틱톡, 중국으로의 불법 데이터 전송으로 5억 3천만 유로 벌금 부과

아일랜드 데이터 보호 위원회(DPC)는 EEA의 틱톡 플랫폼 사용자 개인 데이터 처리에 대한 광범위한 조사 후 틱톡 테크놀로지 리미티드(TTL)에 대해 5억 3천만 유로(약 6억 달러)의 중대한 벌금을 부과했습니다.

부과된 벌금은 일반 데이터 보호 규정(GDPR) 하에 부과된 가장 큰 벌금 중 하나로, 더블린에 본사를 둔 틱톡에 대한 유럽 연합의 주요 감독 기관인 아일랜드 데이터 보호 위원회(DPC)의 4년간 조사에 따른 것입니다.

목차

• 준수 기한
• 회사 항소 예정

준수 기한

이 결정은 또한 인기 있는 짧은 동영상 공유 앱이 EU 법률에 완전히 준수하도록 처리하는 데 6개월의 기한을 부과합니다. 회사가 이 기한을 지키지 못할 경우 EEA 사용자 데이터를 중국으로 전송하는 모든 작업이 중단될 수 있습니다.

“틱톡은 EEA [유럽 경제 지역] 사용자 데이터를 중국으로 전송하는 것과 관련하여 GDPR을 위반했으며, 투명성 요구 사항을 준수하지 않았습니다. 이 결정에는 총 5억 3천만 유로의 행정 벌금과 틱톡이 6개월 이내에 처리 작업을 준수하도록 요구하는 명령이 포함됩니다.”라고 DPC는 금요일 성명에서 밝혔습니다.

DPC의 조사에 따르면, 중국 기술 대기업 바이트댄스가 소유한 틱톡은 EU 내에서 요구되는 대로 중국 직원이 접근한 EU 사용자 개인 데이터를 적절하게 보호하지 못했습니다.

특히, 틱톡은 GDPR의 제46조(1항)의 주요 조항을 위반하여 중국 법률과 관행이 EU 내에서 “본질적으로 동등한” 보호를 제공한다고 적절하게 검증하지 않았습니다. 또한 데이터 전송 및 처리의 성격에 대해 사용자에게 적절히 알리지 않아 제13조(1)(f항)를 위반했습니다.

“틱톡의 개인 데이터 전송이 GDPR을 위반한 이유는 틱톡이 중국 직원이 원격으로 접근한 EEA 사용자 개인 데이터가 EU 내에서 보장되는 수준의 보호를 보장하고 입증하지 못했기 때문입니다.”라고 그레이엄 도일 부위원장은 조사 결과의 심각성을 강조하며 말했습니다.

틱톡은 중국 법률—반테러법, 반간첩법, 사이버 보안법 및 국가 정보법—이 EU 데이터 보호 기준과 실질적으로 다르다고 밝혔습니다. 그럼에도 불구하고 DPC는 회사가 GDPR에서 요구하는 효과적인 보완 조치를 시행하지 않거나 완전한 법적 분석을 수행하지 않았다고 말했습니다. 이러한 법률은 정부가 개인 데이터에 접근할 수 있도록 하여 EU의 개인 정보 보호를 저해할 수 있습니다.

DPC는 틱톡이 조사 전반에 걸쳐 EEA 사용자 데이터를 중국에 위치한 서버에 저장하지 않았다고 주장했다고 덧붙였습니다. 그러나 2025년 4월, 틱톡은 2025년 2월에 일부 EEA 데이터가 실제로 중국 서버에 저장되었다고 발견했다고 밝혔으며, 이는 회사의 이전 진술과 모순됩니다.

“DPC는 중국 서버에 EEA 사용자 데이터 저장과 관련된 최근 개발을 매우 심각하게 받아들이고 있습니다. 틱톡이 데이터가 이제 삭제되었다고 DPC에 알렸지만, 우리는 동료 EU 데이터 보호 당국과 협의하여 어떤 추가 규제 조치가 필요할지 고려하고 있습니다.”라고 도일은 덧붙였습니다.

틱톡의 유럽 공공 정책 및 정부 관계 책임자인 크리스틴 그란은 회사가 DPC의 결정에 동의하지 않으며 유럽 사용자 데이터를 중국 당국에 제공한 적이 없고 데이터 전송을 위한 표준 법적 메커니즘을 사용했다고 밝혔습니다.

회사 항소 예정

회사는 또한 결정에 항소할 계획이며, 틱톡의 새로운 “프로젝트 클로버”를 통해 도입된 중요한 데이터 보안 개선 사항을 충분히 고려하지 않았다고 주장하고 있습니다. 이는 준수를 개선하기 위한 데이터 거버넌스 이니셔티브입니다.

틱톡이 데이터 프라이버시 문제로 조사를 받은 것은 이번이 처음이 아닙니다. 2023년 DPC는 틱톡이 13세에서 17세 사용자 계정을 기본적으로 공개로 설정하고 아동 사용자에게 개인 정보 설정에 대한 충분한 투명성 정보를 제공하지 않아 아동의 프라이버시를 보호하지 못한 이유로 3억 4천 5백만 유로의 벌금을 부과했습니다.