왜 이런 일이 여러분의 책상을 강타하나요? 불만 사항이 먼저 발신자에게 전달되기 때문입니다. ISP는 발신자의 평판을 판단합니다. 그리고 규제 당국은 공급업체의 변명이 아닌 깨끗한 소싱을 기대합니다. 그렇기 때문에 오늘은 개인정보 보호법과 데이터 브로커에 대해 자세히 알려드리겠습니다.
이 가이드에서는 이 점들을 연결해 보겠습니다. 데이터 브로커가 하는 일. 레지스트리의 작동 방식. EFF/PRC 조사 결과가 위험에 미치는 영향. 그런 다음 위험과 모범 사례를 다루고 지금 바로 실행할 수 있는 체크리스트를 보여드리겠습니다.
EFF 및 중국 조사에서 밝혀진 내용
올해 전자 프론티어 재단(EFF)과 프라이버시 권리 클리어링하우스(PRC)의 연구원들이 모든 마케터들이 잠시 멈춰야 할 사실을 발견하면서 개인정보 보호법과 데이터 브로커에 대한 논의가 더욱 활발해졌습니다. 캘리포니아에 291개, 텍사스에 524개, 오레곤에 475개, 버몬트에 309개 등 많은 데이터 브로커가 주 당국에 등록하는 기본 단계를 체계적으로 생략하고 있다는 사실을 발견했습니다.
이는 목록을 구매하거나 데이터를 추가하는 모든 사람에게 적신호입니다.
이러한 등록법은 햇빛을 만들기 위해 존재합니다. 데이터 브로커의 명단을 작성합니다:
- 그들이 누구인지,
- 어떤 종류의 데이터를 판매하는지 파악합니다,
- 그리고 사람들이 이러한 데이터베이스에서 자신을 삭제할 수 있는 방법을 알아보세요.
하지만 수백 개의 기업이 등록을 생략하면 이러한 투명성은 사라집니다. 소비자는 자신의 정보가 어디로 이동하는지 알 수 없게 되고 규제 당국은 누가 시장에 진출했는지 파악할 수 없게 됩니다.
이 보고서는 모든 미등록자의 이름을 공개적으로 밝히지는 않았지만, 그 패턴은 분명했습니다. 수십 개의 기업이 한 관할 구역에 등록했지만 거의 동일한 규칙을 가진 다른 관할 구역은 무시했습니다. 일부는 서류를 제출하지 않은 주에서 조용히 운영하기 위해 자회사를 사용하기도 했습니다.
왜 경고등이 켜지나요?
데이터 브로커는 이메일 목록 대여, 데이터 강화, 오디언스 모델링 등 여러 가지 일반적인 마케팅 프로세스를 제공합니다. 브로커가 한 영역에서 규정을 어기면 다른 영역에서도 규정을 어길 가능성이 높습니다. 이러한 브로커와 협력하면 회사가 조사나 블랙리스트에 노출될 수 있으며, 심할 경우 개인정보 침해 공급업체와 연결되어 공개적으로 망신을 당할 수도 있습니다.
데이터 브로커 레지스트리의 작동 방식
이러한 시스템을 갖춘 각 주에서는 브로커가 다음을 수행해야 합니다:
- 연락처 정보를 제출합니다,
- 어떤 유형의 데이터를 처리하는지 설명합니다,
- 동의를 수집하는 방법을 설명합니다,
- 옵트아웃 절차를 공개합니다.
일부는 정보가 여전히 정확하다는 것을 증명하기 위해 매년 업데이트를 요구하기도 합니다.
사람들이 자신의 데이터를 누가 보유하고 있는지 파악하고 원할 경우 이를 중단할 수 있어야 한다는것입니다 .
비즈니스의 경우 이러한 투명성은 윤리적 파트너십의 기준이 됩니다. 벤더를 조사할 때 등록 기록을 조회하고, 거래하는 데이터의 범주를 확인하고, 삭제 요청에 응하는지 확인할 수 있습니다.
하지만 이러한 시스템은 브로커가 참여할 때만 작동합니다. 플레이어의 절반이 숨어 있으면 공개 목록이 불완전해지고 신뢰도가 떨어집니다.
이메일/데이터 동의에 대한 규제 환경
대부분의 지역에서는 옵트인이 우선입니다.
