애드센스 GDPR 메시지 해결 (2) 왜 해결이 필요할까요?

주의: 개인의 주관적 의견과 조사내용을 정리한 자료입니다. 단순참조로 이용하시기 바랍니다.

이 자료는 절대적인 자료가 아니며, 자료의 내용이 법적 효력을 가지지도, 이 자료에 관련한 법적 책임을 부담하지도 않습니다. 

앞선 글에 이어서 먼저 왜 해결이 필요한 지 제 의견을 말씀드리도록 하겠습니다. 앞선 글을 읽지 않으셨으면 조금 엉뚱하게 읽힐 수 있으니, 전 글도 읽어봐주세요!

구글 애드센스 GDPR 메시지 해결 (1) 해결이 필요한 걸까요?

목차

무시해서는 안 되는 이유

일단, 이 메시지를 무시하면 안 될 것 같습니다. 무시해도 된다는 입장의 의견은,

• 유럽경제구역의 사용자든, 캘리포니아 등 미국 전역의 사용자든 규제 적용 국가의 국민이나 거주민을 구독자로 감안하고 블로그 운영을 하고 있지 않으므로 규제 적용 받지 않을 것 같다.
• 회원가입을 유도하는 사이트도 아니고(물론, 가입하거나 후원을 유도하는 사이트도 있겠지만) 따로 내가 개인정보를 수집하고 있지도 않은데, 있지도 않은 개인정보를 어떻게 보호하냐. 관련 없는 얘기다.

정도로 정리해볼 수 있었던 것 같습니다. 반박을 해보도록 하겠습니다.

규제가 적용되는 국가의 사용자의 유무에 관해

제 구글 애널리틱스(Google Analytics(R))의 국가별 사용자 통계입니다. 하루에 몇 안 들어오는 블로그이지만, 미국, 일본, 호주 등 다양한 국가에서 접속이 이루어지는 것을 확인할 수 있습니다. 출처: 구글 애널리틱스

비록 독자의 타겟으로 생각하고 있지는 않더라도, 해외 사용자의 유입이 있을 수 있습니다. 위의 그래프는, 제가 구글 애널리틱스 페이지에서 얻은 통계로 제 블로그에 한국 이외에도 다양한 국가의 사용자들이 접속하고 있다는 것을 보여줍니다. 다시 생각해보면, 이제는 해외에도 한국인들이 많이 거주하고 있잖아요? 이 중에서는 국적도 해외국적이 된 분들도 있을 겁니다. 아니면 한국어에 능통한 외국인이 한국 블로그도 읽어보려고 하는 경우가 있을 수 있구요. 제 블로그처럼 하루 방문객이 그리 많지 않은 곳에도 저 정도면, 다른 인기 있는 블로그 등에는 얼마나 많은 규제적용 국가(미국, EU 소속 국가 등)의 국민들이나 거주민들이 접속을 하게 될 지 가늠하기 어려울 정도겠죠. 단순히 나중에 '아, 그런 분들이 들어오시는 줄 몰랐다'고 할 수는 없을 겁니다. 어느 나라의 법에든, 한국 법의 선량한 관리자의 의무라고나 할까요, 관련된 규정을 어느 정도 생각하고 저촉되지 않도록 관리하는 것도 블로그 운영자의 책임이니까요. 구글 애드센스 도움말에도 다음과 같은 말이 잠시 지나갑니다.

출처: 구글 애드센스

정말 우리가 개인정보를 수집하고 있지 않은지?

다시 생각해볼 문제이며, 정답은 '수집하고 있다'라고 보는 것이 타당합니다. 최소 1개라도 뭔가를 수집하고 있는지 확인해보면 되겠군요. 이때 GDPR을 규정하는 조문을 직접 읽어보면 해답이 나옵니다. 

