현행 규제 프레임워크를 분석한 결과, 사용자 쿠키 동의 유효 기간에 대해 보편적으로 정해진 기간은 없습니다. 일반 데이터 보호 규정(GDPR)은 명시적인 기간에 대해 언급하지 않고, 대신 동의가 “자유롭게 제공되고, 구체적이며, 정보에 입각하고, 명확해야 한다”고 요구합니다. 이러한 정의의 부재로 인해 각국 데이터 보호 기관(DPA)은 주기적 갱신에 대한 자체적인 실용적 지침을 발표하게 되었습니다.
- ePrivacy Directive는 동의를 정기적으로 검토해야 한다고 규정하며, 많은 해석이 갱신 전 유효 기간을 최대 12개월로 수렴하고 있습니다.
- 아일랜드 데이터 보호 위원회(DPC)는 쿠키 동의를 6개월마다 다시 받도록 권장합니다.
- 프랑스 CNIL 또한 갱신 전 동의에 대해 최대 6개월의 유효 기간을 의무화하고 있습니다.
실증적 연구에 따르면 조직마다 관행이 다른 것으로 나타났습니다.
- Degeling 외 연구진의 2022년 설문 조사에 따르면 상위 웹사이트 중 20% 미만만이 주기적인 동의 갱신 메커니즘을 구현하고 있는 것으로 나타났습니다.
- 잦은 갱신(6–12개월마다)은 투명성 및 사용자 신뢰도 향상과 관련이 있지만, 반복적인 안내 메시지로 인해 사용자 경험에 부정적인 영향을 미칠 수 있습니다.
주요 사항:
- 단일 기준 없음: 갱신 간격은 현지 DPA 지침에 따라 다르며, 범위는 일반적으로 6–12개월입니다.
- 더 짧은 갱신 기간(6개월)은 지속적인 사용자 통제권과 투명성을 보장하기 위해 규제 기관에서 점점 더 선호되고 있습니다.
- 모범 사례: 조직은 관련 DPA의 지침을 모니터링하고 권장되는 가장 짧은 간격을 적용하여 규정 준수 위험을 최소화해야 합니다.
요약하자면, GDPR이 특정 동의 기간을 의무화하지는 않지만, 권위 있는 소식통들은 주요 DPA 권장 사항에 따라 정기적인 갱신을 강조하며, 최대 6개월 기간에 대한 공감대가 형성되고 있습니다. 이를 통해 동의가 의미를 유지하고 현재 사용자의 선호를 반영하도록 보장합니다.
