한국인터넷진흥원

요약

1. 제목
온라인 환경에서 아동에 특화된 개인정보보호 연구

2. 연구의 목적 및 중요성
아동들의 활발한 온라인 서비스 이용으로 인해 아동을 대상으로 하는 온라인 사업이 발전함과 동시에 아동들의 개인정보 또한 노출될 위험성이 상당히 높아졌다. 
해외에서는 일찌감치 온라인에서 아동의 개인정보를 보호하는 문제를 매우 중요하고 민감한 이슈로 다루며 정부 차원에서 다양한 노력을 하고 있다. 특히 사회 전반에 아동의 최선의 이익을 우선시해야 한다는 합의를 바탕으로 아동의 인식 및 판단 수준이 성인에 미치지 못하고, 연령에 따른 발달 수준 차이가 있다는 점에 주목하여 아동의 ‘특수성’과 ‘취약성’을 고려해야 한다는 점에서 한 목소리를 내고 있다. 
최근 우리나라에서도 아동의 개인정보보호를 위한 노력으로 ‘정보통신망법’과 ‘위치정보의 보호 및 이용 등에 관한 법률’을 개정하였으나 아직까지 구체적이고 체계적인 지침이 마련되어 있지 못한 상태이며, 아동의 개인정보보호에 대해서도 민감하게 고려해야 한다는 사회적 분위기가 형성되어 있지 못하다. 
오늘날 급격히 변화하고 있는 디지털 환경에서 아동은 제한된 인지 수준 및 판단력으로 인해 보호의 대상이기도 하지만 미래 사회에서 디지털 주체로서 역할을 해야 하는 대상이기도 하다. 이에 아동들이 미래 정보사회의 주체로서 역할을 잘 수행할 수 있도록 아동의 최선의 이익을 우선시하여 온라인 환경에서 아동에 특화된 개인정보를 보호하기 위한 방안을 선도적으로 모색하는 연구가 요구되는 바이다. 

3. 연구의 내용 및 범위

가. 국내·외 법제도 현황 분석
 해외 주요국 및 국내의 아동 관련 개인정보보호 법제도 조사 및 비교 분석
 기타 벤치마킹 가능한 가이드라인 및 정책 조사 및 분석

나. 앱 현황 조사 및 분석
 아동을 타겟으로 하거나 아동들이 주로 이용하는 앱에서의 개인정보 보호 현황 조사 및 분석
 앱 현황 조사 및 분석을 통한 아동 개인정보보호 이슈 도출

다. 온라인상에서 개인정보보호에 대한 인식 조사
 아동 및 부모 대상으로 FGI를 통한 정성조사
 아동 및 부모 대상으로 온라인 설문을 통한 정량조사

라. 전문가 연구반 운영 및 의견 수렴
 온라인상에서의 아동 개인정보보호 관련 주요 이슈에 대한 전문가 의견 수렴

마. 온라인 환경에서 아동에 특화된 개인정보보호 방안 마련
 아동의 최선의 이익을 우선시하여 연령별 발달단계 및 이용행태를 고려한 온라인 환경에서 아동 개인정보 보호 강화 방안 제안

4. 연구결과

가. 국내·외 법제도 현황 분석

온라인상에서 아동의 개인정보보호를 위한 국내외 법제도 현황은 어떠하며, 국내의 현황을 개선하기 위한 시사점이 무엇인지 살펴보았다. 
첫째, 법제도 현황 분석 결과 해외 주요 법제가 국내 현황 개선을 위해 주는 시사점은 아래 표와 같다. 

  [미국 COPPA]
  1) 아동 대상 사업자 범위에 대한 세부 규정 마련으로 콘텐츠를 제공하는 사업자 스스로 아동 개인정보를 보호하도록 주의 유도 (아동 대상 사업자 판단 기준: 아동에게 매력적인  유명인 사용, 아동지향적 캐릭터, 시∙청각적 내용 등)
  2) 아동 개인정보 수집관련 고지를 보호자와 수집되는 온라인 서비스 내에 병행하도록 하여, 서비스 이용 중 발생하는 아동 개인정보의 침해 위험을 줄이고, 가입시점에 한하여 동의를 획득하는 포괄적 동의가 지니는 한계를 보완   
  3) 지속적 식별자를 개인정보로 명시하여, 아동을 Non-PII를 활용한 상업적 활동의 타겟이 되는 것으로부터 보호

  [EU GDPR]
  4) 아동이 추후 사회구성원이 된다는 미래지향적 관점에서, 정보주체로서 아동이 지닌 삭제권, 처리제한권, 자동화된 의사결정(프로파일링)에 반대할 권리 등에 대한 강조

  [영국 ICO 연령적합설계 규약]
  5) 아동은 연령별로 발달 수준이 다름을 고려해야 하는 대상이며, 온라인 서비스 설계 시에서도 반영되어야 함
  6) 개인정보 맥락에서도 아동의 최선의 이익을 우선적으로 고려할 것을 강조
  7) 신기술이 적용된 서비스에서도 아동 개인정보 보호 고려 (인공지능스피커, 말하는 인형 등 항상 온라인에 연결되는 기기)

둘째, 최근 제정된 영국 ICO의 ‘연령적합설계규약’과 중국의 ‘아동 개인정보 네트워크 보호 규정’과 같은 사례를 통해 온라인 개인정보 맥락에서 아동보호를 주요 목적으로 하는 제도적 노력이 두드러짐을 알 수 있다. 
마지막으로 법제도 외에도 아동의 개인정보보호에 대한 사회적 토대를 만들기 위해서는 예를 들어 영국 인터넷 안전센터의 ‘인터넷 안전의 날’ 캠페인, EPIC의 개인정보보호에 관련 연구 및 기업고발 등과 같이 사회단체 및 기관을 통해서도 사회적으로 활발한 논의가 요구된다. 
 
나. 앱 현황 조사·분석

아동에게 현재 제공되고 있는 온라인 서비스는 아동 개인정보보호에 있어 어떠한 문제점이 있는지 아동을 타겟으로 하거나 아동이 주로 이용하는 앱 40개를 선정하여 이용 단계에 따른 현황을 파악하고 이슈를 도출하였다.
앱 현황 조사 결과 1) 아동 식별의 이슈, 2) 고지 및 동의의 실효성 이슈, 3) 정보주체로서 아동의 권익 이슈가 도출 되었다.

첫째, 아동 식별이 전제가 되는 현재의 아동 개인정보 보호 매커니즘에는 한계가 있으므로, 현실 상황을 반영한 보완수단이 요구된다. 온라인 아동 개인정보보호는 아동 식별을 시작으로 법정대리인 절차를 통해 이루어지고 있지만, 별도의 연령 확인이나 회원가입 없이 이용 가능한 경우가 많은 것으로 나타났다. 또한 만 14세 미만 아동의 이용을 원칙으로 제한하고 있는 앱의 경우에도 허위 정보를 입력하는 것을 통해 쉽게 가입할 수 있는 것으로 나타났다.
둘째, 일회성의 형식적인 동의절차 방식은 실효성이 부족하기 때문에 실질적인 고지와 동의 방안을 모색해야 할 것이다. 앱 현황을 살펴본 결과 개인정보와 관련한 중요한 내용이 명시적으로 드러나지 않고, 필수/선택 항목을 일괄적으로 동의 받는 경우가 많은 것으로 나타나 표준화된 양식을 통해서 이용자의 혼란을 최소화하고, 중요한 정보를 가독성 높은 형식으로 제공하는 방안이 요구된다. 또한 위치정보 접근 권한은 법정대리인 동의 시점이 아닌, 아동이 기기를 활용하는 시점에 동의가 이루어지는 경우가 많아 앱 서비스 이용 초기에 일회성의 법정대리인 동의 방식보다는 아동의 이용행태를 고려한 실질적인 동의 방식이 필요하겠다. 더불어 이용약관이 영어로 표기되어 있거나, 가독성이 낮은 형식으로 이용자가 이해하기 어렵게 제시되고 있어 아동의 경우 특히 이해하기 쉬운 언어와 방식을 제공하도록 개선이 필요하다. 
셋째, 아동을 대상으로 하는 광고 및 아동 정보의 축적 가능성으로 인해 아동이 지니는 정보 주체로서의 권익이 보장되기 어려운 환경이므로, 장기적인 관점을 고려하여 아동 권익에 대한 논의가 필요할 것이다. 현황 조사 결과 아동을 대상으로 개인정보를 수집하여 맞춤형 광고를 할 때와 아동의 개인정보를 수집하지 않아 적합하지 않은 광고에 노출되는 경우 모두 아동이 경제적 착취로부터 자유로울 권리가 훼손될 수 있는 것으로 나타났다. 또한 아동의 개인정보를 회원 탈퇴 시 파기함을 명시하고 있어 탈퇴를 하지 않고 앱을 삭제할 경우 아동 개인정보가 오랜 기간 축적될 가능성이 높고, 탈퇴 또한 복잡하고 어려워 아동의 삭제권, 잊혀질 권리 등 정보주체로서의 권리가 보장되지 못할 가능성이 높은 것으로 나타났다. 
다. 아동 및 부모의 인식 조사

