검색
김앤장

개인정보보호위원회의 아동·청소년 개인정보보호 가이드라인 발표

[2022.07.26.]



개인정보보호위원회(이하 “위원회”)는 2022. 7. 22. 아동·청소년 개인정보보호 가이드라인(이하 “가이드라인”)을 발표하였습니다.


본 가이드라인은 2022. 7. 11. 위원회가 관계부처 합동으로 발표한 아동·청소년 개인정보 보호 기본계획에 따른 후속 조치의 일환으로 발표된 것으로, 아동·청소년의 개인정보를 처리하는 개인정보처리자를 위한 자율점검용 안내서입니다.


가이드라인에서는 온라인에서의 아동·청소년의 개인정보 보호에 중점을 두고, (1) 아동·청소년 개인정보 보호 원칙을 제시하고, (2) 아동·청소년의 연령을 기준으로 개인정보처리자 유형을 나누어 법적 의무사항과 권장사항을 구체적으로 안내하였습니다. 또한, (3) 개인정보처리자뿐 아니라 아동·청소년이 많이 이용하는 장난감·기기, 앱·서비스 등을 제조·개발하는 제조사 등의 역할과 보호자가 참고할 수 있는 내용도 포함하고 있습니다.


가이드라인의 주요 내용은 아래를 참고 부탁드립니다.



1. 아동·청소년 개인정보 보호 원칙

가이드라인은 (1) 개인정보자기결정권 존중, (2) 아동 최선의 이익 고려, (3) 권리 실현을 위한 적극적 지원, (4) 투명성 확보를 통한 아동의 역량 강화, (5) 연령대별 특성을 고려한 보호조치 등을 아동·청소년 개인정보 보호 원칙으로 제시하고 있습니다.



2. 개인정보 처리단계별 준수사항

1) 기획·설계 단계 - 개인정보보호 중심 설계 원칙에 따른 서비스 기획

가이드라인은 아동·청소년의 개인정보를 수집·이용하는 서비스의 경우, 기획·설계 단계부터 개인정보 처리 전 과정에 개인정보 보호 중심 설계를 적용하여 예상되는 침해위험 요인을 사전에 분석하고 예방 조치를 하는 것이 바람직하다고 설명하고 있습니다. 구체적으로, 가이드라인은 (1) 실질적으로 아동·청소년이 이용할 것이라고 예상되는 서비스의 경우, 이용자가 법정 생년월일을 직접 입력하도록 하거나 만 14세 이상이라는 항목에 스스로 체크하도록 하는 등 적절한 방법으로 이용자의 연령을 확인하여 만 14세 미만 아동 여부를 파악한 후 서비스를 제공하고, (2) 개인정보 보호에 관한 기본설정을 ‘높은 수준’으로 설정하며, (3) 현금, 아이템 등을 지급하는 대가로 개인정보처리자 또는 제3자에게 개인정보를 입력하도록 하는 서비스 설계를 자제하도록 권장하고 있습니다. 또한, (4) 아동·청소년에 대한 위치 추적 옵션은 비활성화를 기본값으로 하고, 위치정보를 수집하는 경우 아동·청소년이 위치추적 사실을 명확하게 인식할 수 있도록 하도록 하고 있으며, (5) 만 14세 미만의 아동이 연령을 허위로 기재하여 서비스를 부정 사용하는 것을 방지할 수 있는 합리적인 장치를 마련하도록 권장하고 있습니다.


2) 수집 단계 - 만 14세 미만 아동의 개인정보 수집 동의 시 법정대리인 동의

개인정보 보호법에 의하면, 만 14세 미만 아동의 개인정보를 처리하기 위하여는 법정대리인의 동의를 받아야 하며, 정보통신서비스 제공자는 법정대리인의 동의 여부도 확인해야 합니다. 또한, 정보통신서비스 제공자는 만 14세 미만 아동에게 개인정보 처리와 관련한 사항의 고지 등을 할 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용해야 합니다(개인정보 보호법 제39조의3 제5항).


가이드라인은 이에 더하여, 만 14세 이상의 청소년에게 개인정보 관련 사항을 안내하는 경우에도 청소년의 눈높이에서 이해하기 쉬운 방식으로 안내하도록 권장하면서, 일반인을 대상으로 하는 개인정보 처리방침 외에 아동·청소년용으로 작성한 개인정보처리방침을 별도로 안내하는 것을 예시로 들고 있습니다.


한편, 가이드라인은 아동·청소년의 행태정보와 개인식별정보를 결합하여 맞춤형 광고에 활용하고자 하는 경우, 이를 명확히 안내하고 동의를 받도록 의무화하고, 이 경우에도 만 14세 미만 아동을 대상으로 하는 맞춤형 광고 제공은 최소화하는 것이 바람직하다고 설명하고 있습니다. 또한, 개인이 식별되지 않은 경우에도, 개인정보처리자가 만 14세 미만 아동임을 알고 있거나 아동을 주 이용자로 하는 서비스인 경우에는 맞춤형 광고 제공 목적으로 행태정보를 수집·활용해서는 안되며, 만 14세 미만임을 알고 있는 아동에게 맞춤형 광고를 제공하지 않는 것을 권장하고 있습니다.


