브렉시트 이후 영국의 프라이버시 환경

영국이 유럽연합을 탈퇴했지만, 데이터 보호를 포기한 것은 아닙니다. 영국은 EU GDPR을 국내법으로 편입하여 UK GDPR로 제정했고, 이는 Data Protection Act 2018과 함께 적용됩니다. 쿠키에 관해서는, ePrivacy Directive를 영국 법으로 구현한 Privacy and Electronic Communications Regulations (PECR)이 계속 적용됩니다. 그 결과, EU와 매우 유사하지만 영국 정보위원회(Information Commissioner's Office, ICO)가 독립적으로 집행하는 프라이버시 체계가 형성되었습니다.

웹사이트 운영자에게 이는 영국 방문자를 대상으로 할 때 별도의 규칙, 지침, 집행 패턴에 주의를 기울여야 함을 의미합니다. 실질적인 내용은 EU GDPR과 비슷하지만, 세부적인 차이가 중요합니다.

UK GDPR vs EU GDPR: 주요 차이점

UK GDPR은 핵심 원칙과 요구사항���서 EU GDPR과 본질적으로 동일합니다. 그러나 브렉시트 이후 몇 가지 차이가 나타났습니다.

• 감독 기관: ICO는 UK GDPR의 유일한 감독 기관으로, EU 데이터 보호 기관의 역할을 대체합니다. 영국 거주자에게만 영향을 미치는 동일한 데이터 처리 활동에 대해 ICO와 EU DPA로부터 동시에 벌금을 부과받지는 않습니다.
• 적정성 결정: EU는 2021년 6월 영국에 적정성 결정을 부여하여 EU에서 영국으로의 개인정보 자유 이전을 허용했습니다. 이 결정은 주기적인 검토 대상입니다. 영국 역시 상호적으로 EEA를 적정 국가로 인정했습니다.
• 국제 이전: 영국은 국제 데이터 이전을 위한 자체 체계를 갖추고 있으며, 적정성 결정은 유럽연합 집행위원회가 아닌 국무장관(Secretary of State)이 내립니다. 영국은 국제 이전에 대해 보다 유연한 접근을 시사했지만, 핵심 보호 장치는 유지됩니다.
• 집행 방식: ICO는 역사적으로 공격적인 과징금 부과보다는 소통과 지침 제공을 선호해 왔습니다. UK GDPR 하에서의 최대 벌금은 EU와 동일하게 전 세계 연간 매출의 4% 또는 1,750만 GBP 중 더 높은 금액입니다.
• 잠재적 분기: 영국 정부는 Data Protection and Digital Information Bill을 통해 정당한 이익 평가, 연구 예외, Data Protection Officers의 역할 등에 변화를 가져올 수 있는 개혁을 검토해 왔습니다. 웹사이트 운영자는 향후 변화를 대비해 이 입법 동향을 모니터링해야 합니다.

PECR: 영국의 쿠키 법

UK GDPR이 개인정보 처리에 대한 일반적인 틀을 제공하는 반면, PECR은 쿠키 및 유사 기술을 구체적으로 규율합니다. PECR은 GDPR 이전에 제정되었으며 EU ePrivacy Directive를 영국 법에 구현한 것입니다. 쿠키에 대한 핵심 요구사항은 다음과 같습니다.

• 사용자의 기기에 비필수 쿠키를 설정하기 전에 동의를 받아야 합니다. 여기에는 분석 쿠키, 광고 쿠키, 소셜 미디어 쿠키가 포함됩니다.
• 어떤 쿠키가 설정되며 무엇에 사용되는지에 대해 명확하고 이해하기 쉬운 언어로 정보를 제공해야 합니다.
• 동의는 자유롭게, 구체적으로, 충분한 정보를 바탕으로 제공되어야 합니다. 미리 체크된 체크박스는 유효한 동의로 인정되지 않���니다.
• 엄격히 필요한 쿠키는 예외입니다. 로그인 기능이나 장바구니와 같이 사용자가 명시적으로 요청한 서비스를 제공하는 데 필수적인 쿠키는 동의가 필요하지 않습니다.

PECR의 동의 기준은 GDPR의 동의 정의와 일치하므로, 실제로는 EU ePrivacy Directive 하의 요구사항과 매우 유사합니다. EU 규정을 준수하는 쿠키 배너는 일반적으로 PECR도 준수하게 됩니다.

