본문 바로가기
Auteur
법무2026년 5월 8일· 14분· Auteur Team

미국 LLC SaaS 개인정보처리방침: 미국·캐나다 4법 비교

한국 사업자가 미국 LLC로 SaaS를 운영하면 5개 개인정보 법령이 동시에 적용됩니다. PIPA + CCPA + CPRA + Quebec Law 25 + GDPR 매트릭스와 처벌 노출까지 정리합니다.

한국 거주자가 SaaS를 만들고 미국 와이오밍이나 델라웨어 LLC로 사업을 시작하면 같은 제품에 다섯 개의 개인정보 법령이 동시에 적용될 수 있습니다. 한국 PIPA는 한국 거주자 운영자에게 기본으로 붙고, 캘리포니아 사용자가 한 명이라도 가입하면 CCPA와 CPRA가 따라붙습니다. 퀘벡 거주자가 가입하면 2024년 9월에 전면 시행된 Quebec Law 25가 추가되고, EU 사용자가 한 명이라도 회원가입하면 GDPR이 자동으로 적용됩니다. 인터넷에 떠다니는 개인정보처리방침 템플릿 대부분은 이 다섯 개를 따로 다루는데, 실제 한국 거주자 SaaS는 한 페이지에 동시에 담아야 합니다. 이 글은 다섯 법령이 겹치는 지점, 무엇을 게시해야 하는지, 그리고 어디서 진짜 과징금이 떨어지는지 정리합니다.

30초 핵심

한국 거주자가 운영하는 미국 LLC SaaS가 캘리포니아 소비자 데이터를 다루면 LLC가 캘리포니아에 사무실이 없어도 CCPA·CPRA 공시 의무가 발생합니다. CCPA 적용 임계값은 연 매출 $25M, 또는 연 100,000명 이상의 캘리포니아 소비자·세대 PI 처리, 또는 매출 50% 이상이 PI 판매·공유에서 발생하는 경우 중 어느 하나만 만나도 전부 적용됩니다. PIPA는 한국 거주자 운영자에게 기본으로 적용되고, Quebec Law 25는 퀘벡 사용자가 한 명이라도 있으면 25M CAD(약 250억 원) 또는 글로벌 매출의 4% 중 큰 금액으로 과징금이 매겨집니다. GDPR은 EU 사용자 한 명이라도 있으면 자동 적용됩니다. 게시할 처리방침은 한 페이지에 다섯 법령의 공시 요건을 모두 담아야 합니다. 처벌은 관할별로 누적되어, 한 법령에서 어긋나면 보통 다른 법령에서도 어긋나 있습니다.

한국 거주자 SaaS에 적용되는 다섯 법령

다섯 법령의 적용 조건과 처벌 한도를 한 표로 정리합니다.

법령관할적용 조건처벌 한도
PIPA (개인정보보호법)한국한국 거주자가 처리하는 모든 개인정보 활동매출 3% 이내 과징금, 형사처벌 가능
CCPA + CPRA캘리포니아$25M 매출 또는 10만 이상 CA 소비자·세대 또는 매출 50% 이상이 PI 판매·공유위반당 $7,500 (의도적), 사인의 손해배상 청구
Quebec Law 25퀘벡퀘벡 거주자 한 명 이상25M CAD 또는 글로벌 매출 4% 중 큰 금액
GDPREU·EEAEU 거주자 대상 서비스 또는 행동 추적20M EUR 또는 글로벌 매출 4% 중 큰 금액
가명정보·민감정보 (PIPA 2023 개정)한국자동화된 결정·민감정보·14세 미만 별도 동의위와 동일

한국 거주자 SaaS 창업자는 보통 처음 세 개(PIPA·CCPA·Quebec Law 25)를 피하지 못합니다. CCPA는 임계값이 있어 초창기에는 안 걸리지만 (a) 임계값에 생각보다 빨리 도달하고 (b) 미국 다른 주(Virginia VCDPA, Colorado CPA, Connecticut CTDPA, Texas TDPSA, Utah UCPA)들이 비슷한 공시 표준으로 수렴 중이라 첫날부터 CCPA 호환 처리방침을 게시하는 게 안전합니다.

