영국 ICO, 레딧에 아동 데이터 불법 수집으로 237억 원 과징금 부과

영국 정보위원회(ICO)는 **레딧(Reddit)**에 아동(13세 미만)의 개인정보를 불법적으로 수집 및 처리한 혐의로 **1447만 파운드(약 237억 원, 미화 1950만 달러)**의 과징금을 부과했습니다. 이번 조치는 플랫폼이 아동 데이터 보호에 필요한 적절한 안전장치를 마련하지 않아 영국 일반개인정보보호법(UK GDPR) 및 **아동 코드(Age Appropriate Design Code)**를 위반한 사실을 강조합니다.

주요 조사 결과 및 위반 사항

ICO의 조사 결과, 레딧은 2016년부터 2021년까지 아동 개인정보 보호법 준수에 실패한 것으로 드러났습니다. UK GDPR에 따르면, 조직은 개인정보 처리 시 합법적이고 공정하며 투명해야 하며, 특히 아동의 데이터를 다룰 때는 더욱 엄격한 기준을 적용해야 합니다. 2020년에 도입된 아동 코드는 아동이 접근할 가능성이 있는 디지털 서비스 제공자가 아동의 최우선 이익을 고려해야 하며, 기본 설정에서 개인정보 보호와 데이터 최소화를 우선시해야 한다고 규정합니다.

레딧의 주요 위반 사항은 다음과 같습니다:

• 연령 인증 미비: 플랫폼은 13세 미만 아동의 계정 생성 및 서비스 접근을 방지할 수 있는 강력한 메커니즘을 구현하지 않았습니다.
• 개인정보 보호 조치 미흡: 기본 설정 및 데이터 수집 관행이 아동 데이터에 요구되는 높은 개인정보 보호 기준에 부합하지 않았습니다.
• 유효한 동의 획득 실패: 13세 미만 사용자의 경우 법적으로 부모 동의가 필요하지만, 레딧은 이를 일관되게 확보하지 않았습니다.

영향 및 규제 대응

ICO의 과징금 부과는 위반의 심각성을 반영하며, 다른 플랫폼에 아동 데이터 보호법 미준수의 결과를 경고하는 조치입니다. 존 에드워즈(John Edwards) 영국 정보위원장은 아동의 개인정보 보호가 선택 사항이 아니라 법적 의무임을 강조하며 다음과 같이 밝혔습니다:

"아동의 개인정보 보호는 선택이 아닙니다. 법적 요구사항입니다. 조직은 책임을 다해야 하며, 그렇지 않을 경우 상당한 처벌을 받을 것입니다."

레딧은 과징금에 대해 공식적으로 이의를 제기하지 않았지만, 조사 이후 연령 인증 및 데이터 보호 조치를 강화했다고 보고되었습니다.

조직을 위한 준수 권고 사항

보안 및 개인정보 보호 전문가들은 다음 사항을 참고해야 합니다:

• 강력한 연령 인증 구현: 기술적 조치(예: 연령 게이트, 제3자 인증)를 활용해 미성년자의 접근을 방지합니다.
• 높은 개인정보 보호 기본 설정 적용: 아동 계정의 경우 데이터 최소화 및 동의 기반 수집을 우선시합니다.
• 아동 코드 준수 검토: 영국 아동 코드의 15개 기준에 맞춰 투명성 및 부모 통제 기능을 포함한 관행을 정비합니다.
• 정기적인 감사 실시: 아동 개인정보 보호 위험을 사전에 식별하고 완화하기 위해 데이터 처리 활동을 정기적으로 평가합니다.

ICO의 이번 조치는 아동의 디지털 권리에 대한 글로벌 관심 증대와 함께, 조직이 진화하는 개인정보 보호 규제 준수를 우선시해야 함을 강조합니다.