Pinterest Tag 쿠키 동의 통합 가이드: 이커머스를 위한 GDPR 및 CCPA
이커머스 브랜드에게 Pinterest는 조용하지만 거대한 트래픽 및 전환 엔진입니다. 비주얼 검색이 성숙해졌고, 플랫폼은 이제 높은 구매 의도의 쇼핑 행동을 유도하며, Pinterest Tag — 페이지뷰, 장바구니 담기, 결제, 구매를 Pinterest Ads에 보고하는 작은 JavaScript 스니펫 — 는 온라인 스토어에서 가장 흔히 설치되는 마케팅 태그 중 하나입니다. 또한 개인정보 보호 관점에서 가장 자주 잘못 구성되는 태그이기도 합니다. Pinterest Tag는 로드되는 순간 퍼스트파티 쿠키를 설정하고 Pinterest에 행동 데이터를 전달합니다. 즉, 사전 동의 요건이 있는 모든 법적 관할권 — EU, UK, EEA 회원국, LGPD의 브라질, 그리고 CPRA의 캘리포니아 — 에서 실제 동의 신호 없이 실행하는 것은 설정 실수가 아닌 컴플라이언스 위반입니다. 이 가이드는 Pinterest Tag가 실제로 무엇을 하는지, 서드파티 CMP와 어떻게 통합하는지, 그리고 부분적인 대안으로서 서버 사이드 Conversions API에 대해 알아야 할 것을 다룹니다.
Pinterest Tag가 추적하는 것
Pinterest Tag는 s.pinimg.com/ct/core.js에서 로드되며 비인증 방문자를 위한 플랫폼의 _pin_unauth 쿠키와 함께 _pinterest_ct_ua라는 Pinterest 특정 쿠키로 사용자를 식별합니다. 존재하면 자동으로 기본 PageVisit 이벤트를 보고하고, AddToCart, Checkout, Purchase, Lead, Signup, WatchVideo 및 사용자 정의 이벤트에 대한 추가 이벤트 호출 스트림을 수락합니다. 각 이벤트는 제품 ID, 주문 값, 통화, 콘텐츠 카테고리를 포함할 수 있는 JSON 페이로드를 전달합니다 — 쿠키 식별자와 결합하면 Pinterest가 특정 핀 노출 및 광고 클릭에 전환을 귀속시킬 수 있는 바로 그 페이로드 유형입니다.
규제 관점에서 세 가지가 중요합니다. 첫째, 쿠키는 비필수적입니다 — 사이트 기능이 아닌 광고 귀속을 위해 존재합니다. 둘째, 페이지를 떠나는 데이터는 식별자와 연결될 수 있기 때문에 GDPR에 따른 개인 데이터입니다. 셋째, Pinterest는 미국에 설립되어 있으므로 전송은 EU-US Data Privacy Framework 및 그 아래의 표준 계약 조항의 적용을 받습니다. 세 가지 조건 모두 Pinterest Tag를 EU와 UK에서 "사전에 자유롭게 제공된 동의 필요" 영역으로 확실히 밀어 넣습니다.
Pinterest의 기본 개인정보 컨트롤과 서드파티 CMP 비교
Pinterest는 몇 가지 기본 개인정보 컨트롤을 노출합니다. 광고주 대시보드에는 캘리포니아 트래픽을 위한 Limited Data Processing 토글이 있고, Tag는 개별 이벤트 호출에 consent 속성을 받아들이며, Pinterest는 Conversions API를 통한 Server-Side Tagging 경로를 문서화합니다. 이 중 어느 것도 작동하는 동의 배너와 같지 않습니다. 기본 컨트롤은 동의가 어딘가 업스트림에서 수집되어 신호로 전달된다고 가정합니다 — 직접 동의를 수집하지 않으며, 동의가 없을 경우 Tag가 실행되는 것을 차단하지 않습니다. 여러 법적 관할권에서 운영하는 모든 퍼블리셔에게 현실적인 아키텍처는 Tag가 전혀 로드될 수 있는지 여부를 결정하는 서드파티 CMP이며, Pinterest의 기본 플래그는 동의가 부여된 후 동작을 세밀하게 조정하는 데 사용됩니다.
