인터넷 접속정보파일(쿠키) 활용 맞춤형 광고(개인정보 동의)

1. 질의 요지

웹에서 임시로 만들어지는 개인정보파일인 쿠키를 활용한 맞춤형 광고가 개인정보의 적법한 이용 범위에 있는지?

 

<질의 배경>

쿠키를 활용한 맞춤형 광고의 ｢개인정보 보호법｣ 위반 여부에 대한 법령해석을 요청함.

 

 

2. 답변

쿠키는 여러 개의 쿠키를 종합하거나 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 경우 개인정보에 해당하며, 이를 광고 등 홍보 목적으로 이용하는 경우에는 정보주체의 사전 동의가 필요합니다.

 

 

 

3. 이유

‘쿠키’란 웹사이트에 접속할 때 자동적으로 만들어지는 임시 파일로 이용자가 본 내용, 상품 구매 내역, 신용카드 번호, 아이디(ID), 비밀번호, IP주소 등의 정보를 담고 있는 일종의 정보파일을 말합니다. 

 

쿠키는 ‘온라인 행태정보’에 해당하므로 다른 개인정보와 결합･분석하여 개인별 맞춤형 광고에 활용하는 것은 해당 서비스 제공 계약 이행과는 관계없는 목적으로 이용하는 것입니다. 

 

‘온라인 행태정보’란 웹 사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상의 이용자 활동 정보를 말합니다(온라인 맞춤형 개인정보 보호 가이드라인(2017.2.), 1쪽).

 

따라서 그 수집을 위하여 정보주체의 동의를 받고, 수집 목적 범위 내에서 이용 또는 제공하여야 합니다.

 

｢개인정보 보호법｣은 인터넷 접속정보파일(쿠키) 등 개인정보를 자동으로 수집하는 장치의 설치･운영 및 그 거부에 관한 사항을 개인정보 처리방침으로 정하여 정보주체가 쉽게 확인할 수 있도록 그 공개를 의무화하고 있습니다.

 

그러므로 ｢개인정보 보호법｣ 제30조는 개인정보처리방침을 수립할 때 ‘인터넷 접속정보파일 등 개인 정보를 자동으로 수집하는 장치의 설치･운영 및 그 거부에 관한 사항’을 공개하도록 규정하고 있으므로 쿠키를 수집할 때, 정보주체의 동의를 받을 것을 요구하고 있지는 않습니다.

또한, 개인을 식별할 수 있는 정보를 중심으로 규율하고 있는데, 쿠키는 그 자체로는 개인을 식별할 수 없고, 특정 컴퓨터를 식별할 수 있지만, 여러 개의 쿠키 내용을 종합하거나, 쿠키 정보와 다른 유형의 정보를 종합해 개인을 식별하는 것이 가능
합니다. 

 

비록 쿠키만으로 특정 개인을 알아볼 수 없더라도, 개인정보처리자인 서비스 제공자의 입장에서 단말기 번호, IP주소, 회원번호 등 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있다면 쿠키도 개인정보에 해당합니다. 

 

그러므로 쿠키가 개인식별정보와 결합하여 식별가능성이 있는 경우 이를 홍보목적 등으로 활용할 때에는 해당 정보주체의 사전 동의가 필요합니다.

 

<관계법령>

｢개인정보 보호법｣ 제2조 제1호, 제4조 제2호, 제17조, ｢개인정보 보호법 시행령｣ 제14조의2

 

 

참고 : EU의 쿠키 정책

- 쿠키의 개념 및 기능

쿠키는 인터넷 사이트를 방문할 때 컴퓨터 또는 모바일 기기에 웹사이트가 저장하는 작은 텍스트 파일임.

쿠키는 같은 사이트를 방문할 때 자동으로 로그인할 수 있도록 하거나 자주 이용하는 서비스에 접속할 수 있도록 하거나, 또는 사이트 방문 경험에 대한 익명 통계를 위하여 이용될 수 있음.

 

그렇지만, 쿠키는 웹사이트가 너무나 쉽게 개인의 모든 온라인 활동을 추적하여 이용자를 타겟으로 광고를 하고, 이용자의 동의 없이 이용자를 식별할 수 있는 많은 데이터를 저장할 수 있으며, 개별방문기록을 웹사이트 자신의 이익을 위하여 이용할 수 있음.

EU는 2011년 인터넷 이용자는 자신들이 방문한 웹사이트가 어떤 쿠키를 사용하고 어떻게 사용 하고 있는지를 알 수 있는 권리가 있고, 원하는 경우 쿠키에 대하여 opt-out 할 수 있는 능력이 있다는 것을 인정한 바 있음.

