GDPR와 CCPA에서의 이동권(Right to data portability) 차이

1. 개요

GDPR과 CCPA 모두 데이터 이동권을 보장하고 있으며, 상당히 유사한 세부사항을 명시한다. 개인정보 이동권이 규정된 조항은 각각 아래와 같다.

GDPR의 경우 Articles 12, 20, Recital 68

CCPA의 경우 Section 1798.100, 1798.100, 1798.130, 1798.145 (g)(3)

2. 공통점

GDPR에서 정보주체는 계약이나 동의에 따라 처리되는 데이터를 "구조화되고 일반적으로 사용되며 기계가 읽을 수 있는 형식"으로 수령하고 그 데이터를 방해 없이 다른 컨트롤러(개인정보처리자, 서비스제공자)로 전송할 권리가 있다. GDPR은 소비자들이 이 권리를 무료로 행사할 수 있다고 명시하고 있다. 수수료가 청구되는 경우가 있을 수 있는데, 특히 요청이 근거가 없거나, 과도하거나, 반복적인 특성이 있는 경우 그러하다.

 

GDPR에서 데이터 주체는 전자적 수단과 구두 등 다양한 수단을 통해 데이터 이동을 요청할 수 있어야 한다. 전자적 방법으로 요청할 경우 데이터 컨트롤러도 동일한 방법으로 데이터를 제공해야 한다. 그리고 데이터 컨트롤러는 데이터 요청이 정보주체에 의해 이루어지는 것이 맞는지 보장하는 메커니즘을 갖추어야 한다. 하지만 이런 요청 및 응답은 기술적으로 수행 가능한 한도 내에서만 이루어질 수 있다. 

 

CCPA는 사업자가 정보주체의 접근 요청에 따라 데이터를 전자적으로 제공할 때 이 데이터를 제3자에게 방해 없이 전송할 수 있도록 이식성 있고 읽기 용이한 형태로 제공해야 한다고 명시하고 있다. CCPA 또한 GDPR과 마찬가지로 소비자들이 이 권리를 무료로 행사할 수 있다고 명시하고 있다. 요청이 근거가 없거나 과도하거나 반복되는 특성을 가진 경우에는 수수료가 청구될 수 있다는 것 또한 동일하다.

 

CCPA에선 전화나 웹페이지 등 소비자가 자신의 개인 정보에 접근을 요청하기 위한 최소한 두 가지 방법이 제공되어야 한다고 명시한다. 업체는 전자적 수단이나 우편을 통해 정보를 회신할 수 있다. 그리고 마찬가지로 데이터에 대한 접근 요청이 정보주체에 의해 이루어지는지 보장할 수 있는 매커니즘을 필요로 한다. 마지막으로 CCPA 또한 이러한 개인정보 제공은 기술적으로 가능한 선에서 이루어져야 한다고 규정한다.

 

3. 차이점

3-1. 적용 대상 정보

GDPR의 경우 정보주체 동의나 계약에 따라 처리되고 자동화된 방법으로 처리가 이뤄지는 개인정보는 모두 이동권의 대상이 된다.  CCPA에서 데이터 이동권은 데이터 접근권의 확장이므로 동일한 제한이 적용된다.(예: 이전 12개월 동안 수집된 데이터에만 적용됨). 

3-2. 전송 기한

GDPR에서 컨트롤러는 요청 접수 후 1개월이내 지체 없이 응답해야 한다. 2개월 더 연장될 수 있지만, 처음 1개월 안에 연장 사실을 공지해야 한다. CCPA에선 요청 접수 후 45일 이내에 회신해야 한다. 45일 더 연장될 수 있지만, 처음 45일 이내에 소비자에게 공지해야 한다. 유사한 구조이지만 규정된 기한의 차이가 있다. 그런데 CCPA의 경우 다른 조항에선 또 90일까지 연장할 수 있는 것 처럼 되어 있어 정확한 기한은 다시 한번 정확히 확인해보길 권장한다. (Section 1798.145에선 90일까지 연장 가능한 것 처럼 되어 있음)

3-3. 전송 요구권(지시권)

GDPR은 데이터 주체가 데이터 이동 권한에 따라 개인 데이터를 수신할 수 있도록 하는 것 외에도 개인 데이터를 한 컨트롤러에서 다른 컨트롤러로 직접 전송할 수 있도록 하는 전송 요구권까지 권한을 확장한다. CCPA에선 소비자가 개인정보를 용이하게 제공받을 수 있는 것 까지만 보장되며 전송 요구권은 규정하고 있지 않다.

 

※ 본 내용은 Comparing privacy laws: GDPR v. CCPA(DataCuidance & Future of privacy forum) 보고서를 번역하여 재정리하는 형태로 인용하였음