GA4를 붙였을 때 개인정보처리방침에 꼭 맞춰 써야 하는 문구

GA4를 붙일 때 가장 흔한 실수는 추적 코드를 먼저 넣고, 개인정보처리방침은 나중에 대충 고치는 것입니다. 그런데 이 순서는 실제 운영에서 꽤 위험합니다. 문서보다 구현이 먼저 바뀌면, 개인정보처리방침이 현재 사이트 동작을 설명하지 못하는 시간이 생기기 때문입니다. 방문자 입장에서는 “이 사이트가 무엇을 수집하는지”를 오해하게 되고, 정책 관점에서도 구현과 문서가 어긋난 상태가 됩니다.

Google 공식 문서는 이 부분을 생각보다 직접적으로 말합니다. Analytics Help의 Privacy Disclosures Policy는 Google Analytics를 사이트나 앱에서 사용할 때, Google Analytics의 사용과 그것이 어떻게 데이터를 수집하고 처리하는지를 공개해야 한다고 설명합니다. 또 Safeguarding your data 문서는 Google Analytics가 주로 first-party cookies를 사용하고, 기기/브라우저 관련 데이터, IP address, 사이트 내 활동 데이터를 수집해 측정 통계를 만든다고 안내합니다. 여기에 광고 기능까지 켜면, 추가로 무엇을 공개해야 하는지까지 따로 명시됩니다.

즉 GA4를 붙였을 때 개인정보처리방침에서 가장 중요한 기준은 간단합니다. “멋진 문구”가 아니라 “실제 구현과의 정합성”입니다. 이 글에서는 그 정합성을 어떻게 맞추는지, 그리고 어떤 문구는 꼭 들어가야 하고 어떤 문구는 구현에 따라 달라져야 하는지를 정리해보겠습니다.

검색/신뢰정책 정합성

GA4를 붙였을 때 개인정보처리방침에 꼭 맞춰 써야 하는 문구

Google Analytics 4를 사이트에 붙였을 때 개인정보처리방침을 어떻게 실제 구현과 맞춰 써야 하는지 정리합니다. Google 공식 문서 기준으로 반드시 공개해야 하는 내용, 광고 기능을 켠 경우 추가로 써야 하는 내용, 동의 배너와 문서가 어긋나지 않게 맞추는 방법을 설명합니다.

핵심 1

먼저 결론: GA4 개인정보처리방침의 핵심은 “실제 동작을 그대로 설명하는 것”이다

핵심 2

GA4를 쓰면, 우선 “Google Analytics를 사용한다”는 사실부터 공개해야 한다

핵심 3

GA4 기본 구현이라면 쿠키, 브라우저/기기 데이터, 사이트 활동 데이터 설명이 빠지면 안 된다

정책 정합성검색/신뢰ga4 privacy policy alignment

먼저 결론: GA4 개인정보처리방침의 핵심은 “실제 동작을 그대로 설명하는 것”이다

제가 기준으로 잡는 질문은 이렇습니다.

• 이 사이트는 GA4를 쓰는가
• 어떤 데이터 범주를 다루는가
• 쿠키나 식별자를 쓰는가
• 사용자가 거부하거나 통제할 방법이 있는가
• 광고 기능이나 Google signals까지 쓰는가
• 동의 배너와 실제 태그 동작이 문서와 맞는가

이 질문에 답하면, 개인정보처리방침 문구는 자연스럽게 따라옵니다. 반대로 이 질문에 답하지 못하면 문구만 길게 늘어놔도 정합성이 맞지 않습니다.

1. GA4를 쓰면, 우선 “Google Analytics를 사용한다”는 사실부터 공개해야 한다

이건 Google 공식 문서에서 바로 확인되는 부분입니다. Privacy Disclosures Policy는 Google Analytics를 사용하는 경우, Google Analytics의 사용과 데이터 수집/처리 방식을 공개해야 한다고 설명합니다.

즉 최소한 아래 정도는 개인정보처리방침에 명시하는 편이 맞습니다.

