광고주 개인정보 처리방침

Last Update: November 14, 2025

발효일:  2023년 8월 14일

본 Taboola 광고주 개인정보 처리방침(이하 “광고주 개인정보 처리방침“)은 Taboola의 디지털 광고 서비스에 적용됩니다. 예를 들어, Taboola가 자사 배포 플랫폼을 통해 광고주 콘텐츠를 배포하거나, Taboola와 광고주 간 계약(“계약“)에 따라 Taboola Dynamic Creative Optimization (DCO) 또는 GenAI Landing Page를 통해 광고주 콘텐츠를 배포하는 경우 등이 해당됩니다. 본 광고주 개인정보 처리방침은 해당 계약에 통합되어 그 필수적인 일부를 구성하는 것으로 간주됩니다.  본 광고주 개인정보 처리방침은 개인 데이터와 관련하여 Taboola 및 광고주의 역할과 책임을 명시합니다.

광고주 개인정보 처리방침과 본 계약 간에 상충되는 규정이 있을 경우, 본 계약의 상충되는 규정이 본 광고주 개인정보 처리방침의 상충되는 규정을 명시적으로 참조하고 이를 우선한다고 규정하지 않는 한, 해당 상충 범위 내에서 광고주 개인정보 처리방침이 우선 적용됩니다.

본 절에서 정의된 용어는 아래에 명시된 의미를 가지며, 유사 용어는 이에 따라 해석되어야 한다. 광고주 개인정보 보호 약관에서 사용되었으나 정의되지 않은 대문자로 표기된 용어는 본 계약서에 정의된 의미를 가집니다.

