피해 구제 체계1)
Ⅰ. 컨트롤러
(감독기관에 대한 통지) 보안 시스템의 단일 위반으로 인해 500명 이상의 캘리포니아 주민에게 침해를 통지해야 하는 경우, 해당 개인 또는 사업체는 캘리포니아주 검찰총장에게 통지서 샘플 사본 한 부를 전자 제출해야 함 (캘리포니아주 민법 §1798.82(f))
• 보안 위반 통지는 캘리포니아주 검찰총장 홈페이지를 통해 접수가 가능
※ https://oag.ca.gov/privacy/databreach/report-a-breach
(소비자에 대한 통지) 암호화되지 않은 개인정보를 권한이 없는 자가 획득했거나 획득했다고 의심되는 경우, 캘리포니아 주민에게 해당 사실을 통지해야 함 (캘리포니아주 민법 §1798.82(a))
• '개인정보 침해 통지(Notice of Data Breach)‘는 불합리한 지체 없이 가능한 가장 이른 시일 안에 이루어져야 하며 (캘리포니아주 민법 §1798.82(a)), 예외적으로 법 집행기관이 해당 통지가 범죄 수사에 방해가 된다고 판단하는 경우에는 통지가 지연될 수 있음 (캘리포니아주 민법 §1798.82(c))
• 해당 통지는 쉬운 언어로 작성되어야 하며, 최소한 아래 정보를 제공해야 함(캘리포니아주 민법 §1798.82(d))
- 사건의 개요
- 사건에 영향받은 정보의 종류
- 사업체가 취하고 있는 조치
- 영향을 입은 소비자가 취할 수 있는 조치
• 한편 동 통지 의무는 사업체가 암호 키에 접근하거나 획득하지 않은 한, 암호화된 정보에는 적용되지 않음 (캘리포니아주 민법 §1798.82(a))
Ⅱ. 소비자
개인정보 침해와 관련해 민원을 제기하고자 하는 소비자는 온라인 양식을 통해 민원을 온라인으로 접수할 수 있음
※ https://oag.ca.gov/contact/consumer-complaint-against-business-or-company
• 만약 우편으로 민원을 접수하기를 희망하는 소비자의 경우, 캘리포니아주 검찰총장 홈페이지에서 제공하는 양식 2)
을 작성하여 제출이 가능
1) 개정 CCPA는 기업이 합리적인 보안 조치를 채택하도록 요구하고 있으나, 개인정보 침해에 대한 구체적인 통지 의무는 캘리포니아주 민법에서 규정한 바를 근거로 함 (캘리포니아주 민법 §1798.82)
2) https://oag.ca.gov/sites/all/files/agweb/pdfs/contact/business_corpform.pdf