처리방침 14섹션 체크리스트

PIPA 30조 + CCPA + CPRA + Quebec Law 25 + GDPR 모두 만족시키려면 다음 14섹션을 빠짐없이 담아야 합니다. 하나라도 빠지면 그 관할에서 보호 깨집니다.

  1. 사업자 정보·처리책임자 연락처 — LLC 정식 명칭, 등록 주소, 그리고 한국 PIPA가 요구하는 개인정보 처리책임자(Privacy Officer)의 이름·이메일
  2. 수집하는 개인정보 항목 — 이름·이메일·IP·기기 식별자·결제정보·행동 분석 데이터를 항목별로 나열
  3. 수집 출처 — 사용자 직접 입력, 제3자 데이터 브로커, 공개 정보, 파트너 등
  4. 수집·이용 목적 — 항목별로 목적 매핑(예: "이메일은 계정 인증 및 거래 알림 발송에 이용")
  5. 수탁자(처리위탁자) 목록 — Stripe(결제), Postmark/SendGrid(이메일), AWS/GCP(클라우드), PostHog/Mixpanel(분석) 등 명시
  6. 판매·공유 공시 — "당사는 소비자 PI를 cross-context behavioral advertising 목적으로 판매·공유하지 않습니다" 같은 명시 (CCPA 필수, Quebec Law 25도 동일 요구)
  7. 보유 기간 — 항목별 보유 기간(계정 데이터: 탈퇴 요청 후 90일, 로그: 180일, 백업: 365일 등)
  8. 국외 이전(cross-border transfer) — 데이터가 처리되는 지역(미국·캐나다·EU)과 안전장치(EU→미국 SCC, 한국 PIPA 28조의8 동의·고지)
  9. 이용자 권리 — 열람·정정·삭제·이동·판매 거부·민감정보 이용 제한(CPRA)·자동화된 결정 설명 요구권(Quebec Law 25, PIPA 2023 개정)
  10. 권리 행사 방법 — 신청 URL과 처리 SLA(CCPA 45일, GDPR 30일, Quebec Law 25 30일, PIPA 10일)
  11. 쿠키·트래킹 — 분석 쿠키, 광고 픽셀, 동의 배너 동작 조건
  12. 아동 — 미국 COPPA 13세, GDPR 16세, Quebec Law 25 14세 명시 동의, PIPA 만 14세 미만 법정대리인 동의
  13. 변경 고지 — 처리방침 변경 시 통지 방식과 시행일
  14. 공인 대리인 절차(CCPA) — 변호사·대리인이 소비자 대신 권리를 행사할 때의 인증 절차

이 14섹션 구조는 SaaS 개인정보 변호사들이 최소 기준으로 수렴한 형태입니다. 9번 섹션의 CPRA 민감정보 이용 제한권을 빼먹는 사례가 가장 많은데, CPRA 민감정보에는 위치정보·인종·종교·생체정보가 포함되어 이 중 하나라도 SaaS가 수집하면 별도 옵트아웃을 제공해야 합니다.

한국 PIPA — 한국 거주자 운영자에게 기본으로 붙는 법

PIPA는 한국 정부의 개인정보보호위원회(PIPC, Personal Information Protection Commission)가 관할하는 법입니다. 한국 거주자가 운영하는 SaaS라면 LLC 소재지와 무관하게 PIPA 적용됩니다. PIPA 2023 개정(2024 시행)에서 추가된 의무 중 한국 거주자 SaaS에 직접 영향 가는 것들.

  • 자동화된 결정 거부권(PIPA 37조의2) — 알고리즘으로 신용·서비스 거절·요금 차등 결정을 내리면 사용자가 거부하거나 설명을 요구할 수 있습니다. SaaS가 ML로 가격을 다르게 책정하면 해당.
  • 마이데이터·이동권(PIPA 35조의2) — 사용자가 자기 데이터를 표준 포맷으로 받아 다른 사업자로 이동시킬 수 있습니다.
  • 민감정보 별도 동의(PIPA 23조) — 위치·생체·건강·종교 등에 대한 별도 동의 화면 분리.
  • 국외 이전 동의·고지(PIPA 28조의8) — 한국 사용자 데이터를 국외로 옮기면 동의 또는 별도 고지 필요. AWS US-East 사용 시 명시.
  • 가명정보 처리 특례(PIPA 28조의2) — 가명처리한 데이터는 통계·연구 목적 처리 가능. SaaS 분석에 활용 가능.

