이 정책이 존재하는 이유는 무엇이며 어디에 적용되나요?
이 정책은 유럽에서 시행 중인 두 가지 개인정보 보호 법규(개인정보 보호법(GDPR) 및 온라인 개인정보보호지침)와 이에 상응하는 영국 법의 요구사항에 따른 것입니다. 온라인 개인정보보호지침은 현재 논의가 진행 중인 온라인 개인정보보호규정과 혼동되어서는 안 됩니다. 이 법의 적용 대상은 유럽 경제 지역(EEA) 및 영국의 최종 사용자이며, EEA에는 EU 회원국, 아이슬란드, 리히텐슈타인, 노르웨이가 포함됩니다.
이 정책의 원본 버전은 2015년에 도입되었으며, 개인정보 보호법(GDPR)이 발효된 2018년 5월 25일에 업데이트되었습니다.
EEA 또는 영국에 소재한 게시자 또는 광고주인 경우 이 정책을 모든 사용자에게 적용해야 하나요?
Google의 EU 사용자 동의 정책은 EEA 또는 영국에 거주하는 최종 사용자에게만 적용됩니다.
Google에서는 어떻게 이 정책의 준수를 보장하나요?
2015년 정책 도입 후, 광고 서비스를 사용하는 사이트와 앱을 검토하는 것이 규정 준수에 관한 Google의 접근 방식입니다. Google 검토자가 소비자 입장에서 사이트나 앱을 이용하면서 어떤 정보를 제공하고 어떤 동의를 얻는지 살펴봅니다.
Google의 우선순위는 항상 파트너와 협력하여 규정을 올바르게 준수하도록 지원하는 것입니다. 파트너가 정책을 따르지 않는다고 판단되면 가장 먼저 파트너에게 연락하여 문제에 관해 알린 후 파트너와 함께 규정 준수 목표를 달성하기 위해 노력할 것입니다.
2015년 이래로 사이트 또는 앱이 필요한 부분을 변경할 수 있도록 충분한 시간을 제공하고 있지만, 파트너가 비협조적이거나 합당한 기간 내에 규정 준수를 위해 최선을 다하지 않는 경우 관련 계정에 정지를 포함한 조치가 취해질 수 있습니다.
2023년 5월, Google은 2024년 1월 16일부터 EEA 및 영국의 사용자를 대상으로 광고를 게재할 경우 이 정책을 준수하기 위해 게시자는 사이트와 앱을 검토하는 것 외에 인증 CMP도 도입해야 한다고 발표했습니다. Google은 인증 CMP를 도입한 게시자 파트너 사이트와 앱을 계속 감사할 예정입니다.
최종 사용자에게 공개해야 할 내용은 무엇인가요?
Google의 정책에 따르면 Google 제품 사용에 대해 결과적으로 최종 사용자의 개인 정보를 수신하는 각 당사자가 누구인지를 명시해야 합니다. 또한 최종 사용자의 개인 정보가 어떻게 사용되는지에 관한 정보를 눈에 잘 띄고 쉽게 접근 가능한 곳에 표시해야 합니다. Google은 Google의 정보 사용에 관한 정보를 게시했습니다. Google의 데이터 사용과 관련된 공개 의무를 준수하려면 게시자와 광고주는 해당 페이지로 연결되는 링크를 제공해야 합니다. 또한 Google은 Google 제품과 통합되는 광고 기술 제공업체도 자체적인 개인 정보 사용에 관한 정보를 제공하도록 요구하고 있습니다.
동의 메커니즘 구현 시 흔히 발생하는 실수를 방지하기 위한 체크리스트
다음 내용은 예시일 뿐이며 전체 목록이 아닙니다. 게시자 측에서 인증 CMP를 도입하고 올바르게 구현했다면 이미 이 체크리스트를 준수하고 있는 것입니다. 귀하의 구현 방식이 Google 정책의 모든 요구사항을 충족하는지 항상 신중하게 살펴보시기 바랍니다.
