Compliance2026년 5월 23일 | FlexyConsent

2026년 스위스 개정 FADP: 쿠키 동의, FDPIC 집행, 스위스-EU 데이터 흐름에 관한 퍼블리셔와 광고주 가이드

스위스의 개정 연방 데이터 보호법 — revFADP, 프랑스어 및 독일어 자료에서는 nFADP라고도 불림 — 은 다른 관할권이 부여한 수년간의 유예 기간 없이 2023년 9월 1일에 발효되었으며, 처음 18개월을 연방 데이터 보호 및 정보 위원(FDPIC)이 공개적으로 관찰 기간이라고 설명한 단계에서 보냈습니다. 그 기간은 끝났습니다. 2025년 동안 FDPIC은 스위스 및 외국 컨트롤러에 대한 공식 조사를 개시하고, 개정 법률에 따른 최초의 공개 결정을 내렸으며, 운영 지침을 대부분의 측면에서 GDPR에 맞게 조정하면서도 특정 문제에서는 스위스 고유의 입장을 유지했습니다 — 특히 미국으로의 국경 간 이전, 비필수 쿠키에 대한 동의의 역할, 행정 체제와 나란히 존재하는 형사 책임 안전망. 2026년 초에 revFADP는 더 이상 퍼블리셔들이 EU 프로그램의 반올림 오차로 취급할 수 있는 GDPR의 조용한 형제가 아닙니다. 스위스 개인의 개인정보를 처리하는 모든 퍼블리셔, 광고주 또는 플랫폼에게 — 스위스에 기반을 두고 있든 해외에서 스위스 트래픽을 제공하든 — 2026년은 revFADP가 자체 감사를 필요로 하는 독립적인 준수 의무가 되는 해입니다. 이 가이드는 2026년의 revFADP 현황, 스위스 법에 따라 쿠키 동의가 실제로 무엇을 요구하는지, 2024년 적정성 재조정 후 국경 간 이전이 어떻게 작동하는지, 그리고 FDPIC의 초기 집행 테마가 2026년 우선순위에 대해 무엇을 드러내는지를 안내합니다.

2026년의 revFADP 구조

revFADP는 스위스의 1992년 데이터 보호 체제를 대부분의 운영 측면에서 GDPR을 밀접하게 따르면서도 몇 가지 스위스 고유의 입장을 유지하는 프레임워크로 대체했습니다. revFADP와 함께 시행 중인 개정 데이터 보호 조례(rev-OPDP)와 데이터 보호 인증 조례가 운영 세부 사항을 보완합니다.

개정이 변경한 것

개정은 다음을 도입했습니다: FDPIC에 대한 의무적 침해 통보, 대부분의 컨트롤러를 위한 처리 기록 요건, 고위험 처리를 위한 데이터 보호 영향 평가, GDPR 제3조(2)항과 유사한 실질적 역외 적용 범위, 강화된 데이터 주체 권리, 그리고 통제 조직뿐만 아니라 개인에게도 적용되는 형사 책임 안전망. 개인정보의 정의, 적법 처리의 근거, 데이터 주체 권리의 구조는 모두 GDPR과 밀접하게 일치하여 이미 GDPR 프로그램을 운영하는 퍼블리셔의 스위스 준수를 상당히 단순화하지만, 이를 제거하지는 않습니다.

규제 대상

revFADP는 스위스 내 데이터 처리 및 스위스 외부에서 스위스 내 개인에게 영향을 미치는 처리에 적용됩니다. 현지화된 사이트, .ch 도메인, 스위스 독자를 위해 조정된 독일어-프랑스어-이탈리아어-로만슈어 콘텐츠 또는 스위스 IP를 대상으로 구매한 프로그래매틱 인벤토리를 통해 스위스 트래픽을 제공하는 외국 퍼블리셔는 일반적으로 범위에 포함되며, FDPIC은 2025년 지침 업데이트에서 역외 적용 해석을 확인했습니다.

