이석원 기자
EU 프라이버시 옹호단체인 noyb(None of Your Business)가 2025년 1월 16일 유럽 사용자 데이터를 중국에 전송해 EU 일반 데이터보호규정(GDPR)을 위반했다며 틱톡, 알리익스프레스, 쉬인, 테무, 위챗, 샤오미에 대한 이의를 제기했다고 발표했다.
GDPR은 기업이 유럽인 데이터를 EU 외부로 전송하는 걸 금지하고 있지만 데이터가 국가나 기타 기관 접근으로부터 엄중하게 보호된다는 등 조건 하에 예외적인 전송을 허용하고 있다. 다시 말해 유럽인 데이터를 EU 외부로 이전하는 건 전송 대상국이 높은 수준 프라이버시 보호를 제공하는 경우에만 허용되지만 중국 기업은 중국 정부 요구가 있으면 모든 데이터를 제출해야 해 그런 보호를 기대할 수 없다.
중국이 권위주의적 감시국가라는 점을 고려하면 중국이 EU와 동일 수준 데이터 보호를 제공하지 않는다는 건 분명하다. 이런 상황에서 유럽인 개인 정보를 전송하는 건 명백히 불법이며 곧바로 중단되어야 한다고 noyb 측 변호사가 말했다.
noyb에 따르면 알리익스프레스, 쉬인, 틱톡, 샤오미는 개인정보 처리방침에서 중국으로의 데이터 전송을 명시하고 있다고 한다. 또 테무와 위챗은 전송 대상을 제3국이라고 표현하고 있지만 양사 기업 구조로 판단할 때 여기에는 중국이 포함될 가능성이 높다고 noyb는 지적했다.
noyb는 틱톡 등 6개사에 대해 유럽인 사용자 데이터 취급에 관해 GDPR에 근거한 정보를 요구했지만 어떤 기업도 조회에 응하지 않았다. noyb 측은 중국 기업은 데이터 접근을 요구하는 정부 요청에 응하는 것 외에 선택의 여지가 없다며 다시 말해 유럽 사용자 데이터가 해외로 전송되면 위험에 노출된다는 의미라며 관계 당국은 관련자 기본 권리를 보호하기 위해 신속히 행동해야 한다고 말했다.
이런 점에서 noyb는 틱톡 등 6개사가 데이터 이전에 관한 일반 원칙을 정한 GDPR 제44조와 적절한 보호조치에 따른 이전을 정한 제46조를 위반했다며 그리스, 이탈리아, 벨기에, 네덜란드, 오스트리아 5개국 개인정보보호당국(DPA)에 이의를 제기했다. DPA가 이의 제기를 받아들여 GDPR 위반을 인정할 경우 각 기업은 전 세계 연간 수익 최대 4%를 벌금으로 지불하도록 명령받을 수 있다. 예를 들어 샤오미의 경우 최대 1억 4,700만 유로, 테무의 경우 최대 13억 5,000만 유로 벌금에 해당한다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
