[개인정보] 14세 미만 아동의 개인정보 수집·이용 시 법정대리인의 동의를 받을 때 법정대리인의 진위 여부를 확인해야 하나?

[결론]

① 만 14세 미만 아동의 개인정보 수집·이용·제공·재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리 시

- 법정대리인 진위 여부 확인에 대한 법규는 없음

② 만 14세 미만 아동의 개인정보에 대한 열람 등 요구(열람, 정정, 삭제, 처리 정지 등) 처리 시

- 정당한 법정대리인 인지 진위 여부를 확인하여야 함

1. 만 14세 미만 아동의 개인정보 수집·이용·제공·재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리 시 절차

① 아동 및 법정대리인의 동의를 받아야 함

개보법 제22조의2(아동의 개인정보 보호)
① 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 하며, 법정대리인이 동의하였는지를 확인하여야 한다.
② 제1항에도 불구하고 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보로서 대통령령으로 정하는 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.
③ 개인정보처리자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 할 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.
④ 제1항부터 제3항까지에서 규정한 사항 외에 동의 및 동의 확인 방법 등에 필요한 사항은 대통령령으로 정한다.

② 법정대리인의 성명, 연락처는 법령에 따라 동의없이 수집할 수 있음

개보법 시행령 제17조(동의를 받는 방법)
④ 개인정보처리자는 법 제22조제6항에 따라 만 14세 미만 아동의 법정대리인의 동의를 받기 위하여 해당 아동으로부터 직접 법정대리인의 성명ㆍ연락처에 관한 정보를 수집할 수 있다.

개보법 표준지침 제13조(법정대리인의 동의)
① 영 제17조제3항에 따라 개인정보처리자가 법정대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 성명과 연락처를 수집하고자 하는 이유를 알려야 한다.
② 개인정보처리자는 법 제22조제5항에 따라 수집한 법정대리인의 개인정보를 법정대리인의 동의를 얻기 위한 목적으로만 이용하여야 하며, 법정대리인의 동의 거부가 있거나 법정대리인의 동의 의사가 확인되지 않는 경우 수집일로부터 5일 이내에 파기해야 한다.

③ 법정대리인이 동의하였는지 확인하여야 함

- 동의를 확인하는 방법

개보법 시행령 제48조의3(법정대리인 동의의 확인방법)
① 정보통신서비스 제공자는 법 제39조의3제4항에 따라 다음 각 호의 어느 하나에 해당하는 방법으로 법정대리인이 동의했는지를 확인해야 한다.
1. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 정보통신서비스 제공자가 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법
2. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드ㆍ직불카드 등의 카드정보를 제공받는 방법
3. 동의 내용을 게재한 인터넷사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통하여 본인 여부를 확인하는 방법
4. 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나, 우편 또는 팩스를 통하여 전달하고 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법
5. 동의 내용이 적힌 전자우편을 발송하고 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법
6. 전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받는 방법
7. 그 밖에 제1호부터 제6호까지의 규정에 따른 방법에 준하는 방법으로 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
② 정보통신서비스 제공자는 개인정보 수집 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우 법정대리인에게 동의 내용을 확인할 수 있는 방법(인터넷주소ㆍ사업장 전화번호 등)을 안내할 수 있다.

- 이 조항에 법정대리인의 진위여부 확인은 명시되어 있지 않음(이에 대해 명확안 법령 및 해설은 있지 않음)

문화체육관광부의 해석(https://www.mcst.go.kr/kor/s_policy/game/game03.jsp)

Q.3.청소년의 게임회원 가입을 위한 부모동의 확보 시, 진정한 부모관계 일치여부를 확인하는 것인지?

A.
- 게임 관계법령상 게임 이용자 본인에 대한 본인인증 의무는 있으나, 법정대리인 본인에 대한 인증 의무는 없음
- 아울러, 법정대리인 및 자녀의 관계를 확인 할 수 있는 정보를 수집하거나 제출할 권리나 의무도 부과하고 있지 않음
- 뿐만 아니라, 개인정보보호 관계법령에 의하면 법령에 근거가 없는 경우 주민등록번호를 수집할 수 없도록 규정하고 있음
- 이러한 점을 고려하여 법정대리인의 청소년 간 진정한 가족관계는 확인할 수 없음
- 참고로, 이 점은 개인정보보호법률상 규정하고 있는 만 14세 미만 아동의 개인정보 수집 시 이루어지는 법정대리인의 동의확보 방법도 이와 같음

- 다만 법정대리인 진위여부를 확인하는 노력은 필요함

정보통신서비스 제공자를 위한 개인정보보호 가이드 57page (방송통신위원회, 2022.1)

