DPDPA의 허점이 빅테크 모델 도입 가로막는 유일한 장벽

 

작성자: Joel R. McConvey

보도일자: 2025년 7월 25일

출처: Biometricupdate.com

 

연령 인증 기술에 반대하는 이들이 흔히 제기하는 불만 중 하나는, 아이들이 온라인에서 무엇을 볼 수 있고 볼 수 없는지를 결정하는 주체는 부모가 되어야 한다는 것이다. 과거에는 부모가 아이들이 어떤 영상을 빌려보고, 어떤 TV 프로그램을 시청하며, 미디어에 어떻게 노출되는지를 직접 통제할 수 있었다. 그러나 이제 모든 콘텐츠가 24시간 내내 제공되며, 손안의 스마트폰에 담겨있다. 이로 인해 부모 동의 문제는 훨씬 복잡해졌다.

 

『Tech Policy』의 한 오피니언 기사는 “부모 동의는 온라인 아동 안전에 있어 난제”라며, 이를 인도의 데이터 개인정보보호법(DPDPA, Digital Personal Data Protection Act) 맥락에서 분석하고 있다.

 

기사의 저자들은 “DPDP법은 아동을 18세 미만의 개인으로 정의하며, 이들의 데이터는 부모나 보호자의 동의가 있어야만 처리할 수 있다고 규정한다”고 설명했다. 또한 “이 법은 아동의 복지에 해로운 영향을 미치는 데이터 처리를 금지하고, 아동을 대상으로 한 추적, 행동 모니터링, 맞춤형 광고 활용을 금지한다”고 덧붙였다.

 

이러한 조치와 DPDPA 시행령 초안은 연령 기준이 더 낮은 영국이나 유럽의 법률보다 인도의 법을 더 엄격하게 만든다. 그러나 정부가 최종안을 아직 발표하지 않았기 때문에 실제 시행은 이뤄지지 않고 있다.

 

DPDPA와 계류 중인 초안 규정은 단일한 의무 연령 인증 방식을 명시하지 않고, 대신 기업이 부모 동의를 받기 위해 “적절한 기술적·관리적 조치”를 시행할 것을 광범위하게 요구하고 있다 기사 저자들은 바로 이 부분에 주목하며, 세대 간 존재할 수 있는 지식 격차-즉, “부모가 자녀의 최선의 이익을 위해 결정할 만큼의 성숙함, 경험, 기술적 지식을 갖추고 있다는 잘못된 가정”에 문제를 제기하고 있다.

 

때로는 부모가 이해하지 못한다

“예를 들어, 세대 간 단절로 인해 부모는 로블록스(Roblox)나 마인크래프트(Minecraft) 같은 인기 게임을 통해 발생하는 성적 콘텐츠 노출이나 그루밍과 같은 온라인 유해 요소를, 주요 소셜 미디어 서비스 내외에서 인지하지 못할 수 있다”고 그들은 썼다.

 

그 근거로, 2022년 옥스팜(Oxfam) 보고서를 인용하며 인도 가구의 디지털 문해율이 38%에 불과하다고 밝혔다. “많은 경우 아이들과 청소년들이 가족 중 처음으로 주요 인터넷 서비스를 이용하며, 부모의 동의와 감독은 종종 부재하다. 오히려 아이들이 부모와 어른들에게 디지털 플랫폼을 소개하는 경우가 많다. 이런 상황에서 부모나 성인의 동의가 과연 얼마나 의미가 있을까?”라고 그들은 적었다.

 

이 보고서는 신원 확인(ID Verification)과 연령 인증(Age Assurance) 도구에 대해서도 비판하며, 이러한 방식이 과도하거나 의도치 않은 데이터 수집 위험을 야기할 수 있다고 주장했다. “특히 부모의 신원을 정부 발급 신분증으로 확인해야 하는 경우, 목적 제한 원칙과 데이터 최소화 원칙을 어떻게 보장할 수 있겠는가?”라고 지적했다.

 

그러나 연령을 스스로 신고하는 방식은 분명 해결책이 될 수 없다. 이에 따라 저자들은 부모의 적극적인 참여를 기반으로 한 시스템을 제안하며, “지원과 자율성, 그리고 디지털 유해 요소에 대한 인식 사이의 균형의 장려해야 한다”고 강조했다. 이 해결책은 아이들을 인터넷에서 차단하는 것도, 모든 책임을 부모에게 전가하는 것도 의미하지 않는다.

 

“대신 정책과 법적 체계는 연령 인증 시스템뿐만 아니라 디지털 서비스 자체의 설계 단계에서부터 프라이버시 중심 설계(privacy by design)와 안전 중심 설계(safety by design)와 같은 안전 장치를 내재화해야 한다. 바로 이 지점에서 규제가 아동에게 더 안전한 온라인 공간을 만들기 위한 핵심적인 역할을 수행하게 된다.”

