brunch

You can make anything
by writing

C.S.Lewis

by kakaoprivacy Jul 31. 2024

아동 개인정보 보호 해외입법 동향 (2)미국 COPPA

아동 개인정보 보호에 대한 필요성이 높아짐에 따라, 관련 논의가 활발하게 이루어지고 행정지침이 발표되는 등 인식도 높아지고 있습니다. 이와 관련하여 지난 브런치글에서는 영국 연령적합설계규약(Age Appropriate Design Code, AADC)에 대해 살펴보았는데요. 이어서 이번 2편에서는 미국 아동 온라인 프라이버시 보호법(Children’s Online Privacy Protection Act, COPPA)에 대한 소개와 함께 올해 발표된 COPPA 규칙 개정안의 주요 내용에 대해 알아보겠습니다.




COPPA와 COPPA 규칙


COPPA는 1998년 제정된 미국의 아동 온라인 프라이버시 보호법입니다. 이는 아동의 온라인상 개인정보 보호를 위해 친권자가 온라인상 수집되는 아동의 개인정보에 대한 통제권을 가질 수 있도록 하는 것을 주된 목표로 하는 법인데요. COPPA에 따라 FTC(Federal Trade Commission)가 COPPA 규칙을 제정하여 2000년 본격 시행되었습니다.


COPPA와 규칙의 적용대상은 13세 미만의 아동용 온라인 웹사이트 및 서비스의 사업자와, 13세 미만의 아동으로부터 개인정보를 수집하고 있다는 실제적 인식이 있는 온라인 웹사이트 및 서비스의 사업자입니다. 규칙은 사업자에게 13세 미만 아동의 개인정보를 수집·이용·제공하기 전에 친권자에게 고지하고 확인 가능한 동의를 받도록 하는 등 COPPA의 요건에 부합하는 의무들을 부과하고 있습니다.



COPPA 규칙의 2차 개정 현황


COPPA 규칙은 1993년 제정되어 2000년 시행된 이후로 총 두 번의 개정이 이루어졌습니다. 첫 번째 개정은 2013년에 있었고, 두 번째 개정은 올해 1월에 제안서가 게재된 후 3월 11일 의견 수렴 절차까지 거친 상태인데요. FTC는 기존 규칙 내 모호하게 정의되어 있는 사항들을 명확하게 하고, EdTech 등 기술 발전을 반영하고자 하는 취지로 이번 2차 개정을 진행했다고 밝혔습니다.



2차 개정안 주요 내용


1) 정의(Definition)


(1) 온라인 연락처 정보(Online  contact information)


개정안은 사업자가 친권자의 동의를 얻기 위한 목적으로 친권자의 동의를 먼저 받기 전에 아동으로부터 온라인 연락처 정보를 수집할 수 있도록 허용했는데요. 즉 친권자의 동의를 받기 위한 문자 메시지를 보내기 위해서만 사용할 경우, 아동의 휴대전화 번호를 ‘온라인 연락처 정보’에 포함시킬 수 있도록 한 것입니다.


(2) 개인정보(Personal information)


개인정보에 생체정보를 추가했습니다. 생체정보는 지문·장문, 홍채·각막 패턴, 유전자 정보, 음성 정보, 보행 정보, 안면 정보 등 자동 또는 반자동 인식에 사용될 수 있는 정보를 뜻합니다.


(3) 학교 및 학교 공인 교육 목적(School and  school-authorized education purpose)


‘학교 및 학교 공인 교육 목적’이라는 정의 조항 신설을 통해 사업자가 교육 목적이라면 친권자가 아닌 학교의 승인에 근거해서 아동의 개인정보를 수집·이용·제공할 수 있도록 허용했습니다. 이는 EdTech 등의 기술 발전을 반영하기 위한 것으로, 현행 COPPA 가이드라인 중 EdTech에 대한 내용을 포함했습니다. 해당 가이드라인은 FAQ 형식이고, Edtech에 관하여는 다음의 5가지 질문에 대해 답변을 제공하고 있습니다.


① 교육기관이 학생 개인정보에 대한 웹사이트나 앱의 수집, 이용, 제공에 친권자 대신 동의할 수 있는지

② 어떤 상황에서 웹사이트나 온라인 서비스의 사업자가 교육기관으로 하여금 동의를 제공받을 수 있는지

③ 개별 교사, 학교 행정실, 학군 중 누가 주체가 되어 동의를 제공해야 하는지

④ 학교가 동의를 제공했을 경우 친권자 통지와 관련된 학교의 의무

⑤ 사업자로 하여금 학생 개인정보를 수집·이용·제공하도록 허용하기 전에 학교가 사업자에게 문의해야 할 내용


(4) 웹사이트 또는 온라인 서비스 내부 운영에 대한 허용(Support for the internal operations of the website/online service)


‘웹사이트 또는 온라인 서비스 내부 운영에 대한 허용’이라는 정의를 통해 서비스의 내부 운영 목적으로 영구 식별자만을 단독으로 수집 및 이용하는 경우 친권자의 사전동의를 받지 않도록 허용했습니다. 다만 내부 업무의 구체적인 내용과, 영구 식별자가 특정 개인에게 연락을 취할 목적으로 이용 및 제공되지 않는다는 것을 보장할 수 있는 방법을 온라인 안내문을 통해 제공해야 합니다.


