Skip to content

데이터 보호 기술 지원

EU 및 영국 일반 개인정보 보호법(“GDPR”), 캘리포니아 소비자 개인정보 보호법(“CCPA”), 건강보험 이동성 및 책임에 관한 법률(“HIPAA”) 등 조직이 개인 데이터로 할 수 있는 일을 규제하는 다양한 데이터 보호법(“데이터 보호법”)이 있습니다. 비즈니스에 적용될 수 있는 기타 국가, 시/도 및 산업별 데이터 보호법 및 규정이 있습니다.

이러한 데이터 보호법은 개인에게 자신의 개인 데이터에 대한 ‘개인정보 보호 권리’를 부여합니다. 조직은 개인정보 보호 권리를 행사하는 개인으로부터 요청을 받고 이에 응답해야 합니다. Braze 플랫폼은 이러한 데이터 보호법에 따라 요구되는 특정 조치를 용이하게 하는 기능을 제공함으로써 귀하가 이러한 데이터 보호법을 준수하는 데 도움을 줄 수 있습니다. 이 문서는 이러한 기능을 사용하여 개인정보 보호 권한 요청을 관리하기 위한 기술 지침을 제공합니다. 비즈니스에 적용되는 데이터 보호법을 결정하고 이를 준수하여 행동하는 것은 전적으로 회원님의 책임입니다.

법적 면책 조항

다음 중 어느 것도 Braze의 법률 자문을 의도하지 않으며, 법률 자문으로 간주되지 않습니다. 귀하는 귀하의 특정 상황 및 귀하와 귀하의 Braze 서비스 이용에 대한 데이터 보호법의 적용 방식과 관련하여 자신의 변호사의 조언을 구할 것을 권고합니다.

용어

이 문서의 목적상, 개인 데이터에 대한 언급은 개인정보 또는 개인 식별 정보(“개인 데이터”)에 대한 언급으로 이해될 수도 있습니다. 간단하게 설명하기 위해 일반적으로 최종 사용자의 권리를 다룰 때는 GDPR의 언어를 사용합니다. GDPR의 용어는 다른 데이터 보호법의 정의된 용어 또는 개념과 상호 교환 가능하거나 밀접하게 연관되어 있는 경우가 많습니다.

기본 사항

대부분의 개인정보 보호법은 개인정보 처리에 관여하는 세 가지 주요 이해관계자를 데이터 주체, 데이터 컨트롤러, 데이터 처리자로 정의합니다. 각 그룹은 개인 데이터 사용과 관련하여 서로 다른 권리와 책임을 가집니다:

  • 데이터 주체란 데이터 처리자 또는 데이터 컨트롤러가 개인 데이터를 처리하는 개인을 말합니다.
  • 데이터 컨트롤러는 개인 데이터 처리의 목적과 수단을 결정하는 주체를 말합니다.
  • 데이터 컨트롤러는 데이터 컨트롤러를 대신하여 데이터 컨트롤러의 지시에 따라 개인 데이터를 처리하는 주체를 말합니다.

Braze 플랫폼과 관련하여:

  • 예를 들어, 데이터 주체는 고객 애플리케이션의 최종사용자(e.g., 고객/클라이언트) 또는 Braze 플랫폼 인스턴스에서 대시보드 사용자인 직원입니다.
  • Braze 고객인 귀하는 정보 주체의 개인정보가 Braze 플랫폼 내에서 수집되고 처리되는 방법과 이유를 결정하는 데이터 컨트롤러입니다.
  • Braze는 귀하를 대신하여 귀하로부터 받은 지침에 따라 Braze 플랫폼에서 개인 데이터를 처리하는 데이터 처리자입니다.

위의 용어는 GDPR 용어이지만, CCPA에 따른 유사한 용어는 다음과 같습니다.

  • 데이터 주체에 대한 “소비자”.
  • 데이터 관리자를 위한 “비즈니스”.
  • 데이터 처리자를 위한 “서비스 제공자”.

아래에서 정보 주체의 가장 일반적인 개인정보 보호 권리 요청에 대한 관련 정보와 Braze 플랫폼의 기술적 기능을 통해 이에 대응할 수 있는 방법을 확인할 수 있습니다.

정보를 받을 권리

알 권리에는 일반적으로 개인정보처리방침을 통해 ‘공정한 처리 정보’를 제공해야 하는 회원님의 의무가 포함됩니다. 개인 데이터 사용 방식에 대한 투명성의 필요성을 강조합니다.

