이 정책이 존재하는 이유는 무엇이며 어디에 적용되나요?
이 정책은 유럽에서 시행 중인 두 가지 개인 정보 보호법(개인 정보 보호법(GDPR) 및 온라인 개인 정보 보호 지침)과 이에 상응하는 영국 법의 요구사항에 따른 것입니다. 이 정책은 EEA, 영국, 스위스에 거주하는 최종 사용자에게 적용됩니다. EEA는 EU 회원국과 노르웨이, 리히텐슈타인, 아이슬란드로 구성됩니다.
이 정책의 원본 버전은 2015년에 도입되었으며, 개인 정보 보호법(GDPR)이 발효된 2018년 5월 25일에 업데이트되었습니다. 이 정책은 스위스에 거주하는 사용자에게 적용되도록 2024년 7월 31일에 최종 업데이트됩니다.
EEA, 영국 또는 스위스에 소재한 게시자 또는 광고주인 경우 이 정책을 모든 사용자에게 적용해야 하나요?
Google의 EU 사용자 동의 정책은 EEA, 영국 또는 스위스에 거주하는 최종 사용자에게만 적용됩니다.
Google에서는 어떻게 이 정책의 준수를 보장하나요?
2015년 정책 도입 후, Google은 규정 준수를 위해 광고 서비스를 사용하는 웹사이트와 앱을 정기적으로 감사하는 방식을 활용하고 있습니다. Google 검토자가 사용자 입장에서 웹사이트 또는 앱을 이용하면서 어떤 정보를 제공하고 어떤 동의를 얻는지 살펴봅니다.
Google의 우선순위는 항상 파트너와 협력하여 규정을 올바르게 준수하도록 지원하는 것입니다. 파트너가 정책을 따르지 않는다고 판단되면 가장 먼저 파트너에게 연락하여 문제에 관해 알린 후 파트너와 함께 규정 준수 목표를 달성하기 위해 노력할 것입니다.
2015년 이래로 웹사이트 및 앱이 필요한 부분을 변경할 수 있도록 충분한 시간을 제공하고 있지만, 파트너가 비협조적이거나 합당한 기간 내에 규정 준수를 위해 선의의 노력을 다하지 않는다면, 광고주의 경우 광고 개인 최적화(예: 리마케팅) 및 전환 측정 기능 등 잠재고객 관련 기능의 정지를 비롯한 조치가 관련 계정에 취해질 수 있으며, 게시자의 경우에는 제한적인 광고/프로그래매틱 방식의 제한적인 광고만 게재될 수 있습니다(프로그래매틱 방식의 제한적인 광고가 사용 설정된 경우).
웹사이트 및 앱에 대한 감사를 수행하는 것 외에도 EEA, 영국, 스위스에 거주하는 사용자를 대상으로 광고를 게재하는 경우 게시자는 이 정책을 준수할 수 있도록 인증된 CMP를 도입해야 합니다. Google은 인증 CMP를 도입한 게시자 파트너 사이트와 앱을 계속 감사할 예정입니다.
EEA 트래픽이 있는 광고주의 경우, EEA 사용자가 웹사이트 또는 앱을 이용하고 있으며 광고주가 Google 태그 또는 SDK를 사용해 사용자 행동을 측정하고/하거나 잠재고객 기능/광고 개인 최적화 기능을 활용하고 있다면 최종 사용자 동의 여부를 Google에 전달해야 합니다(예: 동의 모드 또는 TCF를 통해). Google 태그를 로드하는데 최신 버전의 동의 모드를 구현하지 않았다면 Google CMP Partner Program의 CMP를 사용하는 것이 좋습니다. 사용 가능한 모든 CMP가 이 목록에 포함되어 있지는 않으며, Google은 광고주에게 Partner Program의 CMP를 사용하도록 요구하지 않습니다.
최종 사용자에게 공개해야 할 내용은 무엇인가요?
Google의 정책에 따르면 Google 제품 사용에 대해 결과적으로 최종 사용자의 개인 정보를 수신하는 각 당사자가 누구인지를 명시해야 합니다. 또한 최종 사용자의 개인 정보가 어떻게 사용되는지에 관한 정보를 눈에 잘 띄고 쉽게 접근 가능한 곳에 표시해야 합니다. Google은 Google의 정보 사용에 관한 정보를 게시했습니다. Google의 데이터 사용과 관련된 공개 의무를 준수하려면 게시자와 광고주는 해당 페이지로 연결되는 링크를 제공해야 합니다. 또한 Google은 Google 제품과 통합되는 광고 기술 제공업체도 자체적인 개인 정보 사용에 관한 정보를 제공하도록 요구하고 있습니다.
