만 14세 미만의 청소년들의 회원가입을 받을 때엔 반드시 법정대리인의 동의를 받아야 한다.

서비스 타겟이 만 14세 미만의 청소년층이 아닌 이상 서비스를 만드는 초기 스타트업에겐 법정 대리인의 동의를 확인하는 방법이 까다롭다 느껴지기도 한다.

[법정대리인 동의를 받는 방법]

  • 법정대리인의 휴대전화 문자 메세지를 통해 동의 확인
  • 법정대리인의 카드정보로 확인
  • 법정대리인 휴대폰 본인인증
  • 우편 또는 팩스로 동의서 전달 후 법정대리인 서명날인 확인
  • 이메일을 통해 동의서 전달 후 법정대리인 의사 표시 확인
  • 전화통화로 동의 사실 확인
  • 자세한 내용은 링크 참고


그럼 만 14세 미만의 고객에 대한 개인정보 처리 책임을 회피할 수 있도록 14세 이상의 고객만 회원가입하도록 처리해야 하는데, 이 때 어떻게 만 14세 확인을 하느냐가 오늘의 주제이다.

방법은 3가지이며, 이 방법은 개인정보 저장 전 행해져야 한다.

1. 생년월일을 정보주체자로부터 기입받는다.
2. 만 14세 이상이 맞는지 확인받는다.
2-1. [   ] 만 14세 이상입니다. : 체크박스
2-2. 만 14세 미만 / 만 14세 이상 : 컨펌창
- 만 14세 미만일 시 회원가입이 진행되지 않도록 막아야 한다.
3. 휴대폰 본인인증 등의 방법으로 확인

세가지 방법 중 3번은 유료이며, 무료인 1, 2번 중에선 좀 더 간단한 2번을 많이 선호하지 않을까 싶다.

주의할 점은
소셜로그인을 사용하는 서비스들에서 로그인 시 만 14세 미만에 대한 체크없이 최초 로그인 프로세스를 만드는데, 이것은 만 14세 미만 고객정보를 수집하게 되는 꼴이므로 조심해야 한다.

만약 서비스가 어플이라면 앱스토어 연령 제한을 걸어두면 괜찮다. 또는 카카오, 네이버 로그인 이용 시 선택 체크사항으로 추가할 수 있다. 구글은 안 됨.

구글은 안 된다고 해서 로그인 전 안내 문구로 “로그인 시 만 14세 이상임을 확인하는 바입니다” 등을 작성해 두어서도 안 된다. 반드시 정보주체자가 선택(쉽게 인지)할 수 있도록 해야 한다.

위 방법과 더불어 이용약관이나 개인정보취급방침에 만 14세 미만의 아동을 대상으로 하지 않습니다를 써놨다 하더라도 이용자가 쉽게 인지하도록 조치하지 않았다 해서 방통위의 과태료를 물을 수 있다.
실제로 20년도 7월에 틱톡이 이러한 이유료 과태료를 물기도 하였다.
자세한 심의•의결 확인 (다운로드)


- 오늘의 결론 -

  • 만 14세 아동의 개인정보 취급 처리가 힘들다면 회원가입 전 체크박스를 두자.
  • 소셜로그인을 이용할 것이라면 글로벌 타겟이 아닌 한 이에 대해 구현이 쉬운 한국 서비스 카카오, 네이버를 사용하자.

개인정보와 관련된 무언갈 기획할 때가 가장 어렵다.
개인정보와 관련된 법들을 샅샅이 찾아봐야 된다는 난관이 있어서다.
'법' 이라는 단어만 봐도 엄청 어려울 것 같고 나와는 거리가 먼 것같은...

오늘은 휴면 계정 전환 기능을 만들 것인가 말 것인가 고민하며 법령을 살펴보았다.

더보기
개인정보보호법 제38조의 6


휴면 계정 관련 법령은 개인정보보호법 제 39조 6항에서 확인할 수 있다. (2022.08.18 기준)

제39조의6(개인정보의 파기에 대한 특례)
① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
② 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다.
[본조신설 2020. 2. 4.]


위 법령에서 보이는 대통령령을 클릭하면 개인정보 보호법 시행령이 나온다.

제48조의5(개인정보의 파기 등에 관한 특례)
① 정보통신서비스 제공자등은 이용자가 정보통신서비스를 법 제39조의6제1항의 기간 동안 이용하지 않는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리해야 한다. 다만, 법 제39조의6제1항 본문에 따른 기간(법 제39조의6제1항 단서에 따라 이용자의 요청에 따라 달리 정한 경우에는 그 기간을 말한다)이 경과한 경우로서 다른 법령에 따라 이용자의 개인정보를 보존해야 하는 경우에는 다른 법령에서 정한 보존기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리해야 한다.
② 정보통신서비스 제공자등은 제1항에 따라 개인정보를 별도로 저장ㆍ관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공해서는 안 된다.
법 제39조의6제2항에서 “개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항”이란 다음 각 호의 사항을 말한다.
1. 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목
2. 다른 이용자의 개인정보와 분리하여 개인정보를 저장ㆍ관리하는 경우: 개인정보가 분리되어 저장ㆍ관리되는 사실, 기간 만료일 및 분리ㆍ저장되어 관리되는 개인정보의 항목
법 제39조의6제2항에서 “전자우편 등 대통령령으로 정하는 방법”이란 서면등의 방법을 말한다.
[본조신설 2020. 8. 4.]


위 내용들을 요약하자면 아래와 같다.
1. 1년의 기간 동안 이용하지 않은 이용자의 개인정보를 보호하기 위하여 조치를 취하여야 한다.
2. 1년 기간 만료 30일 전까지 서비스 제공자는 해당 이용자에게 조치 방법 별로 안내해야되는 사항들을 전자우편 또는 서면 등의 방법으로 안내해야 한다.
3. 조치 방법으로는 2가지로 해당 기간 경과 후 즉시 파기와 다른 이용자들의 정보와 분리하여 별도로 저장·관리를 하는 방법이 있다.
4. 30일 전 조치 방법 별 안내해야 되는 사항
즉시 파기 : 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목
개인정보 분리 보관 : 개인정보가 분리되어 저장·관리되는 사실, 기간 만료일 및 분리·저장되어 관리되는 개인정보의 항목

즉, 1년 이상 이용하지 않은 회원은 즉시 탈퇴 처리하거나 휴면 계정 처리를 해야한다는 것.
그리고 해당 처리 사실을 30일 전 반드시 안내를 해야된다는 것이다.

그렇다면 탈퇴보단 휴면 계정 전환을 선택하게 되는데
하지만 이에 대한 기능 구현 데드라인은 1년!


- 나의 할일 -

  • 개인정보처리방침에 휴면 계정에 대한 내용 추가
  • 유저의 마지막 로그인 일자 수집하는 기능
  • 분리 보관해야할 개인정보 데이터 선별 후 개발팀과 논의


+ Recent posts