스위스에서 쿠키 동의가 필수인가요?

규제 프레임워크 분석에 따르면 스위스의 쿠키 동의는 스위스 법, 유럽 연합 법, 그리고 주요 기술 제공업체의 최근 정책 변경에 직접적인 영향을 받는 미묘한 문제입니다.

결과는 다음과 같은 핵심 결과를 나타냅니다:

• 스위스 연방 데이터 보호법(nFADP): 2023년 9월부터 시행된 개정 FADP는 특정 EU GDPR 표준과 일치합니다. 제6조는 건강, 종교적 신념 또는 정치적 견해를 추적하는 쿠키를 포함할 수 있는 민감한 개인 데이터 처리에 명시적인 동의가 필요하다고 명시하고 있습니다[1]. nFADP에 따른 동의는 GDPR의 동의 요건을 반영하여 “자유롭게 제공되고, 정보에 입각하며, 구체적이어야” 합니다.

  • “각 데이터 처리 목적에 대해 동의를 받아야 합니다” (nFADP 제6조).

• 스위스 통신법(TCA) 제45c조: 웹사이트 운영자는 사용자에게 데이터 처리 방법 및 그 목적에 대해 알려야 합니다. 운영자는 사용자에게 데이터 처리를 거부할 기회를 제공할 의무가 있습니다. 법률이 모든 쿠키에 대해 옵트인 쿠키 배너를 의무화하고 있지는 않지만, 투명성과 사용자 선호도 존중을 요구합니다[2].

  • “사용자는 개인 데이터의 수집 및 처리에 대해 명확하고 포괄적으로 정보를 받아야 합니다” (TCA 제45c조).

• EU 법과의 상호 작용: EU 거주자에게 상품이나 서비스를 제공하는 스위스 웹사이트는 EU 일반 개인정보 보호법(GDPR)의 적용을 받으며, 이 법은 비필수 쿠키 설정에 대해 명시적이고 정보에 입각한 동의를 의무화합니다[3].

  • “EU 소비자를 대상으로 하는 스위스 회사는 GDPR의 쿠키 동의 규칙을 준수해야 합니다”.

• Google 동의 정책 확장: 2024년 7월 31일부터 Google의 EU 사용자 동의 정책이 스위스 사용자에게도 확대 적용됩니다. Google 광고 제품을 사용하고 스위스 사용자를 대상으로 하는 모든 웹사이트는 이제 사용자가 EU에 있든 스위스에 있든 관계없이 광고 개인화를 위한 쿠키 및 개인 데이터 사용에 대한 동의를 얻어야 합니다[4]. 이 변경으로 인해 많은 스위스 웹사이트 운영자는 Google 광고 플랫폼에 대한 액세스를 유지하기 위해 명시적인 쿠키 동의 메커니즘을 채택해야 합니다.

시사점 논의:

• 현지 법(nFADP, TCA), GDPR의 역외 적용, 그리고 민간 부문 요구 사항(Google)의 누적 효과는 몇 가지 중요한 시나리오에서 스위스에서 명시적인 쿠키 동의가 필요한 환경을 조성합니다:

  • 쿠키를 통해 민감한 개인 데이터를 처리할 때.
  • EU 거주자를 대상으로 할 때.
  • 스위스 사용자를 대상으로 하는 Google 광고 제품을 사용할 때.

• 실질적인 결과는 대부분의 스위스 웹사이트, 특히 국제적인 활동을 하거나 글로벌 광고 기술을 사용하는 웹사이트는 법규 준수 및 지속적인 서비스 접근을 보장하기 위해 포괄적인 쿠키 동의 배너를 구현해야 한다는 것입니다.

• 스위스 규제는 아직 GDPR에 따라 모든 쿠키에 대한 옵트인 동의를 전면적으로 요구하지는 않습니다. 그러나 법률과 업계 표준의 융합은 모범 사례가 보다 명시적인 사용자 동의 방향으로 나아가고 있음을 의미합니다.