위반 시 처벌은 매출 3% 이내 과징금이 가능하고, KISA(한국인터넷진흥원)가 행정조사·시정명령을 내립니다. PIPC 결정문에 적시된 사례 몇 가지 — 카카오 7,540만 명 사고(2023년) 151억 원 과징금, 메타 67억 원 과징금(2022년), 구글 692억 원 과징금(2022년) 등이 모두 PIPA 위반입니다.

CCPA + CPRA — 캘리포니아 사용자가 한 명이라도

CCPA(2020년 시행)와 CPRA(2023년 시행 개정안)는 보통 함께 다뤄집니다. 한국 거주자 SaaS가 자주 놓치는 CPRA 항목 몇 가지.

  • 민감정보(Sensitive Personal Information) 카테고리가 CPRA로 신설됐습니다. SaaS가 위치정보·정부 발급 ID·생체식별자·인종·종교·건강 데이터를 수집하면 일반 옵트아웃 외에 "이용 제한권(right to limit use)"을 별도로 제공해야 합니다.
  • Global Privacy Control(GPC) 신호를 존중해야 합니다. 사용자 브라우저가 GPC 헤더를 보내면, 옵트아웃 링크를 직접 클릭 안 했어도 판매·공유 옵트아웃으로 처리해야 합니다.
  • Service provider · contractor · third party 구분이 중요합니다. 본인을 위해서만 데이터를 처리하는 업체(결제 처리하는 Stripe)는 service provider로 분류되어 공유가 "판매"로 안 잡힙니다. 광고 네트워크(Google Ads, Meta Ads pixel)는 third party로 잡혀 공유 시 옵트아웃 권리 발동.
  • 공인 대리인(Authorized Agent) 절차로 변호사·대리인이 소비자 대신 신청한 요청을 인증하고 받아야 합니다.

CCPA 집행은 California Privacy Protection Agency(CPPA)와 캘리포니아 법무장관이 나눠 맡고 있습니다. 최근 집행 사례는 작은 SaaS 수십만 달러부터 Sephora 2022년 $1.55M까지 다양합니다.

Quebec Law 25 — 북미에서 가장 강력한 법

Quebec Law 25(정식: 개인정보보호 법령 현대화법)는 2024년 9월 22일 전면 시행됐습니다. 현재 북미에서 가장 엄격한 개인정보 법입니다. 한국 거주자 SaaS가 신경 써야 할 차이점.

  • 명시적 동의(Express consent) — 옵트아웃이 아니라 옵트인이 거의 모든 처리에 필요
  • 개인정보 책임자(Privacy Officer) 지정 후 처리방침에 공개. 미지정 시 LLC의 최고경영자가 자동 책임자
  • 개인정보 영향평가(Privacy Impact Assessment, PIA) — 새 수집 활동과 모든 국외 이전 전에 PIA 수행 의무
  • 유출 신고 — Commission d'accès à l'information(CAI)에 "심각한 피해 위험"이 있으면 신고. 영향받는 사용자에게도 통지
  • 자동화된 결정 설명권 — 알고리즘으로 서비스를 거절하면 사용자가 로직을 요구 가능
  • 데이터 이동권(portability) — 사용자가 자기 데이터를 구조화된 포맷으로 요구 가능
  • 처벌 한도 — 25M CAD(약 250억 원) 또는 글로벌 매출 4% 중 큰 금액. 북미 최대.

Quebec Law 25 처벌 한도가 한국 거주자 SaaS가 퀘벡 인지 처리방침을 갖춰야 하는 실용적 이유입니다. CCPA는 위반당 $7,500인데, Quebec Law 25는 한 건에 25M CAD까지 갈 수 있습니다. 퀘벡 사용자 한 명이 가입한 순간 적용 시작이고, 처리방침에 일반 개인정보 연락처와 별도로 Privacy Officer 연락처를 명시해야 합니다.