 

연령 제한 장치에 대한 세심한 접근 필요

또 다른 학술 오피니언 기사(이번에는 Medianama에 게재)는 비슷한 질문을 던지지만, 다른 관점에서 접근한다. “일률적인 금지가 아동의 다양한 필요, 인식 수준, 디지털 참여의 이점을 충분히 반영할 수 있는가? 디지털 상의 선택과 한계를 이해하는 10대 청소년이 아직 디지털 세계를 탐색하는 법을 배우는 어린이와 동일하게 취급되어야 하는가?”

 

저자는 규제 당국이 종종 겨냥하는 개인화와 맞춤형 콘텐츠가 사실은 아동에게 유익할 수 있다고 주장한다. “책임감 있게 활용된다면, 개인화는 아동의 디지털 경험, 포용성, 접근성을 향상시킬 수 있다. 예를 들어, 장애가 있는 10세 아동은 관련 학습 자료를 더 쉽게 접근할 수 있고, 어려움에 처한 17세 청소년은 온라인에서 지지적 공간을 찾을 수 있다.”

 

이는 다소 불안정한 논리이지만 요약하면 다음과 같다. “행동 모니터링을 전면 금지하는 것은 본질까지 함께 버리는 위험이 있다. 개인화가 배제된 인터넷 경험은 맞춤형 콘텐츠가 없는 전통 미디어와 유사하게 될 것이며, 그 결과 아동이 무관한 자료나 부적절한 콘텐츠에 노출되어 오히려 해로운 영향을 받을 수 있다.”

 

맞춤형 콘텐츠를 규제하지 않는 것이 아동을 위험에 빠뜨린다는 주장은 터무니없으며, 맞춤형 콘텐츠가 없는 전통 미디어가 아동에게 ‘객관적으로 더 나쁘다’는 주장은, 비유하자면 페이스북의 입장을 그대로 옮겨놓은 듯하다.

 

그럼에도 이 글은 위험 기반 프레임워크와 “개인화가 혜택을 제공하면서도 안전한 온라인 공간을 보장하는 균형 잡힌 생태계”를 지지하는 입장을 진지하게 담고 있는 것으로 보인다. 모든 부모가 공감하듯, 7세 아동과 12세 아동은 성숙도와 이해 수준이 확연히 다르기 때문에, “다양한 디지털 성숙도와 아동의 필요를 반영하는 효과적인 연령 적합 설계 코드”는 합리적으로 보인다.

 

저자는 다음과 같이 제안한다. “8세 미만의 어린 아동은 부모의 감독을 포함한 강력한 보호가 필요하다. 9-12세의 ‘트윈’ 연령대는 데이터 사용에 대한 단순화된 설명과 부모 지도가 가능한 프라이버시 설정이 필요하다. 13-17세의 청소년은 명확한 고지를 바탕으로 프라이버시 설정에 대해 더 큰 통제권을 갖고, 정보에 기반한 디지털 참여와 자율성을 보장받아야 한다.”

 

“모든 연령대에 동일한 접근을 적용하는 방식은 디지털 생태계가 아동을 효과적으로 지원할 수 있는 능력을 제한할 수 있다. 세심한 규제 접근은 위에서 언급한 과제들을 해결하면서도 개인화의 이점을 유지할 수 있을 것이다.”

 

구글·메타, DPDPA의 인증 제공자 규정 향방 주시

인도 역시 메타와 구글이 연령 인증 조치를 기술 스택의 어느 단계에 배치할지를 두고 맞붙는 무대의 일부다. 이코노믹 타임스(The Economic Times)에 따르면, 최근 구글 글로벌 개인정보·안전·보안정책 디렉터 케이트 샤를렛(Kate Charlet)이 유럽 및 그 외 지역을 대상으로 한 구글의 영지식 기반(Zero-Knowledge) 연령 인증 전략을 소개하는 블로그 글을 게시한 이후, 새로운 갈등이 불거졌다.

 

구글과 메타는 각각 인도에서 10억 명 이상의 사용자를 보유하고 있어, 인도는 양사 모두에게 최대 시장이다.

 

한편, DPDPA는 아직 ‘공인 디지털 인증 제공자’로 활동할 자격이 있는 주체가 누구인지 명확히 규정하지 않고 있다.

 

타임스(The Times)는 로펌 솔로몬앤코(Solomon & Co.)의 파트너 사우먀 브라즈모한(Saumya Brajmohan)의 발언을 인용하며, 그는 “허용 가능한 인증 방식과 신뢰할 수 있는 기업에 대한 명확한 규정 부재가 현재 인도 플랫폼들이 구글과 같은 모델을 모호함 없이 도입하지 못하게 하는 주된 요인”이라고 말했다.

 

이론적으로는 인디아 스택(India Stack) 인프라가 인증의 기반 역할을 할 수 있지만, “데이터 보안과 권한 남용에 대한 우려가 여전히 이 특정 활용 사례에서의 도입을 제한하고 있다”고 덧붙였다.