분석 및 A/B 테스트 쿠키 — 유럽에서 동의한 후에만?

2020년 2월 19일 업데이트됨: CNIL의 새로운 업데이트에 따르면 이제 A/B 테스트 및 대상 측정이 동의에서 제외됩니다 .

GDPR이 2018년 5월에 발효되었을 때만 혼란을 일으켰다고 생각할 수도 있습니다.

진실은 유럽이 2019년 내내 혼란에 빠졌고 좋은 소식이 아니라는 것입니다.

프랑스 및 영국 데이터 보호 당국(CNIL 및 ICO)은 2019년 7월에 발행된 지침 노트를 업데이트하여 분석 쿠키(A/B 테스트 및 개인화 포함)가 방문자의 기기에 배치되기 전에 명시적 동의 가 필요하다는 점을 강조했습니다. 동의(예: 옵트인)를 언급할 때 GDPR을 구체적으로 언급합니다. 기본 설정이 아닌 활성 사용자 작업을 기반으로 해야 합니다.

2020년 2월, CNIL은 이 문제에 대한 입장을 변경했습니다(이를 지적해 준 Paul Schmitt에게 감사드립니다). ICO와 CNIL은 이전에 A/B 테스트 및 분석을 위한 쿠키에 동의가 필요하다고 명시했지만 최신 가이드라인(프랑스어)은 다음과 같이 말합니다.

“동의 면제 혜택은 일정 수의 조건에 따라 시청자 측정에 사용되는 쿠키는 동의가 면제됩니다. 쿠키 및 기타 추적기에 대한 지침에 명시된 이러한 조건은 (1) 사용자에게 쿠키 사용을 알리고, (2) 그들에게 반대할 권한을 주기 위해; (3) 시스템을 다음 목적으로만 제한합니다: 청중 측정 및 A/B 테스트."

즉, 조직에서 데이터 수집만을 위해 설정한(제3자와 어떤 식으로든 공유되지 않는) 분석 도구를 동의 없이 설치할 수 있습니다. 이 변경 사항은 Google Analytics에 어려울 수 있습니다. Mozilla의 이 특별 계약은 Google Analytics가 다른 서비스와 데이터를 공유하지 않도록 했습니다. 현재 이 설정을 모든 사용자가 사용할 수 있는지는 확실하지 않습니다. 그러나 유럽이 동의 없이 분석의 문을 열고 있다면 Google은 이 과정을 따라 유럽 고객 기반에 이 기능을 제공해야 한다고 생각합니다.

다른 유럽 국가 개인 정보 보호 당국이 ePrivacy Directive 법률(GDPR 이전에 시행됨)에 이러한 추가 사항을 포함하지 않았지만, 이로 인해 2020년 7월과 새로운 ePrivacy Regulation이 현재 Directive를 대체하는 순간 사이에 법적 공백이 생겼을 수 있습니다.

무슨 일이에요? 무엇이 바뀌었습니까?

유럽의 개인정보 보호법에 대한 주요 변경 사항 에 대한 요약을 보려면 아래 동영상을 시청하세요.

2011년 유럽 ePrivacy Directive "쿠키법" 및 영국 버전인 2003년 개인정보 보호 및 전자 통신(EC Directive) 규정("PECR")이 최근 ICO에서 재해석되었습니다. 이 변경은 개인 데이터 수집 여부에 관계없이 '필수적이지 않은' 쿠키를 삭제하는 데 '동의'를 요청하는 것을 의미합니다.

2012년에 ICO는 묵시적 동의(즉, 옵트인이 아닌 옵트아웃)가 허용되었다고 밝혔습니다.

묵시적 동의는 데이터 보호법 및 개인 정보 보호 규정의 맥락에서 항상 합리적인 제안이었으며 정보 저장 또는 쿠키 및 유사한 장치를 사용한 정보 액세스의 맥락에서 여전히 그렇습니다.