쿠키 배너에 대한 ICO 지침

ICO는 PECR 조문을 넘어서는 상세한 쿠키 준수 지침을 발표했습니다. 주요 내용은 다음과 같습니다.

동의는 명시적이어야 함

단순히 웹사이트를 계속 탐색하는 것만으로는 동의로 간주되지 않습니다. ICO는 묵시적 동의는 유효하지 않다고 명시합니다. 비필수 쿠키를 설정하기 전에 사용자가 "Accept" 버튼 클릭과 같은 명확하고 긍정적인 행동을 취해야 합니다.

거부는 동일하게 쉬워야 함

ICO는 쿠키 배너의 다크 패턴에 대해 점점 더 강하게 문제를 제기하고 있습니다. 구체적으로는 다음과 같습니다.

• "Accept All"과 동일한 수준에서 "Reject All" 또는 이에 상응하는 옵션을 제공해야 합니다. "Manage Preferences" 화면 뒤에 거부 옵션을 숨기는 것은 허용되지 않습니다.
• 시각적 디자인에서 색상, 크기, 위치를 이용해 사용자가 동의를 선택하도록 유도해서는 안 됩니다.
• 언어는 중립적이어야 하며, 사용자가 동의하도록 죄책감이나 압박을 느끼게 해서는 안 됩니다.

세분화된 카테고리 제어

사용자는 분석, 마케팅, 기능성 등 특정 카테고리의 쿠키에 대해 개별적으로 동의할 수 있어야 하며, 모두 수락하거나 모두 거부하는 방식만 강요해서는 안 됩니다. ICO가 특정 카테고리 수를 의무화하고 있지는 않지만, 세분화된 제어를 제공하는 것은 모범 사례이며, GDPR의 목적 제한 원칙에 따라 요구될 수 있습니다.

쿠키 월(Cookie Wall)의 문제점

쿠키 월, 즉 사용자가 모든 쿠키를 수락하지 않으면 웹사이트 접근을 차단하는 방식은, 동의가 자유롭게 제공된 것으로 보기 어렵기 때문에 유효한 동의로 인정될 가능성이 낮다고 ICO는 보고 있습니다. 다만, 진정한 쿠키 없는 대안을 제공하는 유료 콘텐츠의 경우 예외가 있을 수 있습니다.

최근 ICO 집행 사례

ICO는 최근 몇 년간 쿠키 준수에 대한 관심을 꾸준히 높여 왔습니다. 주목할 만한 조치는 다음과 같습니다.

• 전 산업군 감사: ICO는 여러 산업 분야에 걸쳐 상위 100개 영국 웹사이트를 대상으로 감사를 실시하고, 광범위한 비준수 사례를 강조한 결과를 발표했습니다. 대표적인 문제로는 동의 전에 쿠키가 설정되는 경우, 거부 옵션 부재, 쿠키 목적에 대한 정보 부족 등이 있었습니다.
• 경고 서한: 감사 이후, ICO는 쿠키 관행이 기준에 미치지 못한 조직에 경고 서한을 발송했습니다. 대부분의 조직은 이 서한을 받은 후 관행을 준수 상태로 개선했습니다.
• Adtech 조사: ICO는 실시간 입찰(real-time bidding) 생태계에 대한 지속적인 조사를 수행하며, 적절한 동의 없이 프로그래매틱 광고 쿠키를 통해 공유되는 방대한 개인정보에 대해 우려를 제기해 왔습니다.
• 공공 부문 집행: ICO는 정부 웹사이트도 예외로 두지 않았으며, 공공 부문 조직의 쿠키 관행에 대해 지침과 경고를 발행했습니다.

ICO가 아직 쿠키 위반만을 이유로 한 대규모 금전적 제재를 부과한 사례는 없지만, 추세는 분명히 더 엄격한 집행 방향으로 나아가고 있습니다. 규제 기관은 조직들이 이제�� 준수 상태에 있어야 하며, 개선하지 않는 경우 집행 조치가 뒤따를 것이라고 명확히 밝혔습니다.

