CNIL이란 무엇이며 어떻게 준수합니까?

2020년 10월 1일, 프랑스 데이터 보호국(CNIL)은 쿠키 및 유사 기술에 대한 2019년 지침 개정판을 발표했습니다. 수정된 버전은 쿠키에 대한 GDPR 규정도 고려하여 게시되었습니다.

CNIL 또는 Commission Nationale de l'informatique et des libertes(정보 및 자유에 관한 국가 위원회)는 프랑스에서 데이터 보호법을 집행할 권한이 있는 프랑스 행정 규제 기관입니다. CNIL은 해당 국가에서 아래 세 가지 법률을 모두 시행할 책임이 있습니다.

• 프랑스 데이터 보호법
• GDPR
• 전자 개인 정보 보호 지침

또한 법률 위반에 대한 불만 사항을 접수하고 벌금을 부과할 수 있는 권한이 있습니다.

귀하의 비즈니스가 다음 범주 중 하나에 해당하는 경우 이를 준수해야 합니다.

• 프랑스 및 해외 프랑스 영토에 기반을 두고 있습니다.
• 프랑스 및 해외 프랑스 영토의 시민 및 거주자의 개인 데이터를 수집 및/또는 처리합니다.

이는 GDPR과 동일한 적용 원칙입니다.

사용자는 명확하고 긍정적인 조치(예: 쿠키 배너에서 "동의함" 클릭)로 동의를 허용해야 합니다. 사용자의 무활동, 스크롤링 또는 계속된 탐색 등은 동의로 간주될 수 없으며 명시적 동의를 받을 때까지 필요한 쿠키 이외의 쿠키는 사용자의 장치에 저장되어서는 안 됩니다.

사용자는 처음에 쿠키를 수락한 것처럼 쉽게 쿠키를 거부할 수 있어야 합니다.

이용자는 쿠키에 대한 동의를 언제라도 쉽게 철회할 수 있어야 합니다.

사용자는 동의하기 전에 쿠키의 목적과 쿠키 수락 또는 거부의 결과를 명확하게 알려야 합니다.

쿠키에 대한 동의를 구하는 기업은 언제든지 사용자의 무료, 정보에 입각한, 구체적이고 모호하지 않은 동의의 유효한 수집 증거를 제공해야 합니다.

다음은 CNIL의 규정 준수 요구 사항에 대한 빠른 아이디어를 제공하는 인포그래픽입니다.

CNIL과 GDPR은 모두 쿠키 렌더링에 대해 사용자의 동의를 구하는 것과 관련하여 유사한 요구 사항을 가지고 있습니다. 아래 그림과 같습니다.

• 동의는 자유롭게 해야 합니다. 쿠키에 대한 동의 여부는 이용자가 자유롭게 선택해야 합니다.

• 동의는 구체적이어야 합니다. 데이터 수집 목적별로 동의를 받아야 합니다. 즉, 분석 목적으로 동의를 얻은 경우 마케팅 목적으로 데이터 수집에 대해 새로운 동의가 필요합니다.

• 동의 요청은 잘 알려야 합니다. 이는 귀하가 요청하는 순간에 귀하의 개인 정보 보호 관행을 사용자에게 알려야 함을 의미합니다. 쿠키를 사용하고 있음을 알리고 개인 정보 보호 정책에 대한 링크를 제공하는 것은 좋은 습관입니다.

• 동의는 명확해야 합니다. ACCEPT 및 REJECT 버튼을 표시해야 합니다. ACCEPT 버튼만 표시하는 것만으로는 충분하지 않습니다. 사용자는 웹사이트에서 긍정적인 조치를 취할 수 있어야 합니다.

CNIL에서는 명시적 동의가 필요하지만 특정 쿠키는 사용자 동의 없이 허용되지 않습니다. 다음은 동의 수집에서 제외되는 쿠키의 목록입니다.

• 서비스 인증을 위한 쿠키
• 전자상거래 사이트에서 장바구니 항목을 기억하는 데 사용되는 쿠키
• 트래픽 통계를 생성하기 위한 특정 쿠키
• 유료 사이트에서 사용자가 요청한 샘플 콘텐츠에 대한 무료 액세스를 제한할 수 있는 쿠키
• 이용자의 동의 선택을 저장하는 쿠키
• 사용자 인터페이스 사용자 정의 쿠키
• 언어 기본 설정 쿠키

CNIL은 동의가 긍정적인 행위에서만 이루어져야 한다고 생각합니다. 따라서 어떠한 조치도 취하지 않는 것은 쿠키 사용에 대한 거부로 이해되어야 합니다.

다음은 사용자의 기기에 쿠키를 설정할 수 있는 두 가지 경우입니다.

• 사용자가 쿠키에 대한 동의를 표시했습니다.
• 쿠키는 면제 범주에 속합니다(위 섹션에 나열됨).

이용자의 동의 여부에 관계없이 이용자가 표시한 선택사항은 원칙적으로 지켜야 합니다. 따라서 웹 사이트를 탐색하는 동안 페이지에서 페이지로 선택을 다시 구성할 필요가 없습니다.

