요즘은 초등학생들도 스마트폰을 많이 이용한다. 실리콘밸리는 한국에 비해서는 덜하지만, 점점 많은 초등학생이 개인 스마트 폰을 소유하는 추세다. 개인 스마트폰이 따로 없어도 아주 어릴 때부터 부모의 스마트 폰을 사용해 게임을 하거나 여러 가지 기능을 사용하는 것을 주위에서 흔히 볼 수 있다. 이처럼 스마트폰이나 컴퓨터를 사용하는 연령층이 급격히 낮아지면서, 청소년이나 아동을 상대로 하는 온라인 사업도 함께 발전하고 있다. 이에, 아동의 개인 정보를 수집하는 경우엔 일반 개인 정보 보호 정책보다 한 단계 더 까다로운 절차를 거친다.
미 연방통상위원회(FTC, Federal Trade Commission)는 아동의 개인정보를 보호하기 위해 아동 온라인 개인 정보 보호 정책 (COPPA, Children Online Privacy Protection Act)을 재정·시행하고 있다. 아동은 온라인에서 계정을 만들 때 입력하는 개인정보가 어떤 영향을 미치는지 다 이해한다고 볼 수 없으므로 13세 미만의 아동이 회원가입을 하는 경우 보호자의 동의가 있어야 한다. 하지만 직접 볼 수 없는 온라인상에서 실제로 보호자가 회원가입을 동의하는지 아이들이 보호자 몰래 가입하는지를 알 수 없으니 18세 이상의 어른만이 할 수 있는 방법 등을 사용해 아동과 보호자가 모두 동의했다는 추가 절차를 거친다.
- 용어의 뜻과 정의
아동은 누구인지, 개인정보는 어떤 범위의 정보인지, 어떤 온라인 서비스를 제공할 때 COPPA에 준해야 하는지를 알아야 내가 운영 또는 계획하는 사업이 영향을 받는지 알 수 있기에 용어의 정의에 대해 먼저 살펴보자.
- 아동: 아동은 만 13세 미만을 의미한다. 한국나이 13세와 만 13세는 다르니 주의하자. 만 13세는 13살이 되는 해의 생일이 지나기 전까지다. 예를 들어 2000년도 5월 1일에 태어났다면 생일이 되기 전인 2013년 4월 30일까지는 만 13세다.
- 개인정보: 개인정보는 개인 신원에 관한 정보와 연락처 등이다. 예를 들어, 이름, 이메일 주소, 비밀번호, 집 주소, 전화번호, 주민등록 번호, 은행이나 신용카드 정보뿐 아니라, 거주 지역, 사진, 영상, 아동의 목소리가 녹음된 파일, 취미, 쿠키를 통해 모으게 되는 정보 등도 해당한다.
- 해당하는 경우: COPPA에 준해야 하는 경우는, 제공하는 서비스를 이용하기 위해 아동 방문자에게 개인정보를 수집하는 경우는 모두 해당이 된다고 보면 안전하다. 하지만, 앱스토어나 단순히 플랫폼만 제공하는 경우 또는 개인정보 입력 없이도 사용할 수 있는 서비스 등은 아동을 대상으로 했다고 해도 COPPA에 해당하지 않는다. 아동이 회원 가입을 한다고 해서 모두 COPPA 법을 따라야 하는 것은 아니다. (1) 아동을 대상으로 상업성인 온라인 서비스를 제공하는 경우 또는 (2) 상업성이 있든 없든 아동으로부터 정보를 수집한다는 것을 실제로 아는 경우(Actual Knowledge)에는 아동들의 개인정보를 수집하기 위해 COPPA에서 요구하는 절차를 거쳐야 하고 아동 개인정보 보호 정책에 따라야 한다.
- 요구되는 사항
우리 회사가 13세 미만 아동으로부터 개인정보를 수집하고 회원가입을 받는다면 COPPA에서 요구하는 요건을 지켜야 한다.
- COPPA 법에 준하는 개인보호 정책을 작성해 웹사이트 내 눈에 띄는 곳에 명시해야 한다.
- 보호자로부터 ‘아동의 개인 정보를 수집하는 것’에 대한 동의를 받아야 한다.
