오스트리아 데이터 보호 당국(Austrian Data Protection Authority)에 의해 Google Analytics 사용이 불법화됨

오스트리아 데이터 보호국(Datenschutzbehorde)은 오스트리아 웹사이트 운영자인 netdoctor.at에서 Google Analytics를 사용하는 것에 반대하는 획기적인 사건에서 비영리 NOYB의 손을 들어주었습니다.

아직 구속력은 없지만 이 결정은 데이터에 굶주린 기술 회사가 사람들의 개인 정보를 처리할 책임을 지도록 하려는 유럽의 개인 정보 보호 옹호자들에게 힘을 실어줄 수 있습니다.

NOYB는 Max Schrems(Facebook의 데이터 전송 계약 사용에 성공적으로 이의를 제기한 사람)가 이끄는 유럽의 개인 정보 보호 권한을 전담하는 비영리 조직입니다.

이것은 CJEU의 Schrems II 판결(프라이버시 실드 무효화)에 대한 응답으로 제출된 NOYB의 101개 모델 불만 사항에 대한 첫 번째 결정입니다. 101개의 불만 사항은 유럽 기업이 계속해서 거대 기술 기업과 방문자 데이터를 공유하고 사용자에게 적절한 수준의 보호를 제공하지 않는다는 것을 암시합니다. 따라서 이 결정이 처음이기는 하지만 마지막이 아닐 가능성이 높습니다.

유럽 ​​데이터 보호 위원회(EDPB)는 상황을 조사하고 모든 유럽 데이터 보호 당국 간의 긴밀한 조정을 보장하기 위해 2021년에 태스크 포스를 설립했습니다.

결과적으로 다른 EU 회원국(예: 네덜란드 데이터 보호국(Autoriteit Persoonsgegevens))에서 DPA가 제출한 규제 조치가 가속화될 것으로 예상됩니다.

결정에는 무엇이 포함됩니까?

DPA는 다음과 같은 결정을 내렸습니다.

GDPR의 적용 가능성

특별 규정에 따라 지침 2002/58/EC(전자 개인 정보 보호 지침)(오스트리아에서 전기 통신 및 텔레미디어 데이터 보호법(TTDSG 2021)로 개명됨)의 해당 요구 사항이 GDPR(일반 데이터 보호 규정)보다 우선 적용됩니다.

반면에 e-프라이버시 지침에는 개인 데이터를 다른 국가로 전송하는 조항이 없으므로 이 경우 GDPR의 5장이 적용됩니다.

GA를 통해 전송되는 데이터는 개인 데이터입니다

오스트리아의 데이터 보호 당국은 전송된 엄청난 양의 데이터를 결합하여 전송된 데이터를 다시 자연인과 연관시키는 것이 이론적으로 가능하다고 믿습니다. 결과적으로 개인에 대한 링크가 설정되고(GDPR 제4(1)조 참조) GDPR이 적용됩니다.

이와 관련하여 DPA는 Google Analytics의 익명화 기능 이 IP 주소 및 기타 식별자를 GDPR 범위 외부로 이동하는 데 충분하지 않다고 생각한다는 점에 주목할 가치가 있습니다. 전송된 EU 데이터의 방대한 양으로 인해 IP 주소는 GDPR에 따른 데이터의 개인 데이터 분류와 관련이 없습니다.

웹사이트 운영자는 데이터 컨트롤러입니다

오스트리아 DPA는 데이터 처리 활동이 Google로 성공적으로 전송될 때까지만 조사했다는 점은 주목할 가치가 있습니다. 당국은 Google의 후속 데이터 처리에 대해 언급하지 않습니다.

미국으로의 데이터 전송은 GDPR을 준수하지 않음

EU-미국 프라이버시 실드는 2020년 7월 16일자 판결(Schrems II)에서 유럽 사법 재판소에 의해 불법으로 판명되었습니다.

결과적으로 GDPR 45조는 더 이상 데이터 전송 수단으로 적용되지 않았고 DPA는 "특정 사례에 대한 왜곡"이 존재한다고 믿지 않았습니다(특히 해당 사례에서 동의를 얻지 못했기 때문에).

GDPR 46조에 정의된 "적절한 보호"는 최종 법적 이전 메커니즘입니다. 표준 계약 조항(SCC)은 GDPR 46(2)(c)조에 따라 적절한 보호 수단으로 사용될 수 있습니다. 웹사이트 소유자는 당면한 문제에서 Google과 "이전" SCC(버전 2010/87/EU)에 서명했습니다 . (2021년 6월에 개정된 SCC 세트가 출시되었습니다.)