(5) 아동용 웹사이트 또는 온라인 서비스(Website or online service directed to children)


① 다중요인검정(Multi-factor test)

서비스의 아동용 여부를 판단할 때 고려할 요인들의 목록을 뜻합니다. 하나의 요인이 아닌 여러 요인, 즉 맥락 요인과 내용 요인을 모두 고려합니다. 맥락 요인에는 아동을 타깃으로 한다는 의도 등이 있고, 내용 요인에는 애니메이션, 아동지향적인 활동의 활용 등이 있습니다.


②다른 아동용 웹사이트⋅온라인 서비스로부터 개인정보를 수집하는 사업자(Operators collecting personal information from other websites and online services directed to children)

다른 아동용 웹사이트 또는 온라인 서비스로부터 직접 개인정보를 수집하고 있다는 인식이 있을 때 아동용으로 간주된다는 정의에서 ‘직접’이라는 단어를 삭제하여, 직접 수집하고 있다는 인식이 없더라도 아동용으로 간주해서 COPPA의 요건을 갖추도록 했습니다.


③아동 및 성인 이용자가 혼재된 웹사이트 또는 온라인 서비스(Mixed audience website or online service)

규칙에 명시된 판단 요소들을 고려했을 때 아동용에 해당하는 것으로 판단되지만, 아동을 주요 대상으로 삼지는 않으며 연령을 확인하기 전에는 이용자로부터 개인정보를 수집하지 않는 서비스를 뜻하는 용어를 추가했습니다. 해당 서비스라면 13세 미만 사용자에 대해서만 COPPA 규칙을 적용하면 됩니다.



2) 통지(Notice)


(1) 친권자에 대한 직접적인 통지의 예외(Exception to direct notice to the parent)


사업자가 아동의 개인정보를 수집⋅이용⋅제공할 경우 그에 대해 친권자에게 통지하도록 하는 것이 원칙인데요, 학교로부터 권한을 부여받은 사업자일 경우 친권자가 아닌 학교에 직접 통지하도록 예외를 설정했습니다.


(2) 직접적인 통지의 내용에 대한 수정(Modification to the content of the direct notice)


학교의 승인에 근거해서 아동의 개인정보를 수집하는 사업자의 경우 학교에 대한 직접적인 통지의 의무가 있고, 이 직접적인 통지의 내용을 명시하기 위해 새로운 항목이 신설될 예정인데요. 이 새로운 항목과의 조화를 위해 조문 일부가 수정되었습니다.

그 밖의 직접적인 통지와 관련해서는 사업자가 친권자의 온라인 연락처 정보, 친권자 또는 아동의 이름을 수집하는 것 외에도 앱 내 팝업 메시지 등의 수단으로 아동이 친권자에게 기기를 전달할 수 있도록 허용했습니다.

그리고 사업자가 직접적인 통지 내용에 아동으로부터 수집한 개인정보의 이용 목적과 제3자 제공이 있을 경우에는 제공받는 자와 제공의 목적을 추가하도록 했습니다.

또한 공개가 필수적인 서비스가 아니라면 친권자가 아동의 개인정보 공개에 대한 동의를 하지 않고 수집 및 이용에만 동의할 수 있도록 하는 내용도 추가했습니다. 단, 이때 사업자의 부담을 줄이기 위해 각각의 제3자를 식별하지 않고 제3자의 카테고리만 공개하는 것을 허용했습니다.


(3) 웹사이트 또는 온라인 서비스에 대한 통지(Notice on the website or online service)


사업자가 개인정보 제공 및 보유 정책에 대한 추가 정보를 제공하도록 했습니다.

그리고 음성파일을 수집하는 사업자라면 그것을 어떻게 이용하는지 설명하고 이용 후 즉시 삭제하는 내용도 추가했습니다.


(4) 웹사이트 또는 온라인 서비스에 대한 추가적인 통지(Additional notice on the website or online service)


학교로부터 권한을 부여받은 사업자의 개인정보 이용 및 제공의 제한에 대한 내용과, 학교가 해당 정보의 검토 및 삭제 청구를 할 수 있다는 사실을 별도로 웹사이트 또는 온라인상에 통지해야 하는 의무를 추가했습니다.



3) 친권자 동의(Parental consent)


(1) 일반적인 요건(General requirements)


맞춤형 광고 목적의 영구식별자 공개, 마케팅 기타 목적의 개인정보 공개 등을 포함하여, 아동의 개인정보 공유에 대해 사업자가 친권자의 동의를 별도로 받도록 했습니다.


(2) 친권자 동의를 받는 방식(Methods for verifiable parental consent)


친권자의 동의를 받는 방식에 있어서 COPPA의 요건은 갖추되, 사업자의 각 상황에 맞게 조정할 수 있는 등 사업자에게 번거로움을 덜어주는 방식을 허용했습니다.