- 사용자가 사이트 또는 앱에서 개인 정보 수집에 동의할 때 이러한 개인 정보가 어떻게 사용될지 설명했나요? 예를 들어, 개인 정보가 광고 개인 최적화에 사용되며, 쿠키는 개인 맞춤 광고 및 개인 맞춤이 아닌 광고에 사용될 수 있다는 사실을 사용자가 알고 있나요?
- 모든 EEA 국가의 사용자가 사이트 또는 앱에 액세스했을 때 동의 알림이 표시되는지 확인했나요?
- '확인' 또는 '동의' 버튼을 클릭하는 등 적극적으로 동의 여부를 표현하는 옵션을 사용자에게 제공했나요?
- 사이트 또는 앱에서 수집한 사용자 데이터에 어떤 제3자(Google 포함)가 액세스할 수 있는지 공개했나요?
- 사용자가 사이트 또는 앱에서 동의 의사를 표시할 때 Google에서 사용자의 개인 정보를 어떻게 사용하는지 안내했나요? 예를 들어 Google의 비즈니스 데이터 책임 사이트로 연결되는 링크를 포함했나요? 다른 제3자가 사용자의 개인 정보를 어떻게 사용하는지도 안내했나요?
- 개인 맞춤이 아닌 광고로만 수익을 창출한다면, 현지 법적 요구사항에 따라 필요한 경우 쿠키 또는 기타 로컬 저장소(예: 휴대기기 식별자) 사용에 대한 사용자의 동의를 구했는지 확인했나요? 그러나 개인 맞춤이 아닌 광고도 웹사이트에 게재되어 작동하려면 쿠키가 필요하다는 점에 유의하시기 바랍니다.
- 제한적인 광고로만 노출수에서 수익을 창출하는 경우, Google은 광고 개인 최적화를 위한 개인 정보의 수집, 공유, 사용을 중지할 뿐 아니라 최대 게재빈도 설정과 같이 로컬 식별자를 사용해야 하는 기능도 사용 중지합니다. 프로그래매틱 방식의 제한적인 광고가 사용 설정되어 있는 경우에만 사기와 악용을 방지할 수 있도록 무효 트래픽 감지 전용 쿠키 및 로컬 스토리지가 사용됩니다. 사용자의 브라우저 및 모바일 운영체제가 정상적으로 작동되는 과정에서 광고 게재 기술(Google의 JavaScript 태그 및/또는 SDK 코드)은 계속 캐시되거나 설치됩니다. 관할권 내의 현지 법규에 따른 필수 통지와 동의 등 규정 준수 의무에 관해서는 스스로 판단해야 합니다. 이 기능에 관한 자세한 내용은 Ad Manager 고객센터, AdMob 고객센터, 애드센스 고객센터를 참고하세요.
- IAB 인증 CMP를 사용하는 경우 'Google 광고 제품'을 공급업체로 포함시켰나요?
- Google Ads 쿠키가 동의 없이 설정되어 있지 않은지, NPA의 기본 상태가 동의 없이 변경되지 않았는지 확인하셨나요?
최종 사용자의 개인 정보가 광고 개인 최적화에 사용되지 않게 하려면 어떻게 해야 하나요?
광고 개인 최적화를 위해 최종 사용자의 개인 정보를 사용할 것인지 선택할 수 있습니다. 그러나 개인 맞춤이 아닌 광고의 경우에도 웹사이트 또는 앱에 게재되어 작동하려면 쿠키나 모바일 식별자가 필요하다는 점에 유의하시기 바랍니다. 현지 법적 요구사항에 따라 필요한 경우 쿠키 또는 모바일 식별자 사용에 대해 동의를 구해야 합니다.
Ad Manager, 애드센스 및 AdMob 노출수의 경우 제한적인 광고로 수익을 창출할 수도 있습니다. 제한적인 광고 및 개인 맞춤이 아닌 광고를 게재하려면 관할권 내의 현지 법규에 따른 필수 통지, 동의 등의 규정 준수 의무를 스스로 판단해야 합니다.
동의 철회와 관련하여 최종 사용자에게 제공해야 할 지침은 무엇인가요?