- 보호자로부터 수집되는 아동의 개인정보가 어떠한 목적으로 어디에 사용 되는지를 설명하고 보호자가 아동의 개인정보 삭제를 원할 경우 삭제 요청을 할 수 있도록 해야 한다.
- 아동으로부터 수집한 개인정보를 보호해야 한다.
- 보호자 동의를 받는 방법
COPPA에서 요구하는 것은 결국 ‘보호자로부터 동의를 받고 아동의 개인정보를 수집해라’다. 그럼 어떤 방법으로 보호자 동의를 받아야 할까? 회원가입시 '보호자가 동의한다'는 버튼 하나만 더 눌러서 가입이 되는 절차는 누가 동의를 했는지 알 수 없으니 성인이 대답할 수 있는 질문들을 대답하게 한다거나 성인 인증 절차를 거친 후 동의를 하게 한다거나 하는 등의 절차를 거쳐야 한다. 규제상 "이런 방법을 사용하면 안전하다"라고 말할 수는 없으나 아래 사항을 참고하면 도움이 될 것이다.
- 아동의 개인정보를 외부와 공유하지 않는 경우 덜 까다로운 절차를 거쳐도 된다. 이럴 경우에는 보호자의 이메일을 통해 아동의 회원가입 동의를 받으면 되는데, 회사가 발송한 이메일 속 링크를 보호자가 눌러 확인을 하도록 하는 등의 추가 절차를 사용할 수 있다. 또는, 전화나 우편 등으로 보호자로부터 추가 확인을 거치는 방법도 있다. 이메일, 전화, 우편 등 어떤 방법을 사용하든 보호자에 언제든 동의한 사항을 취소할 수 있다는 것을 알려야 한다.
- 만약 아동의 개인정보를 외부와 공유한다면 더욱더 까다로운 보호자 동의 절차를 거쳐야 한다. 동의서에 서명한다거나 신용카드를 사용해서 결제하게 한다거나 교육된 직원이 보호자에게 전화를 걸어 동의 사항을 얻는다거나 보호자 확인을 할 수 있는 비밀번호를 보호자의 이메일로 보내 성인이 동의한다는 것을 증명하게 하는 방법 등을 사용해야 한다. 일반적으로는 절차가 가장 편리한 소액 결제 방식이 많이 사용된다. 서비스는 무료로 제공해도 보호자의 동의 인증을 위해 적은 금액 예를 들어 100원을 신용카드로 결제하게 하는 절차를 진행하게 함으로써 부모가 동의했다는 것으로 간주한다.
- COPPA의 규정을 따르지 않은 사례
만 13세 미만 아동의 개인정보를 COPPA에 준하지 않고 보호자 동의 없이 수집 및 사용한 경우 연방통상위원회가 이에 대해 제재를 가할 수 있다. 실제로 연방통상위원회가 COPPA에 준하지 않고 사업을 운영한 회사에 상당액의 벌금을 부과한 사례가 많다.
판례로는, 연방통상위원회가 2012년 온라인 게임 사이트인 '락유(Rock You)'라는 회사에 약 25만 달러(한화 약 3억 원)의 벌금을 부과했다. 락유는 회원가입 절차에서 13세 미만 아동의 이메일 주소와 비밀번호를 보호자의 동의 없이 수집했으며 개인 프로필을 만들기 위해 수집한 생년월일 정보도 보호자 동의 없이 수집했다는 이유로 벌금을 부과했다.
2014년에는 온라인을 통해 음식점이나 기타 비즈니스에 대한 사용자 리뷰 정보를 공유하는 서비스 옐프(Yelp)의 사례가 있다. 옐프는 13세 미만 회원으로부터 이름, 이메일 주소, 사는 장소 등의 정보를 보호자 동의 없이 수집했다는 이유로 45만 달러(한화 약 5억 원)의 벌금을 내야 했다.
이러한 판례로 온라인 서비스를 준비하는 스타트업이 상심하는 일은 없었으면 한다. 13세 미만 아동의 개인정보를 수집하게 되는 경우 COPPA에 준하여 보호자의 동의를 받으면 되고 아니면 13세 미만의 경우는 개인정보를 수집하지 않거나 회원가입이 되지 않도록 하면 되기 때문이다.
