CCPA가 대규모로 무시되고 있습니다: 당신이 할 수 있는 것

캘리포니아 개인정보 보호법의 준수 문제

캘리포니아 소비자 개인정보 보호법(CCPA)은 주민들에게 자신의 개인 데이터에 대한 실질적인 통제권을 부여하기 위해 만들어졌습니다. 하지만 7,000개 이상의 인기 웹사이트를 대상으로 한 광범위한 새 감사는 전혀 다른 이야기를 전합니다. 연구자들은 CCPA에 대한 "산업적 규모의 미준수"를 발견했으며, 많은 대형 기술 기업들이 브라우저에 직접 내장된 법적으로 인정된 개인정보 신호를 체계적으로 무시하고 있다고 밝혔습니다.

문제의 신호는 글로벌 개인정보 제어(GPC, Global Privacy Control)라고 불립니다. 이 신호가 활성화되면 방문하는 모든 웹사이트에 당신의 개인 정보를 추적하거나 판매하지 말라는 자동 지시를 전송합니다. CCPA에 따르면, 캘리포니아에서 사업을 운영하는 기업들에게 이 신호를 준수하는 것은 선택 사항이 아닙니다. 법적 요건입니다. 그럼에도 불구하고, 이번 감사에서는 GPC 신호가 활성화된 상태에서도 일부 경우 방문의 86%에서 추적이 계속되는 것으로 나타났습니다.

이 수치는 잠시 생각해볼 필요가 있습니다. 사용자가 법적으로 보호되는 개인정보 설정을 활성화하는 등 모든 것을 올바르게 했더라도, 압도적인 다수의 브라우징 세션에서 자신의 행동이 추적되고 데이터가 잠재적으로 판매될 수 있습니다.

법적 보호만으로는 충분하지 않은 이유

CCPA와 같은 개인정보 보호법은 진정한 진전을 나타냅니다. 이러한 법은 권리를 확립하고, 집행 메커니즘을 만들며, 기업들이 자신의 데이터 관행을 정당화해야 하는 부담을 지웁니다. 하지만 이번 감사는 개인정보 보호 옹호자들이 오랫동안 경고해온 격차를 보여줍니다. 법은 그 집행만큼만 효과적입니다.

미준수가 이처럼 광범위하고 체계적일 때, 이는 기업들이 규제 처벌의 위험이 수집하는 데이터의 가치보다 낮다고 계산했음을 시사합니다. 이는 개인적인 문제가 아니라 구조적인 문제입니다. 쿠키 배너를 꼼꼼히 읽거나 "모두 거부"를 클릭하는 것만으로는, 선택과 관계없이 추적 인프라가 백그라운드에서 계속 실행되는 시스템을 고칠 수 없습니다.

이는 캘리포니아를 넘어서도 중요한 문제입니다. CCPA는 캘리포니아 주민에게만 적용되지만, 이를 위반하는 웹사이트들은 전 세계 사용자에게 서비스를 제공합니다. 동일한 추적 기술, 광고 네트워크, 데이터 브로커가 전 세계적으로 운영됩니다. 대형 기업들이 실질적인 제재 수단을 가진 주법도 기꺼이 무시한다면, 더 약한 보호 장치를 가진 지역의 상황은 더욱 나쁠 것입니다.

이것이 당신에게 의미하는 것

이번 감사에서 얻을 수 있는 실질적인 교훈은 불편하지만 중요합니다. 웹 브라우징 시 자신의 개인정보를 보호하기 위해 법적 체계에만 의존할 수 없다는 것입니다. 기업의 준수는 잘해도 일관성이 없으며, 이 연구에 따르면 최악의 경우 당신의 명시된 선호를 존중하는 것에 있어 거의 무의미한 수준입니다.

이것이 개인정보 보호법이 쓸모없다는 의미는 아닙니다. 규제 압력, 벌금, 공개적 책임은 시간이 지남에 따라 상황을 개선시킵니다. 하지만 그동안 실제 브라우징 행동은 어떤 동의 배너나 수신 거부 설정이 시사하는 것보다 훨씬 광범위하게 추적될 가능성이 높습니다.

더 신뢰할 수 있는 보호를 제공하는 도구들은 정책 수준이 아닌 기술 수준에서 작동합니다. 서드파티 추적기를 차단하는 브라우저 확장 프로그램은 기업에게 당신의 선호를 존중해달라고 요청하지 않습니다. 단순히 추적 코드가 처음부터 로드되는 것을 방지합니다. 마찬가지로, VPN은 인터넷 연결을 암호화하고 IP 주소를 마스킹하는데, 이는 다양한 웹사이트에서 당신의 행동 프로필을 구축하는 데 사용되는 주요 식별자 중 하나입니다. 두 가지 방법 모두 기업의 선의나 규제 집행에 의존하지 않습니다.

브라우저 수준의 개인정보 제어도 더욱 정교해졌습니다. Firefox와 개인정보 보호를 우선시하는 원칙으로 만들어진 브라우저들은 기본적으로 많은 추적 스크립트를 차단합니다. GPC 신호 자체도 활성화할 가치가 있는 브라우저 설정입니다. 기업들이 이를 신뢰할 수 있게 준수하지 않더라도(이번 감사가 그렇지 않음을 명확히 보여주지만), 당신의 명시된 선호에 대한 문서화된 기록을 만들어주며, 이는 집행 조치에서 중요할 수 있습니다.

지금 당신의 개인정보를 보호하기 위한 실질적인 단계

이번 감사가 밝혀낸 내용을 감안할 때, 정책에 의존하는 약속이 아닌 실질적인 보호를 제공하는 구체적인 조치들이 있습니다:

• 브라우저 설정에서 글로벌 개인정보 제어(GPC)를 활성화하세요. 항상 준수되지는 않을 수 있지만, 법적 근거의 층을 추가하며 개인정보 보호 중심 브라우저에서 점점 더 지원되고 있습니다.
• uBlock Origin과 같은 추적기 차단 브라우저 확장 프로그램이나 기본적으로 서드파티 스크립트를 차단하는 개인정보 보호 중심 브라우저를 사용하세요. 이러한 도구들은 사이트가 수신 거부 설정을 준수하는지 여부와 관계없이 작동합니다.
• 일반 브라우징, 특히 제어할 수 없는 네트워크에서는 VPN 사용을 고려하세요. VPN은 추적기를 직접 차단하지는 않지만, ISP와 네트워크 수준의 관찰자가 당신의 활동 기록을 구축하는 것을 방지하고, 사이트 전반에 걸쳐 세션을 연결하는 IP 주소를 마스킹합니다.
• 브라우저의 개인정보 설정을 주기적으로 감사하세요. 서드파티 쿠키, 핑거프린팅 보호, 추적기 차단은 주류 브라우저에서 기본적으로 비활성화되어 있는 경우가 많습니다.
• 쿠키 동의 배너에 대해 회의적인 시각을 가지세요. 연구에 따르면 많은 사이트가 선택한 옵션에 관계없이 계속 추적합니다.

CCPA는 기업들이 개인 데이터를 처리하는 방식에 대한 책임을 묻기 위한 의미 있는 단계였습니다. 하지만 이번 감사는 많은 개인정보 연구자들이 수년간 주장해온 것을 확인해줍니다. 법적 권리와 기술적 현실은 매우 다른 것입니다. 그 격차를 이해하고, 당신에게 사용 가능한 도구로 그 격차를 줄이기 위한 조치를 취하는 것이 지금 당장 의미 있는 개인정보 보호를 위한 가장 신뢰할 수 있는 방법입니다.