• Google Analytics 4 사용 여부
• 사용 목적
• 어떤 종류의 데이터가 수집될 수 있는지

예를 들면 기본 뼈대는 이 정도가 됩니다.

이 사이트는 방문자 이용 행태를 분석하고 서비스 품질을 개선하기 위해 Google Analytics 4를 사용합니다.

이 문장은 짧지만 중요합니다. “어떤 외부 서비스가 들어왔는지”를 분명히 밝히기 때문입니다.

2. GA4 기본 구현이라면 쿠키, 브라우저/기기 데이터, 사이트 활동 데이터 설명이 빠지면 안 된다

Safeguarding your data 문서는 Google Analytics가 주로 first-party cookies를 사용하고, 기기/브라우저 관련 데이터, IP address, 사이트/앱 활동 데이터를 수집한다고 설명합니다. 또 사용자는 쿠키를 비활성화하거나 개별 쿠키를 삭제할 수 있고, Google Analytics opt-out browser add-on을 사용할 수도 있다고 안내합니다.

이걸 개인정보처리방침 문구로 바꾸면 보통 아래 요소가 필요합니다.

• first-party cookies 또는 유사 식별자 사용 여부
• 브라우저/기기 정보 수집 가능성
• 페이지 조회, 클릭 등 사이트 활동 데이터
• 거부 수단 또는 통제 방법

예를 들어 기본형 문구는 이렇게 시작할 수 있습니다.

Google Analytics 4는 방문자의 사이트 이용 현황을 분석하기 위해 퍼스트파티 쿠키 또는 유사한 식별자, 브라우저/기기 정보, 페이지 조회 및 상호작용 정보를 수집할 수 있습니다.

이 문구는 너무 넓지도, 너무 좁지도 않아서 실제 기본 웹 구현과 맞추기 쉽습니다.

3. “GA4는 IP를 전혀 다루지 않는다” 또는 “IP를 저장한다”처럼 단정하면 오히려 어긋날 수 있다

이 부분이 특히 많이 헷갈립니다. Google 공식 문서는 두 가지를 함께 말합니다.

• Safeguarding your data: Google Analytics는 데이터를 수집할 때 IP 주소를 로그하거나 저장하지 않는다.
• EU-focused data and privacy: GA4는 EU 사용자 IP 주소를 로그하거나 저장하지 않으며, 대략적 위치 정보를 도출한 뒤 즉시 폐기한다.

즉 현재 Google 문서를 기준으로 보면 “GA4가 IP를 전혀 관여하지 않는다”라고 쓰는 것도, “GA4가 개별 IP를 그대로 저장한다”라고 쓰는 것도 둘 다 부정확할 수 있습니다. 더 안전한 표현은 이렇게 가는 편입니다.

Google은 Google Analytics가 측정 과정에서 IP 기반 정보를 사용해 대략적인 위치 정보와 서비스 보안을 지원할 수 있으며, 데이터 수집 시 개별 IP 주소를 로그하거나 저장하지 않는다고 설명합니다.

이 문장은 공식 문서의 요지를 벗어나지 않으면서도, 과장된 단정을 피할 수 있습니다.

4. opt-out이나 통제 방법도 같이 적는 편이 좋다

Google 공식 문서는 사용자가 쿠키를 비활성화하거나 개별 쿠키를 삭제할 수 있고, Google Analytics opt-out browser add-on을 통해 측정을 끌 수 있다고 설명합니다. 따라서 개인정보처리방침에도 통제 수단을 함께 적는 편이 자연스럽습니다.

기본형 문구 예시는 이렇습니다.

방문자는 브라우저 설정을 통해 쿠키 저장을 거부하거나 삭제할 수 있으며, Google이 제공하는 Google Analytics Opt-out Browser Add-on을 사용해 Analytics 측정을 거부할 수 있습니다.

이 부분이 빠지면 문서가 “우리가 무엇을 한다”만 설명하고 “사용자가 무엇을 할 수 있는가”는 비어 있게 됩니다.

