Chrome 및 Android에서 개인 정보 보호 샌드박스 관련성 및 측정 API에 액세스하려면 개발자는 개인 정보 보호 샌드박스에 등록해야 합니다. 여기에는 Attribution Reporting, Protected Audience, Topics, Private Aggregation, Shared Storage가 포함됩니다. 개발자 등록은 이러한 API를 호출하는 항목을 확인하고 API를 올바르게 구성하고 사용하는 데 필요한 데이터를 수집합니다. 등록은 데이터를 수집하는 사용자에 대한 추가 보호 및 투명성을 제공하고 API를 악용하여 불필요한 데이터를 수집하려는 시도를 완화합니다. 감사 가능한 투명성을 제공하기 위해 회사에 관한 등록 정보가 공개됩니다. 등록 절차를 완료하는 데 최소 5주가 소요되므로 미리 계획해야 합니다. 여기에는 콘솔 제출과 관련된 예기치 않은 문제나 발생할 수 있는 기타 문제를 해결하는 데 걸리는 시간이 포함됩니다. 여기에는 회사가 양식을 제출하기 전에 내부 준비를 위해 필요할 수 있는 추가 리드 타임이 포함되지 않습니다.
시작하기 전에
등록을 시작하기 전에 개인 정보 보호 샌드박스 콘솔을 사용하여 계정을 만드세요. 계정 생성에 대해 자세히 알아보세요.
등록 방법
등록하려면 개발자는 개인 정보 보호 샌드박스 콘솔을 사용해야 합니다. 다음 정보를 제공해야 합니다.
- 비즈니스 정보
- 여기에는 연락처 이메일 주소와 개인정보처리방침 링크가 포함됩니다.
- 사용할 API 및 서비스
- 일부 서비스에는 클라우드 제공업체에 관한 세부정보와 같은 추가 정보가 필요합니다.
- 등록하려는 SDK의 사이트 또는 이름
- 여기에서 API를 호출합니다.
- API 사용에 관한 증명
- 사이트를 등록하는 경우 증명 파일을 서버에 업로드해야 합니다.
사이트, Android SDK 또는 Android 앱 등록
등록하는 동안 API를 호출하는 데 사용할 사이트 또는 SDK (또는 둘 다)를 제공해야 합니다.
등록 방법은 개인 정보 보호 샌드박스 API 호출 방법에 따라 다릅니다.
- 웹 개발자이고 사이트에서 개인 정보 보호 샌드박스 API를 직접 호출하는 경우 등록 시 사이트를 제공해야 합니다.
- Android SDK 개발자인 경우 등록 시 SDK 이름을 제공하세요. SDK에서 Attribution Reporting API, Protected Audience API 또는 두 API를 모두 사용하는 경우 등록 시 사이트도 제공하세요. SDK를 사용하는 앱은 자체 코드에서 개인 정보 보호 샌드박스 API를 직접 호출하지 않는 한 별도로 등록할 필요가 없습니다. Android에서 Attribution Reporting API를 대규모로 즉시 테스트하는 경우 사용하는 모든 출처를 제공해야 합니다.
- 앱 개발자이고 앱이 Attribution Reporting, Protected Audience 또는 두 API를 모두 직접 호출하는 경우 등록 중에 사이트를 제공해야 합니다.
- 앱 개발자이고 광고 기능을 SDK에 완전히 위임하는 경우 등록 절차를 거치지 않아도 됩니다.
개인 정보 보호 샌드박스 API를 호출하는 모든 사이트 또는 SDK는 고유한 등록이 필요하며 개별적으로 증명해야 합니다. 개인 정보 보호 샌드박스 API를 직접 호출하는 앱은 단일 등록에 포함될 수 있습니다. 여러 API를 호출할 계획이라면 등록 과정에서 각 API를 지정하세요. 참고: 등록한 사이트는 Android에서 주제를 사용하는 데 필요한 암호화 키와 Android에서 보호된 잠재고객을 사용하는 데 필요한 서명 키를 가져오는 데 사용되는 사이트와 동일합니다. Android의 주제 암호화 엔드포인트에 관한 자세한 정보와 Protected Audience 서명 키에 관한 자세한 정보
등록 정보 업데이트
등록이 완료되면 콘솔을 통해 등록 세부정보를 업데이트할 수 있습니다. 변경사항이 검토되는 동안 기존 등록은 활성 상태로 유지됩니다.
다음 정보가 변경되면 증명 파일의 새 버전을 다시 업로드해야 합니다.
