EU ‘개인정보 사본 제공 의무’ 위반 공방
스웨덴 스톡홀름발 로이터 통신에 따르면, 오스트리아 소재 시민단체 noyb(누아브·None of Your Business)가 17일(현지시간) 중국계 플랫폼 알리익스프레스·틱톡·위챗을 상대로 유럽연합(EU) 일반개인정보보호법(GDPR) 위반 혐의로 집단 고소장을 제출했다.
2025년 7월 17일, 로이터 통신의 보도에 따르면, 누아브는 세 회사가 ‘사용자가 요청할 경우 본인의 모든 데이터를 완전한 형태로 제공해야 한다’는 GDPR 제15조 ‘열람권(right of access)’을 준수하지 않았다고 주장했다. 불완전‧난해한 다운로드 도구 탓에 EU 거주자가 자기 정보를 충분히 확보하기 어렵다는 설명이다.
누아브는 성명에서 “대다수 빅테크가 원클릭 다운로드 기능을 운영하는 반면, 일부 중국 기업은 의도적으로 접근성을 떨어뜨린다”라고 지적했다. 이어
“틱톡·알리익스프레스·위챗은 이용자 정보를 최대한 수집하면서도, EU 법이 요구하는 ‘완전한 접근권’은 완강히 거부한다” — 누아브 소속 데이터보호 변호사 클레안티 사르델리(Kleanthi Sardeli)
라고 비판했다.
GDPR 제재 수위와 중국 플랫폼의 리스크
GDPR은 위반 기업에 전 세계 매출의 최대 4% 또는 2천만 유로 중 더 큰 금액을 과징금으로 부과할 수 있다. 누아브는 금번 고소에서도 동일한 상한선을 적용해 달라고 요구했으며, 데이터 중국 이전 일시 중단도 촉구했다.
이번 제소는 올해 1월 누아브가 중국계 기업 6곳을 대상으로 최초의 집단 고발을 제기한 데 이은 두 번째 공세다. 당시에도 단체는 ‘데이터 국경 간 전송’을 핵심 쟁점으로 삼았고, EU 감독당국은 일부 사안을 공식 조사 단계로 이첩한 바 있다.
누아브(noyb)란 무엇인가
누아브는 개인정보 보호 운동가 막스 슈렘스(Max Schrems)가 2018년 창설한 비영리 단체다. 애플·알파벳(구글 모회사)·메타(페이스북 모회사) 등을 상대로 소송전을 벌여 수십억 달러 규모의 벌금과 EU 사상 첫 ‘쿠키 배너’ 규제를 이끌어내며 영향력을 확장했다.
슈렘스는 ‘프라이버시 권리의 사각지대가 존재해서는 안 된다’는 철학을 강조한다. GDPR 시행 이후 누아브가 제기한 총1) 850여 건의 고발 중 약 30%가 조사로 이어졌고, 그중 절반 이상이 실질 제재로 귀결됐다고 단체는 설명한다.
전문가 시각: EU-중국 데이터 패권 경쟁
국제 IT·통상 전문 변호사 안드레아스 뤼트케(Andreas Rüttke)는 “다국적 플랫폼이 유럽 시장을 공략하려면, ‘열람권–삭제권–이동권’ 등 GDPR 3대 권리 체계를 선제적으로 설계해야 한다”고 조언한다. 그는 또 “EU의 디지털 시장법(DMA)과 디지털 서비스법(DSA)이 본격 발효되면, 개인정보 제공 의무 위반 사례는 ‘반복 불복종 기업’으로 분류돼 연속 과징금 리스크가 커진다”고 덧붙였다.
중국 내 또 다른 배경 변수는 중화인민공화국 개인정보보호법(PIPL)이다. PIPL은 ‘국가 안보·공익을 이유로 한 데이터 검열’을 허용하는 조항이 있어, EU의 고위험 평가를 받는다. 결국 데이터 주권을 둘러싼 양측의 규범 충돌이 앞으로도 잦을 것으로 전망된다.
향후 전망
로이터에 따르면, 알리익스프레스 모기업 알리바바(Alibaba), 틱톡 모기업 바이트댄스(ByteDance), 위챗 운영사 텐센트(Tencent)는 아직 공식 입장을 내놓지 않았다. 관할 감독기관인 아일랜드 데이터보호위원회(DPC)와 프랑스 국가정보기술위원회(CNIL)는 “사실관계 검증 후 절차 착수 여부를 결정하겠다”고 밝혔다.
전문가들은 “GDPR 제재 자체가 막대한 비용 부담이지만, 더 큰 리스크는 브랜드 신뢰 훼손과 피해 소비자 집단소송”이라고 강조한다. 업계는 이번 사건이 중국 플랫폼의 유럽 전략을 재설정하는 변곡점이 될 가능성에 주목하고 있다.
1) 누아브 자체 연간보고서(2024년) 기준 수치
