캘리포니아 프라이버시 체계 이해하기

캘리포니아는 소비자 프라이버시 입법에서 미국을 선도해 왔으며, 그 법률은 전 세계 웹사이트에 영향을 미칩니다. 2023년 1월부터 시행된 California Privacy Rights Act(CPRA)에 의해 크게 개정된 California Consumer Privacy Act(CCPA)는, 사업장이 어디에 있든 상관없이 캘리포니아 거주자의 개인정보를 수집하는 모든 비즈니스에 의무를 부과합니다.

웹사이트 운영자에게 실질적으로 중요한 부분은 쿠키, 추적 기술, 그리고 사용자 데이터가 제3자와 어떻게 공유되는지입니다. 캘리포니아 모델은 유럽의 GDPR과 근본적으로 다르지만, 여전히 동의 메커니즘과 이용자 권리에 대한 세심한 주의가 필요합니다.

CCPA/CPRA: 누가 적용 대상인가?

이 법은 다음 기준 중 하나라도 충족하는 영리 목적의 비즈니스에 적용됩니다.

• 연간 총매출이 2,500만 달러를 초과하는 경우.
• 캘리포니아 거주자, 가구 또는 기기 10만 개 이상의 개인정보를 매년 구매, 판매 또는 공유하는 경우.
• 캘리포니아 거주자의 개인정보를 판매 또는 공유하여 연간 매출의 50% 이상을 얻는 경우.

두 번째 기준은 광고가 있는 웹사이트에 특히 중요합니다. 사이트가 타깃 광고를 위해 제3자 쿠키를 사용하고 캘리포니아에서 상당한 트래픽을 받는다면, 그 쿠키만으로도 연간 10만 명이 훨씬 넘는 캘리포니아 이용자의 데이터를 처리하고 있을 수 있습니다.

옵트아웃 vs 옵트인: GDPR과의 근본적 차이

웹사이트 운영자가 반드시 이해해야 하는 핵심 차이점입니다. GDPR에서는 기본이 옵트인입니다. 사용자가 적극적으로 동의하기 전까지는 비필수 쿠키를 설정할 수 없습니다. 반면 CCPA/CPRA에서는 기본이 옵트아웃입니다. 사용자가 중단을 요구하기 전까지는 (쿠키를 통한 것을 포함해) 개인정보를 처리할 수 있습니다.

이 때문에 캘리포니아 방문자를 위한 동의 경험은 근본적으로 다르게 보��니다.

• GDPR 방식: 모든 비필수 쿠키를 차단합니다. 배너를 표시합니다. 명시적 동의를 기다립니다. 그 후에만 쿠키를 설정합니다.
• CCPA/CPRA 방식: 기본적으로 쿠키를 설정할 수 있습니다. 눈에 잘 띄는 "Do Not Sell or Share My Personal Information" 링크를 제공합니다. 사용자가 이 권리를 행사하면, 그때부터 제3자와의 데이터 공유를 중단합니다.

다만 중요한 예외가 있습니다. 16세 미만 미성년자의 경우 CCPA/CPRA는 옵트인 모델로 전환됩니다. 이들의 개인정보를 판매하거나 공유하기 전에 명시적 동의를 받아야 합니다. 13세 미만 아동의 경우 부모 또는 보호자가 동의를 제공해야 합니다.

"Do Not Sell or Share" 요구사항

CPRA는 원래 CCPA의 "Do Not Sell" 권리를 "sharing"까지 확장했습니다. 이는 특히 제3자 광고 쿠키를 통한 데이터 교환을 겨냥합니다. 사용자가 사이트를 방문했을 때 쿠키가 그들의 브라우징 데이터를 광고 네트워크로 전송한다면, 직접적인 금전 거래가 없더라도 CPRA상 sharing에 해당합니다.

이에 따른 의무는 다음과 같���니다.

• 홈페이지와 프라이버시 정책에 "Do Not Sell or Share My Personal Information"이라는 제목의 명확한 링크를 제공해야 합니다.
• 사용자가 계정을 만들 필요 없이 쉽게 이 권리를 행사할 수 있는 메커니즘을 제공해야 합니다.
• 요청을 영업일 기준 15일 이내에 이행해야 합니다.
• 이 권리를 행사한 이용자를 차별해서는 안 됩니다(예: 이용 경험을 저하시키는 방식 등).

Global Privacy Control(GPC)

Global Privacy Control은 사용자가 브라우저 수준에서 활성화하여, 방문하는 모든 웹사이트에 자동으로 자신의 옵트아웃 선호를 전달할 수 있게 하는 신호입니다. Firefox, Brave 등 주요 브라우저는 GPC를 기본 지원하며, 브라우저 확장 프로그램을 통해 Chrome 등에서도 지원이 추가됩니다.

CPRA 규정에 따라, 기업은 GPC 신호를 유효한 옵트아웃 요청으로 반드시 존중해야 합니다. 이는 실무적으로 상당한 의미를 가집니다.

• 웹사이트는 Sec-GPC: 1 HTTP 헤더 또는 navigator.globalPrivacyControl JavaScript 속성을 감지할 수 있어야 합니다.
• 이를 감지하면, 사용��가 "Do Not Sell or Share"를 클릭한 것과 동일하게 처리해야 합니다.
• 광고용 제3자 쿠키는 이러한 이용자에게는 차단되어야 합니다.