GDPR — EU 사용자 한 명이라도 가입하면

EU 사용자가 한 명이라도 회원가입하면 GDPR 자동 적용됩니다. 위 5법 처리방침이 GDPR 요구사항 대부분을 커버하지만, GDPR 고유 항목 몇 가지.

  • 처리의 적법근거(Lawful basis) — 동의·계약·정당한 이익·법적 의무·중대한 이익·공익 중 어느 것에 근거하는지 목적별로 명시
  • DPO(Data Protection Officer) — 대규모 체계적 모니터링이 핵심 활동이면 의무. 대부분 SaaS는 안 걸리고, MAU 250 이상이거나 행동 추적이 핵심이면 변호사 자문
  • 표준계약조항(SCC, Standard Contractual Clauses) — EU에서 미국·한국으로 데이터 이전하는 처리위탁 계약에 2021년 개정판 SCC 포함 필수
  • 유출 신고 — 인지 후 72시간 안에 lead supervisory authority에 신고
  • DSAR(정보주체 접근 요청) — 30일 안에 처리. 60일 한 번 연장 가능

AWS US-East에 호스팅하고 EU 사용자가 0명이어도 노출은 있습니다. 한 명이라도 가입하면 GDPR 적용 시작입니다. EU 가입을 차단하기보다 GDPR 호환 처리방침을 게시하고 모든 수탁자와 SCC 기반 DPA를 체결하는 편이 빠릅니다.

DPA에 들어가야 할 5조항

한국 거주자 SaaS는 보통 호스팅(AWS·GCP), 결제(Stripe), 이메일(Postmark·SendGrid), 분석(PostHog·Mixpanel), 에러 로그(Sentry) 같은 수탁자 스택을 씁니다. 각 업체가 본인을 대신해 PI를 처리하므로 DPA가 필요하고, 5조항이 들어가야 합니다.

  1. 데이터·목적 정의 — 어떤 PI 카테고리가 수탁자에게 흐르는지, 어떤 목적인지
  2. 국외 이전 메커니즘 — EU→미국은 2021 SCC, 한국→미국은 PIPA 28조의8 안전조치, 이전 영향 평가
  3. 재수탁자(sub-sub-processor) 공개·승인 — 추가 처리자 목록, 변경 사전 통보, 거부권
  4. 유출 통지 — 수탁자가 본인에게 통지하는 시한(보통 24~48시간) 및 필수 정보
  5. 감사권·종료 조건 — 본인의 감사권, 종료 사유, 종료 시 데이터 반환·삭제

AWS·Stripe·Postmark는 사전 서명 DPA를 제공해 클릭 한 번으로 체결됩니다. 한국 PIPA 28조의8 부속서(개별 동의·국외 이전 보호)는 따로 요청해야 받는 경우가 많으니 명시적으로 요청합니다.

국외 이전 — 한국 데이터가 어디에 앉는가

한국 거주자 SaaS가 AWS US-East나 GCP us-central1을 쓰면 한국 사용자 데이터가 미국으로 이전됩니다. PIPA 28조의8에 따라 두 가지가 따라옵니다.

  • 처리방침에 데이터가 미국으로 이전된다는 사실, 미국 법(FISA 702 등)이 적용 가능하다는 점을 공시
  • 한국 사용자에게 동의를 받거나 별도 고지 절차 마련

일부 한국 거주자 SaaS는 AWS ap-northeast-2(서울 리전)나 네이버 클라우드(NCP)·KT 클라우드를 써서 국외 이전 자체를 피하기도 합니다. 비용이 약간 더 들고 비-한국 사용자 응답 시간이 미세하게 길어지지만, 한국 사용자가 다수면 PIPA·Quebec Law 25 PIA 부담이 줄어듭니다.

처벌 노출 비교

각 법령이 실제로 부과 가능한 처벌을 봅시다.