EU에서는 GDPR 및 ePrivacy 규칙에 따라 이메일을 개인 데이터로 취급하므로 마케팅을 보내기 전에 명확하고 정보에 입각한 동의가 필요합니다. 언제, 어떻게 동의를 받았는지 증거를 보관하세요. 위험성이 높은 동의의 경우 이중 옵트인을 사용하는 것이 가장 안전합니다. 독일에서는 법원 판결에 따라 이중 옵트인 동의가 의무화되어 있으며 오스트리아에서는 필수로 취급됩니다. 다른 여러 유럽 시장에서는 이를 의무화하지는 않더라도 권장하고 있습니다.
미국은 CAN-SPAM에 따라 수신 거부 모델을 사용하지만, 그렇다고 해서 “아무 것도 할 수 없다”는 의미는 아닙니다. 모든 메시지에는 진실한 제목, 눈에 보이는 수신 거부, 실제 우편 주소가 필요합니다. 또한 정해진 기한 내에 신속하게 수신 거부를 처리해야 합니다.
캐나다는 각 메시지에서 명시적인 동의와 명확한 신원 확인을 요구하는 CASL을 엄격하게 적용하고 있습니다. 또한 메시지가 캐나다 받은 편지함에 도착하면 국경을 넘어 도달합니다.
*호주와 뉴질랜드는 옵트인 방식으로 운영되는 등 다른 지역은 EU 모델에 더 가깝습니다. 한국은 동의 갱신 주기를 추가합니다. 영국은 영국 GDPR과 함께 자체 PECR 규칙을 통해 EU의 접근 방식을 반영합니다.
이제 고위험 관행에 대해 알아봅시다.
- 1. 구매된 목록은 나중에 수정할 수 없는 동의 공백을 만듭니다. 사람들이 브랜드 소식에 동의하지 않았기 때문에 불만이 증가하고 전달률이 떨어집니다.
- 2. 스크래핑과 수집은 개인정보 보호와 스팸 방지 문제를 모두 유발합니다.
- 3. 모호한 양식도 함정입니다. 가입 상자에 사람들이 무엇을 얼마나 자주 받을 수 있는지 명시되어 있지 않으면 감사 중에 동의가 이루어지지 않습니다.
깔끔한 동의 문구, 명확한 기대치, 증거 로그를 통해 문제를 방지할 수 있습니다.
이메일 콘텐츠 요구 사항에 대한 빠른 현실 점검.
- 1. 발신자 정보를 정직하게 유지합니다.
- 2. 제목을 본문과 일치시킵니다.
- 3. 3. 작동하는 수신 거부 링크와 우편 주소를 포함합니다.
이러한 기본 사항은 간단해 보이지만 많은 팀이 실수하는 부분입니다. 또한 사서함 제공업체가 받은 편지함과 스팸을 구분할 때 이러한 신호를 살펴보기 때문에 발신자의 평판을 보호할 수 있습니다.
한 가지 더: 추적 및 개인화.
더 엄격한 관할권에서는 열기 및 클릭을 추적하려면 쿠키 동의와 유사한 별도의 동의가 필요할 수 있습니다. 사람들에게 추적 대상을 알리고, 선택권을 주고, 이를 문서화하세요. 가입 시 약속한 대로 실제로 필요한 데이터만 사용하세요. 이렇게 하면 프로그램을 엄격하게 관리하고 감사 추적을 명확하게 유지할 수 있습니다.
규정을 준수하지 않는 브로커로부터 데이터를 소싱하는 마케터의 리스크
실용적인 측면에 대해 이야기해 보겠습니다. 그늘진 데이터에 의존하면 어떻게 될까요?
#1위 법률
회사가 직접 데이터를 수집하지 않았더라도 규제 당국은 합법적으로 수집되지 않은 정보를 사용한 것에 대해 책임을 물을 수 있습니다. 일부 주에서는 등록되지 않은 브로커의 데이터를 구매하거나 사용하는 것을 동일한 위반 행위에 가담한 것으로 간주합니다.
#2위 평판
사람들은 매년 개인정보 보호에 대한 인식이 높아지고 있습니다. 구독자 데이터베이스가 수사 중인 브로커로부터 제공되었다는 사실이 드러나면 시청자의 신뢰는 순식간에 사라집니다. 일단 이 이야기가 온라인에 퍼지면 그 어떤 개인정보 보호정책으로도 그 공백을 메울 수 없습니다.
