스리랑카 PDPA 쿠키 동의 준수 가이드: 2026년 퍼블리셔를 위한 2022년 제9호 법률 시행

스리랑카는 개인정보보호법이 2022년 제9호 법률로 최종 제정되기까지 10년 이상의 입법 과정을 거쳤으며, 19 March 2022 의장에 의해 인증되었습니다. 이 법은 GDPR 이후 글로벌 표준이 된 광범위한 체계를 채택했습니다. 목적 제한, 적법 근거, 정보 주체 권리, 책임, 국경 간 이전 통제, 위반 통지, 행정 제재 권한을 가진 독립 규제기관이 그것입니다. 그러나 이를 남아시아의 상업적·헌법적 현실에 맞는 체계에 담았습니다. 법은 17 March 2023부터 단계적으로 시행되었으며, 실질적 의무는 18개월 후에 발동되었고 집행 규정은 2025년까지, 그리고 2026년까지 점진적으로 도입되었습니다. 스리랑카 개인의 개인정보를 처리하는 퍼블리셔 및 다른 단체에게 시사하는 바는 명확합니다: 이전의 업종별 규정 조합을 충족하던 쿠키 동의 태세는 더 이상 충분하지 않으며, GDPR을 충족하는 태세는 두 체계가 다른 구체적 지점에 대해 통합이 구성된 경우에만 PDPA를 충족합니다.

스리랑카 PDPA가 실제로 요구하는 것

PDPA는 관리자 또는 처리자의 위치에 관계없이 스리랑카에 있는 정보 주체의 개인정보 처리에 적용되며, 정보 주체의 위치와 관계없이 스리랑카에 설립된 관리자 및 처리자에게도 적용됩니다. 역외 적용은 GDPR 제3조를 반영하며, 스리랑카에 사무소가 없더라도 스리랑카 독자, 앱 설치 또는 유료 고객이 있는 퍼블리셔는 명확히 적용 범위에 해당합니다. 개인정보는 식별된 또는 식별 가능한 살아있는 자연인에 관한 모든 정보로 광범위하게 정의되며, 특별 범주 데이터인 생체인식, 유전자, 금융, 건강, 인종, 민족, 종교적 신념, 정치적 의견, 범죄 기록 데이터는 더 엄격한 규정의 적용을 받습니다.

법은 일곱 가지 핵심 데이터 보호 원칙, 처리에 대한 여섯 가지 적법 근거, 정보 주체의 표준 권리 목록인 열람, 정정, 삭제, 제한, 이의 제기, 기술적으로 가능한 경우 데이터 이동권을 확립하고, 지침 발령, 위반당 최대 LKR 1,000만의 행정 제재 부과, 심각한 사안의 형사 기소 회부 권한을 가진 규제기관인 Data Protection Authority of Sri Lanka를 설립했습니다.

PDPA가 쿠키 동의를 구체적으로 다루는 방식

PDPA는 EU ePrivacy 지침과 같이 쿠키에 관한 별도의 ePrivacy 방식 조항을 포함하지 않습니다. 대신 쿠키 처리를 일반 GDPR 방식 동의 체계에 통합합니다: 적법 근거로 동의에 의존하는 개인정보 처리는 정보 주체가 자유롭게, 구체적으로, 정보에 기반하여, 명확하게 동의를 표시하는 명확한 적극적 행위에 기반하여 획득되어야 합니다. DPA는 글로벌 추세에 맞게, 사전 체크된 박스, 계속 탐색 언어, 묶음 동의 배너는 법에 따른 유효한 동의 형태가 아니라고 일관되게 밝혔습니다.

실제 효과는 EEA에서 운영하는 퍼블리셔가 이미 유지하는 것과 동일한 태세입니다: 서비스 제공에 반드시 필요하지 않은 쿠키 및 유사 저장·접근 기술은 사용자가 적극적으로 동의하기 전에 설정해서는 안 됩니다. 반드시 필요한 쿠키인 세션 식별자, 장바구니 내용, 보안 토큰, 부하 분산 쿠키는 사용자가 적극적으로 요청한 서비스와 연결된 정당한 이익 근거 하에 해당하므로 동의 없이 설정할 수 있습니다. 그 외 분석, 광고, 개인화, A/B 테스트, 세션 리플레이, 모든 서드파티 태그는 사전 동의가 필요합니다.

PDPA와 GDPR의 차이점

통합 레이어에 세 가지 차이점이 중요합니다. 첫째, PDPA의 적법 근거 목록에는 GDPR 제6조와 가까운 공익 근거와 법적 의무 근거가 포함되어 있지만, 유럽 퍼블리셔가 광고 측정 처리에 의존하는 형태의 독립적인 정당한 이익 근거는 포함되어 있지 않습니다. PDPA의 동등 규정은 더 좁아, 관리자의 처리 기록과 함께 제출되고 요청 시 DPA에 제공되는 문서화된 균형 테스트를 요구합니다. 둘째, PDPA의 국경 간 이전 규정은 DPA가 목적지 관할권을 지정하도록 요구하며, 미지정 관할권으로의 이전은 명시적 동의, DPA가 승인한 계약상 보호장치, 또는 좁은 면제 중 하나를 요구합니다. 셋째, PDPA의 위반 통지 기한은 고위험 위반에 대해서는 GDPR의 일률적 72시간 규정보다 짧고 저위험 위반에 대해서는 더 길며, 관리자는 부당한 지체 없이 통지해야 합니다.

