UPDATED. 2018-05-24 18:21 (목)
페북 혼쭐낸 GDPR, 남의 나라 일이기만 할까
페북 혼쭐낸 GDPR, 남의 나라 일이기만 할까
  • 안선혜 기자 anneq@the-pr.co.kr
  • 승인 2018.05.16 15:00
  • 댓글 1
이 기사를 공유합니다

리타깃팅 광고 시 체크 사항…수집 데이터 기록, 소비자에 정보 통제권 부여 등 확인

[더피알=안선혜 기자] 이달 25일부터 유럽연합(EU)에서 시행되는 GDPR(일반 개인정보보호법·General Data Protection Regulation). 기업의 개인정보보호 의무를 대폭 강화한 이 법은 위반 시 전세계 매출의 2% 내지 4%에 달하는 강력한 과징금이 부과된다. 글로벌 기업을 비롯해 유럽과 거래하는 크고 작은 국내기업들이 준비 상황을 점검하며 상당한 고심을 거듭한 이유다.

페이스북의 경우 최근 개인정보 유용 파문을 겪은 후 페이스북에 연결된 모든 앱에서 어떤 데이터를 공유하는지 보여주고, 휴대폰 번호나 이메일 주소로 사람을 찾던 기능을 삭제하는 등 보다 강력한 조치를 취했다. 네이버도 최근 자사 프라이버시센터에 GDPR 메뉴를 신설하고 참고용 관련 정보를 제공하고 있기도 하다. ▷관련기사 : 네이버가 소개하는 GDPR 대응법

대륙을 넘어 먼 나라 이야기로만 들릴지 모르지만, 타깃 광고가 일반화된 디지털 광고업계는 특히나 이 법의 시행 과정에 관심을 기울일 필요가 있다. 당장은 유럽에서만 발효되는 법안이지만, 페이스북과 같은 글로벌 플랫폼 사업자들이 이를 전세계로 확대 적용해야 한다는 압박을 받고 있는데다 주요 광고주 또한 이를 준수해야 할 가능성도 열려 있다.

GDPR은 개인정보에 대한 정의를 보다 확대한 것이 특징이다. 이름이나 전화번호 같은 일반적 개인정보 외에 암호화 정보, 생체 정보, 온라인 식별 정보나 위치 정보 등도 포함된다. 타깃 광고 업체들이 흔히 활용하는 온라인 쿠키나 모바일 광고 아이디 등이 개인 식별을 가능케 하면 개인정보에 들어간다.

데이터 트래킹 기록 남겨야

GDPR은 이들 개인정보에 대한 열람권, 정정권, 삭제권, 처리 제한권 등을 부여해 정보주체의 권리를 강화시켰다. 정보 활용 동의 기준을 엄격화하고, 동의 철회 규정도 신설했다. 사용자가 언제든 동의를 철회할 수 있도록 환경을 만들어 놓아야 한다는 규정이다. 기본적으로 정보 수집을 최소화하도록 권고하고 있다.

리타깃팅 광고를 진행하는 입장에서는 까다로울 수밖에 없는 조건들이다. 프랑스에 본사를 두고 있는 애드테크 기업 크리테오도 이런 일련의 변화에 대비를 해놓은 모습이다. 크리테오 관계자는 “디지털 마케팅 기업이 수집하는 데이터에 대해 명백하게 확인할 수 있는 트래킹 기록을 갖고 있어야 한다”며 “소비자들에게 이를 통제할 수 있는 권한을 부여해야 한다”고 말했다.

가령 AD 초이스 버튼 등을 통해 각 이용자가 자신의 데이터가 어디에 사용되고 있고, 어떻게 보호되고 있는지 확인할 수 있어야 한다는 설명이다. 크리테오 관계자는 “소비자가 옵트아웃(OPT-OUT·데이터 수집을 불허하는 옵션)을 선택하면 즉시 추적과 타깃팅 광고를 중단한다”며 “브라우저에서 모든 식별 데이터를 삭제해 이전에 수집된 정보가 다시는 연결될 수 없도록 해놓았다”고 말했다. 또 수집된 모든 소비자 데이터는 13개월 동안만 보존된다.

각 사업자는 이용자들이 자신의 데이터가 어디에 사용되고 있고, 어떻게 보호되고 있는지 확인할 수 있도록 해야 한다.
각 사업자는 이용자들이 자신의 데이터가 어디에 사용되고 있고, 어떻게 보호되고 있는지 확인할 수 있도록 해야 한다.