● 법정대리인에게 동의를 얻기 위해서는 아동이 제공한 정보가 진정한 법정대리인의 정보인지, 법정대리인의 진위 여부를 확인할 의무가 있습니다. 미성년자이거나 아동과 나이차가 나지 않는 등 상식적으로 해당 아동의 법정대리인으로 보기 어려운데도 아동이 제공한 정보에 따라 해당 법정대리인에게 기계적으로 동의를 얻는 것은 적절하지 않습니다. 따라서, 사업자는 아동이 법정대리인의 정보를 허위로 입력하는 것을 막기 위해 노력하여야 합니다.
● 수집한 법정대리인의 개인정보는 아동의 개인정보를 수집할 때 법정대리인의 동의를 받았다는 사실을 입증하기 위한 것이므로 아동이 서비스를 해지하거나 회원탈퇴 하는 등 아동의 정보를 파기하는 시점까지는 보유하고 있어야 합니다. 또한 법정대리인의 개인정보 보유기간 또한 개인정보취급방침을 통해 고지해야 합니다.

2. 만 14세 미만 아동의 개인정보에 대한 열람 등 요구(열람, 정정, 삭제, 처리 정지 등) 처리 시 절차

① 법정대리인을 통해 권리행사를 하도록 해야함

개보법 제38조(권리행사의 방법 및 절차)
① 정보주체는 제35조에 따른 열람, 제35조의2에 따른 전송, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지 및 동의 철회, 제37조의2에 따른 거부ㆍ설명 등의 요구(이하 “열람등요구”라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다.
② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다.

- 아동이 직접 권리행사를 하도록 하면 안 됨

개인정보보호 법령 및 지침 고시 해설 386 page(개인정보보호위원회, 2020.12)
2. 법정대리인의 권리행사
만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동에 관한 개인정보의 열람등요구를 할 수 있다(제2항). 만 14세 미만 아동에 관한 개인정보의 열람등요구는 법정대리인이 직접 해야 하며 아동이 법정대리인의 동의를 받아서 하는 것은 허용되지 않는다. 법 제22조제5항에서 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 하는 때에는 그 법정대리인의 동의를 받도록 한 것과 같은 맥락이다.

② 법정대리인의 신원확인을 해야함

개보법 시행령 제46조(정보주체 또는 대리인의 확인)
① 개인정보처리자는 제41조제1항에 따른 열람, 제43조제1항에 따른 정정ㆍ삭제, 제44조제1항에 따른 처리정지 또는 법 제39조의7제1항에 따른 동의 철회 등의 요구(이하 이 조, 제47조 및 제48조에서 “열람등요구”라 한다)를 받았을 때에는 열람등요구를 한 사람이 본인이거나 정당한 대리인인지를 확인하여야 한다.
② 공공기관인 개인정보처리자가 「전자정부법」 제36조제1항에 따른 행정정보의 공동이용을 통하여 제1항에 따른 확인을 할 수 있는 경우에는 행정정보의 공동이용을 통하여 확인하여야 한다. 다만, 해당 공공기관이 행정정보의 공동이용을 할 수 없거나 정보주체가 확인에 동의하지 아니하는 경우에는 그러하지 아니하다.

개인정보보호 법령 및 지침 고시 해설 386 page(개인정보보호위원회, 2020.12)

3. 신원확인 의무와 방법

가. 신원확인 의무
개인정보처리자는 개인정보 열람등요구를 받은 때에는 요구를 한 자가 본인이거나 정당한 대리인인지를 확인하여야 한다. 대리인의 경우에는 대리인 자신에 관한 신원확인뿐만 아니라 정보주체와 대리인 사이의 대리관계를 증명할 수 있는 위임장 및 인감 또는 법정대리인의 경우에는 법정대리인임을 확인할 수 있는 서면(주민등록등본, 가족관계증명서 등)을 추가로 확인하여야 한다.

나. 신원확인 방법
신원확인의 방법은 별도로 특정되어 있지 않다. 따라서 인터넷의 경우에는 전자서명, 아이핀, 이동전화번호와 생년월일 등의 방법에 의해서 확인하면 되고, 오프라인의 경우에는 주민등록증, 운전면허증, 여권, 공무원증 등에 의하면 된다. 즉 합리적인 수단이라고 객관적으로 인정되는 방식이면 된다.

다. 공공기관의 특례
개인정보처리자가 공공기관인 경우에는 「전자정부법」 제36조제1항에 따른 행정정보의 공동이용을 통하여 신분확인이 가능하면 행정정보의 공동이용을 통하여 확인하여야 한다. 다만, 해당 공공기관이 행정정보의 공동이용을 할 수 없거나 정보주체가 확인에 동의하지 아니하는 경우에는 그러하지 아니하다.