GDPR은 전문(recital) 30에서 ‘쿠키는 온라인 식별자로서 서버가 수집하는 고유식별자 및 그 밖의 정보와 결합하는 경우 사람의 프로파일을 생성하여 식별하는데 이용될 수 있다’고 하여 개인정보로서 보호하고 있음.

 

그러므로 기업은 이용자의 동의를 받거나 그 이용에 대해 정당한 이익을 가지고 있는 경우에 한하여 이용자의 정보를 처리할 수 있음.

 

- 쿠키의 종류

 

[보유기간]

1. 세션 쿠키(Session cookies) : 일시적으로 사용되고, 브라우저를 닫거나 세션이 끝날 때마다 만료됨.

2. 영구 쿠키(Persistent cookies) : 만료 날짜가 포함된 쿠키로서 만료 기간에 따라 이용자가 직접 삭제하거나 브라우저가 삭제하기 전까지 HDD에 남아 있는 모든 쿠키를 말함.

 

ePrivacy Directive에 따르면 12개월 이상 지속되지 않아야 하지만, 실제로는 이용자가 조치하지 않는 한 더 오래 이용자의 기기에 남아 있을 수 있음.

 

[쿠키출처]

1. 당사자(First-party) 쿠키 : 이용자가 방문한 웹사이트가 이용자의 기기에 직접 설치하는 쿠키로서 해당 웹사이트만 읽을 수 있음.

2. 제3자(Third-party) 쿠키 : 이용자가 방문한 웹사이트가 아닌, 광고주 또는 분석시스템 등 제3자가 이용자의 기기에 설치하는 쿠키를 말함(예: 이용자가 A라는 웹사이트를 방문했는데 제휴사인 B사의 쿠키가 설치되는 경우).

 

[쿠키 사용목적]

1. 필수 쿠키(Strictly necessary cookies) : 웹사이트를 탐색하고 안전한 사이트에 접근하도록 하는데 필요한 쿠키를 말함. 일반적으로 당사자 세션 쿠키이고, 이용자 동의를 얻을 필요는 없지만 쿠키의 기능 및 필요한 이유에 대해서는 이용자에게 설명해야 함(예: 온라인 쇼핑몰에서 장바구니에 물건을 넣을 수 있도록 하는 쿠키).

2. 설정 쿠키(Preferences cookies) : ‘기능성 쿠키’(functionality cookies)라고도 불리는 쿠키로서 웹사이트 이용자가 이전에 선택한 언어, 지역, 사용자 이름 및 암호 등의 항목을 기억하여 자동으로 로그인하는 기능 등을 제공함.

3. 통계 쿠키(Statistics cookies) : ‘성능 쿠키’(performance cookies)라고도 불리는 쿠키로서 방문한 페이지와 클릭한 링크와 같은 웹사이트를 이용 방법에 대한 정보를 수집하는데, 그 목적은 웹사이트 기능을 향상하기 위한 것임. 이 쿠키는 이용자를 식별할 수 없고, 정보를 모아 익명화함. 방문한 웹사이트의 소유자가 쿠키를 배타적으로 이용하는 한 제3자 분석 서비스에서 생성되는 쿠키를 포함함.

4. 마케팅 쿠키(Marketing cookies) : 이용자의 온라인 활동을 추적하여 광고주가 웹 사이트 방문자에게 보다 관련 있는 광고를 전달하도록 돕거나 광고 노출 시간을 제한함.

 

다른 기업 및 광고주와 데이터를 공유하는 경우가 많음. 이 쿠키는 영구 쿠키로서 언제나 제3자가 설정하는 쿠키임.

 

- 쿠키를 사용할 때 준수하여야 하는 사항

1. 필수 쿠키를 제외한 쿠키를 사용하기 전에 이용자의 동의를 받아야 함.

2. 쿠키 사용에 대한 이용자의 동의를 받기 전에 각 쿠키가 추적하는 데이터와 그 목적에 대한 정확하고 구체적인 정보를 쉬운 언어로 제공해야 함.

3. 이용자의 동의를 기록하고 보관할 것.

4. 이용자가 특정 쿠키 사용을 거부한다고 하더라도 이용자가 서비스를 이용할 수 있도록 할 것.

5. 이용자가 처음에 동의한 것과 같이 자신의 동의를 쉽게 철회할 수 있도록 할 것.

 

출처 : Cookies, the GDPR, and the ePrivacy Directive

 

 

 

출처 : 2022 개인정보 주요 이슈 법령해석 사례 30선(개인정보보호위원회)