#3 배송 가능성
인터넷 서비스 제공업체와 스팸 필터는 규제 당국보다 불만 패턴을 더 빨리 포착합니다. 의심스러운 브로커로부터 받은 목록에는 오래되었거나 원치 않는 수신자가 포함되어 있는 경우가 많습니다. 이는 높은 반송률과 스팸 불만, 그리고 결국 주요 이메일 제공업체의 필터링으로 이어집니다.
#4 문서
대부분의 개인정보 보호정책과 마케팅 플랫폼 약관은 모든 연락처 데이터를 적절한 동의를 얻어 수집하도록 요구합니다. 감사 결과 공급업체가 이러한 기준을 충족하지 못한 것으로 밝혀지면 자체 정책과 이메일 서비스 제공업체의 약관을 위반한 것일 수 있습니다. 이로 인해 계정이 일시 정지되거나 마케팅 도구에 대한 액세스 권한이 상실될 수 있습니다.
#5 제어
불투명한 브로커에 의존하면 데이터를 수집한 방법과 동의가 여전히 유효한지 여부에 대한 가시성을 포기하게 됩니다. 반면, 직접 옵트인 또는 확인된 양식을 통해 주소를 수집하면 증거, 타임스탬프, 명확한 감사 추적을 확보할 수 있습니다. 이는 모든 지역에서 더 안전한 방법입니다.
결국 규정 준수를 통해 조사를 견뎌낼 수 있는 마케팅 프로그램을 구축할 수 있습니다. EFF의 연구 결과에서 알 수 있듯이, 비용을 절감하면 당장은 시간을 절약할 수 있지만 규제 당국이나 고객이 내일 문을 두드릴 때 훨씬 더 많은 비용을 지불해야 합니다.
규정을 준수하는 데이터 소싱 및 공급업체 심사를 위한 모범 사례
첫 번째: 규정 준수는 첫 번째 캠페인을 보내기 훨씬 전부터 시작됩니다. 연락처 데이터의 출처를 선택하는 순간부터 규정 준수는 시작됩니다. 가장 안전한 경로는?
투명성 테스트를 이미 통과한 브로커 또는 플랫폼과만 파트너 관계를 맺습니다.
할 수 있습니다:
➡️ 해당 업체가 영업 중인 모든 주의 공공 등록부에 등록되어 있는지 확인하세요. 빠른 조회를 통해 해당 업체가 등록했는지, 연락처 정보를 업데이트했는지, 수신 거부 방법을 등록했는지 확인할 수 있습니다. 기록이 누락되어 있다면 이는 첫 번째 위험 신호입니다.
다음으로, 표면보다 더 깊이 들여다보세요. 신뢰할 수 있는 벤더는 수집하는 데이터의 범주(비즈니스, 인구통계 또는 행동)와 각 데이터에 대한 동의를 얻는 방법을 정확히 설명합니다. 답변이 모호하거나 법적 근거가 불분명하다면 그냥 넘어가세요. 진정한 투명성은 전문 용어 뒤에 숨을 필요가 없습니다. 따라서
파트너에 대해 자세히 알아보세요. 어떤 데이터를 확보하는지 설명하나요? 데이터를 어떻게 관리하나요?
해야 할 일
➡️ 각 연락처의 출처와 원래 권한의 내용을 보여주는 문서를 요청하세요. 이는 어려운 일이 아니라 회사의 규정 준수 사례를 보호하는 것입니다.
또한 “적격 목록”을 정의하는 방법을 다시 생각해 보세요. 권한 기반의 자체 소싱 오디언스는 대량으로 구매한 오디언스보다 지속적으로 더 나은 성과를 냅니다. 구매한 리스트는 ‘옵트인’으로 광고하더라도 브랜드에 대한 포괄적인 동의에 의존하는 경우가 많습니다. 그렇기 때문에 동의를 받아야 합니다:
리스트를 구매하는 대신 자체 가입 양식 또는 검증된 파트너를 통해 직접 잠재고객을 구축하세요.
