애플, 앱 개발자에 프라이버시 정책 추가 요구

애플이 1개월 뒤부터 앱스토어에 앱을 등록하는 개발자들에게 '프라이버시 정책'을 추가 요구하기로 했다.

앱이 수집하는 이용자 개인정보와 그 처리방침을 구체적으로 밝히라는 요구다. iOS 및 맥OS 앱 개발자들에게도 개인정보보호가 중요한 키워드로 자리잡을 전망이다.

애플은 지난 8월 31일 앱스토어커넥트(구 아이튠스파트너) 공지를 통해 "앱스토어 검수 가이드라인이 개정돼 모든 새 앱과 앱 업데이트는 앱 검수 절차의 일부로 프라이버시 정책을 요구한다"고 밝혔다. 가이드라인은 지난 6월 바뀌었지만, 이번엔 그 적용 시점을 언급했다.

최근 공지는 "10월 3일부터 모든 새 앱과 앱 업데이트가 앱스토어로 배포 또는 테스트플라이트로 외부 테스트를 위해 제출되기에 앞서 그 프라이버시 정책을 요구할 것"이라며 "앱의 프라이버시 정책 링크 또는 문구는 앱의 새 버전을 제출할 때만 편집될 수 있다"고 설명했다.

이미 앱스토어에 앱을 제출한 개발자들이 프라이버시 정책을 추가하거나 편집하는 순서가 제시됐다. 요령은 이렇다. 앱스토어커넥트 화면의 '내 앱(My Apps)'으로 가서 대상 앱을 선택한다. 앱스토어 안에서 '앱 정보(App Information)'를 연다. 화면의 우측상단 구석에 iOS 앱 또는 맥OS 앱용 프라이버시 정책 링크를 추가하거나, tvOS 앱용 텍스트를 직접 입력한다. 저장(Save)을 누른다.

테스트플라이트 외부 테스트용으로 배포한 앱에 프라이버시 정책 링크를 추가하는 순서는 이렇다. 앱스토어커넥트 화면의 '내 앱'으로 가는 것은 동일하다. 여기서 '테스트플라이트(TestFlight)' 안의 '테스트 정보(Test Information)'를 연다. 여기서 iOS 앱용 프라이버시 정책 링크를 추가하거나 tvOS 앱용 텍스트를 직접 입력한다. 저장을 누른다.

이번 공지엔 별도 언급이 없지만, 애플의 프라이버시 정책 요구는 2년전 시행돼 지난 5월 유예기간이 끝난 유럽 일반개인정보보호법(GDPR) 에 상응한 조치로 보인다. GDPR은 기업들에게 개인정보의 영리적 활용 기회 확대와 더불어 당사자의 개인정보 통제권 강화를 목적으로 제정됐다.

지난 6월 WWDC 직후 개정된 '앱스토어 검수 가이드라인'의 '5.1 프라이버시'에 GDPR이 언급된다. 이 항목은 앱 개발자의 이용자 데이터 수집 및 저장, 수집한 데이터 사용과 공유 원칙을 제시한다. 가이드라인은 애플이 앱스토어에 등록을 신청한 모든 앱을 심사하는 기준이다.

가이드라인 5.1.1 데이터 수집 및 저장(Data Collection and Storage)의 '(i) 프라이버시 정책' 부분은 "모든 앱은 앱스토어커넥트의 메타데이터 영역에 그 프라이버시정책으로 연결되는 링크를 포함해야 하며 링크는 앱에서 쉽게 접근할 수 있는 방식이어야 한다"고 정하고 있다.

또 "프라이버시정책은 명확하고 자세하게 앱과 서비스에서 수집하는 어떤 데이터든지 정의하고, 데이터를 수집하고 사용하는 모든 방법도 정의해야 한다"면서 "분석툴, 광고네트워크, 제3자 SDK 등 앱이 이용자 데이터를 공유하는 서드파티를 밝힐 것"과 "데이터 보존 및 삭제 정책을 설명하고 이용자가 이용자의 데이터 관련(사용) 동의를 철회하거나 삭제를 요구할 수 있는 방법을 제시할 것"을 요구하고 있다.

