Global Privacy Control이란 무엇인가?

Global Privacy Control(GPC)은 사람들이 방문하는 모든 웹사이트에 자신의 개인 데이터를 판매하거나 공유하지 말라고 자동으로 알릴 수 있게 해주는 브라우저 수준의 신호입니다. 사이트마다 쿠키 배너에서 "거부"를 클릭하는 대신, 사용자는 GPC를 한 번만 활성화하면 — 자신의 브라우저나 확장 프로그램에서 — 그 선호가 웹 전반에 걸쳐 함께 따라다닙니다.

이를 보편적인 거부 스위치라고 생각하면 됩니다. GPC가 켜져 있으면 브라우저는 각 요청에 신호를 첨부하고 이를 JavaScript에 노출합니다. 여러분의 웹사이트는 그 신호를 읽고 배너 상호작용 없이도 유효하고 법적으로 구속력 있는 개인정보 선택으로 취급해야 합니다.

GPC가 법적으로 중요한 이유

GPC는 단순한 예의가 아닙니다. 점점 더 많은 관할권에서 이를 존중하는 것은 법적 의무이며, 규제 당국은 이미 이를 무시한 기업에 대해 집행 조치를 취한 바 있습니다.

캘리포니아(CCPA/CPRA)

CPRA로 개정된 CCPA에 따라, 기업은 거부 선호 신호를 개인정보의 판매 또는 공유를 거부하는 요청으로 취급해야 합니다. 캘리포니아 법무장관과 캘리포니아 개인정보 보호국은 GPC가 반드시 존중되어야 하는 유효한 거부 신호임을 확인했으며, 이를 존중하지 않은 것은 이미 공개적인 집행으로 이어졌습니다.

기타 미국 주들

콜로라도, 코네티컷, 텍사스, 오리건, 몬태나를 비롯한 여러 주들이 이제 보편적 거부 메커니즘의 인식을 요구합니다. 이 목록은 매년 늘어나고 있으며, GPC는 이러한 법률들이 가리키는 사실상의 표준입니다 — 한 번 지원을 구축하면 이 모든 법률에 부합하게 됩니다.

유럽과 GDPR

GDPR은 GPC를 명시적으로 언급하지는 않지만, 동의가 자유롭게 제공되어야 하며 동의 철회가 동의 제공만큼 쉬워야 한다고 요구합니다. 명확하고 자동화된 거부 신호는 이 원칙에 정확히 들어맞으며, EU 규제 당국은 기계가 읽을 수 있는 선호 신호에 점점 더 큰 관심을 보이고 있습니다.

GPC는 기술적으로 어떻게 작동하는가

GPC는 의도적으로 단순합니다. 사용자가 이를 활성화하면 브라우저는 세 가지 상호 보완적인 방식으로 선호를 전달합니다.

• HTTP 헤더 — 모든 요청에 Sec-GPC: 1이 포함되므로, 서버는 페이지 JavaScript가 한 줄도 실행되기 전에 신호를 감지할 수 있습니다.
• JavaScript 속성 — navigator.globalPrivacyControl이 true를 반환하여, 클라이언트 측 스크립트와 동의 도구가 브라우저에서 반응할 수 있게 합니다.
• 검색 가능한 정책 — 사이트는 신호를 어떻게 해석하는지 설명하는 /.well-known/gpc.json 파일을 게시할 수 있습니다.

신호는 서버 측과 클라이언트 측 모두에서 사용 가능하므로, 여러분의 스택에 가장 적합한 계층에서 이를 적용할 수 있습니다.

사이트에서 GPC를 감지하고 존중하는 방법

GPC를 존중한다는 것은 사용자가 배너를 건드리지 않게 하면서 사용자의 거부를 자동으로 적용하는 것을 의미합니다. 견고한 구현은 다음과 같습니다.

• 일찍 감지하세요. 서버에서 Sec-GPC 헤더를 읽거나, 동의 스크립트가 로드되는 즉시 navigator.globalPrivacyControl을 확인하세요.
• 거부를 적용하세요. 해당 방문자에 대해 필수적이지 않은 쿠키, 광고 및 분석 태그, 그리고 모든 데이터 판매나 공유를 기본적으로 억제하세요.
• 상태를 반영하세요. 사용자가 자신의 선택이 이해되었음을 볼 수 있도록 배너를 거부 상태로 표시하고, 진정으로 원할 경우 여전히 동의할 수 있게 하세요.
• 기록하세요. 결정이 GPC 신호에 의해 이루어졌음을 타임스탬프와 함께 기록하여 감사 가능한 준수 증거를 확보하세요.

GPC 대 쿠키 배너: 둘 다 여전히 필요한가?

네. GPC와 동의 배너는 겹치지만 서로 다른 문제를 해결합니다. GPC는 주로 미국식 "판매 또는 공유 금지" 규칙을 다루는 거부 신호인 반면, EU는 필수적이지 않은 쿠키를 설정하기 전에 적극적인 동의를 수집해야 하는 옵트인 모델로 운영됩니다. 준수하는 사이트는 GPC를 사용해 사용자의 글로벌 선호를 사전에 적용하고, 법이 요구하는 곳에서는 배너를 사용해 명시적 동의를 수집합니다. 이 둘은 서로 모순되지 않고 보강해야 합니다.

피해야 할 일반적인 실수

• 헤더를 완전히 무시하고 클라이언트에서만 확인하여, GPC가 평가되기도 전에 데이터가 빠져나가게 하는 것.
• GPC를 감지하고도 아무 조치도 하지 않는 것 — 집행 없는 인식은 준수가 아닙니다.
• 추적으로 다시 유도하는 배너로 GPC 방문자에게 다시 묻는 방식으로 사용자를 무시하는 것.
• 문서화를 잊는 것 — 로그가 없으면 규제 당국에 신호가 존중되었음을 증명할 수 없습니다.

FlexyConsent는 GPC를 어떻게 처리하는가

FlexyConsent는 서버와 클라이언트 양쪽 모두에서 GPC 신호를 자동으로 감지하고, 필수적이지 않은 스크립트가 실행되기 전에 해당하는 거부를 적용하며, 모든 방문자에 대해 감사 가능한 동의 로그를 기록합니다. 직접 감지 로직을 작성할 필요 없이 — 보편적 거부 지원, 다중 관할권 적용 범위, 그리고 준수 증거를 기본으로 얻습니다. Global Privacy Control을 존중하는 것은 빠르게 기본 요건이 되어가고 있으며, 이를 제대로 해내는 사이트는 사용자와 지속적인 신뢰를 구축합니다.