모든 쿠키에 동의가 필요한가요?

규제 프레임워크를 분석해 보면 모든 쿠키가 동일한 동의 요건의 적용을 받는 것은 아니라는 점을 알 수 있습니다. 흔히 "EU 쿠키법"이라고 불리는 ePrivacy 지침(Directive 2002/58/EC)은 필수 쿠키와 다른 유형의 쿠키를 명확하게 구분합니다. 제5조 3항에 따르면, “가입자나 사용자가 명시적으로 요청한 특정 서비스의 사용을 가능하게 한다는 정당한 목적을 위해 반드시 필요한 기술적 저장이나 접근에 대해서는 동의가 필요하지 않습니다.”

웹사이트 관행에 대한 실증적 조사는 세션 관리, 쇼핑 카트, 보안 기능과 같은 핵심 기능에 필요한 필수 쿠키가 사용자의 명시적인 동의 없이 일상적으로 배포된다는 것을 뒷받침합니다. 예를 들어, 로그인 인증 토큰 및 쇼핑 카트 보관 쿠키가 이 면제 대상에 해당합니다. 이러한 결과는 유럽 데이터 보호 위원회(EDPB, 2020)를 포함한 규제 당국이 발표한 가이드라인과 일치하며, 해당 가이드라인은 다음과 같이 명시하고 있습니다:

• “웹사이트 운영에 필수적인 쿠키는 동의가 필요하지 않습니다.”

반대로, 분석, 광고 또는 개인화에 사용되는 쿠키는 면제 대상이 아니므로 사용자로부터 사전 고지된 동의를 받아야 합니다. 이러한 이분법은 개인정보 처리에 대한 법적 근거를 의무화하는 GDPR 제6조에 의해 명시적으로 뒷받침되며, 온라인 식별자를 개인정보로 규정하는 전문 30에 의해 더욱 강화됩니다.

국가별 시행 사례(예: 영국의 개인정보 및 전자통신 규정—PECR, 프랑스 CNIL 가이드라인)를 검토해 보면 일관된 접근 방식이 확인됩니다:

• 필수 쿠키에 대해서는 동의가 불필요합니다.
• 비필수 쿠키(예: 추적, 프로파일링)에 대해서는 동의가 필수입니다.

실질적 영향 평가는 대부분의 웹사이트가 이제 필수 쿠키와 비필수 쿠키를 구분하는 쿠키 배너를 배포하여 사용자에게 세분화된 제어 기능을 제공한다는 것을 보여줍니다. 이 접근 방식은 규정 준수 위험을 최소화하고 규제 당국의 기대에 부응합니다.

요약하자면, 규제 분석 및 관찰된 관행은 다음 결론을 뒷받침합니다:

• 필수 쿠키는 EU 법에 따라 동의 요건에서 면제됩니다.
• 다른 모든 범주의 쿠키는 배포 전에 사용자의 명시적인 동의가 필요합니다.

이러한 구분은 이제 ePrivacy 지침 및 GDPR의 적용을 받는 관할권 전반의 규정 준수 전략에서 표준 관행이 되었습니다.