Klaviyo 쿠키 동의 통합 가이드: 2026년 전자상거래를 위한 GDPR 준수 이메일 및 SMS
Klaviyo는 직접 소비자 대상 전자상거래를 위한 지배적인 이메일 및 SMS 마케팅 플랫폼입니다. 전 세계 모든 Shopify, BigCommerce, Magento 스토어의 상당 부분에 설치되어 있으며, 브라우징 행동을 관찰하고 페이지뷰를 알려진 프로필에 귀속시키며 장바구니 포기 및 브라우징 포기 플로우를 트리거하는 스크립트인 온사이트 추적 레이어는 플랫폼을 상업적으로 가치 있게 만드는 요소입니다. 또한 개인정보 보호 관점에서 전자상거래 스택에서 가장 흔히 잘못 구성되는 요소 중 하나이기도 합니다. Klaviyo Onsite 추적 스크립트, Klaviyo Forms 라이브러리 및 SMS 옵트인 플로우는 모두 동의 배너가 표시되기 전에 로드되는 순간 개인 데이터를 수집합니다. EU, UK, 브라질 또는 캘리포니아 트래픽을 처리하는 모든 스토어의 경우 이러한 기본 동작은 더 이상 규정을 준수하지 않으며, 전자상거래 집행에 가장 적극적인 규제 기관인 프랑스의 CNIL, 스페인의 AEPD, 이탈리아의 Garante 및 캘리포니아 개인정보 보호국은 공급업체의 규모에 관계없이 마케팅 스크립트를 동일하게 취급한다는 점을 분명히 했습니다. 이 가이드는 Klaviyo가 수집하는 내용, 제3자 CMP와 통합하는 방법, 그리고 플랫폼 자체의 개인정보 보호 기본 요소가 어디에 적합한지 안내합니다.
Klaviyo Onsite 추적이 수집하는 항목
Klaviyo Onsite 스니펫(static.klaviyo.com/onsite/js/klaviyo.js에서 로드됨)은 전역 _learnq 큐를 초기화하고 __kla_id라는 Klaviyo 소유 쿠키로 방문자를 식별합니다. 설치되면 자동으로 페이지뷰 이벤트를 보고하고, 폼 상호작용을 캡처하고, Klaviyo의 브라우징 포기 플로우를 구동하는 Active On Site 이벤트를 발생시키며, 방문자가 로그인하거나 이메일 주소가 포함된 폼을 제출하는 순간 익명 브라우징 행동을 알려진 구독자 프로필에 연결합니다. 후속 이벤트인 제품 조회, 장바구니 추가, 결제 시작, 주문 완료는 동일한 신원 인프라를 통해 발생하며 동일한 쿠키 기반 어트리뷰션을 상속합니다.
GDPR 분석에서 쿠키는 필수적이지 않으며, 페이지를 떠나는 데이터는 영구 식별자에 연결되어 있기 때문에 개인 데이터이며, Klaviyo는 미국에 설립되어 있어 전송이 EU-US 데이터 프라이버시 프레임워크의 적용을 받습니다. 세 가지 조건 모두 Klaviyo Onsite 추적을 EU, UK, EEA 및 LGPD에 따른 브라질에서 "사전 동의 필요" 영역에 확실히 배치합니다. 캘리포니아에서는 동일한 처리가 CPRA의 교차 컨텍스트 행동 광고를 위한 공유 거부 권리에 해당하며, Klaviyo의 다운스트림 유료 미디어 대상과의 공유가 이를 트리거합니다.
차단해야 할 세 가지 추적 표면
Klaviyo 설치는 하나의 추적 표면이 아니라 세 개이며, CMP 통합에서 별도로 처리해야 합니다.
Onsite 추적 스크립트
이것은 주요 행동 추적기로, __kla_id를 설정하고 Active On Site 이벤트 스트림을 구동하는 스크립트입니다. 대부분의 팀이 차단을 기억하는 표면이며 감사에서 규제 기관이 가장 잘 볼 수 있는 표면입니다. 기본적으로 차단하고 방문자가 마케팅 카테고리를 수락할 때만 로드합니다.
Klaviyo Forms 및 가입 팝업
Klaviyo Forms는 이메일 및 SMS 가입 팝업, 임베디드 폼, 게이트 콘텐츠 잠금 해제를 지원하는 별도의 라이브러리입니다. 동일한 도메인에서 호스팅되지만 별도의 스크립트로 로드됩니다. Forms는 메인 Onsite 추적기와 독립적으로 노출 및 제출 이벤트를 발생시킬 수 있으므로 Onsite만 차단하고 Forms는 로드하도록 두는 것은 여전히 식별 데이터를 유출하는 일반적인 부분 준수 패턴입니다.
