2018년 5월 25일은 유럽 연합(EU) 시민들에게 중요한 날입니다. 유럽 일반 개인정보보호법 (General Data Protection Regulation, GDPR)이 시행되는 날이기 때문입니다. 1995년의 개인정보 보호지침(Data Protection Directive)을 대체하는 GDPR은 영국을 포함 모든 28개 회원국에 존재하는 다양한 데이터 프라이버시 법률들을 통합하게 됩니다. 크리테오는 개인정보 및 데이터 보호와 관련하여 일관성 및 확실성을 유지하는 것이 기업과 고객들을 위한 윈윈 전략이라고 믿습니다.
2005년 유럽에서 설립된 크리테오는 자사의 기술에 최고 수준의 데이터 프라이버시와 보안을 적용하고, 관련성 있는 맞춤형 광고를 통해 고객이 구매자의 기대를 충족할 수 있도록 지원하는 기업으로 잘 알려져 있습니다. 여러 EU 국가에 지사를 보유한 글로벌 기업으로서, 크리테오는 전세계에 걸쳐 국가 수준의 요구사항을 준수하는 일에 익숙합니다.
실제로, 이미 GDPR의 주요 항목을 준수하고 있으며, 모든 추가적 요건을 신속하게 시행할 수 있는 위치에 있습니다. 이뿐만 아니라, 새로운 규정의 적용을 받는 고객 및 파트너들과 협력하여, 이들이 순조롭게 전환할 수 있도록 지원을 제공하고 모범 사례를 공유하고 있습니다. 크리테오는 GDPR의 도전과제를 해결할 만반의 준비를 갖추고 있으며, 새로운 규제가 크리테오, 고객 및 파트너의 역량에 미치는 영향은 한정적일 것이라고 생각합니다.
GDPR: 혁명이 아닌 진화
이번 규정 업데이트는 EU 회원국들 전반의 데이터 보호 정책들과 부합되는 하나의 진화 단계라고 할 수 있습니다. 이는 각 EU 회원국의 현지 데이터 보호 당국(Data Protection Authorities, DPA)이 일관성 있게 적용 및 시행할 수 있는 규정을 제공합니다. GDPR은 다음과 같은 명확한 목표를 가집니다.
- 법률 체제 현대화 – 세계화 및 기술 혁신의 시대에 걸맞는 개인 데이터 보호
- 개인 권리 강화 – EU 내에서 개인 데이터의 자유로운 흐름을 보장할 수 있도록 관리 부담 감소
- 개인 데이터 보호에 명확성과 일관성 제공 – EU 전반에서 일관성 있게 적용하고 효과적으로 시행할 수 있는 규정 제공
GDPR은 EU 시민의 개인정보를 보호하며 유럽 연합에 속한 개인들로부터 개인 데이터를 수집 및 처리하는 모든 기업에 적용됩니다. 유럽 연합에서 설립되지 않은 기업에도 해당이 됩니다. 디지털 마케팅 업계에 해당되는 확실한 한가지는 GDPR이 식별된 또는 식별이 가능한 자연인에 관한 모든 정보에 적용된다는 사실입니다. 여기에는 쿠키 ID와 모바일 광고 ID등과 같은 기술적 식별자가 포함됩니다. 이 두 가지 식별자는 이제 개인 데이터의 정의에 명시적으로 포함이 되었습니다.
주목할 것은 프랑스를 포함, 많은 DPA들이 이 기술적 식별자를 이미 개인 데이터로 간주하고 있다는 점입니다. 크리테오에게 이는 새로운 요구사항이 아닙니다. 크리테오에는 규제를 준수하며 고객들에게 성과를 제공하는 방식이 이미 굳건하게 자리잡고 있기 때문입니다. GDPR은 유럽에서의 데이터 수집과 데이터 처리를 위해 6가지 법적 근거를 제공합니다. 크리테오와 고객들에게 이러한 근거가 어떻게 적용이 되는지 자세한 내용은 여기를 클릭하십시오.
명백한 동의는 옵트인(opt-in)이 아닙니다
GDPR은 명백한 동의(unambiguous consent)와 명시적 동의(explicit consent)를 확실하게 구분 짓고 있습니다. 명시적 동의는 서비스 이용자가 사전에 동의를 해야 한다는 의미입니다. 이는 인종, 종교, 성적 취향, 정치적 성향, 건강 상태 등의 민감 개인 데이터에만 해당됩니다. 중요한 것은 온라인 식별자(예: 쿠기)만 예외적으로 비민감 개인 데이터로 구분되어, 명시적인 동의(옵트인)이 필요하지 않습니다.
