[Backlog] 개인정보보호법 / 정보통신망법을 준수하기 위한 회원가입 시퀀스

[maxisneverthat]

Description

회원가입에 본인인증 절차 자체는 의무가 아님

• 문제1: 단, 14세미만 이용자의 데이터를 법적대리인의 동의 없이 수집하는건 불법이 되어버림 (? ㅋㅋㅋㅋㅋ 환장함)
  
• 문제2: 즉, 이용자가 14세 미만 또는 이상인지 식별해야하는데 결국 통신사나 pg사를 껴야함(단순 휴대폰 인증이 아닌, 휴대폰 인증을 통한 본인인증)
• 문제3: 비싸다(상대적으로)

그래서 생각한 대안으로

• oauth 를 이용해 이용자의 법적연령을 확인하거나 14세 미만의 경우 차단
• 스토어 자체에서 14세 이상만 다운로드 할 수 있도록 함

문제는 구글인데,
구글의 경우 회원가입 로직에 14세 이상일 경우, 별다른 추가 인증 없이 자진 신고로 진행이 됨
이는 여러 나라의 법적 고려 사항과 규제 요건을 준수하기 위함과 구글 서비스 특성상 일반적인 이메일, 검색, 지도 등 일상적인
사용에 초점을 맞추고 있기 때문에 가능함.

또다른 문제로 우리 서비스는 글을 작성하고 공유하는 '게시판'적 성향이 강하기 때문에 정보통신망법 제44조 5~7 조항에 의거해 본인확인이 필요함
이 때 구글계정의 프로필 정보로 본인확인 여부를 판단해도 법적 문제가 없는건지는 확신이 안섬. (문제가 될 가능성이 높음)

---

비슷한 고민을 발견

이대 대한 변호사들의 공통적인 답변은, '만 14세 이상인지 여부를 확인하는 설문을 두되, 허위로 작성시 가입 취소 등 불이익이 발생할 수 있음'
을 적시하면 크게 문제될게 없다고들 함.

그럼 남은건 '게시판' 성향을둔 우리 서비스에서 본인인증을 어떻게 할 것인가인데(결국 다 돈이 문제이다)
좀 싱겁게 끝나버린게 이유는 다음과 같다.

---

그러하여

• 이용자가 실제로 만 14세 이상인지를 우리가 직접접으로 판단할 필요가 없다.
• 단, 이용자가 자진 신고로 만 14세 미만이라고 할 경우 법적대리인 동의가 필요하나, 그냥 14세 미만 이용자를 버리면 해결된다.
• 정보통신망법 본인인증은 일일 이용자가 10만명이 되기 전 까진 김칫국 마실 필요가 없다("늬들 주제에 무슨 본인인증을하니, 일단 그냥 서비스 하렴")
  실제로 일 이용자가 10만명이 되었을 시점에서는 어느정도 bm이 안정되었을 가능성이 큼. 본인인증에 사용할 비용이 부담스럽지 않을듯.

결론

• 우리 서비스는 14세 이상만 이용 가능함을 고지하고 이에 관련해선 더 이상 에너지낭비를 하지 않는다.
• 회원가입에 "만 14세 이상입니다" 동의란을 만든다.
• 추후에 "만약" 10만명 이상이 사용하는 서비스가 된다면, 로컬 회원이든 플랫폼 회원이든 결국 본인인증을 거쳐야 한다.
  카카오와 네이버는 추가동의를 받을 경우 사용자의 연령대 및 전화번호 등에 접근할 수 있지만, 애플은 사용자 정보를 제공하지 않고 구글은 검증된 사용자 정보를 사용하지 않는다. 그렇다고 애플과 구글로그인을 빼버리면 각 플랫폼에 출시할 때 본인들의 oauth를 구현하지 않았다고 리젝사유가 될 수도 있다고 들었던 것 같..

Reference(options)

다날(포트원)