[논문 리뷰] Are cookie banners indeed compliant with the law? Deciphering EU legal requirements on consent and technical means to verify compliance of cookie banners
이 논문은 EU 법에 따라 준수 가능하고 기술적으로 검증 가능한 쿠키 배너를 위한 17개의 요구사항을 정의한다. 법적 분석과 기술적 타당성 평가를 결합한 것으로, 대부분의 준수 검사는 자동화될 수 있지만, 현재 웹 아키텍처의 한계로 인해 일부 요구사항—예를 들어 취소 가능한 동의 확보—는 기술적으로 도전적임을 보여준다.
In this work, we analyze the legal requirements on how cookie banners are supposed to be implemented to be fully compliant with the e-Privacy Directive and the General Data Protection Regulation. Our contribution resides in the definition of seventeen operational and fine-grained requirements on cookie banner design that are legally compliant, and moreover, we define whether and when the verification of compliance of each requirement is technically feasible. The definition of requirements emerges from a joint interdisciplinary analysis composed of lawyers and computer scientists in the domain of web tracking technologies. As such, while some requirements are provided by explicitly codified legal sources, others result from the domain-expertise of computer scientists. In our work, we match each requirement against existing cookie banners design of websites. For each requirement, we exemplify with compliant and non-compliant cookie banners. As an outcome of a technical assessment, we verify per requirement if technical (with computer science tools) or manual (with any human operator) verification is needed to assess compliance of consent and we also show which requirements are impossible to verify with certainty in the current architecture of the Web. For example, we explain how the requirement for revocable consent could be implemented in practice: when consent is revoked, the publisher should delete the consent cookie and communicate the withdrawal to all third parties who have previously received consent. With this approach we aim to support practically-minded parties (compliance officers, regulators, researchers, and computer scientists) to assess compliance and detect violations in cookie banner design and implementation, specially under the current revision of the European Union e-Privacy framework.
연구 동기 및 목표
- 유럽연합 전자개인정보보호지침 및 GDPR에 따라 쿠키 배너 설계를 위한 17개의 세밀한, 법적으로 준수 가능한 요구사항을 식별하고 형식화하기.
- 이 요구사항들 중에서 컴퓨터 과학 도구를 이용해 기술적으로 검증 가능한 것과 수동 검사가 필요한 것의 구분하기.
- 특히 취소 가능성과 제3자 간 통신을 포함한 동의 메커니즘 준수 검증의 타당성 평가하기.
- 준수 감시자, 규제 당국 및 연구자들이 실세계 쿠키 배너 구현 사례에서 위반 사항을 탐지하는 데 지원하기.
- 기본적으로 신뢰할 수 있는 기술적 검증을 방해하는 현재 웹 아키텍처의 격차 메우기.
제안 방법
- 웹 추적 기술 전문 컴퓨터 과학자와 법률 전문가 간의 복합적 분석 수행.
- 법적 규범 문서와 웹 보안 및 개인정보 보호 분야의 전문 지식을 기반으로 17개의 운영 요구사항 도출.
- 실제 웹사이트의 쿠키 배너 설계에 각 요구사항을 매핑하여 준수 및 비준수 사례 식별.
- 자동화 도구(예: 웹 스크래핑, 브라우저 자동화) 또는 수동 검토를 이용한 각 요구사항의 기술적 타당성 평가.
- 현재 웹 아키텍처 기준으로 세 가지 범주로 요구사항 분류: 기술적으로 검증 가능, 수동으로 검증 가능, 또는 확실한 검증이 불가능.
- 실제 적용 가이드라인 제공, 예를 들어 동의 철회 시 쿠키 삭제 및 제3자 통보
실험 결과
연구 질문
- RQ1쿠키 배너가 EU 전자개인정보보호지침 및 GDPR에 준수하기 위해 필요한 구체적인 법적 요구사항은 무엇인가?
- RQ2이 요구사항들 중에서 자동화 도구로 기술적으로 검증 가능한 것은 무엇이며, 수동 검토가 필요한 것은 무엇인가?
- RQ3현재 웹 아키텍처에서 취소 가능한 동의를 실질적으로 어떻게 구현하고 검증할 수 있는가?
- RQ4현재 웹 인프라의 기술적 한계로 인해 특정 준수 요구사항의 신뢰성 있는 검증이 방해받는 이유는 무엇인가?
- RQ5정의된 법적 및 기술적 기준에 따라 명백히 준수 또는 비준수인 쿠키 배너 설계는 무엇인가?
주요 결과
- 법적 표준과 기술적 타당성을 융합한 17개의 세밀한, 법적으로 준수 가능한 쿠키 배너 설계 요구사항이 공식적으로 정의됨.
- 대부분의 준수 검사는 컴퓨터 과학 도구를 이용해 자동화될 수 있지만, 특히 동의 철회 및 제3자 간 통신과 관련된 요구사항은 수동 검토가 필요하거나 현재까지 확실한 검증이 불가능함.
- 취소 가능한 동의 요구사항은 동의 쿠키 삭제 및 동의를 받은 모든 제3자에 통보함으로써 기술적으로 실행 가능하지만, 실제로는 일관되게 이행되지 않음.
- 현재 웹 아키텍처는 동의 철회 시 모든 제3자에게 통보된다는 것을 보장하는 요구사항의 준수 여부를 검증하는 데 능력을 제한함.
- 실제로 운영되는 많은 쿠키 배너는 투명성, 사용자 제어 및 동의의 취소 가능성과 같은 기본 법적 기준을 충족하지 못함.
- 이 연구는 자동화 및 수동 검증 기법을 조합한 방식으로 쿠키 배너 구현 사례의 위반 여부를 평가하고 탐지할 수 있는 실용적 프레임워크를 제공함.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.