      1. 적용 가능한 데이터 보호법“이란 본 계약 및 본 광고주 약관의 대상이 되는 처리에 적용되는 모든 연방, 국가, 주 또는 기타 개인정보 및 데이터 보호법을 의미하며, 이는 수시로 개정되거나 대체될 수 있습니다.
      2. 수집된 데이터“란 각 당사자가 서비스 제공 또는 수령과 관련하여 데이터 주체로부터 해당 당사자의 서버 또는 네트워크 상에서 또는 이를 통해 수집하는 개인정보(브라우저 유형 및 기기 식별자에 기반한 데이터 등 수동적으로 수집되거나 기계가 판독 가능한 모든 데이터 포함)를 의미합니다.
      3. 관리자“란 다음을 의미합니다: (i) 개인정보 처리의 목적과 수단을 결정하는 주체, 그리고 (ii) 적용 가능한 개인정보 보호법에서 정의된 “관리자”(또는 실질적으로 유사한 용어)의 범위에 속하는 모든 개인.
      4. 캘리포니아 개인정보 보호법”이란 2018년 캘리포니아 소비자 개인정보 보호법(Cal. 민법 § 1798.100 이하(“CCPA”) 및 개정된 내용(캘리포니아 개인정보 보호법 포함), 그리고 모든 하위 법률 및 시행 규정.
      5. 데이터 주체“란 다음을 의미합니다: (i) 식별된 또는 식별 가능한 자연인(이 경우 식별 가능한 자연인이란 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자 등의 식별자 또는 해당 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 특정한 하나 이상의 요소를 참조하여 직접적 또는 간접적으로 식별될 수 있는 자), 및 (ii) 데이터 보호법에서 정의된 “데이터 주체”, “소비자”(또는 실질적으로 유사한 용어)의 범위에 속하는 모든 개인을 의미합니다.
      6. EU 데이터 보호법”이란 다음을 의미합니다: (i) EU 일반 데이터 보호 규정(규정 2016/679)(“EU GDPR”); (ii) EU 전자사생활보호지침(지침 2002/58/EC); 및 (iii) (i) 또는 (ii)에 따라 제정된 모든 국가별 데이터 보호법, 각각 수시로 개정되거나 대체될 수 있는 내용을 포함한다.
      7. 허용된 목적“은 제3조에 정의된 의미를 가집니다.
      8. 개인정보 부속서 A, 파트 B에 명시된 바와 같이 데이터 주체와 관련된 모든 정보(적용 가능한 개인정보 보호법에서 요구하는 경우 고유한 브라우저 또는 기기 식별자를 포함)를 의미합니다.
      9. 처리“란 개인 데이터 또는 개인 데이터 집합에 대해 수행되는 모든 작업 또는 일련의 작업을 의미하며, 자동화된 수단을 통해 수행되는지 여부와 관계없이 수집, 수신, 기록, 구성, 구조화, 사용, 전송, 접근, 공유, 공개, 이전, 저장, 적응 또는 변경, 검색, 조회, 유포 또는 기타 제공, 정렬 또는 결합, 집계, 추론, 도출, 분석, 제한, 삭제, 파기 또는 폐기 또는 기타 처리 등을 포함하며, 해당 용어가 적용 가능한 데이터 보호법 하에서 정의되는 방식도 포함합니다.
      10. 처리자“란 다음을 의미합니다: (i) 관리자를 대신하여 개인정보를 처리하는 주체, 그리고 (ii) 적용 가능한 데이터 보호 법률에 정의된 “처리자”(또는 실질적으로 유사한 용어)의 범위에 속하는 모든 자.
      11. 제한적 이전“이란 다음을 의미합니다: (i) EU GDPR이 적용되는 경우, 유럽 경제 지역(EEA)에서 유럽 위원회의 적정성 결정 대상이 아닌 EEA 외부 국가로의 개인 데이터 이전(“EU 제한적 이전“); (ii) UK GDPR이 적용되는 경우, UK 데이터 보호법 2018 제17A조에 따른 적정성 규정에 적용되거나 근거하지 않은 다른 국가로의 개인 데이터 이전(“UK 제한적 이전“).
      12. 판매” 및 “매각“이란 개인 데이터를 금전적 또는 기타 가치 있는 대가로 교환하는 것을 의미하며, 해당 용어가 적용 가능한 데이터 보호법에서 정의하는 방식도 포함합니다.
      13. 서비스”란 광고주와의 계약에 따라 Taboola가 제공하는 서비스를 의미합니다.
      14. 보안 사고“란 개인정보의 우발적 또는 불법적 파기, 분실, 변경, 무단 공개 또는 접근으로 이어지는 보안 침해를 의미합니다.
      15. Standard Contractual Clauses“이란 다음을 의미합니다: (i) EU GDPR이 적용되는 경우, 유럽의회 및 이사회 규정(EU) 2016/679에 따라 제3국으로의 개인정보 이전을 위한 standard contractual clauses에 관한 2021년 6월 4일자 유럽위원회 이행결정 2021/914에 부속된 계약조항(“EU SCCs“); (ii) UK GDPR이 적용되는 경우, 정보보호위원회가 2018년 데이터보호법(DPA 2018) 제119A조(1)항에 따라 발행한 “EU 위원회 Standard Contractual Clauses에 대한 국제 데이터 이전 부칙”(이하 “UK Addendum“)을 의미합니다.
      16. 제3자 개인정보에 대해 관리자로서 역할을 수행하는 사업체를 의미하며, 해당 개인정보가 처리되는 개인정보 주체가 의도적으로 상호작용한 사업체가 아닌 경우를 말합니다. 이 용어는 적용 가능한 개인정보 보호법상 정의된 바를 포함합니다.
      17. UK 데이터 보호법이란 다음을 의미합니다: (i) UK 데이터 보호법 2018, (ii) UK GDPR(UK 데이터 보호법 2018 제3조(10)항에 정의된 바와 같이), (“UK GDPR“), (iii) 2003년 영국 개인정보 및 전자통신(EC 지침) 규정, 그리고 (iv) (i), (ii) 또는 (iii)에 따라 제정되거나 시행되는 기타 UK 법률을 의미하며, 각각은 수시로 개정되거나 대체될 수 있습니다.

각 당사자는 부속서 A, 파트 B에 명시된 목적(이하 “허용된 목적“)을 위해 상대방으로부터 수집하거나 수신한 수집된 데이터를 처리해야 합니다.  광고주는 Taboola가 수집된 데이터를 Taboola 개인정보 처리방침에 따라 처리하는 데 동의합니다(의심의 여지를 없애기 위해, 이는 Taboola의 허용된 목적에도 해당합니다).

수집된 데이터가 적용 가능한 데이터 보호 법률상 개인정보에 해당하거나 이를 포함하는 범위 내에서, 각 당사자는 상대방으로부터 수집하거나 수신한 수집된 데이터를 개인정보 처리자로서 처리해야 합니다(캘리포니아 개인정보 보호법이 적용되는 경우, 해당되는 경우 제3자로서 처리할 수 있음).  수집된 데이터 또는 개인 데이터의 한 당사자에서 다른 당사자로의 공개(이전 또는 한 당사자가 다른 당사자에게 데이터를 제공하는 방식)는 제3자에 대한 공개에 해당합니다.

      1. 수집된 데이터에 미국 또는 미국 주 데이터 보호법(캘리포니아 개인정보 보호법을 포함하되 이에 국한되지 않음)이 적용되는 경우, 서비스와 관련하여 사용되는 Realize Pixels(구 “Taboola Pixels”)가 방문자에 관한 개인정보를 처리하는 범위 내에서, Taboola는 해당 개인정보에 대해 광고주에 대한 제3자 역할을 수행합니다. Taboola는 허용된 목적을 위해 해당 개인정보를 처리합니다. 해당 개인 데이터는 허용된 목적에 한해 Taboola에 제공됩니다.  Taboola는 해당되는 경우 캘리포니아 개인정보 보호법을 포함하여, 적용 가능한 미국 데이터 보호법이 기업에 요구하는 것과 동일한 수준의 개인정보 보호를 제공합니다. Taboola가 적용 가능한 데이터 보호 법률에 따른 의무를 더 이상 이행할 수 없다고 판단하는 경우, Taboola는 해당 법률이 요구하는 기간 내에 광고주에게 이를 통지할 것입니다. 광고주는 Taboola에 통지한 후, Taboola에 제공한 개인정보의 무단 사용을 중단하고 시정하기 위해 합리적이고 적절한 조치를 취할 권리가 있습니다.

당사자들은 수집된 데이터의 일부 또는 전부가 개인정보에 해당하거나 개인정보를 포함할 수 있음을 인정하며, 따라서 각 당사자의 수집된 데이터 처리에 적용 가능한 데이터 보호 법률이 적용될 수 있음을 인정합니다.  이러한 경우, 제7조에 따라 각 당사자는 적용 가능한 데이터 보호 법률을 개별적으로 준수할 책임이 있으며, 여기에는 다음 사항에 대한 적용 가능한 요구사항이 포함됩니다: (i) 데이터 주체에게 투명성을 제공할 것, (ii) 처리에 대한 동의 또는 다른 합법적 근거를 확보할 것, (iii) 데이터 주체가 자신의 데이터 보호 권리를 행사할 수 있는 연락처를 제공할 것.

어느 한 당사자가 수집된 데이터의 제한적 이전을 상대방 당사자에게 수행하는 경우, 부속서 C의 규정이 적용된다.

a. Taboola는 서비스를 제공하기 위해 Realize Pixels를 사용합니다.  제5조에도 불구하고, Taboola가 Realize Pixels를 사용하여 광고주의 디지털 자산(웹사이트, 모바일 애플리케이션 등)으로부터 수집된 데이터를 수집하는 범위 내에서, 광고주는 다음을 이행해야 합니다: (i) 허용된 목적을 위해 광고주의 디지털 자산으로부터 수집된 데이터를 수집하기 위한 Taboola의 Realize Pixels 사용에 대해 데이터 주체에게 필요한 모든 투명성 고지를 제공하며, (ii) 허용된 목적을 위한 Realize Pixels 사용에 대해 데이터 주체의 동의를 획득하고(Taboola의 요청 시 언제든지 적절한 증거를 제공하며), 해당 사용에 대한 데이터 주체의 동의를 획득(또는 타불라의 요청 시 적절한 증거를 제공)해야 하며, 각 경우 적용 가능한 데이터 보호 법률의 요구사항에 따라야 합니다.  광고주의 의무는 투명성 고지 및 데이터 주체에게 제공하는 동의 요청 창 내에 Taboola와 허용된 목적을 위한 Realize Pixels 사용을 명시적으로 밝히는 것, 그리고 적용 가능한 데이터 보호 법률이 요구하는 기타 정보를 포함하여, Taboola가 해당 디지털 자산에서 합법적으로 서비스를 제공하고 허용된 목적을 위해 수집된 데이터 및 개인 데이터를 처리할 수 있도록 하는 데 있습니다. 광고주가 Taboola의 Gen AI 랜딩 페이지 서비스를 이용하는 범위 내에서, Taboola는 투명한 고지를 제공하고 사용자 동의를 획득해야 합니다.