SMS 옵트인 수집
SMS 가입은 미국의 TCPA 및 EU의 부문별 규칙에 따라 자체 동의 요구 사항이 있으며, Klaviyo의 SMS 폼은 체크박스로 확인된 동의와 함께 전화번호를 수집합니다. 여기서 수집된 동의는 쿠키 동의와 별도로 SMS 메시징 자체에 대한 것입니다. 올바르게 구성된 스택은 CMP에 쿠키 동의를, Klaviyo 구독자 프로필에 SMS 동의를 모두 기록합니다.
기본 Klaviyo 개인정보 보호 제어
Klaviyo는 여러 기본 개인정보 보호 기본 요소를 노출합니다. 대부분의 마케팅 플랫폼과 마찬가지로 동의 결정이 존재하고 전달되고 있다고 가정합니다. 스스로 동의를 수집하지는 않습니다.
식별 호출의 동의 속성
klaviyo.identify() 또는 klaviyo.track()을 호출할 때 마케팅 커뮤니케이션의 합법적 근거를 기록하는 동의 페이로드를 첨부할 수 있습니다. 이것은 CMP의 결정을 Klaviyo의 구독자 프로필로 전달하는 올바른 기본 요소입니다.
프로필 수준 동의 필드
구독자 프로필에는 이메일 동의, SMS 동의 및 동의 소스를 위한 전용 필드가 있습니다. 이러한 필드에 대한 업데이트는 Klaviyo의 세그먼테이션 엔진으로 전파되어 플로우가 기록된 상태를 존중합니다.
개인정보 보호 및 동의 설정 패널
Klaviyo의 관리 UI에는 일부 기본 동작을 제어하는 개인정보 보호 및 동의 섹션이 있습니다. 예를 들어 기록된 동의가 없는 방문자에 대해 Active On Site 이벤트가 발생하는지 여부입니다. 기본값은 허용적입니다. 이러한 설정을 강화하는 것은 CMP 수준 게이팅 위에 유용한 벨트 앤 서스펜더 레이어입니다.
단계별 CMP 통합
신뢰할 수 있는 아키텍처는 세 가지 Klaviyo 추적 표면을 모두 CMP 뒤에 게이트하고 Klaviyo 식별 및 추적 호출의 동의 속성을 사용하여 플랫폼의 구독자 레코드를 기록된 동의 상태와 동기화하는 것입니다.
1. 헤드에서 기본 Onsite 스니펫 제거
Klaviyo는 설치자가 일반적으로 문서 헤드에 붙여넣는 한 줄 스니펫을 제공합니다. 제거하십시오. type 속성이 text/plain이고 data-category 속성이 마케팅으로 식별하는 플레이스홀더 스크립트 요소로 교체하십시오. 방문자가 마케팅 카테고리를 수락하면 CMP가 유형을 text/javascript로 다시 작성합니다.
2. Klaviyo Forms 로딩 지연
Forms 라이브러리는 Onsite와 독립적으로 로드됩니다. 스크립트 요소에 동일한 플레이스홀더 패턴을 적용하여 동의 전에 초기화되지 않도록 합니다. 동의가 부여된 후 Onsite와 Forms가 함께 초기화될 수 있으며 대기 중인 이벤트는 자동으로 플러시됩니다.
3. SMS 동의를 쿠키 동의와 분리
SMS 옵트인 수집은 Klaviyo Forms를 통해 실행되지만 수집된 동의(SMS 마케팅에 대한 명시적 체크박스)는 쿠키 동의와 별도의 법적 산물입니다. CMP 배너는 쿠키 결정을 기록하고 폼 체크박스는 SMS 결정을 기록합니다. 번들로 묶지 마십시오. 번들 동의는 GDPR 및 TCPA 모두에서 무효입니다.
4. Klaviyo 프로필로 동의 전파
알려진 구독자가 사이트에서 동의를 수락하거나 취소하면 CMP는 Klaviyo API를 호출하여 프로필의 동의 필드를 업데이트해야 합니다. Klaviyo Profiles API는 프로필의 나머지 부분을 덮어쓰지 않고 이메일 동의, SMS 동의 및 동의 타임스탬프를 작성하는 부분 업데이트 호출을 지원합니다. 대부분의 최신 CMP에는 이를 엔드 투 엔드로 처리하는 Klaviyo 커넥터가 있습니다.
5. Google 태그와 함께 실행하는 경우 Consent Mode v2 연결
대부분의 Klaviyo 사용 스토어는 Google Ads 및 GA4도 실행합니다. CMP는 Google 태그가 발생하기 전에 v2 동의 신호인 ad_storage, analytics_storage, ad_user_data, ad_personalization을 dataLayer에 게시해야 합니다. Klaviyo는 이러한 신호를 기본적으로 사용하지 않지만 Google은 사용하며, Klaviyo와 Google 간의 불일치는 어트리뷰션 보고에서 측정 가능한 수익 격차로 나타납니다.
