캘리포니아 주민, 모든 데이터 브로커에 개인 정보 삭제 요청 가능

 (consumer.drop.privacy.ca.gov)
1P by GN⁺ 3일전 | ★ favorite | 댓글 1개
  • 캘리포니아 주민이 주정부 웹사이트를 통해 데이터 브로커에게 개인 정보 삭제를 요청할 수 있는 기능이 제공됨
  • 해당 서비스는 consumer.drop.privacy.ca.gov 도메인에서 운영되며, 접속 시 보안 확인 절차를 거침
  • 사이트는 사용자가 JavaScript와 쿠키를 활성화해야 정상적으로 이용 가능함
  • 페이지에는 사람 확인 절차와 연결 보안 검토 과정이 포함되어 있음
  • 이 기능은 개인 정보 보호 강화와 데이터 삭제 권리 실현을 위한 중요한 조치임

consumer.drop.privacy.ca.gov 접속 절차

  • 사이트 접속 시 “사람인지 확인하는 중입니다”라는 메시지가 표시됨
    • 이 과정은 몇 초 정도 소요됨
  • 확인이 완료되면 “consumer.drop.privacy.ca.gov 응답을 기다리는 중”이라는 안내가 나타남
  • 이후 JavaScript와 쿠키를 활성화해야 계속 진행 가능함

사이트의 목적과 기능

  • 캘리포니아 주민이 데이터 브로커에 저장된 개인 정보를 삭제 요청할 수 있도록 지원하는 웹 포털
  • 주정부의 개인 정보 보호 법령(Privacy Rights Act) 에 따라 운영되는 공식 채널임
  • 사용자는 단일 요청으로 등록된 모든 데이터 브로커에 삭제 요구를 전달할 수 있음

보안 및 접근 요구사항

  • 접속 과정에서 보안 연결 검토가 자동으로 수행됨
  • JavaScript와 쿠키가 비활성화되어 있으면 서비스 이용이 제한됨
  • 이러한 절차는 자동화된 접근 차단 및 사용자 데이터 보호를 위한 조치임

서비스의 의의

  • 주민이 자신의 개인 데이터 통제권을 직접 행사할 수 있는 수단 제공
  • 데이터 브로커의 투명성과 책임성 강화에 기여
  • 캘리포니아의 개인 정보 보호 정책 강화 흐름을 보여주는 사례임
GN⁺ 3일전  [-]
Hacker News 의견들

  • 삭제 요청을 제출하기 전에 캘리포니아 거주자 인증을 해야 한다는 조항이 있음
    인증은 Socure나 Login.gov 같은 제3자 벤더를 통해 이루어진다고 하는데, 뭔가 문제가 느껴짐

    • 규제 기관의 실행력에 따라 결과가 달라질 것 같음
      유럽이나 프랑스에서도 비슷한 사례가 있는데, 어떤 경우엔 새로운 권리를 만들고, 어떤 경우엔 진입장벽만 만드는 식이었음
    • 캘리포니아답다는 생각이 듦
      이건 좌파 정책자유주의(신자유주의) 정책의 차이를 잘 보여주는 예시임
      좌파식이라면 정부 기관이 직접 인증을 담당했을 텐데, 신자유주의식 접근은 “그냥 세금으로 민간 10곳에 맡기자”는 식임
    • 데이터 브로커 산업은 자기 정당화의 독약 같은 존재임
      전면 금지하지 않는 한, 규제를 교묘히 회피하며 계속 존재 이유를 만들어낼 것임
    • “정부 계약업체니까 해킹 불가능하다”는 식의 말장난이 들림 /s

  • 관련 문서와 링크를 정리함
    CCPA 법령 PDF,
    시행 버전 PDF,
    데이터 브로커 등록소,
    공식 공지 페이지
    다른 주들도 이런 제도를 따라줬으면 하는 바람임

  • 이런 제도가 시간이 지나면 어떻게 작동할지 궁금함
    매달 다시 요청해야 하나? 데이터는 주 경계를 넘나드니 실효성이 의문임

    • 삭제 요청을 처리하려면 결국 데이터를 일정 부분 보관해야 하는 모순이 있음
      법적으로는 45일마다 삭제 요청을 처리해야 하지만, 예를 들어 Broker A가 캘리포니아에 있고 Broker B가 해외에 있다면
      A는 45일 중 44일 동안 데이터를 다시 받아도 합법임
      결국 법의 빈틈을 이용할 여지가 많다고 봄

  • CloudFlare가 나를 사람으로 인식하지 않아 사이트 접근이 막혔음

    • 비주류 스마트폰 브라우저가 인터넷 과점 체제에 맞지 않다고 판단된 듯함

  • 원래 이런 법이 있었던 걸로 아는데, 이번엔 캘리포니아가 자체 요청 플랫폼을 만든 게 변화 같음

    • 또 다른 변화는 데이터 브로커들이 주 정부에 등록 의무를 지게 된 것임
      이론상 한 번의 요청으로 모든 브로커에서 내 정보를 삭제할 수 있게 됨

  • 데이터 브로커들이 실제로 데이터를 완전히 삭제할 거라 믿지 않음
    애초에 이런 회사들이 민감 정보를 수집하는 것 자체가 문제라고 생각함
    강력한 벌금이 필요함

    • 많은 데이터는 공공 기록에서 스크래핑된 것이라 완전 삭제가 어렵다고 함
      그래도 재판매는 제한해야 한다고 봄

  • 어제 시도해봤는데, 두 번의 SMS 2단계 인증을 거친 뒤 코드가 계속 거부되어 포기했음
    이런 싸움에 너무 에너지를 쓰고 싶지 않음

  • 법 시행이 2026년 8월 1일부터 시작된다고 함

    • 그때쯤이면 데이터가 이미 해외 브로커로 넘어갔을 가능성이 큼
      미국 법만으로는 인도, 중국, 러시아 같은 곳엔 영향이 없음

  • 아이디어는 좋지만 몇 가지 아쉬움이 있음
    법에 실질적 제재 수단이 필요하고, 무시당했을 때의 대응 절차를 알려줘야 함
    또 “거주자 인증” 요건은 이해하지만 아쉬움이 남음
    마지막으로 사람을 ‘소비자’로 표현하는 건 언어적으로 부적절하다고 느낌

    • “consumer”라는 표현은 CCPA 법안 자체의 용어임
      미국의 개인정보 보호법은 대부분 소비자 보호법의 연장선이지, EU처럼 시민권 기반은 아님

  • 이런 제도의 연방 버전이 있었으면 좋겠음

    • 하지만 현재 정치 체제에서는 절대 불가능할 것 같음
      기업들이 규제를 피하려고 그런 체제를 유지하고 있다고 봄
답변달기