동의 메커니즘 구현 시 흔히 발생하는 실수를 방지하기 위한 체크리스트
다음 내용은 예시일 뿐이며 전체 목록이 아닙니다. 구현 방식이 Google 정책의 모든 요구사항을 충족하는지 항상 신중하게 살펴보시기 바랍니다.
- 동의 메커니즘/배너를 구현했나요? 게시자 파트너의 경우, 동의 메커니즘/배너가 Google의 인증을 받았나요?
- 사용자에게 웹사이트/앱에서 개인 정보가 어떻게 사용될지 설명했나요? 예를 들어 개인 정보가 광고 개인 최적화에 사용되며, 쿠키/모바일 광고 식별자는 개인 맞춤 광고 및 개인 맞춤이 아닌 광고에 사용될 수 있다는 사실을 사용자가 알고 있나요?
- 모든 EEA 국가, 영국, 스위스의 사용자가 웹사이트/앱에 액세스했을 때 동의 메커니즘/배너가 표시되는지 확인했나요?
- '확인' 또는 '동의' 버튼을 클릭하는 등 적극적으로 동의 여부를 표현하는 옵션을 사용자에게 제공했나요?
- 웹사이트/앱에서 수집한 사용자 데이터에 어떤 제3자(Google 포함)가 액세스할 수 있는지 공개했나요?
- 사용자가 사이트 또는 앱에서 동의 의사를 표시할 때 Google에서 사용자의 개인 정보를 어떻게 사용하는지 안내하고 Google의 비즈니스 데이터 책임 사이트로 연결되는 링크도 포함했나요? 다른 제3자가 사용자의 개인 정보를 어떻게 사용하는지도 안내했나요?
- 광고주인 경우, EEA에 거주하는 사용자의 최종 사용자 환경설정을 반영하는 확인된 동의 신호를 Google에 전송하고 있나요? 최신 버전의 동의 모드 또는 TCF를 적절하게 구현했나요?
- 동의가 필요한 범위 내에서 쿠키가 동의 없이 설정되어 있지는 않은지 확인했나요? 개인 맞춤이 아닌 광고도 웹사이트에 게재되어 작동하려면 쿠키가 필요하다는 점에 유의하시기 바랍니다.
- 게시자인 경우 TCF 요구사항에 따라 Google 인증 CMP를 도입했나요? 추가 동의를 활용하는 범위까지 올바르게 구현했나요?
제한적인 광고란 무엇인가요?
게시자가 제한적인 광고로만 노출수에서 수익을 창출하는 경우, Google은 광고 개인 최적화를 위한 개인 정보의 수집, 공유, 사용을 중지할 뿐 아니라 최대 게재빈도 설정과 같이 로컬 식별자를 사용해야 하는 기능도 사용 중지합니다. 프로그래매틱 방식의 제한적인 광고가 사용 설정되어 있는 경우에만 사기와 악용을 방지할 수 있도록 무효 트래픽 감지 전용 쿠키 및 로컬 스토리지가 사용됩니다. 사용자의 브라우저 및 모바일 운영체제가 정상적으로 작동되는 과정에서 광고 게재 기술(Google의 JavaScript 태그 및/또는 SDK 코드)은 계속 캐시되거나 설치됩니다. 관할권 내의 현지 법규에 따른 필수 통지와 동의 등 규정 준수 의무에 관해 스스로 평가해야 합니다. 이 기능에 관한 자세한 내용은 Ad Manager, AdMob 및 애드센스 고객센터를 참고하세요.
동의 철회와 관련하여 최종 사용자에게 제공해야 할 지침은 무엇인가요?
정책에 따라 동의를 철회하는 방법을 최종 사용자에게 알려야 합니다. 사용자가 동의를 철회하는 과정은 처음 동의하는 과정만큼 간단해야 합니다. 적어도 최종 사용자가 동의 환경설정을 수정하기 위해 웹사이트 또는 앱의 광고 관리 도구에 간편하게 액세스할 수 있도록 충분한 정보를 제공해야 합니다.
이 정책이 적용되는 다른 Google 제품에는 무엇이 있나요?
광고 및 측정 제품 외에 Google Maps Platform 서비스 약관, YouTube API 서비스의 서비스 약관, reCAPTCHA 서비스 약관과 같은 다른 Google 제품과 Blogger에서도 이 정책을 참조합니다.
이 정책에 따라 '개인 맞춤'으로 간주되는 광고 유형은 무엇인가요?
개인 최적화 광고는 사용자와 광고주/게시자 모두의 경험을 개선해 줍니다(예: 광고 관련성 개선). 광고가 광고 게재를 결정하거나 광고 게재에 영향을 미치는 개인 정보를 기반으로 하는 경우 Google은 이러한 광고를 개인 맞춤 광고로 간주합니다. 자세한 내용은 여기에서 확인하세요.
감사 결과, 제 동의 배너가 규정 위반으로 표시되었습니다. 가장 적절한 해결 방법은 무엇인가요?
Google에서는 이러한 정책 위반을 파악하는 경우 파트너가 다시 규정을 준수하도록 지원하는 것을 우선으로 합니다. Google 감사팀은 문제에 관한 세부정보를 제공할 뿐만 아니라 웹사이트/앱이 정책을 준수하도록 하는 데 필요한 단계에 관한 정보를 안내합니다.
사용자의 선택을 존중하도록 배너를 적절하게 구성하려면 광고주는 서드 파티 CMP와 협력하거나 적절한 동의 설정 관리 문서를 검토하고, 서드 파티 CMP가 동의 모드와 적절하게 통합되었는지 확인하는 것이 좋습니다.
게시자는 비준수 문제를 해결하기 위해 Google 인증 CMP를 사용하고 이 문제 해결 도구를 확인하는 것이 좋습니다.
정책에서 광고 측정과 같이 맞춤설정이 아닌 목적으로 쿠키를 사용하는 경우에도 쿠키 사용에 대한 동의를 요구하는 이유는 무엇인가요?
쿠키 또는 모바일 식별자는 Google에서 게재하는 개인 맞춤 광고 및 개인 맞춤이 아닌 광고와 관련된 최대 게재빈도 설정 및 광고 데이터 집계를 지원하는 데 사용됩니다. Google 정책에 따르면 쿠키 또는 모바일 식별자에 대한 동의가 법적으로 요구되는 국가에서는 쿠키 또는 모바일 식별자 사용에 관한 사용자의 동의를 얻어야 합니다.
웹사이트/앱에서 Google 제품을 사용하는 광고주인 경우 어떻게 해야 하나요?
페이지/앱에서 Google Ads 또는 Google Marketing Platform과 같은 광고 제품의 태그를 사용하는 경우, Google의 EU 사용자 동의 정책을 준수하기 위해 EEA, 영국 및 스위스 사용자의 동의를 얻어야 합니다. Google 정책에 따르면 법적으로 요구되는 경우 쿠키, 모바일 식별자 또는 기타 로컬 스토리지를 사용할 때 그리고 개인 맞춤 광고용으로 개인 정보를 사용할 때 동의를 얻어야 합니다. 예를 들어 페이지/앱에 리마케팅 태그가 있는 경우가 여기에 해당합니다.
동의 메커니즘/배너에는 어떤 내용을 담아야 하나요?
위의 체크리스트는 이 정책을 준수하는 데 도움이 되므로 이 체크리스트를 검토하여 동의 메커니즘/배너를 구현할 때 자주 발생하는 실수를 방지하는 것이 좋습니다.
동의 알림의 내용은 데이터를 사용하는 목적(예: 자체적인 목적 또는 협력 관계에 있는 다른 서비스를 지원하려는 목적으로 데이터 사용)에 따라 달라지므로, Google 정책에는 사용자에게 어떤 옵션을 제공해야 하는지 규정되어 있지 않습니다.
Google에서 앱에 요구하는 특정 양식의 동의 메시지가 있나요?
게시자인 경우 요구됩니다. EEA, 영국, 스위스에 거주하는 사용자를 대상으로 개인 맞춤 광고를 게재할 경우 Google의 게시자는 Google 인증 CMP를 도입해야 합니다.
Google의 광고주 파트너의 경우, EEA 트래픽과 관련하여 광고주는 동의 모드 또는 TCF를 통해 최종 사용자 선호를 반영하는 신호를 Google에 보내야 합니다. CMP Partner Program은 동의 배너를 구축하고 구성하는 광고주를 지원하기 위해 마련되었습니다. 참고로, 사용 가능한 모든 CMP가 이 목록에 포함되어 있지는 않으며, Google은 광고주에게 Partner Program의 CMP를 사용하도록 요구하지 않습니다.