설계 단계에서부터 개인정보 보호를 위한 노력도 동반된다. GDPR은 정보보안책임자(Data Protection Officer)를 지정하도록 권고하고 있다. 임명된 정보보안책임자들은 전사적으로 데이터 보호와 관련된 교육을 제공하고 윤리강령을 시행한다.

또 서비스 디자인 초기 단계부터 업무에 관여하기도 한다. 제품 전생애 주기에 발생할 수 있는 잠재적 위험을 모니터링하고, 이를 선제적으로 감소시키려는 노력을 기울인다는 전언이다. 그밖에도 익명화 방식을 활용한 보안 대책, 표준안 및 인증에 대한 투자 등이 필요하다.

GDPR은 본래 2016년 5월 유럽 의회를 통과했다. 구글, 페이스북, 아마존과 같은 미국 IT 대기업이 개인정보를 이용해 시장을 장악한 데 대한 유럽의 반발 정서가 작용했다. 이와 함께 EU가 추진하는 ‘디지털 단일 시장(Digital Single Market)’ 기조도 통과에 영향을 미쳤다. 다만, 즉각적인 적용에는 어려움이 있어 2년의 유예기간 후 올해 5월 드디어 시행에 들어가게 된다.

미국 기업의 시장 지배에 대한 견제적 관점에서 시행된 법안이지만, 막상 해당 법이 구글, 페이스북 같은 IT 공룡에게 유리한 판을 만들어 주고 있다는 시각도 존재한다. 풍부한 자금과 빵빵한 법률 자문단, 기술자를 보유한 이들 기업이 GDPR 대비에도 상대적으로 여유로울 수밖에 없다는 분석이다.

IT 공룡 독식 우려 존재

월스트리트저널 보도에 따르면 최근 유럽 내 소규모 애드테크 회사들은 유럽 사무소를 폐쇄하고 비즈니스를 접는 등 극단적 선택을 내리고 있다. 보다 엄격해진 GDPR 규정을 지키기 위해서는 개별 이용자들에게 개인정보 활용에 대한 동의를 얻어야 하지만, 구글과 페이스북 같은 유명 플랫폼 사업자가 아닌 이상 사용자들이 쉽사리 동의에 응해주지 않는 다는 것. 구글과 페이스북은 각 정보 활용을 위한 이용자 동의 팝업을 얼마 전부터 띄우고 있는데, 결국 확실한 동의를 얻은 이들 거대 플랫폼으로 광고주들이 몰릴 수밖에 없다는 분석이다.

이마케터(eMarketer)에 따르면 2018년 구글과 페이스북은 전세계 디지털 광고 지출의 49%를 모을 것으로 예상된다. 타깃팅에 대한 수요는 증가하지만, 거대 플랫폼이 독점하는 시장이 될 것이란 우려가 싹트는 이유다.

GDPR은 개인정보 수집을 위해서는 보다 명확한 이용자 동의를 얻을 것을 요구하고 있다. 수집 목적과 관련 파트너사에 대한 정보를 구체적이고 분명하게 밝혀야 하고, 정보주체가 적극적인 행위를 통해 동의를 해야 한다고 밝히고 있다. 가령 자동체크나 동의 거부로 인해 불이익이 주어지는 방식으로 얻은 동의는 인정받지 못한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 1
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
20세미소년 2018-05-18 17:25:06
기사에서는 플랫폼 사업자 입장에서 영향에 대해 언급하셨는데, 저는 브랜드 입장에서 영향도 언급하고 싶네요. 국내에서 글로벌 광고주가 페이스북과 구글같은 글로벌 플랫폼에 광고를 할 때 그럴 가능성이 높습니다. 예를들어 Facebook에서 1st party data를 활용한 리타게팅의 경우 광고주가 이용자로부터 쿠키 수집 및 이용에 관한 동의를 얻을 책임을 부여합니다. 그럼 결론적으로 광고주는 한국에서 비즈니스를 하더라도 자사 웹페이지 내 쿠키 수집/이용에 대한 동의, 이를 회피하는 안내 고지를 단순 이용 약관 계정이 아닌 적극적인 동의(예를 들어 팝업으로 고지)를 얻기 위해 개편해야 할 필요가 발생할지도 모릅니다. 타게팅이나 트래킹의 제약은 이미 구글,페이스북에서 일어난 일이니 국내에서 영향도 커 보입니다.