4월 22일 마감일
2026년 기준 최신화
FTC가 COPPA를 개정했습니다. 새 규정은 2026년 4월 22일에 발효됩니다. 이는 2013년 이후 첫 번째 주요 개정입니다. 13세 미만 아동을 대상으로 하는 EdTech 플랫폼은 지금 당장 조치해야 합니다. 남은 시간은 수개월이 아닌 수 주입니다.
변화의 폭이 깊습니다. 2013년 규정을 기반으로 구축된 플랫폼은 핵심 시스템을 감사하고 업데이트해야 합니다. 사소한 수정으로는 충분하지 않습니다.
Reddit의 벌금: 명확한 경고
2026년 3월, 영국 ICO는 Reddit에 1,447만 파운드의 벌금을 부과했습니다. 이유는 무엇인가요? Reddit은 아동이 유해한 콘텐츠에 접근하는 것을 막지 못했습니다. 연령 확인이 취약했습니다. 미성년자가 통과했습니다.
해당 벌금은 COPPA가 아닌 영국 GDPR에 근거했습니다. 하지만 실패의 성격은 동일합니다. COPPA 2026은 미성년자가 있다는 것을 알면서도 보호하지 않는 플랫폼을 표적으로 합니다.
EdTech는 더 어려운 상황에 있습니다. 이러한 플랫폼은 자신들의 사용자가 누구인지 알고 있습니다. 학교에 판매합니다. 학부모에게 마케팅합니다. 학생 이메일 주소를 보게 됩니다. "몰랐습니다"라는 변명은 통하지 않습니다.
COPPA 2026의 변경 사항
FTC 개정안은 EdTech 플랫폼을 위한 다섯 가지 핵심 규정을 추가했습니다.
1. 데이터 최소화 의무화
서비스 제공에 진정으로 필요한 것만 수집하세요. 2013년 규정은 부모 동의를 받으면 많은 데이터를 수집할 수 있었습니다. 2026년 규정은 동의가 있어도 추가 수집을 금지합니다. 서비스에 필요하지 않은 기기 ID, 추적 신호, 위치 정보 수집을 즉시 중단해야 합니다.
2. 미성년자 대상 맞춤형 광고 금지
EdTech 플랫폼은 아동의 데이터를 행동 광고에 사용할 수 없습니다. 동의가 있어도 변하지 않습니다. 일부 플랫폼은 포괄적인 동의를 통해 광범위한 데이터 사용을 정당화해왔습니다. 이 허점은 이제 닫혔습니다.
3. AI 기능에 대한 별도 동의
아동의 입력을 활용하는 AI 기능은 별도의 동의 양식이 필요합니다. AI 튜터, 작문 도구, 적응형 엔진이 모두 포함됩니다. 주 서비스에 대한 동의가 AI 부가 기능까지 포함하지 않습니다.
4. 실효성 있는 삭제 규정
더 이상 필요하지 않은 아동 데이터는 삭제하세요. 정해진 일정에 따라 자동 삭제를 실행하는 플랫폼은 FTC 조치에서 더 낮은 책임을 집니다. 이는 실질적인 안전 항구입니다 — 활용하세요.
5. 높아진 비식별화 기준
이름을 제거하는 것만으로는 충분하지 않습니다. 플랫폼은 재식별이 합리적으로 가능하지 않음을 보여야 합니다. 집계 분석의 경우 k-익명성 또는 차등 프라이버시가 필요합니다.
FERPA와 COPPA: 둘 다 적용됩니다
학교와 협력하는 K-12 플랫폼의 경우 FERPA도 COPPA와 함께 적용됩니다. 중요한 사항은 다음과 같습니다.
- FERPA는 학교가 학생 기록을 벤더와 공유하도록 허용합니다 — 단, 계약된 서비스 목적에 한해서만
- 13세 미만 아동에 대해서는 FERPA가 허용하더라도 COPPA가 여전히 적용됩니다.
- FERPA에 따른 학교 동의가 COPPA의 부모 동의를 대체하지 않습니다.