따라서 일반적으로 인터넷 사용자가 표시한 선택을 저장하여 일정 기간 동안 다시 요청하지 않는 것이 좋습니다.

선택 항목의 보존 기간은 사례별로 평가해야 합니다(관련 웹사이트 또는 애플리케이션의 특성 및 대상 사용자의 특성과 관련하여). 일반적으로 선택 항목을 6개월 동안 유지하는 것이 좋습니다.

쿠키 월은 사용자가 웹사이트 콘텐츠에 액세스하기 전에 쿠키를 수락해야 하는 웹사이트 디자인입니다. 2019년 지침에서는 쿠키 벽 사용을 완전히 금지하고 있습니다. 프랑스 법원이 법에 어긋나는 판결을 내린 결과 CNIL은 쿠키 벽의 합법성을 사례별로 평가해야 한다고 명시하도록 지침을 수정했습니다.

쿠키월(cookie wall)을 사용하는 경우에는 동의 없이는 콘텐츠에 접근할 수 없음을 이용자에게 명확하게 알려야 합니다. 그렇지 않으면 쿠키 벽이나 배너가 곧 사라져야 콘텐츠에 대한 사용자의 액세스를 방해하거나 사용자가 동의하도록 유도하지 않습니다.

CNIL은 지침과 권장 사항을 모두 제시했습니다. 쿠키 및 기타 추적자에 대한 CNIL 지침은 사용자가 스마트폰, 컴퓨터, 태블릿 등의 인터페이스를 통해 인터넷과 상호 작용하는 동안 적용되는 법률을 알려줍니다.

이 권장 사항은 규정 준수 프로세스와 관련된 전문가를 안내하기 위한 것입니다. 적용 가능한 규칙에 따라 동의를 얻을 수 있을 뿐만 아니라 데이터 보호법 제82조에 명시된 요구 사항을 충족하기 위한 실용적인 방법의 예를 제공합니다.

CNIL은 GDPR 또는 프랑스 데이터 보호법을 위반한 경우 두 가지 방식으로 조직에 벌금을 부과합니다.

• CNIL에 대한 불만 또는 위반 신고 후
• CNIL의 조사에 따라

두 경우 모두 CNIL 위원장은 제한위원회 위원을 제외한 CNIL 위원 중에서 보고자를 임명하고 제한위원회를 참조할 수 있다. 제한위원회는 CNIL 위원 5명과 그 중에서 선출된 위원장으로 구성됩니다.

기소된 조직에 이를 알리고, 보고자와 조직 간의 서면 절차 중에 문서를 교환합니다. 그러면 제한된 위원회가 모든 문서를 받습니다.

절차가 진행되는 동안 보고자가 유용하다고 판단하는 경우 기소된 조직의 의견을 들을 수 있습니다. 이 경우 서면 보고서로 청문회를 확인할 수 있습니다.

패널티는 모니터링 또는 비모니터링일 수 있습니다. 모니터링 측면에서, 기소된 비즈니스 또는 조직은 전 세계 총 매출의 최대 4% 또는 최대 £20M 중 더 큰 금액을 지불해야 합니다. 비감시적 측면에서 경고, 정기적인 벌금 지불 금지 등이 있을 것입니다.

발표한 바와 같이, 새로운 규정(10월 1일에 발표됨)의 준수 기한은 늦어도 2021년 3월 말까지 6개월을 초과해서는 안 된다고 추정합니다.

그런 다음 CNIL은 감사를 수행하고 집행 조치를 취할 것입니다. 항상 그렇듯이 운영자는 ePrivacy Directive와 일반 데이터 보호 규정을 모두 준수하는지 확인해야 합니다.

CookieYes GDPR 쿠키 동의 및 규정 준수 알림 플러그인을 사용하여 WordPress 웹사이트의 CNIL 규정 준수 여정을 쉽게 만들 수 있습니다. 플러그인은 강력한 기능 세트로 쿠키를 쉽게 관리할 수 있습니다.

플러그인은 다음과 같은 기능을 제공합니다.

• 자동 쿠키 검사 – 플러그인은 웹사이트에서 쿠키를 자동으로 검사합니다.
• 쿠키 동의 배너 – 법률 지침에 언급된 요구 사항을 충족하도록 동의 배너를 만들고 사용자 지정할 수 있습니다.
• 세분화된 동의 옵션 – 웹사이트에서 각 유형의 쿠키 사용에 관해 사용자에게 알려 쿠키에 대한 명시적 동의를 구합니다.
• 쿠키 동의 로그 – 동의한 쿠키, 날짜, 시간 등과 같은 관련 데이터와 함께 사용자의 동의를 기록합니다.
• 자동 스크립트 차단 – 타사 플러그인 및 서비스의 쿠키에 대한 스크립트 차단을 활성화할 수 있습니다.
• 개인 정보 보호 정책 생성기 – 처음부터 개인 정보/쿠키 정책을 쉽게 생성합니다.

CNIL이 제시한 새로운 지침 세트에 따라 이를 준수할 시간이 얼마 남지 않았습니다. 그러니 지금 CookieYes GDPR 쿠키 동의 및 규정 준수 알림 플러그인을 사용하여 규정 준수 여정을 시작하십시오.