2019년 7월 18일 프랑스 개인 정보 보호 기관(CNIL)은 쿠키 사용에 관한 새로운 지침을 발표했습니다. HTTP 쿠키에 적용되는 규칙은 로컬 공유 개체, 터미널 장비 지문, 하드웨어 식별자 및 운영 체제에서 생성한 식별자를 비롯한 많은 다른 추적 기술("추적기")에도 적용됩니다. ICO 및 GDPR 가이드라인과 마찬가지로 여기에서도 쿠키 사용에 대한 별도의 결정은 없지만 지문 채취는 이제 동의하에 있습니다.

그러나 CNIL은 Github 페이지를 업데이트하여 모든 것을 약간 혼란스럽게 만듭니다. CNIL의 최신 가이드라인에 따르면 청중 측정 및 A/B 테스트는 동의에서 제외되며 즉시 배치될 수 있습니다(옵트아웃).

유럽 ​​데이터 보호 위원회(EDPB)는 2019년 3월에 ePrivacy Directive와 GDPR 사이의 상호 작용에 대해 서면 의견을 발표했습니다. GDPR에 쿠키가 언급되어 있지 않고 두 법률 사이에 차이가 있기 때문입니다.

일부에서는 EDPB의 의견을 ePrivacy Directive에서 "동의"에 대한 모든 언급이 GDPR에 정의된 동의를 의미한다고 해석했습니다. 쿠키의 경우 이는 사람들이 적극적으로 동의하지 않고는 쿠키를 배치할 수 없음을 의미합니다.

그렇다면 ICO와 CNIL은 GDPR이 발효된 지 1년 후에 지침을 변경한 이유는 무엇입니까? 쿠키 "옵트아웃"에 관한 정보가 13개월 동안 동의 옵트인으로 변경된 이유는 무엇입니까?

우리는 그것에 대해 감사할 Planet49가 있습니다.

2017년 11월 30일, 독일 웹사이트이자 회사인 Planet49는 GDPR 및 ePrivacy Directive를 고려할 때 여러 가지 의심스러운 관행으로 법정에 출두했습니다.

결과를 기다려야 했지만(기사 하단에 전문 첨부), 판결은 각국에 대해 보다 명확한 지침이 필요하다는 분위기를 조성했습니다.

이 판결로 인해 CNIL과 ICO는 현재 개인정보 보호법이 동의, 정보 공유 및 (분석 및 추적) 쿠키를 다루는 방식을 반영하기 위해 지침을 업데이트하기 시작했습니다. CNIL이 잠재고객 측정 및 A/B 테스트 쿠키를 허용하기 위해 다른 유럽 국가에 영향을 미치는지 확인해야 합니다.

'엄격히 필요한' 쿠키 면제 전쟁

A/B 테스트 회사가 GDPR 관행을 채택할 때 분석 및 A/B 테스트 쿠키는 비즈니스에 필수적인 것으로 고객에게 제공될 수 있습니다. 대신 광고 추적기에 더 중점을 두었습니다.

요즘에는 꼭 필요한 '쿠키 면제' 뒤에 숨을 수 있습니다. 누군가가 "하지만 우리 법무팀은 동의 없이 Google Analytics 쿠키를 배치할 수 있다고 말했습니다"라고 말하는 것을 들었습니다. ICO의 새로운 지침을 읽을 때까지 저도 그 캠프에 있었습니다. 그들의 사이트는 웹사이트 기능과 적절한 사용자 상호작용에 어떤 쿠키가 필수적인지에 대한 몇 가지 좋은 예를 제공합니다. 항상 새로운 지침이 나오면서 어느 한쪽을 엄격히 준수하는 것은 혼란스러울 수 있습니다. 일부 회사는 현재 CNIL의 가장 최근 권장 사항을 따르고 있습니다.

아래 예시에서 쿠키는 이용자에게 서비스를 제공하기 위해 '엄격히 필요'합니다. 각 경우에 면제가 적용되며 동의가 필요하지 않습니다.