또한 지식 기반 인증(Knowledge-Based Authentication)과 안면 인식 기술의 사용이라는 두 가지 친권자 동의 방식을 새롭게 추가했습니다.


(3) 기존 친권자 동의에 대한 예외(Exceptions to prior parental consent)


① 학교 승인 관련 예외(School authorization exception)

위원회는 마케팅 목적으로 아동의 개인정보를 이용 또는 공개하는 것을 허용하지 않도록 했습니다. 다만 학교가 승인한 서비스와 직접적으로 연관되어 있는 제품 개선 및 개발은 일반적인 마케팅과는 달리 교육적 목적을 제공하는 것의 일부로 보아, 특정 안전조치가 마련되어 있을 경우 제한된 범위에서 허용했습니다.

그리고 위원회는 Edtech 제공자와 학교 사이의 서면 계약에 동의를 제공하는 사람의 이름과 직함을 밝히고, 학교가 그러한 동의를 제공하도록 승인했음을 명시하도록 했습니다.

또한 학교에 부담을 지우지 않으면서도 투명성은 높이기 위해, 위원회는 아동의 개인정보 수집에 대한 통지를 학교가 아닌 운영자가 직접 웹사이트나 온라인 서비스에 제공하도록 했습니다.


② 음성 파일 관련 예외(Audio file exception)

사업자가 아동의 음성파일을 기존의 목적 외의 목적으로 이용 또는 보유하지 않고 외부에 공개하지 않는다면 친권자의 동의를 받지 않고 음성파일을 수집할 수 있도록 했습니다.



4) 아동 개인정보 검토권 제공의 예외(Exception to the right to review personal information provided by a child)


‘학교 및 학교가 승인한 교육 목적’이라는 예외에 해당하는 사업자의 경우 수집한 아동의 개인정보에 대해 검토할 권리를 친권자에게 제공할 필요가 없도록 했습니다.



5) 개인정보의 수집을 아동의 참여에 대한 조건으로 하는 것의 금지(Prohibition against conditioning a child's participation on collection of personal information)


사업자가 게임 참여나 경품 제공 등의 활동에 합리적으로 필요한 범위 이상의 개인정보를 공개하는 것을 그 활동에 대한 조건으로 삼을 수 없도록 하고, 이에 대해 아동으로부터 동의를 얻는다고 해도 금지합니다.



6) 아동으로부터 수집된 개인정보의 보호조치 마련(Confidentiality, security, and integrity of personal information collected from children)


사업자는 아동 개인정보의 민감도와 사업의 규모, 복잡성, 성격, 범위를 고려하여 적절한 보호조치를 수립⋅이행⋅유지해야 합니다. 그리고 개인정보 보안 프로그램의 담당자를 지정해야 하며, 보안 프로그램은 적어도 1년에 한 번씩 평가하고 수정하는 등 재검토해야 합니다. 개인정보 위험평가의 경우에도 적어도 1년에 한 번씩 실시되어야 하고, 평가를 통해 식별된 위험을 관리하기 위한 보호조치도 이행해야 합니다. 한편 개인정보를 제3자에게 제공하는 사업자의 경우 제공받는 자가 개인정보의 보안을 위해 합리적인 조치를 취할 것이라는 서면 보증을 받도록 하고 있습니다.



7) 개인정보 보유 및 파기 요건 강화(Data retention and deletion requirements)


사업자는 기존의 특정 목적을 위해 합리적으로 필요한 경우에 한해서만 아동의 개인정보를 보유할 수 있고, 더 이상 필요하지 않을 경우 즉시 파기해야 하며, 어떠한 경우에도 아동의 개인정보는 영구적으로 보유할 수 없습니다. 또한 사업자는 보유 목적 및 보유 기간을 포함한 아동 개인정보 보유 정책을 서면으로 작성하고 유지해야 합니다.



8) 세이프 하버 프로그램(Safe harbor)


자율규제 프로그램 가이드라인의 승인 기준에 보안 관련 요건을 추가하였고, 보고 및 기록보존 요건을 강화하여 세이프 하버 프로그램의 감독 역할과 투명성을 높이고자 합니다.




카카오는 아동의 개인정보를 보호하기 위해 다양한 노력을 기울이고 있습니다.


14세 미만의 아동 이용자도 쉽게 카카오의 개인정보 정책을 확인하고 이해할 수 있도록 ‘알기 쉬운 개인정보 처리방침’을 따로 제공하고 있고, 청소년이 보다 안전하게 서비스를 이용할 수 있도록 ‘청소년 프라이버시 보호 가이드’도 마련해두고 있습니다. 또한 카카오계정 가입 시 필요한 개인정보 수집 및 이용 동의문을 아동이 이해하기 쉽도록 만들어 제공하고 있습니다. 이에 대한 더 자세한 내용은 카카오 프라이버시 사이트에서 확인하실 수 있습니다.


카카오는 앞으로도 아동 개인정보 보호의 중요성을 인지하면서, 효과적으로 아동의 개인정보를 보호할 수 있도록 노력하고 고민하겠습니다.




[참고자료]
Children’s Online Privacy Protection Rule
Part 312-Children’s Online Privacy Protection Rule
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari