GDPR 뜻 정책과 구글 애널리틱스 이용 시 주의할 점

GDPR 뜻 정책과 구글 애널리틱스 이용 시 주의할 점

퍼포먼스 마케팅과 개인보호정책은 항상 상충될 수 밖에 없습니다. 물론 딥하게 들어가면 누군가를 특정할 수 있는 IP라든가 기기ID 등과 같은 정보들은 암호화하여 재처리하고 쿠키 수집을 최소화한다든지 여러가지 절충안이 고려되고 있기는 합니다. 기본적으로 마케팅 효율을 높이려면 고객에 대해 더 많은 정보를 원할 수 밖에 없습니다. 

구글 애널리틱스 이용을 하다 보면 "이런 것도 알 수 있다고?" 하고 놀랄 정도로 상당히 방대한 데이터를 이용할 수 습니다. 예를들어 어떤 기기로 접속했는지, 나이, 성별, 지역, 통신사, 브라우저 종류 등 상당히 다양한 종류의 데이터를 획득할 수 있고요.. 당연히 어떤 광고를 보고 유입되었는지, 실제적으로 전환이 발생했는지 역시 추적이 가능합니다.

 

그래서 대부분의 웹 서비스를 운영할 때 GA를 사용하는 것이기도 합니다.

 

당연히 개인정보보호라는 개념과는 거리가 있다는 걸 느끼셨을 겁니다.

그리고 이제 주의하지 않으면 문제가 되기 시작하는 것 같습니다.

위 보안뉴스 기사를 보시면 구글 애널리틱스를 사용하다가 벌금형이 나온 사례도 나오고 있습니다. 다행히 한국 사례는 아니며 스웨덴에서 두개의 기업이 110만 달러에 해당하는 벌금형을 받았다고 하는데요. 스웨덴 당국의 설명은 GDPR을 위반했다는 겁니다.

 

그러면 GDPR이라고 하는 것이 도대체 무엇일까요?

한국 인터넷 진흥원에서 이미 GDPR 관련 대응 지원센터 홈페이지를 개설하고 관련 콘텐츠를 업로드한 상태입니다.

아래 설명을 보시면요.

출처 : gdpr.kisa.or.kr

GDPR은 2018년 5월 25일부터 시행되고있는 EU(유럽연합)의 개인정보보호 법령으로 위반시 과징금 등 행정처분이 부과될 수 있으며, EU내 사업장이 없더라도 EU를 대상으로 사업을 하는 경우 적용대상이 될 수 있어 우리 기업의 주의가 필요할 듯 합니다.

 

마케터들 역시 글로벌 마케팅을 진행하면서 구글 애널리틱스를 사용한다면 GDPR 지침을 숙지하는 것이 좋을 듯 합니다. 

 

GDPR과 개인정보 유출 사건

 

다음은 개인정보 유출 사건과 GDPR에 대해 알아보도록 하겠습니다. 개인정보 유출 사건 소송은 보통 기업에 유리한 판례가 대부분이라고 알려져 있습니다. 피해를 입은 사람들은 기업의 사과와 피해 보상을 약속받았지만, 실제로 받은 보상은 매우 적었습니다. 국내에서는 개인당 10만 원에 불과하며, 소송에 참여하지 않은 사람들은 보상을 받지 못한 경우도 많았습니다.

외국에서도 비슷한 상황이 벌어지고 있습니다. 미국의 유통기업인 타깃(Target)의 경우 2014년 해킹으로 1억 건이 넘는 개인정보가 유출되었습니다. 타깃은 피해 고객들에게 "신용 확인 절차를 무상으로 지원하고 유출된 카드를 교체해주는 서비스를 제공했다"며, 피해가 될 가능성을 부정하였습니다. 이와 마찬가지로 2006년에는 민간 데이터 기업 액시엄(Accxiom)의 16억 건 고객 정보 유출 사건에서도 피해 여부를 검열하였습니다. 고객들은 개인정보가 유출되어 스팸메일과 스팸전화로 골머리를 앓았지만, 주 연방법원은 이를 피해로 보기 어렵다고 판결한 것입니다.

이와는 달리 유럽에서는 보다 실효성 있는 정보보호를 위해 GDPR(General Data Protection Regulation)라는 법이 도입되었습니다. GDPR은 유럽연합의 개인정보보호법으로, 기업이 고객의 정보를 사용하기 위해서는 동의를 얻어야 하며, 권리가 침해된 경우 72시간 이내에 감독기관에 알려야 합니다. GDPR을 위반한 기업은 글로벌 매출액의 4% 또는 2,000만 유로 중 높은 금액을 벌금으로 납부해야 합니다. GDPR은 EU 회원국뿐만 아니라 EU에 법인이나 지점이 있는 외국 기업 및 유럽 시민에게 서비스 및 제품을 공급하는 외국 기업에도 적용됩니다.