정책에 따라 광고 개인 최적화에 대한 동의를 철회하는 방법을 최종 사용자에게 알려야 합니다. 사용자가 동의를 철회하는 과정은 처음 동의하는 과정만큼 간단해야 합니다. 적어도 최종 사용자가 동의 환경설정을 수정하기 위해 사이트 또는 앱의 광고 관리 도구에 간편하게 액세스할 수 있도록 충분한 정보를 제공해야 합니다.
이 정책이 적용되는 다른 Google 제품에는 무엇이 있나요?
광고 및 측정 제품 외에 Google Maps Platform 서비스 약관, YouTube API 서비스의 서비스 약관, reCAPTCHA 서비스 약관과 같은 다른 Google 제품과 Blogger에서도 이 정책을 참조합니다.
이 정책에 따라 '개인 맞춤'으로 간주되는 광고 유형은 무엇인가요?
개인 맞춤 광고(이전의 관심 기반 광고)는 사용자의 광고 관련성을 높이고 광고주의 ROI를 높이는 강력한 도구입니다. Google의 게시자 제품은 제품 사용 방식에 따라 사용자가 방문하는 사이트나 이용하는 앱을 바탕으로 사용자의 관심분야를 추론하여 광고주가 이에 따라 캠페인을 타겟팅할 수 있게 합니다. 이렇게 하면 사용자와 광고주의 환경을 모두 개선할 수 있습니다. 자세한 내용은 개인 맞춤 광고에 대한 광고주 정책을 참고하세요.
Google에서는 광고 선택이 과거에 수집된 데이터 또는 이전 데이터에 기반을 두거나 영향을 받은 경우 개인 맞춤 광고라고 간주합니다. 여기에는 사용자의 이전 검색어, 활동, 사이트 또는 앱 방문, 인구통계 정보 또는 위치 등이 포함됩니다. 구체적으로는 인구통계학적 타겟팅, 관심분야 카테고리 타겟팅, 리마케팅, 고객 일치 목록 타겟팅, Google Marketing Platform에 업로드된 잠재고객 목록 타겟팅 등이 여기에 포함됩니다.
감사 결과, 제 동의 배너가 규정 위반으로 표시되었습니다. 가장 적절한 해결 방법은 무엇인가요?
Google에서는 이러한 정책 위반을 파악하는 경우 파트너가 다시 규정을 준수하도록 지원하는 것을 우선으로 합니다. Google 감사팀은 문제에 관한 세부정보를 제공할 뿐만 아니라 사이트 및 앱이 정책을 준수하도록 하는 데 필요한 단계에 관한 정보를 안내합니다.
사용자의 선택을 존중하도록 배너를 적절하게 구성하려면 광고주는 서드 파티 CMP와 협력하거나 적절한 동의 설정 관리 문서를 검토하고, 서드 파티 CMP가 동의 모드와 적절하게 통합되었는지 확인하는 것이 좋습니다.
정책에서 광고 측정과 같이 맞춤설정이 아닌 목적으로 쿠키를 사용하는 경우에도 쿠키 사용에 대한 동의를 요구하는 이유는 무엇인가요?
쿠키 또는 모바일 식별자는 Google에서 게재하는 개인 맞춤 광고 및 개인 맞춤이 아닌 광고와 관련된 사기 및 악용 방지, 최대 게재빈도 설정, 광고 데이터 집계를 지원하는 데 사용됩니다. Google 정책에 따르면 쿠키 또는 모바일 식별자에 대한 동의가 법적으로 요구되는 국가에서는 쿠키 또는 모바일 식별자 사용에 관한 사용자의 동의를 얻어야 합니다.
사이트에서 Google 제품을 사용하는 광고주인 경우 어떻게 해야 하나요?
페이지에서 Google Ads 또는 Google Marketing Platform과 같은 광고 제품의 태그를 사용하는 경우, Google의 EU 사용자 동의 정책을 준수하기 위해 EEA 및 영국 사용자의 동의를 얻어야 합니다. Google 정책에 따르면 측정 목적으로 쿠키를 사용하거나 개인 맞춤 광고용으로 개인 정보를 사용할 때 동의를 얻어야 합니다. 예를 들어 페이지에 리마케팅 태그가 있는 경우가 여기에 해당합니다.
