정책

GDPR 관련 FAQ

GDPR에 따른 Google의 역할이 데이터의 '프로세서'가 아니라 '컨트롤러'인 이유는 무엇인가요?

Google에서는 모든 제품을 검토하고 각 제품에 대해 Google이 수행하는 역할이 컨트롤러인지 프로세서인지를 평가했습니다. Google에서는 제품을 제공하고 개선하기 위해 정기적으로 데이터에 대한 의사 결정을 내리기 때문에 Google 게시자 제품의 컨트롤러 역할을 수행하고 있습니다.

애드센스 게시자의 경우를 예로 들자면, Google에서는 게시자 사이트의 방문자에게 광고를 게재합니다. 만약 게시자의 사이트가 원예와 관련이 있다면 Google에서는 방문자가 원예에 관심이 많을 것이라 유추할 수 있습니다. Google에서는 이 데이터를 광고주에게 혜택이 되도록 사용합니다. 즉, 잔디 깎는 기계 제조업체에서는 사용자가 원예와 관련이 없는 사이트를 방문할 때에도 원예 애호가들에게 광고를 게재하기를 원할 수 있습니다. 이처럼 서로 다른 당사자에게 혜택이 되도록 데이터를 사용하는 것은 Google이 데이터 프로세서가 아니라 컨트롤러라는 의미입니다. Ad Manager 또는 Ad Exchange 제품을 사용하는 게시자의 경우 게시자가 데이터 사용에 대해 더 많은 관리 권한을 갖습니다. 게시자는 애드센스 및 AdMob과 동일한 유형의 데이터를 사용하기로 선택할 수 있습니다. 또는 Google의 데이터 사용을 제한하도록 할 수 있습니다. 예를 들어 자신의 스키 관련 페이지를 방문한 사용자의 데이터를 Google에서 다른 게시자의 사이트에 광고를 게재하는 데 사용하지 못하도록 할 수 있습니다. 이러한 관리 기능에는 일부 제한이 있습니다. Google에서는 광고 게재 알고리즘 테스트, 최종 사용자 지연 시간 모니터링, 예측 시스템의 정확성 확보 등을 포함하여 제품 개선을 위해 Ad Manager 및 Ad Exchange 게시자의 데이터를 사용합니다. 다시 말해, 이와 같은 이유 때문에 Google에서는 Ad Manager 및 Ad Exchange에 대해 프로세서가 아닌 컨트롤러 역할을 수행합니다.

Google의 게시자 제품을 컨트롤러로 지정해도 게시자가 Ad Manager 및 Ad Exchange를 사용하여 파생되는 데이터에 대한 추가적인 권한이 Google에 부여되지는 않습니다. Google의 데이터 사용은 게시자와의 계약 조건, 그리고 Google 제품의 사용자 인터페이스를 통해 게시자가 선택한 기능별 설정에 의해 계속 관리됩니다.

어느 서비스에 최종 사용자의 동의가 필요한가요?

Google의 EU 사용자 동의 정책에는 동의가 필요한 경우에 대한 세부정보가 명시되어 있습니다. 또한 Google에서는 고객으로부터 받은 질문과 그에 대한 답변을 EU 사용자 동의 정책에 대한 도움말 페이지에 업데이트했습니다.

또한 게시자는 Google의 EU 사용자 동의 정책에 따라 사용자에게 데이터 사용 방법에 대한 정보를 제공해야 합니다. Google의 제품에서 데이터가 사용되는 방식을 설명하는 이 사용자 대상 페이지에 연결하시기 바랍니다. 이렇게 하면 Google 정책의 요건을 충족하게 됩니다.

Google에서는 동의 획득을 어떻게 시행할 계획인가요?

Google에서는 고객과 함께 노력하여 규정을 준수하는 것을 가장 중요시하고 있습니다. 사용자의 동의는 다양한 접근 방법을 통해 얻을 수 있으며, Google에서는 게시자가 정책을 준수하는 한 특정 접근 방식을 따르도록 규정하고 있지 않습니다. 예를 들어 게시자가 방문자에게 다양한 선택 옵션을 제공하고 싶을 수 있습니다. Google에서 추천하는 동의 양식의 예제를 cookiechoices.org에서 제공하며, 여기에는 Funding Choices 동의 도구에 사용된 방식이 적용되었습니다. 그러나 게시자가 다른 접근 방식을 선호할 수 있습니다. Google에서는 일률적인 접근 방식을 기대하지 않습니다. Google의 정책은 Google 제품을 사용하고 EEA 지역의 최종 사용자를 보유한 게시자 및 광고주에게 적용됩니다. 그러나 기존 정책을 시행함에 있어서와 마찬가지로 Google에서 취하는 첫 번째 단계는 '결정'을 내리는 것이 아니며, 그보다는 문제에 대해 알리기 위해 고객에게 연락하고 준수를 위해 함께 노력하고자 합니다.