파트너는 동의 관리 플랫폼(CMP)을 어떻게 선정해야 하나요?
CMP Partner Program은 광고주 파트너를 대상으로 광고주의 동의 배너 구축 및 구성을 지원하기 위해 만들어졌습니다. 참고: 사용 가능한 모든 CMP가 이 목록에 포함되어 있지는 않습니다. CMP 구현 및 사용자에게 표시되는 구체적인 동의 메시지에 따라 다르므로, 이러한 CMP 중 하나를 도입한다고 해서 Google EU 사용자 동의 정책 준수를 보장하지는 않습니다(이와 관련된 보다 자세한 가이드라인은 '동의 메커니즘 구현 시 흔히 발생하는 실수를 방지하기 위한 파트너용 체크리스트' 위의 섹션을 참고하세요).
게시자 파트너의 경우 EEA, 영국, 스위스에 거주하는 사용자를 대상으로 개인 맞춤 광고를 게재할 때 게시자가 Google의 인증을 받고 IAB 유럽 투명성 및 동의 프레임워크(TCF)와 통합된 CMP를 도입해야 합니다.
최종 사용자의 개인 데이터를 수집하는 제3자로는 누가 있으며 이러한 제3자를 식별하려면 어떻게 해야 하나요?
Google 광고 시스템을 사용하는 여러 광고주 및 게시자는 제3자를 통해 광고를 게재하고, 웹사이트 및 앱에 게재된 광고 캠페인의 효과를 측정합니다. 이 정책에 따라 귀하는 Google 외에도 귀하가 Google 제품을 사용한 결과 최종 사용자의 개인 정보를 수집, 수신, 사용할 수 있게 된 각 당사자를 명확히 파악해야 합니다.
유럽에 기반을 두고 운영하는 웹사이트/앱이 아니어도 이 정책이 적용되나요?
예, 이 정책이 적용되는 Google 제품을 사용한다면 정책이 적용됩니다. 이 정책은 EEA, 영국 또는 스위스에 거주하는 최종 사용자에게만 적용됩니다.
EEA, 영국 또는 스위스를 전혀 타겟팅하지 않는 캠페인의 게시자입니다. 그래도 동의를 얻어야 하나요?
이 정책은 EEA, 영국, 스위스에 거주하는 최종 사용자에게 적용됩니다. 해당 국가의 사용자를 대상으로 하는 웹사이트/앱에서 Google 서비스를 삭제했다면 정책이 적용되지 않습니다.
저희 조직에서는 이 법과 관련하여 다른 견해를 가지고 있으며, 정보 공개 및 동의에 다른 방식으로 접근하고자 합니다. 그렇게 할 수도 있나요?
Google은 유럽에서 제공되는 모든 서비스에서 영국 법규로 전환된 부분을 포함하여 GDPR을 준수하기 위해 최선을 다하고 있습니다. Google의 EU 사용자 동의 정책에는 이러한 노력과 유럽 데이터 보호 당국의 지침이 반영되어 있습니다. 법규에 관한 파트너의 해석이 다를 수는 있지만, 파트너는 본 정책의 기대치를 충족해야 합니다. 따라서 지속적으로 법규와 업계 관행을 분석하고, 이에 따라 권장사항 및 요구사항을 업데이트할 예정입니다.
광고 측정에 동의가 필요한 이유는 무엇인가요? 광고 측정은 적법한 이익이 아닌가요?
Google에서는 쿠키 및 다양한 광고 식별자를 사용하여 광고 측정을 지원합니다. 기존의 온라인 개인 정보 보호법에 따르면 현지 법규에서 이러한 동의를 요구하는 국가의 사용자를 대상으로 쿠키 또는 모바일 광고 식별자를 사용할 때 동의를 얻어야 합니다. 따라서 법적으로 요구되는 경우 Google 정책에서는 광고 개인 최적화 및 광고 측정에 대한 동의를 요구합니다.
Google 광고주 태그가 실행되기 전에 동의를 받아야 하나요, 아니면 실행된 후에 받아도 되나요?
Google의 광고주 태그가 웹페이지 또는 앱에서 실행되기 전에 개인 맞춤 광고, 쿠키 또는 기타 로컬 저장소의 사용(법적으로 요구되는 경우)에 관한 동의를 얻어야 합니다.
클릭 추적기를 사용하는 경우에는 어떻게 하나요?
