GDPR은 쿠키에 대해 무엇이라고 규정하고 있나요?

쿠키, IP 주소 및 유사한 온라인 식별자는 일반 개인정보 보호법(GDPR) 전문 30항에서 명시적으로 다루어지며, 다음과 같이 명시하고 있습니다: “자연인은 [...] 인터넷 프로토콜 주소, 쿠키 식별자 또는 무선 주파수 식별 태그와 같은 기타 식별자와 같은 온라인 식별자와 연관될 수 있습니다.” 이 분류는 쿠키가 직간접적으로 개인을 식별하는 데 사용될 때 개인정보에 해당한다는 점을 강조합니다(GDPR 전문 30항).

법률 및 규제 분석의 주요 결과는 다음과 같습니다:

• 개인정보로서의 쿠키: GDPR은 쿠키가 다른 데이터와 결합하여 사용자를 식별할 수 있을 때 이를 개인정보로 인정합니다.
• 동의 요건: 제6조와 전문 32항은 필수적이지 않은 쿠키를 배포하기 전에 유효한 동의를 요구합니다. 동의는 자유롭게 제공되고, 구체적이며, 정보에 근거하고, 명백해야 합니다. 사전 체크된 상자나 비활동은 동의로 간주되지 않습니다(EDPB 가이드라인 05/2020).
• 투명성: 웹사이트는 동의를 얻기 전에 사용자에게 쿠키의 유형과 목적에 대해 명확하게 알려야 합니다. 여기에는 다음이 포함됩니다:
  • 개인정보 처리자의 신원
  • 쿠키가 사용되는 정확한 목적
  • 관련된 제3자
• 동의 철회권: 사용자는 동의를 제공했던 것만큼 쉽게 동의를 철회할 수 있어야 합니다(GDPR 제7조 3항).
• 책임성: 기관은 모든 필수적이지 않은 쿠키에 대해 유효한 동의를 얻었음을 입증할 수 있어야 합니다.

경험적 연구에 따르면 웹사이트 간에 상당한 규정 준수 격차가 있으며, 많은 웹사이트가 세분화된 동의 메커니즘을 구현하지 못하거나 규정을 준수하지 않는 옵트아웃 모델을 기본으로 사용하고 있습니다(Degeling et al., 2019). 규제 조치는 특히 추적 및 광고 쿠키에 대해 명시적인 옵트인 메커니즘의 필요성을 강화했습니다.

요약하자면, GDPR에 따라 개인을 식별할 수 있는 쿠키는 개인정보입니다; 따라서, 그 사용은 정보에 근거한 명시적 동의 및 투명성 요건을 통해 엄격하게 규제됩니다. 최근 EU에서의 집행 조치에서 볼 수 있듯이, 이를 준수하지 않으면 상당한 벌금이 부과될 수 있습니다.