동의 알림에 어떤 내용을 담아야 하나요?
동의 알림의 내용은 데이터를 사용하는 목적(예: 자체적인 목적 또는 협력 관계에 있는 다른 서비스를 지원하려는 목적으로 데이터 사용)에 따라 달라지므로, Google 정책에는 사용자에게 어떤 옵션을 제공해야 하는지 규정되어 있지 않습니다.
Google에서 앱에 요구하는 특정 양식의 동의 메시지가 있나요?
예, 2023년 5월, Google은 2024년 1월 16일부터 EEA 및 영국의 사용자를 대상으로 광고를 게재하는 경우 게시자는 인증 CMP를 도입해야 한다고 발표했습니다. 사용 중인 CMP가 이 목록에 등재되어 있지 않은 경우 CMP와 협력하여 인증을 취득하시기 바랍니다.
CMP Partner Program은 광고주 파트너를 대상으로 광고주의 동의 배너 구축 및 구성을 지원하기 위해 만들어졌습니다. 참고: 사용 가능한 모든 CMP가 이 목록에 포함되어 있지는 않습니다.
파트너는 동의 관리 플랫폼(CMP)을 어떻게 선정해야 하나요?
CMP Partner Program은 광고주 파트너를 대상으로 광고주의 동의 배너 구축 및 구성을 지원하기 위해 만들어졌습니다. 참고: 사용 가능한 모든 CMP가 이 목록에 포함되어 있지는 않습니다. 이는 CMP 구현 및 사용자에게 표시되는 구체적인 동의 메시지에 따라 다르므로, 이러한 CMP 중 하나를 도입한다고 해서 Google EU 사용자 동의 정책 준수를 보장하지는 않습니다(이와 관련된 보다 자세한 가이드라인은 '동의 메커니즘 구현 시 흔히 발생하는 실수를 방지하기 위한 파트너용 체크리스트' 위의 섹션을 참고하세요).
최종 사용자의 개인 데이터를 수집하는 제3자로는 누가 있으며 이러한 제3자를 식별하려면 어떻게 해야 하나요?
Google 광고 시스템을 사용하는 여러 광고주 및 게시자는 제3자를 통해 광고를 게재하고, 웹사이트 및 앱에 게재된 광고 캠페인의 효과를 측정합니다. 이 정책에 따라 귀하는 Google 외에도 귀하가 Google 제품을 사용한 결과 최종 사용자의 개인 정보를 수집, 수신, 사용할 수 있게 된 각 당사자를 명확히 파악해야 합니다. 애드센스, Google Ad Manager 및 AdMob의 관리 도구를 사용하여 사이트 또는 앱에서 데이터를 수집하도록 허용할 공급업체를 선택할 수 있습니다.
유럽에 기반을 두고 운영하는 사이트가 아니어도 이 정책이 적용되나요?
예. 사이트가 이 정책이 적용되는 Google 제품을 사용하며 EEA 또는 영국에 거주하는 사용자에게 서비스를 제공하려고 한다면 정책이 적용됩니다.
EEA 또는 영국을 전혀 타겟팅하지 않는 캠페인의 게시자입니다. 그래도 동의를 얻어야 하나요?
해당 국가의 사용자를 대상으로 하는 사이트에서 Google 서비스를 삭제한 경우라면 동의를 얻지 않아도 됩니다. 하지만 광고가 게재되지 않더라도 Google 서비스가 계속 사용된다면 동의를 얻어야 합니다. Google AdMob, 애드센스, Google Ad Manager에서 쿠키를 사용하며, Google 정책에 따라 측정 목적으로 사용되는 쿠키에는 여전히 동의가 필요하기 때문입니다. 요청이 개인 맞춤이 아닌 광고를 위한 것이며 이러한 사실을 EU 사용자 동의 설정이나 요청 자체에 명시한 경우를 제외하면 Google Ad Manager에서도 개인 정보를 수집합니다.
저희 조직에서는 이 법과 관련하여 다른 견해를 가지고 있으며, 정보 공개 및 동의에 다른 방식으로 접근하고자 합니다. 그렇게 할 수도 있나요?
