캘리포니아 개인정보보호청(CPPA) 이사회는 2026년 2월 27일 포드 자동차에 대한 최종 집행 결정을 채택했다. CPPA의 조사 근거는 포드가 '일반적 기업 프라이버시 관행 조사'를 통해 적발한 위반 행위였다. 포드는 자신의 커넥티드 차량 서비스 및 디지털 자산을 통해 운전자의 속도, 안전벨트 착용 여부, 운전 습관, GPS 위치 정보 등의 개인정보를 광범위하게 수집해 왔다.

핵심 위반 사항은 정보 판매 및 공유 거부 권리의 행사 과정에 있었다. CCPA(캘리포니아 소비자 프라이버시법)는 소비자가 자신의 개인정보 판매 및 공유를 거부할 권리(opt-out)를 명시적으로 보장한다. 포드는 이 권리를 형식적으로는 제공했지만, 실제로는 불필요한 절차적 마찰(friction)을 도입했다.

구체적으로, 소비자가 opt-out을 요청할 때 이메일 인증 완료를 강제했다. 이메일을 통해 수신한 검증 링크를 클릭하도록 요구한 것이다. CPPA는 이 추가 단계가 소비자의 권리 행사를 실질적으로 방해하는 행위라고 판단했다. CCPA는 소비자가 합리적인 노력으로 opt-out을 행사할 수 있어야 한다고 규정하고 있으며, 불필요한 검증 단계는 이 원칙에 위배된다는 입장이다.

CPPA의 최종 결정은 포드에 375,703달러의 과징금 납부를 명령하고, 다음의 시정 조치를 요구했다. 첫째, 이메일 인증 단계를 제거한 간소화된 opt-out 절차 구축. 둘째, 웹사이트 트래킹 기술(픽셀 태그, 쿠키 등)에 대한 독립적 감사 실시. 셋째, 전역 개인정보 제어(Global Privacy Control, GPC) 신호에 대한 준수.

이번 조치는 CPPA가 2024년 American Honda를 상대로 실시한 제재에 이어 커넥티드 차량 제조사 대상으로 실시하는 두 번째 집행 사례다. 포드가 협력적으로 문서를 제출했고 조사 과정에서 일부 절차를 개선했음에도 불구하고 과징금이 부과된 것은 개인정보보호 규제가 차량 업계에 점진적으로 강화되고 있음을 시사한다.