b. 서면 요청 시, Taboola는 광고주가 해당 광고주의 디지털 자산에 대한 Realize Pixels 및 Taboola의 수집 데이터 처리에 관한 정보를 제공하여, 광고주의 고지 및 동의 절차가 적용 가능한 데이터 보호 법률을 준수할 수 있도록 할 것입니다.  광고주는 필요한 투명성이 제공되고 적용 가능한 데이터 보호 법률에 따라 요구되는 모든 필요한 동의를 획득하기 전까지는 어떠한 Realize Pixels도 발동해서는 안 됩니다.

c. 광고주는 데이터 주체가 적용 가능한 데이터 보호 법률에 따라 자신의 데이터 보호 권리를 행사할 수 있는 방법에 관한 정보를 추가로 제공해야 하며, 데이터 주체가 자신의 권리를 행사하기 위해 연락할 수 있는 연락처를 제공해야 합니다. 광고주는 Taboola가 데이터 처리자로서 수집된 데이터를 처리하는 것과 관련하여 데이터 보호 권리 요청을 수신하는 경우, 해당 범위 내에서 Taboola가 적용 가능한 데이터 보호 법률에 따른 의무를 이행하여 요청을 처리할 수 있도록 즉시 Taboola에 통지해야 합니다.

Taboola가 광고주의 요청에 따라 어트리뷰션 목적으로 광고주의 어트리뷰션 파트너 또는 광고주에게 개인 데이터를 전달하는 경우, 광고주는 다음을 진술하고 보증합니다: (i) 해당 어트리뷰션 파트너는 광고주를 대신하는 처리자입니다; (ii) 별도로 독립적으로 수집된 경우를 제외하고, 광고주와 어트리뷰션 파트너는 해당 개인 데이터를 오직 어트리뷰션 목적으로만 사용할 것; 및 (iii) 어트리뷰션 파트너와 광고주는 방문자가 Taboola에서 유입된 것으로 마지막으로 식별된 날로부터 30일 이내에 전달된 모든 개인 데이터를 삭제할 것.

각 당사자는 수집된 데이터 및/또는 처리하는 개인정보를 보안 사고로부터 보호하기 위해 적절한 기술적·조직적 보안 조치를 이행하여야 한다.  이러한 조치에는 부속서 B에 명시된 조치가 포함되어야 한다.

당사자 중 일방이 본 계약 및 본 광고주 개인정보 처리 약관의 대상이 되는 수집 데이터 및/또는 개인 데이터와 관련하여 보안 사고를 입은 경우, 해당 당사자는 다음을 이행하여야 합니다: (i) 해당 당사자에게 적용되는 관련 데이터 보호 법률에 따라 데이터 보호 기관 및/또는 영향을 받은 데이터 주체에 대한 보고 의무를 (자신의 비용으로) 이행할 책임이 있으며, (ii) 지체 없이 상대방에게 통지하고, 상대방이 합리적으로 요청할 수 있는 보안 사고 관련 정보 또는 상대방이 해당 보안 사고와 관련하여 적용 가능한 데이터 보호 법률에 따른 보고 의무가 있는지 여부를 판단하는 데 필요한 정보를 제공하며, (iii) 보안 사고의 영향을 시정 및/또는 완화하기 위해 적절한 모든 조치와 방안을 지체 없이 취해야 합니다.

각 당사자가 적용받는 해당 데이터 보호 법률이 요구하는 범위 내에서, 각 당사자는 허용된 목적을 위한 수집된 데이터 및/또는 개인 데이터 처리에 관한 데이터 보호 영향 평가를 수행하고/또는 필요한 경우 해당 데이터 보호 당국과 협의하여야 합니다.  각 당사자는 상대방이 본 제11조에 따른 의무를 이행하기 위해 데이터 보호 영향 평가를 완료하고/또는 해당 데이터 보호 당국과 협의하는 데 필요한 경우, 상대방이 합리적으로 요청하는 모든 협력 및 정보를 제공하여야 한다.

 

A. 당사자 목록

각 당사자는 다음을 준수하여야 한다:

      • 수집된 데이터를 상대방에게 공개하거나 이용할 수 있도록 하는 데이터 관리자(및 데이터 수출자)로서,
      • 수집된 데이터의 데이터 관리자(및 데이터 수입자)로서, 상대방으로부터 수신하거나 상대방이 접근 권한을 제공하는 데이터에 대한 책임을 집니다.

각 당사자의 세부 사항은 아래와 같습니다.

이름: 계약서에 명시된 광고주의 세부 사항을 참조하십시오.

