???? ??????? ?? ?? ???: Amendment 13 ?????? ???

이스라엘의 Privacy Protection Law는 오랜 역사를 가지고 있습니다. 원래 법령은 1981년으로 거슬러 올라가며, 국가 데이터 보호 규제 기관인 Privacy Protection Authority는 2006년에 설립되었고, EU는 2011년부터 이스라엘을 개인 데이터 전송에 적합한 관할권으로 인정하고 있으며, 이러한 지위를 보유한 국가는 소수에 불과합니다. 대부분의 기간 동안 실질적 기준은 광범위하게 GDPR과 일치했지만 집행 구조는 더 가벼웠고 기술적 세부 사항은 덜 발전되어 있었습니다. 2025년 8월에 발효된 Amendment 13은 이를 변화시킵니다. 이 개정안은 동의 기준을 현대화하고, 권리 프레임워크를 확장하며, 국경 간 전송 규칙을 강화하고, Privacy Protection Authority의 집행 권한을 실질적으로 강화합니다. 이스라엘 트래픽을 운영하거나 타겟팅하는 퍼블리셔에게 — 세계에서 가장 디지털에 참여도가 높은 인구 중 하나를 가진 시장 — 실질적인 효과는 쿠키 동의 및 온라인 추적 규정 준수가 이제 유럽 기준에 의미 있게 더 가까워졌다는 것입니다. 이 가이드는 무엇이 변경되었는지, 현재 운영 기준이 무엇인지, 퍼블리셔가 개선 작업에 집중해야 할 부분이 무엇인지 안내합니다.

2026년의 Privacy Protection Law

이스라엘 프레임워크는 세 가지 계층으로 구성되어 있습니다: Privacy Protection Law 자체(주요 법령), Privacy Protection Regulations(운영 세부 사항을 채우며, 특히 2017년의 Data Security Regulations가 주목할 만함), 그리고 Privacy Protection Authority가 발행한 지침 및 입장 문서입니다. Amendment 13은 첫 번째 계층을 수정하고 두 번째 계층의 업데이트를 촉발합니다. 세 번째 — Authority의 해석 지침 — 은 개정안이 발효된 이후 지속적으로 업데이트되었습니다.

핵심 원칙은 GDPR을 다루는 사람이라면 누구에게나 익숙할 것입니다: 합법적 근거, 목적 제한, 데이터 최소화, 정확성, 보관 제한, 무결성, 책임성입니다. 이스라엘 법률에 따른 합법적 근거에는 동의, 계약 이행, 법적 의무, 공익, 정당한 이익이 포함되며, 각각 고유한 범위가 있습니다. 온라인 추적의 경우 관련 근거는 동의와 제한적인 상황에서의 정당한 이익입니다 — 대부분의 운영자가 이미 알고 있는 동일한 프레임워크입니다.

Amendment 13이 실제로 변경한 내용

개정안은 쿠키 동의보다 광범위하지만, 온라인 퍼블리셔에게 가장 중요한 네 가지 변경 사항이 있습니다.

강화된 동의 기준

개정안은 동의의 정의를 강화하여 자유롭게 제공되고, 구체적이며, 정보에 입각하고, 명확해야 한다고 요구합니다 — GDPR Article 4(11)을 밀접하게 추적하는 언어입니다. 묵시적 동의 및 계속 사용을 동의로 간주하는 것은 이전 해석에서는 모호하게 허용되었지만, 이제 필수적이지 않은 추적에 대해서는 명백히 불충분합니다.

확장된 데이터 주체 권리

접근, 수정, 삭제 및 이의 제기 권리가 명확해지고 확장되었습니다. 개정안은 응답에 대한 명시적인 일정(45일, 복잡한 경우 30일 연장 가능)을 도입하고 권리 행사를 위한 명확한 경로를 제공해야 하는 퍼블리셔의 의무를 명확히 합니다.

강화된 국경 간 전송 프레임워크

적합하지 않은 관할권으로의 전송은 이제 명시적인 보호 조치 — 모델 계약 조항, 구속력 있는 기업 규칙 또는 특정 예외 — 가 필요합니다. 이 프레임워크는 이전 이스라엘 접근 방식보다 GDPR의 Chapter V에 더 가깝고, Authority는 EU SCC와 유사한 모델 조항을 발표하기 시작했습니다.

더 강력한 집행 권한

행정 벌금이 실질적으로 증가했습니다. 최대 벌금은 높은 절대 한도를 가진 조직 수익의 비율과 연결되어 있으며, GDPR의 계층화된 구조와 유사합니다. Authority는 문서 제출 강제 및 현장 검사 수행 능력을 포함하여 확장된 조사 권한을 부여받았습니다.

개정된 기준에 따른 쿠키 동의

Privacy Protection Law는 EU의 ePrivacy Directive가 하는 방식으로 쿠키 특정 조항을 포함하지 않습니다. 대신, 동의 요구 사항은 일반 동의 기준과 Authority의 해석 지침에서 나옵니다. Amendment 13이 발효된 직후 발표된 온라인 추적에 관한 2026년 지침은 EDPB Cookie Banner Taskforce 기준과 밀접하게 일치하는 기대치를 명시합니다.

