CCPA/CPRA와 한국 개인정보보호법: 데이터 프라이버시의 이중 적용

CCPA 위반 건당 $7,988, 한국 PIPA 개정으로 매출 10%까지 과징금. 양쪽 법률이 동시에 적용되는 한국 기업은 어떻게 해야 하는가. 동의 모델의 차이(opt-out vs opt-in), 국외 이전 요건, 2026~2028년 시행 일정까지 정리합니다.

Share
CCPA/CPRA와 한국 개인정보보호법: 데이터 프라이버시의 이중 적용

기업편 #26 · 읽기 약 11분


이전 글(미국에서 사업하면서 모르면 큰일나는 규제들)에서 미국 컴플라이언스의 전체 지도를 다뤘습니다. 오늘은 그 중 가장 많은 기업에 직접 영향을 미치는 데이터 프라이버시 규제를 다룹니다.

미국에서 소비자 데이터를 다루는 한국 기업은 캘리포니아의 CCPA(California Consumer Privacy Act)/CPRA(California Privacy Rights Act)를 준수해야 하고, 동시에 한국 개인정보보호법의 적용도 받습니다. 양쪽 법률의 요구사항이 다르고, 특히 국외 이전(cross-border transfer)에 대한 규정이 다르기 때문에, 한쪽만 지키면 다른 쪽에서 위반이 될 수 있습니다.


CCPA/CPRA: 캘리포니아가 만든 미국의 사실상 프라이버시 표준

적용 대상

CCPA는 다음 세 가지 기준 중 하나라도 충족하는 영리 기업에 적용됩니다. 기업의 소재지가 캘리포니아가 아니어도, 캘리포니아 거주자의 개인정보를 처리하면 적용됩니다.

  • 연간 총매출이 $26,625,000 이상 (2025~2026년 물가 조정 기준)
  • 캘리포니아 거주자 100,000명 이상의 개인정보를 처리
  • 연간 매출의 50% 이상이 개인정보의 판매 또는 공유에서 발생

Jackson Lewis의 2026년 분석에 따르면, 이 매출 기준은 캘리포니아에서 발생한 매출이 아니라 전체 매출을 기준으로 합니다.

소비자의 권리

CCPA/CPRA는 소비자에게 다음과 같은 권리를 부여합니다.

  • 알 권리(Right to Know): 어떤 개인정보가 수집되고 어떻게 사용되는지 알 수 있는 권리
  • 삭제 요청권(Right to Delete): 수집된 개인정보의 삭제를 요청할 수 있는 권리
  • 거부권(Right to Opt-Out): 개인정보의 판매 또는 공유를 거부할 수 있는 권리
  • 정정권(Right to Correct): 부정확한 개인정보의 정정을 요청할 수 있는 권리
  • 민감 정보 제한권: 민감 개인정보(Sensitive Personal Information)의 사용을 제한할 수 있는 권리

2026년 신규 요구사항

2026년 1월 1일부터 세 가지 주요 요구사항이 추가되었습니다.

자동화된 의사결정 기술(ADMT) 규제: 자동화된 시스템으로 소비자에 대해 중요한 결정을 내리는 경우, 사전 고지, 소비자의 거부권(opt-out), 결정 로직에 대한 설명 의무가 생겼습니다. 2027년 1월 1일부터 본격 시행됩니다.

리스크 평가 의무: 소비자 프라이버시에 중대한 위험을 초래할 수 있는 데이터 처리 활동에 대해 리스크 평가를 실시하고 기록을 보관해야 합니다.

사이버보안 감사 의무: 연간 매출 $25M 이상이면서 대량의 개인정보를 처리하는 기업은 독립적인 사이버보안 감사를 받아야 합니다. 2028년 4월까지 첫 보고서를 CPPA에 제출해야 합니다.

벌금

CCPA 위반 벌금은 건당(per violation) 부과됩니다. 2026년 기준 비의도적 위반은 건당 $2,663, 의도적 위반은 건당 $7,988입니다. "건당"이 핵심인데, 대량의 소비자 데이터를 처리하는 기업의 경우 위반 건수가 빠르게 늘어나서 벌금이 수백만 달러에 이를 수 있습니다. 2025년에는 단일 사건으로 $1.35M이상의 과징금이 부과된 사례가 있습니다. 이 벌금은 캘리포니아 법무장관(Attorney General) 또는 CPPA(California Privacy Protection Agency, 캘리포니아 개인정보보호청)가 부과합니다.

또한 데이터 유출 사고 시 소비자 1인당 $107~$799의 법정 손해배상(statutory damages)을 청구할 수 있는 사적 소권(private right of action)이 있어서, Class Action으로 발전하면 배상액이 기하급수적으로 커질 수 있습니다.


한국 개인정보보호법: 2026년 대폭 강화

현행 구조

한국 개인정보보호법(개인정보 보호법, 이하 "PIPA")은 미국의 CCPA와 비교할 때 EU의 GDPR에 더 가까운 구조를 가지고 있습니다. 포괄적 개인정보보호법이 연방 차원에서 없는 미국과 달리, 한국은 하나의 법률로 전 산업에 적용됩니다.

