이메일 규정 준수는 비용이 발생하기 전까지 사람들이 무시하는 주제 중 하나입니다. 그리고 그 비용은 매우 클 수 있습니다.
이메일 마케팅의 규제 환경은 나라마다 크게 다릅니다. 미국에서 완전히 합법적인 것이 캐나다나 호주에서는 막대한 벌금을 초래할 수 있습니다. 대부분의 기업이 그러하듯 국제적으로 발송한다면, 구독자가 거주하는 모든 관할권의 규칙을 이해해야 합니다.
이것은 벌금을 피하기 위한 것만이 아닙니다. 규정 준수는 신뢰를 구축합니다. 소비자가 그 어느 때보다 프라이버시를 의식하는 시대에, 신뢰는 참여도와 수익으로 직결됩니다.
이 장에서는 주요 규정, 규정 준수를 유지하기 위한 실용적인 단계, 그리고 모든 발송자에게 영향을 미치는 새로운 기술 요구 사항을 다룹니다.
GDPR (EU)
일반 데이터 보호 규정은 여전히 전 세계에서 가장 엄격하고 영향력 있는 이메일 개인정보 보호법입니다. EU 구독자가 있다면, 비즈니스가 어디에 기반을 두고 있든 GDPR이 적용됩니다.
GDPR 하에서 동의는 자유롭게 주어지고, 구체적이며, 정보에 입각하고, 명확해야 합니다. 이것은 높은 기준입니다. 미리 체크된 확인란은 인정되지 않습니다. 묶음 동의("가입하고 마케팅에 동의")는 마케팅 동의가 서비스 가입과 별도로 분리되지 않는 한 인정되지 않습니다. 침묵은 인정되지 않습니다. 비활동은 인정되지 않습니다.
사람들에게 무엇에 가입하는지 정확히 알려야 합니다. "뉴스레터를 구독하세요"는 허용됩니다. "계정을 만들면 프로모션 커뮤니케이션 수신에 동의합니다"를 서비스 약관 47항에 묻어두는 것은 허용되지 않습니다.
잊혀질 권리는 누군가가 요청할 때 "부당한 지체 없이" 그들의 데이터를 삭제해야 함을 의미합니다. 실제로는 30일 이내를 의미합니다. 여기에는 ESP뿐만 아니라 모든 시스템의 모든 개인 데이터가 포함됩니다. CRM 데이터, 이메일에 연결된 구매 기록, 분석 데이터, 모든 것입니다. 이러한 요청을 받기 전에 처리를 위한 문서화된 프로세스를 구축하세요. 왜냐하면 반드시 받게 될 것이기 때문입니다.
설계 및 기본 원칙으로서의 데이터 보호는 나중에 추가하는 것이 아니라 처음부터 프라이버시를 염두에 두고 시스템을 구축해야 함을 의미합니다. 필요한 것만 수집하세요. 안전하게 저장하세요. 더 이상 필요하지 않을 때 삭제하세요.
동의 기록의 경우, 해당 구독자에게 마지막으로 발송한 후 3~7년 동안 문서를 유지하세요. 언제, 어떻게, 무엇에 동의했는지, 그리고 당시 그들에게 어떤 정보가 제시되었는지 기록하세요. 규제 기관이 묻는다면, 동의가 유효했음을 증명해야 합니다. 동의 시 타임스탬프가 찍힌 등록 양식 스크린샷을 보관하는 것이 최선의 방어책입니다.
2년마다 동의를 갱신하세요. 24개월 동안 연락이 없던 구독자에게 재허가 캠페인을 발송하세요. 재확인하는 사람들은 진정으로 관심이 있는 것입니다. 재확인하지 않는 사람들은 제거해야 합니다. 법적으로 의심스러운 큰 목록보다 작더라도 규정을 준수하는 목록이 낫습니다.
GDPR 벌금은 연간 전 세계 매출의 4% 또는 2,000만 유로 중 더 높은 금액에 달할 수 있습니다. 여러 업종에서 대규모 벌금이 부과되었습니다. 이것은 이론적인 위험이 아닙니다.
CAN-SPAM (미국)
CAN-SPAM은 주요 이메일 규정 중 가장 허용적입니다. 또한 가장 많이 오해받는 규정이기도 합니다.
핵심 규칙은 간단합니다. 오해를 불러일으키는 헤더, 발신자 이름, 또는 제목 줄을 사용하지 마세요. "보낸 사람" 이름은 이메일을 보내는 사람을 정확하게 나타내야 합니다. 제목 줄은 이메일 내용에 대해 기만적이어서는 안 됩니다. 주문이 없었는데 "Re: 귀하의 주문"이라고 쓰는 것은 위반입니다.
모든 상업용 이메일에는 물리적 우편 주소가 포함되어야 합니다. 사서함이나 가상 사무실 주소도 허용됩니다. 자택 주소를 공개할 필요는 없습니다. Earth Class Mail이나 iPostal1 같은 서비스는 월 $15 미만으로 이 요건을 충족하는 가상 비즈니스 주소를 제공합니다.
수신 거부 요청은 10 영업일 이내에 처리해야 합니다. 수신 취소 메커니즘은 이메일 발송 후 최소 30일 동안 계속 작동해야 합니다. 수신 취소를 위해 로그인을 요구하지 마세요. 수수료를 청구하지 마세요. 이메일 주소 이외의 정보를 요구하지 마세요. 프로세스를 완료하기 위해 다섯 페이지를 클릭하게 하지 마세요.
대부분의 사람이 잘못 이해하는 부분이 있습니다. CAN-SPAM은 기술적으로 수신 거부하지 않은 누구에게나 이메일을 발송할 수 있도록 허용합니다. 사전 동의가 필요하지 않습니다. 하지만 "법적으로 허용됨"과 "좋은 생각"은 다른 개념입니다. 연락을 요청하지 않은 사람들에게 이메일을 발송하면 발신자 평판이 손상되고, 불만이 발생하며, 이메일 발송률이 하락합니다. 할 수 있다고 해서 해야 한다는 뜻은 아닙니다.
위반 시 이메일 1통당 최대 $51,744의 벌금이 부과됩니다. 이것은 캠페인당이 아니라 개별 이메일 1통당입니다. 10,000명을 대상으로 한 캠페인은 이론적으로 5억 달러 이상의 벌금을 초래할 수 있습니다. 실제로 그 수준에 도달하는 경우는 드물지만, FTC는 수백만 달러의 벌금이 부과된 사례들을 추적해왔습니다.
워싱턴 주에는 추가 규정이 있습니다. 오해를 불러일으키는 제목 줄에 대해 수신자 1인당 $500의 벌금이 부과됩니다. 워싱턴 주민에게 이메일을 발송하고 있다면(아마 그렇게 하고 있을 것입니다), 제목 줄이 정확해야 합니다.
CASL (캐나다)
캐나다의 반스팸법(CASL)은 CAN-SPAM보다 훨씬 엄격합니다. 캐나다 구독자가 있다면 각별히 주의해야 합니다.
CASL은 상업용 전자 메시지를 발송하기 전에 명시적 또는 묵시적 동의를 요구합니다. 명시적 동의는 누군가가 귀하의 이메일 수신에 적극적으로 동의했음을 의미합니다. 묵시적 동의는 들리는 것보다 더 좁은 개념입니다.
묵시적 동의는 두 가지 상황에서 존재합니다. 첫째, 기존 비즈니스 관계가 있는 경우(누군가가 귀하로부터 구매하거나, 계약을 체결하거나, 문의를 한 경우) 이메일을 발송할 수 있습니다. 하지만 구매로 인한 묵시적 동의는 거래 후 2년이 지나면 만료됩니다. 문의로 인한 묵시적 동의는 문의 후 6개월이 지나면 만료됩니다. 이러한 기간이 끝나면 명시적 동의가 필요하거나 발송을 중단해야 합니다.
이는 동의 만료 날짜를 추적하는 시스템이 필요함을 의미합니다. 누군가가 2024년 3월 15일에 귀하로부터 구매했다면, 묵시적 동의는 2026년 3월 15일에 만료됩니다. 그 날짜 이전에 동의 갱신 캠페인을 실행하여, 아직 이메일을 발송할 권리가 있는 동안 묵시적 동의를 명시적 동의로 전환해야 합니다.
벌금은 가혹합니다. 기업의 경우 위반 1건당 최대 1,000만 캐나다 달러입니다. CASL에는 개인 소송권도 포함되어 있어, 개인이 귀하를 직접 고소할 수 있습니다. 실제적인 영향으로, 캐나다 수용자가 많은 기업들은 묵시적 동의를 잘못 처리할 위험이 너무 높기 때문에 종종 모든 캐나다 연락처에 대해 명시적 동의 옵트인을 기본으로 채택합니다.
CCPA (캘리포니아 주)
캘리포니아 소비자 개인정보 보호법(CCPA)은 이메일 전용 법률이 아니지만, 캘리포니아 주민에 관한 데이터를 보유한 이메일 마케터에게 영향을 미칩니다.
수집 시 수집하는 개인 정보의 범주와 수집 목적을 나열한 고지를 제공해야 합니다. 이것은 등록 양식과 개인정보 보호 정책에 적용됩니다.
캘리포니아 주민들은 귀하가 수집한 개인 정보를 알 권리, 삭제를 요청할 권리, 개인 정보 판매를 거부할 권리가 있습니다. 제3자에게 구독자 데이터를 판매하거나 공유한다면(광고, 데이터 강화, 또는 목록 임대를 위해), "내 개인 정보를 판매하지 마세요" 메커니즘이 필요합니다.
벌금은 비의도적 위반에 대해 $2,500, 의도적 위반에 대해 $7,500입니다. 캘리포니아 주 검찰총장과 캘리포니아 개인정보 보호 기관 모두 집행 권한을 가지고 있습니다.
CPRA(캘리포니아 개인정보 보호 권리법)는 CCPA를 확장하여 부정확한 정보를 수정할 권리를 추가하고, 추가 보호 조치가 있는 "민감한 개인 정보"라는 새로운 범주를 만들었습니다. 이메일 마케팅에서 정확한 위치 정보, 인종 또는 민족적 출신, 건강 데이터, 또는 유사한 민감한 범주의 정보를(설문조사, 선호도 센터, 또는 구매 데이터를 통해) 수집한다면 CPRA의 추가 요건이 적용됩니다.
호주 스팸법
호주의 관점에서 이것을 쓰고 있기 때문에 이 법은 특별한 주의가 필요합니다.
2003년 스팸법은 모든 상업용 전자 메시지에 세 가지 사항을 요구합니다. 동의, 발신자 식별, 그리고 기능적인 수신 취소입니다.
동의는 명시적(누군가가 옵트인한 경우) 또는 추정적(기존 비즈니스 관계가 있는 경우)일 수 있습니다. 하지만 CAN-SPAM과 달리, 옵트인하지 않았거나 귀하의 비즈니스와 기존 관계가 없는 사람에게는 이메일을 보낼 수 없습니다. 구매한 목록에 콜드 이메일을 보내는 것은 호주에서 불법입니다. 예외 없이.
모든 상업용 이메일은 발신자를 명확하게 식별하고 정확한 연락처 정보를 포함해야 합니다. 모든 이메일에는 작동하는 수신 취소 메커니즘이 포함되어야 하며, 5 영업일 이내에 처리되어야 합니다.
