Guillaume Marcerou, Criteo Global Privacy Director
크리테오는 개인정보 및 데이터 보호에 대한 일관성, 확실성 및 규제준수가 기업과 소비자를 위한 윈윈 전략이라고 믿고 있습니다. 유럽 일반 개인정보보호법(GDPR)이 오는 2018년 5월 25일에 시행되면, 유럽 연합(EU) 전역에서 데이터 컴플라이언스가 능률적으로 개선될 것입니다. 크리테오는 GDPR로 인한 도전과제들을 해결할 만반의 준비를 갖추고 있습니다. 새로운 규제가 크리테오, 고객 및 파트너의 역량에 미치는 영향은 제한적일 것이라고 생각합니다.
(상세 정보: 크리테오는 GDPR 준수를 위한 만반의 준비가 되었습니다.)
데이터와 관련된 EU의 법률 체제를 현대화하고 개인의 권리를 강화하며 EU 규제의 명확성과 일관성을 향상시키고자 하는 것이 GDPR의 목표입니다.
고객, 파트너 및 투자자들은 GDPR 규제가 미치는 영향, 특히 여러 유형의 데이터 수집과 관련하여 많은 궁금한 점이 있을 줄 압니다.
GDPR은 민감 개인 데이터와 비민감 개인 데이터를 명확히 구분합니다. 크리테오는 쿠키의 형태로 비민감 개인 데이터만 수집하며, 이러한 구분에 대해 잘 인지하고 있습니다.
GDPR 하에서 모든 데이터가 어떻게 구분되는지, 그리고 기업들이 데이터 관리에서 알아 두어야 하는 공통적인 사항들에는 어떤 것이 있는지 살펴보겠습니다.
먼저, GDPR은 “개인 데이터”를 어떻게 정의하고 있을까요?
이 새로운 규정이 “개인 데이터”를 어떻게 바라보는지부터 시작하겠습니다. 다음 사항이 포함된 데이터는 개인 데이터입니다.
- 사람의 이름, 성, 전화번호 등 직접적으로 식별이 가능한 정보
- 직접적으로 이용자를 식별할 수는 없지만 개인의 행동 패턴을 파악해낼 수 있게 해주는 익명 정보 또는 간접적 식별정보(예: 적시에 올바른 사용자에게 올바른 광고를 제공할 수 있는 정보)
GDPR은 직접적인 식별정보와 익명 정보를 명확하게 구분합니다. GDPR은 익명 정보의 사용을 장려하며, “개인 데이터의 익명화는 데이터 주체의 위험을 감소하고 정보 컨트롤러와 정보 프로세서가 데이터 보호 의무를 충족하도록 할 수 있다”고 명시하고 있습니다.[1]. 크리테오는 브라우징(browsing events)과 관련된 익명화된 기술적 식별자만 수집합니다.
GDPR은 무엇을 “민감 정보”로 정의할까요?
다음 사항을 노출하는 모든 데이터는 민감 정보에 해당됩니다.
- 인종 또는 민족 정보
- 정치적 의견
- 종교 또는 철학적 믿음
- 노동 조합 가입 여부
- 유전 정보
- 자연인의 고유한 식별을 목적으로 하는 생체 정보
- 건강 또는 자연인의 성 생활 및/또는 성적 취향과 관련된 정보
본질적으로, 크리테오의 고객 및 제휴 매체사가 수집 및 처리하는 데이터는 GDPR이 정의하는 민감 정보에 해당되지 않습니다. 그리고 크리테오 측에서는 브라우징과 관련된 익명화된 기술적 식별자만 수집합니다.
크리테오는 어떤 유형의 개인적, 비민감 정보를 수집할까요?
크리테오와 협력하는 고객 및 파트너들은 사용자에 대한 직접적인 식별이 가능하지 않은 익명화 데이터에만 액세스합니다. 그러한 익명화 데이터는 다음과 같습니다.
- 쿠키 ID
- 해시된 이메일 주소
- 모바일 광고 ID
- 개개인을 직접적으로 식별하지 않고 개인의 행동 패턴을 구분해 낼 수 있도록 해주는 기타 모든 기술적 식별자
합법적 이익 및 명백한 동의
유럽에서의 데이터 수집 및 데이터 처리를 위한 6가지 법적 근거 중에서, 마케팅이나 디지털 마케팅 업계 또는 마케팅 목적으로 데이터를 수집하는 이들에게는 두 가지 법적 근거가 적용될 수 있습니다. (1) 개인의 명백한 동의(unambiguous consent) (2) 데이터 컨트롤러의 합법적 이익(legitimate interest)
먼저, 데이터 컨트롤러의 합법적 이익의 경우, 고객과 제휴매체사는 직접 마케팅(direct marketing) 목적을 포함시킬 수 있습니다. 두 번째로, 사용자의 명백한 동의의 경우, 사용자의 지속적인 웹사이트 탐색이 비민감 개인 데이터의 수집 및 처리에 대한 법적 근거가 될 수 있습니다. 보다 자세한 내용은 아래 링크를 클릭하십시오.
(상세 정보: GDPR 컴플라이언스: 쿠키는 개인 데이터입니다 – 수집 및 이용의 법적 근거)
크리테오의 엄격한 개인정보 보호지침은 모든 GDPR 요건을 즉각적으로 충족하는 견고한 토대를 제공합니다. 사용자들에게 포괄적인 정보를 제공하는 것은 고객 및 파트너들의 책임이긴 하지만, 크리테오의 서비스는 네트워크 전반에서 책임을 공유합니다. 데이터 보호 및 사용자 개인정보 부문에서 크리테오가 오랫동안 축적해온 전문지식은 그러한 사실을 입증해줍니다. 적절한 정보와 통제 도구를 이용해, 크리테오는 고객과 파트너들이 GDPR의 도전과제들을 효과적으로 해결할 수 있도록 지원합니다.
[1]일반 데이터 보호 규정 – 설명조항 (28)