행정 제재금과 형사 안전망

revFADP의 GDPR과의 가장 많이 논의되는 차이점은 제재 아키텍처가 행정적이 아닌 주로 형사적이라는 것입니다. 개인 제재금 — 일반적으로 이사, 데이터 보호 담당자 또는 준수 리더와 같은 책임 있는 자연인에게 — 고의적 위반에 대해 위반당 최대 CHF 250,000에 달할 수 있으며, 가장 심각한 행위에 대해서는 병행 형사 책임이 있습니다. 상한선은 절대값으로는 GDPR의 매출액 4% 상한보다 낮지만, 책임의 방향 — 조직만이 아닌 지명된 개인에게 — 은 실제로 위험 계산을 바꿉니다. 여러 퍼블리셔들이 노출을 분산시키기 위해 2025년에 내부 승인 워크플로를 재구성했습니다.

revFADP 하에서 개인정보란 무엇인가

revFADP의 개인정보 정의는 GDPR을 밀접하게 따릅니다. 개인정보는 식별되었거나 식별 가능한 사람과 관련된 정보이며, FDPIC은 쿠키, 광고 식별자, IP 주소, 디바이스 지문, 행동 프로필이 직접적으로 또는 다른 정보와의 조합으로 개인에게 연결될 수 있을 때 이를 일관되게 개인정보로 취급해왔습니다.

특히 민감한 개인정보

revFADP는 GDPR의 특별 범주보다 다소 광범위한 특히 민감한 개인정보라고 불리는 범주를 지정합니다. 여기에는 종교적, 철학적, 정치적 또는 노동조합적 견해 및 활동에 관한 데이터, 건강 데이터, 사적 영역 또는 인종적 또는 민족적 출신에 관한 데이터, 사람을 고유하게 식별하는 유전 및 생체인식 데이터, 행정적 및 형사적 절차 또는 제재에 관한 데이터, 사회 지원 조치에 관한 데이터가 포함됩니다. 특히 민감한 개인정보를 처리하면 강화된 동의 및 투명성 요건이 적용됩니다.

쿠키에 이것이 중요한 이유

일반적인 광고 식별자를 저장하는 쿠키는 일반 개인정보입니다. 특히 민감한 목록을 다루는 청중 세그먼트 — 건강 관심사, 정치적 성향, 종교적 소속 — 에 데이터를 제공하는 쿠키는 특히 민감한 개인정보 처리이며, 일반 광고 동의 흐름과는 별도로 명시적 동의가 필요합니다. 이 목록과 겹치는 스위스어 청중 타겟팅은 GDPR의 특별 범주 경계와는 약간 다르게 그어진 경계에 대해 구체적으로 감사받아야 합니다.

2026년 revFADP 하에서의 쿠키 동의

revFADP는 처리를 위한 여러 적법 근거를 허용하며, EU 회원국에서 적용되는 ePrivacy 지침과 달리 스위스 법은 비필수 쿠키에 대한 법정 동의 전용 기준선을 부과하지 않습니다. 그러나 실제로 FDPIC의 2024년 및 2025년 지침과 최근 집행 결정들은 광고, 분석, 교차 맥락 프로파일링과 연결된 쿠키에 대해 EU 기준선과 매우 근접한 입장으로 수렴했습니다.

FDPIC의 운영 입장

FDPIC의 공개된 입장은 비필수 쿠키 — 광고, 리타겟팅, 교차 사이트 분석, 개인화 포함 — 는 쿠키가 실행되기 전에 수집된 사전의, 정보에 입각한, 자유롭게 제공된, 구체적인 동의를 필요로 한다는 것입니다. 엄밀히 필요한 쿠키와 사용자가 명시적으로 요청한 서비스를 지원하는 쿠키는 사전 동의 프롬프트 없이 정당한 이익 또는 계약 이행을 근거로 설정될 수 있지만, 쿠키를 엄밀히 필요로 분류하는 부담은 컨트롤러에게 있으며 2025년 여러 불만 사항에서 이의가 제기되었습니다.

