텍사스 '앱 스토어 책임법' (SB 2420) 분석: 앱 스토어와 개발자의 의무

이번엔 텍사스 주에서 발의된 S.B. No. 2420 법안, 일명 '앱 스토어 책임법(App Store Accountability Act)'을 분석해볼게요.

 

이 법안은 모바일 애플리케이션의 판매 및 배포 플랫폼을 규제하며, 특히 미성년자 보호를 주요 목표로 삼고 있습니다.

 

이 법안이 앱 스토어와 소프트웨어 개발자에게 부과하는 새로운 의무와 책임은 무엇인지 살펴볼게요.

---

## 1. '앱 스토어 책임법'의 주요 용어 정의

법안의 내용을 정확히 이해하기 위해 먼저 핵심 용어의 정의를 살펴볼게요.

• 앱 스토어 (App store): 소프트웨어 애플리케이션의 소유자나 개발자로부터 모바일 기기 사용자에게 애플리케이션을 배포하는 공개적으로 이용 가능한 인터넷 웹사이트, 소프트웨어 애플리케이션 또는 기타 전자 서비스입니다.
• 모바일 기기 (Mobile device): 운영체제를 실행하며 무선으로 정보를 전송, 수신, 처리, 저장할 수 있는 태블릿이나 스마트폰을 포함한 휴대용 무선 전자 기기입니다.
• 미성년자 (Minor): 18세 미만의 아동으로, 일반적인 목적을 위해 미성년의 법적 제약이 해제되지 않은 자를 의미합니다.
• 개인 데이터 (Personal data): 식별되었거나 식별 가능한 개인과 연결되거나 합리적으로 연결될 수 있는 모든 정보입니다. 여기에는 식별된 개인과 합리적으로 연결할 수 있는 추가 정보와 함께 사용될 경우의 가명 데이터도 포함됩니다. 다만, 비식별화된 데이터나 공개적으로 이용 가능한 정보는 제외됩니다.
• 연령 카테고리 (Age category): 법안에 명시된 4가지 연령대(아동, 어린 십대 등) 중 하나로 사용자를 분류하기 위해 앱 스토어가 수집하는 정보입니다.

---

## 2. 앱 스토어 소유자의 새로운 의무 (Subchapter B)

이 법안은 앱 스토어 소유자에게 미성년자 보호를 위한 여러 구체적인 의무를 부과합니다.

### 2.1. 사용자 연령 확인 및 분류

앱 스토어는 텍사스 내 개인이 신규 계정을 생성할 때 '상업적으로 합당한 방법'을 사용하여 사용자의 연령을 확인해야 합니다. 확인된 연령에 따라 사용자는 다음 4가지 카테고리 중 하나로 분류되어야 합니다.

1. 아동 (child): 13세 미만
2. 어린 십대 (younger teenager): 13세 이상 16세 미만
3. 나이 많은 십대 (older teenager): 16세 이상 18세 미만
4. 성인 (adult): 18세 이상

### 2.2. 미성년자 사용자에 대한 부모 동의 획득

미성년자로 확인된 사용자의 계정은 반드시 부모 또는 법적 보호자의 '성인' 인증 계정과 제휴되어야 합니다. 이 법안의 가장 핵심적인 요구사항 중 하나는 앱 다운로드, 앱 구매, 인앱 결제 등 각 개별 행위마다 부모의 동의를 얻어야 한다는 점입니다.

앱 스토어는 부모의 동의를 얻기 위해 다음 정보를 명확히 제공해야 합니다.

• 동의가 필요한 특정 소프트웨어 애플리케이션 또는 구매 항목
• 해당 앱 또는 구매 항목에 지정된 연령 등급
• 해당 등급을 부여하게 된 구체적인 콘텐츠 또는 요소
• 앱 또는 구매로 인해 발생할 수 있는 개인 데이터의 수집, 사용, 배포의 성격
• 사용자의 개인 데이터를 보호하기 위해 개발자가 취한 조치

특히 주목해야 할 점은, 개발자가 앱의 '중대한 변경' 사항을 통지하면 앱 스토어에 새로운 의무가 발생한다는 것입니다. 법안(Sec. 121.022(g))에 따라 개발자로부터 변경 통지를 받으면, 앱 스토어는 기존에 동의했던 부모에게 해당 변경 사항을 알리고, 미성년자가 변경된 앱을 계속 사용하기 위한 새로운 동의를 다시 얻어야 합니다. 이는 개발자의 업데이트가 앱 스토어에 직접적인 규제 준수 조치를 유발하는, 반복적인 운영 부담이 될 수 있습니다.