주소: 계약서에 명시된 광고주의 세부 사항을 참조하십시오.

담당자 성명, 직위 및 연락처: 계약서에 명시된 광고주의 세부사항 또는 당사자 간 서면으로 합의된 내용을 참조하십시오.

본 조항에 따라 전송되는 데이터와 관련된 활동: 본 계약서에 명시된 서비스의 수령.

서명 및 날짜: 본 부속서 A는 광고주가 본 광고주 개인정보 처리방침을 수락하는 시점에 체결된 것으로 간주됩니다.

역할 (관리자/처리자): 데이터 수출자 역할의 관리자 데이터 수입자 역할의 관리자

 

이름: 본 계약서 서문에 명시된 Taboola의 세부 사항을 참조하십시오.

주소: 본 계약서 서문에 명시된 Taboola의 세부 사항을 참조하십시오.

담당자 성명, 직위 및 연락처: Taboola 개인정보 보호팀, privacy@taboola.com

본 조항에 따라 전송되는 데이터와 관련된 활동: 본 계약서에 명시된 서비스의 제공.

서명 및 날짜: 본 부속서 A는 Taboola가 본 광고주 개인정보 보호 약관을 수락하는 시점에 체결된 것으로 간주됩니다.

역할 (관리자/처리자): 데이터 수출자 역할의 관리자 데이터 수입자 역할의 관리자

 

B. 처리 및 이전에 관한 설명

개인정보가 처리 및/또는 이전되는 데이터 주체의 범주: 사용자들

처리 및/또는 이전되는 개인 데이터의 범주:

기기 데이터: 운영 체제, 브라우저 유형, 브라우저 버전, 수집 시점 기준 30일 이내에 삭제되는 IP Address, 우편번호(IP Address에서 추출), 해시 처리된 Taboola 사용자 ID, 해시 처리된 이메일, 광고주 웹사이트의 초기 및 후속 페이지 방문, 사용자 성별(관심사 기반 추론), 참여 신호(사이트 체류 시간, 스크롤 깊이, 세션 깊이), 전환 데이터.

사용자가 방문한 디지털 자산에 관한 데이터: 방문한 페이지의 URL, 참조 웹사이트

  • DCO가 서비스의 일부인 범위 내에서 Taboola는 또한 다음과 같은 데이터를 처리합니다:

기기 데이터: Taboola Cookie ID 또는 기기 ID(플랫폼에 따라 다름), 가려진 IP Address, Taboola 클릭 ID, User Agent String, 국가, 사용자 유형(광고주가 공유하는 경우 신규/재방문 사용자 정보 포함), 제품 정보(특정 URL과 연결됨, 상품 페이지의 가격 및 재고 정보 포함)

이벤트 데이터: 통화, 상품 ID, 주문 ID, 카테고리 ID, 카테고리, 검색어, 장바구니 상세 정보, 금액, 캠페인 ID.

전송된 민감한 데이터(해당되는 경우) 및 데이터의 성격과 관련된 위험을 충분히 고려한 적용된 제한 또는 보호 조치(예: 엄격한 목적 제한, 접근 제한(전문 교육을 이수한 직원만 접근 가능 포함), 데이터 접근 기록 보관, 제3자 전송 제한 또는 추가 보안 조치 등): 해당 사항 없음.

처리 및/또는 전송의 빈도(예: 데이터가 일회성 또는 지속적으로 처리 및/또는 전송되는지 여부): 본 계약 기간 동안 지속적으로.

처리 유형: 본 계약서에 명시된 서비스 제공에 필요한 개인정보 처리

데이터 처리/전송 및 추가 처리의 목적: 본 계약서에 명시된 서비스의 제공. 의심의 여지를 없애기 위해, 허용된 목적에는 다음이 포함됩니다: (i) 기기에 정보 저장 및/또는 접근; (ii) 기본 광고 선택; (iii) 맞춤형 광고 프로필 생성; (iv) 맞춤형 광고 선택; (v) 맞춤형 콘텐츠 프로필 생성; (vi) 맞춤형 콘텐츠 선택; (vii) 광고 성과 측정; (viii) 콘텐츠 성과 측정; (ix) 제품 개발 및 개선; (x) 보안 보장, 사기 방지 및 디버깅; (xi) 광고 또는 콘텐츠의 기술적 전달; (xii) 오프라인 데이터 소스의 매칭 및 결합; (xiii) 서로 다른 기기 연결; (xiv) 식별을 위한 자동 전송 기기 특성 수신 및 사용; (xv) 콘텐츠 선정을 위한 제한적 데이터 사용; (xvi) 통계를 통한 대상 이해.

