 데이터 수집 관행을 설명하는 개인정보 보호 정책을 게시하십시오
- 명시된 목적을 위해 필요한 만큼만 데이터를 보관하십시오
- 명시적인 동의 없이 수집된 데이터를 제3자에게 판매하지 마십시오
실용적인 조언: 스크래핑을 위해 데이터 센터 프록시를 사용하는 경우, 프로세스를 문서화하십시오: 무엇을 스크래핑하는지, 개인 데이터를 어떻게 필터링하는지, 정보를 얼마나 오래 보관하는지. 이는 감사 시 도움이 됩니다.
공개 데이터 vs 개인 정보: 경계는 어디인가
가장 자주 묻는 질문 중 하나는 "데이터가 인터넷에 공개적으로 접근 가능하면 자유롭게 수집할 수 있는가?"입니다. CCPA는 공개 데이터에 대한 예외를 두지 않습니다 — 정보가 캘리포니아 주민을 식별할 수 있다면 법의 적용을 받습니다.
| 데이터 유형 | 공개 접근 | CCPA 적용 | 권장 사항 |
|---|---|---|---|
| 상품 가격 | 예 | 아니오 | 안전하게 스크래핑 가능 |
| 사용자 이름이 포함된 리뷰 | 예 | 예 | 수집 시 이름 삭제 |
| LinkedIn 공개 프로필의 이메일 | 예 | 예 | 높은 위험, 피하기 |
| 판매 통계의 집계된 데이터 | 예 | 아니오 | 안전하게 스크래핑 가능 |
| 웹사이트 방문자의 IP 주소 | 아니오 (기술적 데이터) | 예 | 개인정보 보호 정책 필요 |
| Instagram의 공개 게시물 | 예 | 내용에 따라 다름 | 작성자 익명화 |
핵심 규칙: 데이터의 공개성은 개인 정보로서의 지위를 무효화하지 않습니다. 사람을 식별하는 공개 데이터를 수집하는 경우 CCPA가 적용됩니다. 차이점은 공개 데이터의 경우 "합법적 이익"을 처리 근거로 정당화하기가 더 쉽다는 것입니다.
CCPA의 예외
법은 데이터가 개인 정보로 간주되지 않는 몇 가지 예외를 규정하고 있습니다:
- 정부 출처에서 공개적으로 접근 가능한 정보 (주 정부 등록부, 법원 기록)
- 특정 소비자와 연결할 수 없는 비식별화된 데이터
- 소비자에 대한 집계된 정보
- 윤리 기준을 준수하며 과학 연구의 일환으로 수집된 데이터
데이터 스크래핑 시 CCPA 준수를 위한 체크리스트
캘리포니아와 관련된 대상 청중이나 데이터 출처가 있는 경우, 프록시를 통한 데이터 수집 프로젝트를 시작하기 전에 이 체크리스트를 사용하십시오:
✅ 계획 단계
- 필요한 데이터가 무엇인지, 그것이 CCPA에 따라 개인 정보인지 확인하십시오
- 귀사가 CCPA의 적용을 받는지 평가하십시오 (수익 기준, 데이터 양)
- 데이터 수집의 법적 근거를 문서화하십시오 (합법적 이익, 계약, 동의)
- 대상 사이트의 서비스 약관에서 스크래핑 제한을 확인하십시오
✅ 기술 설정 단계
- 개인 식별자를 자동으로 삭제하기 위한 필터를 설정하십시오 (이름, 이메일, 전화번호)
- 프록시를 통해 흔적을 최소화하기 위해 주거용 프록시를 사용하십시오
- robots.txt 준수를 위해 요청 제한을 구현하십시오
- IP 주소 및 기타 식별자의 자동 익명화를 설정하십시오
- 수집된 데이터를 암호화된 형태로 저장하십시오
✅ 문서화 단계
- 데이터 수집 관행을 설명하는 개인정보 보호 정책을 작성하십시오 (웹사이트나 서비스가 있는 경우)
- 소비자로부터 데이터 삭제 요청 처리 절차를 문서화하십시오
- 수집한 데이터 처리 기록을 유지하십시오: 무엇을 수집했는지, 언제, 어떤 목적으로
- 데이터 보관 기간 및 자동 삭제 절차를 설정하십시오
✅ 운영 단계
- 정기적으로 수집된 데이터에서 개인 정보가 있는지 확인하십시오
- 명시적인 동의 없이 데이터를 제3자에게 판매하거나 전달하지 마십시오
- 데이터 수집 관행이 변경될 경우 개인정보 보호 정책을 업데이트하십시오
- 팀에게 CCPA의 기본 사항 및 데이터 처리 절차에 대해 교육하십시오
- 소비자의 데이터 접근/삭제 요청 처리 메커니즘을 설정하십시오
법적 위험 최소화를 위한 프록시 설정
프록시를 올바르게 설정한다고 해서 CCPA 준수가 보장되지는 않지만, 위험을 최소화하고 감사 시 성실성을 보여주는 데 도움이 됩니다.
작업에 따른 프록시 유형 선택
| 프록시 유형 | 더 적합한 용도 | CCPA 위험 |
|---|---|---|
| 주거용 프록시 | 마켓플레이스 스크래핑, 소셜 미디어에서 공개 데이터 수집 | 중간 — 일반 사용자처럼 보임 |
| 모바일 프록시 | 모바일 애플리케이션에서 데이터 수집, 지리적 타겟팅 확인 | 중간 — 높은 익명성 |
| 데이터 센터 프록시 | 비개인 데이터(가격, 재고) 대량 스크래핑 | 낮음 — 개인 데이터를 수집하지 않는 경우 |
법 준수를 위한 프록시 설정
1. IP 주소 회전: 부하 분산을 위해 IP를 자동으로 회전시켜 수집된 데이터를 하나의 식별자에 연결되지 않도록 하십시오. 이는 사용자 프로필 생성을 복잡하게 만듭니다.
2. 지리적 타겟팅: 캘리포니아 주민의 데이터와 작업하지 않는 경우, 캘리포니아 IP를 제외하도록 프록시를 설정하십시오. 대부분의 프록시 제공업체는 지역 선택을 허용합니다.
