익명화 도구와 GDPR: TikTok 과징금의 의미
TikTok 판례
2025년 5월, 아일랜드 데이터 보호 위원회(DPC)가 TikTok에 5억 3천만 유로의 과징금을 부과했습니다. TikTok이 EU 이용자 정보를 중국으로 전송하면서 적절한 안전 장치를 갖추지 않은 것이 이유였습니다.
핵심은 명확합니다. 위반은 개인식별정보(PII) 자체의 이전에 있었습니다. 수집 방식도, 중국 내 처리 방식도 문제가 아니었습니다. EU 기록을 EU 외부 서버로 전송한 행위가 제46조 제1항을 위반했습니다.
GDPR 제44조에서 제49조는 EU 기록의 모든 국경 간 이전에 적용됩니다. 각 이전에는 법적 근거가 필요합니다. 주요 선택지:
- 적정성 결정 (EU가 수신국 법제를 승인)
- 수신자를 구속하는 표준계약조항(SCC)
- 대형 다국적 기업을 위한 구속력 있는 기업 규칙(BCR)
- 기타 제46조 메커니즘
2025년까지 GDPR 과징금은 총 56억 5천만 유로에 달했습니다. 국경 간 위반은 집행 건당 평균 1천 8백만 유로에 이릅니다(DLA Piper 2025). 가장 비용이 많이 드는 GDPR 위반 유형 중 하나입니다.
익명화 도구의 문제점
많은 EU 기업들이 미국 기반 도구를 사용해 콘텐츠에서 PII를 제거합니다. 언뜻 안전해 보입니다. EU 고객 콘텐츠를 업로드하고 정제된 결과를 받아 EU에 저장합니다.
그러나 원시 개인정보는 먼저 미국 서버를 거쳐 갑니다. 이 경유 자체가 제44조에서 제49조에 따른 이전으로 간주됩니다. 의도가 좋더라도 법적 판단이 달라지지 않습니다. 이후에 PII를 제거해도 이미 발생한 이전이 취소되지 않습니다. 이전은 이미 이루어진 것입니다.
아일랜드 DPC의 TikTok 논리가 여기에도 적용됩니다. 위반은 EU 이용자 기록을 EU 외부 서버로 이전한 행위입니다. EU PII를 미국 서버에서 수신하는 미국 도구는 이전을 받은 것입니다. 다른 모든 국경 간 이전과 동일하게 SCC, 적정성 결정, 또는 BCR이 필요합니다.
기관들이 이 점을 놓치는 경우가 많습니다. 익명화 결과가 이전을 정당화한다고 가정합니다. 그렇지 않습니다. 법적 분석은 EU를 떠난 데이터를 기준으로 하지, 돌아온 데이터를 기준으로 하지 않습니다.
제로 지식(Zero-Knowledge) 해결책
해결책은 아키텍처에 있습니다. 개인정보를 전혀 수신하지 않는 도구는 국경 간 위반을 야기할 수 없습니다.
제로 지식 설계는 PII 탐지를 로컬에서 수행합니다. 처리는 사용자의 브라우저 또는 로컬 앱에서 실행됩니다. 도구의 서버는 정제된 결과물만 받습니다. 실제 이름, ID, 연락처 정보를 대체하는 토큰만 전달됩니다.
GDPR 하에서 개인정보가 없는 결과물은 이전 규칙의 적용을 받지 않습니다. EU 외부로 실제 정보가 나간 것이 없습니다.
이 차이는 제30조 기록 작성에도 중요합니다. 제로 지식 EU 도구에 대한 ROPA(개인정보 처리 활동 기록) 항목에는 국경 간 이전이 기재되지 않습니다. EU PII 원시 데이터를 수신하는 미국 도구에 대한 ROPA 항목에는 이전이 기재됩니다. 해당 항목에는 명확하게 문서화된 법적 근거가 필요합니다.
GDPR 준수 가이드에서 ROPA 항목에 포함되어야 할 내용을 확인하십시오. 보안 준수 개요에서 이를 지원하는 기술적 통제 수단을 확인할 수 있습니다. 도구 전반의 문서화 팁은 익명화 일관성 가이드를 참조하십시오.