• 이용자가 결제를 하거나 장바구니에 담을 때 구매하고자 하는 상품을 기억하는 데 사용되는 쿠키,
• 예를 들어 온라인 뱅킹 서비스와 관련 하여 사용자가 요청한 활동에 대한 GDPR의 보안 원칙을 준수하는 데 필수적인 쿠키,
• 여러 컴퓨터에 작업 부하를 분산하여 페이지 콘텐츠를 빠르고 효과적으로 로드하는 데 도움이 되는 쿠키(이를 종종 '로드 밸런싱' 또는 '역 프록시'라고 함).

'엄격히 필요한 것'은 자신의 관점이 아니라 사용자 또는 가입자의 관점에서 평가되어야 함을 기억하는 것이 중요합니다. 따라서 예를 들어 광고 쿠키는 서비스에 자금을 제공하는 수익을 가져오기 때문에 '엄격히 필요한' 것으로 간주할 수 있지만 사용자의 관점에서 '꼭 필요한' 것은 아닙니다.

ICO에서 사용자 동의(사용자 작업에 의한 사전 동의)가 필요한 쿠키는 다음과 같습니다.

• 분석 에 사용되는 쿠키(예: 웹사이트에 대한 고유한 방문 수 계산(개인화 및 A/B 테스트 포함)
• 자사 및 타사 광고 쿠키 (클릭 사기 탐지, 연구, 제품 개선 등 타사 광고와 관련된 운영 목적으로 사용되는 쿠키 포함),
• 사용자가 웹사이트로 돌아올 때 사용자가 받는 인사말을 맞춤화할 수 있도록 인식하는 데 사용되는 쿠키입니다(개인화는 ICO에서 구체적으로 언급됨).

2019년 10월 1일 ECJ "Planet49" 판결

2019년 10월 유럽 연합 사법 재판소('CJEU')는 " Planet49 " 판결에서 CNIL 및 ICO는 2019년 7월부터 시행되었습니다.

따라서 광고 쿠키를 포함하여 쿠키 및 프로파일링 기술(예: 지문 인식)을 배치하려면 적극적이고 정보에 입각한 동의가 필요합니다(단, 꼭 필요한 쿠키는 아님).

Planet49가 도피하려고 했던 것과 같이 미리 선택된 상자는 동의를 얻는 유효한 수단이 아닙니다.

회사로서 우리는 GDPR을 준수하고 쿠키에 개인 데이터를 저장하지 않도록 전체 인프라를 재구축했습니다.

CJEU의 판결에 따르면 쿠키를 통해 개인 데이터를 수집하는지 여부는 중요하지 않습니다. 쿠키 배치에 개인 데이터 처리가 포함되지 않는 경우에도 동의를 받아야 합니다. 컨트롤러는 동의를 얻기 전에 각 쿠키의 수명과 이러한 쿠키를 통해 수집된 정보에 대한 제3자의 액세스를 사용자에게 알려야 합니다.

분석 및 A/B 테스트 쿠키에 대한 동의 없는 희망 사항이 있습니까?

ICO는 분석에 사용되는 쿠키와 다른 목적에 사용되는 쿠키를 구분하지 않지만 CNIL은 구분합니다.

분석 쿠키는 ICO에 대해 '엄격히 필요한' 면제에 해당하지 않습니다. 이는 기업이 사용자에게 분석 쿠키에 대해 알리고 영국에서 쿠키 사용에 대한 동의를 얻어야 함을 의미하지만 프랑스에서는 CNIL이 동의 없이 분석(제한 있음) 및 A/B 테스트를 허용합니다.