5. 광고 기능이나 Google signals를 켰다면 공개 범위가 더 넓어진다

여기서는 Google의 요구가 훨씬 구체적입니다. [GA4] Policy requirements for Google Analytics Advertising Features 문서는 광고 기능을 활성화한 경우 개인정보처리방침에 반드시 공개해야 할 내용을 명시합니다.

공식적으로 공개해야 하는 항목은 이렇습니다.

• 어떤 Google Analytics Advertising Features를 구현했는가
• 당신과 third-party vendors가 first-party cookies와 third-party cookies 또는 다른 식별자를 함께 어떻게 사용하는가
• 사용자가 광고 기능을 어떻게 opt-out 할 수 있는가

즉 Google signals, 리마케팅, 광고 리포트 기능, Google Ads 연동 기반 광고 기능을 켰다면 “GA4 사용”만 적어서는 부족합니다. 광고 기능 수준에 맞는 별도 문단이 필요합니다.

예를 들면:

이 사이트는 Google Analytics의 광고 기능(예: Google signals 또는 리마케팅 관련 기능)을 사용할 수 있습니다. 이 경우 퍼스트파티 쿠키와 Google 광고 쿠키 또는 기타 식별자가 함께 사용될 수 있으며, 사용자는 Google 광고 설정에서 개인화 광고 관련 설정을 관리할 수 있습니다.

이 문장은 어디까지나 출발점입니다. 실제로 어떤 광고 기능을 켰는지는 더 구체적으로 적는 편이 좋습니다.

6. consent mode나 동의 배너를 쓰면 “문구”와 “실제 태그 동작”이 반드시 맞아야 한다

Google은 consent mode 관련 문서에서, 사용자 동의를 얻는 것은 측정의 핵심 일부이며, 동의 배너를 직접 운영한다면 페이지 기본값을 denied로 두고 동의 후 granted로 업데이트하도록 안내합니다. 또 CMP를 사용할 때는 많은 배너가 Google 태그를 동의 전 차단하는 설정을 가진다고 설명합니다.

이 문서가 중요한 이유는 개인정보처리방침만 잘 써도 충분하다는 뜻이 아니기 때문입니다. 예를 들어 문서에는 “동의 후에만 GA4가 작동합니다”라고 적어놓고, 실제 코드는 페이지가 열리자마자 gtag.js가 쿠키를 쓰고 있으면 문서와 구현이 어긋납니다.

즉 consent mode를 쓴다면 아래 세 가지가 동시에 맞아야 합니다.

• 개인정보처리방침 문구
• 배너 문구
• 실제 Google tag 동작

예를 들어 기본 흐름은 이런 코드와 맞아야 합니다.

<script>
  gtag('consent', 'default', {
    analytics_storage: 'denied'
  });
</script>

그리고 사용자가 허용했을 때만 업데이트됩니다.

<script>
  gtag('consent', 'update', {
    analytics_storage: 'granted'
  });
</script>

이 코드 흐름과 문서가 맞지 않으면 “배너만 있고 실제론 이미 수집 중”인 상태가 되기 쉽습니다.

7. 개인정보처리방침에 꼭 맞춰 써야 하는 문구는 구현 상태별로 달라진다

제가 보통 구현 상태를 세 가지로 나눕니다.

Google의 광고 기능 정책 문서도, Google이 모든 비즈니스에 맞는 정확한 privacy policy 문구를 제공할 수는 없다고 설명합니다. 그래서 아래 예시는 법률 문서 완성본이 아니라, 구현 상태와 공식 공개 요구사항을 맞추기 위한 출발점으로 보는 편이 맞습니다.

1. 기본형: GA4만 사용, 광고 기능 없음

이 경우 핵심은 Analytics 사용, 데이터 범주, 쿠키, 거부 방법입니다.