GDPR은 개인정보 주체의 자기결정권을 보장하기 위해 여러 가지 규정을 가지고 있습니다. 이 중 일부는 프로파일링에 의한 의사결정 거부권, 잊힐 권리, 자기정보 이전권 등입니다. GDPR은 개인정보보호 뿐만 아니라 EU 기업의 경쟁력 강화도 목표로 하고 있습니다. 개인정보를 위탁받아 서비스를 제공하는 업체를 선택할 수 있는 자기정보 이전권은 스타트업과 중소기업의 빅데이터 역량을 향상시킬 것으로 기대됩니다. GDPR은 데이터를 중요한 자산으로 여기는 미래 사회에서 미국에 주도권을 내주지 않기 위한 EU의 노력 중 하나입니다.

 

국내 개인정보보호법 강화

우리나라의 개인정보보호법은 GDPR을 참고하여 제정된 것으로 알려져 있습니다. 국내법과 GDPR은 거의 비슷한 골격을 가지고 있으며, 기업은 고객의 동의를 받아야 개인정보를 처리할 수 있으며, 개인정보 주체는 동의를 언제든 철회할 수 있습니다. 이로 인해 GDPR에서는 개인정보 처리 동의의 빈도가 낮습니다. 이와는 다르게 한국에서는 개인정보 처리 동의를 개인정보 처리 원칙처럼 다루고 있습니다. 이에 따라 국내에서 구글 애널리틱스를 사용하는 기업 역시 이런 부분을 주의할 필요가 있습니다.

또한 GDPR은 개인정보를 제공하는 사용자를 정보의 제공자로 보고 기업을 개인정보의 수탁자로 간주하고 있습니다. GDPR은 기업에게 위탁자의 업무와 책임을 일부 대신하도록 규정하고 있는데, 이는 우리나라의 법과 다른 점입니다. 다시 말해 GDPR에서는 모든 법적 책임이 개인정보 처리 주체에게 있다고 보는 것입니다.

 

구글 애널리틱스 방침

 

마지막으는 구글 애널리틱스 측에서 GDPR 관련하여 새로 업데이트한 개정 내용입니다.

대충 번역기 돌려서 적은 내용이라서 필요하신 분은 원문 보시면 될 것 같고 큰 맥락 이해하는 데는 무리가 없을 듯 합니다.

 

다음해 5월에는 유럽의 새로운 일반 데이터 보호 규정(GDPR)이 발효되어 1995년 유럽 연합 데이터 보호 지침을 대체합니다. 이는 유럽 전역에서 데이터 보호 규칙을 통일하고, EU 시민의 권리를 강화하며, 온라인으로 상품과 서비스를 제공하는 모든 조직에 새로운 의무를 부여하는 새로운 시대를 열게 됩니다.

Google은 유럽에서 제공하는 모든 서비스에서 GDPR을 준수하는 것을 약속합니다. 이는 검색과 Gmail과 같은 가장 인기 있는 소비자 제품, AdWords, AdSense, DoubleClick 및 Analytics와 같은 모든 광고 및 측정 서비스, 이전에 발표된 클라우드 서비스, 그리고 물론 앞으로 출시하는 모든 서비스를 포함합니다.

우리는 항상 우리의 서비스가 안전하고 적용 가능한 데이터 보호 규정의 기준을 충족시키는 것을 증명하기 위해 노력해왔습니다. 우리는 개인 데이터를 사용하는 방법에 대한 명확한 설명과 "이 광고에 대해 왜 이러한 광고가 표시되었는지"라는 프로그램을 통해 사용자에게 투명성을 제공하면서, My Account와 My Activity를 통해 사람들이 개인 정보를 관리할 수 있는 제어 기능을 제공합니다.

하지만 우리는 또한 새로운 법률에 따라 우리의 고객과 협력사들이 중요한 의무를 가지고 있음을 잘 알고 있으며, 이를 위해 정기적으로 감사를 수행하고, 인증을 유지하며, 산업 표준의 계약적 보호를 제공하고, 규정 준수를 돕기 위한 도구와 정보를 공유합니다. GDPR에 대비하기 위해 이 경로를 계속 걷고 있으며, 최근에는 고객과 협력사들을 위한 새로운 사이트를 출시하여 다음과 같이 설명하고 있습니다:

• 우리와 공유하는 데이터에 대한 비즈니스의 통제력
• 우리 인프라의 보안
• 적용 가능한 데이터 보호 법규를 준수하기 위한 우리의 약속
• 데이터를 최대한 활용하기 위해 제공되는 무료 자원 및 교육

다가오는 몇 달 동안, 우리는 고다음해 5월에는 유럽의 새로운 일반 데이터 보호 규정(GDPR)이 발효되어 1995년 유럽 연합 데이터 보호 지침을 대체합니다. 이로써 유럽 전체에서 데이터 보호 규칙을 통일하고, EU 시민의 권리를 강화하며, 온라인으로 상품과 서비스를 제공하는 모든 조직에 새로운 의무를 부여하는 새로운 시대가 열립니다.