Reddit의 이용약관에는 13세 미만은 가입할 수 없다고 명시되어 있었다. 그런데 약관에 그렇게 써놓고서도, 실제로 그 나이 아래 이용자가 플랫폼에 있는지 확인하는 수단이 전혀 없었다.
2026년 2월 24일, ICO는 Reddit에 1,447만 파운드(약 300억원)의 과징금을 부과했다. ICO의 아동 개인정보보호 관련 제재 중 역대 최대 규모다. ICO가 문제 삼은 건 단순한 데이터 유출이 아니었다. 핵심은 '연령 확인(age assurance)'의 부재, 그리고 그로 인해 아동의 개인정보가 아무런 적법한 근거 없이 처리됐다는 점이었다.
위반 내용
ICO 조사에서 드러난 위반은 크게 두 가지다. 첫째, Reddit은 실질적인 연령 확인 메커니즘을 마련하지 않아 13세 미만 이용자의 개인정보를 처리할 적법한 근거가 없었다. Reddit의 이용약관은 13세 미만의 이용을 금지하고 있었지만, 실제로 이 제한을 시행하는 조치는 2025년 7월이 되어서야 도입됐다.
둘째, Reddit은 2025년 1월 이전까지 아동의 데이터 보호 권리에 대한 위험을 평가·완화하기 위한 데이터 보호 영향평가(DPIA)를 실시하지 않았다. DPIA는 UK GDPR상 고위험 처리 활동에 대해 사전 실시가 의무화된 절차다. 아동이 접근할 수 있는 플랫폼이라면 당연히 검토했어야 할 사안인데, 몇 년이나 미뤄진 셈이다.
13세 미만 아동들의 개인정보가 그들이 이해하거나 동의하거나 통제할 수 없는 방식으로 수집·이용됐고, 그 결과 보지 말아야 할 콘텐츠에 노출될 위험에 처했다. ICO가 강조한 건 단순한 절차 위반이 아니라 실제 아동에게 발생할 수 있는 피해였다.
자기신고(self-declaration)는 충분하지 않다
2025년 7월, Reddit은 성인 콘텐츠 접근 시 연령 인증을 요구하고 계정 개설 시 나이를 신고하도록 하는 연령 확인 조치를 도입했다. 그러나 ICO의 반응은 냉정했다. ICO는 자기신고(self-declaration) 방식은 쉽게 우회할 수 있어 아동에게 위험을 남긴다고 Reddit에 직접 통보했다.
2025년 7월 도입된 조치에서 Reddit은 이용자가 나이를 직접 신고하되 별도의 기술적 검증 없이 처리하는 방식을 택했는데, ICO는 이것이 UK 데이터 보호법이 요구하는 수준에 크게 못 미친다고 판단했다. ICO는 Reddit의 현 조치를 계속 모니터링하고 있으며, 자기신고에 주로 의존하는 플랫폼들을 집중 점검 대상으로 삼고 있다고 밝혔다.
여기서 한 가지 짚어볼 지점이 있다. "13세 미만 금지"라고 약관에 써놓는 것과, 실제로 그 나이 아래 이용자가 없도록 확인하는 것은 전혀 다른 문제다. ICO는 서비스가 어린이용으로 설계되지 않았거나 이용약관에 어른만 가능하다고 명시했더라도, 아동이 접근할 가능성이 있는 서비스라면 아동 코드(Children's Code)가 적용된다는 입장을 일관되게 유지하고 있다. 약관은 면죄부가 아니라는 뜻이다.
이번 제재가 시사하는 맥락
이번 Reddit 제재는 단발성 사건이 아니다. 2026년 2월 5일에는 이미지 공유·호스팅 플랫폼 Imgur의 운영사인 MediaLab.AI에 £247,590의 과징금이 먼저 부과됐다. Imgur 역시 같은 이유였다. Imgur의 이용약관에 13세 미만은 부모 감독 하에서만 이용 가능하다고 명시하면서도, MediaLab은 이용자 나이를 확인하거나 부모 동의를 받는 수단을 전혀 갖추지 않았다.
ICO의 이번 행동은 아동 개인정보의 온라인 안전을 강화하기 위한 폭넓은 집중 개입의 일환으로, 소셜미디어 및 동영상 공유 플랫폼에 대한 지속적인 감독 노력과 함께 진행되고 있다. Reddit 이전에는 TikTok이 2023년 비슷한 이유로 £12.7m의 제재를 받은 바 있다. ICO가 아동 개인정보보호를 중심 집행 의제로 굳히고 있다는 흐름은 분명하다.
ICO 정보위원 John Edwards는 이번 결정을 발표하며 업계 전반에 메시지를 보냈다. 아동이 접근할 가능성이 있는 온라인 서비스를 운영하는 기업은 이용자의 나이를 파악하고, 적절하고 실효성 있는 연령 확인 조치를 갖출 책임이 있다고. 그리고 Reddit은 그 기대에 미치지 못했다고. 짧지만 명확한 경고였다.
개인적으로 이 사안에서 계속 눈이 가는 건 '자기신고' 문제다. 국내에서도 연령 제한 서비스에서 생년월일 입력만으로 처리하는 경우가 적지 않은데, ICO가 이걸 '충분하지 않다'고 명시한 이상, 이 기준이 어디까지 확산될지는 지켜봐야 할 것 같다.
'privacy > 해외' 카테고리의 다른 글
| [privacy] 일본, AI 개발을 위해 개인정보 동의 요건을 완화하다 (0) | 2026.04.17 |
|---|---|
| [privacy] 구글 프라이버시 샌드박스 이야기 (0) | 2026.02.25 |
| [privacy] CCPA, 적용 대상이라면 실제로 무엇을 해야 할까? (0) | 2025.08.01 |
| [privacy] CCPA, 우리 회사에 적용될까? (0) | 2025.07.28 |
| [privacy] GDPR, 기업이 실제로 해야 할 것들 (0) | 2025.07.03 |