만 14세 미만 아동과 14세 미만 자녀를 둔 부모의 온라인상에서의 개인정보보호에 대한 인식 및 행태는 어떠한지 살펴보기 위해 만 14세 미만 아동을 연령에 따라 유아/초등학교 저학년/초등학교 고학년/중학생으로 분류하여 FGI를 통한 정성조사와 온라인 설문을 통한 정량조사를 실시하였다. 그 결과 아래와 같은 결론을 도출하였다. 

첫째, 온라인 환경에서 아동은 연령에 따라 온라인 서비스 이용 행태가 매우 상이하게 나타나고 있어 아동을 연령에 따라 구별하여 파악하는 것이 필요하다. 
둘째, 온라인상에서 아동의 개인정보를 보호하기 위해서 유아 및 초등학교 저학년의 경우 그들의 부모를 중심으로 패밀리 리터러시 측면으로 접근하는 것이 필요하며, 초등학교 고학년 및 중학생의 경우 아동에 초점을 두어 그들의 역량을 강화시키는 접근이 요구된다. 
셋째, 아동들은 주로 모바일을 통해 회원가입, 로그인 등을 하지 않고 온라인 서비스를 이용하는 것으로 나타나 법정대리인 동의만으로는 실질적인 동의 및 아동보호가 제대로 이루어지지 못할 가능성이 높은 것으로 나타났다. 
넷째, 이용약관은 아동들이 ‘어려워서’ 읽지 못하는 것으로 나타나 그림/영상/오디오 등의 다양한 형식으로 제공하여 아동의 발달수준에 맞게 선택할 수 있도록 해야 하는 것으로 나타났다. 
다섯째, 아동은 온라인 환경에서 개인정보에 대한 지식수준, 자기효능감, 보호행동 수준이 낮은 것으로 나타났고, 부모 또한 온라인 환경에서 개인정보를 보호할 수 있는 역량이 낮은 것으로 나타나 부모와 아동을 대상으로 온라인 환경에서 역량을 강화할 수 있는 방안을 모색해야 하는 것으로 나타났다. 
마지막으로 아동과 부모는 개인정보 보호 방안으로 학교를 통해 교육 받길 원하며, 교육방식과 교육 내용에 있어서도 개선을 필요로 하는 것으로 나타났다. 이에 현재의 텍스트 위주의 강의식 교육에서 다양한 매체와 소스를 활용한 교육방식과 아동의 연령별 니즈에 맞는 교육 내용을 선정하여 범정부 차원에서 다 함께 온라인에서의 역량을 강화하기 위한 노력이 필요한 것으로 나타났다.     

라. 전문가 연구반 운영 및 관계자 의견 수렴 

온라인 환경에서 아동에 특화된 개인정보보호 방안을 도출하는 과정에서 산업계, 학계, 협회 등의 전문가들로 구성된 연구반을 운영하여 다양한 의견을 공유하였다. 전문가 연구반에서 나온 의견들을 정리하면 아래와 같다.  