나아가, 가이드라인은 아동·청소년의 개인정보 보호에 부정적인 영향을 미치는 넛지 기술은 사용하지 않는 것이 바람직하며, 예를 들어 아동·청소년이 불필요한 개인정보를 과도하게 제공하거나 프라이버시 보호 설정을 해제 또는 하향 조정하는 방향으로 유도하는 설계를 하지 말아야 한다고 설명하고 있습니다.


3) 이용·제공 단계 - 수집한 아동·청소년의 개인정보는 안전하게 이용하고 보관

가이드라인은 아동·청소년에게 AI 스피커, 챗봇, 말하는 인형 등 문자·음성을 이용하여 사람과 대화하는 방식으로 서비스를 제공하는 경우, 이용 과정에서 아동·청소년의 개인정보를 부당하게 수집하지 않도록 하고, 아동·청소년에게 부적절한 내용의 정보가 제공되지 않도록 노력하도록 하고 있습니다.


또한, 아동·청소년에게 개인정보를 활용한 프로파일링 기반 서비스를 제공하는 경우, 아동·청소년에게 유해한 영향을 미치지 않도록 적절한 보호조치를 마련할 것을 권장하고 있으며, 이를 마련하기 어렵다면 프로파일링에 기반한 서비스는 제공하지 않는 것이 바람직하다고 설명하고 있습니다.


4) 보관·파기 단계 - 명확하고 알기 쉽게 개인정보 관련 사항 안내·고지

개인정보 보호법에 의하면, 개인정보처리자는 개인정보를 안전하게 보관 및 관리해야 하고(개인정보 보호법 제29조), 개인정보가 불필요하게 되었을 때에는 이를 지체 없이 파기해야 합니다(개인정보 보호법 제21조).


나아가, 가이드라인은 만 14세 미만 아동의 개인정보 처리 동의를 위하여 수집한 법정대리인의 정보는 동의 확인 후 파기하도록 하고, 다만, 고객 서비스 대응 등을 위하여 법정대리인이 동의하였음을 입증할 수 있는 정보가 필요하다고 인정되는 경우, 법정대리인 동의여부 확인에 필요한 최소한의 정보(동의서, 이메일, 녹취 등)는 아동의 회원 탈퇴 등으로 개인정보가 불필요하게 될 때까지 보유할 수 있다고 설명하고 있습니다. 한편, 법정대리인이 동의를 거부하거나 동의 여부가 확인되지 않은 채 5일이 경과한 경우, 해당 개인정보는 파기하여야 합니다(표준 개인정보 보호지침 제13조).


5) 권리보장 - 개인정보 정정·삭제권 등 권리 행사 적극적 지원

가이드라인은 만 14세 이상 청소년의 경우, 본인이 개인정보처리자에게 개인정보에 대한 열람, 정정, 삭제, 처리정지 등을 요구할 수 있고, 만 14세 미만 아동의 경우 법정대리인이 아동의 권리 행사를 요구할 수 있다고 설명하면서, 개인정보처리자로 하여금 아동의 법정대리인이나 청소년이 개인정보 열람 등 권리를 행사할 수 있도록 그 방법을 안내하고 지원하여야 한다고 설명하고 있습니다. 또한, 가이드라인은 아동·청소년 및 아동의 법정대리인 등이 개인정보 보호와 관련된 내용을 손쉽게 확인하고 권리를 행사할 수 있도록 개인정보처리자가 적합한 수단과 방법을 제공하여야 한다고 설명하고 있습니다.


한편, 가이드라인은 아동·청소년이 본인이 게시한 글(댓글 포함), 사진, 동영상 및 이에 준하는 게시물에 대하여 접근배제 또는 검색목록 배제를 요청한 경우, 개인정보처리자나 검색서비스 사업자가 배제조치를 실시하도록 권장하고 있습니다. 예컨대, 가이드라인은 만 18세 미만의 아동·청소년 또는 보호자의 요청이 있을 경우, 해당 미성년자의 이미지를 검색결과에서 삭제하는 기능을 제공할 것을 권장하고 있습니다.



3. 기타

그 외에도, 가이드라인은 개인정보처리자 뿐만 아니라, 아동 대상 장난감·완구 등 제조사와 아동·청소년이 주요 이용자인 앱·서비스 개발자에 대하여도 개인정보 중심 설계 원칙을 적용하여 아동·청소년의 개인정보를 보호하기 위한 다양한 조치를 취하도록 하고 있으며, 아동·청소년의 연령대별 특성에 맞는 보호자와 교사의 역할도 안내하고 있습니다.



윤아리 변호사 (ari.yoon@kimchang.com)

김서연 변호사 (seoyeon.kim@kimchang.com)

Next

관련 법조인