개인정보가 보유될 기간 또는, 그것이 불가능한 경우 해당 기간을 결정하는 데 사용되는 기준:

      • Taboola: 원시 데이터는 최대 13개월 동안 저장됩니다.
      • 광고주: 서비스를 수령하는 데 필요한 기간 동안 또는 계약서에 달리 명시된 기간 동안.

(하위) 처리자로의 이전 시에는 처리의 대상, 성격 및 기간도 명시하십시오: 해당 사항 없음.

 

C. 관할 감독 기관

EU GDPR이 적용되는 관할 감독 기관: 각 당사자에 대한 관할 감독 기관은 다음과 같습니다:

      • Taboola: 관할 감독 기관은 EU SCCs 제13조에 따라 결정되어야 한다.
      • 광고주: 관할 감독 기관은 EU SCCs 제13조에 따라 결정되어야 한다.

UK GDPR이 적용되는 관할 감독 기관: 정보위원회 사무소

 

각 당사자가 처리의 성격, 범위, 맥락 및 목적과 자연인의 권리 및 자유에 대한 위험을 고려하여 적절한 수준의 보안을 보장하기 위해 시행한 기술적 및 조직적 조치(관련 인증 포함)에 대한 설명.

개인정보의 가명화 및 암호화 조치: Taboola는 익명화된 데이터만을 수집합니다. 즉, 사용자의 이름, 이메일 주소 또는 기타 식별 가능한 데이터를 알거나 처리하지 않으므로 귀하가 누구인지 알 수 없습니다. 당사가 수집하는 사용자 정보에는 다음이 포함되나 이에 국한되지 않습니다: 사용자의 기기 및 운영 체제 정보, IP Address, 고객사 웹사이트 내에서 사용자가 접속한 웹 페이지, 사용자를 고객사 웹사이트로 이끈 링크, 사용자가 고객사 웹사이트에 접속한 날짜 및 시간, 기타 웹 브라우징 데이터. CookieID는 Bcrypt를 사용하여 익명화되며 IP Address는 잘립니다.

처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력 확보를 위한 조치: Taboola는 다중 수준의 전자 보안을 활용합니다(예: 엔드포인트 보안, 서버 측 보안, 탐지 추적, 정기적인 침투 테스트, 사후 분석 이벤트 검토를 위한 심층 정보 수집).

물리적 또는 기술적 사고 발생 시 개인 데이터의 가용성과 접근성을 적시에 복원할 수 있는 능력을 보장하기 위한 조치: Taboola는 전 세계에서 운영 중인 9개의 데이터 센터를 보유하고 있습니다. 모든 데이터 센터는 서로를 복제하는 용도로 사용되므로, 한 데이터 센터가 다운되더라도 다른 데이터 센터에서 데이터를 추출할 수 있습니다.

처리 과정의 보안을 보장하기 위한 기술적 및 조직적 조치의 효과성을 정기적으로 테스트, 평가 및 검토하는 절차: Taboola는 통제 수단(기술적 및 조직적)의 효과성을 검증하기 위한 엄격한 절차를 유지합니다. 시스템 로깅 및 모니터링을 구축하고 있으며, 월간(최소) 재해 복구 테스트, 분기별 침투 테스트를 수행합니다. 웹을 보호하는 방화벽과 네트워크 전반에 배치된 허니팟을 통해 악성 활동을 탐지합니다. 또한, 저희는 네트워크를 지속적으로 모니터링하는 데 도움이 되는 보상 프로그램을 운영하고 있습니다.

사용자 식별 및 인증을 위한 조치: Taboola의 모든 사용자는 고유한 사용자 이름과 비밀번호를 보유하고 있습니다. Taboola 내부 네트워크에 대한 모든 접근은 Google 인증을 통한 2단계 인증(2FA)으로 수행됩니다. 사용자는 IT 부서에서만 생성하며, 온보딩 과정에서 HR 부서로부터 모든 세부 정보와 서명된 계약서를 받은 후에만 생성됩니다.

