안녕하세요. 법무법인 청출 신준선 변호사입니다.
최근 중국 전기차, 로봇청소기 등 스마트 기기의 국내 시장 점유율이 증가하면서 이들 제품이 수집하는 개인정보의 처리 방식과 국외 이전에 관한 법적 쟁점이 부각되고 있습니다. 특히 중국 AI 기업 딥시크의 개인정보 유출 논란 이후, 중국산 스마트 제품 전반에 대한 개인정보보호법 준수 여부가 주목받고 있으며 개인정보보호위원회는 그 침해의 중대성을 고려해 조사에 실태점검에 착수한 상태입니다.
이번 블로그에서는, 최근의 사례에 기반하여 스마트 기기의 개인정보 처리 현황과 관련 법적 쟁점을 분석하고, 이용자의 개인정보 자기결정권 보호를 위한 실무적 대응 방안을 살펴보고자 합니다.
[Question] 스마트 제품 사용, 개인정보 유출 실태는?
[Answer]
1. 최근 사례로 살펴본 개인정보 유출 쟁점
최근 다양한 분야의 스마트 기기에서 개인정보 처리와 관련된 논란이 발생하고 있습니다. 대표적인 사례는 다음과 같습니다:
(1) 딥시크(DeepSeek)의 정보 유출 사례
중국 AI 기업 딥시크는 AI 기기에서 수집된 음성데이터가 내부 테스트 목적으로 외부에 유출되며 논란이 되었습니다. 개인정보보호위원회는 딥시크가 한국 이용자의 개인정보를 중국 모회사인 바이트댄스에 이전한 사실을 확인하고, 새로운 다운로드를 차단하는 조치를 취했습니다. 이는 정보주체의 명시적 동의 없이 국외 이전이 이루어진 사례로, 개인정보보호법 제17조 및 제39조의12 위반 소지가 있습니다.
(2) BYD 등 전기차의 데이터 수집
중국 전기차 업체 BYD는 차량 내·외부 카메라, 위치정보, 주행정보 등 방대한 양의 개인정보를 수집합니다. 이러한 정보는 BYD코리아에 따르면 중국 텐센트 클라우드 서버에 저장된다고 합니다. 비록 해당회사 측은 "개인정보는 자사 서버에만 보관되며 중국 본사와 공유하지 않는다"고 해명했으나, 이는 다음과 같은 법적 문제를 내포합니다.
개인정보 주체로부터 개인정보 국외 이전에 관한 구체적 동의 획득 절차 미흡
국내 개인정보보호법과 중국 데이터보안법과의 충돌 가능성(중국 내 보관 원칙)
방대한 양의 개인정보 수집에 따른 목적 범위 일탈 가능성
(3) 로봇청소기의 개인정보 처리
로보락, 샤오미 등 대표적인 중국산 로봇청소기는 날로 그 기술이 발전하여 큰 인기를 얻고 있는데, 이러한 기술 실현을 위해서 해당 제품들은 실내 맵핑 및 장애물 인식을 위해 가정 내부의 영상데이터를 수집하고, 일부 제품은 음성인식 기능을 통해 사용자의 음성정보도 처리합니다. 이러한 정보들이 해당 회사들의 클라우드 서버로 전송되는 과정에서 다음과 같은 문제가 확인되고 있습니다.
개인정보 처리방침상 수집 항목, 이용 목적, 보유기간이 불명확하게 기재
제3자 제공 및 국외 이전에 대한 구체적 정보 부족
개인정보제공 비동의시 특정 앱 서비스 혜택을 누리거나 이용하지 못하게 하여 사실상의 강제 동의 구조
2. 국내 개인정보보호법상 주요쟁점
이와 같이 중국산 스마트 기기 제조사들의 국내 소비자들의 개인정보 수집 이용 등 처리와 관련하여 국내 개인정보보호법상 다음 쟁점들이 문제됩니다.
