GDPR 규제준수: 개인 데이터 수집을 위한 법적 근거

업데이트 일자 2018년 08월 13일

Guillaume Marcerou, 크리테오 Global Privacy Director

유럽 일반 개인정보보호법(GDPR)이 2018년 5월 발효됩니다. 디지털 마케팅 업계에서 가장 화두가 되고 있는 것 중 하나는 쿠키와 모바일 광고 ID 같은 기술적 식별자가 이제 개인 데이터로 간주된다는 사실입니다. 새 규정의 적용을 받는 많은 미국계 기업들에게 이례적인 사항으로 여겨질 수도 있겠지만, 이는 프랑스를 비롯한 많은 유럽 연합(EU) 국가들에서는 이미 보편적으로 받아들여지고 있는 사실입니다. 차이점이 있다면 이제 모든 EU 회원국들이 쿠키와 기타 기술적 식별자를 개인 데이터로 취급해야 한다는 것입니다.

GDPR이 개인 데이터와 동의를 어떻게 정의하는지 자세한 정보를 원하시면 여기를 클릭하십시오.

이는 무엇을 의미하며 비즈니스에 어떻게 적용이 될까요?

GDPR은 유럽에서의 데이터 수집과 데이터 처리를 위한 6가지 법적 근거를 제공합니다. 그렇기 때문에, 모든 유형의 개인 데이터를 수집한다면, 이들을 위한 법적 근거가 필요합니다.

  1. 개인에 대한 중대한 이익
  2. 공익
  3. 계약적 필요
  4. 법적 의무의 이행
  5. 개인의 명백한 동의
  6. 데이터 컨트롤러의 합법적 이익

6가지 법적 근거가 동일한 법적 가치를 가진다는데 주목할 필요가 있습니다. 이는 각 근거가 자체적으로 충분하고 상호 배타적일 수 있다는 사실을 의미합니다. 마케팅 또는 디지털 마케팅 업계에 속한 기업들이나 마케팅 목적으로 데이터를 수집하는 이들에게는 두 가지 근거가 적용될 수 있습니다.

(1) 개인의 명백한 동의(unambiguous consent)

(2) 데이터 컨트롤러의 합법적 이익(legitimate interest)

기업은 어떤 법적 근거를 사용해 기술적 식별자(쿠키, 모바일 ID)의 형태로 개인 데이터를 수집할 수 있을까요?

크리테오는 명백한 동의가 기술적 식별자를 포함 개인 데이터를 수집하는 고객과 파트너들에게 가장 잘 적용될 수 있는 근거라고 생각합니다. 

“개인의 명백한 동의”는 무엇을 의미할까요? 이는 쿠키 등의 온라인 식별자 수집에 어떻게 적용이 될 수 있을까요?

먼저, 명백한 동의와 명시적 동의를 확실하게 구분지을 필요가 있습니다. 명시적 동의는 서비스 이용자가 반드시 동의(옵트인)를 해야 한다는 의미입니다. 이는 인종, 종교, 성적 취향, 정치적 성향, 건강 상태 등의 민감한 개인 데이터에만 적용됩니다. 온라인 식별자(예: 쿠키)는 예외적으로 비민감 개인 데이터로 구분되기 때문에, 명시적인 옵트인 동의가 필요하지 않다는 사실이 중요합니다.

명백한 동의에 대한 규정은 현지 데이터 보호 당국(DPA)의 기존 입장에 기반할 것으로 보입니다. 예를 들어, 유럽에서 가장 강력한 개인정보 보호를 제공하는 국가 중 하나인 스페인 DPA[1]는 최근 GDPR에 대한 지침을 발표하고, 사용자의 행동으로부터 유추할 수 있는 경우를 명백한 동의라 할 수 있다고 명시했습니다. 그리고 사용자의 탐색 패턴을 모니터링하는 쿠키가 사용되는 웹사이트를 사용자가 계속 사용하는 경우를 그 예로 들었습니다.

크리테오의 고객과 제휴매체사 파트너들은 민감 데이터를 처리하는 것이 아니라, 웹 탐색과 관련된 데이터와 익명화된 기술적 식별자와 관련된 구매 의도 및 구매 이력 데이터를 이용 및 처리합니다.

(크리테오가 수집하는 데이터 유형과 GDPR이 이러한 방식에 미치는 영향에 대해 자세히 알아 보십시오.)

GDPR 하에서 유효한 명백한 동의가 성립될 수 있는 조건은 제29조 작업반(Working Party of the Article 29)이 과거에 명시한 조건과 매우 유사합니다.[2]:

  • 특정 정보: “동의가 유효하려면 세부적이어야 하고 개인에게 제공된 적절한 정보에 기반하여야 한다. 다른 말로 하면, 데이터 처리의 정확한 목적을 명시하지 않는 포괄적 동의는 용인되지 않는다.”
  • 시점: “일반적으로, 데이터 처리가 시작되기 전에 동의를 받아야 한다.”
  • 능동적인 선택: “동의는 명백해야 한다. 그러므로 데이터 주체의 의도와 관련하여, 동의를 받고자 하고 이를 제공하는 절차에는 의심의 여지가 없어야 한다. 원칙적으로 동의가 이루어지는 형태에는 제한이 없다. 그러나, 동의가 유효하려면, 사용자의 뜻에 대한 능동적인 암시가 있어야 한다. 최소한의 암시는 모든 유형의 신호로 표현될 수 있으며, 데이터 주체의 의사를 충분하고 명확하게 전달할 수 있어야 하고 데이터 컨트롤러가 이를 이해할 수 있어야 한다.”
  • 자유 의사: “동의는 데이터 주체가 실질적으로 선택의 권리를 행사할 수 있는 경우에만 유효하다. 또한 기만, 위협, 강압이나 거부 시 중대한 부정적 결과가 없어야 한다.”