3. 요청 로그: 시간 표시와 함께 프록시를 통한 모든 요청의 로그를 유지하십시오. 이는 요청 제한 준수와 남용이 없음을 보여주는 데 도움이 됩니다.
4. User-Agent 및 식별: 일부 변호사는 귀하의 스크래퍼를 식별하는 정직한 User-Agent를 사용하는 것을 권장합니다 (예: "MyCompanyBot/1.0"). 이는 투명성을 보여주지만 차단 위험을 증가시킬 수 있습니다.
중요: 개인 데이터를 수집하기 위해 보호를 우회하기 위해 모바일 프록시를 사용하는 것은 CCPA 위반이 아닐 수 있지만, 동의 없이 개인 데이터를 수집하기 위해 보호를 우회하는 경우 이는 위반으로 간주될 수 있습니다.
CCPA 위반에 대한 벌금 및 실제 사례
CCPA는 행정적 벌금(캘리포니아 검찰총장 측)과 소비자로부터의 민사 소송 두 가지 유형의 벌금을 규정하고 있습니다.
벌금 규모
- 행정적 벌금: 각 비의도적 위반에 대해 최대 $2,500, 각 고의적 위반에 대해 최대 $7,500
- 민사 소송: 데이터 유출 사건당 소비자당 $100-$750 (또는 실제 손해가 더 클 경우)
- 집단 소송: 수천 사용자의 데이터 유출 시 금액이 수백만 달러에 이를 수 있음
CCPA 위반의 실제 사례
Sephora — $1.2 백만 벌금 (2022)
이 회사는 소비자의 개인 데이터를 제3자에게 판매하면서 거부할 수 있는 기회를 제공하지 않았습니다. 이는 CCPA 위반으로 인한 첫 번째 대규모 벌금입니다. 교훈: 데이터를 수집하고 이를 누군가에게 전달하는 경우 — 이는 CCPA에 따라 "판매"로 간주되며, 통지가 필요합니다.
DoorDash — 집단 소송 (2020)
490만 사용자 데이터 유출로 인해 CCPA에 근거한 집단 소송이 발생했습니다. 사건은 법원 외부에서 해결되었지만, 스타트업도 심각한 결과에 직면할 수 있음을 보여주었습니다.
Clearview AI — 진행 중인 조사
이 회사는 얼굴 인식 데이터베이스를 만들기 위해 소셜 미디어에서 사진을 수집했습니다 (공개 데이터). 데이터의 공개성에도 불구하고 Clearview에 대해 CCPA 위반 혐의로 여러 소송이 제기되었습니다. 교훈: 공개 개인 데이터를 수집하는 것조차 문제를 일으킬 수 있습니다.
중소기업의 경우 CCPA 기준에 해당하면 벌금 위험이 현실적입니다. 캘리포니아 검찰총장은 소비자 불만을 적극적으로 조사하고 있으며, 2023년부터는 법 준수를 감독하기 위해 캘리포니아 개인정보 보호국(CPPA)이 설립되었습니다.
벌금 위험을 줄이는 방법
- 데이터 감사 수행: 무엇을 수집하고, 어떻게 저장하며, 누구에게 전달하는지 확인하십시오
- 소비자 요청 처리 절차를 구현하십시오 (접근, 삭제, 데이터 판매 거부)
- 데이터 수집 관행을 설명하는 개인정보 보호 정책을 웹사이트에 게시하십시오
- 팀에게 CCPA의 기본 사항 및 요청 처리 절차에 대해 교육하십시오
- 개인정보 위반에 대한 벌금을 보장하는 사이버 위험 보험을 고려하십시오
- 의심스러운 경우, 개인정보 보호법 전문 변호사와 상담하십시오
결론
CCPA는 프록시를 사용하든 사용하지 않든 캘리포니아 주민의 개인 데이터를 수집하는 기업에 심각한 요구 사항을 부과합니다. 법 준수의 핵심 원칙은 데이터 수집 목적의 투명성, 개인 정보의 최소화, 소비자에게 데이터에 대한 통제권 제공 및 안전한 저장입니다.
비개인 정보에 집중하거나 개인 데이터를 즉시 익명화하는 경우, 데이터를 수집하기 위해 프록시를 사용하는 것은 합법적입니다. 프로세스를 문서화하고 대상 플랫폼의 서비스 약관을 준수하며 귀하의 행동의 합법성을 입증할 준비를 하십시오.
CCPA 위반에 대한 벌금은 수백만 달러에 이를 수 있지만, 데이터 수집 및 처리 프로세스를 올바르게 설정하면 대부분의 문제를 피할 수 있습니다. 법 준수에 대한 투자는 법적 위험으로부터 보호하고 사용자 신뢰를 구축하는 데 도움이 됩니다.
미국 출처에서 데이터를 수집할 계획이라면, 캘리포니아 IP를 회전에서 제외하거나 비즈니스 요구 사항 및 법적 요구 사항에 따라 특정 지역의 데이터를 수집할 수 있는 주거용 프록시를 사용하는 것이 좋습니다.