프라이버시 정책이 앱 개발자들에게 모든 데이터 활용의 동의를 요구하진 않는다. GDPR이나 유사 조항이 허용하는 범주 안에서 당사자 동의 없는 데이터 활용이 가능하다. 그래서 이어지는 '(ii) 허가(Permission)' 부분이 GDPR을 직접 인용하고 있다. 번역하면 다음과 같다.

"이용자 데이터 또는 데이터 이용 행태를 수집하는 앱은 이용자에게 수집에 대한 동의를 구해야 한다. 유료 기능은 이용자 데이터에 의존하거나 이런 데이터에 접근을 허용하도록 요구하지 않아야 한다. 앱은 또한 고객에게 쉽게 접근하고 이해할 수 있는 방식으로 동의를 철회할 방법을 제공해야 한다. 용도 문구(purpose strings)가 데이터 사용을 명확하고 완전하게 설명하도록 하라. 유럽연합 GDPR 또는 유사 조항을 근거로 동의 없이 합법적인 이익을 취하고자 데이터를 수집하는 앱은 해당 법의 모든 조항을 준수해야 한다."

GDPR은 물리적으로 유럽연합(EU) 지역내에 있는 사람들의 개인정보를 보호한다. GDPR 보호 대상인 EU 지역내 정보주체에게 재화 및 서비스를 제공하며 개인정보를 수집하고 활용하는 사업자는 그 물리적인 위치가 EU 지역 안에 있든지 밖에 있든지 GDPR의 적용을 받는다. 따라서 앱스토어에서 명시적으로 EU 지역 이용자를 타깃으로 앱을 만들고 제공하는 개발자 또는 사업자도 GDPR에 대응할 필요가 있다.

변경된 앱스토어 검수 가이드라인의 요구사항은 실제 애플 생태계에 참여하는 개발자들에게 어떤 의미일까.

4일 SW개발교육 전문업체 코드스쿼드의 김정 대표는 "개인정보정책 페이지 URL을 필수로 넣게 해 앱스토어에 그 링크를 표시하고 이걸 누르면 해당 사이트로 이동하는 형태"라며 "이전까지는 개인정보정책을 앱 내부에만 넣게 했는데 이번엔 개인정보와 디바이스 접근에 대한 정책을 강제적으로 노출되게 한 것에 의의가 있다"고 설명했다.

이어 "애플이 그간 주민번호처럼 민감한 개인정보를 직접 수집하는 걸 검수 단계에서 반대하긴 했다"면서도 "변경된 가이드라인으로 프라이버시정책의 문구 자체를 검수하거나 앱이 어떤 데이터를 쓰는지 본다기보단 앱마다 정책을 명시하고 있는지만 본다고 판단하면 될 것 같다"고 언급했다.

관련기사

미국 지디넷은 3일(현지시간) 애플의 최근 공지를 인용 보도하며 "애플의 새 프라이버시 규칙은 발효 시점인 10월 3일이 도래하기도 전에 최소 한 곳을 희생자로 삼았다"며 "애플의 요구로 앱스토어에서 페이스북 '오나보VPN(Onavo VPN)' 앱이 '자진해서' 삭제됐다"고 지적했다.

오나보VPN은 페이스북이 인수한 무료VPN 앱이다. 미국 지디넷은 "해당 앱에 관련된 소식통은 페이스북이 아이폰 이용자의 기기를 통해 페이스북 밖에서 이용자를 모니터링하는 수단으로 무료VPN을 쓸 수 있게 한 것이라 말했다"고 전했다. 앞서 페이스북은 서비스이용자 정보를 공유한 정치컨설팅전문업체 '케임브리지애널리티카'를 통해 8천700만명의 개인정보를 유출한 것으로 드러나 파장을 낳았다.