그러나 Google Analytics를 사용할 때 데이터 전송은 완료된 SCC에만 의존할 수 없습니다. 이는 Google이 미국 감시법(FISA 702)의 적용을 받으며 계약상의 의무만으로는 "제3국"의 당국을 구속하기에 충분하지 않기 때문입니다. 미국의 법적 보호 부족을 보완하기 위해 추가 기술 및 조직적 조치("보충 조치")가 채택된 ​​경우에만 데이터 전송이 합법입니다. DPA는 Google이 결론에서 "보완 조치"에 대한 적절한 증거를 제공하지 않았다고 결론지었습니다.

이 특정한 경우에 무엇이 잘못되었습니까?

위의 분석에서 이 특정한 경우에 당시(08/14/2020)에 발생한 Google Analytics 통합에 결함이 있음이 분명합니다.

• Google Analytics의 사용은 오래된 SCC만을 기반으로 했습니다.
• 데이터 처리 동의를 얻지 못했습니다.
• IP 주소 익명화가 올바르게 활성화되지 않았습니다.

구글은 어떻게 대응했나요?

소송 절차에서 Google의 변호와 이후의 초기 반응은 그다지 안심할 수 없습니다.

Google은 서비스가 제대로 작동하기 위해 필요한 것이기 때문에 Google Analytics를 사용할 때 개인 데이터가 실제로 미국과 교환되고 있음을 확인합니다. 더 일반적으로 Google은 서비스를 개인 정보 보호 친화적 인 서비스로 만들기 위해 많은 노력을 기울이고 있다고 말합니다.

이 경우 구체적으로 구글은 슈렘스 II 판단에 따라 필요한 '추가 보증'을 제공한다고 밝혔다. 그러나 DSB는 이러한 "추가 보증"이 실제로는 많지 않다고 판단했습니다.

이에 대해 Google은 사용자가 자신의 계정에서 "타사 데이터 공유"를 비활성화하도록 선택할 수 있다고 말하는 것 외에는 할 수 없습니다. 그러나 제3자 데이터 공유는 여기에서 주요 법적 문제가 아니며 문제는 미국 정부가 민감한 데이터에 잠재적으로 액세스할 수 있다는 것입니다(물론 어디에서도 끌 수 없음).

즉, 구글은 당분간 답이 없다. 좋은 분석 도구는 전 세계적으로 작동해야 한다는 Google의 말이 옳습니다. 또한 미국 정부가 분석 데이터에 액세스할 수 있는 가능성이 유럽 웹사이트의 99%에 실제로 개인 정보 보호 위협이 되는지 진지하게 의문을 제기할 수도 있습니다.

이 결정이 당신에게 의미하는 바는 무엇입니까?

이 사건에서 한 가지 교훈이 있다면 이러한 법원 판결을 무시하고 Google Analytics를 계속 사용하는 것은 선택 사항이 아니라는 것입니다.

오스트리아에서 웹사이트를 운영하거나 오스트리아인에게 서비스를 제공하는 경우 사이트에서 즉시 Google Analytics를 제거해야 합니다.

또한 지역 데이터 보호 당국이 더 많은 기업을 대상으로 하기 전에 다른 유럽 연합 회원국의 기업이 조치를 취하는 것이 좋습니다.

유럽 ​​회사로서 더 이상 민감한 사용자 데이터를 Google과 같은 회사에 위탁할 수 없습니다. Google은 유럽 개인정보 보호법을 의도적으로 무시하고 유럽 비즈니스 고객에게 막대한 벌금을 부과할 수 있습니다.

Google Analytics를 계속 사용하기 위한 가능한 해결 방법

그러나 유럽 전역의 웹사이트에서 갑자기 Google Analytics 사용이 중단되는 것은 아닙니다.

이 결정이 법적 구속력을 가질 때까지 아래의 가장 엄격한 조치에 따라 GDPR을 준수하는 방식으로 GA를 계속 사용할 수 있습니다.

1. Google의 DPA 수락: 표준 계약 조항의 현재 버전을 반영하기 위해 Google은 모든 Google 제품(DPA)에 대한 Google 데이터 처리 약관을 수정했습니다. Google Analytics 설정에서 새 Google DPA(최신 버전 2021년 9월)를 수락합니다.
2. 데이터 보호 규정에서 제3국으로의 데이터 전송 가능성에 대한 참조.
3. 사용자 동의 얻기: "이는 동의를 받은 경우에만 Google Analytics를 실행할 수 있고 이에 대한 정보를 저장하고 제공할 수 있음을 의미합니다. 동의 관리 플랫폼(CMP)은 이 프로세스를 더 쉽게 만듭니다.
4. Google Analytics의 올바른 구성을 사용하십시오. 모범 사례에 따라 설정하는 동안 Analytics에 개인 데이터가 유입되어서는 안 됩니다. 따라서 IP 익명화를 사용해야 합니다.
5. 서버 측 추적으로 전환: 서버 측 추적은 자사 쿠키의 수명을 늘리고 일부 추적 차단기를 우회하는 데 적합한 솔루션일 뿐만 아니라 데이터를 Google Analytics로 전송하기 전에 조정할 수 있는 옵션도 있습니다. 구체적으로 말하자면, 예를 들어 데이터가 Google Analytics로 전송되기 전에 사용자의 IP 주소가 완전히 제거됨을 의미합니다.