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016

---

Whereas:
...
(30) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.
...
Article 4
(1) 'personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
(출처: EUR-Lex, https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng)

갑자기 영어가 나와서 당황하셨죠?😅 다 볼 필요는 없습니다. 요즘 어디 사이트 들어가면 쿠키 설정 누르는 것 자주 보이죠? 그래서 필요한 쿠키만 제공할 건지, 사이트에서 요구하는 모든 종류의 쿠키를 다 줄 건지를 선택할 수 있습니다. 쿠키의 경우도 개인정보에 해당하기 때문인데요. 이를 포함해서 IP주소 등도 개인(법 용어로 자연인. 법인이 아닌)을 특정짓는 정보가 될 수 있다고 규정하고 있는 겁니다.

 

그러면 IP주소를 모으고 있을까요? 네, 그렇습니다!! 댓글란을 보시면 확인 가능합니다.

댓글 중 하나

누군가가 댓글을 올리면 보통 댓글 작성 일시와 함께 IP주소가 (완전히 노출되지는 않지만) 수집되는 것입니다!! 물론 익명을 가능하게 했을 수도 있고 VPN을 사용하여 IP 우회를 하고 있을 수도 있고, 개인을 특정할 수 없을 가능성도 있다고 생각할 수는 있겠습니다만 항상 그렇다고 보장할 수도 없는 노릇이니까요. 저걸로 개인을 특정할 수 없다고 주장하는 것이 옳을지, 규정에 나와 있는 대로 개인정보로 간주하고 대비하는 것이 옳을지는 여러분의 판단이긴 합니다. 하지만 저는 이 정도면 개인정보를 수집하고 있었구나, 내가 직접한 것은 아니어도 티스토리 등 사이트에서 직접 개인정보를 수집하는구나 하고 납득할 수 있을 것 같은데요.🧐

 

이외에도 접속하는 디바이스의 종류, 어느 포털을 통해서 접속했는 지 등도 수집되고 있습니다. 블로그 관리 화면의 방문 통계를 보시면,

물론 이는 IP와 연결되어 있는 정보는 아니기 때문에 개인을 특정하기 어렵다는 점은 앞선 IP주소와의 차이점이겠지만, 티스토리 내부에서는 이러한 정보가 수집되어 있음을 알아둘 필요는 있습니다. 즉, 저의 블로그를 방문함으로써 티스토리에서 정보를 수집하는 행위에 노출되므로, 저의 블로그가 블로그 사용자에게 개인정보수집을 당하는 것을 돕는 셈이 되는 것이죠.

 

이것만으로는 납득하기 어려우시다면, 하나 더 있습니다. GDPR에서는 관련한 제3자(third party)에 의한 개인정보 수집도 고지하여야 한다고 명시하고 있습니다.

Article 4
(10) ‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data;
Article 6
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.
Article 13
1.   Where personal data relating to a data subject are collected from the data subject, the controller shall, at the time when personal data are obtained, provide the data subject with all of the following information:
(d) where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party;
(출처: EUR-Lex, https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng)

이외에도 조항이 많은데, 각설하고 제3자가 개인정보를 수집하는 경우에도 어떤 정보를 어떻게 수집/이용/보관/처리하는 지 알려줘야 한다는 내용이 들어있다는 것이 중요합니다. 그런데 아까 IP주소에서도 말씀드렸듯 티스토리, 그리고 당장 이 문제를 신경쓰게 만든 구글 애드센스도 블로그 접속자들의 정보를 알게 모르게 수집을 하고 있으므로, 이에 대한 고지는 필요하다는 결론을 얻을 수 있습니다.

 

이제 해결을 해야한다는 결론은 얻었는데, 어떻게 하면 될까요? 여기에 대해서는 다음 글에서 자세히 설명드리겠습니다.

 

한 줄 요약

블로거들은 알게 모르게 제3자를 통해 개인정보를 수집해왔다고 생각할 수 있고,
해외에서 유입되는 사용자도 있을 수 있므로 규제의 대상이 될 수 있다.