컴플라이언스2026년 6월 14일 | FlexyConsent

인도네시아 UU PDP 쿠키 동의: 퍼블리셔를 위한 컴플라이언스 가이드

인도네시아는 세계에서 네 번째로 큰 인터넷 시장입니다. 2억 1,500만 명의 온라인 사용자에게 콘텐츠를 제공하는 모든 퍼블리셔에게, 인도네시아의 개인정보보호법인 Undang-Undang Pelindungan Data Pribadi, 즉 UU PDP는 이제 반드시 준수해야 할 가장 중요한 컴플라이언스 요건이 되었습니다. 2022년 10월에 제정되고, 2년간의 유예 기간이 종료된 2024년 10월부터 완전 시행된 UU PDP는 GDPR을 모델로 하면서도 독자적인 동의 형식, 컨트롤러 의무 및 벌칙 체계를 도입하고 있습니다. 이 가이드는 UU PDP가 요구하는 사항, GDPR 관행과의 차이점, 그리고 인도네시아 규제당국을 만족시키는 동의 배너 설정 방법을 퍼블리셔에게 안내합니다.

UU PDP의 적용 범위와 적용 대상

UU PDP는 인도네시아 최초의 포괄적인 개인정보보호법입니다. 제정 이전에는 인도네시아의 개인정보보호 규정이 은행, 통신, 전자상거래, 전자 시스템 등 분야별 규정에 흩어져 있었습니다. UU PDP는 이를 단일 수평적 체계로 통합하여, 컨트롤러의 소재지와 관계없이 인도네시아 정보 주체의 개인정보를 처리하는 모든 컨트롤러 또는 프로세서에 적용됩니다.

이 역외 적용은 해외 퍼블리셔에게 가장 중요한 사실입니다. 미국, EU 또는 싱가포르에 본사를 둔 퍼블리셔가 인도네시아에 물리적으로 거주하는 사용자에게 콘텐츠를 제공하는 경우 UU PDP의 적용을 받습니다. 존재 여부 테스트는 기능적이며 형식적이지 않습니다. 컨트롤러가 Bahasa Indonesia 콘텐츠, 인도네시아 결제 옵션 또는 지역 기반 광고를 통해 인도네시아 사용자를 대상으로 한다면 UU PDP가 전면 적용됩니다.

Article 22에 따른 동의 기준

UU PDP의 Article 22는 동의를 정의하며 인도네시아 트래픽을 대상으로 하는 모든 쿠키 배너의 핵심입니다. 이 조항은 동의가 다음 요건을 충족해야 한다고 규정합니다:

명시적일 것 — 침묵, 사전 체크된 박스, 지속적인 사이트 사용은 동의를 구성하지 않습니다. 사용자는 적극적인 행동을 취해야 합니다.
특정될 것 — 동의는 정해진 처리 목적에 연결되어야 합니다. 열 가지 다른 목적을 모두 포함하는 단일 전체 동의 버튼은 법적으로 매우 취약합니다.
정보에 기반할 것 — 정보 주체는 동의하기 전에 컨트롤러의 신원, 데이터 범주, 목적, 보존 기간, 수신자 및 자신의 권리를 제공받아야 합니다.
서면으로 기록되거나 전자적으로 기록될 것 — Article 22(3)은 컨트롤러가 동의를 증명할 수 있도록 요구합니다. 해시된 사용자 식별자에 매핑된 타임스탬프가 있는 동의 로그가 이 요건을 충족합니다. 사용자가 동의 버튼을 클릭했다는 모호한 주장은 충족하지 못합니다.
동등한 조건으로 철회 가능할 것 — 철회는 원래 동의 부여만큼 쉬어야 합니다. 동의는 한 번의 클릭으로 되는 반면 거부에는 세 번의 클릭이 필요한 경로는 준수하지 않습니다.

실무자들은 이 요건들을 알아볼 것입니다: 이는 GDPR의 Article 7에 거의 일대일로 대응합니다. 차이는 개념이 아니라 범위와 집행에 있습니다.

동의 이외의 적법 근거

GDPR과 마찬가지로 UU PDP도 일부 처리에 대해 동의 이외의 적법 근거를 인정합니다. Article 20은 여섯 가지 법적 근거를 열거합니다: 동의, 계약 이행, 법적 의무, 생명 관련 이익, 공공 과업, 정당한 이익. 그러나 대부분의 쿠키 및 추적 활동에 대해서는 동의만이 현실적으로 이용 가능합니다. 사용자가 요청한 서비스를 제공하기 위해 필수적인 쿠키에 대한 엄격한 필요성 예외가 좁고, 광고나 분석으로 확장되지 않기 때문입니다.

엄격한 필요성 예외

세션 쿠키, 로그인 쿠키, 언어 설정 쿠키, 장바구니 쿠키는 매우 낮은 위험으로 계약 이행 또는 정당한 이익에 해당합니다. 이러한 쿠키는 명시적 동의를 필요로 하지 않으나, 해당 범주는 개인정보 처리방침에 여전히 공개되어야 합니다. 그 외 모든 것 — 분석, 광고, 리타겟팅, 서드파티 픽셀, 핑거프린팅 — 은 Article 22 동의를 필요로 합니다.

아동 데이터

Article 25는 18세 미만 정보 주체의 데이터 처리에 부모 동의를 요구합니다. 이는 GDPR의 디지털 동의 연령 기본값인 16세(회원국이 13세로 낮출 수 있음)보다 엄격합니다. Bahasa Indonesia로 아동 대상 콘텐츠를 운영하는 퍼블리셔는 임계값을 18세로 처리하고 자기 선언 체크박스가 아닌 부모 확인 플로우를 구성해야 합니다.