ICO(영국)는 온라인 광고 또는 웹 분석에 사용되는 쿠키를 필수가 아닌 것으로 설명하므로 사전 동의가 필요합니다. 여기에는 타사 제공업체가 설정한 자사 쿠키 및 자사 쿠키가 포함됩니다(Convert 또는 Google Analytics 참조). Convert는 CNIL의 규정도 준수하며 고객 간에 데이터 세트를 공유하지 않으며 설치는 고객별로만 이루어지므로 테스트를 위한 홀드백이 있는 A/B 테스트 및 개인화가 허용됩니다.

ICO 지침에는 다음과 같이 명확하게 명시되어 있습니다.

여러 사이트 또는 장치에서 사용자를 추적할 수 있는 다른 쿠키만큼 방해가 되지 않는 것처럼 보일 수도 있지만 자사 분석 쿠키에는 동의가 필요합니다.

여러 사이트 또는 장치에서 사용자를 추적할 수 있는 다른 쿠키만큼 방해가 되지 않는 것처럼 보일 수도 있지만 자사 분석 쿠키에는 동의가 필요합니다.

ICO가 어떤 영역에서도 공식적인 조치의 가능성을 배제할 수는 없지만, 제1자 분석 쿠키의 설정이 개인에 대한 낮은 수준의 침해와 낮은 위험을 초래하는 경우가 항상 있는 것은 아닙니다. 그러나 제3자가 제공하는 자사 분석 쿠키를 사용하는 경우 반드시 그렇지는 않다는 점도 유의해야 합니다.

ICO의 PECR 지침을 2020년 7월까지 준수할 수 있는 유예 기간이 있음을 알아야 합니다.

웹사이트 이용과 관련하여 수집된 정보를 제3자에게 제공하는 경우, 이를 사용자에게 명확하게 알려야 합니다. 또한 이 제3자가 정보를 가지고 무엇 을 하는지도 분명해야 합니다.

서비스에 따라 분석 제공자를 포함한 제3자와의 정보 공유를 제한하기 위해 계정 설정을 변경할 수 있는 기능을 사용자에게 제공할 수도 있습니다. (분석 서비스도 이 기능을 제공할 수 있으므로 적절한 경우 활성화하는 것이 좋습니다.) 사용자에게 제공되는 제어는 눈에 띄게 표시되어야 하며 숨겨지지 않아야 합니다.

궁극적으로 사용자에게 분석 쿠키에 대한 명확한 정보를 제공하고 동의를 구하거나 정보를 공유합니다(구 쿠키 배너). 여기에는 이러한 쿠키가 왜 유용한지 사용자에게 보여주는 것이 포함될 수 있지만 사용자가 다른 옵션보다 한 옵션을 선택하도록 강요하지 않도록 해야 합니다.

특정 측면에서 이러한 지침 문서는 기존 ePrivacy Directive(및 현행 PECR 및 프랑스 법률)를 대체할 새로운 ePrivacy Regulation(dd. 4 October 2019)의 현재 초안보다 더 나아갑니다. 현재 초안에서는 운영자가 "오디언스 측정"(즉, 서비스 최적화를 위해 웹사이트를 통과하는 트래픽 분석)에 대한 동의 없이 사용자의 장치에 자사 또는 제3자 쿠키를 배치할 수 있도록 허용합니다.

여전히 의심스러운 경우 쿠키 사용을 정말 잘 설명하는 ICO의 다이어그램이 있습니다.

나에게 똑바로 줘

여기에서 발생할 수 있는 문제는 쿠키를 배치하는 회사가 자체 방식으로 법을 해석하려고 한다는 것입니다. 그러나 분석, A/B 테스트 및 개인화 소프트웨어를 만들더라도 바로 제공할 것입니다.

