내년 1월로 예정된 캘리포니아주의

 '소비자 개인정보 보호법'(CCPA) 시행을 앞두고  정보기술(IT) 기업들이 이 법 준수를 위해 대비하느라 분주한 것으로 나타났다.

소비자 개인정보 보호법이 시행되면  캘리포니아 주민은 기업들이 수집한 개인정보를  열람하고 삭제하거나 이 정보의 판매를 중단하도록 할 수 있게 된다.

적용 대상은 캘리포니아에서 영업하면서 상업적 목적을 위해 5만 명 이상의 개인정보를 수집하는 기업들이다.

이는 실리콘밸리를 기반으로 사업하는 많은 IT 기업은 물론 앱 개발자나 웹사이트, 이동통신 서비스 제공업체, 스트리밍 TV 업체 등이 모두 해당된다.

뿐만 아니라 유통업체나 대형 약국 같은 오프라인 점포도 포함된다.

이 법은 내년 1월 1일부터 시행된다.

뉴욕타임스는는 이 법이 미국 전체적으로도 파급력이 있다고 지적했다. 일례로 마이크로소프트(MS) 같은 회사는  캘리포니아주의 법에 담긴 데이터 권리를 전국의 고객들에게 적용하겠다고 밝혔다.

이 법 시행을 앞두고 많은 기업은 기존의 이용자 정보 취급 관행을 전면적으로 개편하고 있다.

새 법은 기업이 수집한 아주 구체적인 정보까지 볼 수 있는 권한을 부여한다.

여기에는 '사회적 지위 향상을 추구하는 독신', '안정적인 블루칼라 중산층', '경제적으로 쪼들림' 식으로  기업이 사람을 분류하는 추론과 범주화 작업까지 포함된다.

이는 아마존의 회원제 서비스 프라임 고객이 자신의 스트리밍 비디오 시청 내역을 알려달라고 하거나, 차량호출 업체 우버나 리프트의 고객이 서비스 이용 때마다 운전사로부터 받은 고객 평점 정보를 요구할 경우 업체가 이를 제공해야 한다는 뜻이라고 NYT는 전했다.

기술 분야 컨설턴트 메리 스톤 로스는 "만약 기업이 개인의 수면 정보를 수집했다면 그 정보를 내놔야 한다"고 말했다.

새 법은 또 기업이 이런 개인정보를 판매할 경우 고객들에게 자신의 정보가 판매·공유되지 않도록 선택할 수 있는 권한을 주도록 했다.

또 이 법은 '판매'의 범위를 '비 금전적인 보상'까지 확대해 정의했다.

하지만 새 법이 여전히 개인에게 많은 부담을 지우고 있다는 지적도 있다.

마이크로소프트의 최고사생활보호책임자(CPO) 줄리 브릴은  "개인정보를 보호할 책임을 기업들이 분담하도록 할 필요가 있다"며 그 사례로 "기업들이 보유한 데이터를 평가하고 이를 잘 보호하도록 하는 일"을 들었다.