벌금은 상당합니다. 호주 통신 미디어청(ACMA)은 심각한 위반에 대해 하루에 최대 222만 호주 달러의 벌금을 부과할 수 있습니다. 호주 기업과 호주 수신자에게 발송하는 국제 기업 모두를 대상으로 사례를 추진했습니다. ACMA는 집행에서 점점 더 적극적이며, 국제 규제 기관과 협력합니다.
국제적으로 발송하는 호주 기업의 경우, 수신자가 어디에 있든 호주에서 발송되는 모든 메시지에 대해 스팸법을 준수해야 합니다. 호주 수신자에게 발송하는 국제 기업의 경우에도 스팸법이 적용됩니다.
콜드 이메일 규정 준수
콜드 이메일 규정 준수는 수신자가 어디에 있느냐에 따라 다른 규칙들의 조각 모음입니다. 잘못 처리하면 상당한 법적 위험에 노출됩니다.
미국(CAN-SPAM): B2B 콜드 이메일에 대해 가장 허용적인 관할권입니다. 사전 동의가 필요하지 않습니다. 명확한 수신 거부 메커니즘, 물리적 주소, 정확한 발신자 정보를 포함해야 합니다. 이것이 대부분의 콜드 이메일 도구와 전략이 미국 기업에서 시작된 이유입니다. 미국은 B2B 콜드 이메일이 사전 동의 없이도 명시적으로 합법인 유일한 주요 시장입니다.
영국(PECR): "소프트 옵트인" 원칙 하에 B2B 콜드 이메일이 허용됩니다. 메시지가 수신자의 직업적 역할과 관련이 있다면 비즈니스 주소로 이메일을 보낼 수 있습니다. 모든 메시지에 명확한 수신 거부 옵션을 포함해야 합니다. B2C 콜드 이메일은 사전 동의가 필요합니다. 브렉시트 이후 영국은 EU GDPR을 밀접하게 반영하는 자체 데이터 보호 체계(영국 GDPR)를 가지고 있지만, ICO가 집행합니다.
유럽 연합(ePrivacy 지침): 각 EU 회원국이 지침을 다르게 구현했기 때문에 국가마다 다릅니다. 독일은 가장 엄격하여 B2B를 포함한 거의 모든 상업용 이메일에 옵트인 동의를 요구합니다. 프랑스, 이탈리아, 네덜란드는 정당한 이익 조항 하에 B2B에 더 허용적입니다. 대부분의 EU 국가는 명확한 수신 거부와 정당한 비즈니스 이유가 있는 B2B 콜드 이메일을 허용합니다. 곧 출시될 ePrivacy 규정(수년간 개발 중)이 EU 전체에서 이러한 규칙을 조화시킬 수 있습니다.
캐나다(CASL): 동의가 필요합니다. 기존 비즈니스 관계에서의 묵시적 동의를 사용할 수 있지만, 한 번도 교류하지 않은 사람에게의 콜드 아웃리치는 먼저 명시적 동의가 필요합니다. 일부 실무자들은 공개된 비즈니스 이메일이 묵시적 동의를 생성한다고 주장하지만, 이것은 집행에서 명확하게 테스트되지 않았습니다. 저는 그 주장에 의존하지 않겠습니다.
호주(스팸법): 동의가 필요합니다. 사전 관계 없이 콜드 이메일을 보낼 수 없습니다. 이것은 콜드 아웃리치에 대해 가장 제한적인 주요 관할권입니다.
실용적인 결론: 관할권별로 별도의 목록을 유지하세요. 모든 구독자에게 국가 태그를 부여하세요. 귀하의 관할권 규칙이 아닌 구독자의 관할권 규칙을 적용하세요. 의심스러울 때는 더 엄격한 기준을 적용하세요. Instantly, Lemlist, Apollo 같은 도구를 사용하면 국가별로 잠재 고객을 필터링할 수 있어, 관할권 기반 규정 준수를 대규모로 관리할 수 있습니다.