할 수 있습니다:
➡️ ‘퀵 리스트’의 유혹을 받는다면 모든 연락처가 명시적인 브랜드별 허가를 받았는지, 브로커의 등록이 모든 관련 관할권에 최신 상태인지 서면 확인서를 요청하세요.
또한 국제 캠페인이나 민감한 분야와 같이 위험이 더 높다고 느껴지는 경우에는 이중 옵트인을 사용하세요. 두 번째 확인 클릭은 주소의 소유권을 증명하고 날짜, 시간, 동의 방법 등 디지털 문서 추적을 생성합니다. 결론은 이렇습니다:
더블 옵트인 사용.
할 일
➡️ 각 기록을 정확한 가입 양식에 연결하는 시스템에 이 정보를 안전하게 보관하세요. 감사 추적이 정확할수록 규제 검사 시 프로그램이 더 안전해집니다.
개인정보 보호 자료도 스토리를 전달합니다. 모든 양식과 랜딩 페이지가 이해하기 쉬운지 확인하세요. 여러 브랜드가 하나의 플랫폼을 공유하는 경우 각 발신자를 식별하세요. 명확한 언어는 신뢰를 쌓고 숨겨진 동의라는 주장으로부터 보호합니다.
가입 양식과 개인정보 처리방침을 투명하고 이해하기 쉽게 유지하세요.
해야 할 일
➡️ 구독 대상, 연락 빈도, 구독 취소 방법을 명확하게 설명하세요. 이메일 발송 빈도나 목적이 변경될 때마다 이 문구를 업데이트하세요.
마지막으로, 데이터 감사를 1년에 한 번 하는 잡일이 아닌 일상적인 유지 관리로 취급하세요.
▢ 데이터 소스 및 공급업체 계약을 정기적으로 검토하세요.
할 일
➡️ 소스가 규정을 준수하고 있는지 확인하기 위해 정기적인 검토 일정을 잡으세요. 개인정보 보호법 준수 및 면책에 관한 조항을 포함하도록 공급업체 계약을 업데이트하세요. 파트너가 규정을 위반하는 경우 서면으로 보호받을 수 있습니다.
어떤 규정 준수 및 투명성 도구/옵션이 존재할까요?
데이터 소싱 관행이 깨끗해졌다면, 다음 단계는 증거와 가시성을 유지하는 것입니다. 다행히도 많은 도구가 도움이 될 수 있습니다.
주 정부 등록기관부터 시작하세요. 캘리포니아, 텍사스, 오레곤, 버몬트에서는 각각 등록된 중개인의 검색 가능한 온라인 데이터베이스를 관리하고 있습니다. 북마크에 추가하세요. 계약을 체결하기 전에 잠재 파트너의 상태를 확인하는 데 몇 분이면 충분하며 규칙을 준수하고 있는지 확인할 수 있습니다. 대부분의 목록에는 등록 날짜, 비즈니스 연락처, 제공된 옵트아웃 URL이 표시됩니다.
그런 다음 동의 관리 플랫폼이 있습니다. 이러한 도구는 GDPR, CCPA 및 유사한 개인정보 보호 프레임워크에 따라 구독자 권한을 기록하고 관리합니다. 모든 동의 작업을 타임스탬프 및 IP 주소와 함께 기록하여 규정 준수 증명을 체계적으로 관리하고 쉽게 검색할 수 있습니다. 또한 대부분의 도구는 이메일 소프트웨어와 동기화되며 유효한 동의가 없는 주소에 자동으로 플래그를 지정할 수 있습니다.
보다 심층적인 규정 준수 현황을 파악하려면 개인정보 보호 및 투명성 감사를 예약하세요. 내부 감사는 양식, 데이터베이스, 자동화된 워크플로우가 진화하는 개인정보 보호 규정과 여전히 일치하는지 확인합니다. 외부 감사(컨설턴트 또는 법률 파트너가 수행)는 규정 및 시행 패턴에 대해 프로그램을 스트레스 테스트합니다.
대규모 조직도 데이터 보호 책임자의 감독이 필요할 수 있습니다. DPO는 마케팅 스택을 통해 데이터가 어떻게 흐르는지 검토하고, 새로운 도구가 도입될 때 개인정보 영향 평가를 수행하며, 모범 사례에 대해 팀을 교육합니다. 소규모 기업도 개인정보 보호 책임자를 지정할 수 있습니다.
