캘리포니아, 데이터 공유를 전면 거부할 수 있는 법안 시행
(therecord.media)- 캘리포니아 주에서 웹 브라우저를 통해 데이터 제3자 제공을 전면적으로 거부할 수 있는 새로운 법안이 제정됨
- 2018년 도입된 California Consumer Privacy Act는 옵트아웃 권한을 제공했으나, 실질적 사용은 어려움 존재
- 이 법은 버튼 한 번으로 간편하게 전체 옵트아웃이 가능하게 하여, 주요 브라우저들에 명확한 구현 요구 발생
- 같은 날 서명된 다른 법안들은 소셜 미디어 계정 삭제 시 데이터 완전 삭제 및 데이터 브로커 정보 공개 의무를 강화함
- 프라이버시 보호와 소비자 데이터 관리 권한이 대폭 확대되는 기점임
캘리포니아 데이터 공유 거부 법안 개요
- 캘리포니아 주지사 Gavin Newsom이 웹 브라우저에서 데이터 판매 옵트아웃 기능을 단순화하는 법안에 공식 서명함
- 2018년에 제정된 California Consumer Privacy Act로 캘리포니아 시민들은 데이터 판매 거부 신호를 보낼 권리를 얻었으나, 웹 브라우저는 간소한 거부 접근성을 제대로 제공하지 않았음
- 이번에 새로 통과된 법안은 웹 브라우저가 쉽게 접근 가능한 옵트아웃 메커니즘을 의무적으로 도입하도록 요구함
- 개별 사이트에서 일일이 수동으로 거부하는 과정 대신, 한 번의 클릭으로 전체 사이트에 옵트아웃 요구 신호를 보낼 수 있는 환경을 만드는 것이 핵심임
법안 도입의 사회적 의미
- 해당 법안은 미국 내에서 최초로 도입된 보편적 데이터 거부 법률임
- 기존에는 서드파티 브라우저 확장 프로그램이나 프라이버시 특화 브라우저를 써야 보편적 옵트아웃이 가능했음
- 이제는 수백만 명의 사용자가 훨씬 쉽게 데이터 판매 거부를 실행할 수 있게 됨
추가적으로 통과된 데이터 보호 관련 법안
- 같은 날 주지사가 서명한 다른 법안은 소셜 미디어 기업이 손쉬운 계정 삭제 및 데이터 완전 삭제 기능을 갖추도록 의무화함
- 또 다른 법안은 Data Broker Registration Law를 강화하여, 데이터 브로커가 어떤 개인정보를 수집하고 누가 이를 취득할 수 있는지에 대한 정보 공개를 확대함
전망
- 이번 일련의 입법은 프라이버시 보호와 소비자 데이터 통제 권한을 획기적으로 높이는 계기임
- 브라우저와 소셜 미디어, 데이터 브로커에 대한 규제 강화 및 투명성 제고 흐름이 지속적으로 이어질 전망임
Hacker News 의견
-
기업들이 이런 요구를 무시할 경우 집단 소송을 걸 수 있도록 해야 효과가 있을 것임을 언급함, 직접 웹사이트에서 opt-out 기능을 정기적으로 테스트하는 스크립트를 작성했는데, 거의 50%가 잘못 구현되고 있음을 확인함, 이 중에는 최근 상장한 유수의 IT 기업들도 포함되어 있음, 캘리포니아의 CCPA/CPRA 법률에 따르면 대부분의 집행 권한이 기관(CPPA, Attorney General)에게 있으며, 개인이 직접 소송을 제기할 수 없으므로, 기업 입장에선 집단 소송 위협에 직면하지 않아 부담이 적음
-
광범위한 사전 분쟁 중재 합의와 집단 소송 포기, 대량 중재 금지 조항 등의 영향으로 집단 소송이 힘들어졌음, 연방 대법원이 이를 인정한 관계로 캘리포니아도 쉽게 뒤집지 못함, 대신 법적으로 CPPA나 Attorney General이 이슈 발생 시 반드시 집행하도록 하고, 캘리포니아 주민이 이를 고지하는 데 어떤 NDA도 무력화하며, 집행 미비 시 강제 소송(위트 오브 맨데이머스)으로 집행을 요구할 수 있게 해야 한다고 제안함, 이런 소송이 재정적으로 가능하도록 변호사 비용도 지급해야 함, 기본적으로 의무화하되 예외는 투명하게 논의 가능하게 해야 함, 이런 문제에 대해 캘리포니아 주의회나 주지사는 실질적 해결보다는 보여주기식 대응에 관심이 더 많은 것처럼 느껴짐
-
사용한 스크립트를 공유해 줄 수 있는지 궁금함
-
개인이 직접 시행할 수 없는 법이 있다는 것이 이상함을 언급함, 법률 집행을 쉽게 하도록 헌법 개정이 필요하다는 의견이고, 구체적으로 어떻게 할지는 법률 전문가가 고민해야 할 문제임
-
-
'Do Not Track'라는 브라우저 헤더 기능이 있었을 때의 경험을 공유함, 사용자 및 엔지니어로서 좋아했으나 업계의 반발로 사라짐, 만약 모두가 선의로 대응했으면 대단했을 것임, 이런 도구는 브라우저가 구현하는 게 맞다고 생각함, 만약 쿠키에도 똑같이 적용했다면 오늘날 쿠키 팝업 혼돈이 없었을 것임, 이번 기사에서 브라우저 벤더가 'do not sell' 규정도 구현해야 한다고 보는데, Do Not Track과 유사한 것인지 궁금함
-
오히려 데이터 판매는 사용자가 명확히 동의해야 하는 옵트인(opt-in) 방식이어야 한다고 생각함, 동의할 경우에는 우리가 데이터 판매, 사용, 재판매 때마다 가격을 정하고 보상을 받아야 함, 사용자 동의 없이 기업이 아무 대가 없이 데이터를 가져가는 게 비정상임을 지적함
-
지금은 오히려 더 심각함, 프라이버시 업계에서는 'Do Not Track' 헤더를 활성화하지 않는 것이 더 낫다고 권고함, 왜냐하면 이 헤더가 거의 지켜지지도 않을뿐더러 오히려 브라우저 지문 수집(data point) 용도로 활용되어 더 많이 추적당할 수 있기 때문임
-
-
캘리포니아 입법자들에게 감사함을 전하고, 이번 법이 의도대로 잘 작동하기를 바라며, 허점이 발견되면 즉시 보완되기를 기대함
-
이런 소식은 환영하지만 실질적인 벌금과 확실한 집행이 뒤따라야 함, 실효성 없는 법적 조항이면 무의미하고, 정말 문제 기업을 퇴출시킬 만큼의 강력한 제재가 필요하다고 생각함
-
난 또 다시 모든 웹사이트에서 닫아야 하는 새로운 팝업이 생길 것으로 예상함
-
-
미국의 혼란스러운 프라이버시 법제가 미국 시장 단일성의 이점을 약화시킬 것이라는 우려가 있음, 대형 기업들은 사실 데이터를 팔지는 않고 직접 활용함, 이번 법이 실제로 타격을 주는 건 중소기업임
-
'universal opt-out' 법안 자체는 강제력이 매우 약하고, 기존 CCPA와 결합해서만 잠재력이 있음, CCPA는 맥락 간 행동 광고 목적의 정보 공유에만 제한을 둠, 이번 법은 브라우저와 모바일 OS에 옵트아웃 의사를 쉽게 표현할 수 있는 설정만 요구함, 신호의 형식이나 준수 강제는 명시적 요구 없음, 전체 법안도 트윗 한 번 분량으로 정리 가능함, 다만 '쿠키 배너' 문제는 별도 법(CCPA)에서 12개월 쿨다운 기간을 규정함, 주요 법 조항 및 신호 정의도 공유함 https://legiscan.com/CA/text/AB566/id/3117187 https://oag.ca.gov/privacy/ccpa
-
universal opt-out이 되지 않을 때 대체 도구 https://simpleoptout.com/ 을 소개함
-
디폴트가 opt-out이어야 하고, 사용자가 명시적으로 다시 opt-in해야 한다고 생각함, 이것이 진짜 문제의 본질임
- Microsoft가 DNT를 opt-out 기본값으로 시도했으나, 데이터 중심 기업들이 이를 무시해서 실패함
-
데이터가 팔릴 때마다 사용자도 수익을 공유받는 구조가 필요함을 제안함
- 이러한 아이디어는 스타트업 업계에서 오랫동안 논의되었으나, 실제로 시도된 적은 거의 없음, 대중에게 "나는 단돈 얼마라도 광고 타겟이 되어도 된다"는 보상을 제안하는 합리적인 모델로 보임
-
공식 발표 링크를 공유함 https://gov.ca.gov/2025/10/…
-
이런 기능 덕분에 현재 설치한 여러 보안 확장 프로그램을 줄이고 싶지만, 실제로 opt-out 신호가 지켜질까 확신이 없어서 여전히 방어 확장 프로그램을 유지해야 할 것 같음, 법의 취지는 매우 긍정적으로 생각함