“데이터 컨트롤러의 합법적 이익”은 어떻게 적용될까요?

이익이 합법적이려면, 데이터 처리의 목적이 사용자가 합당하게 기대할 수 있는 것이라야 합니다. 직접 마케팅 목적의 개인 데이터 처리는 합당한 이익으로 간주될 수 있습니다. 그러나, 이러한 합법적 이익이 사용자의 개인정보에 대한 기본 권리를 침해해서는 안됩니다. 그리고 개인정보에 대한 잠재적인 위험을 완화할 수 있도록 적절한 보호 방법이 구현되어야 합니다. 합법적 이익을 주장하기 전에 충족해야 하는 기본 표준은 다음과 같습니다.

  • 어떠한 데이터가 수집되는지, 그러한 데이터를 수집하는 목적이 무엇인지, 그리고 브라우저의 온라인 경험에 어떠한 영향을 미치는지 설명
    • 예: ”크리테오(웹사이트/앱)는 광고 목적으로 쿠키/광고 ID를 사용합니다. 이러한 사용은 파트너 웹사이트와 앱에 포함된 자사 제품에 관심을 가진 방문자들에게 광고를 표시할 수 있도록 해줍니다. 리타겟팅 기술에는 쿠키나 광고 ID가 사용되며, 이 기술은 귀하의 과거 탐색 행동에 기반하여 광고를 게재합니다. 서비스를 거부하거나 보다 자세한 정보를 확인하려면 아래의 개인정보 처리방침을 참조하십시오.”
  • 옵트인 선택 등 사용자가 쉽게 사용 및 액세스하여 자신의 경험을 제어할 수 있는 방법과 그러한 선택이 브라우저의 광고 경험에 어떠한 영향을 미치는지에 대한 설명 제공
  • 개인정보 처리방침은 물론 업계의 모든 개인정보 표준과 개인정보 보호를 위한 기업의 모든 노력에 대한 손쉬운 액세스 제공

합법적 이익이 성립되기 위한 표준은 무엇일까요?

합법적인 이익이 성립되기 위해서 기업들은 다음과 같은 핵심 질문에 답할 수 있어야 합니다.

  • 데이터 처리의 목적은 무엇인가?
  • 처리가 하나 이상의 조직적 목표를 충족하는데 필요한가?
  • GDPR 또는 다른 국가 규정이 데이터 처리 활동을 균형 시험을 완료하고 긍정적 결과를 제공해야 하는 합법적 활동으로 규정하고 있는가?
  • 목적을 달성할 수 있는 다른 방법이 존재하는가?
  • 개인 사용자가 처리 활동이 이루어질 것이라고 기대하는가?
  • 데이터 처리의 본질은 무엇인가? 이러한 본질의 데이터는 GDPR 하에 특별한 보호를 받는가?
  • 데이터 처리가 개인의 권리를 제한 또는 침해하지는 않는가?
  • 개인에게 데이터 처리 공지가 공정하게 제공되는가? 그렇다면, 어떠한 방식으로 제공되는가? 데이터 처리의 목적에 대해 충분하고 명확한 설명이 제공되고 있는가?

GDPR 준수를 위해 관행을 업데이트하는 디지털 마케팅 업계의 기업들은, EU 시민들이 타겟 광고에 대해 인지하고 있으며, 이를 지원하는 식별자를 이해하고, 관련성 있는 광고를 기대한다는 사실을 기억하는 것이 중요합니다. 크리테오는 IPSOS와 협력하여 EU 사용자들의 기대치를 이해하고 이들이 타겟 온라인 광고에 어떻게 생각하는지를 파악하기 위해 소비자 설문조사를 실시했습니다. 이 설문조사는 프랑스, 영국, 스페인에서 다양한 성별, 연령, 지역 및 소득 수준을 대표하는 16~65세에 해당하는 3,000명의 인터넷 사용자를 대상으로 수행되었습니다. 조사 결과는 다음과 같습니다.

  • 인터넷 사용자의 90%는 리타게팅에 대해 인지하고 있습니다.
  • 68%는 쿠키를 통해 타겟 광고가 제공된다는 사실을 알고 있습니다.
  • 75%는 자신의 관심에 일치되는 광고가 게재될 것을 기대합니다.
  • 73%는 광고를 보지 않기 위해 추가 요금을 지불하기 보다는, 관련성 있는 광고를 보는 쪽을 선호합니다.

크리테오는 GDPR의 시행일까지 현지 DPA들이 발표하는 지침과 권고 사항을 밀접하게 주시할 것입니다. 크리테오가 GDPR 준수를 위해 어떤 일을 하고 있으며, GDPR의 두 가지 개인 데이터 카테고리에 대해 기업은 어떤 사항을 알 필요가 있는지 보다 자세히 알아보십시오.

[1] Guía del Reglamento General de Protección de Datos para responsables de tratamiento https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

[2] Working Party of the Article 29 – 2013 Guidance on obtaining consent for cookies: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf