AI 서비스를 준비 중이라면 해외 개인정보 보호법, 특히 GDPR(유럽)과 CCPA(미국 캘리포니아)는 절대 놓쳐선 안 됩니다. “한국에서 만들었는데 해외 법까지 신경 써야 해?” 할 수 있지만, gdpr 과 ccpa 는 현지 사용자를 기준으로 법에 적용 됩니다. 이번이 글에서 GDPR·CCPA 적용 기준, 벌금, 대비 전략까지 한 번에 확인해보도록 하겠습니다.
💥 알아두면 도움 되는 TIP
AI 서비스는 국적이 아니라 사용자 위치 기준으로 법이 적용됩니다. 유럽·미국 사용자 한 명만 있어도 GDPR·CCPA 대상이 될 수 있어요.
- 문제: 초기 준비를 안 하면 나중에 고치려 할 때 개발·법무·마케팅 비용이 폭발적으로 증가합니다.
- 해결: 처음부터 GDPR·CCPA 대비 체크리스트로 준비하세요. 이 글에서 핵심 내용 다루니까 끝까지 읽어보세요!
🇺🇸 CCPA (California Consumer Privacy Act, 캘리포니아 소비자 개인정보 보호법)
CCPA는 2020년 1월부터 시행된 미국 캘리포니아주 개인정보 보호법입니다. 미국 내에서는 가장 강력한 개인정보 보호법으로 꼽히며, 글로벌 서비스를 운영하는 기업들이 반드시 챙겨야 할 규제입니다.
CCPA 적용 기준
- 연 매출 2,500만 달러(약 340억 원) 이상 : 전 세계 매출 기준, 한국, 미국, 일본 어디든 연 매출 2500만 달러 이상이라면 포함.
- 단, 아래 추가 조건 중 하나 충족해야 최종 적용:
- 캘리포니아 주민 데이터 5만 건 이상 보유
- 데이터 판매 매출 비중 50% 이상
적용 기준은 글로벌 연매출 2,500만 달러(약 340억 원) 이상, 캘리포니아 주민 데이터 5만 건 이상 보유, 또는 데이터 판매 매출이 전체 매출의 50% 이상인 경우입니다. 이 중 한 가지라도 해당하면 CCPA 대상이 됩니다.
CCPA 적용 예시
- 한국 SaaS, 글로벌 매출 3,000만 달러, 캘리포니아 유저 5만 명 → ✅ CCPA 적용
- 같은 매출, 캘리포니아 유저 10명 → ❌ CCPA 비적용
단순히 매출만 높다고 적용되지 않고, 캘리포니아 주민과의 데이터 연결성이 중요합니다. CCPA의 특징은 ‘opt-out’ 방식으로, 소비자가 데이터 판매를 거부할 권리, 수집·공유 내역 열람권, 삭제 요청권을 갖습니다.
🌍 GDPR (General Data Protection Regulation, 유럽 일반 개인정보보호법)
GDPR은 2018년 5월부터 시행된 유럽연합(EU) 및 유럽경제지역(EEA) 개인정보 보호법입니다. 이 법은 전 세계에서 가장 강력한 개인정보 보호 규제 중 하나로, “사용자 동의”와 “개인 데이터 주권”을 핵심으로 합니다.
GDPR 적용 기준
- 매출 기준 없음!
중요한 건:- EU·EEA 주민 대상 서비스
- EU 내 ‘상품·서비스 제공’ 또는 ‘행동 추적’
특징적으로 매출 규모와 상관없이, EU 사용자가 서비스를 이용하거나 EU 내에서 사용자 행동을 추적하면 무조건 적용됩니다. 예를 들어, 한국에서 만든 AI 앱이 유럽 사용자가 다운로드해 사용하면 GDPR 적용 대상이 됩니다.
- 한국 스타트업, 유럽인 1명 가입 → ✅ GDPR 적용
- 한국 인플루언서, EU 팬 1명에게 DM → ✅ GDPR 적용 가능성 있음
유럽 유저 1명이라도 가입하거나 행동 분석하면 적용됩니다. 소규모 스타트업, 매출 0원이어도 예외 없이 적용 됩니다.
GDPR·CCPA 위반 시 벌금
🌍 GDPR 벌금
GDPR이 무서운 이유는 벌금 규모입니다. 위반 시 최대 2,000만 유로(약 290억 원) 또는 전 세계 연매출의 4% 중 더 큰 금액이 부과됩니다.
- 최대 2,000만 유로(약 290억 원)
- 또는 전 세계 매출의 4% → 더 큰 쪽 선택
- GDPR 벌금 예시 :
- 연매출 100억 원 → 100억 × 4% = 4억 → 최대 4억 벌금
- 연매출 1조 원 → 1조 × 4% = 400억 → 상한 2,000만 유로(290억)로 제한
작은 스타트업부터 대기업까지 동일하게 적용되고, 매출이 클수록 벌금도 기하급수적으로 커지죠. 특히 사용자 데이터 열람·삭제·이동권, 잊힐 권리 같은 강력한 사용자 권리를 보장하고, 동의 없이 데이터 처리 시 심각한 법적 리스크가 발생할 수 있습니다.
매출이 클수록 벌금도 높아지게됩니다.
🇺🇸 CCPA 벌금
- 위반 1건당 $2,500(약 340만 원) → 일반 위반
- 고의 위반 시 $7,500(약 1,020만 원)
- 개인·집단 소송 가능 → 건수 쌓이면 파산각
위반 1건당 약 340만원 발생하며, 고의 위반시 약, 1,020만원의 벌금이 쌓리며 개인 및 집단 소송이 쌓일수록 소송 금액이 기하급수적으로 늘어납니다.
- ccpa 벌금 예시 :
- 개인정보 유출 1,000건, 고의 위반 → 1,000 × $7,500 = $7.5M(약 102억 원)
벌금은 위반 1건당 최대 $2,500(약 340만 원), 고의 위반 시 $7,500(약 1,020만 원)으로, 위반 건수가 쌓이면 집단 소송으로 이어질 수 있어 상당한 리스크를 동반합니다. 예컨대 개인정보 1,000건 유출 시, 고의 위반이면 총 벌금이 약 102억 원까지 치솟을 수 있습니다.
👉 CCPA는 ‘건수’가 무섭고, GDPR은 ‘매출’이 무섭습니다.
GDPR vs CCPA 핵심 비교
| 항목 | GDPR | CCPA |
|---|---|---|
| 적용 기준 | 매출 무관, EU·EEA 사용자 대상 | 전 세계 매출 $25M↑ + CA 주민 관련성 필요 |
| 사용자 권리 | 데이터 열람·삭제·이동권, 잊힐 권리 | 데이터 열람·삭제·판매 거부권 |
| 벌금 | 최대 2,000만 유로 or 매출 4% (더 큰 쪽) | 위반 1건당 $2,500 (일반), $7,500 (고의) |
| 무서운 점 | 매출 클수록 벌금 폭탄 | 건수 쌓이면 소송 + 벌금 폭탄 |
GDPR은 “매출 무관, 사용자 기준”으로 무섭고, CCPA는 “대기업 + 캘리포니아 주민 데이터”가 무서운 포인트입니다.
마무리 하며
- GDPR : 유럽 사용자 한 명이라도 있으면 준비하자!
- CCPA : 글로벌 대기업 + 캘리포니아 사용자 데이터 주목!
몇 만 명 규모에서 터지면 벌금은 ‘상상 초월’ 급으로 벌금이 부과 됩니다.나옵니다. 초기부터 대비하면 나중에 리스크·비용을 1/100로 줄일 수 있어요.
