서비스 기획자가 신경 써야 하는 것, 쿠키 동의
어떤 사이트는 쿠키 동의를 받던데
쿠키 허용 팝업
좌) 피그마 / 우) 프로덕트헌트 ⓒ작가 편집사진처럼 웹 사이트를 돌아다니다 보면 ‘쿠키 동의 팝업’을 자주 마주친다. 웹 사이트를 만들 때 쿠키를 활용하려고 한다면 이처럼 동의를 필수로 받아야 할까? 혹은 서비스에서 쿠키 동의를 꼭 받아야 할까?
쿠키란?
개발자 도구에서 쿠키 확인하기 ⓒ작가 편집쿠키는 사용자가 방문한 웹사이트에서 생성된 작은 파일이다. 방문에 관한 정보 등을 저장하여 사용자가 온라인 환경을 더 편리하게 이용할 수 있도록 도와준다.
예를 들어, 쿠키를 통해 사이트에서 로그인 상태를 유지하거나 사이트 환경설정을 기억할 수 있다. 혹은 쿠키를 통해 본인에게 더 맞춤화된 콘텐츠를 제공받을 수 있다. 웹 서비스를 기획한다면 “쿠키에 저장할까요, DB에 저장할까요?”처럼 다양한 형태로 이 단어를 들을 것이다.
쿠키에는 두 가지 유형이 있다:
1. 퍼스트 파티 쿠키: 사용자가 방문하는 사이트에 의해 생성되는 쿠키를 의미한다. 즉, 주소 표시줄에 표시된 사이트에서 생성된 쿠키를 말한다.
2. 서드 파티 쿠키: 다른 사이트에 의해 생성된 쿠키를 의미한다. 사용자가 방문한 사이트에서 다른 사이트의 콘텐츠(예: 이미지, 광고, 텍스트)를 삽입할 수 있는데, 이러한 다른 사이트들이 쿠키 및 기타 데이터를 저장하여 사용 환경을 맞춤 설정할 수 있다.
글로벌 사이트의 쿠키
글로벌 사이트는 EU GDPR 규정을 따라 쿠키를 개인정보로 취급한다. 따라서 글로벌 사이트라면 쿠키 사용에 대해 필수로 동의받아야 한다.
*EU GDPR: 유럽 연합 일반 데이터 보호 규칙은 유럽연합의 법으로써 유럽연합에 속해있거나 유럽경제지역에 속해있는 모든 인구들의 사생활 보호와 개인정보들을 보호해 주는 규제
한국에선?
하지만 한국에서 쿠키는 ‘온라인 행태정보*’에 해당한다. 다른 개인정보와 결합하거나 분석해서 ‘개인별 맞춤형 광고’에 활용하는 것은 해당 서비스 제공 계약 이행과는 관계없는 목적으로 이용하는 것이라고 해석할 수 있다.
*행태정보: 앱/웹 사용이력, 구매 및 검색 이력 등 고객 및 회원의 관심, 성향 등을 파악하고 분석할 수 있는 온라인상의 이용자 활동 정보를 말한다.
즉, 쿠키가 단순히 행태정보만을 수집하여 웹사이트 사용 패턴을 파악하거나 서비스 개선을 위한 통계 자료로만 사용될 경우에는 개인정보로 볼 가능성이 낮다. 웹페이지 방문 횟수, 특정 콘텐츠의 클릭 수 등 사용자의 신원을 식별하지 않고 단지 사이트 이용 방식에 관한 정보를 수집하는 용도가 이에 해당한다.
다만 여러 개의 쿠키를 결합하거나 다른 정보와 결합하여 특정 개인을 식별할 수 있는 경우, 이는 개인정보로 간주된다. (개인정보보호법 2조) 그래서 이 경우에는 개인정보주체의 사전 동의가 필요하다. 예를 들어 ‘개인정보 이용 및 수집’에 대한 동의 같은 것을 말할 수 있다.
좌) 네이버 / 우) 카카오 ⓒ작가 편집참고로 개인정보 처리방침에 쿠키의 설치, 운영, 거부에 관한 사항을 명시해야 한다.
레퍼런스
[24.05.21] 쿠키 수집 동의, 필수인가? (링크)
[23.01.05] 웹 쿠키 활용 맞춤형 광고, 개인정보보호법에 위반될까? 개인정보보호 법령해석 (링크)
[23.03.22] 2022 개인정보 주요 이슈 법령 해석 사례 30선[개인정보보호위원회 pdf] (링크)
법령: 개인정보 보호법 (링크)
SC 제일은행 개인신용정보 보호정책의 ‘행태정보’ (링크)