현행 PIPA 제75조에 따르면 안전성 확보 조치 미이행, 개인정보 유출 미신고 등의 위반에 대해 최대 5,000만 원 이하의 과태료가 부과됩니다.

2026년 개정: 매출액의 10%까지 과징금 가능

2026년 2월 12일 국회를 통과한 개정안에 따르면, 다음과 같은 중대한 변화가 시행됩니다 (대부분 2026년 9월 11일 시행).

과징금 대폭 인상: 고의 또는 중과실로 3년 내 반복 위반하거나, 1,000만 명 이상의 정보주체에 영향을 미치는 위반의 경우 전체 매출액의 10%까지 과징금을 부과할 수 있게 됩니다.

대표이사 책임 명시: 개정안 제30조의3에 따라 대표이사(또는 사업주)가 개인정보의 안전한 처리와 정보주체 권리 보호에 대한 최종 책임을 부담합니다.

개인정보보호책임자(CPO)의 위상 강화: 일정 규모 이상의 기업은 CPO의 선임·교체·해임에 이사회 의결이 필요하고, 개인정보보호위원회(PIPC)에 신고해야 합니다.

ISMS-P(Personal Information & Information Security Management System, 개인정보 및 정보보호 관리체계) 인증 의무화: 일정 기준을 충족하는 개인정보처리자에게 ISMS-P 인증이 의무화됩니다. 2027년 7월 1일부터 시행됩니다.

Chambers and Partners의 2026년 보고서에 따르면, 이 개정안은 개인정보보호를 기술적 컴플라이언스를 넘어서 기업 지배구조(corporate governance)의 영역으로 확대하는 것입니다.


CCPA vs 한국 PIPA: 핵심 비교

항목CCPA/CPRA한국 PIPA
적용 범위매출/데이터량 기준 충족 시 적용모든 개인정보처리자에 적용
동의 모델Opt-out (기본 수집 가능, 거부권 보장)Opt-in (사전 동의 원칙)
민감 정보사용 제한 요청권별도 동의 필요
벌금건당 $2,663~$7,988 + 사적 소권과태료 5,000만 원 + 과징금 매출 10% (2026.9월~)
국외 이전별도 규정 없음 (계약으로 처리)제28조의8: 별도 동의 또는 법정 요건 충족 필요
감독 기관CPPA (캘리포니아 주)개인정보보호위원회 (PIPC)
보안 인증사이버보안 감사 (2028년~, 일부 기업)ISMS-P 의무화 (2027.7월~, 일정 규모 이상)

국외 이전: 한국 기업이 가장 자주 부딪히는 이슈

한-미 양쪽에서 사업하는 기업에게 가장 실무적으로 중요한 것은 데이터의 국외 이전 문제입니다.

한국 → 미국으로 데이터를 보내는 경우

한국 PIPA 제28조의8에 따르면, 개인정보를 국외로 이전하려면 다음 중 하나에 해당해야 합니다.

  1. 정보주체로부터 별도의 동의를 받은 경우
  2. 법률이나 조약에 특별한 규정이 있는 경우
  3. 정보주체와의 계약의 체결·이행에 필요한 경우로서, 처리방침에 공개하거나 정보주체에게 알린 경우
  4. 이전받는 자가 개인정보보호 인증을 받은 경우
  5. 이전되는 국가의 개인정보보호 수준이 한국과 실질적으로 동등하다고 PIPC가 인정하는 경우

여기서 주의할 것은, 제3호(처리방침 공개)는 "계약의 체결·이행에 필요한" 이전에만 적용된다는 점입니다. 예를 들어 한국에서 가입한 고객의 데이터를 미국 서버에서 처리해야 서비스 제공이 가능한 경우(SaaS 등)에는 제3호가 적용될 수 있지만, 계약 이행과 무관한 목적(마케팅 분석, 제3자 제공 등)으로 데이터를 이전하려면 제3호가 적용되지 않으므로 별도의 동의(제1호)나 다른 요건을 충족해야 합니다.

미국에 법인이 있고 한국에서 수집한 고객 데이터를 미국 서버로 이전하는 경우, 위 요건 중 하나를 충족하지 않으면 위반이 됩니다. 이전 목적이 계약 이행인지, 그 외의 목적인지를 구분해서 적합한 법적 근거를 확보하는 것이 중요합니다.

미국 → 한국으로 데이터를 보내는 경우

CCPA에는 GDPR의 적정성 결정(adequacy decision)이나 한국 PIPA의 국외 이전 동의 같은 별도 규정이 없습니다. 데이터 이전 자체에 대한 제한보다는, 어디에서든 캘리포니아 거주자의 데이터를 처리하는 한 CCPA의 요구사항(삭제 요청 대응, opt-out 보장 등)을 준수해야 한다는 구조입니다.