실용적인 동의 관리
이론은 한 가지입니다. 대규모로 규정을 준수하는 동의 수집을 구현하는 것은 또 다른 문제입니다.
이중 옵트인은 여전히 황금 기준입니다. 누군가가 가입하고, 확인 이메일을 받고, 링크를 클릭하여 구독을 확인합니다. 이것은 명확하고 문서화된 동의 증거를 제공하고, 가짜 가입, 오탈자, 스팸 트랩을 제거합니다. 예, 확인하지 않는 가입자의 15~20%를 잃게 됩니다. 그 사람들은 어차피 참여하는 구독자가 되지 않았을 것입니다.
개인화된 동의 이메일은 일반적인 것보다 약 15% 더 많은 옵트인을 얻습니다. 구독자의 이름을 포함하고, 가입한 것을 언급하고, 받게 될 것을 설명하면 사람들이 그 확인 버튼을 클릭할 가능성이 더 높아집니다.
정기적인 동의 리마인더는 동의율을 25% 증가시킵니다. 누군가가 24시간 후에도 확인하지 않은 경우 리마인더를 보내세요. 72시간 후에도 확인하지 않은 경우, 하나 더 보내세요. 그 후에는 놓아주세요. 세 번의 시도가 최적입니다. 그 이상은 공격적으로 느껴지기 시작합니다.
여러 관할권과 제품 라인에 걸쳐 동의를 관리하는 조직의 경우, 동의 관리 플랫폼(CMP)은 투자할 가치가 있습니다. OneTrust, Cookiebot, TrustArc 같은 도구는 동의 수집을 자동화하고, 감사 추적을 유지하며, 다른 시장의 다른 규정의 복잡성을 처리합니다.
Ann Handley는 청중 데이터를 존중하는 것이 법적 의무일 뿐만 아니라 경쟁 우위라고 지적합니다. 소비자가 자신의 데이터가 어떻게 사용되는지 점점 더 인식하는 세상에서, 데이터를 신중하게 처리하는 브랜드가 신뢰를 얻습니다. 신뢰는 주의를 얻습니다. 주의는 수익을 얻습니다.
원클릭 수신 취소(RFC 8058)
이것은 최근 몇 년간 가장 중요한 기술적 규정 준수 변경 사항입니다.
Google과 Yahoo는 현재 대량 발송자(하루에 Gmail 또는 Yahoo 주소로 5,000개 이상의 이메일을 보내는 사람)에게 List-Unsubscribe 헤더를 요구합니다. 이것은 선택 사항이 아닙니다. 적절한 헤더를 포함하지 않으면 이메일이 점점 더 스팸으로 필터링되거나 완전히 거부될 것입니다.
RFC 8058은 원클릭 수신 취소의 작동 방식을 규정합니다. 이메일에는 두 개의 헤더가 포함됩니다. List-Unsubscribe(HTTPS URL 및/또는 mailto 주소 포함)와 List-Unsubscribe-Post(List-Unsubscribe=One-Click 포함)입니다. 수신자가 이메일 클라이언트에서 수신 취소를 클릭하면 URL에 단일 POST 요청이 전송됩니다. 랜딩 페이지가 필요 없습니다. 추가 단계도 없습니다. "확실합니까?" 확인도 없습니다.
수신 취소는 2일 이내에 처리해야 합니다. CAN-SPAM의 일반적인 요건인 10 영업일이 아닙니다. 원클릭 수신 취소는 2일입니다.
좋은 소식은 대부분의 ESP가 이제 이것을 자동으로 처리한다는 것입니다. Klaviyo, Mailchimp, ActiveCampaign, Brevo 등은 기본적으로 올바른 헤더를 포함합니다. 커스텀 발송 인프라를 사용하고 있다면, 헤더를 직접 구현해야 합니다. 구현은 간단하지만 철저하게 테스트해야 합니다.
