2026년, 캘리포니아 개인정보 보호가 한 단계 더 진화합니다! 요즘 스팸·타깃광고가 왜 이렇게 늘었나 고민해 보셨다면, 오늘 이야기할 **DROP(Data Removal Opt-Out Platform)**이 해답이 될 수 있어요. 저도 미국에서 생활하며 개인정보 노출에 늘 신경 쓰는 편인데, 이 제도는 “한 번의 요청으로 수백 곳에 삭제 요청”이 가능하다는 점에서 꽤 획기적입니다. 지금부터 DROP이 무엇인지, 누가 어떻게 쓰는지, 한계는 무엇인지 실무 관점에서 깔끔하게 정리해 드릴게요.
DROP란 무엇인가요?
DROP는 Delete Request and Opt-out Platform의 약자로, 캘리포니아 주민이 한 번의 요청으로 주정부에 등록된 500곳 이상의 데이터 브로커에게 개인정보 삭제 및 판매·공유 중단을 요구할 수 있는 주 전역 통합 플랫폼입니다.
- ✔️ 무료·온라인 서비스
- ✔️ “안전하고, 간편하며, 보안 강화”를 목표
- ✔️ 데이터 브로커의 수집·판매·공유를 소비자가 직접 통제
운영 주체는 **California Privacy Protection Agency(CPPA)**이며, California Delete Act에 근거해 만들어졌습니다.
법적 근거와 적용 범위 (중요 포인트)
✔️ 무엇을 규제하나요?
- 캘리포니아에 등록된 데이터 브로커만 대상
- DROP 요청을 받은 브로커는 삭제 + 판매·공유 영구 옵트아웃 의무
❌ 무엇은 제외되나요?
- 은행, 특정 리테일러 등 일반 기업의 자체 고객 데이터
- 데이터 브로커 활동이 아닌 영역은 DROP로 직접 통제 불가
👉 대안으로… 은행·병원·리테일러 데이터는 각 회사의 개별 Opt-out/Privacy 요청을 병행해야 효과가 큽니다.
누가 DROP를 사용할 수 있나요?
- 캘리포니아 거주자만 가능 (거주 인증 필수)
- 부모·가족 등 대리인 신청 허용
- 자녀, 고령 부모 등 보호 목적
저처럼 가족 개인정보까지 함께 관리하는 입장이라면 꽤 실용적인 부분이에요.
DROP 실제 사용 방법 (3단계)
1️⃣ 거주자 인증
- 캘리포니아 거주 여부 확인
2️⃣ 기본 프로필 입력
- 이름, 주소, 이메일, 생년월일 등 식별자 최소 정보
3️⃣ 단일 DROP 요청 제출
- 등록된 모든 데이터 브로커로 자동 전달
이후 브로커는:
- 보유 데이터 삭제
- 향후 판매·공유 지속적 차단
- 외주·계약사에도 동일 조치 요구
시행 일정 & 브로커 의무
| 구분 | 일정 |
|---|---|
| DROP 요청 접수 시작 | 2026년 1월 1일 |
| 브로커 처리 의무 시작 | 2026년 8월 1일 |
| 최초 삭제 기한 | 요청 후 90일 이내 |
| 이후 정기 삭제 | 45일마다 반복 |
👉 즉, 한 번 요청하면 지속 관리형 옵트아웃으로 작동합니다.
DROP로 삭제 가능한 데이터 vs 불가능한 데이터
✔️ 삭제 대상 예시
- 연락처 정보
- 행동·마케팅 프로필
- 금융 관련 데이터
- 건강·위치 정보
- 관계 정보
- 타깃 광고용 추론 데이터
❌ 삭제 예외
- 공공 기록 (부동산 등기, 법원 기록 등)
- 다른 연방법·주법으로 보호되는 정보
- 일부 금융·의료 기록
👉 대안으로… 공공 기록 노출은 별도의 프라이버시 서비스나 주소 마스킹 전략이 필요합니다.
DROP 플랫폼의 보안과 프라이버시
- 입력 정보는 삭제 요청 목적에만 사용
- 판매·공유 절대 금지
- California Identity Gateway / Login.gov 등
주정부 보안 인증 시스템 활용 - 필요 최소한의 정보만 암호화 저장
개인적으로 이 부분이 가장 신뢰를 준 포인트였습니다.
마무리하며 – DROP, 이런 분들께 추천합니다
✔️ 스팸·타깃 광고에 지친 분
✔️ 가족 개인정보까지 한 번에 관리하고 싶은 분
✔️ 캘리포니아 거주자라면 무조건 체크해야 할 제도
DROP는 완벽한 만능 해결책은 아니지만, 데이터 브로커 영역에서는 가장 강력한 도구입니다.
여러분은 개인정보 삭제, 어디까지 해보셨나요? 💬 댓글로 경험을 공유해 주세요!