국제 데이터 이전: 영국에서 EU 및 그 밖의 국가로

쿠키 동의는 국제 데이터 이전과 중요한 방식으로 맞물립니다. 분석 또는 광고 쿠키가 영국 외부 서버로 데이터를 전송할 때 — 예를 들어 Google Analytics가 Google 서버로, Facebook Pixel이 Meta 서버로 데이터를 전송하는 경우 — 이는 UK GDPR 하에서 국제 데이터 이전에 해당합니다.

현재 체계는 다음과 같습니다.

• 영국 → EEA: 영국의 EEA 적정성 인정에 따라 데이터가 자유롭게 이전됩니다.
• 영국 → 미국: EU-US Data Privacy Framework의 UK Extension은 인증된 미국 조직으로의 이전 메커니즘을 제공합니다. Google과 Meta는 이 체계에 따라 인증을 받았습니다.
• 영국 → 기타 국가: 영국 버전의 Standard Contractual Clauses 또는 구속력 있는 기업 규칙과 같은 적절한 보호 조치가 필요합니다.

실무적으로, Google Analytics, Google Ads 또는 기타 주요 광고 플랫폼을 사용하는 경우, 국제 이전 메커니즘은 이미 마련되어 있는 경우가 많습니다. ���만, 이러한 이전을 개인정보 처리방침에 문서화하고, 쿠키 배너에서 데이터가 국제적으로 이전될 수 있음을 명시해야 합니다.

영국 특화 준수를 위한 FlexyConsent 지오 타게팅

FlexyConsent는 영국 방문자를 위한 전용 지오 타게팅을 제공하여, 영국의 특정 규제 체계를 준수하도록 합니다.

• PECR 준수 배너: 영국 방문자는 ICO 요구사항을 충족하는 동의 배너를 보게 되며, 여기에는 동등하게 눈에 띄는 거부 옵션과 세분화된 카테고리 제어가 포함됩니다. 명시적 동의가 있기 전까지는 어떤 쿠키도 설정되지 않습니다.
• EU 설정과 분리: 요구사항은 유사하지만, FlexyConsent는 영국과 EU의 동의 경험을 독립적으로 구성할 수 있는 기능을 유지합니다. 이는 향후 영국과 EU 규제가 분기될 가능성에 대비해 구현을 미래지향적으로 설계하는 데 도움이 됩니다.
• ICO 지침에 부합하는 디자인: FlexyConsent의 기본 배너 템플릿은 다크 패턴을 피하라는 ICO 지침을 따릅니다. 수락 및 거부 옵션은 시각적으로 동등하며, 언어는 중립적이고, 디자인은 사용자 선택을 조작하지 않습니다.
• Consent Mode V2 연동: Google-certified CMP로서, FlexyConsent는 영국 방문자에 대해 Google 서비스에 적절한 동의 신호를 전송합니다. 이를 통해 UK 동의 요구사항을 준수하면서도 전환 모델링과 Smart Bidding이 올바르게 작동하도록 보장합니다.
• IAB TCF 2.3 지원: 프로그래매틱 광고를 사용하는 퍼블리셔의 경우, FlexyConsent는 영국 시장에서 활동하는 수요측 플랫폼과 공급측 플랫폼이 인식하는, 영국에 적합한 TCF 동의 문자열을 생성합니다.

FlexyConsent는 EUR 0 per month부터 시작하는 요금제로 제공되며, WordPress, Shopify, PrestaShop에 대한 네이티브 통합을 지원합니다. 특히 영국 기반 기업의 경우, 인증된 CMP를 도입하는 것은 ICO에 대해 선제적인 준수 노력을 보여 주는 것으로, 규제 기관이 집행 조치를 결정할 때 고려한다고 밝힌 요소입니다.

핵심 요약: 브렉시트 이후 영국의 프라이버시 체계는 EU와 매우 유사하지만, 자체 규제 기관, 자체 집행 패턴, 그리고 잠재적으로는 자체적인 향후 입법 방향을 가지고 운영됩니다. 현재로서�� 영국 방문자를 EU 방문자와 동일한 규칙의 적용 대상으로 취급하는 것이 안전하지만, 영국 특화 동의 경험을 구성할 수 있는 능력을 유지하는 것은 두 체계가 향후 분기될 경우 사이트가 이에 맞춰 적응할 수 있도록 해 줍니다. 지오 인식 기능을 갖춘 CMP는 이러한 복잡성을 관리하는 가장 실용적인 방법입니다.