2026 COPPA 규칙 개정

법적 고지

본 문서에 포함된 정보는 법률 자문을 대체하기 위한 것이 아니며 법적 조언을 구성하지 않습니다. 규정 준수 전략에 관한 질문은 법무 담당자와 상의하십시오.

미국의 Children's Online Privacy Protection Act(COPPA) 규칙 개정이 2026년 4월 22일에 발효됩니다. 이 가이드는 COPPA 적용을 받는 사업자가 새로운 의무를 충족하기 위해 k-ID Compliance Studio에서 수행해야 하는 구성 변경 사항을 안내합니다.

이 가이드의 대상

새로운 COPPA 규칙 개정은 법률상 "아동 대상(child-directed)"으로 간주되는 온라인 사업자에게 적용됩니다. 여기에는 아동을 직접적인 대상으로 하는 서비스뿐 아니라, 아동을 직접 대상으로 하지는 않지만 아동의 관심을 끌 수 있는 서비스도 포함됩니다. 법무 담당자와 함께 이 가이드를 사용하여 제품의 구성을 업데이트하세요.

변경 사항

개정된 규칙에서 아래 구성 업데이트를 이끄는 두 가지 항목은 다음과 같습니다:

1. Verifiable Parental Consent(VPC) 공개 범위 확대. 사업자는 VPC 흐름에 개인정보를 공개하는 제3자와 그 공개 목적을 설명하는 문서에 대한 하이퍼링크를 포함해야 합니다. 이는 공개가 서비스에 필수적이든 아니든 관계없이 모든 제3자 수령인에 적용됩니다.
2. 비필수 공개에 대한 별도 동의. 서비스에 필수적이지 않은 아동 개인정보 공개에는 별도의 부모 동의가 필요합니다. 미국 연방거래위원회(FTC)는 금전 또는 기타 대가를 위한 제3자에 대한 아동 개인정보 공개, 광고 목적(예: targeted-advertising)을 위한 공개, 또는 AI 기술의 훈련 또는 기타 개발을 위한 공개는 온라인 서비스에 필수적이지 않다는 입장을 밝혔습니다.

타깃 광고 및 AI 훈련 이외의 기능(텍스트 채팅이나 푸시 알림 등)이 "필수적"인지 여부는, 사업자마다 규정 준수 전략과 위험 선호도에 따라 판단해야 합니다. 법무 담당자와 상의하세요.

1단계: Developer Details에 제3자 공개 링크 추가

새 규칙은 개인정보를 공개하는 제3자와 그 공개 목적을 설명하는 문서에 대한 하이퍼링크를 요구합니다. 이 링크는 기존 개인정보 처리방침의 전용 섹션을 가리켜도 됩니다.

1. Compliance Studio에서 제품을 열고 Developer Details로 이동합니다.
2. + Additional Legal Links를 클릭하고 다음을 입력합니다:
   • 하이퍼링크의 Title(예: "Third-Party Disclosures").
   • 문서 또는 개인정보 처리방침 섹션의 URL.
3. 저장합니다.

추가된 링크는 부모를 대상으로 하는 VPC 흐름에서 Privacy Policy 및 Terms of Service와 함께 표시됩니다.

로컬라이즈된 링크 제목과 플랫폼별 변형을 포함한 이 탭의 전체 옵션은 Developer details를 참조하세요.

2단계: 비필수 기능 식별

제품의 기능 구성을 검토하여 다음 두 가지를 모두 충족하는 기능을 식별합니다:

1. 아동의 개인정보를 제3자와 공유하며
2. 서비스 기능에 필수적이지 않음.

최소한, FTC 견해에 따라 다음은 비필수로 간주합니다:

• 개인정보를 타깃 광고에 사용하는 기능(예: targeted-advertising 권한).
• 개인정보를 AI 모델의 훈련 또는 개발에 전송하는 기능.

제품 내에 이 두 조건을 모두 충족하는 기능이 없다면 추가 구성 변경은 필요하지 않으며 여기서 마칠 수 있습니다. 해당 기능이 있으면 각 기능에 대해 이후 단계를 계속 진행하세요.

2단계(a): Essential Feature 레이블 제거

비필수 기능은 서비스의 다른 부분과 Essential로 묶일 수 없으며, 별도의 부모 동의가 필요합니다.

1. Compliance Studio에서 제품을 열고 Configuration → Permissions로 이동합니다.
2. 비필수 기능을 찾아 Customize를 클릭합니다.
3. 해당 권한에서 Essential Feature 레이블을 제거합니다.

권한, Essential 기능, 동의의 상호 작용에 대한 배경은 Permissions와 Essential features를 참조하세요. Studio 탭 자체는 Permissions configuration을 참조하세요.

개발자 영향

어떤 기능이 더 이상 Essential로 표시되지 않으면, 그 기능은 k-ID API가 반환하는 세션별 권한 세트에 의해 게이팅됩니다. 제품은 관련된 각 세션에서 권한을 확인하고, 부모가 해당 기능에 대해 동의를 부여하지 않았다면 기능을 비활성화해야 합니다. 세션의 권한 플래그는 /session/get을 호출하여 검토하고, 세션 권한 업데이트는 session.changepermissions 웹훅으로 처리하세요. 배경은 Sessions와 Permissions를 참조하세요.

2단계(b): Data Notice 수정

제품의 Data Notice를 업데이트하여 각 비필수 기능과 연관된 데이터 요소가 부모 승인을 요구하도록 합니다. 예를 들어 targeted-advertising이 Advertising Identifiers에 의존한다면, 해당 데이터 요소는 부모 승인을 필요로 하는 것으로 표시해야 합니다.

1. Compliance Studio에서 제품을 열고 Notices → Data Notices로 이동합니다.
2. 비필수 기능과 연관된 각 데이터 요소에 대해 부모 승인이 필요함을 표시합니다.
3. 저장합니다.

Data Notice 구성에 대한 자세한 내용은 Data Notices와 Data notices 컨셉 페이지를 참조하세요.

요약

• Developer Details → + Additional Legal Links 아래에 제3자 공개 하이퍼링크를 추가합니다.
• 아동의 개인정보를 제3자와 공유하고 서비스에 필수적이지 않은 기능에 대해서는:
  • Configuration → Permissions에서 Essential Feature 레이블을 제거합니다.
  • 코드가 세션별 권한 플래그를 읽고 동의가 부여되지 않은 경우 기능을 비활성화하도록 업데이트합니다.
  • Notices → Data Notices에서 관련 데이터 요소를 부모 승인이 필요한 것으로 표시합니다.

각 변경 사항은 법무 담당자와 확인하고, Test Mode에서 부모 경험을 엔드투엔드로 검증한 뒤 2026년 4월 22일 전에 제품을 업데이트하세요.