Braze 추천

대부분의 데이터 보호법은 개인 데이터 사용 방식과 관련하여 투명성의 필요성을 강조하고 있습니다. 이는 데이터 컨트롤러의 책임이며 데이터 컨트롤러는 일반적으로 제품 및 서비스 사용자가 쉽게 접근할 수 있고 Braze가 처리하는 내용을 다루는 개인정보처리방침을 유지합니다.

액세스 권한

데이터 보호법에 따라 데이터 주체는 다음과 같은 권리를 가질 수 있습니다.

  • 개인 데이터가 처리되고 있음을 확인
  • 개인 데이터에 대한 액세스
  • 해당 데이터 보호법에 따라 결정되는 기타 추가 정보.

Braze 추천

데이터 주체의 액세스 요청에 대한 응답으로 기계 판독 가능한 형식으로 Braze의 개인 데이터를 제공하기 위해, 귀하는 사용자 식별자(귀하가 Braze에 제공한 external_id) 또는 기기 식별자를 사용하여 Braze의 REST API에 API 호출을 수행하여 최종사용자 프로필을 내보낼 수 있습니다.

수정할 권리

개인은 개인 데이터가 부정확하거나 불완전한 경우 이를 수정할 수 있는 권리가 있습니다. 문제의 개인정보를 제3자에게 공개한 경우, 가능한 경우 해당 제3자에게 정정 사실을 알려야 할 필요성을 고려할 수 있습니다.

Braze 추천

데이터 주체가 귀하 또는 귀하를 대신하여 Braze가 처리하는 개인정보의 부정확성을 수정할 것을 요청하는 경우, 귀하는 Braze SDK 또는 Braze REST API를 사용하여 해당 개인정보를 수정할 수 있습니다.

삭제할 권리

삭제할 권리는 ‘잊혀질 권리’ 또는 ‘삭제될 권리’라고도 합니다.

Braze 추천

표준 삭제

데이터 수집을 중단한 후에는 Braze의 사용자 삭제 REST API 엔드포인트를 사용하여 최종사용자를 삭제할 수 있으며, 이 경우 해당 최종사용자의 모든 기록이 Braze의 서비스에서 제거됩니다:

  • 서비스 내에서 external_id를 가지고 있는 최종 사용자의 경우 해당 ID를 사용하여 해당 최종 사용자의 데이터를 삭제할 수 있습니다.
  • 서비스 내에서 external_id가 없는 익명의 최종사용자의 경우, Braze SDK를 사용하여 해당 최종사용자의 기기 식별자를 검색할 수 있으며, 기기 식별자를 사용하여 해당 기기와 연결된 최종사용자 프로필을 찾을 수 있습니다. 그런 다음 사용자 삭제 API를 사용하여 해당 최종사용자와 연결된 프로필을 삭제할 수 있습니다.

Braze 서비스에서 최종사용자를 삭제하면 external_id에 정의된 대로 해당 최종사용자에 대한 Braze의 중앙 집중식 고객 프로필이 영구적으로 삭제됩니다. 여기에는 기기 정보, 국가, 언어, 이메일 주소 등 Braze가 기본적으로 수집하거나 귀하가 수집하도록 Braze 서비스를 구성한 구조화된 프로필 정보가 포함됩니다.

최종 사용자의 프로필과 연결된 이메일 주소나 전화번호는 다른 최종 사용자의 프로필과 연결될 수 있으므로 Braze에서 계속 저장할 수 있습니다. 이메일 주소와 전화번호는 Braze 서비스에서 고유하지 않습니다. 즉, 팀에서 여러 고객 프로필에 동일한 이메일 주소나 전화번호를 저장하도록 Braze를 구성했을 수 있습니다. 팀이 이러한 방식으로 Braze를 구성한 경우, 데이터 주체의 삭제 요청을 준수하기 위해 특정 데이터 주체를 나타내는 모든 고객 프로필을 삭제해야 할 수 있으며, 특정 데이터 주체를 참조하는 모든 고객 프로필을 삭제하려면 여러 번의 API 호출을 수행해야 할 수 있다는 점에 유의하시기 바랍니다.

