연령 기준 개인정보처리자 유형 나눠 의무·권장사항 구체화
자기결정권 존중 등 5대 원칙...보호자 역할·교육 방법도 안내
이번 가이드라인은 지난 11일 발표한 ‘아동·청소년 개인정보 보호 기본계획’ 후속 조치의 일환으로, 온라인에서 아동·청소년의 개인정보를 처리하는 개인정보처리자 등이 준수할 필요가 있는 사항을 알기 쉽게 제시하기 위해서다.
디지털 사회로의 급격한 전환과 함께 아동·청소년이 온라인 활동에 참여하는 시기가 점점 빨라지고, 온라인 서비스 이용 과정에서 제공한 정보가 장기간 축적되면서 그동안 개인정보 침해에 대한 우려가 꾸준히 제기됐다.
이에 개인정보위는 지난해 하반기부터 학계·산업계·시민단체 등 전문가로 구성된 연구반 논의를 통해 초안을 마련하고 아동·청소년, 학부모 등의 의견을 수렴해 이번 가이드라인을 마련했다.
먼저 아동·청소년 개인정보 보호 원칙을 제시하고, 아동·청소년 연령을 기준으로 개인정보처리자 유형을 나누어 법적 의무사항과 권장사항을 구체적으로 안내한다.
아동·청소년을 개인정보의 주체로 인식하고 이들의 개인정보 자기결정권 존중, 아동·청소년 최선의 이익 고려 등 아동·청소년 개인정보 보호에 기본이 되는 5대 원칙을 마련했다.
5대 원칙은 ▲개인정보 자기결정권 존중 ▲아동 최선의 이익 고려 ▲권리 실현 지원 ▲투명성 확보를 통한 아동의 역량 강화 ▲연령대별 특성을 고려한 보호 조치다.
또 개인정보처리자를 만 14세 미만 아동의 개인정보를 처리하는 개인정보처리자와 만 14세 이상 만 18세 미만 청소년의 개인정보를 처리하는 개인정보처리자로 구분했다.
이는 현행 개인정보 보호법에서 만 14세 미만 아동의 개인정보 보호에 관한 사항만 규정하고 있으나 성인에 비해 권리 행사에 미숙한 청소년까지 보호 대상의 범위로 폭넓게 본 것이다.
개인정보처리자가 점검해야 할 18개 항목을 5개의 개인정보 처리단계별로 나눠 사례와 해외 동향을 중심으로 알기 쉽게 안내했다.
이를 위해 개인정보 보호 중심 설계 원칙에 따른 서비스 기획을 위해 필요한 적절한 연령 확인 방법과 높은 수준의 개인정보 보호 기본값 설정 방법 등을 구체적으로 제시했다.
법정대리인 동의 방법 및 수집한 법정대리인의 정보 파기 시점, 소셜로그인을 위한 개인정보 제3자 제공 시 법정대리인 동의 의무, 아동·청소년 대상 맞춤형 광고 제공 시 유의사항도 명확히 했다.
아동·청소년이 개인정보 열람, 정정·삭제 등 자신의 권리를 쉽게 행사할 수 있도록 적극 지원해야 한다는 점을 강조하고, 자기게시물 접근 배제 요청 시 조치방법, 권익 침해 구제 안내 예시 등도 수록했다.
개인정보처리자뿐 아니라 아동·청소년이 많이 이용하는 장난감·기기, 앱·서비스 등을 제조·개발하는 제조사 등의 역할과 보호자가 참고할 수 있는 내용도 담았다.
네트워크 연결을 통해 아동의 개인정보를 전송할 수 있는 기기 제조 때에도 PbD 원칙을 적용할 수 있도록 하고, 다양한 방법으로 이용자가 개인정보 처리 사실을 인지할 수 있도록 설계할 것도 권고했다.
보호자 편에서는 아동·청소년의 연령을 미취학, 초등 저학년, 초등 고학년, 중·고등학생 등 4단계로 세분화하고 해당 연령대별 특성에 맞는 보호자 역할과 교육 방법 등을 안내했다.
한편 개인정보위는 아동·청소년을 대상으로 온라인 서비스를 제공하는 개인정보처리자 등이 현장에서 가이드라인을 적극적으로 활용할 수 있도록 가이드라인을 공개하고 온·오프라인 교육과 홍보를 병행해 나갈 예정이다.
또 학계·산업계·시민단체 등 전문가, 아동·청소년, 학부모 등 현장과의 지속적인 소통을 통해 가이드라인을 보완하고, 향후 아동·청소년 개인정보 보호 법제 마련 때도 반영할 계획이다.
최장혁 개인정보위 사무처장은 “그동안 많은 논의와 연구를 통해 가이드라인에 사업자들이 실제로 참고할 수 있는 다양한 사례와 해외 동향을 개인정보 처리단계별로 풍부하게 담기 위해 노력했다”며 “이번 가이드라인이 디지털 시대 아동·청소년의 개인정보 보호를 이끌어 나가는 의미있는 첫 걸음이 되길 기대한다”고 밝혔다.
<저작권자 ⓒ 한국인포맥스, 무단 전재 및 재배포 금지>
박정오 다른기사보기