이메일에 올바른 헤더가 포함되어 있는지 확실하지 않다면, 확인하세요. 자신에게 테스트 이메일을 보내고, 원시 메시지 소스를 보고, List-Unsubscribe 및 List-Unsubscribe-Post 헤더를 찾으세요. 없다면 ESP 또는 개발팀에 문의하세요.
중요한 뉘앙스 하나: 원클릭 수신 취소는 특정 메일링 목록에서 수신 취소해야 하며, 반드시 모든 커뮤니케이션에서 수신 취소할 필요는 없습니다. 누군가가 원클릭으로 프로모션 이메일을 취소하면, 트랜잭션 이메일(주문 확인, 영수증, 배송 업데이트)은 여전히 받아야 합니다. 이 구분을 제대로 처리하도록 수신 취소 엔드포인트를 구성하세요.
개인정보 보호 및 데이터 처리
특정 규정 준수를 넘어서, 더 넓은 원칙이 있습니다. 필요한 것만 수집하고 수집한 것을 보호하는 것입니다.
데이터 최소화는 GDPR 요건만이 아닙니다. 좋은 관행입니다. 수집하는 모든 데이터는 안전하게 저장하고, 정확하게 유지하고, 적절할 때 삭제해야 하는 데이터입니다. 구독자의 생년월일, 성별, 위치, 회사 규모를 수집하고 있다면, 이메일 개인화에 실제로 그 데이터를 모두 사용하는지 자문해보세요. 답이 아니라면, 수집을 중단하세요. 등록 양식의 모든 필드는 전환율을 낮추고, 사용되지 않는 모든 데이터 포인트는 리스크를 증가시킵니다.
쿠키 동의는 대부분의 마케터가 고려하지 않는 방식으로 이메일 추적과 상호 작용합니다. 구독자가 이메일에서 웹사이트로 클릭할 때, 귀하의 사이트는 분석 및 리타겟팅을 위해 쿠키를 설정합니다. 그 구독자가 EU에 있고 귀하의 사이트에서 쿠키에 동의하지 않았다면, 이메일 측에서는 규정을 준수하지만 웹 측에서는 준수하지 않을 수 있습니다. 쿠키 동의 배너가 이메일 클릭스루 트래픽을 제대로 처리하는지 확인하세요.
Apple의 메일 개인정보 보호(MPP)는 열람 추적을 근본적으로 변경했습니다. MPP는 수신자가 실제로 이메일을 열었는지 여부에 관계없이, 이메일이 전달될 때 이메일 콘텐츠(추적 픽셀 포함)를 미리 가져옵니다. Apple Mail 사용자의 경우, 열람율이 인위적으로 부풀려져 있습니다. 청중에 따라 목록의 40~60%가 Apple Mail 사용자일 수 있습니다.
이것은 열람율이 쓸모없다는 것을 의미하지 않습니다. 이전보다 덜 신뢰할 수 있다는 것을 의미합니다. 클릭스루 율과 전환율을 주요 참여 지표로 사용하세요. 열람율은 정확한 측정이 아닌 방향성 지표로 사용하세요. 열람율이 하룻밤 사이에 15포인트 하락한다면, 아마 무언가 잘못된 것입니다. 하지만 많은 열람이 기계에 의해 생성될 때 작은 열람율 변화를 위해 최적화하지 마세요.
개인정보 보호 추세는 한 방향으로 움직이고 있습니다. 더 많은 보호, 더 적은 추적입니다. EU의 ePrivacy 규정이 마침내 시행될 때, 규칙은 아마 더 강화될 것입니다. 다른 관할권들이 유럽의 선례를 따르고 있습니다. 제3자 추적보다 퍼스트파티 데이터(구독자가 귀하에게 말하는 것과 귀하의 속성에서 하는 것)를 중심으로 이메일 프로그램을 구축하세요. 이 현실에 적응하는 프로그램이 그것에 저항하는 프로그램보다 더 나은 성과를 낼 것입니다.