- 세이프 하버(Safe Harbor)
아래와 같은 특정한 경우에는 보호자의 동의가 필요치 않다.
- 아동이 질문한 사항에 답변을 주기 위해서 또는 아동이 요청한 사항에 대응하기 위해 일회성 답변을 제공하기 위함이거나 이를 위해 수집한 아동의 개인 정보를 보관하지 않는 경우
- 또는 아동이 질문이나 요청사항에 여러 번 대응하기 위해 정보를 수집하지만 일이 처리된 후 아동에게 다시 연락을 취하지 않거나 개인정보를 보관하지 않은 경우, 또 처음 답변 이후 추가 답변이 있기 전 보호자에게 수집한 아동의 개인정보 내용과 목적을 알리기 위한 충분한 시도를 한 경우
- 오직 보호자 동의를 받기 위해 아동 또는 보호자의 개인정보를 수집하지만, 일정 기간 보호자가 동의 절차를 진행하지 않아 기록은 남아있지만, 해당 정보를 회사에 보관하지 않는 경우
- 아동의 안전과 보호를 위해 사용이 필요하다고 판단되어 아동의 개인정보를 수집한 경우, 하지만 이 경우에도 보호자에게 알리기 위한 타당한 조처를 할 수 있다면 먼저 조치를 시도하는 것이 필요하다.
- 법적으로 요구되거나 소송 등의 절차상 필요한 경우
- 캘리포니아 주 법
아동에게 온라인 서비스를 제공하는 경우 캘리포니아주는 연방정부 법에서 몇 가지를 추가해 시행하고 있다.
- 아동에게 자극적인 광고 금지 :
아동을 타겟으로 아동에게 직접 자극적인 내용의 광고를 하는 것을 금하고 있다. 예를 들어, 술, 무기, 담배, 마약, 비비건, 약, 복권, 문신, 성적인 내용의 광고에서 아동이 직접 해당 제품이나 서비스를 사용한다거나 관련 광고에 아동이 노출되지 않도록 타당한 절차를 밟을것이 요구된다.
- 삭제 버튼(Erase Button):
아동이 게재한 어떠한 정보도 삭제를 원한다면 삭제해야 한다. 예를 들어 아동이 온라인 게시판에 사진이나 영상을 올렸는데 삭제를 요청한다면 회사는 이를 수용해 바로 시행해야 하고 다른 유저들이 더는 해당 게시물을 볼 수 없도록 해야 한다.
이 법은 아동을 대상으로 서비스를 운영하거나 아동이 이용하고 있다는 것을 인지하고 있는 온라인 및 모바일 웹사이트 또는 운영회사에 모두 해당한다. 하지만 법적으로 해당 게시물을 게재하는 것이 요구된다거나 아동 외 다른 사람에 의해 게시된 게시물에는 해당하지 않는다. 또는, 익명으로 게시되어 그 게시물을 통해서 아동의 신원이 확인되지 않거나 게시물을 게시하는 대가로 아동이 보상이나 이득을 얻었다면 해당 게시물을 삭제하지 않아도 된다.
게시물 삭제 방법에 대한 확실하고 명확한 지시를 주었음에도 회사에서 정한 '게시물 삭제요청 절차'를 따르지 않고 요청했다면 지우지 않아도 된다.
COPPA에 준하는 절차가 까다로워 보일 수 있으나, 상식적으로 생각하면 이해되는 부분이 많다. 게임이 좋아서 회원가입을 하는 아동은 집 주소나 이름, 주민등록번호를 입력하는 것이 그저 게임을 빨리하기 위한 절차일 뿐 그러한 정보의 제공이 얼마나 위험한 일이 될 수 있는지를 판단하지 못할 뿐 아니라 이용약관이나 개인정보 보호정책의 내용도 다 이해할 수 없으므로 성인 보호자로부터 동의를 받는 것은 당연할 일이다. 그리고 보호자 동의에 따른 타당한 절차를 거치는 것도 당연한 일이다. 더욱 자세한 사항은 COPPA의 웹사이트를 통해 확인할 수 있다.
이미지 출처: Huffington Post Teen