한국 개인정보보호위원회의 엄격해진 규제에 따라, 알리익스프레스, 전기차 제조사 BYD 등 중국 기업들이 한국 이용자의 개인정보처리방침을 개정 중임을 밝혔습니다.
약 20억 과징금 철퇴맞은 알리, 개인정보처리방침 개정·시행
2024년 7월, 개인정보위는 알리익스프레스에 19억 7,800만원의 과징금 및 780만원의 과태료, 시정명령 및 개선권고를 부과했습니다.
알리는 개인정보가 이전되는 국가와 개인정보를 이전받는 자의 성명 및 연락처 등 고지사항을 이용자에 알리지 않았으며, 판매자 약관 등에 개인정보보호에 필요한 조치를 반영하지 않아 위와 같은 처분을 받게 됐습니다.
국외로 제공되는 개인정보는 국내 보호법에 따른 보호조치를 적용받기 어려워짐에 따라 해외 사업자라 하더라도 국내 이용자를 대상으로 서비스하는 경우, 국내 사업자 수준의 개인정보 보호 및 관리가 요구됨을 명확히 한 겁니다.
현재 알리는 개인정보처리방침을 일부 개정해 시행 중입니다.
처리방침은 수집, 이용, 제공, 위탁 등 개인정보를 처리하는 기준 및 안전조치 사항에 대한 것으로 개인정보처리자가 작성한 문서입니다.
알리는 개인정보보호조치 항목의 관리적, 물리적, 기술적 조치를 세분화하여 정리했으며, 개인정보 정책 문의 및 유출 신고 담당 직원의 핫라인을 공개하기로 했습니다.
개인정보위, BYD 등 스마트자동차 실태점검 계획
중국산 스마트자동차가 개인정보 유출 통로로 활용될 것이라는 지적에, 지난 3월 개인정보위는 중국 자동차 회사 및 스마트자동차(현대자동차, 기아자동차, 테슬라, 벤츠, BMW 등 포함)의 개인정보 실태점검을 진행할 것임을 밝혔습니다.
BYD코리아 측은 한국에서 수집된 개인정보는 중국 본사에 공유되지 않는다고 설명했으나, 국내 정보를 중국 기업 서버에 보관한다는 것만으로도 국내 소비자의 불안감을 부추긴 겁니다.
또한 국내 개인정보보호 전문가들 역시, BYD의 자체적 약속만으로 운전자 개인정보, 주행 경로, 운전 패턴, 방문 장소와 같은 민감한 개인정보들의 유출 가능성이 없다고 단정하긴 힘들다고 지적했습니다.
이에 BYD는 개인정보 안전성 확보 조치 및 이용자 매뉴얼 개선 작업에 착수하였으며, 한국의 개인정보 보호법을 충실히 반영할 계획임을 강조했습니다.
잡음이 많았던 국외 이전과 관련해서는 국내 이용자의 개인정보는 한국 소재의 텐센트 클라우드에 저장되며, 중국의 텐센트 클라우드는 해당 정보에 접근할 수 없다고 명시해두었습니다.
[국외 이전] 이전받는 자 | BYD Automotive |
[국외 이전] 이전 목적 | 보증청구, 리콜 캠페인, 차량·정비이력 관리 |
[국외 이전] 이전되는 개인정보 항목 | 차대번호 |
[국외 이전] 이전되는 국가, 이전 일시 및 이전 방법 | 중국 사설 전용 네트워크를 이용한 원격지 전송 |
보유·이용기간 | 위탁계약 종료 시 파기 |
테무, 셀러 얼굴 생체 정보까지 요청하기도
지난 2월, 중국 쇼핑 플랫폼 테무는 국내 이용자들의 개인정보를 해외 이전을 동의해야 한다는 개인정보 처리방침을 도입해 논란이 되기도 했습니다.
해외 송금 정보뿐 아니라 개인 세관 코드, 거래 금액, 주소, 전화번호 등의 개인정보의 국외 이전을 거부할 경우 서비스를 이용할 수 없게 하겠다는 방침이었습니다.
이에 더해, 국내 판매자들의 얼굴 생체 정보를 수집하겠다는 정책까지 세웠으나, 이후 과도한 개인정보 요청 논란에 해당 정책은 중단되기도 했습니다.
딥시크, 韓 이용자 개인정보 및 입력어 중국 무단 이전
중국의 생성형 인공지능 딥시크가 국내 이용자 정보를 중국 등 해외로 무단 이전한 것이 확인됐습니다.
개인정보위에 따르면 딥시크는 서비스 기간 동안 국내 이용자 개인정보를 중국, 미국 업체 총 4곳으로 무단 이전했습니다.
대화창 질문 및 명령어를 넘긴 것은 물론, 개인정보 수집 기준도 준수하지 않은 것으로 보입니다.
특히 이용자가 대화 입력창에 입력한 내용을 AI 개발 및 학습용으로 허용되는 것을 거부할 수 있는 ‘옵트아웃’ 기능도 제공하지 않았습니다.
개인정보위는 딥시크 측에 개인정보 국외 이전에 대한 합법적인 근거를 갖출 것을 권고했으며, 이전한 이용자 정보를 즉각 파기할 것을 요청했습니다.
또한 국내 대리인을 지정해 소통 채널을 마련하고, 14세 미만 아동 이용자의 개인정보 보호를 위한 연령 확인 절차 수립도 함께 권고했습니다.
현재 딥시크 앱은 국내에서 신규 다운로드가 중단됐으나, 이미 설치한 경우 사용할 수 있어 개인정보 및 입력어의 무단 이전 위험은 제거되지 않은 상황입니다.
국내 기업의 중국 개인정보보호법 유의 사항은?
만일 국내 기업이 한국에 본사를 두고 중국 온라인 마켓 등에 입점하여 중국 이용자에게 제품을 판매할 경우 중국 개인정보보호법의 적용 대상이 됩니다.
중국 역내 자연인의 개인정보를 처리하는 활동뿐만 아니라 중국 역외에서 중국 역내의 자연인에게 제품을 제공하는 경우도 적용 대상이 되므로 유의하셔야 합니다.
따라서 국내 기업은 중국 개인정보보호법의 적용 대상이 되는지 체크한 뒤, 개인정보처리 규칙과 개인정보처리자의 의무(개인정보보호 조치 수행, 개인정보보호 책임자 지정, 정기적 규격 합격 심사, 영향 평가, 사전 위험 평가, 개인정보 유출 시 구제 조치 및 통지)를 숙지하고 준수하는 자세를 지녀야 합니다.
중국은 개인정보보호법 위반 시 시정명령, 위법소득 몰수, 서비스 제공 일시 정지 또는 종료, 100만 위안(약 1억 9천만원)의 벌금형 등을 부과하고 있으며, 개인정보 불법 처리에 직접적인 책임이 있는 담당자에게는 1만 위안 이상 10만 위안 이하의 과태료도 부과합니다.(약 1,979만원 이하)
만약 사안이 심각할 경우 5천만 위안 이하 또는 전년도 매출액의 5%에 해당하는 벌금 등을 명하게 됩니다.
이 경우 전년도 매출액은 전 세계 매출액으로 해석될 가능성이 있음도 유념하셔야 합니다.
국내, 국외 개인정보보호법 위반과 관련하여 문의사항이 있으시다면 🔗기업법무그룹 법률상담예약을 통해 사안을 상담받아 보시기 바랍니다.
