상세 컨텐츠

본문 제목

[개인정보보호] 아동의 개인정보보호를 위한 ICO의 '연령적합설계규약' 분석 (1) (2020.03)

개인정보보호 자료실/사례집

by 황컴플라이언스 2024. 12. 1. 08:13

본문

반응형

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호] 아동의 개인정보보호를 위한 ICO의 '연령적합설계규약' 분석 (1) (2020.03) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 아동의 개인정보보호를 위한 ICO의 '연령적합설계규약' 분석 (1)

○ 발행일 : 2020년 03월

○ 주관부처 : 한국인터넷진흥원

[개요 및 배경]

○ 개요

영국의 개인정보보호 감독기구 ICO(Information Commissioner's Office)는 온라인 상에서 아동의 개인정보보호를 위해 인터넷 서비스에 적용해야하는 '연령적합설계규약'(Age Appropriate Design Code : a code of practice for online services)으 발표

  • ICO가 제시한 지침은 총 15가지 표준으로 구성되어 있으며, 높은 개인정보보호 수준을 기본 설정 값(data protection by default)으로 제시하도록 규정
  • 동 지침은 데이터 수집 및 이용을 최소화하여 아동이 온라인 서비스에 최대한 접근(Access)할 수 있도록 지원
  • 이를 위해 △서비스 제공에 필요한 최소한의 데이터만을 수집 및 저장하고 △아동의 개인정보를 공유해야 할 이유가 없는 한 데이터 공유를 금지하며 △프로파일링(Profilling) 기능 해지를 기본 설정으로 하는 설계 방향을 제시
  • 동 지침은 18세 미만의 아동이 접근할 수 있는 모든 온라인 서비스에 적용되며, 성인을 대상으로 하는 경우 서비스 제공업체가 문서화된 구체적인 증거를 통해 아동이 서비스에 접근할 가능성이 없다는 것을 입증해야 함
  • ICO는 디지털 분야의 개발자 및 기타 종사자들에게 동 지침을 준수하도록 촉구하고, 지침 시행까지 최대 12개월의 전환 기간을 두고 업계와 계속 협력할 계획

(배포용) 핫이슈 아동의 개인정보보호를 위한 ICO의 '연령적합설계규약' 분석(2020.03).pdf
0.32MB
아동의 개인정보보호를 위한 ICO의 '연령적합설계규약' 분석 (2020.02) : 한국인터넷진흥원

○ 배경

ICO는 2018년 영국의 정보보호법(Data Protection Act 2018, DPA 2018) 개정 이후 아동 온라인 개인정보보호를 위한 세계 최고 수준의 표준 제정을 목적으로, 연령에 적합한 설계(age appropriate design) 지침을 개발

  • ICO는 정보보호법에 의거하여 2019년 4월 15일 아동의 연령에 적합한 온라인 서비스 설계 표준에 대한 실무 지침을 게시
  • 2019년 5월 31일까지 동 지침에 대한 공개 의견 수렴을 진행하고, 이를 바탕으로 지침 내용을 정리하여 2020년 1월 발표
  • 동 지침은 영국의 이용 가능한 게임, 소셜 미디어 플랫폼, 피트니스 앱, 교육 웹 사이트, 주문형 스트리밍 서비스 등 다양한 부문에 적용할 수 있으며, 기본적으로 아동 보호에 중점으 두지만 더욱 광범위한 온라인 서비스에 적용 가능할 전망
  • ICO는 아동은 모드 측면에서 특별한 보호가 필요하다는 점을 인정한 유엔아동권리협약(The United Nations Convention of the Rights of the Child, UNCRC)의 원칙을 반영
  • 이와 관련, 아동이 마음껏 배우고 탐험하고 놀 수 있는 안전한 온라인 공간을 만들기 위해 훨씬 더 많은 조치가 필요하다는 합의가 영국은 물론 국제 사회 차원에서도 이미 이루어져 있음을 강조