예시:

이 사이트는 방문자 이용 통계와 서비스 개선을 위해 Google Analytics 4를 사용합니다. Google Analytics 4는 퍼스트파티 쿠키 또는 유사 식별자, 브라우저/기기 정보, 페이지 조회 및 사이트 내 상호작용 정보를 수집할 수 있습니다. Google은 Analytics 측정 과정에서 IP 기반 정보를 활용할 수 있으며, Google의 설명에 따르면 데이터 수집 시 개별 IP 주소를 로그하거나 저장하지 않습니다. 방문자는 브라우저 설정을 통해 쿠키를 거부하거나 삭제할 수 있으며, Google Analytics Opt-out Browser Add-on을 통해 측정을 거부할 수 있습니다.

2. 동의 배너/consent mode 포함형

이 경우에는 “언제부터 수집되는가”가 중요합니다.

예시:

이 사이트는 방문자 동의가 필요한 지역 또는 설정에서 Google Analytics 4를 동의 기반으로 운영할 수 있습니다. 동의가 필요한 경우, 동의 배너 또는 동의 관리 도구를 통해 Analytics 저장에 대한 사용자 선택을 받은 뒤 관련 측정이 활성화됩니다.

이 문구는 실제로 default denied나 태그 차단이 구현되어 있을 때만 쓰는 편이 안전합니다.

3. 광고 기능/Google signals 포함형

이 경우에는 공식 요구사항을 반영해 항목이 늘어납니다.

예시:

이 사이트는 Google Analytics의 광고 기능을 사용할 수 있습니다. 이 경우 퍼스트파티 쿠키와 Google 광고 쿠키 또는 기타 식별자가 함께 사용될 수 있으며, 사용자는 Google 광고 설정 또는 기타 제공되는 수단을 통해 관련 기능을 관리하거나 거부할 수 있습니다. 자세한 내용은 Google의 광고 설정 및 개인정보처리 관련 안내를 참고하시기 바랍니다.

8. 개인정보처리방침에서 자주 어긋나는 문장들

실무에서 자주 보이는 문제는 보통 이런 식입니다.

“우리는 쿠키를 사용하지 않습니다”

표준 GA4 웹 구현이라면 이 문장은 자주 틀립니다. Google은 Analytics가 mainly first-party cookies를 사용한다고 설명합니다. 물론 구현에 따라 쿠키 설정을 다르게 할 수는 있지만, 기본값은 “쿠키를 전혀 안 쓴다”가 아닙니다.

“우리는 어떠한 외부 추적 도구도 사용하지 않습니다”

GA4가 들어간 순간 이 문장도 어긋납니다. 적어도 Google Analytics 4라는 외부 측정 도구는 사용 중입니다.

“동의한 사용자만 측정합니다”

consent mode나 태그 차단이 실제로 그렇게 동작할 때만 써야 합니다. 문구가 아니라 코드가 기준입니다.

“이 사이트는 개인 정보를 수집하지 않습니다”

이 문장은 특히 조심해야 합니다. 법률상 “개인정보” 개념은 국가별로 다르고, Google도 PII 전송 금지를 별도로 강조합니다. 애매한 경우 Google 문서도 변호사와 상담하라고 안내합니다. 따라서 blanket statement보다 실제 수집 범주를 명시하는 편이 안전합니다.

9. PII 전송 금지와 개인정보처리방침은 연결되어 있다

Google Analytics Help의 PII best practices 문서는 이메일, 전화번호 같은 PII를 Google에 보내면 안 된다고 설명합니다. 특히 page URL과 page title도 기본 수집 대상이라, URL 파라미터나 페이지 제목에 PII가 들어가면 의도치 않게 전송될 수 있다고 경고합니다.

이건 개인정보처리방침과도 연결됩니다. 왜냐하면 문서에는 “이메일 등 직접 식별 정보를 수집하지 않습니다”라고 적어두고, 실제 사이트는 쿼리스트링에 이메일이 남아 GA4로 들어가면 바로 정합성이 깨지기 때문입니다.

그래서 GA4를 붙인 사이트에서는 아래도 같이 점검해야 합니다.

