광고주가 신경 써야 할 2024 규제 흐름
Meta 광고주가 직접 대응해야 할 주요 규제 변화:
- EU: Data Privacy Framework(DPF) 유효성 지속 논쟁, AI Act 시행 시작
- 미국: California(CCPA), Virginia, Colorado 등 주별 포괄 개인정보법 확산
- 한국: 개인정보 보호법 개정, 가명정보 활용 확대
- 중동·아시아: UAE PDPL, 인도 DPDPA 등 신규 도입
공통 흐름: "수집 목적 명시 + 고객 동의 + 삭제 권리 보장 + 국외 이전 통제".
Meta의 대응 (광고주에게 체감되는 것)
1. Purpose Limitation 인프라
Meta가 Privacy Aware Infrastructure(2024-08)를 구축. 광고 데이터가 허가된 용도 이외로 사용 안 되도록 코드 레벨에서 강제. 향후 배치 처리 쪽으로 확대 예고.
2. Customer List 업로드 시 명시적 동의 요구
2024부터 Meta가 Customer List 업로드 시 광고주가 수집·전송 동의를 받았는지 체크박스 추가. 거짓 체크하면 계정 제재 위험.
3. CAPI 데이터 최소화 가이드
Meta가 CAPI 연동 시 "필수 데이터만 전송"하도록 가이드. 불필요한 개인정보 전송을 자동 필터링 시스템 도입.
광고주 법적 의무 체크리스트
기본 (모든 광고주):
- [ ] 개인정보처리방침에 Meta 광고 데이터 사용 목적 명시
- [ ] 쿠키 동의 툴 설치 (EU 대상이면 필수, 한국도 권장)
- [ ] Customer List 업로드 시 사용자 동의 받은 데이터만
- [ ] 고객 삭제 요청 시 Meta에도 삭제 요청 전달
EU 고객 대상 추가:
- [ ] GDPR 대응 동의 관리 플랫폼(CMP) 운영
- [ ] 국외 이전 시 Standard Contractual Clauses(SCC)
- [ ] DPO(Data Protection Officer) 지정 (규모에 따라)
미국 고객 대상 추가:
- [ ] CCPA Do Not Sell/Share 링크
- [ ] 주별 고객 권리 대응 프로세스
한국 고객 대상 추가:
- [ ] 개인정보 수집·이용 동의
- [ ] 국외 이전 동의 (Meta는 미국·유럽 서버)
- [ ] 민감정보 별도 동의 (건강·사상 등)
실수로 위반하기 쉬운 패턴
1. "영업 목적" 동의만 받고 광고 집행
"마케팅 정보 수신 동의"와 "광고 타겟팅 활용 동의"는 다름. Meta에 Customer List 업로드는 후자의 동의가 필요.
2. Pixel 이벤트에 민감 정보 포함
Purchase 이벤트 custom_data에 "건강 진단 결과", "연소득" 같은 민감 정보 포함 → Meta가 자동 차단 + 계정 경고.
3. 이미 삭제 요청한 고객 데이터 재활용
Customer List 주기 업데이트하면서 삭제 요청 안 반영 → GDPR·PIPA 위반.
Meta가 제공하는 안전장치
- Events Manager의 정책 위반 경고: Purchase 이벤트에 민감 정보 감지 시 알림
- Advanced Matching 자동 해시 처리: 원본 이메일이 Meta 서버에 저장 안 됨
- Customer List 제거 API: 개발자가 API로 일괄 삭제 요청 가능
그래서 우리는?
지금 상태 점검 (분기별):
- [ ] 개인정보처리방침 최신 버전?
- [ ] 동의 체크박스 정상 작동?
- [ ] Customer List 정기 갱신 (3개월) 중?
- [ ] Events Manager 경고 전부 해결?
연간 체크:
- [ ] 해당 국가 규제 변동 점검
- [ ] DPO 보고서 (대규모)
- [ ] CMP 로그 감사
대리인·법률 자문 필요한 시점:
- 월 광고비 $10K+
- 5개국 이상 운영
- 건강·금융·법률 등 민감 업종
장기 흐름
개인정보 규제는 더 강화되는 방향. Meta는 인프라로 대응하지만 광고주의 법적 책임은 계속 증가. 광고비 규모와 상관없이 기본 체크리스트는 무조건 유지.
"귀찮다"로 넘기면 과태료·계정 정지 → 6개월 이상 광고 중단 리스크.
추적·동의·데이터 거버넌스는 메타 광고 5권에서 다룬다.