1. 영국(ICO) 및 프랑스(CNIL) 개인 정보 보호 당국은 2019년 7월에 Convert Experiences, Optimizely, AB Tasty, VWO, Adobe Target, PageSense, OmniConvert, Google Optimize와 같은 분석, A/B 테스트 및 개인화 소프트웨어에 대한 지침을 변경했습니다. 나머지는 모두 시민을 위해 자사 및 타사 쿠키를 배치하는 데 동의를 사용하여 옵트인해야 합니다.
2. 프랑스(CNIL)는 A/B 테스트 및 기본 분석을 쿠키 동의에서 제외하는 지침으로 Github 페이지를 변경했습니다.
3. 독일과 스페인은 영국(ICO) 또는 프랑스(CNIL)를 따르고 있으며 곧 지침에 대한 업데이트를 기대할 수 있습니다.
4. 유럽 ​​연합 사법 재판소('CJEU')는 2019년 10월 "Planet49" 판결에서 GDPR 표준 동의가 ePrivacy Directive에 따른 쿠키 설정에도 적용된다고 판결했습니다. 이 판결은 영국과 프랑스의 지침이 모든 국가의 개인 정보 보호 당국에 의해 채택될 필요가 있음을 재확인합니다.
5. ePrivacy Directive를 대체할 ePrivacy Regulations라는 초안의 새로운 법률에는 A/B 테스트, 개인화 및 분석에 대한 쿠키 예외가 있습니다.
6. 현재로서는 ICO나 CNIL이 자사 분석, A/B 테스트 및 개인화를 사용하는 회사를 적극적으로 뒤쫓을 것 같지 않습니다. 전자 개인 정보 보호 규정은 2021년(중)에 발효될 예정이며 2020년 7월까지 유예 기간이 있습니다. 이러한 조직의 작업 범위는 매우 광범위합니다.
7. 2019년 7월 이후 유럽에서 일어난 일에 대한 공정한 표현이라고 생각하는 것을 바탕으로 자신의 결론을 도출하십시오. 법률 고문과 상담하십시오. 동의 관리 플랫폼을 판매하는 도구(그들은 모든 동의를 원함)를 기반으로 조언을 하지 마십시오. 그러나 분석 제공업체, A/B 테스트 및 개인화 도구, 즉 우리와 그들도 마찬가지입니다.

이 기사가 현재 유럽에서 일어나고 있는 변화에 대해 조명하는 데 도움이 되었기를 바랍니다.

그것이 우리의 비즈니스 모델에 상처를 주지만, 우리는 항상 진실을 공유하기 위해 노력합니다.

우리는 최적화 도구를 사용하여 최상의 사용자 경험을 제공하여 사용자가 최고의 제품 페이지, 가장 혼란스러운 메뉴, 완료하는 데 걸리는 시간을 절약할 수 있는 형식을 얻을 수 있기를 바랍니다.

우리는 웹사이트 최적화를 웹사이트 방문자와 소유자(유료 고객) 모두에게 최상의 이익을 주는 고귀한 기술로 봅니다. 우리는 고객이 개인 정보를 진지하게 생각하고 우리 도구의 모든 계층에 경고 및 개인 정보 보호 기능을 구축하기를 바랍니다. 규정 준수 및 개인 정보 보호를 위해 집계된 데이터만 저장하고 개인 데이터는 저장하지 않습니다.

우리는 실제로 걱정합니다. 현재 ICO와 끊임없이 변화하는 CNIL 지침 및 ePrivacy Regulations로 인해 어려운 상황에 처할 수 있지만 완전한 투명성으로 개인 정보 보호에 관심을 갖고 소비자가 신뢰할 수 있는 브랜드가 선택하는 회사가 될 것임을 알고 있습니다. .

이를 위해 웹사이트 방문자가 어떤 개인화 및 A/B 테스트에 참여하고 있는지 보여주는 작은 팝업을 시작했습니다.

고객이 Convert Experience A/B 테스트 및 개인화 도구 내에서 글로벌 Javascript에 추가할 수 있는 선택적 코드입니다(작동 방식은 아래 이미지 참조).

개인 정보 보호, 우리가 작업 중인 CNAME 솔루션 또는 새로운 법적 개발에 대해 논의하려면 LinkedIn에서 저에게 연락해 주세요.