일반적인 함정
Klaviyo 배포 감사에서 네 가지 통합 실수가 반복적으로 나타납니다.
Forms를 "단순한 팝업"으로 취급
일부 팀은 마케팅 하에 Onsite를 게이트하지만 "팝업은 단순한 UI 요소"라고 추론하여 초기 렌더링 시 Forms를 로드하도록 둡니다. Forms 라이브러리는 표시되는 모든 팝업에 대해 Klaviyo로 노출 이벤트를 발생시키며, 이는 미국 애드테크 공급업체로 전달되는 식별 행동 데이터입니다. CMP가 방지해야 하는 정확한 패턴입니다.
쿠키 및 SMS 동의 번들링
"쿠키에 동의하고 마케팅 SMS 수신에 동의합니다"라고 표시된 단일 체크박스는 두 가지 모두에 대해 무효입니다. 쿠키 동의는 쿠키에 특정해야 하며 SMS 동의는 SMS에 특정해야 합니다. 별도의 제어를 사용하십시오.
제3자 유료 미디어 커넥터가 취소된 프로필에서 실행되도록 허용
Klaviyo는 통합을 통해 Google Ads, Meta, TikTok 및 기타 광고 네트워크로 오디언스를 푸시할 수 있습니다. 구독자가 동의를 취소하면 오디언스 푸시가 단순히 추가를 중지하는 것이 아니라 삭제해야 합니다. Klaviyo의 오디언스 동기화 설정을 구성하여 초기 동기화뿐만 아니라 실시간으로 동의 상태 변경을 존중하도록 하십시오.
과거 데이터 질문 잊기
방문자가 처음으로 동의를 수락하면 스택은 동의 전 익명 행동을 새 프로필과 소급하여 연관시켜서는 안 됩니다. CMP와 Klaviyo는 동의 전 브라우징 데이터가 현재 식별된 프로필에 연결된 개인 데이터가 아니라는 데 동의해야 합니다. 일부 Klaviyo 플로우는 기본적으로 이 연관을 가정합니다. 관련 플로우 트리거를 검토하십시오.
감사 체크리스트
EU, UK, 브라질 또는 캘리포니아 트래픽을 처리하는 모든 Klaviyo 배포에 대해 답변할 6가지 구체적인 질문입니다.
- Onsite가 동의를 기다립니까? 엄격한 추적 보호 기능이 있는 프라이빗 창에서 상점을 열고 배너 수락 전에 static.klaviyo.com 요청이 발생하지 않는지 확인하십시오.
- Forms가 동의를 기다립니까? 마케팅 카테고리가 수락되기 전에 팝업 노출 이벤트가 발생하지 않는지 확인하십시오.
- 쿠키 동의와 SMS 동의가 분리되어 있습니까? 쿠키 배너가 SMS 동의도 수집하지 않으며 SMS 옵트인 폼이 자체 명시적 체크박스를 기록하는지 확인하십시오.
- Klaviyo 프로필이 CMP 상태를 반영합니까? CMP가 Klaviyo API를 통해 프로필의 동의 필드에 동의 결정을 작성하는지 확인하십시오.
- 오디언스 동기화가 취소를 존중합니까? 동의 취소가 향후 동기화뿐만 아니라 다운스트림 유료 미디어 오디언스에서 구독자를 제거하는지 확인하십시오.
- 동의 전 브라우징이 익명으로 유지됩니까? 플로우 트리거가 동의 전 행동을 새로 식별된 프로필과 소급하여 연관시키지 않는지 확인하십시오.
동의 우선 스택에서 Klaviyo가 적합한 위치
Klaviyo는 전자상거래 어트리뷰션과 직접 마케팅 커뮤니케이션의 교차점에 위치하므로 쿠키 동의 체제(GDPR/ePrivacy, CCPA/CPRA)와 마케팅 커뮤니케이션 체제(CAN-SPAM, TCPA, 메시징을 위한 GDPR 제6조/제7조) 모두에 영향을 미칩니다. 올바른 아키텍처는 이를 두 가지 별개의 동의 표면으로 취급합니다. 둘 다 진실의 소스를 소유하는 단일 CMP를 통해 라우팅되며 Klaviyo의 기본 동의 필드는 API를 통해 동기화됩니다. 이를 올바르게 수행하는 스토어는 Klaviyo를 상업적으로 가치 있게 만드는 장바구니 포기, 브라우징 포기 및 세그먼테이션 동작을 보존하는 동시에 감사 노출을 기본 설치가 수반하는 것의 일부로 줄입니다. 엔지니어링 작업은 간단합니다. 규율은 마케팅 팀이 Forms를 Onsite 추적기와 동일한 규칙에서 면제된 것으로 취급하지 않도록 하는 것입니다.