이집트 개인정보 보호법 제151호(2020년) 쿠키 동의 준수 가이드: 퍼블리셔를 위한 2026년 플레이북

이집트 개인정보 보호법 제151호(2020년) — 일반적으로 이집트 PDPL로 불림 — 은 2020년 7월 15일 공포되어 2020년 10월 14일 시행되었습니다. 그 이후 대부분의 기간 동안 집행 규정의 부재로 인해 이 법은 집행 가능한 체제가 아닌 원칙 선언으로 기능했습니다. Ministry of Communications and Information Technology 산하에 두어진, 법률에 따라 설립된 규제기관 Personal Data Protection Centre가 운영 프레임워크, 라이선스 요건, 법률이 발급을 남겨두었던 집행 규정을 공표하면서 상황이 바뀌었습니다. 2026년까지 제도는 완전히 운영되고, 데이터 컨트롤러 및 처리자의 라이선스 추적이 활성화되었으며, 이집트에서 운영하거나 이집트를 대상으로 하는 퍼블리셔는 구식 지역 모델보다 GDPR에 더 가까운 국내 동의 기준을 따릅니다. 쿠키 동의에 대한 시사점은 직접적입니다. 과거 이집트에서 작동했던 배너는 이제 불충분하며, GDPR을 충족하는 배너는 통합이 두 프레임워크가 달라지는 지점을 고려할 때만 PDPL을 충족합니다.

이집트 PDPL이 실제로 요구하는 것

이 법은 컨트롤러 또는 처리자가 설립된 위치에 관계없이 이집트 거주자의 개인정보 처리에 적용되며, 데이터 주체가 위치한 곳에 관계없이 이집트에 설립된 컨트롤러 및 처리자에게도 적용됩니다. 이 역외 적용은 GDPR 제3조를 반영하며, 이집트 외부에 본사를 두었지만 이집트 독자, 앱 설치 또는 유료 고객이 있는 퍼블리셔가 명확히 적용 범위 내에 있음을 의미합니다. 개인정보는 식별되거나 식별 가능한 자연인에 관한 모든 데이터로 광범위하게 정의되며, 민감한 개인정보 — 건강, 생체인식, 유전, 정신건강, 재정, 종교적 신념, 정치적 의견, 형사 유죄판결 데이터 포함 — 는 더 높은 동의 기준과 추가 보호 조치의 대상이 됩니다.

이 법은 처리의 적법한 근거, 데이터 주체 권리의 표준 목록 — 접근, 정정, 삭제, 제한, 이의, 이동성 —, 컨트롤러-처리자 책임 프레임워크, 침해 통지 의무, 국경 간 이전 통제, 그리고 경미한 위반에 대해 EGP 10만에서 심각하거나 반복적인 위반에 대해 EGP 500만에 이르는 행정 제재 체제를 수립합니다. 무허가 국경 간 이전 및 무허가 민감 데이터 처리를 포함한 가장 심각한 범주에는 형사 제재가 적용됩니다.

PDPL이 쿠키 동의를 구체적으로 다루는 방식

EU의 ePrivacy 지침과 달리 PDPL은 쿠키에 관한 별도 조항을 포함하지 않습니다. 쿠키 및 유사한 저장 및 접근 기술은 일반적인 동의 프레임워크에 해당합니다. 동의를 적법한 근거로 의존하는 모든 개인정보 처리는 데이터 주체의 명시적, 자발적, 구체적, 문서화된 동의 표현을 기반으로 획득되어야 합니다. Personal Data Protection Centre는 규정의 단계적 시행 기간 동안 발행한 지침에서 사전 체크된 박스, 지속적인 브라우징에서 추론된 암묵적 동의, 묶음 동의 배너가 법의 기준을 충족하지 않음을 확인했습니다. 이로써 이집트는 글로벌 방향과 일치하게 되었으며, 퍼블리셔가 EEA를 위해 이미 유지하고 있는 실질적인 자세가 이집트 트래픽의 올바른 출발점임을 의미합니다.

실질적 효과는 서비스 제공에 엄격히 필요하지 않은 쿠키 및 유사 기술은 사용자가 적극적으로 동의하기 전에 설정되어서는 안 된다는 것입니다. 엄격히 필요한 쿠키 — 세션 식별자, 장바구니 내용, 보안 토큰, 부하 분산 쿠키 — 는 사용자가 서비스를 적극적으로 요청했다는 근거로 동의 없이 설정할 수 있습니다. 그 외 모든 것 — 분석, 광고, 개인화, A/B 테스트, 세션 재생, 모든 서드파티 태그 — 은 사전 동의가 필요합니다.

