GDPR이 쿠키 배너에 요구하는 것

GDPR과 ePrivacy 지침은 쿠키 동의에 대한 5가지 협상 불가 규칙을 정합니다:

• 자유롭게 제공: 쿠키 거부는 수락만큼 쉬워야 합니다.
• 구체적: 동의는 각 목적별로 개별 요청해야 합니다.
• 정보에 기반: 사용자는 동의하기 전에 무엇에 동의하는지 알아야 합니다.
• 명확한: 사전 체크된 상자와 브라우징 계속은 해당되지 않습니다.
• 철회 가능: 사용자는 언제든 동의를 철회할 수 있어야 합니다.

예시 1: "수락만" 배너 (비준수)

모습

"경험 향상을 위해 쿠키를 사용합니다"와 "확인" 버튼 하나만 있는 작은 바. 거부 옵션 없음, 설정 없음.

실패 이유

실질적 선택지 없음, 쿠키 정보 없음, 거부 방법 없음. CNIL은 2022년 정확히 이 패턴으로 Google에 1억 5천만 EUR, Facebook에 6천만 EUR 벌금을 부과했습니다.

판정: GDPR에 따라 불법.

예시 2: 모두 수락 + 작은 "환경설정 관리" 링크 (비준수)

모습

눈에 띄는 "모두 수락" 버튼과 작은 회색 "환경설정 관리" 링크. "모두 거부" 버튼 없음.

실패 이유

시각적 계층이 사용자를 수락으로 유도합니다. 거부는 2번 클릭, 수락은 1번 클릭. 여러 DPA가 이것은 자유롭게 제공된 동의가 아니라고 판결했습니다.

판정: 비준수. 거부는 수락만큼 접근 가능해야 합니다.

예시 3: 동일한 수락 및 거부 버튼 (준수)

모습

같은 크기의 두 버튼: "모두 수락"과 "모두 거부". 아래에 "환경설정 관리" 링크. 쿠키 목적에 대한 간단한 설명.

작동 이유

진정한 자유로운 선택, 두 옵션 모두 동일하게 눈에 띔, 각각 한 번 클릭. CNIL이 명시적으로 권장한 패턴입니다.

판정: 준수. 모든 웹사이트가 충족해야 할 기본선.

예시 4: 쿠키 월 (비준수)

모습

모든 콘텐츠를 차단하는 전체 화면 오버레이. 유일한 옵션은 "쿠키 수락".

실패 이유

GDPR 제7조(4) — 서비스 접근이 조건부인 경우 동의는 자유롭지 않습니다. 네덜란드 DPA는 쿠키 월이 일반적으로 허용되지 않는다고 결론지었습니다.

판정: 대부분의 EU 관할권에서 비준수.

예시 5: 사전 체크된 체크박스 (비준수)

모습

체크박스가 있는 쿠키 카테고리를 보여주는 상세 배너 — 하지만 모든 박스가 사전 체크됨.

실패 이유

CJEU Planet49 판결(2019)이 이를 확정적으로 해결: 사전 체크된 박스는 유효한 동의가 아닙니다. 동의는 명확한 긍정적 행동을 요구합니다.

판정: CJEU 판례법에 따라 명시적으로 불법.

예시 6: 계층적 접근법 (준수 — 모범 사례)

모습

첫 번째 레이어: 모두 수락, 모두 거부, 사용자 정의 버튼이 있는 컴팩트 배너. 두 번째 레이어: 개별 카테고리 토글과 벤더 목록이 있는 상세 설정 센터. 세 번째 레이어: 전체 쿠키 정책.

작동 이유

정보와 사용성의 균형. 첫 번째 레이어는 선택을, 두 번째는 세부 사항을, 세 번째는 완전한 투명성을 제공합니다. EDPB가 명시적으로 권장.

판정: 모범 사례. 준수의 골드 스탠다드.

예시 7: 오해를 유발하는 버튼 라벨 (비준수)

모습

"동의합니다" 대 "비필수 쿠키 거부에 동의하지 않습니다". 또는: "권장 설정 수락" 대 "제한된 버전 사용".

실패 이유

GDPR 전문 42는 명확하고 평이한 언어를 요구합니다. 이중 부정, 암시된 결과, 조작적 라벨은 비준수입니다.

판정: 비준수. 명확하고 중립적인 라벨을 사용하세요.

예시 8: 올바르게 만들어진 준수 배너

모습

깔끔한 하단 바: 명확한 제목, 간단한 설명, 동일한 스타일의 세 버튼(모두 수락, 모두 거부, 환경설정 관리), 쿠키 정책 링크. 환경설정 관리는 개별 토글, 벤더 목록, 저장 버튼이 있는 설정 센터를 엽니다.

작동 이유

모든 요구 사항 충족: 자유로운 선택, 대칭 버튼, 계층적 정보, 평이한 언어, 사전 체크된 박스 없음, 쿠키 설정 아이콘을 통한 쉬운 철회.

판정: 완전 준수.

나쁜 배너에 대한 실제 벌금

• Google (프랑스, 2022): 1억 5천만 EUR — 거부 옵션이 수락보다 찾기 어려웠음.
• Facebook (프랑스, 2022): 6천만 EUR — 동일한 비대칭 문제.
• Microsoft (프랑스, 2022): 6천만 EUR — 유효한 동의 없이 광고 쿠키 설정.
• TikTok (프랑스, 2023): 5백만 EUR — 쿠키 거부에 수락보다 더 많은 단계 필요.

준수 체크리스트

• 첫 번째 레이어에 보이는 "모두 거부" 버튼이 있나요?
• 수락과 거부가 동일하게 눈에 띄나요?
• 모든 체크박스가 기본적으로 체크 해제되어 있나요?
• 비필수 쿠키가 설정되기 전에 배너가 표시되나요?
• 사용자가 세부 카테고리 컨트롤에 접근할 수 있나요?
• 동의가 타임스탬프와 함께 기록되나요?
• 사용자가 언제든 동의를 변경할 수 있나요?
• 배너가 사용자의 언어인가요?
• 거부 클릭이 실제로 비필수 쿠키를 방지하나요?

FlexyConsent가 이를 기본적으로 처리하는 방법

FlexyConsent는 IAB TCF 2.3을 지원하는 Google 인증 CMP입니다. 모든 준수 요구 사항을 충족합니다:

• 첫 번째 레이어에 동일한 수락 및 거부 버튼
• 내장 계층적 접근법 (첫 번째 레이어는 선택용, 두 번째는 세부 컨트롤용)
• 사전 체크된 박스 없음 — 모든 선택적 카테고리 기본 체크 해제
• Google Consent Mode V2 기본 통합
• 자동 감지 기능의 43개 언어
• 지역별 배너를 위한 지역 타겟팅
• 감사를 위한 동의 로깅 및 증거
• 월 0 EUR부터 플랜

panel.flexyconsent.com에서 5분 이내에 준수 배너를 설정하세요.