한국 기업의 실무 대응

양쪽 법률이 동시에 적용되는 상황을 인식하세요

한국에서 서비스를 운영하면서 캘리포니아 거주자의 데이터를 처리하면 CCPA가 적용되고, 미국에서 서비스를 운영하면서 한국 사용자의 데이터를 처리하면 PIPA가 적용됩니다. 양쪽에서 서비스를 제공하면 양쪽 법률을 동시에 준수해야 합니다.

동의 모델의 차이에 주의하세요

CCPA는 opt-out(기본적으로 수집하고 거부 가능), PIPA는 opt-in(사전 동의 필요)입니다. 한국 시장에 맞춰서 opt-in으로 설계하면 미국에서도 문제가 없지만, 미국 시장에 맞춰서 opt-out으로만 설계하면 한국에서 위반이 될 수 있습니다. 양쪽 중 더 엄격한 기준(opt-in)에 맞추는 것이 가장 안전합니다.

Privacy Policy를 양쪽 요구사항에 맞게 작성하세요

CCPA는 "개인정보가 수집되는 시점 또는 그 전에" 고지할 것을 요구하고, PIPA도 처리방침 공개를 요구합니다. 하나의 Privacy Policy에 양쪽 요구사항을 모두 담거나, 한국어/영어 버전을 별도로 만들어서 각국 법률의 요구사항을 반영하는 방법이 있습니다.

DSAR(Data Subject Access Request) 대응 체계를 갖추세요

CCPA와 PIPA 모두 소비자/정보주체가 자신의 데이터에 대한 열람, 삭제, 정정을 요청할 수 있는 권리를 부여합니다. 이 요청에 대응하는 내부 프로세스를 미리 갖춰두지 않으면, 요청을 받았을 때 법정 기한 내에 대응하지 못해서 위반이 될 수 있습니다.

2026~2027년 시행 일정을 추적하세요

시점내용
2026.1.1CCPA 리스크 평가, 사이버보안 감사 요구사항 시행
2026.9.11한국 PIPA 개정안 시행 (매출 10% 과징금, 대표이사 책임 등)
2027.1.1CCPA ADMT 규정 본격 시행
2027.7.1한국 ISMS-P 의무 인증 시행
2028.4.1CCPA 사이버보안 감사 보고서 첫 제출 기한

(다음 글 예고: SOC 2, ISO 27001, HIPAA: 미국 B2B SaaS 보안 인증)


참고 자료

  • SecurePrivacy, "CCPA Requirements 2026: Complete Compliance Guide" (secureprivacy.ai/blog, December 2025)
  • FTI Consulting, "CCPA Final Regulations: Business Compliance Guide" (fticonsulting.com, April 2026) — 2026.1.1 시행 CCPA 최종 규정, 사이버보안 감사 18개 통제 영역
  • Clym, "CCPA Penalties and Fines in 2026" (clym.io/blog, March 2026) — 건당 $2,663/$7,988, 소비자 $107~$799
  • Jackson Lewis, "Navigating the CCPA: 30+ Essential FAQs" (jacksonlewis.com, January 2026)
  • Chambers and Partners, "Data Protection & Privacy 2026 — South Korea" (practiceguides.chambers.com, March 2026)
  • Hunton Andrews Kurth, "South Korea Amends Privacy Law to Authorize Fines of Up to 10% of Total Revenue" (hunton.com, February 2026)
  • DLA Piper, "Data Protection Laws of the World — South Korea" (dlapiperdataprotection.com, 2026) — PIPA 시행일 2026.9.11, ISMS-P 2027.7.1
  • 개인정보 보호법 제28조의8 (개인정보의 국외 이전)
  • 개인정보 보호법 제75조 (과태료)

본 뉴스레터는 일반적인 법률 정보 제공을 목적으로 합니다.

개별 사안에 대한 법률 자문을 대체할 수 없으니,
구체적인 법률 문제는 Venture Pacific Law Group(info@ventureplg.com)으로
문의 주시기 바랍니다.

Read more

한국 스타트업의 미국 Exit 실전: M&A가 어려운 구조적 이유와 미국 Exit 전략

한국 스타트업의 미국 Exit 실전: M&A가 어려운 구조적 이유와 미국 Exit 전략

한국에서 M&A Exit 비율이 56.5%에서 38.0%로 추락했습니다. 매수자가 없고, 재벌은 구조조정 중이고, IPO 시장도 막혔습니다. 그래서 미국에서 Exit을 설계해야 합니다. Day 1부터 빅테크 인수 대상으로 회사를 만드는 build-to-acquire 전략, 빅테크가 사는 회사의 5가지 공통점, 그리고 Part 1 전체를 관통하는 하나의 원칙까지 정리합니다.

By Sangyong Jun

미국 진출을 준비하고 계신가요?

법인 설립부터 투자 유치, VC의 미국 투자까지 —
한국 창업자와 투자자를 위한 미국 법률 가이드를
새 글이 발행될 때마다 이메일로 보내드립니다.

구독 완료! ✉️

확인 이메일을 보내드렸습니다.
메일함을 확인해주세요.