법령건당 한도가중 한도사인의 손해배상 청구권
PIPA매출 3% 이내 (시정명령·과태료 별도)형사처벌(징역 2년 이하·벌금 2,000만 원 이하 가능)일부 인정 (집단소송 흐름)
CCPA/CPRA$2,500 (비의도) ~ $7,500 (의도)글로벌 한도 없음인정 — 유출당 $100~750
Quebec Law 2525M CAD 또는 글로벌 매출 4% 중 큰 금액동일일부 인정
GDPR20M EUR 또는 글로벌 매출 4% 중 큰 금액동일인정

ARR $500K SaaS 기준으로 보면, CCPA 유출 집단소송은 수백만 달러까지 누적될 수 있고, Quebec Law 25는 한 건에 25M CAD까지, GDPR도 매출 4% 부과 가능, PIPA는 매출 3%에 형사처벌 추가입니다. 개인정보 컴플라이언스는 잘못 했을 때 비용이 잘했을 때 비용을 압도하는 몇 안 되는 영역입니다.

사이트에 게시할 6개 페이지

작동하는 한국 거주자 SaaS의 개인정보 스택은 보통 다음과 같습니다.

  1. 개인정보처리방침 /privacy 또는 /ko/privacy — 위 14섹션 본문
  2. 쿠키 안내 /cookies — 쿠키 카테고리, 옵트인·아웃 컨트롤
  3. DPA 다운로드 /legal/dpa — B2B 고객이 서명할 수 있는 사전 서명 DPA 템플릿
  4. 수탁자 목록 /legal/subprocessors — 수탁자 명단·역할·관할 지역
  5. 개인정보 처리책임자 PIPA + Quebec Law 25 충족 — 처리방침에 이름·이메일
  6. 공인 대리인 절차(CCPA) — 처리방침에서 링크

이 6페이지를 첫날부터 갖추고 시작하면 B2B 계약 협상 단계에서 enterprise 고객의 개인정보 실사를 통과하기 훨씬 쉽습니다.

자주 묻는 질문

한국 거주자 LLC는 PIPA 때문에 한국 법인을 따로 만들어야 하나요?

아닙니다. PIPA는 운영자의 상업적 활동 기준으로 적용되고, 법인 소재지가 아닙니다. 한국 거주자가 미국 LLC를 운영하면 한국 측 활동에 PIPA 그대로 적용됩니다.

Termly·Iubenda 같은 generator 템플릿으로 충분한가요?

초기 단계 비-민감 SaaS면 80% 정도 커버됩니다. 보통 Quebec Law 25 (Privacy Officer 지정·자동화 결정권)와 CPRA 민감정보 섹션, PIPA 28조의8 국외 이전 동의를 빼먹습니다. B2B 계약 협상 들어가기 전에 변호사 검토 받습니다.

개인정보 보호 관련 등록·신고를 어디에 해야 하나요?

PIPA·CCPA는 등록 의무 없습니다. Quebec Law 25는 Privacy Officer 지정·공개 의무 있습니다. GDPR은 대규모·체계적 처리면 DPO 임명 필요한데, MAU 5K 이하 SaaS는 보통 안 걸립니다. 한국 측에서는 만 14세 미만 데이터를 처리하면 PIPA 22조의2 별도 동의 절차를 갖춰야 합니다.

Virginia(VCDPA), Colorado(CPA), Connecticut(CTDPA), Texas(TDPSA)는 어떻게 하나요?

미국 주별 개인정보법이 비슷한 공시 표준으로 수렴 중입니다. CCPA + 5법 오버레이 처리방침이면 대부분 커버됩니다. 6개월마다 새 주법 추적합니다.

제 SaaS가 Postmark·AWS·Stripe를 써요. 셋 다 DPA가 필요한가요?

세 곳 모두 수탁자라 DPA 필요합니다. Postmark·AWS·Stripe 모두 사전 서명 DPA를 제공하니 각 업체 법무 포털에서 클릭으로 체결하면 끝납니다.

다음 단계

기본 LLC 셋업이 안 되어 있으면 한국인을 위한 미국 LLC 설립 가이드부터 시작하고, 운영 약정서는 1인 LLC도 Operating Agreement가 필요한가요? 참고합니다. 결제·은행 측 수탁자 선택은 Stripe 계정 한국 LLC: KYC·정산·1099-K 처리, 세무 측 한미 매핑은 한국 거주자가 미국 LLC로 번 돈, 한국에서 어떻게 신고하나에서 정리했습니다.

관련 글

당신의 상황은 어떤가요?

한국어로 상황에 맞춰 답변드립니다.

무료 상담 받기