개인정보 국외이전 조항 (개정 CCPA를 중심으로)
• 개정 CCPA는 개인정보 역외이전 및 데이터 현지화와 관련해 명시적으로 규정하고 있지 않음
• 다만 개인정보의 ’판매‘ 및 ’공유‘는 제3자에게 개인정보를 전송하는 행위를 포함하고 있음(§1798.140(ad)(1), §1798.140(ah)(1))
- 사업체가 제3자에게 소비자의 개인정보를 합병, 인수, 파산, 또는 제3자가 해당 사업체의 전부 또는 일부를 통제하게 되는 기타 거래의 일환으로 제3자에게 개인정보를 이전하는 경우, 해당 개인정보는 개정 CCPA와 일관되게 사용 및 공유된다는 전제하에 이전을 허용
- 또한, 소비자가 서비스 전환 목적으로 사업체에서 보유 중인 개인정보를 다른 사업체에 이전하도록 요구하는 행위는 사업체에 의해 개인정보가 공개된 것으로 간주하지 않음(§1798.130(b)(ii))
• 한편, EU 집행위원회(European Commission)가 ’23년 7월 10일 EU-U.S. Data Privacy Framework(이하 EU-미국 DPF)에 대한 적정성 결정을 채택한 것을 기점으로, EU-미국 DPF 인증을 획득한 미국 사업체는 표준계약조항(Standard Contractual Clauses, 이하 SCC) 등의 국외이전 메커니즘을 마련할 필요 없이 EU로부터 개인정보를 이전받는 것이 가능해짐 1)
1) European Commission, Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data flows, 2023.7.10.