• URL 파라미터에 이메일/전화번호가 남지 않는가
• 검색 결과용 title이나 page title에 PII가 들어가지 않는가
• form 입력값이 measurement payload로 전송되지 않는가

개인정보처리방침은 결국 이런 구현 전제를 바탕으로 써야 실제와 맞습니다.

10. 이 레포 기준으로 보면 개인정보처리방침은 “GA4 추가 전/후”가 분명히 갈린다

현재 이 사이트의 /privacy 페이지는 “분석 도구를 아직 기본 기능으로 두고 있지 않다”는 전제를 바탕으로 쓰여 있습니다. 이건 지금 상태에서는 맞는 문서입니다. 하지만 GA4를 붙이는 순간 이 문구는 더 이상 충분하지 않습니다.

이때 바꿔야 하는 핵심은 세 가지입니다.

• 현재는 외부 분석 도구를 기본 기능으로 두고 있지 않습니다 같은 문장 수정
• Google Analytics 4 사용 사실과 데이터 범주 추가
• 동의 배너/광고 기능/Google signals 사용 여부에 맞는 문단 추가

즉 GA4는 단순히 스크립트 한 줄이 아니라, 개인정보처리방침 변경 이벤트이기도 합니다.

11. 제가 실제로 쓰는 점검 체크리스트

GA4를 넣은 뒤 개인정보처리방침을 다시 읽을 때 저는 보통 아래를 봅니다.

1. Google Analytics 4를 사용한다고 분명히 적었는가
2. 쿠키 또는 유사 식별자 사용 여부가 실제와 맞는가
3. 브라우저/기기 정보, 페이지 활동 데이터 설명이 있는가
4. IP 관련 설명이 과장되거나 부정확하지 않은가
5. opt-out 방법이 적혀 있는가
6. 광고 기능이 켜져 있으면 추가 공개 항목이 포함되는가
7. consent mode나 동의 배너 문구와 실제 태그 동작이 맞는가
8. PII 전송 금지 원칙과 URL/제목 구조가 실제로 점검되었는가

이 정도만 맞아도 “문서가 현재 구현을 설명하지 못하는 상태”는 크게 줄일 수 있습니다.

마무리

GA4를 붙였을 때 개인정보처리방침에서 가장 중요한 건 법률 문구를 길게 늘어놓는 것이 아니라, 실제 구현과 정확히 맞는 설명을 쓰는 것입니다. Google 공식 문서를 기준으로 분명히 말할 수 있는 부분은 이렇습니다. Google Analytics를 사용한다면 그 사용 사실과 데이터 수집/처리 방식을 공개해야 하고, GA는 주로 first-party cookies와 기기/브라우저 정보, 사이트 활동 데이터를 사용하며, 사용자는 쿠키나 opt-out 도구를 통해 통제할 수 있습니다. 광고 기능을 켜면 추가 공개 항목이 필요하고, consent mode나 동의 배너를 쓴다면 문구와 실제 태그 동작이 함께 맞아야 합니다.

제 실무 기준으로는 그래서 “문구를 먼저 쓰는 것”보다 “현재 구현 상태를 먼저 목록으로 정리하고, 그 구현을 문서에 그대로 옮기는 것”이 더 중요합니다. 문서가 구현보다 느리게 업데이트되기 시작하는 순간부터 신뢰가 무너지기 쉽기 때문입니다.

다음 단계에서는 보통 쿠키 배너가 정말 필요한 경우와 불필요하게 과한 경우를 구분하는 문제가 이어지는데, 이건 GA4 동의 처리와도 자연스럽게 연결됩니다.

참고 문서

• Analytics Help: Privacy Disclosures Policy
• Analytics Help: Safeguarding your data
• Analytics Help: Policy requirements for Google Analytics Advertising Features
• Analytics Help: Set up consent mode
• Analytics Help: Verify and update consent settings in Google Analytics
• Analytics Help: Best practices to avoid sending Personally Identifiable Information (PII)
• Analytics Help: Privacy controls in Google Analytics
• Analytics Help: EU-focused data and privacy