∙ 2025년 1월 16일, 유럽디지털권리센터(NOYB)는 틱톡(TikTok)·알리익스프레스(AliExpress)·쉬인(SHEIN)·테무(Temu)·위챗(WeChat)·샤오미(Xiaomi) 등 중국 기업 6곳에 대해 유럽연합(EU) ‘일반데이터보호규정(General Data Protection Regulation, GDPR)’ 위반 혐의로 신고를 진행함

- (개요) 2018년 시행된 GDPR에 따르면 원칙적으로 기업은 유럽인의 데이터를 EU 역외로 전송할 수 없으며, 데이터의 EU 역외 이전은 예외적으로만 허용됨
∙ 기업이 데이터를 이전하는 경우 개인 데이터의 보안을 보장하기 위해 엄격한 요건을 충족해야 하며 중국 등의 국가는 기업이 일반적으로 중국 수신자가 중국 내에서도 EU의 보호 기준을 준수하는 것의 내용에 포함된 ‘표준계약조항(Standard Contractual Clauses, SCC)’에 따라야 함
∙ 이를 위반할 경우 글로벌 매출액의 4％ 또는 2천만 유로(한화 약 300억 원) 중 높은 금액을 과징금으로 부과받을 수 있음

- (주요내용) NOYB는 TikTok 등 중국 기업 6곳에 대해 EU에서 취득한 이용자 데이터를 중국으로의 불법 전송을 이유로 그리스·이탈리아·벨기에·네덜란드·오스트리아 등 EU 회원국 관할 당국에 신고를 진행함
∙ NOYB는 기업들이 현실적으로 중국에서는 중국 정부의 접근으로부터 EU 사용자의 데이터를 보호할 수 없을 것으로 추정함
∙ 실제로 Xiaomi의 ‘투명성 보고서(transparency reports)’¹⁾에 따르면 중국 당국이 개인 데이터에 대한 (무제한) 접근을 요청하고 획득할 가능성이 있는 위험을 확인함
∙ NOYB는 AliExpress·SHEIN·TikTok·Xiaomi·Temu·WeChat에게 GDPR 제15조 접근 권한(Right to access)에 따라 개인 데이터가 중국이나 EU 외의 다른 국가로 전송되었는지 확인하려 했으나 해당 기업들은 데이터 전송에 관한 법적으로 요구되는 정보를 제공하지 않음
∙ AliExpress·SHEIN·TikTok·Xiaomi는 공개적으로 유럽 이용자들의 개인 데이터를 중국에 이전한다는 사실이 해당 기업의 개인정보보호 정책에서 확인됨
∙ Temu와 WeChat은 추상적인 표현인 제3국으로 데이터를 이전한다고 설명하나 Temu와 WeChat의 기업 구조에 따르면 제3국에는 중국이 포함되어 있을 가능성이 높음
∙ 따라서 NOYB는 해당 기업들에 대해 유럽 5개국에 6건의 GDPR 신고를 진행했으며 각 국가의 데이터보호당국(DPA)에 과징금 부과를 요청함


1) 동 보고서에 대한 자세한 내용은 다음의 링크 참조: https://trust.mi.com/transparency