PDPA 하에서 준수하는 쿠키 배너의 모습

기술적 요건은 모든 현대 CMP가 이미 구현하는 것과 수렴하지만, 라벨링과 동의 로그는 스리랑카 특유의 사항을 반영해야 합니다. 첫 번째 레이어 배너는 거부 옵션이 수락 옵션만큼 눈에 띄는 진정한 선택인 수락, 거부, 관리를 사용자에게 제시해야 합니다. 묶음 동의는 금지되어 있으므로 두 번째 레이어는 최소한 분석, 광고 및 국경 간 이전 의존 처리를 포함하는 카테고리별 옵트인을 허용해야 합니다. 카테고리는 기본값으로 꺼짐으로 설정해야 하며, 사용자가 적극적으로 켜기 전까지 배너는 태그를 로드해서는 안 됩니다.

배너에서 표시되는 개인정보 처리방침에는 관리자, 수집되는 개인정보 범주, 각 처리 목적의 적법 근거, 데이터 보유 기간, 스리랑카 외부에서 운영하는 하위 처리자를 포함한 수신자 범주, PDPA에 따른 정보 주체의 권리, 불만을 위한 DPA 연락처가 명시되어야 합니다. GDPR 제13조 기준을 충족하는 처리방침은 상당 부분 겹치지만, DPA 연락처와 국경 간 이전 관할권 항목을 명시적으로 추가해야 합니다.

DPA 검토를 통과하는 통합 패턴

참조 구현에는 네 가지 구성 요소가 있습니다. 첫째는 카테고리별, 기본값 꺼짐 옵트인을 지원하고 퍼블리셔가 동의 로그에 저장할 수 있는 구조화된 동의 문자열을 통해 사용자의 선택을 노출하는 CMP입니다. 둘째는 비필수 쿠키 설정을 허용하기 전에 동의 상태를 엄격히 집행하는 태그 로딩 레이어, 일반적으로 서버 사이드 태그 매니저 또는 CMP 네이티브 스크립트 게이트입니다. 셋째는 서버 사이드 동의 로그로, 각 동의 이벤트에 대해 카테고리별 사용자 선택, 타임스탬프, 동의 배너 버전, IP 주소(관리자가 데이터 최소화 분석을 충족한다고 결정한 경우 잘린 또는 해시된), 부여된 카테고리와 거부된 카테고리를 기록합니다. 넷째는 원래 부여와 최소한 동일하게 쉬운 철회 경로로, 푸터의 영구적 배너 재열기 링크는 DPA가 국제 모범 사례 참조를 통해 묵시적으로 승인한 패턴입니다.

2026년 검증 및 감사 태세

2026년에 방어 가능한 스리랑카 배포는 네 가지 검사를 통과해야 합니다. 첫째, 스리랑카 IP 주소에서 제공되는 깨끗한 브라우저 세션은 배너가 실행되기 전에 비필수 쿠키를 하나도 생성해서는 안 됩니다. 둘째, 전체 거부 경로는 아무 행동을 하지 않은 세션과 동일한 태세를 가져야 합니다. 분석 태그 없음, 광고 태그 없음, 세션 리플레이 스크립트 없음, 반드시 필요한 세트만. 셋째, 전체 수락 흐름은 사용자가 동의한 태그를 생성해야 하며 동의 로그에는 해당 기록이 포함되어야 합니다. 넷째, 철회 흐름은 추가 태그 실행을 즉시 중지하고, 동의된 세션 중에 설정된 쿠키를 만료시키며, 수신 파트너가 요구하는 다운스트림 삭제 또는 옵트아웃 신호를 트리거해야 합니다.

감사 추적 요건은 2026년 PDPA가 가장 독특한 부분입니다. DPA는 관리자가 요청 시 특정 처리 활동을 승인한 구체적인 동의 기록을 제출할 수 있어야 함을 나타내는 지침을 발표했습니다. 이는 동의 로그가 사용자 식별자 또는 세션 식별자로 조회 가능해야 하고, 관리자가 보유 일정에 문서화한 기간 동안 보유되며, 구조화된 형식으로 내보낼 수 있어야 함을 의미합니다. 서버 사이드 로그를 갖춘 올바르게 구성된 CMP, 동의 상태를 집행하는 태그 로딩 레이어, 각 국경 간 이전 목적지를 명시하는 개인정보 처리방침의 조합이 스리랑카 PDPA를 규제 미지수에서 퍼블리셔 글로벌 동의 태세의 방어 가능한 부분으로 전환시키는 것입니다.

← 블로그 전체 읽기 →