PDPL이 실제로 GDPR과 다른 점

통합 레이어에서 세 가지 차이점이 중요합니다. 첫째, PDPL은 민감한 개인정보 처리 동의를 서면 또는 컨트롤러가 요청 시 제시할 수 있는 문서화된 전자적 동등물을 통해 획득하도록 요구합니다 — GDPR의 명시적 동의 요건보다 높은 증거 기준입니다. 둘째, PDPL은 라이선스 체제를 부과합니다. 컨트롤러와 처리자는 Personal Data Protection Centre에 등록해야 하며, 국경 간 이전 및 직접 마케팅을 포함한 특정 처리 범주는 별도의 운영 라이선스가 필요합니다. 셋째, PDPL의 국경 간 이전 규칙은 Centre의 적정성 결정, 승인된 계약상 보호 조치, 또는 데이터 주체의 명시적 동의 중 하나를 요구합니다. 결정이나 보호 조치가 없는 관할권으로의 이전은 수신자 자체의 준수 태세에 관계없이 제한됩니다.

PDPL에 따른 규정 준수 쿠키 배너의 모습

기술적 요건은 모든 현대 CMP가 이미 생성하는 것과 일치하지만, 라벨링, 문서화, 동의 로그는 이집트 고유의 내용을 반영해야 합니다. 첫 번째 레이어 배너는 사용자에게 실제 선택 — 수락, 거부, 관리 — 을 제시해야 하며, 거부 옵션은 수락 옵션만큼 눈에 띄어야 합니다. 묶음 동의는 금지되므로 두 번째 레이어는 최소한 분석, 광고, 국경 간 이전에 의존하는 처리를 포함하는 범주별 옵트인을 가능하게 해야 합니다. 범주는 기본적으로 꺼짐으로 설정되어야 하며, 배너는 사용자가 적극적으로 켤 때까지 태그를 로드해서는 안 됩니다.

배너에서 표시되는 개인정보 처리방침은 컨트롤러, 해당하는 경우 컨트롤러의 PDPL 라이선스 번호, 수집되는 개인정보의 범주, 각 처리 목적의 적법한 근거, 데이터 보존 기간, 이집트 외부에 위치한 하위 처리자를 포함한 수신자 범주, 법에 따른 데이터 주체의 권리, 불만 사항을 위한 Personal Data Protection Centre의 연락처를 식별해야 합니다. GDPR 제13조 기준을 충족하는 통지는 상당 부분 중복되지만, 이집트 라이선스와 Centre 연락처 줄은 명시적으로 추가해야 합니다.

Personal Data Protection Centre 검토를 통과하는 통합 패턴

참조 구현에는 네 가지 움직이는 부분이 있습니다. 첫 번째는 범주별, 기본 꺼짐 옵트인을 지원하고 퍼블리셔가 유지할 수 있는 구조화된 동의 문자열을 통해 사용자의 선택을 노출하는 CMP입니다. 두 번째는 비필수 쿠키가 설정되기 전에 동의 상태를 엄격히 적용하는 태그 로딩 레이어 — 서버 측 태그 관리자 또는 CMP 네이티브 게이트 — 입니다. 세 번째는 서버 측에 저장된 동의 로그로, 각 동의 이벤트에 대해 범주별 사용자 선택, 타임스탬프, 배너 버전, 컨트롤러가 Centre 요청에 따라 기록을 제출할 수 있도록 잘린 또는 해시된 IP 식별자를 기록합니다. 네 번째는 최소한 원래 부여만큼 쉬운 철회 경로 — 일반적으로 푸터의 영구적인 배너 재열기 링크 — 입니다.

2026년을 위한 검증, 라이선싱, 감사 태세

2026년의 방어 가능한 이집트 배포는 네 가지 기술 검사를 통과해야 합니다. 첫째, 이집트 IP 주소에서 제공되는 깨끗한 브라우저 세션은 배너가 작동되기 전에 비필수 쿠키가 제로여야 합니다. 둘째, 전체 거부 경로는 아무 조치도 없는 세션과 동일한 태세 — 분석 태그 없음, 광고 태그 없음, 세션 재생 스크립트 없음 — 를 초래해야 합니다. 셋째, 전체 수락 흐름은 사용자가 동의한 태그만 생성해야 하며 동의 로그에 일치하는 기록이 포함되어야 합니다. 넷째, 철회 흐름은 추가 태그 실행을 즉시 중단하고, 동의된 세션 동안 설정된 쿠키를 만료하며, 수신자 파트너가 요구하는 다운스트림 삭제 또는 옵트아웃 신호를 트리거해야 합니다.

기술 검사를 넘어, 라이선싱 및 감사 태세가 배포를 방어 가능하게 만드는 것입니다. 집행 규정이 정한 임계값을 초과하여 이집트 거주자의 개인정보를 처리하는 컨트롤러는 Personal Data Protection Centre에 등록해야 하며, 등록 기록 — 동의 로그, 개인정보 처리방침, 고위험 처리에 대한 데이터 보호 영향 평가 결과, 국경 간 이전 승인과 함께 — 은 Centre가 준수 검토 중에 요청할 수 있는 문서를 구성합니다. 서버 측 로그가 있는 올바르게 구성된 CMP, 동의 상태를 적용하는 태그 로딩 레이어, 각 국경 간 이전 대상을 명시하는 개인정보 처리방침, 파일의 라이선스 서류는 이집트 PDPL을 규제 미지수에서 퍼블리셔의 MENA 지역 동의 태세의 방어 가능한 부분으로 전환시키는 것입니다.

← 블로그 전체 읽기 →