- 개인정보처리방침 링크
- 사이트 정보
- 선택한 API
등록 상태
등록을 제출한 후 다음과 같은 진행 단계를 확인할 수 있습니다.
- 검토
- Google에서 등록을 검토하고 있습니다. 별도의 조치가 필요하지 않습니다.
- 증명 파일 설정
- 등록이 승인되었습니다. 사이트의 경우 30일 이내에 증명 파일을 설정해야 합니다.
- 등록 완료
- 등록을 완료하고 증명 파일을 설정했습니다 (필요한 경우). 추가 조치는 필요하지 않습니다.
- 증명 파일 관련 오류
- 증명 파일이 잘못된 위치에 있음
- 30일 이내에 사이트의 증명 파일을 찾을 수 없습니다.
- 등록이 정지됨
- 증명 파일이 초기 30일 이내에 올바르게 설정되지 않았거나 이전에 등록이 완료된 후 더 이상 찾을 수 없습니다. 자세한 내용은 privacy-sandbox-enrollment@google.com으로 문의하시기 바랍니다.
- 증명 파일이 잘못된 위치에 있음
등록 타임라인
등록이 제출되면 Google에서 신청서를 검토하고 처리합니다. 검토가 완료되면 콘솔에 확인 메시지가 표시되며 설정에 필요한 증명 파일에 액세스할 수 있습니다. 파일은 등록 승인 후 30일 이내에 등록된 사이트의 /.well-known 경로에서 공개적으로 제공되어야 합니다.
Android 개발자는 앱 개발자에게 등록 ID를 제공하여 앱이 세부적인 액세스 제어를 설정할 수 있도록 지원합니다. 자세한 내용은 Android의 API별 광고 서비스 구성 문서를 참고하세요.
참고: 원래 제출에 올바른 정보를 입력하고 Google 기술 지원팀의 문의에 적시에 응답하면 절차를 빠르게 진행할 수 있습니다.
다양한 개발 환경 등록
스테이징, 베타, QA, 테스트 환경이 프로덕션 환경과 동일한 사이트를 사용하는 경우 자동으로 등록됩니다. 등록하지 않고 로컬에서 테스트할 수 있습니다. 로컬 테스트를 위해 Chrome 116부터 Chrome 플래그와 CLI 스위치를 사용하여 개발자 재정의를 제공합니다.
- 플래그:
chrome://flags/#privacy-sandbox-enrollment-overrides - CLI:
--privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...
제한사항
조직의 등록 구조를 결정할 때 다음 개발자 등록 제한사항에 유의하세요.
- 하나의 사이트는 하나의 등록에만 연결할 수 있습니다.
- 등록에는 사이트가 하나만 포함됩니다.
- SDK별 제한사항:
- 하나의 등록에 여러 SDK가 포함될 수 있습니다.
- 특정 SDK는 하나의 등록에만 연결할 수 있습니다.
- 추가 등록은 허용되지만 명확하게 확립되고 공개적으로 확인할 수 있는 독립적인 제품 또는 비즈니스 라인 (즉, 특정 제품을 설명하는 해당 공개 웹사이트가 있음)에 대한 등록이어야 합니다. 동일한 제품에 대해 여러 등록을 할 수 없습니다. 증명은 각 등록에 개별적으로 적용됩니다.
- 사이트 범위 등록을 사용하면 동일한 사이트인 경우 단일 등록으로 무제한 출처를 포함할 수 있습니다. 하지만 소스당 보고 출처 하나라는 비율 제한 (Chrome, Android)으로 인해 일반적으로 게시자당 출처 하나로 제한됩니다.
단일 법인의 여러 등록
고유한 제품이 여러 개 있는 더 복잡한 법인의 경우 등록을 두 개 이상 신청할 수 있습니다. 예를 들어 회사에 SSP 및 DSP 사업부가 있는 경우 여러 번 등록할 수 있습니다.
각 제품에는 API를 호출할 별도의 사이트가 있어야 합니다. 등록을 요청하는 각 제품에 대한 공개 표현 (예: 제품을 설명하는 공개 웹사이트 링크)을 제공해야 합니다.
두 개 이상의 사이트 또는 SDK를 등록하려면 콘솔 탐색에서 '등록' 탭으로 이동하세요. 첫 번째 등록이 승인되면 '등록 요청'을 선택하여 추가 등록을 요청할 수 있습니다. 제출된 애플리케이션은 검토를 거치며 검토 절차가 완료되면 이메일이 전송되고 콘솔에 상태가 반영됩니다.