잘 사용되지 않는 또 다른 전략은 정책 검토입니다. 지루하게 들리지만 효과가 있습니다. 개인정보처리방침, 동의 문구, 공급업체 계약서를 분기마다 다시 검토하세요. 새로운 지역 법률이 등장하거나 마케팅 스택이 변경되면 이를 업데이트하세요.
마지막으로 규제 기관의 보고서를 읽어보세요. EFF, 중국 및 다양한 데이터 보호 당국과 같은 조직은 기존 법률에 대한 새로운 해석에 대한 업데이트를 정기적으로 발표합니다. 이러한 브리핑을 따라가면 법이 시행되기 전에 변화를 예측하는 데 도움이 됩니다.
실용적인 체크리스트
상황, 위험성, 도구에 대해 알아보았습니다. 이제 올 한 해 동안 마케팅 개인정보 보호를 유지하기 위한 빠른 실행 체크리스트를 소개합니다:
모든 브로커의 등록 상태를 확인합니다.
데이터 파트너를 온보딩하기 전에 모든 관련 주 등록부에서 파트너의 이름을 확인하세요. 세부 정보가 계약 주체와 일치하는지, 등록이 만료되지 않았는지 확인합니다.
문서화된 동의만 수락합니다.
날짜, 방법, 동의 문구 등 명확한 허가 증거를 보여줄 수 있는 제3자와 협력하세요. 스크린샷이나 모호한 문구, “저희를 믿으세요”라는 문구는 사용하지 마세요.
▢ 판돈이 큰 경우 더블 옵트인을 사용하세요.
개인정보 보호법이 엄격한 국가를 대상으로 하거나 민감한 데이터를 취급하는 경우 확인 이메일을 사용 설정하세요. 타임스탬프, 디바이스, 확인 경로와 같은 메타데이터를 기록하세요. 이것이 최고의 법적 보호 장치입니다.
▢ 개인정보 보호 문구를 명확하고 인간적으로 유지하세요.
가입 페이지에는 구독자가 어떤 혜택을 얼마나 자주 받을 수 있는지 정확히 명시해야 합니다. 숨겨진 상자나 모호한 약속은 피하세요. 모든 메시지에서 수신 거부를 쉽게 확인할 수 있도록 하세요. 투명성은 신뢰를 얻고 분쟁을 방지하는 데 도움이 됩니다.
정기적으로 법률 변경 사항을 모니터링합니다.
주 차원의 개인정보 보호법이 계속 확대되고 있습니다. 데이터 보호 기관 또는 개인정보 보호 감시 단체의 뉴스레터를 구독하세요. 매월 간단한 스캔을 통해 오래된 관행에서 벗어날 수 있습니다.
목록 외에도 규정 준수를 생활화하세요. 업데이트를 문서화하세요. 감사 노트를 보관하세요. 개인정보 보호를 마케팅 문화의 일부로 만드세요.
개인정보 보호법 및 데이터 브로커에 대한 마지막 조언
마케터에게 전하는 메시지는 매우 간단합니다. 투명성을 확보하고, 진정한 동의를 받고, 데이터의 출처를 정확히 파악하라는 것입니다. 이제 개인정보 보호법과 데이터 브로커로 인해 상황이 얼마나 복잡해질 수 있는지 알 것입니다. 이러한 등록 및 감독의 공백은 일종의 위험 신호이며, 이는 곧바로 캠페인에 영향을 미칠 수 있습니다.
현명한 방법은 미리 대비하는 것입니다. 규정 준수를 증명하는 브로커와만 협력하세요. 진정한 옵트인을 통해 목록을 작성하고 동의 기록을 엄격하게 유지하세요. 권한을 추적하는 도구를 사용하고, 새로운 규칙에 대한 호기심을 유지하며, 누군가 지시하기 전에 개인정보 보호 자료를 업데이트하세요.
이메일 마케팅이나 리스트 확인에 도움이 필요하다면 Bouncer로 문의하세요. 당사의 도구는 목록을 깔끔하고, 규정을 준수하며, 높은 성과를 낼 수 있도록 도와드리며, 지원팀은 항상 올바른 작업을 도와드릴 준비가 되어 있습니다.