서드파티 CMP와의 단계별 통합
신뢰할 수 있는 통합 패턴은 다른 주요 픽셀과 동일합니다: 페이지 로드 시 Tag가 실행되지 않도록 하고, CMP에 제어를 넘기고, 방문자가 마케팅 카테고리를 수락할 때 CMP가 Tag를 로드하고 구성하도록 합니다. Pinterest에 대한 구체적인 사항은 다음과 같습니다.
1. 인라인 기본 코드 제거
Pinterest는 설치자가 일반적으로 문서 헤드에 붙여 넣는 기본 코드 스니펫을 제공합니다. 제거하세요. CMP가 나중에 다시 쓸 수 있는 플레이스홀더로 교체하세요 — 대부분의 CMP는 type 속성을 text/plain에서 text/javascript로 변경하고 data-category="marketing" 속성을 추가하여 이를 수행합니다.
2. Tag를 마케팅 카테고리에 매핑
Pinterest의 태그는 분석과 유사한 이벤트(PageVisit)와 순수 광고 이벤트(Purchase, AddToCart) 모두를 다룹니다. 감사 방어성을 위해 전체 스니펫은 분석 카테고리가 아닌 마케팅 카테고리에 있어야 합니다. EDPB 지침의 보수적 해석은 광고 플랫폼에 공급하는 모든 픽셀을 이벤트 유형과 관계없이 마케팅으로 취급합니다.
3. 로드 콜백 구성
방문자가 마케팅 동의를 부여하면 CMP가 이벤트를 발생시킵니다. 해당 핸들러에서 Tag 플레이스홀더를 text/javascript로 다시 쓰고, 문서에 추가하고, 실행되도록 합니다. 기본 코드는 전역 pintrk 큐를 초기화한 다음 코어 스크립트를 로드합니다. 스크립트가 로드된 후 페이지의 대기 중인 이벤트는 자동으로 플러시됩니다.
4. Limited Data Processing을 위한 이벤트별 동의 라우팅
캘리포니아 트래픽이 있고 옵트인하지 않은 사용자에게 Pinterest의 Limited Data Processing 경로를 사용하려면 각 이벤트 호출에 적절한 data_processing_options를 푸시하세요. Pinterest는 이벤트를 제한 사용으로 표시하기 위해 국가 및 지역 코드와 함께 ['LDU']와 같은 값을 수락합니다. 이것은 EU에서의 동의 대체물이 아닙니다 — CCPA 특정 메커니즘입니다 — 하지만 캘리포니아 규칙에 따라 판매 또는 공유를 거부한 사용자에게 적합한 패턴입니다.
5. Google 태그를 함께 실행하는 경우 Consent Mode v2에 브리지
Pinterest Tag를 실행하는 대부분의 스토어는 Google Ads와 GA4도 실행합니다. CMP는 어떤 Google 태그가 실행되기 전에 v2 신호 — ad_storage, analytics_storage, ad_user_data, ad_personalization — 를 dataLayer에 게시해야 합니다. Pinterest는 이러한 신호를 기본적으로 소비하지 않지만 Google은 소비하며, 두 스택 간의 불일치는 귀속 보고서에서 측정 가능한 수익 격차로 나타납니다.
서버 사이드 대안으로서의 Conversions API
Pinterest의 Conversions API를 사용하면 서버에서 Pinterest로 직접 전환 이벤트를 전송하여 브라우저를 완전히 우회할 수 있습니다. 이는 두 가지 이유로 점점 더 매력적입니다: 서드파티 쿠키 지원 중단에서 살아남고, 서버가 누가 무엇에 동의했는지에 대한 더 명확한 정보를 갖고 있기 때문에 브라우저 사이드 Tag의 동의 취약성 일부를 우회합니다.
Conversions API는 동의 요건을 없애지 않습니다. 전송하는 이벤트는 여전히 개인 데이터를 포함하며, GDPR은 요청이 브라우저에서 오든 백엔드 서비스에서 오든 동일하게 적용됩니다. 그것이 하는 것은 결정 지점을 "동의 전에 Tag가 실행되었는가"에서 "서버가 이 이벤트를 API 페이로드에 포함했는가" — 훨씬 더 통제 가능한 표면 — 로 이동시키는 것입니다. 대부분의 스토어에서 올바른 패턴은 둘 다 실행하는 것입니다: 동의가 부여되었을 때 실시간 귀속을 위한 브라우저 Tag, 떠나기 전에 저장된 동의 상태로 필터링할 수 있는 중복 제거된 서버 사이드 이벤트를 위한 Conversions API.