유효한 동의의 요소

revFADP 하에서 동의는 다음과 같아야 합니다:

자유롭게 제공된 — 강압, 필수 서비스 제공과의 번들링, 또는 비필수 쿠키 수락에 핵심 콘텐츠 접근을 조건부로 하는 쿠키 월 없이
정보에 입각한 — 데이터 주체가 어떤 데이터가 누구에 의해 어떤 목적으로 어떤 수신자와 처리되는지 이해함
구체적인 — 포괄적 동의보다는 명확하게 식별된 처리 목적에 연결된
모호하지 않은 — 스크롤, 지속적인 탐색 또는 비활성에서 추론되지 않고 명확한 긍정적 행위를 통해 표현된
특히 민감한 개인정보를 포함하는 경우 민감한 처리에 대한 별도 동의와 함께 명시적

스위스 트래픽에 대한 준수 CMP의 모습

2026년에 스위스용으로 구성된 CMP는 다음을 제시해야 합니다:

비필수 쿠키가 실행되기 전에 사용자의 언어 — 독일어, 프랑스어, 이탈리아어 또는 로만슈어 — 로 제공된 배너, 언어 선택은 영어를 기본값으로 설정하는 대신 .ch 사이트 현지화와 일치
수락, 거부 및 설정 동작에 대한 동등한 시각적 두드러짐 — FDPIC의 2025년 지침은 거부가 수락에 비해 시각적으로 덜 강조된 배너 디자인을 명시적으로 비판함
목적별 세분화된 토글: 분석, 광고, 개인화, 국경 간 이전 및 특히 민감한 범주
특히 민감한 개인정보를 처리하는 경우 일반 동의에 묶지 않고 자체 동작 뒤에 게이트된 별도의 동의 흐름
초기 선택 후 동의를 철회하기 위한 지속적이고 쉽게 찾을 수 있는 메커니즘, 동의 제공과 동등한 마찰로
컨트롤러 신원, 처리자, 목적, 수신자, 보존 기간, 이전 메커니즘 및 데이터 주체 권리 경로를 공개하는 완전한 스위스어 개인정보 처리방침

동의 기록

컨트롤러는 동의의 증거 — 누가, 언제, 어떤 특정 목적에 대해, 어떤 인터페이스를 통해 동의했는지 — 를 유지해야 합니다. 불충분한 동의 기록이 2025년 여러 FDPIC 조사 서한에 등장했으며, 적용 가능한 소멸시효 기간 동안 보존된 타임스탬프 내보내기 가능한 로그가 기본 기대치입니다.

2024년 적정성 재조정 후 국경 간 이전

국경 간 데이터 이전은 스위스의 입장이 EU의 입장과 가장 명확하게 갈라지고 약간 뒤처지는 revFADP 영역입니다. EU-미국 데이터 프라이버시 프레임워크에 대한 EU의 채택에 따른 2024년 재조정은 병행하는 스위스-미국 데이터 프라이버시 프레임워크를 생성했지만, 범위와 조건이 동일하지 않습니다.

인정된 이전 메커니즘

revFADP와 rev-OPDP는 여러 경로를 인정합니다:

적절한 보호를 제공하는 것으로 평가된 국가에 대한 스위스 연방 평의회의 적정성 결정 — 현재 목록에는 EEA, 영국 및 몇몇 다른 관할권이 포함됨
2024년 이후 스위스-미국 프라이버시 실드를 대체한 프레임워크 하에서 자체 인증된 미국 조직에 대한 이전을 위한 스위스-미국 데이터 프라이버시 프레임워크
FDPIC이 게시한 스위스 부록이 포함된 EU SCC를 포함해 FDPIC이 인정하는 표준 계약 조항
FDPIC이 승인한 구속력 있는 기업 규칙
적절한 공개를 포함한 명시적 동의, 계약 필요성, 중대한 이익, 실질적인 공익을 포함한 구체적인 예외

실제 스위스-미국 DPF

스위스-미국 DPF는 자체 인증하고 인증을 유지하는 미국 조직에 대한 이전을 포함합니다. 퍼블리셔는 일회성 확인에 의존하기보다 DPF 목록에서 각 미국 애드테크 또는 분석 공급업체의 활성 인증 상태를 확인해야 합니다. 만료된 인증은 이전 이전을 소급하여 무효화하지 않지만 진행 중인 흐름에 대한 즉각적인 수정을 필요로 합니다. 공급업체가 DPF 인증을 받지 않은 경우 FDPIC의 스위스 부록이 포함된 EU SCC가 작동하는 대안으로 남습니다.