국경 간 데이터 전송

Article 56은 인도네시아 외부로의 개인정보 전송을 규율합니다. 컨트롤러는 세 가지 조건 중 최소 하나가 충족된 경우에만 다른 국가로 데이터를 전송할 수 있습니다: 목적지 국가가 UU PDP에 상당하는 적절한 수준의 개인정보 보호를 갖추고 있거나, 적절한 안전 장치가 마련되어 있거나, 정보 주체가 전송에 명시적으로 동의한 경우입니다.

인도네시아 통신정보부(Kominfo)는 아직 적정성 목록을 발표하지 않았습니다. 실무에서는 GDPR 관할권, 미국, 싱가포르 또는 호주로 데이터를 전송하는 퍼블리셔들이 적절한 안전 장치에 의존합니다 — 일반적으로 UU PDP에 맞게 조정된 표준 계약 조항으로, 하위 하청 처리자가 UU PDP 권리를 준수한다는 구속력 있는 조항을 포함합니다. 여러 지역에서 운영하는 광고 기술 공급업체의 경우, 데이터 처리 계약에 어느 지역이 인도네시아 사용자 데이터를 처리하고 각 단계에서 어떤 안전 장치가 적용되는지를 명시해야 합니다.

정보 주체의 권리와 72시간 창

UU PDP는 인도네시아 정보 주체에게 GDPR과 매우 유사한 권리를 부여합니다: 접근, 정정, 삭제, 처리에 대한 이의, 데이터 이동성, 자동화된 결정에 이의를 제기할 권리. 퍼블리셔에게 중요한 두 가지 구체적인 사항이 있습니다.

첫째, Article 30은 컨트롤러가 합리적인 시간 내에 권리 요청에 응답하도록 요구하며, 시행 규정에서 확인에 영업일 3일, 실질적인 응답에 최대 영업일 14일을 설정했습니다. 이는 GDPR의 기본 1개월보다 빠릅니다.

둘째, Article 46은 개인정보 침해를 영향을 받은 정보 주체와 개인정보보호 기관에 3 x 24 hours — 즉 컨트롤러가 침해를 인지한 후 72시간 이내 — 에 통지하도록 요구합니다. 시계는 컨트롤러가 침해를 확인한 시점부터 시작되며, 감지할 수 있었던 시점부터가 아닙니다.

벌칙 및 최근 집행 사례

UU PDP의 벌칙 체계는 많은 퍼블리셔가 처음에 인식했던 것보다 더 강력합니다. Article 57은 연간 수익의 2%까지의 행정 제재를 규정합니다. Article 67 to 73은 가장 심각한 위반 — 개인정보의 불법 수집 및 불법 공개 포함 — 에 대해 최대 6년 징역 및 60억 rupiah 이하 벌금의 형사 제재를 규정합니다.

2025년까지 집행은 소프트 론칭 단계에 있어 Kominfo가 벌금 대신 경고서와 시정 명령을 발부했습니다. 그 단계는 2026년 초에 끝났습니다. UU PDP 하에서의 첫 번째 주요 행정 제재 — 2026년 3월 미성년자 대상 제품 라인에서 부적절한 침해 통지와 부모 동의 누락으로 국내 전자상거래 사업자에게 발부된 — 는 집행이 이제 적극적으로 이루어지고 있음을 명확히 보여주었습니다.

준수 퍼블리셔 배너의 모습

2026년에 인도네시아 트래픽을 서비스하는 퍼블리셔의 실무 구성은 다음과 같습니다:

배너를 Bahasa Indonesia로 현지화

Article 22의 정보에 기반한 동의 요건은 Bahasa Indonesia 사용자에게 영어 배너를 표시하는 것으로는 충족되지 않습니다. CMP는 지리적 위치, IP 또는 Accept-Language 헤더를 통해 인도네시아 사용자를 감지하고 배너, 개인정보 처리방침 및 세부 컨트롤을 Bahasa Indonesia로 제공해야 합니다.

동의를 옵트인으로만 처리

사용자가 명시적으로 동의하기 전에는 추적, 광고 또는 분석 스크립트를 실행해서는 안 됩니다. 사전 체크된 범주, 지속 브라우징에서 암시된 동의, "이 사이트를 사용함으로써 동의합니다" 알림은 모두 미준수입니다.

기록된 동의 로그 유지

Article 22(3)은 명확합니다: 컨트롤러는 증거를 제출할 수 있어야 합니다. 사용자 식별자를 타임스탬프, 표시된 배너 버전, 이루어진 선택에 매핑하는 동의 로그는 Kominfo가 모든 감사 또는 민원 조사에서 요청할 문서입니다.

철회를 진정한 동등 조건으로

지속적으로 표시되는 플로팅 동의 아이콘, 개인정보 설정 페이지에서 한 번의 클릭으로 거부, 또는 데이터 수집 이메일의 명확한 구독 취소 — 각각이 합리적인 구현입니다. 4,000단어 개인정보 처리방침에 묻혀있는 링크는 그렇지 않습니다.

종합 정리

UU PDP는 GDPR의 복제본이 아니지만, 성숙한 유럽 컴플라이언스 프로그램을 갖춘 퍼블리셔들이 기존 동의 인프라를 인도네시아로 타겟 조정을 통해 확장할 수 있을 만큼 충분히 유사합니다: Bahasa 현지화, 부모 동의를 위한 18세 연령 임계값, 72시간 침해 통지, UU PDP를 명시적으로 포함하는 표준 계약 조항. 그러한 인프라가 없는 퍼블리셔는 UU PDP를 구축의 촉발점으로 삼아야 합니다. 인도네시아 집행은 이제 적극적으로 이루어지며, Kominfo 조사 시작 후의 시정 비용은 출시 전 배너를 올바르게 설정하는 비용보다 일관되게 높습니다.