일반적인 함정
Pinterest 설치를 감사할 때 가장 자주 보이는 문제를 일으키는 세 가지 통합 실수.
PageVisit을 분석으로 취급하기
일부 팀은 Purchase와 AddToCart를 마케팅 동의 뒤에 두지만 페이지뷰는 "분석일 뿐"이라는 이유로 분석 카테고리에서 PageVisit이 실행되도록 허용합니다. Pinterest는 그렇게 보지 않습니다 — PageVisit은 리타게팅 오디언스 빌더를 공급하며, 이는 명백히 마케팅 기능입니다. 전체 Tag를 게이트하세요.
동의 보호 장치 없이 태그 관리자에 Pinterest 기본 코드를 하드코딩
Google Tag Manager를 통해 Tag를 설치하는 경우 Pinterest 태그 템플릿에는 실행 전에 마케팅 동의를 요구하도록 Additional Consent 필드가 설정되어야 합니다. 그 플래그 없이 GTM은 방문자의 CMP 상태에 관계없이 Tag를 실행하며, 동의 배너는 장식적이 됩니다.
먼저 동의를 확인하지 않고 Enhanced Match 전송
Pinterest는 Enhanced Match를 지원하며, 귀속을 개선하기 위해 식별 가능한 사용자 데이터(이메일, 전화)를 해시하여 전달할 수 있습니다. 마케팅 동의를 부여하지 않은 사용자에게 Enhanced Match를 전송하는 것은 이 스택에서 가장 높은 위험 패턴입니다 — 합법적 근거 없이 미국 광고 플랫폼에 직접 개인 데이터를 전송하는 것입니다. Enhanced Match를 Tag의 나머지 부분과 동일한 동의 신호에 조건부로 만드세요.
감사 체크리스트
EU, UK 또는 캘리포니아 트래픽에 접하는 모든 Pinterest Tag 배포에 대해 답해야 할 여섯 가지 구체적인 질문.
- Tag가 동의를 기다리나요? 엄격한 추적 보호가 있는 개인 창에서 페이지를 열고 배너가 수락되기 전에 s.pinimg.com 요청이 실행되지 않음을 확인하세요.
- 마케팅 카테고리가 올바르게 매핑되어 있나요? CMP가 Tag를 분석이나 기능이 아닌 마케팅 아래에 배치하는지 확인하세요.
- GTM이 동의를 존중하나요? Google Tag Manager를 통해 Tag가 설치된 경우 Additional Consent 설정이 구성되어 있는지 확인하세요.
- 캘리포니아를 위해 Limited Data Processing이 라우팅되어 있나요? LDP에서 추적을 여전히 허용하는 CCPA 옵트아웃의 경우 모든 이벤트에 data_processing_options가 있음을 확인하세요.
- Enhanced Match가 조건부인가요? Enhanced Match 페이로드가 마케팅 동의를 부여한 사용자에게만 전송됨을 확인하세요.
- Conversions API가 브라우저 동의를 반영하나요? 두 표면을 모두 실행하는 경우 서버 사이드 경로가 전달 전에 저장된 동의 상태로 이벤트를 필터링하는지 확인하세요.
Consent-First 스택에서 Pinterest의 위치
Pinterest는 Meta나 Google보다 마케팅 픽셀 환경의 작은 부분이지만 규제적 처우는 동일합니다. 작동하는 패턴은 모든 주요 광고 플랫폼에서 작동하는 패턴과 같습니다: 방문자가 마케팅을 수락할 때까지 Tag를 페이지 밖에 두고, CMP를 동의 상태의 단일 진실 소스로 사용하고, 플랫폼 자체의 개인정보 플래그(Limited Data Processing, Conversions API의 동의 필드)를 배너가 기록한 것과 일치하도록 구성합니다. 이를 올바르게 수행하는 브랜드는 Pinterest 귀속을 유지하면서 기본 설치가 가져오는 것의 일부로 감사 노출을 줄입니다.