전송 중 데이터 보호를 위한 조치: Taboola는 안전한 전송 프로토콜(최소 HTTPS 및 TLS v1.2)을 통한 모든 데이터 전송을 지원합니다. 또한 개인 식별 정보(PII)를 포함할 수 있는 시스템은 보안이 유지되며, 데이터는 해시 처리 및 익명화되어 보관됩니다.

저장 중 데이터 보호를 위한 조치: 저희 데이터베이스 내에 저장된 데이터는 익명화 처리되며 Bcrypt를 사용하여 해시됩니다. 데이터베이스 접근은 최소화되며 ‘업무상 필요한 정보만 알 권리’ 원칙에 따라 이루어집니다.

개인정보가 처리되는 장소의 물리적 보안 확보를 위한 조치: Taboola의 글로벌 데이터 센터(미국, 유럽, 아시아) 각각은 모든 서버를 Taboola 전용으로 유지 관리되는 잠긴 캐비닛 내에 배치하고 있습니다. 이 캐비닛들은 SOC2-certified 인증을 받은 기업들이 관리하거나, Taboola가 해당 기업의 보안 조치를 검토한 기업들이 관리합니다. 또한, 서버에 대한 접근은 서면으로 기록된 허가가 필요합니다. 모든 Taboola 사무실은 통제되며, 직원들은 출입 시 출입 카드를 사용해야 합니다. 또한, Taboola 서버에 접근할 수 있는 직원은 제한된 인원뿐이며, 모든 접근은 서면으로 기록된 허가를 필요로 합니다.

이벤트 로깅을 보장하기 위한 조치: Taboola는 모니터링 도구를 구현하며, 수집된 로그를 SIEM 시스템에 전송합니다. 해당 시스템은 의심스러운 이벤트 발생 시 경보를 발령하며, NOC 팀에 의해 지속적으로 모니터링됩니다.

시스템 구성 보장 조치(기본 구성 포함): 서버는 구성 변경 및 패치 수준을 모두 스캔합니다. 보고 및/또는 경고 기능이 양쪽 모두에 설정되어 있으며, 관련 패치 수준이 확인되었습니다. 새로운 패치는 Puppet을 사용하여 배포됩니다. 모든 기술 검토는 R&D 애플리케이션을 통해 관리되며, 코딩 및 CI/CD processes 구현 후 공식적인 검토(QA) 절차를 거쳐 수행됩니다.

내부 IT 및 IT 보안 거버넌스 및 관리 조치: Taboola는 ISO 27001:2013 및 27701 인증을 획득했습니다. Taboola는 정보 보안 정책을 시행하고 있으며, 이 정책에 따르면 Taboola의 이사회와 경영진은 조직 전반에 걸쳐 모든 물리적 및 전자적 정보 자산의 기밀성, 무결성 및 가용성을 유지하기 위해 최선을 다하고 있습니다. Taboola는 모든 신입 사원을 대상으로 보안 교육을 실시하며, 전 세계 모든 직원을 대상으로 피싱 교육을 진행하고, 정기적인 보안 교육을 모든 직원에게 제공합니다. 또한 연구개발(R&D) 그룹을 위한 전용 세션을 마련합니다.

공정 및 제품의 인증/보증 조치: 분기별/반기별/연간 내부 감사 실시를 통해 Taboola가 정의된 보안 목표 및 조치 사항을 준수하고 있는지 검증합니다.

데이터 최소화를 보장하기 위한 조치: Taboola는 특정 비즈니스 목적에 필요한 최소한의 데이터만을 처리한다는 글로벌 데이터 최소화 원칙의 일환으로 수집하는 데이터를 의도적으로 제한합니다. 또한 Taboola는 서비스를 제공하기 위해 알고리즘에 사용되는 데이터 포인트를 “리버스 엔지니어링”할 능력도, 그러한 비즈니스적 필요성도 없습니다. 더 구체적으로 말하면, Taboola가 수집하는 데이터 포인트는 사용자의 신원을 나타내지 않습니다. Taboola는 사용자의 이름, 전화번호, 이메일 또는 실제 주소와 같은 정보를 수집하거나 처리하지 않기 때문입니다. 대신 Taboola는 가명 식별자만을 수집하며, 이는 단순히 사용자의 기기 특성을 식별할 뿐입니다. 여기에는 IP Address(수집 시 일부가 생략되며 기기의 대략적인 우편번호 지역만 식별 가능, 정확한 위치 정보는 절대 불가능)와 일부 제한된 경우 해시 처리된 이메일 주소(본질적으로 역방향 변환이 불가능하며 원래 이메일 주소를 복구할 수 없음)가 포함됩니다. 또한, 수집된 데이터가 집합적으로 사용되더라도 개인의 이름, 전화번호, 이메일 또는 실제 주소를 도출할 수 없으며, 당사 엔지니어들은 어떠한 방식으로도 이를 달성하기 위해 작업하지 않습니다. 또한 Taboola는 서비스, 프로세스 및 정책의 개인정보 보호 위험을 최소화하기 위해 개인정보 영향 평가를 수행하고 기록합니다.