추가 삭제 고려 사항

고객은 이벤트 속성 및 메시지 추가 항목에 대한 사용자 지정 필드를 만들 수 있습니다. 이러한 필드는 개인 데이터를 위한 것이 아니므로 위에서 설명한 기본 삭제 절차에 포함되지 않습니다. 그러나 Braze를 사용하여 이벤트 속성 및 메시지 추가 정보를 통해 개인 데이터를 입력하거나 수집하는 경우, 사용자 삭제 REST API 엔드포인트에서 트리거되는 삭제 프로세스에 이러한 필드도 포함되도록 설정할 수 있으므로 이러한 필드에 포함된 데이터도 삭제됩니다.

기본 설정은 회사 수준에서 적용되지만 삭제 프로세스가 실행될 때 앱 그룹/워크스페이스 수준에서 다음 필드를 삭제하도록 선택할 수 있습니다:

  • USERS_BEHAVIORS_CUSTOMEVENT에 대한 속성
  • USERS_BEHAVIORS_PURCHASE에 대한 속성
  • MESSAGE_EXTRAS에 대한:
    • USERS_MESSAGES_CONTENTCARD
    • USERS_MESSAGES_EMAIL_SEND
    • USERS_MESSAGES_PUSHNOTIFICATION_SEND
    • USERS_MESSAGES_PUSHNOTIFICATION_RETRYSEND_SHARED
    • USERS_MESSAGES_WEBHOOK_SEND
    • USERS_MESSAGES_SMS_SEND
    • 향후 메시지 보내기 이벤트

이에 대한 설정은 회사 설정 > 관리자 설정 > 보안 설정에서 액세스할 수 있습니다. 데이터 삭제 기본 설정은 이벤트 유형 또는 카테고리별로 설정됩니다. 관리자 기본 설정이 있는 사용자만 이러한 설정을 변경할 수 있습니다. 또는 관리자가 이러한 권한을 다른 사용자에게 위임할 수도 있습니다.

이벤트 유형 또는 메시지 추가가 삭제 프로세스에 포함되도록 설정되어 있는 경우 사용자 삭제 REST API 엔드포인트를 실행 중인 사용자에 대해 이 필드의 데이터가 앞으로 삭제됩니다. 또한 이 삭제 기본 설정을 선택하면 다음 예약된 삭제 작업 시 해당 필드가 포함된 기존 익명화된 데이터 세트에서 해당 필드의 데이터가 삭제됩니다. 삭제된 데이터 필드는 복원할 수 없습니다.

분석

캠페인 및 애플리케이션 사용량 분석의 무결성을 유지하기 위해 최종사용자가 삭제되어도 익명으로 집계된 데이터는 수정되지 않습니다. 예를 들어, Braze는 최종사용자가 삭제되어도 앱의 총 세션 수를 줄이지 않습니다. 해당 최종사용자가 앱을 방문한 세션은 해당 앱의 총 방문 횟수에 포함되지만 해당 데이터는 잊혀진 최종사용자의 프로필과 어떤 방식으로도 연결되지 않으므로 익명화되고 집계된 이 데이터를 개별 최종사용자와 다시 연결할 수 없게 됩니다.

Braze 서비스 내의 분석은 Braze 최종사용자 식별자에 연결됩니다. 최종 사용자의 프로필이 삭제된 후에는 Braze 사용자 식별자는 사실상 완전히 익명화된 식별자가 되며, Braze는 이를 개별 최종 사용자와 다시 연결할 수 없습니다.

삭제 완료 후

일반적으로 정보 주체의 개인정보 삭제 요청에 응한 경우 이를 정보 주체에게 알리기 위해 합당한 노력을 기울여야 합니다. 삭제된 최종 사용자가 나중에 앱이나 서비스에 재등록하거나 다시 참여할 수 있으며, Braze는 해당 사용자를 삭제되거나 잊혀진 사용자로 식별할 수 없습니다. Braze 서비스는 귀하를 대신하여 삭제된 사용자 식별자 또는 이메일 주소 목록을 생성할 수 없습니다.

처리 제한에 대한 권리

데이터 주체는 특정 상황에서 자신의 개인 데이터 처리를 ‘차단’하거나 억제할 권리를 가질 수 있습니다. 처리를 제한한다는 것은 데이터 주체가 반대하는 처리를 수행하지 않는다는 의미입니다.