개인정보보호법 제17조(개인정보의 제공): 정보주체 동의 없는 제3자 제공 금지
제28조의8(국외 이전): 국외 이전 시 별도 동의 및 보호조치 필요
제22조(동의를 받는 방법): 각각의 동의 사항 구분하여 명확하게 인지시킬 의무
제30조(개인정보 처리방침): 처리방침의 구체적·명확한 공개 의무
구체적으로 중국산 스마트 기기 사례에서는 단순 약관 동의로 개인정보를 국외 이전 처리하고 있어 개인정보보호법에서 요구하는 별도 동의와 구체적 고지 요건을 충족하지 못할 가능성이 큽니다. 또한 이러한 국외 이전에 관한 사항 및 개인정보 보호를 위한 사항은 개인정보 처리방침 수립하여 명확히 고지되어야 함에도, 최근 사례에서는 국외 이전 관련 이전 국가, 이전 목적, 이전 항목, 이전받는 자(수탁자)에 관한 구체적 정보가 충분히, 명확히 고지되지 않는 경우가 많습니다.
또한 제품의 앱서비스 등 스마트 기능 이용을 조건으로 동의를 사실상 강제하는 것은 개인정보주체의 개인정보 자기결정권을 침해할 소지가 있습니다.
최근 개인정보보호위원회는 중국 플랫폼인 알리익스프레스에 개인정보보호법 위반으로 약 0억원에 달하는 과징금을 부과하기도 하였습니다. 이는 개인정보보호위원회가 해외 기업들에게 국내 개인정보보호법의 형식적인 준수의무를 부과하는 것에서 나아가, 각 기업에 국내 정보주체의 개인정보 자기결정권이 실질적으로 보장되어야 함을 강조하고 그 위반시에는 적극적인 제재조치를 내리고 있다는 것을 보여줍니다.
3. 중국 기업에 대한 해외국들의 제재 움직임
최근 EU와 미국을 중심으로 중국 기업들의 개인정보 처리에 대한 제재가 강화되고 있습니다. 2025년 1월, 유럽 개인정보 보호단체 noyb는 틱톡, 샤오미 등 6개 중국 기업을 GDPR 위반 혐의로 제소했습니다. 핵심 쟁점은 EU 이용자 개인정보의 중국 불법 이전, 투명성 부족, 그리고 사용자 동의 획득 과정의 문제점입니다.
주요 제재 사례로는 틱톡에 대한 벌금 사례가 있습니다. 2021년 네덜란드는 아동 개인정보 보호 미흡으로 75만 유로를, 2023년 아일랜드는 청소년 계정 기본 공개 설정 문제로 3억 4,500만 유로의 과징금을 부과했습니다. 미국도 2024년 "외국의 적대자로부터 미국인 개인정보 보호법(PADFA)"을 제정하여 중국 등 '외국 적대국'에 미국 시민의 개인정보 판매를 금지했습니다.
이러한 국제적 규제 강화는 단순한 개인정보 보호 문제를 넘어 글로벌 디지털 경제 규제의 갈등으로 확대되고 있습니다. 특히 중국의 개인정보보호법과 서구 개인정보보호법 간의 근본적 충돌이 핵심이며 각 국의 국익 보호과점에서 그 갈등은 심화되는 양상입니다.
2. 결론 및 실무적 시사점
중국산 스마트 기기의 개인정보 처리 문제는 단순한 소비자 선택의 문제를 넘어 국가 간 데이터 규제 정책의 충돌이라는 더 큰 맥락에서 이해할 필요가 있습니다. EU와 미국에서 중국 기업들에 대한 제재가 강화되는 추세는 우리나라 개인정보보호 정책에도 중요한 참고점이 될 것입니다.
국내 이용자의 개인정보 보호를 위해서는 먼저, 개인정보처리자인 기업 측면에서 국내법 준수 의무를 명확히 인식해야 합니다. 특히 개인정보의 국외 이전 시 정보주체의 별도 동의 획득, 처리 목적과 항목의 구체적 고지, 그리고 투명한 개인정보 처리방침 공개가 필수적입니다. 또한 개인정보보호위원회의 딥시크 조사와 알리익스프레스 제재 사례는 해외 기업이라도 국내법 준수 의무에서 예외가 없음을 보여줍니다.
소비자 측면에서는 스마트 기기 구매 및 사용 시 해당 제품의 개인정보 처리방침을 꼼꼼히 확인하고, 필수적이지 않은 개인정보 수집에 대해서는 동의를 제한하는 등 개인정보 자기결정권을 적극 행사할 필요가 있습니다. 편리함과 저렴한 가격 이면에 개인정보 침해 위험이 있을 수 있음을 인지하고, 개인정보보호를 위한 인식 제고가 무엇보다 중요한 시점입니다.