실용적인 2026년 접근법

대부분의 퍼블리셔에게 실용적인 접근법은 스위스 트래픽에서의 각 국경 간 데이터 흐름을 목적지 국가와 메커니즘에 매핑하고, DPF 인증이 공급업체를 포함하지 않는 경우 적절한 스위스-부록-포함 SCC를 실행하고, 스위스어 개인정보 처리방침에 메커니즘을 문서화하고, 구조화된 메커니즘이 처리에 깔끔하게 맞지 않는 경우에만 동의 기반 승인으로 보완하는 것입니다.

revFADP 하에서의 데이터 주체 권리

revFADP는 몇 가지 스위스 특유의 윤곽을 가진 GDPR을 밀접하게 따르는 권리 집합을 부여합니다:

컨트롤러가 보유한 개인정보에 대한 접근 권리, 연간 최초 무료 접근 및 후속 또는 대규모 요청에 대한 비용 회수 상한
부정확하거나 불완전한 데이터의 정정 권리
삭제 권리
처리 제한 권리
동의 또는 계약에 기반한 자동화된 수단으로 처리된 데이터에 대한 데이터 이동성 권리
처리에 대한 이의 제기 권리
동의 철회 권리
법적 또는 유사하게 중요한 결과를 초래하는 자동화된 개별 의사결정의 대상이 되지 않을 권리, 수동 검토를 위한 안전장치 포함
FDPIC에 불만을 제기하거나 민사 소송을 제기할 권리

응답 기한

컨트롤러는 일반 프레임워크 하에서 30일 이내에 데이터 주체 요청에 응답해야 하며, 복잡한 경우에는 이유 있는 통지로 연장할 수 있습니다. 이 기간에 대한 운영 준비 — 독일어, 프랑스어, 이탈리아어에 걸친 스위스어 도구 및 런북 — 은 프로그램을 단일 유럽 언어에 맞게 조정한 외국 퍼블리셔에게 공통적인 격차입니다.

2026년의 제재 및 집행 자세

FDPIC의 집행 활동은 2024년과 2025년을 통해 의미 있게 확대되었으며, 2026년은 정체하기보다는 궤적을 계속하고 있습니다.

제재 구조

제재는 주로 형사적 성격이며 지명된 개인 — 이사, DPO, 준수 리더 — 에게 고의적 위반당 CHF 250,000 상한으로 향합니다. 2025년 집행에서 가장 자주 인용된 범주: 데이터 주체에 대한 불충분한 정보 제공, 국경 간 이전에서의 주의 의무 위반, 필요한 기간 내에 FDPIC에 데이터 침해를 통보할 의무 불이행, FDPIC 결정 또는 명령 미준수.

형사 책임 안전망

GDPR과 달리 revFADP의 형사 책임 경로는 법인만이 아닌 책임 있는 자연인에 대해 적용되며, 이는 2025년에 승인 워크플로의 상당한 내부 재구성을 촉발했습니다. 실질적인 효과는 준수 증명과 감사 추적이 조직의 노출뿐만 아니라 개인의 노출에도 중요하다는 것이며 — DPO는 특히 이를 반영하도록 문서화 관행을 조정했습니다.