첫째, 아동이 현재 온라인 서비스를 이용하는 행태를 비추어 보아 가입자와 실사용자가 다르다는 문제가 있고, 기업 입장에서도 아동을 식별하는 것이 효과적인지 의문을 제기하는 등 현실적으로 온라인상에서 아동을 구별하여 보호하는 방안에 한계가 있다는 것에 공감을 이루었다. 
둘째, 부모 등 법정대리인은 아동의 개인정보보호에 있어 중요한 역할을 해야 하는 존재로 법정대리인의 권리와 의무 및 책임에 대해 알려주는 것이 필요하며, 아동의 온라인 서비스 이용에 대해 적극적으로 관심을 갖고 통제할 필요성이 있다는 의견을 공유하였다. 또한 부모가 통제 가능한 초등학교 시기까지는 부모가 법정대리인으로서 역할을 잘 할 수 있도록 지원이 필요하고, 부모 통제가 불가능한 시기부터는 아동의 역량을 키워줘야 한다는 것에 공감을 이루었다. 
셋째, 온라인 환경에서 아동의 역량을 강화시키는 것이 기업 측면에서도 중요하다는 것에 합의를 이루었고, 특히 역량 강화 교육 등에 있어서는 범부처 차원의 협력 및 지원이 요구된다는 의견에 공감을 이루었다.

마. 온라인 환경에서 아동에 특화된 개인정보보호 방안 마련

위 연구 결과들을 바탕으로 온라인 환경에서 아동에 특화된 개인정보보호를 위한 프레임워크를 도출하였다. 우선적으로 온라인 환경에서 1) 아동 특화된 개인정보 보호를 위한 토대를 바탕으로 2) 사회 구성원(아동 및 부모, 기업, 정부)의 통합적 노력이 전제되어야 3)궁극적 목표인 아동의 최선의 이익을 우선시하여 연령별 발달단계 및 이용행태를 고려한 온라인 환경에서의 아동 개인정보보호 강화가 달성될 수 있다. 여기서 아동 특화된 개인정보 보호를 위한 토대는 ‘아동의 최선의 이익을 우선적으로 고려’해야 하고, ‘아동은 보호의 대상이자 미래사회주역으로 추가적인 배려가 필요한 존재’이자‘연령별 발달 단계가 상이하므로 이에 대한 고려가 요구되는 존재’라는 관점에 대한 사회적 합의를 의미한다.
위와 같은 프레임워크를 바탕으로 아래와 같은 결론 및 개선방안을 제안한다. 

첫째, 아동은 추가적인 배려가 필요한 존재이다. 아동은 장차 미래사회의 주역으로서 역량을 키워가는 과정에 있으며, 성인에 비해 인지 능력이 부족하다는 점에서 개인정보 맥락에서 아동에 대한 추가적인 배려가 필요하다는 사회적 토대가 마련되어야 할 것이다. 
둘째, 아동은 인지 발달이 완성되지 않았고 정보주체로서 개인정보를 스스로 지킬 수 있는 역량이 부족하다는 점에서 법정대리인의 역할이 중요하다. 이에 법정대리인이 informed consent를 통해 아동의 능력발달에 상응하는 책임·권리·의무를 이행할 수 방안을 마련해야 한다. 
셋째, 현행의 법정대리인 동의 제도만으로는 온라인 환경에서 아동의 개인정보를 보호하기 위한 목적을 달성하기 어렵기 때문에 이러한 현실 상황을 반영한 보완수단이 요구된다.
넷째, 아동은 정보화 사회의 주체로서 능동적 이용자로 성장할 권리를 갖는다. 이에 아동의 역량 강화를 위한 새로운 접근 방법이 모색되어야 한다. 
다섯째, 아동은 연령에 따라 발달 수준과 온라인 이용행태가 다르기 때문에 연령 단계에 따라 각기 다른 니즈가 있음을 파악하여 아동의 개인정보보호를 위한 방안을 세분화하여 접근하는 것이 요구된다. 
여섯째, 아동은 성장과정에 있는 미완의 존재로 아동에 관한 축적된 정보가 프로파일링 등에 함부로 활용되지 않아야 한다. 이에 온라인에서 아동 개인정보에 대한 수정 및 삭제권이 강화되어야 한다.
마지막으로 온라인 환경에서 아동의 개인정보를 보호하기 위해서는 1) 아동 발달단계와 이용행태를 고려한 연령에 따른 접근을 바탕으로, 2) 각 시기에 다양한 주체들(아동 및 부모, 기업, 정부)의 협력이 동시에 요구된다. 

5. 기대효과

본 연구보고서는 온라인 환경에서 아동에 특화된 개인정보보호 방안을 제언하는 것을 통해, 아동 및 부모 측면과 기업 측면 사회 전반 측면에서 아래와 같이 활용될 수 있을 것으로 기대된다.