게시자가 사용자의 동의를 얻지 않고 Google 제품을 사용할 수 있나요? 만약 그렇게 한다면 어떻게 되나요?

Google에서는 게시자가 1) EEA 사용자에게 개인 맞춤 광고와 개인 맞춤이 아닌 광고 중 하나를 선택할 수 있는 옵션을 제시하거나 2) EEA의 모든 사용자에게 개인 맞춤이 아닌 광고만 게재하기로 선택할 수 있는 개인 맞춤이 아닌 광고 모드를 개발했습니다.

개인 맞춤이 아닌 광고는 광고 개인 최적화에 쿠키를 사용하지 않지만 게재빈도 설정, 통합 광고 보고서와 사기 및 악용 방지를 위해서는 쿠키를 사용합니다. 따라서 이러한 목적을 위한 쿠키 사용에 대해 온라인 개인정보보호지침의 쿠키 조항이 적용되는 국가의 사용자로부터 동의를 얻어야 합니다.

개인 맞춤이 아닌 광고를 위한 Google의 솔루션은 무엇인가요?

개인 맞춤이 아닌 광고를 사용하면 게시자가 EEA 사용자에게 개인 맞춤 광고와 개인 맞춤이 아닌 광고 중 하나를 선택할 수 있는 옵션을 제시하거나, EEA의 모든 사용자에게 개인 맞춤이 아닌 광고만 게재하기로 선택할 수 있습니다. 개인 맞춤이 아닌 광고는 대략적인(도시 수준) 위치와 같은 상황 정보만 사용합니다.

개인 맞춤이 아닌 광고의 경우 Google의 역할은 컨트롤러가 아니라 프로세서 아닌가요?

Google에서는 게시자 간 최적화 및 제품 개선을 위해 위에서 언급한 데이터에 대한 결정을 계속 내리게 되며, 따라서 이 솔루션에서 Google은 계속 컨트롤러 역할을 수행하게 됩니다.

Google에서는 문맥 타겟팅 광고 게재, 광고 보고서, 사기 및 악용 방지 등의 활동을 위해 개인 정보를 사용할 때 합법적인 이익을 법적 근거로 삼고 있습니다.

개인 맞춤이 아닌 광고는 광고 개인 최적화에 쿠키를 사용하지 않지만 게재빈도 설정, 통합 광고 보고서와 사기 및 악용 방지를 위해서는 쿠키를 사용합니다. Google에서는 GDPR에 따라 이러한 데이터를 합법적 이익에 근거를 두고 처리하고 있지만, 이러한 목적으로 쿠키를 사용하기 위해서는 온라인 개인정보보호지침의 쿠키 조항이 적용되는 국가의 사용자로부터 쿠키 사용에 대한 동의를 얻어야 합니다.

게시자가 IAB 프레임워크를 사용하는 경우, 완전한 판매 측 통합이 이루어지기 전에 게시자가 Google 게시자 제품을 사용하기 위한 옵션으로는 어떤 것이 있나요?

Google에서는 아직 IAB 투명성 및 동의 프레임워크(TCF)와의 통합을 이루지 못했습니다. 지난 몇 개월 동안 IAB 유럽과 협력하여 Google 제품 및 정책이 TCF를 지원할 방법을 알아보았지만 기술적 통합은 완료되지 않았습니다. 

Google의 IAB 통합이 완료되면 Google에서는 게시자 ATP 관리에서 선택한 광고 기술 제공업체에 대해 개인 맞춤 광고를 게시합니다. 게시자는 광고 요청에 개인 맞춤이 아닌 광고 신호를 포함하거나 Ad Manager UI에서 EEA의 모든 사용자에게 개인 맞춤이 아닌 광고만을 게재할 수 있습니다. 또한 IAB TCF 기술 사양은 웹을 지원하며, 모바일 앱 사양은 아직 확정되지 않았습니다. 

앞으로 Google에서 정책을 변경할 경우 게시자에게 어떤 방법으로 알릴 계획인가요?

Google에서는 Google의 EU 사용자 동의 정책을 변경할 경우 미치게 될 영향을 신중하게 고려합니다. 그러나 규제 지침에 중요한 변경사항이 있는 경우(예: 실제로 합법적 이익을 바탕으로 개인 맞춤 광고를 게재할 수 있다고 지침에 명시되는 경우) 해당 사항이 Google 정책에 반영될 것으로 예상할 수 있습니다. Google에서는 정책에 대한 모든 변경사항을 사전에 공지하지는 않지만, EU 사용자 동의 정책에 적용되는 변경사항에 대해서는 예외를 두기로 했습니다. 추가로 중요한 변경사항이 발생하는 경우에도 이처럼 대응하게 될 수 있습니다.

Google에서는 지난 수개월 동안 그래 왔듯이 최신 업데이트를 공유하고 파트너의 의견을 반영할 수 있도록 앞으로도 게시자 파트너와 활발한 소통을 이어갈 것입니다.

도움이 되었나요?
어떻게 하면 개선할 수 있을까요?