데이터 품질 보장을 위한 조치: 데이터는 사용자로부터 직접 수집되며, 사용자는 Taboola 개인정보 열람 요청 포털(https://accessrequest.taboola.com/access)을 통해 자신의 CookieID와 연관된 데이터를 수정할 기회를 부여받습니다.

제한된 데이터 보존을 보장하기 위한 조치: 광고 제공 목적으로 직접 수집된 사용자 정보는 사용자의 서비스 마지막 이용 시점부터 최대 13개월 동안(대개 더 짧은 기간) 보관되며, 이후 고유 식별자를 제거하거나 데이터를 집계하여 비식별화 처리합니다. 이 과정은 자동으로 수행됩니다.

책임성 확보를 위한 조치: Taboola는 여러 보안 감사 및 침투 테스트를 수행합니다(단, 모든 시스템에 대한 것은 아닙니다). Taboola는 또한 ISO 인증을 획득한 클라우드 공급자를 활용하며, 서버의 물리적 보호 장치를 유지하기 위해 기타 클라우드 관련 인증을 준수합니다.

데이터 이동성 허용 및 삭제 보장 조치: 모든 매체는 재사용하거나 폐기하기 전에 완전히 삭제해야 합니다. 모든 매체 폐기 처리는 문서화됩니다. 직원들은 개인정보가 포함될 수 있는 어떠한 서류도 인쇄하지 않도록 지시받습니다.

  1. 한 당사자가 수집된 데이터의 제한적 이전을 상대방 당사자에게 수행하는 범위 내에서, Standard Contractual Clauses는 본 광고주 개인정보 처리약관에 포함되며 다음과 같이 적용됩니다:
    1. 제한적 이전이 EU 제한적 이전인 경우, 당사자 간에는 다음과 같이 EU SCCs가 적용됩니다:
      1. 모듈 1이 적용됩니다;
      2. 제7조에서는 선택적 도킹 조항이 적용됩니다;
      3. 제11조에서는 선택적 조항이 적용되지 않습니다;
      4. 제17조에서는 옵션 1이 적용되며, EU SCCs는 아일랜드 법률의 적용을 받습니다;
      5. 제18조(b)항에 따라 분쟁은 아일랜드 법원에서 해결되어야 한다;
      6. 본 광고주 개인정보 처리방침의 부속서 A, B 및 C에 명시된 정보로 부속서 I의 A, B 및 C 부분이 완료된 것으로 간주됩니다.
      7. 본 광고주 개인정보 처리방침의 부속서 B에 명시된 보안 조치로 부속서 II가 완료된 것으로 간주한다;
    2. 제한적 양도가 UK 제한적 양도인 경우, 당사자 간에는 UK Addendum이 다음과 같이 적용됩니다:
      1. 상기 명시된 바와 같이 작성된 EU SCCs는 당사자 간에 적용되며, UK Addendum(아래 (ii)호에 명시된 바와 같이 작성된)에 의해 수정됩니다; 그리고
      2. UK Addendum의 표 1부터 3까지는 상기 명시된 바와 같이 작성된 EU SCCs의 관련 정보로 작성된 것으로 간주되며, 표 4에서는 “수출자” 및 “수입자” 옵션이 선택된 것으로 간주됩니다. UK Addendum의 시작일(표 1에 명시된 바와 같이)은 본 광고주 개인정보 보호 약관의 발효일과 동일합니다.
  2. 제한적 이전:  어느 당사자도 상대방으로부터 수령한 수집된 데이터에 대해, 해당 제한적 이전이 적용 가능한 데이터 보호 법률 및 상대방과 합의한 Standard Contractual Clauses를 준수하도록 보장하기 위해 필요한 모든 행위 및 조치를 수행하지 않은 경우, 이를 제3자에게 제한적으로 이전하지 않을 것입니다.