GPC 채택률은 꾸준히 증가하고 있습니다. 추정에 따르면 현재 웹 트래픽의 5~10%가 GPC 신호를 포함하고 있으며, 캘리포니아의 프라이버시 의식이 높은 이용자들 사이에서는 이 비율이 더 높습니다.

캘리포니아에 실제로 쿠키 배너가 필요한 때는?

많은 비즈니스가 혼란스러워하는 부분입니다. 엄밀히 말해, CCPA/CPRA는 옵트아웃 모델이기 때문에 유럽식 쿠키 동의 배너를 요구하지는 않습니다. 그러나 다음은 반드시 필요합니다.

• 쉽게 접근할 수 있는 "Do Not Sell or Share" 링크.
• 사용자가 옵트아웃하거나 GPC 신호를 보냈을 때 제3자 데이터 공유를 중단하는 메커니즘.
• 수집하는 개인정보의 범주, 목적, 데이터가 공유되는 제3자를 공개하는 프라이버시 정책.
• 유럽 방문자도 함께 서비스하는 사이트의 경우, CCPA 옵트아웃 메커니즘과 공존할 수 있는 GDPR 준수 동의 배너.

실무적으로 유럽과 캘리포니아 이용자��� 모두 대상으로 하는 대부분의 웹사이트는 방문자의 위치에 따라 동작이 달라지는 통합 동의 인터페이스를 구현합니다. 이렇게 하면 완전히 별개의 동의 시스템 두 개를 유지할 필요가 없습니다.

실무 구현 시 고려사항

CCPA/CPRA 준수와 GDPR 준수를 함께 구현하면 이중 모드 과제가 발생합니다. 동의 관리 플랫폼은 다음을 수행해야 합니다.

1. IP 기반 지리적 위치 정보를 사용해 방문자의 위치를 정확히 감지합니다.
2. 방문자에게 적절한 법적 체계를 적용합니다. EEA/영국 방문자에게는 옵트인, 캘리포니아 방문자에게는 옵트아웃, 그 외 지역 방문자에게는 별도 요구사항이 없을 수도 있습니다.
3. 캘리포니아 방문자를 위해 배너 내 또는 독립적인 페이지 요소로 "Do Not Sell or Share" 링크를 관리합니다.
4. 어떠한 제3자 쿠키도 설정되기 전에 GPC 신호를 감지하고 이를 존중합니다.
5. 이에 따라 쿠키 동작을 제어합니다. 옵트아웃한 이용자에 대해서는 제3자 광고 쿠키를 차단하면서, 비즈니스 목적에 해당하는 퍼스트파티 분석은 계속 허용합니다.

기술 구현에서는 퍼스트파티 분석 쿠키(일반적으로 CCPA/CPRA에서 비즈니스 목적에 해당)와 제3자 광고 쿠키(sharing에 해당하며 옵트아웃 대상) 간의 구분도 반영해야 합니다.

FlexyConsent의 캘리포니아 방문자 지오 타기팅

FlexyConsent는 자동 지오 타기팅을 통해 이중 모드 과제를 해결합니다. 캘리포니아 방문자가 사이트에 도착하면 FlexyConsent는 CCPA/CPRA 요구사항에 맞게 동작을 조정합니다.

• 옵트아웃 모드 활성화: 모든 쿠키를 선제적으로 차단하는 대신, FlexyConsent는 필수적인 "Do Not Sell or Share My Personal Information" 옵션을 눈에 띄게 표시합니다.
• GPC 신호 감지: FlexyConsent는 Global Privacy Control 신호를 자동으로 확인하고, 신호가 있을 경우 별도의 사용자 상호작용 없이 제3자 데이터 공유를 중단합니다.
• 카테고리 인지형 차단: 캘리포니아 이용자가 옵트아웃하면, FlexyConsent는 광고 및 크로스사이트 추적 쿠키만 선별적으로 차단하고, 비즈니스 목적 예외에 해당하는 퍼스트파티 분석 기능은 유지합니다.
• 원활한 GDPR 공존: 동일한 FlexyConsent 설치로 두 체계를 모두 처리합니다. 유럽 방문자는 세부 카테고리 제어가 가능한 GDPR 준수 옵트인 배너를 보게 되고, 캘리포니아 방문자는 적절한 옵트아웃 메커니즘을 보게 됩니다. 규제가 없는 지역 방문자는 설정에 따라 최소한의 알림만 보거나 아예 배너를 보지 않을 수도 있습니다.

IAB TCF 2.3 및 Consent Mode V2를 지원하는 Google 인증 CMP인 FlexyConsent는, 어떤 법적 체계가 적용되든 동의 신호가 Google 서비스에 올바르게 전달되도록 보장합니다. 이는 Google Analytics와 Google Ads 설정이, 동의한 유럽 이용자와 옵트아웃하지 않은 캘리포니아 이용자 모두에게 대해 올바르게 작동함을 의미합니다.

핵심 요약: 캘리포니아의 옵트아웃 모델은 GDPR의 옵트인 방식보다 덜 엄격해 보일 수 있지만, 특히 GPC 신호와 폭넓은 "sharing" 정의를 고려하면, 대부분의 광고 기반 웹사이트에는 정교한 동의 관리 솔루션이 필요합니다. 두 체계에 모두 적응하는 지오 타기팅 동의를 구현하는 것이, 단일 접근 방식을 전 세계에 일괄 적용하려는 것보다 훨씬 신뢰할 수 있습니다.