Google은 유럽에서 제공되는 모든 서비스에서 영국 법률로 전환된 부분을 포함하여 GDPR을 준수하기 위해 최선을 다하고 있습니다. Google의 EU 사용자 동의 정책에는 이러한 노력과 유럽 데이터 보호 당국의 지침이 반영되어 있습니다. 따라서 지속적으로 법과 업계 관행을 분석하고, 이에 따라 권장사항 및 요구사항을 업데이트할 예정입니다.
광고 측정에 동의가 필요한 이유는 무엇인가요? 광고 측정은 적법한 이익이 아닌가요?
Google에서는 쿠키 및 다양한 광고 식별자를 사용하여 광고 측정을 지원합니다. 기존의 온라인 개인 정보 보호법에 따르면 현지법에서 이러한 동의를 요구하는 국가의 사용자를 대상으로 쿠키 또는 모바일 광고 식별자를 사용할 때 동의를 얻어야 합니다. 따라서 Google 정책에서는 광고 개인 최적화 및 광고 측정에 대한 동의를 요구합니다. 여기에는 오프라인 측정 사용 사례(예: 오프라인 매장 판매)가 포함됩니다.
태그가 실행되기 전에 동의를 받아야 하나요, 아니면 실행된 후에 받아도 되나요?
Google 태그가 페이지에서 실행되기 전에 개인 맞춤 광고에 관한 동의를 얻어야 합니다.
클릭 추적기를 사용하는 경우에는 어떻게 하나요?
광고주가 제3자 클릭 추적 기술을 사용하는 경우(즉, 광고를 클릭하면 사용자의 브라우저가 제3자 측정 공급업체를 거쳐 광고주의 방문 페이지로 연결됨) 관련 법을 준수해야 합니다. Google에서 게시자에게 제공하는 공급업체 관리 도구에서는 클릭 추적 기술이 지원되지 않습니다.
어떤 기록을 보관해야 하나요?
고객은 Google 정책에 따라 동의 기록을 보관해야 합니다. 이 기록에는 최소한 동의 메커니즘의 일부로 사용자에게 제시된 텍스트 및 옵션과 더불어 사용자의 적극적 동의를 확인한 날짜와 시간의 기록이 포함되어야 합니다.
IAB의 인증을 받은 인증 CMP를 사용하는데 게시자 CMP가 규정을 준수하지 않는 것으로 간주된 이유는 무엇인가요?
인증 CMP는 CMP 구현 및 사용자에게 표시되는 구체적인 동의 메시지에 따라 다르므로, 이러한 CMP 중 하나를 도입한다고 해서 Google EU 사용자 동의 정책 준수를 보장하지 않습니다(이와 관련된 보다 자세한 가이드라인은 '동의 메커니즘 구현 시 흔히 발생하는 실수를 방지하기 위한 파트너용 체크리스트' 위의 질문을 참고하세요).
Privacy Sandbox API를 사용하는 제품을 이용하는 경우 이 정책을 따라야 하나요?
예. Privacy Sandbox API(Topics, Protected Audience, Attribution Reporting)를 사용하는 경우 광고 개인 최적화를 위해 개인 정보를 사용하고/사용하거나 로컬 저장소에 액세스하고 있을 수 있습니다. EU 사용자 동의 정책에서는 현재 유럽 경제 지역과 영국에서 광고 개인 최적화 및 추가 로컬 저장소 사용을 위해 동의를 받는 것과 동일한 방식으로 이러한 작업에 실효성 있는 사용자 동의를 받을 것을 요구하고 있습니다. Privacy Sandbox에 관해 자세히 알아보세요.
정책 업데이트
Google의 기존 EU 사용자 동의 정책은 2018년 5월 25일에 업데이트되었습니다. 변화하는 영국과 유럽 연합 간의 관계를 반영하기 위해 2019년 10월 31일에 일부 사항이 약간 변경되었습니다. 지금으로서는 더 이상의 정책 변경이 예상되지 않지만, 위에 명시된 것과 같이 Google에서는 지속적으로 법과 업계 관행을 분석하고 이에 따라 권장사항 및 요구사항을 업데이트할 예정입니다.