광고주가 제3자 클릭 추적 기술을 사용하는 경우(즉, 광고를 클릭하면 사용자의 브라우저가 제3자 측정 공급업체를 거쳐 광고주의 방문 페이지로 연결됨) 관련 법을 준수해야 합니다. Google에서 게시자에게 제공하는 공급업체 관리 도구에서는 클릭 추적 기술이 지원되지 않습니다.
어떤 기록을 보관해야 하나요?
고객은 Google 정책에 따라 동의 기록을 보관해야 합니다. 이 기록에는 최소한 동의 메커니즘의 일부로 사용자에게 제시된 텍스트 및 옵션과 더불어 사용자의 적극적 동의를 확인한 날짜와 시간의 기록이 포함되어야 합니다.
IAB의 인증도 받은 인증 CMP를 사용하는데 게시자 CMP가 규정을 준수하지 않는 것으로 간주된 이유는 무엇인가요?
CMP 구현 및 사용자에게 제시되는 구체적인 동의 메시지에 따라 다르므로, 인증 CMP를 도입한다고 해서 Google EU 사용자 동의 정책 준수가 보장되지는 않습니다(이와 관련해 보다 자세한 지침은 위의 '동의 메커니즘 구현 시 흔히 발생하는 실수를 방지하기 위한 파트너용 체크리스트'를 참고하세요).
Google 파트너 CMP를 사용하는데 웹사이트/앱이 규정을 준수하지 않는다고 간주되는 이유는 무엇인가요?
광고주 파트너를 위해 CMP Partner Program은 광고주를 대상으로 웹/앱에서 동의 배너 구축 및 구성을 지원하고자 만들어졌으며, 동의 모드 통합을 통해 지원을 제공할 수 있습니다. CMP 구현 및 사용자에게 표시되는 구체적인 동의 메시지에 따라 다르므로, 이러한 CMP 중 하나를 사용한다고 해서 Google EU 사용자 동의 정책 준수가 보장되지는 않습니다(이와 관련된 보다 자세한 가이드라인은 '동의 메커니즘 구현 시 흔히 발생하는 실수를 방지하기 위한 파트너용 체크리스트' 위의 섹션을 참고하세요).
Privacy Sandbox API를 사용하는 제품을 이용하는 경우 이 정책을 따라야 하나요?
예. Privacy Sandbox API(Topics, Protected Audience, Attribution Reporting)를 사용하는 경우 광고 개인 최적화를 위해 개인 정보를 사용하고/사용하거나 로컬 저장소에 액세스하고 있을 수 있습니다. EU 사용자 동의 정책에서는 현재 법규에 따라 요구되는 범위 내에서 광고 개인 최적화 및 필수가 아닌 로컬 저장소 사용을 위해 동의를 받는 것과 동일한 방식으로 이러한 작업에 유효한 사용자 동의를 받도록 요구하고 있습니다. 개인 정보 보호 샌드박스에 관해 자세히 알아보세요.
광고주는 TCF 또는 동의 모드를 통해 영국 및 스위스에 거주하는 사용자에 대해 유효한 동의 신호를 전송해야 하나요?
아니요. 광고주가 동의 모드 또는 TCF를 통해 영국 또는 스위스 트래픽에 대해 확인된 동의 신호를 Google에 전송할 필요는 없습니다. 참고로, 확인된 동의 신호를 전송해야 하는 요구사항은 유럽 경제 지역(EEA)에 거주하는 최종 사용자에게서 트래픽이 발생하는 광고주에게는 적용되지 않습니다. Google CMP 파트너를 통해 구현과 관련된 안내를 받는 것이 좋습니다. 참고로, 사용 가능한 모든 CMP가 이 목록에 포함되어 있지는 않으며, Google은 광고주에게 Partner Program의 CMP를 사용하도록 요구하지 않습니다.
정책 업데이트
Google의 기존 EU 사용자 동의 정책은 2018년 5월 25일에 업데이트되었습니다. 변화하는 영국과 유럽연합 간의 관계를 반영하기 위해 2019년 10월 31일에 일부 사항이 약간 변경되었습니다.
2024년 7월에 스위스를 포함하도록 EU 사용자 동의 정책이 업데이트 및 확대되었습니다.
지금으로서는 더 이상의 정책 변경이 예상되지 않지만, 위에 명시된 것과 같이 Google에서는 지속적으로 법과 업계 관행을 분석하고 이에 따라 권장사항 및 요구사항을 업데이트할 예정입니다.