Braze 추천

Braze 서비스는 개별 범주의 개인정보에 대한 처리 제한을 지원하지 않습니다. 데이터 주체로부터 해당 데이터 주체의 개인 데이터의 특정 하위 집합에 대한 처리를 제한하라는 요청을 받은 경우, Braze API를 사용하여 해당 최종사용자의 전체 프로필을 내보낸 다음 Braze에서 해당 프로필을 삭제해야 합니다. 최종 사용자가 나중에 해당 개인 데이터의 특정 하위 집합을 처리하도록 허용하는 경우 Braze의 API를 사용하여 이 데이터를 다시 가져올 수 있습니다. 또한, 정보 주체에 대한 추가 데이터 수집을 중지하려면 최종사용자가 Braze SDK를 사용하는 모든 애플리케이션을 제거하거나 로그아웃할 것을 권장해야 합니다.

데이터 이동성에 대한 권리

데이터 이동권은 데이터 주체가 여러 서비스에서 자신의 목적을 위해 자신의 개인 데이터를 획득하고 재사용할 수 있는 권리입니다. 개인 데이터는 구조화되고 기계가 읽을 수 있으며 일반적으로 사용되는 형식으로 제공되어야 합니다.

Braze 추천

접근 권한과 마찬가지로, Braze REST API를 사용하여 최종사용자의 개인 데이터를 내보내고 해당 사용자의 요청에 따라 데이터 주체에게 제공할 수 있습니다.

이의를 제기할 권리

개인은 이의를 제기할 권리가 있습니다.

  • 정당한 이익 또는 공공의 이익을 위한 업무 수행/공공 권한 행사(프로파일링 포함)에 근거한 처리;
  • 직접 마케팅(프로파일링 포함)
  • 과학적/역사적 연구 및 통계 목적으로 처리합니다.

Braze 추천

Braze는 사용자 프로필에 SMS, 이메일 또는 푸시 알림을 수신 거부한 것으로 표시할 수 있는 기능을 REST API와 iOS, Android SDK를 통해 제공합니다. 데이터 주체가 이러한 메시지 수신에 대해 이의를 제기하는 경우, Braze의 API를 사용하여 해당 최종사용자의 수신을 취소할 수 있습니다.

그것으로 충분하지 않은 경우, Braze가 최종 사용자 개인정보를 처리하지 않으려면 ‘삭제권’에 명시된 것과 동일한 방식으로 최종 사용자 프로필을 삭제해야 합니다.

자동화된 의사 결정 및 프로파일링과 관련된 권리

일부 데이터 보호법에서는 특정 상황, 특히 “개인에게 법적 효력 또는 이와 유사하게 중대한 영향을 미치는” 결정의 경우 자동화된 의사 결정 또는 프로파일링을 금지하거나 데이터 주체가 이를 거부할 수 있도록 허용합니다.

Braze 추천

Braze는 정보주체에게 법적 또는 이와 동등한 영향을 미치는 자동화된 프로파일링 또는 의사결정 조치를 수행하지 않습니다. 귀하의 Braze 플랫폼 이용이 법적 또는 이와 동등한 영향을 미칠 수 있다고 판단하고 이에 대한 이의가 있는 경우, 귀하는 “삭제권”과 동일한 방식으로 사용자 프로필을 삭제할 수 있습니다.

타겟팅 광고

일부 미국 주 개인정보 보호법에 따라 정보 주체는 타겟 광고 목적으로 개인 데이터를 사용하는 것에 반대할 수 있습니다.

Braze 추천

데이터 주체에 대한 타겟팅 광고를 목적으로 오디언스를 구축할 때는 타겟팅 광고에 반대하는 데이터 주체(예: CCPA에 따라 “판매 또는 공유 금지” 권리를 행사한 캘리포니아 소비자)를 제외했는지 확인해야 합니다.

타사 플랫폼과 동기화할 오디언스를 구축하는 방법에 대한 자세한 내용은 오디언스 동기화를 참조하세요.

차별받지 않을 권리

정보 주체는 차별 없이 개인정보 보호 권리를 행사할 권리가 있습니다.

Braze 추천

고객은 Braze 서비스를 이용함에 있어 개인정보 보호 권리를 행사한 정보 주체를 차별하지 않아야 합니다. 예를 들어, 개인정보 보호 권리를 행사한 데이터 주체를 오디언스로 세분화하거나 차별할 수 있는 방식으로 타겟팅해서는 안 됩니다.
New Stuff!