전자상거래 고객 데이터 보호: GDPR 준수

소개

고객 데이터 보호는 모든 전자상거래 플레이어에게 중요한 전략적 문제입니다. 2018년 5월 25일 일반 데이터 보호 규정(GDPR)이 발효된 이후 판매자 사이트, 모바일 판매 애플리케이션 및 마켓플레이스는 최대 2천만 유로 또는 연간 전 세계 매출액의 4%에 해당하는 제재를 받는 엄격한 법적 틀을 준수해야 합니다. 규제 제약 외에도 GDPR 준수는 고객 신뢰의 실질적인 지렛대입니다. 유럽 소비자의 87%는 데이터 보안이 의심되는 사이트에서 제품을 구매하지 않을 것이라고 말합니다. 이 주요 기사에서는 동의, 쿠키, 뉴스레터 및 결제 데이터 보안과 관련하여 전자 소매업체의 구체적인 의무를 자세히 설명합니다.

동의: GDPR 준수의 초석

동의는 GDPR 제6조에 규정된 처리에 대한 6가지 법적 근거 중 하나를 구성합니다. 유효하려면 제7조에 정의된 네 가지 누적 기준, 즉 자유롭고, 구체적이고, 정보가 풍부하고, 모호하지 않아야 합니다. 전자상거래 맥락에서 이는 인터넷 사용자가 제품 구매를 조건으로 동의할 수 없으며(자유의 원칙) 각 목적(마케팅 프로파일링, 파트너와의 공유, 뉴스레터 등)에 대해 별도로 동의할 수 있어야 함을 의미합니다.

CNIL은 쿠키 및 추적기에 대한 지침을 통해 2020년부터 요구 사항을 상당히 강화했습니다. 이제 "모두 허용" 버튼에는 동등한 접근성 및 가시성을 갖춘 "모두 거부" 버튼이 함께 제공되어야 합니다. 사전 체크박스는 절대 금지합니다. (CJEU Planet49 판결, 2019년 10월 1일) 또한 전자 가맹점은 처리 기간 동안 타임 스탬프가 찍힌 동의 증명을 보관해야 하며 초기 승인만큼 간단한 철회도 허용해야 합니다.

판매자 사이트의 쿠키 및 추적기 관리

전자상거래 사이트는 분석, 광고 재타겟팅, 소셜 네트워크, 챗봇, A/B 테스트 등 평균 40~60개의 제3자 쿠키를 사용합니다. 개정된 정보보호법 제82조는 서비스 운영에 꼭 필요한 것이 아닌 모든 추적기에 대해서는 사전 동의를 요구하고 있습니다. 장바구니, 인증 세션 및 로드 밸런싱 쿠키만 제외됩니다.

규정을 준수하는 동의 관리 플랫폼(CMP) 설정이 필수가 되었습니다. 방문자가 목적(관객 측정, 개인화, 타겟 광고)별 수용 및 수신자별 선택 등 세부적인 선택을 할 수 있어야 합니다. 수락 버튼만큼 접근 가능한 거부 버튼이 없기 때문에 2022년에는 Google(€150M), Amazon(€35M), Facebook(€60M) 등 제재가 쏟아지고 있습니다.

뉴스레터 및 상업적 잠재고객 발굴: 엄격한 동의

뉴스레터 및 홍보 이메일 전송은 ePrivacy 지침을 대체하는 우편 및 전자 통신법 L.34-5 조항에 해당합니다. 원칙은 개별 잠재 고객(B2C)에 대한 명시적인 사전 선택입니다. 이미 구매한 고객에게는 주목할 만한 예외가 있습니다. 유사한 제품이나 서비스에 대한 조사는 수집 중에 정보를 받았고 각 배송에 이의를 제기할 수 있는 경우에 한해 승인됩니다.

구체적으로 “[브랜드]로부터 상업적 제안을 받고 싶습니다” 상자는 기본적으로 선택 해제되어 있어야 하며 이용약관에 동의하는 것과는 별개입니다. 각 이메일에는 작동하는 원클릭 구독 취소 링크, 보낸 사람의 신원 및 유효한 연락처 주소가 포함되어야 합니다.

결제 데이터 보안

은행 데이터 처리는 GDPR(보안 제32조)과 PCI-DSS 표준(결제 카드 산업 데이터 보안 표준)에 모두 적용됩니다. 전자 가맹점은 PCI-DSS 레벨 1 인증 결제 서비스 제공업체(PSP)를 통한 토큰화를 선호하여 카드 번호를 직접 저장하는 것을 피해야 합니다. DSP2 지침을 적용하면 2021년 5월 15일부터 강력한 인증(3D Secure v2)이 필수입니다.

거래 후 시각적 암호(CVV)를 보관하는 것은 엄격히 금지됩니다. 카드번호는 후속 구매를 용이하게 하기 위해 명시적인 동의가 있는 경우에만 보관할 수 있습니다(CNIL 심의 제 2018-303호).

결론

전자상거래에서 GDPR 준수는 단순한 법적 체크리스트가 아니라 전체 디지털 고객 관계를 구성합니다. 세부적인 동의, 쿠키 관리, 엄격한 조사 및 안전한 결제 사이에서 전자 소매업체는 여정을 설계할 때 "개인정보 보호 설계" 접근 방식을 채택해야 합니다. 상업적인 장애물이 아닌 이러한 접근 방식은 디지털 신뢰가 전환율과 충성도를 좌우하는 시장에서 차별화된 주장이 됩니다.