○ 각주

  • ① ICO의 연령적합설계규약은 UNCRC에서 제시한 영국의 아동 권리 보호 의무에 근거하고 있으며, 아동의 발달 수준과 요구사항이 연령별로 달라지기 때문에 각 연령 단계의 특성에 맞게 아동을 6단계로 분류
  • 0~5세(유아기, pre-literate and early literacy), 6~9세(초등기, core primary school years), 10~12세(전환기, transition years), 13~15세(10대 초반, early teens), 16~17세(예비 성인기, approaching adulthood)
  • ② 서비스 제공자가 아동의 접근을 의도하지 않은 경우도 해당
  • ③ 구체적인 시행일은 결정되지 않았음
  • ④ 정보보호법 2018은 유럽 GDPR을 보안하고 영국의 개인정보보호 제도와 서로 맞추어 브렉시트 이후를 대비하였으며, EU 법 집행 지침(LED, Law Enforcement Directive)을 이행하고 법 집행 기관 및 정보기관에서 처리하는 개인정보 등 GDPR의 적용 범위가 미치지 않는 영여갂지 확대하여 규정함. 이와 함께, ICO의 역할과 관련하여 GDPR 등 관련 규정들에서 요구되는 기능들을 추가하고 좀 더 명확히 규정함

[Section 123]

  • (1) The Commissioner must prepare a code of practice which contains such guidance as the Commissioner considers appropriate on standards of age-appropriate design of relevant information society services which are likely to be accessed by children.
  • (2) Where a code under this section is in force, the Commissioner may prepare amendments of the code or a replacement code.

[지침의 개요 및 특징]

○ 지침에 관한 일반 사항

(개요) 동 지침은 온라인 서비스에 데이터 보호 장치를 설계하여 아동이 사용하기에 적합하도록 함으로써, 온라인 서비스 운영자가 아동의 개인 데이터를 적절하게 보호할 수 있는 방법을 제시

  • 동 지침은 △개인 데이터를 처리하는 온라인 제품 또는 서비스(앱, 프로그램, 웹 사이트, 게임 또는 커뮤니티 환경, 커넥티드 장난감 또는 장치 등을 포함)를 제공하고 △해당 제품이나 서비스에 영국의 아동이 접근할 가능성이 있는 경우에 적용
  • 동 지침을 통해 GDPR(General Data Protection Regulation)과 PECR(The Privacy and Electronic Communications Regulations)을 준수하는 온라인 서비스를 설계 할 수 있으며, 동 지침에 의거한 설계 방식을 통해 관련 규정의 준수 사실을 입증하는 것도 가능
  • 지침에 제시된 표준에 부합하는가는 정보보호법 준수 여부를 판단하는 핵심 척도(Key measure)가 될 수 있음
  • 지침을 따르는 온라인 제품이나 서비스는 △아동 개인정보보호 문제를 진지하게 받아들이고 △신뢰할 수 있는 방식으로 데이터를 처리하며 △아동이 사용하기에 적합하다는 점을 부모 및 기타 서비스 이용자들에게 증명

(특징) 동 지침은 디지털 세계에 대한 아동의 접근을 제한함으로써 아동을 보호하는 방식 대신 아동이 디지털 세계에서 안전하게 활동할 수 있도록 보장

  • UNCRC의 핵심 원칙을 통합하여 아동과 관련한 모든 행위에서 아동의 이익을 최우선으로 고려
  • 부모의 권리와 의무를 존중하는 동시에 아동 스스로 선택할 수 있는 능력이 발전해나갈 수 있음을 존중
  • 특히 온라인 서비스가 아동의 데이터를 이용할 경우 △표현의 자유 △사고, 양심 및 종교의 자유 △결사의 자유 △개인정보보호 △미디어의 정보에 접근할 권리 △연령에 걸맞은 여가활동에 참가할 권리 △경제적, 성적, 기타 다양한 형태의 착취로부터 자유로울 권리를 뒷받침 할 수 있는 방식이어야 함을 강조

(GDPR과의 관계) 동 지침은 아동이 접근할 가능성이 있는 온라인 서비스 설계 시, 구축해야하는 구체적인 보호 기능을 설정함으로써 GDPR 전문38조(Recital 38)에 부합하며 GDPR의 일반 원칙들을 준수