### 2.3. 앱 연령 등급 및 정보 표시 

앱 스토어는 각 애플리케이션에 대해 개발자가 지정한 연령 등급과 해당 등급이 부여된 구체적인 콘텐츠 요소를 명확하고 눈에 잘 띄게 표시해야 합니다. 이 정보는 반드시 명확하고, 정확하며, 사용자가 쉽게 인지할 수 있도록 표시되어야 합니다.

### 2.4. 개인 데이터 보호

앱 스토어는 사용자의 개인 데이터를 보호해야 할 의무가 있습니다. 데이터 수집 및 처리는 다음 원칙을 따라야 합니다.

• 데이터 수집은 연령 확인, 부모 동의 획득, 규정 준수 기록 유지에 필요한 최소한의 양으로 제한되어야 합니다.
• 개인 데이터 전송 시에는 데이터의 무결성과 기밀성을 보장하기 위해 업계 표준 암호화 프로토콜을 사용해야 합니다.

---

## 3. 소프트웨어 개발자의 새로운 의무 (Subchapter C)

이 법안은 앱 스토어뿐만 아니라 소프트웨어 애플리케이션 개발자에게도 직접적인 책임을 부과합니다.

### 3.1. 연령 등급 지정 및 제공

개발자는 자신이 개발한 소프트웨어 애플리케이션 및 모든 인앱 구매 항목에 대해 법안에 명시된 연령 카테고리를 기준으로 연령 등급을 직접 지정해야 합니다. 또한, 해당 등급을 부여한 근거가 된 구체적인 콘텐츠 요소를 앱 스토어에 제공해야 할 의무가 있습니다.

### 3.2. 애플리케이션의 중대한 변경 사항 고지

개발자는 앱의 서비스 약관이나 개인정보 처리방침에 '중대한 변경'이 발생하기 전에 이를 앱 스토어에 고지해야 합니다. 이 통지는 앞서 언급했듯 앱 스토어의 '재동의 획득 의무'를 촉발시키는 중요한 법적 절차입니다. '중대한 변경'에는 다음이 포함됩니다.

• 개발자가 수집, 저장 또는 공유하는 개인 데이터의 유형 변경
• 앱에 지정된 연령 등급 또는 등급의 근거가 된 콘텐츠 요소에 영향을 미치거나 변경하는 경우
• 새로운 인앱 구매 기회나 광고 추가 등 새로운 수익화 기능 추가
• 앱의 기능이나 사용자 경험을 실질적으로 변경하는 경우

### 3.3. 사용자 정보 활용 및 삭제

개발자는 앱 스토어로부터 제공받은 사용자의 연령 카테고리 및 부모 동의 여부 정보를 특정 목적으로만 사용해야 합니다. 사용 목적은 연령 관련 제한 적용, 관련 법규 준수, 안전 관련 기능 및 기본 설정 구현으로 제한됩니다. 가장 중요한 점은, 연령 확인 절차가 완료된 후에는 해당 개인 데이터를 즉시 삭제해야 한다는 것입니다.

### 3.4. 개발자의 책임 제한

이 법안은 개발자의 규제 부담을 일부 완화하는 중요한 '책임 제한(Safe Harbor)' 조항을 포함하고 있습니다. 개발자는 다음 두 가지 경우에 법적 책임으로부터 보호받을 수 있습니다.

• 연령 등급 지정: 개발자가 '널리 채택된 산업 표준'을 사용하여 선의로 일관성 있게 연령 등급을 지정한 경우, 부정확한 등급 지정에 대한 책임이 면제됩니다.
• 연령 확인 위반: 개발자가 앱 스토어로부터 제공받은 연령 카테고리 및 동의 정보를 '선의로 신뢰'하여 규정을 준수한 경우, 연령 확인 관련 위반에 대한 책임이 면제됩니다.

---

## 4. 요약 및 결론

텍사스의 '앱 스토어 책임법'은 미성년자 온라인 보호를 위해 새로운 규제 생태계를 구축합니다.

 

이 법안은 앱 스토어와 개발자 모두에게 연령 확인, 개별적인 부모 동의 획득, 데이터 보호 등 구체적이고 강력한 의무를 부과하며, 서로의 의무가 긴밀하게 연결된 상호 책임 구조를 만듭니다.

 

---

## 참고

https://legiscan.com/TX/text/SB2420/id/3237346

 

---

이번 글은 여기서 마무리.