기여 분석 보고를 사용한 리디렉션
사이트 A는 등록되지 않았지만 사이트 B는 등록된 시나리오를 고려해 보겠습니다. ARA는 등록되지 않은 경우에도 리디렉션 URL을 핑합니다. 따라서 siteA.com에서 siteB.com로의 리디렉션이 작동합니다. 하지만 등록된 광고 기술에서만 소스와 트리거가 등록됩니다.
집계 서비스 등록
집계 서비스 등록은 콘솔 등록 절차의 일부입니다. 각 집계 서비스 등록에는 집계 서비스가 배포될 AWS 계정 ID 또는 Google Cloud 서비스 계정이 포함되어야 합니다. 광고 기술은 다양한 테스트, 운영, 비용 효율성 요구사항에 따라 여러 사이트를 하나의 계정에 연결하거나 여러 계정을 하나의 사이트에 연결할 수 있습니다.
증명 파일 업로드
등록하고 인증 절차를 통과하면 콘솔에서 증명 파일에 액세스할 수 있습니다. 증명 파일을 받은 후 30일 이내에 증명 파일 배치를 완료해야 합니다. 이 기간 동안은 30일 동안 API를 계속 호출할 수 있지만, 30일의 구현 기간 동안 증명 언어를 준수할 수 없는 경우 등록하지 않는 것이 좋습니다.
등록을 완료하려면 등록된 사이트의 공개 .well-known 경로에서 파일을 사용할 수 있도록 합니다. 예를 들어 https://example.com를 등록하는 경우 증명 파일을 https://example.com/.well-known/privacy-sandbox-attestations.json에 배치합니다. 등록된 사이트의 하위 도메인에만 HTTP 리디렉션을 사용하여 증명 파일을 제공할 수도 있습니다.
증명서를 준수해야 하며 등록 기간 동안 증명 파일이 있어야 합니다. 증명 파일은 정기적으로 확인되며, 파일을 제자리에 유지하지 않으면 파일이 복원될 때까지 API 호출이 실패합니다.
참고:
- 개인 정보 보호 샌드박스는 등록된 광고 기술에서 증명 파일을 가져옵니다. 이 작업은 파일을 시간당 한 번만 가져옵니다. API 호출은 증명 파일의 가져오기 요청을 트리거하지 않습니다.
- 증명 파일은 공개적으로 제공되어야 합니다. 광고 기술은 연구원, 규제 기관, 사용자 (Privacy Sandbox 인프라의 가져오기 요청 제외)를 비롯한 외부 당사자의 일부 가져오기 요청을 예상해야 합니다. 광고 기술은 Google에 제공하는 것과 동일한 파일을 사용자에게 제공해야 합니다.
Android의 Topics 증명의 경우 앱 및 SDK 개발자는 콘솔의 등록 양식 내에서 증명에 동의해야 하며 다른 개인 정보 보호 샌드박스 API를 사용하지 않는 한 서버에 증명 파일을 배치할 필요가 없습니다.
증명 업데이트를 통해 API 추가
나중에 등록에 API를 추가하려면 등록을 업데이트해야 합니다. 이 절차의 일환으로 새 API를 호출하기 전에 사이트의 .well-known 경로에서 사용할 수 있도록 해야 하는 업데이트된 증명 파일이 전송됩니다.
증명 파일을 최신 버전으로 업데이트
등록된 모든 회사는 Google에서 받은 증명 파일의 최신 버전으로 업데이트해야 합니다.
증명 파일은 설정된 기간이 지나도 만료되지 않습니다. 증명 프레임워크가 발전함에 따라 (예: 새로운 API별 증명이 추가됨) 새로운 증명 파일이나 업데이트된 증명 파일이 수시로 제공될 수 있습니다.
증명 유효성 검사 실패
증명 파일을 확인하는 서버에서 파일을 반복적으로 검증할 수 없는 경우에만 액세스가 차단됩니다. 단일 오류 또는 게재 문제로 인해 액세스가 정지되지는 않습니다.
자세한 내용은 증명에 관한 GitHub를 참고하세요.
Android 개발자 데이터
Android에서 개인 정보 보호 샌드박스 API를 사용하려는 법인은 콘솔 UI를 통해 등록 ID에 액세스할 수 있으며, 이 ID는 앱의 AdServices 구성에 포함될 수 있습니다. 이를 통해 앱 개발자는 앱 또는 SDK가 상호작용하는 광고 기술을 세부적으로 제어할 수 있습니다.