Ad Choices: 소비자 권리와 통제에 대한 중점
크리테오는 오래 전에 개인정보 보호에 대한 소비자의 기대를 충족하고 경험을 제어할 수 있는 역량을 소비자에게 부여하는 것과 관련성 있는 광고 경험을 제공하는 것 간에는 균형 유지가 필요하다는 사실을 인지했습니다. 소비자들은 타협이 존재한다는 사실을 이해합니다. 최근 크리테오와 IPSOS가 수행한 설문조사에 따르면, EU 인터넷 이용자의 90%는 행동 타겟팅에 대해 알고 있었고, 응답자의 75%는 자신들의 취향에 매치되는 광고가 제공될 것을 기대하는 것으로 나타났습니다.[1] 이들은 쿠키에 대해 잘 알고 있으며 콘텐츠를 지원하는 광고 중심 비즈니스 모델에서 쿠키가 어떤 역할을 수행하는지 이해하고 있었습니다.
크리테오가 2008년부터 소비자들이 한번의 클릭으로 자신들의 데이터가 정확히 어디에 사용되고, 개인정보가 어떻게 보호되는지 알 수 있도록 해주는 Ad Choices 프로그램을 이용하게 된 것도 이러한 이유 때문입니다. 소비자가 옵트아웃을 선택하여 광고를 허용하지 않으면, 크리테오는 즉시 추적과 리타케팅을 중단합니다. 크리테오는 브라우저로부터 모든 식별자를 제거하여 향후 소비자들을 타케팅할 수 없게 만듭니다. EU 데이터 보호 규정에 따라, 수집된 모든 소비자 수준 데이터는 13개월 동안만 보존됩니다. Ad Choices에 대한 크리테오의 헌신에 대한 자세한 내용은 여기를 클릭하십시오.
Privacy by Design: 베스트 프랙티스를 향한 전사적 헌신
크리테오는 오래전부터 소비자와 마케터들에게 업계 선도적인 개인정보 보호, 보안 및 안전성을 제공하기 위해 Privacy by Design을 실행하여 모든 노력을 기울이고 있습니다. 핵심 요소는 다음과 같습니다:
- GDPR이 요구하는 바 대로, 크리테오는 2013년부터 데이터 보호 책임자를 지정하고 개인정보 보호 전문가 팀을 유지해 왔습니다.
- 이 전문가들은 제품 및 R&D 사업부의 일부로, 데이터 보호의 영향 평가를 지속적으로 수행하여 제품 수명주기 전반에서 잠재적인 위험을 모니터링하고 리스크를 능동적으로 완화하는 일을 담당합니다.
- 데이터 보호팀은 또한 전사적으로 데이터 보호와 관련된 교육을 제공하고 윤리 강령을 시행하며 크리테오가 모범 사례와 서비스를 구축할 수 있도록 지원하고 있습니다.
- 크리테오는 정기적으로 내부 정책을 검토 및 문서화하고, 필요한 경우 기존 개인정보 처리방침을 수정하며, 파트너와 공급업체들도 이러한 정책을 준수하도록 합니다.
업계 최고의 보안 수준
GDPR이 요구하는 바 대로, 크리테오는 고객으로부터 소비자 데이터를 수집하는 경우 엄격한 보안 수준을 유지합니다. 크리테오는 GDPR이 모범 사례로 간주하는 해싱 처리와 같은 익명화 방식을 사용하며 개인 소비자에 대한 직접적인 식별이 가능한 어떠한 개인 정보도 고의적으로 저장하지 않습니다. 규제준수 및 성능 최적화를 위해, 크리테오는 EU 소비자 데이터를 물리적으로 가장 가까이에 위치한 유럽 데이터 센터 내에 저장합니다.
업계에서의 독보적인 위치: 표준 및 인증에 대한 투자
크리테오는 이미 다양한 인증을 보유하고 있습니다. 이러한 인증들은 해마다 다음과 같은 정부 및 표준 제정 기관에 의해 검토를 받습니다.
- 네트워크 광고 이니셔티브 표준 (Network Advertising Initiative Standards)
- IAB 유럽 (IAB Europe)
- 행동 기반 온라인 광고를 위한 디지털 광고 연합의 자율 규제 원칙 (Digital Advertising Alliance Self-Regulatory Principles for Online Behavioral Advertising)
- 유럽 디지털 광고 연합의 자율 규제 원칙 (European Digital Advertising Alliance’s Self-Regulatory Principles)
- 캐나다 디지털 광고 연합의 자율 규제 원칙 (Digital Advertising Alliance of Canada’s Self-Regulatory Principles)
- TrustArc 트러스티드 데이터 수집 인증 (TrustArc Trusted Data Collection Certification)
GDPR은 디지털 경제에서 신뢰를 함양해주고, 기업과 소비자들을 위해 투명성, 제어 및 확실성이 존재하는 환경을 마련해 줄 긍정적인 진보입니다. 크리테오는 지금까지 보다 엄격한 EU 표준을 준수해왔으며, 고객과 파트너들의 GDPR 준수 과정을 지원할 모든 준비가 되어 있습니다. GDPR 발효와 관련된 이슈와 모범 사례에 대한 글이 정기적으로 게재될 예정입니다.
계속 지켜봐 주십시오.
[1] Criteo-IPSOS Study, 2017