  • 특히 아동이 온라인 환경에서 노출될 수 있는 위험성(Risk)의 맥락에서 '공정'한 데이터 처리를 위한 실용적인 조치와 보호 방법을 제세
  • 이를 통해 GDPR △제5조(꽁정성, 합법성 및 투명성 원칙, 목적 제한 원칙, 데이터 최소화 원칙, 저장 제한 원칙, 책임의 원칙) △제6조(처리의 적법성) △제12조~14조(통지 받을 권리) △제15조와 제20조(정보주체의 권리) △제22조(프로파일링 및 자동화된 의사 결정) △제25조(개인정보보호 중심설계) △제35조(개인정보영향평가)의 준수를 지원
  • 동 지침은 영국의 EU 탈퇴(브렉시트) 이전의 정보보호법(DPA 2018) 및 GDPR의 관련 조항을 기반으로 하고 있으며, 브렉시트 이후 GDPR이 영국 내에서 법적 지위를 갖지 않게 되지만 지침에 반영된 기본적인 데이터 보호 원칙과 권리 및 의무는 동일하다는 것이 ICO의 입장

(법적 효력과 의무) ICO는 온라인 서비스가 GDPR 또는 PECR에 따른 데이터 보호 의무를 준수하는지 여부를 고려할 때 동 지침을 반영

  • 특히 GDPR에 의거한 공정성(fairness), 합법성(lawfulness), 투명성(transparency), 책임성(accountability)의 문제를 판단하고, 법 집행 권한을 수행할 때 동 지침을 적용
  • 동 지침은 법원 소송에서 증거로 사용될 수 있고 법원은 동 지침의 관련 조항을 고려하므로, 지침의 표준을 준수하지 않은 경우 공정한 데이터 처리 및 GDPR과 PECR 준수 사실을 입증하기 어려울 수 있음
  • 제품 및 서비스 제공자가 GDPR 또는 PECR을 위반하여 아동 개인정보를 처리하는 경우 ICO는 평가 통지(assessment notices), 경고(warnings), 견책(reprimands), 집행통지(enforcement notices), 과징금 부과(administrative fines) 등의 조치를 취할 수 있음
  • 개인정보보호 원칙을 심각하게 위반할 경우, 최대 2,000만 유로 또는 연간 총 매출액의 4% 중 더 높은 금액을 부과
  • 아동이 서비스에 접근할 수 있다는 증거 또는 인식이 분명하고 데이터 처리로 인해 아동에게 발생할 수 있는 위험에 대한 증거가 명확함에도 불구하고 규정 준수를 위한 적절한 조치가 취해지지 않은 경우, ICO는 정책(Regulatory Action Policy)에 따라 공식적인 제재 조치를 취할 가능성이 높으며 이 때 동 지침을 고려할 것임을 강조
  • 한편, 향후 영국의 법제에서 세부 사항에 대한 추가 변경 사항이 있는 경우, ICO는 동 지침의 표준이 영국의 법률에 적합하도록 점검할 계획

[목차]

Ⅰ. 개요 및 배경

Ⅱ. 지침의 개요 및 특징

  • (1) 지침에 관한 일반 사항
  • (2) 적용 대상
  • (3) 시행

Ⅲ. 연령에 적합한 15가지 설계 표준

Ⅳ. 결론 및 시사점

반응형
저작자표시 비영리 변경금지

'개인정보보호 자료실 > 사례집' 카테고리의 다른 글

[개인정보보호] 아일랜드 DPC 연례 보고서 주요 내용 분석 (2020.03)  (2) 2024.12.01
[개인정보보호] 아동의 개인정보보호를 위한 ICO의 '연령적합설계규약' 분석 (2) (2020.03)  (2) 2024.12.01
[개인정보보호] Privacy 2020 백서에 반영된 개인정보침해 위험과 개인정보 강화기술 리뷰 (2020.02)  (2) 2024.12.01
[개인정보보호] ICO의 데이터 보호 강화 및 지원을 위한 규제 샌드박스 추진 현황 (2020.02)  (2) 2024.11.30
[개인정보보호] 브렉시트에 따른 영국-EU 간 GDPR 이슈 검토 (2020.02)  (0) 2024.11.30

관련글 더보기

티스토리툴바