필수 배너 요소

Authority는 배너에 첫 번째 레이어에 명시적인 거부 옵션, 필수 쿠키를 분석 및 마케팅과 분리하는 세분화된 카테고리 제어, 명확한 철회 메커니즘을 포함할 것을 기대합니다. 사전 체크된 박스와 기만적인 링크 디자인은 명백한 결함입니다. 기대치는 유럽 규범과의 수렴이며 EU 심사를 통과하는 모든 배너는 Authority를 만족시킬 것입니다.

히브리어 요구 사항

이스라엘 트래픽을 제공하는 배너는 히브리어로 제공되어야 합니다. Authority는 이를 엄격한 요구 사항으로 공식화하지 않았지만, 히브리어 사용 청중을 위한 동의 기준의 정보 제공 측면의 일부라고 지침에서 언급했습니다.

문서화 및 책임성

이스라엘 법률의 책임 원칙은 GDPR을 추적합니다. 퍼블리셔는 요청 시 동의 결정을 입증할 수 있어야 합니다. 감사 등급 로깅 — 타임스탬프, 배너 버전, 선택, 방문자 관할권 — 이 실질적인 요구 사항입니다.

EU 적합성 문제

이스라엘의 EU 적합성 결정은 개인정보 보호 체제의 가장 전략적으로 중요한 특징 중 하나입니다. 2011년 결정은 추가 보호 조치 없이 EU에서 이스라엘로 개인 데이터가 흐를 수 있도록 하여 이스라엘 운영자를 적합하지 않은 관할권의 운영자보다 유럽 비즈니스에 훨씬 더 매력적인 파트너로 만듭니다. 위원회의 정기적인 적합성 검토 프로세스는 이스라엘의 프레임워크가 유럽 기준에 보조를 맞출 것을 요구합니다. Amendment 13은 상당 부분 다음 검토 주기를 통해 적합성을 유지하려는 동기에서 비롯되었습니다.

퍼블리셔의 경우, 실질적인 의미는 개정된 이스라엘 프레임워크 준수가 국내 집행을 피하는 것뿐만 아니라 국가의 적합성 지위와 그 지위가 제공하는 유럽 데이터 흐름에 대한 특권적 접근을 보존하는 것이라는 점입니다. Authority의 집행 우선순위는 이를 반영합니다 — 이스라엘 사이트의 배너 디자인 결함은 시스템적 적합성 영향 때문에 적합하지 않은 관할권에서 동일한 결함보다 Authority에 의해 더 심각하게 받아들여집니다.

Privacy Protection Authority의 집행 태도

Authority는 법무부 내에서 운영되지만 상당한 운영 독립성을 가지고 있습니다. 그 집행 태도는 역사적으로 신중했습니다 — 역량 구축, 부문 협의, 대량 벌금보다는 타겟화된 주목받는 사례 — 하지만 Amendment 13의 확장된 도구 키트는 패턴을 눈에 띄게 변화시켰습니다.

조사 촉발 요인

Authority는 주로 세 가지 채널을 통해 조사를 시작합니다: 데이터 주체 불만, 침해 통지, 부문별 검토입니다. 온라인 퍼블리셔는 첫 번째 채널을 통해 드러나는 경향이 있습니다 — 배너 디자인이나 추적 행동에 대한 불만이 종종 진입점이 됩니다.

제재 관행

Authority의 Amendment 13 이후 벌금은 패턴을 따랐습니다: 먼저 개선 기간을 제공하고, 개선이 불완전하거나 거부될 때만 금전적 벌금을 부과합니다. 신호는 결함이 있더라도 선의의 준수 태도가 중요하다는 것입니다.

EU 규제 기관과의 조정

Authority는 적합한 관할권과 관련된 Article 29 스타일 조정 메커니즘에 적극적으로 참여합니다. 집행 입장은 EDPB 지침을 추적하는 경향이 있으며, EU와 이스라엘 트래픽과 관련된 국경 간 불만은 점점 더 조정된 절차를 통해 처리됩니다.

실용적인 규정 준수 체크리스트

이스라엘 트래픽을 제공하는 쿠키 배너에 대해 답해야 할 여섯 가지 구체적인 질문입니다.

이스라엘이 글로벌 그림에서 차지하는 위치

이스라엘의 Amendment 13은 더 광범위한 패턴을 반영합니다: GDPR 이전의 관할권들이 유럽 기준과의 일치를 유지하기 위해 프레임워크를 현대화하고 있습니다. 일본, 영국, 한국, 브라질은 모두 유사한 궤적을 따랐습니다. 이러한 시장에서 운영하는 퍼블리셔의 경우, 실질적인 의미는 유럽 기준에 맞춰 구축된 단일 CMP 인프라가 대부분의 규제 환경을 처리한다는 것입니다 — 이스라엘의 프레임워크는 개정 후 확고히 그 범위 내에 있습니다. 전략적 가치는 두 가지입니다: 국내 규정 준수 + 적합한 지위가 제공하는 EU와의 특권적 데이터 흐름 관계에 지속적으로 참여하는 것입니다. 유럽 규정 준수가 이미 정당화하는 적절한 배너 아키텍처와 동의 로깅에 대한 투자는 이스라엘에서 대부분의 적합하지 않은 관할권보다 더 직접적으로 방어 가능한 투자입니다.

← 블로그 전체 읽기 →