기타 개인정보 보호 준수 분석 도구로 전환

개인 정보가 전 세계적으로 소비자에게 점점 더 중요해지고 있기 때문에 모든 유럽 기업이 사용자의 개인 정보 보호를 우선시하는 서비스를 선택하는 것은 논리적인 단계입니다.

아래에서 GA를 완전히 제거하려는 경우를 대비하여 GA에 대한 가장 흥미로운 두 가지 대안을 제시합니다.

그럴듯한

Google Analytics에 대한 진정한 EU 대안을 찾고 있다면 Plausible을 사용해 보십시오. 그들은 에스토니아에 기반을 둔 독립적이고 부트스트랩된 프로젝트입니다. 그들의 팀은 에스토니아와 벨기에로 나뉩니다.

그들이 수집하는 모든 방문자 데이터는 독일에 있는 독일 회사(Hetzner)가 소유한 서버에 저장됩니다. 글로벌 CDN의 경우 슬로베니아 소유 공급자(Bunny)를 사용합니다.

이 사건에 대한 공식 성명에 대한 자세한 내용은 여기를 참조하세요.

마토모

Matomo는 또 다른 가치 있는 GA 대안입니다.

완전한 데이터 소유권은 물론 전체 분석 기능을 제공하도록 설계된 오픈 소스 웹 분석 플랫폼입니다.

Matomo는 Google Analytics의 오픈 소스 대안으로 시작되었습니다. 또한 Google Analytics와 유사하게 웹사이트 사용자 및 웹사이트와의 상호작용에 대한 중요한 보고서를 제공합니다. 흥미로운 부분은 데이터 소유권에 대부분의 관심을 집중하므로 데이터가 완전히 귀하의 데이터가 될 수 있고 사용자의 개인 정보가 보호된다는 것입니다.

이 사건에 대한 공식 성명에 대한 자세한 내용은 여기를 참조하세요.

전환 사용자가 이 결정의 영향을 받습니까?

개인 데이터는 Convert Experiences에서 사용되거나 저장되지 않습니다. 따라서 귀하의 경험과 방문자는 위의 경우에 영향을 받지 않습니다 . 또한 유럽 탄소 중립 서버를 사용하여 경험 및 변형 데이터를 저장합니다.

투명성을 위해 다음은 변환 경험의 데이터 사용에 대한 몇 가지 추가 참고 사항입니다.

• 기본적으로 켜짐
  • 세션 쿠키 ID(쿠키 및 서버 캐시에서 시간 초과 20분). 이것은 현재 GDPR/ePrivacy Directive 및 ePrivacy Regulations의 해석에서 성능 쿠키에 해당합니다.

• 기본적으로 꺼짐
  • 고객이 브라우저 간 타겟팅을 켜면 URL에 고유한 쿠키를 삽입하여 다른 도메인에서 선택합니다(GDPR에서 개인 데이터로 해석할 수 있음). 이 기능은 "기본적으로 개인 정보 보호" 정책의 일부로 기본적으로 꺼져 있습니다.
  • 세션 ID를 대체하기 위해 고객이 고유 방문자 ID를 제공하는 경우 이는 개인 데이터로 해석될 수 있습니다. 이 기능은 "기본적으로 개인 정보 보호" 정책의 일부로 기본적으로 꺼져 있습니다.
  • 지역 타겟팅이 사용되는 경우(기본적으로 켜져 있지 않음) 정확한 타겟팅을 위해 국가, 지역 및 도시를 CDN 또는 서버 캐시에 저장할 수 있습니다.

이 판결의 의미는 광범위하며 기업에서 데이터를 사용하는 방식에 대한 선례를 남길 수 있습니다.

이 결정은 오스트리아 기업 또는 그 기업과 거래하는 다른 기업의 Google Analytics 사용에만 영향을 미치지만 다른 국가에서도 이를 따를 수도 있습니다.

Google Analytics를 사용하는 경우 규정을 준수할 수 있도록 향후 규정을 주시하십시오. NOYB 및 기타 유럽의 개인정보 보호 옹호자들은 온라인 사용자의 권리를 위해 기꺼이 싸울 의향이 있음을 보여주었으므로 앞으로 더 유사한 결정을 기대할 수 있습니다.