아동 및 부모 이용자 측면에서는 그들의 행태 및 인식조사 결과를 바탕으로 개선방안을 마련함으로써 실수요자 관점에서 실효성 있는 정책을 수립하도록 기여하고, 온라인 환경에 아동이 정보 주체로서 권리와 책임을 다 할 수 있는 방안을 마련하는데 도움을 줄 것으로 기대된다. 더불어 본 연구를 통해 부모 또한 아동의 보호자이며 사회화 대리인으로서 그들의 역할이 얼마나 중요하며 필요한지 인식할 수 있도록 다양한 부모 교육 방안을 마련하는 계기를 제공해줄 수 있을 것으로 기대된다.

기업 측면에서는 아동이 매력적으로 생각할 수 있는 콘텐츠나 서비스를 제공할 경우 아동이 이용할 수도 있음을 사전에 고려함과 동시에 아동인 경우 어떤 부분을 더 주의해야 하는지에 대한 가이드를 제시해줌으로써 기업 행위의 위해 또는 보호수준의 판단 근거를 제공할 수 있을 것으로 기대된다. 

마지막으로 사회 전반에 있어 본 연구결과를 통해 우리사회에 아동의 개인정보 보호에 대한 논의를 촉진하는 시발점이 될 것이며, 추후 온라인 환경에서 아동 개인정보 보호 정책 수립 시 ‘아동의 최선의 이익을 고려하는 것’에 대한 당위성과 아동인 경우 특히 어떠한 측면을 고려해야 하는지 구체적인 가이드를 제시할 수 있는 기초 자료로 활용될 수 있을 것으로 기대된다.

목차

제 1 장 서론 1
  제 1 절 연구의 배경 및 필요성 1
  제 2 절 연구의 목표 및 내용 2
  제 3 절 온라인 환경에서의 아동 개인정보보호 관련 연구 5
    1. 디지털 환경에서의 아동 5
    2. 아동의 발달 특성 8
    3. 온라인 환경에서의 아동 개인정보 관련 연구 13

제 2 장 온라인상에서의 아동 개인정보보호 관련 국내외 법제도 분석 25
  제 1 절 미국의 아동 개인정보보호 관련 법제 25
    1. COPPA(Children’s Online Privacy Protection Act) 25
  제 2 절 EU의 아동 개인정보보호 관련 법제 37
    1. General Data Protection Regulation (GDPR) 37
  제 3 절 영국의 아동 개인정보보호 관련 법제 48
    1. DPA 2018 (The Data Protection Act 2018) 48
    2. 영국 연령 적합 설계 규약(Age-appropriate design code) 54
    3. 영국 커뮤니케이션 사무국(Office of Communications) 74
  제 4 절 한국의 아동 개인정보보호 관련 법제 77
    1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법) 77
    2. 개인정보 보호법 85
    3. 위치정보의 보호 및 이용 등에 관한 법률 (위치정보법) 90
    4. 게임산업진흥에 관한 법률 (게임산업법)  97
    5. 청소년 보호법 100
  제 5 절 기타 국가 및 단체의 아동 개인정보보호 관련 제도 103
    1. 일본 103
    2. 중국 106
    3. 호주 108
    4. 뉴질랜드 116
    5. 캐나다 (개인정보보호정책 사무국) 119
    6. 기타 단체 123
  제 6 절 시사점 129

제 3 장 국내외 앱 개인정보보호 현황 진단 145
  제 1 절 아동의 온라인 이용 현황 145
    1. 아동 식별을 통한 법정대리인 동의 절차  145
    2. 아동의 인터넷 이용 행태 152
  제 2 절 아동관련 앱 현황 분석 154
    1. 조사대상 선정   154
    2. 분석 결과  157
  제 3 절 시사점 185

제 4 장 온라인상에서의 개인정보보호에 대한 아동들의 인식 조사 189
  제 1 절 정성조사 189
    1. 조사 개요 189
    2. 분석 결과 193
  제 2 절 정량조사 222
    1. 조사 개요 222
    2. 분석 결과 225
  제 3 절 시사점 248

제 5 장 전문가 의견 252
 제 1 절 전문가 연구반 운영 개요 252
 제 2 절 전문가 연구반 논의 내용 254

제 6 장 결론 및 제언 257

참 고 문 헌 288
부 록 293