EU의 쿠키법(Cookie Law, 또는 쿠키지침(Cookie Directive))은 “Directive 2009/136/EC of the European Parliament and of the Council”을 의미한다. 이 쿠키법은 EU 회원국에서의 쿠키정보 수집 시 옵트인 제도의 운영, 즉 사전 고지(Notice) 및 동의(Consent) 의무에 대해 규정하고 있는데, 이는 Directive 2002/58/EC를 수정한 것이다.

쿠키법은 2011년 5월 25일 발효되었으며, 그 이후 EU 회원국은 시간을 두고 자국의 상황에 맞추어 쿠키법을 수정·적용시켜 왔다. 참고로 EU에서 지침(Directive)이라는 것은 규정(Regulation)과 달리 EU 회원국에 의무적인 입법 의무를 부과하는 것은 아니고 EU 회원국의 입법 선택을 통해 간접적으로 그 효력이 발생한다.

현재 독일, 프랑스, 이탈리아, 스페인, 영국, 아일랜드 등 대부분의 국가가 쿠키법을 발효했다. 하지만 각국의 구체적인 입법은 내용 측면에서 사뭇 차이를 보이고 있다. 옵트인(opt-in)의 범위와 옵트아웃(opt-out)의 범위가 나라마다 차이가 크며, 옵트인의 범위가 넓을수록 엄격하다고 평가할 수 있다.

예컨대 프랑스는 매우 강력한 보호주의를 취하는 반면, 아일랜드는 사업자의 편의를 고려하는 입장을 취하고 있다. 이탈리아는 프랑스보다 완화된 모습을 취하고 있으며, 스페인은 보다 강화된 모습을 취하고 있다. 이 중에서 몇 나라를 살펴본다.

우선 이탈리아의 쿠키법을 보면, 이탈리아의 쿠키법은 이탈리아 정보보호당국의 가이드라인인 ‘Simplified Arrangements to Provide Information and Obtain Consent Regarding Cookies’에 포함되어 있으며, 이 가이드라인은 2014년 6월 4일 최종적으로 수정되었다.

이탈리아는 목적에 따라 쿠키를 2가지로 분류하고 있다. 하나가 기술적 쿠키(technical cookie)이고 다른 하나가 프로파일링 쿠키(Profiling cookie)이다.

전자는 데이터통신의 전달 목적이나 이용자가 요구하는 정보를 제공하기 위해 서비스제공자에게 필요한 정보를 의미하는데, 브라우징 쿠키, 어낼리틱 쿠키(Analytic cookie), 펑크셔날 쿠키(Functional cookie)를 포함하며, 이러한 쿠키를 수집할 때에는 동의를 받을 필요는 없으나 고지를 해야 한다.

후자는 이용자를 프로파일링해서 기호를 파악한 다음 광고를 제공하는 데 기여하는 쿠키를 말하며, 이러한 쿠키를 설치하기 전에 반드시 고지를 수반한 이용자의 동의를 받아야 한다. 더불어 서비스 제공자는 배너를 통하여 프로파일링 쿠키에 관한 정보를 제공해야 한다.

프랑스로 건너가서, 프랑스의 쿠키법은 개인정보를 이용하지 않은 쿠키에도 적용되며, 서비스 제공자는 쿠키의 이용 이전에 이용자로부터 동의를 받아야 한다. 또한, 어떻게 쿠키가 이용되는지에 대해 이용자에게 알려주어야 하며, 이용자가 쿠키의 이용을 거부할 수 있는 장치도 마련해야 한다.

다만 이러한 의무는 오직 전자통신을 가능하게 하는 것에 이용되는 쿠키, 온라인 통신서비스를 제공하는 데 필수적인 쿠키의 경우에는 적용되지 않는다.

마지막으로 아일랜드의 쿠키법을 살펴본다. 아일랜드의 쿠키법은 사업자의 편의와 이용자의 보호 사이의 균형을 목적으로 만들어진 것으로서 ‘Guidance on the rules on use of cookies and similar technologies’라는 가이드라인에 규정되어 있다.

EU 쿠키법이 제정되기 이전에 아일랜드는 옵트아웃으로 쿠키를 운영해 왔다. 하지만 EU 쿠키법의 원칙을 준수하게 되면서 옵트인 원칙으로 바뀌게 되었다. 다만 사업자의 편의를 위해 묵시적 동의(implied consent)와 브라우저 설정에 의한 동의를 허용하고 있다.

묵시적 동의에 의한 쿠키 수집은 묵시적 동의를 얻었다고 볼 만한 상황을 전제로 해야 하는데, 예컨대 특정 웹사이트를 방문하는 것, 특정 버튼을 눌러 다른 페이지로 넘어가는 것 등이 있다. 다만 민감정보의 경우는 묵시적 동의로는 부족하고 명시적 동의를 얻어야 한다.

브라우저 설정에 의한 동의는 서비스제공자가 이용자의 브라우저 쿠키 설정을 파악하고 그 설정 내용대로 쿠키를 수집하는 방법인데, 다만 이러한 방법이 통용되려면 이용자의 의사를 추정할 수 있는 장치가 마련되어 있어야 한다.

한편, 오직 통신의 전송 목적으로 쿠키를 수집하는 경우나 정보서비스 제공에 쿠키 수집이 필수적인 경우에는 쿠키에 관한 규정은 면제된다.

우리나라의 경우 쿠키는 정보통신망법 제22조 제2항 제1호의 동의를 받지 않아도 개인정보를 수집할 수 있는 경우로서 “정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우”와 같은 법 제27조의2 제2항 제6호의 개인정보취급방침에 공개하여야 할 내용으로서 “인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항”에 규정되어 있다.

우리 법은 쿠키에 대하여 옵트인 원칙으로 이해되고 있으나, 다양한 쿠키 이용 현황에 대한 명확하고 상세한 길을 제시해주고 있지는 않다. 쿠키에 관한 규정은 Flash Cookie, HTML5 Local Storage 등에도 적용되므로, EU 각국의 쿠키법 현황을 잘 분석하여 가이드라인 형식으로 상세하게 규정함으로써, 쿠키의 이용에 있어 개인정보보호가 소홀해지지 않도록 해야 할 것이다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2014. 8. 25.) 기고.