FERPA 준수가 COPPA 준수는 아닙니다. 두 가지 모두 별도로 충족해야 합니다.
4월 22일 전에 해야 할 일
마감일 전에 이 체크리스트를 완료하세요.
목록 작성
- 13세 미만 사용자로부터 수집된 모든 데이터 목록 작성
- 아동 데이터를 수신하는 모든 서드파티 도구 파악 — 분석, CRM, 모니터링
- 각 수집 유형에 대한 동의 확인
익명화
- 학생 콘텐츠가 로그되기 전에 개인정보 탐지 추가
- 분석 이벤트에서 이름, 이메일 주소, 학생 ID 제거
- 제품 업무에 사용되는 집계 보고서 비식별화
- 학생 입력을 포함하는 AI 학습 데이터 정제
동의
- 각 AI 기능에 대한 별도 동의 흐름 구축
- 타임스탬프와 함께 동의 기록
- 즉각적인 삭제를 트리거하는 철회 흐름 추가
보존
- 각 데이터 유형에 대한 보존 기간 설정
- 기간 종료 시 자동 삭제 설정
- 백업 시스템의 허점 확인
공급업체
- 모든 하위 처리자와의 계약 검토
- 분석 벤더가 아동 데이터를 광고에 사용하지 않는지 확인
- 2026년 비식별화 기준에 맞게 계약 업데이트
익명화가 도움이 되는 방식
새로운 비식별화 규정이 COPPA 2026에서 가장 기술적인 부분입니다. 이름만 제거하는 것으로는 기준을 충족하지 못합니다. 모든 데이터 흐름에서 모든 개인정보를 찾아내고 제거하는 시스템이 필요합니다.
anonym.legal은 48개 언어에서 285가지 이상의 개체 유형을 탐지합니다. 많은 EdTech 플랫폼은 여러 언어를 사용하는 학생들을 서비스합니다. 학생 개인정보는 영어뿐만 아니라 스페인어, 중국어, 아랍어 등 수십 개의 언어로 나타납니다. 광범위한 언어 지원은 선택 사항이 아닙니다. 규정 준수 필수 사항입니다.
플랫폼은 또한 수동 검토가 놓치는 예외적인 경우도 탐지합니다. 학생 콘텐츠에는 전화번호, 학생 ID 패턴, 간접 식별자가 흔히 나타납니다. 자동 탐지가 이를 대규모로 찾아냅니다. 수동 검토로는 불가능합니다.
일괄 처리 기능을 사용하면 팀이 기존 데이터베이스를 도구에 통과시킬 수 있습니다. 더 높은 기준을 이제 충족해야 하는 기존 학생 콘텐츠를 처리합니다. 소급 비식별화는 2026년 규정 하에서 규정 준수의 일부입니다.
민감한 데이터 처리 방식에 대해서는 보안 및 규정 준수 개요를 참고하세요. 법적 준수 페이지에서는 FERPA와 COPPA 모두를 다룹니다.
조치를 취하지 않을 때의 비용
COPPA 벌금은 위반 건당 하루 $51,744에 달합니다. 학생 계정이 100,000개인 플랫폼의 경우, 비식별화의 체계적인 허점은 수천만 달러의 벌금으로 이어질 수 있습니다.
Reddit의 벌금은 1,447만 파운드였습니다. Reddit은 수십억 달러의 매출을 올립니다. 중간 규모의 EdTech 플랫폼에게 이 규모의 벌금은 회사를 망하게 할 수 있습니다.
4월 22일이 가까웠습니다. 지금 시작하면 할 수 있는 일입니다. 규제 기관은 새 규정을 집행하겠다는 의지를 분명히 했습니다. 기다리는 것은 전략이 아닙니다.
출처
- FTC COPPA 규정 개정, 연방 관보, 2025 (2026년 4월 22일 발효)
- ICO Reddit 집행 고지, 2026년 3월 — 1,447만 파운드 벌금
- FERPA, 20 U.S.C. § 1232g, 및 시행령 34 CFR Part 99
- FTC COPPA FAQ: AI 기반 기능 및 부모 동의, 2026