TikTok 5억 3천만 유로 과징금: GDPR 데이터 주권

데이터 주권을 바꾼 TikTok 판결

2026년 업데이트

2025년 5월, 아일랜드 데이터보호위원회(DPC)가 TikTok에 5억 3천만 유로의 과징금을 부과했습니다. 이유는 간단합니다. TikTok이 적절한 안전장치 없이 EU 사용자 정보를 중국으로 전송했습니다.

이것은 역대 두 번째로 큰 단일 GDPR 과징금입니다. 2023년 12억 유로의 메타 과징금만이 더 큽니다. 아일랜드 DPC가 그것도 발행했습니다 — EU 기록을 Facebook의 미국 서버로 전송한 것에 대해.

두 사례는 명확한 패턴을 공유합니다. 적절한 안전장치 없는 국경 간 이전이 가장 큰 과징금을 받습니다. 규제 당국은 기업들이 바꿀 때까지 계속 압박할 것입니다.

총 GDPR 과징금은 2025년까지 55억 유로에 달했습니다. 집행은 더 이상 배경 위험이 아닙니다. 비즈니스의 실제 비용입니다. 실용적인 개요는 GDPR 준수 가이드를 참조하세요.

TikTok 사건이 결정한 것

이 사건은 침해에 관한 것이 아니었습니다. 사용자 파일이 어디로 가는지와 국경을 넘어 이동하는 법적 근거에 관한 것이었습니다.

TikTok은 서버에 EU 사용자 파일을 저장했습니다. 중국의 직원들이 그 서버에 접근할 수 있었습니다. GDPR 제44-46조는 EU 충분성 결정이 없는 국가로의 이전을 제한합니다. 중국에는 그런 결정이 없습니다. TikTok은 적절한 기술적 조치를 취했다고 말했습니다. 규제 당국은 아니라고 했습니다.

교훈은 간단합니다. EU 내 호스팅만으로는 충분하지 않습니다 — EU 외부의 직원이 파일에 접근할 수 있다면. 회사가 충분성이 없는 국가의 법률을 따라야 한다면도 마찬가지입니다.

이것은 SaaS 벤더를 선택할 때 중요합니다. 벤더가 "EU에서 호스팅합니다"라고 말할 수 있습니다. 하지만 모회사가 다른 곳에 기반을 두고 있다면 같은 위험이 적용됩니다. 지원 직원이 EU 외부에서 사용자 파일에 접근한다면 같은 위험이 적용됩니다. 그들의 고객들도 그 위험을 공유합니다. DPA에 서명하기 전에 컴플라이언스 정렬 체크리스트를 확인하세요.

GDPR 과징금: 55억 유로 이상

규제 당국은 규칙 설정에서 집행으로 전환했습니다. 이전 위반이 이제 가장 큰 과징금을 받습니다. 보안 및 안전장치 처리 방식을 알아보세요.

독일, 스위스, 부문별 규정

GDPR 제44-46조는 모든 부문에 적용됩니다. 하지만 일부 산업은 GDPR 위에 추가 규정을 직면합니다.

독일 의료: 사회법전 V(SGB V)는 의료 문서를 독일이 통제하는 시스템으로 제한합니다. 독일 보험사는 더블린의 클라우드 비식별화 도구를 사용할 수 있습니다 — 그것은 EU입니다. 하지만 도구 소유자가 독일 기업이 아니라면 여전히 SGB V를 위반할 수 있습니다.

스위스 은행: 은행법 제47조는 명시적 고객 동의 없이 외부 당사자와 고객 문서를 공유하는 것을 금지합니다. 클라우드 제공업체를 포함합니다. EU 호스팅 도구의 스위스 은행 고객 파일도 이 법을 위반할 수 있습니다.

독일 공공 부문: BfDI 지침은 정부 문서를 정부 운영 시스템으로 제한합니다. 상업 클라우드 제공업체의 EU 서버에 있는 비식별화 도구는 이 기준을 충족하지 않습니다.