집행 테마

FDPIC의 2025년과 2026년 초반 조치들은 다음 주변에 집중됩니다: 거부 동작을 시각적으로 최소화하거나 사전 체크된 상자를 사용하는 쿠키 배너, 사용자의 스위스 국어로 이용할 수 없는 개인정보 처리방침, DPF 인증을 받지 않고 대안 메커니즘도 없는 미국 공급업체로의 국경 간 이전, 30일 기간 내 데이터 주체 요청에 응답 실패, 늦거나 누락된 침해 통보. 외국 퍼블리셔들은 다섯 가지 범주 모두에서 인용되었으며, 배너 디자인과 국경 간 이전 범주가 사건을 주도합니다.

2026년 스위스 트래픽을 위한 감사 체크리스트

CMP 배너는 사용자의 스위스 국어(DE, FR, IT 또는 RM)로 제공되며 수락, 거부 및 설정이 동등한 시각적 두드러짐으로 표시됨
동의 목적은 세분화되어 있고 특히 민감한 처리는 자체 동의 흐름 뒤에 별도로 배치됨
개인정보 처리방침은 컨트롤러, 처리자, 목적, 보존, 권리 및 FDPIC 불만 경로에 대한 완전한 공개와 함께 각 관련 스위스 언어로 이용 가능
스위스 트래픽에서의 각 국경 간 흐름은 목적지와 메커니즘에 매핑됨 — 적정성, 스위스-미국 DPF 인증, FDPIC-스위스-부록 SCC, BCR 또는 문서화된 예외
미국 공급업체 DPF 인증 상태가 한 번 확인하고 잊어버리는 대신 공개된 목록에서 재확인됨
동의 로그에 타임스탬프가 있고, 내보내기 가능하며, 적용 가능한 소멸시효 기간 동안 보존됨
데이터 주체 요청 워크플로가 독일어, 프랑스어, 이탈리아어로 처음부터 끝까지 30일 이내에 응답 가능
침해 통보 런북이 revFADP 일정에 맞게 조정되고 내부 사고 대응 프로세스와 통합됨
승인 워크플로가 지명된 승인자와 문서화 추적을 포함하여 개인에 대한 형사 책임 아키텍처를 반영함
특히 민감한 범주의 청중 세그먼트가 명시적으로 별도로 수집된 동의 뒤에 게이트됨
쿠키 분류가 FDPIC 지침에 따라 실제로 엄밀히 필요로 인정되는 쿠키에 대해 비판적인 시각으로 검토됨

2026년 전망

스위스의 데이터 보호 체제는 존중받지만 조용한 오래된 법령에서 EU 프로그램에 단순히 편승하는 것이 아니라 독자적으로 준수 우선순위를 형성하기 위한 운영 특이성, 집행 능력 및 형사 책임 아키텍처를 갖춘 실용적인 도구로 성숙했습니다. 2024년 적정성 재조정은 미국 이전을 둘러싼 가장 중요한 구조적 격차를 해소했으며, FDPIC의 확대되는 2025년 집행 자세는 일회성 캠페인을 실행하는 것이 아니라 지속적으로 규모를 확장하는 규제 기관과 일치합니다. 이미 GDPR급 동의 스택을 운영하는 퍼블리셔에게 revFADP 준수까지의 격차는 다른 비EU 관할권으로의 격차보다 좁습니다 — 그러나 실재하며, 세부 사항 속에 있습니다: 스위스어 배너 및 공지, 각 미국 공급업체에 대한 DPF 대 SCC 매핑, 특히 민감한 범주의 약간 다른 경계선, 세 가지 또는 네 가지 언어로 된 30일 응답 주기, 그리고 개인 승인 문서화를 있으면 좋은 것이 아닌 일류 준수 아티팩트로 만드는 형사 책임 아키텍처. 격차는 우선순위를 지정하면 몇 주 안에 해소될 수 있으며, 스위스 퍼블리셔 CPM은 우선순위 지정을 경제적으로 명확하게 만듭니다. 2024년까지 조용히 스위스를 GDPR 통과점으로 취급한 퍼블리셔들은 2026년이 상당히 더 까다롭다는 것을 발견하고 있으며, 추세는 명확합니다.