교훈: GDPR 준수는 최소 기준이지, 최대 기준이 아닙니다. 많은 부문이 더 엄격한 규정에 직면합니다. 엔터티 처리 개요에서 부문별 적용 규정을 확인하세요.

충분성 결정을 보유한 국가

GDPR은 유럽 위원회가 동등한 보호를 제공한다고 인정하면 국가들이 사용자 정보를 자유롭게 교환할 수 있습니다. 이 국가들이 해당됩니다:

안도라, 아르헨티나, 캐나다(상업 그룹), 페로 제도, 건지, 이스라엘, 맨 섬, 일본, 저지, 뉴질랜드, 한국, 스위스, 영국, 우루과이, 미국(데이터 개인정보 보호 프레임워크).

해당되지 않는 국가들: 중국, 인도, 러시아, 브라질, 아시아 태평양 대부분, 중동 대부분, 아프리카 대부분.

EU-US 데이터 개인정보 보호 프레임워크는 다시 발효되었습니다. 하지만 여전히 법원에서 도전받고 있습니다. 동일한 법적 주장이 Safe Harbor(Schrems I)와 Privacy Shield(Schrems II)를 무효화했습니다. 이 프레임워크를 사용하는 기업들은 또 다른 무효화를 계획해야 합니다.

도구 선택을 위한 4단계 보호

TikTok과 메타 사건들은 SaaS 도구 평가를 위한 명확한 순위를 만들었습니다.

1단계 — EU 호스팅: 사용자 정보가 EU 서버에서 처리되고 저장됩니다. 대부분의 사용 사례에서 GDPR 기준을 충족합니다.

2단계 — EU 기반 운영자: 벤더의 모회사가 EU 기반입니다. 충분성이 없는 국가 법률의 적용을 받지 않습니다. 이것이 TikTok 문제를 해결합니다. EU 호스팅과 모회사에 대한 중국법 노출의 조합은 안전하지 않습니다.

3단계 — 제로 지식 설계: 벤더가 해킹되거나 법원 명령을 받더라도 파일을 읽을 수 없습니다. 암호화 키를 보유하고 있습니다. 그들은 암호문만 가집니다. 제로 지식 접근법에 대해 읽어보세요.

4단계 — 로컬 처리: 문서가 사용자 자신의 시스템을 벗어나지 않습니다. 처리는 로컬 하드웨어 또는 정부 통제 기계에서 실행됩니다. 독일 SGB V, 스위스 은행 비밀, BfDI 규정을 완전히 충족하는 유일한 방법입니다. 데스크톱 앱 옵션은 가격 계획을 참조하세요.

TikTok 이후의 DPIA

GDPR 제35조는 고위험 처리에 대한 데이터 보호 영향 평가(DPIA)를 요구합니다. 사용자 파일이 제3국 처리자에게 전달될 때는 이전 영향 평가도 필요합니다.

TikTok 이후, 클라우드 편집 도구에 대한 DPIA는 네 가지 질문에 답해야 합니다.

모회사 관할권: 벤더의 모회사가 EU 사용자 파일을 강제로 제출하게 할 수 있는 법률 — CLOUD Act, 중국 사이버보안법 — 의 적용을 받습니까?

직원 접근: 충분성이 없는 국가의 직원들이 일반 운영에서 EU 사용자 파일에 접근합니까?

법적 근거: 어떤 GDPR 제46조 메커니즘이 이전을 포함합니까 — SCC, BCR, 또는 예외?

침해 영향: 벤더가 해킹되거나 문서를 강제로 제출하게 된다면 무엇이 노출됩니까?

TikTok은 계약만으로는 충분하지 않다는 것을 보여주었습니다. 충분성을 평가해야 합니다. 답을 문서화하세요. 일반적인 DPIA 질문은 FAQ를 참조하세요.

2026년 조달 질문

DPO들은 이제 개인 정보 처리 도구에 대한 SaaS 벤더를 검토할 때 매우 구체적인 질문을 합니다.

• 서버는 어디에 있습니까? (EU?)
• 모회사는 어디에 기반합니까? (EU? 미국? 기타?)
• EU 외부 직원이 EU 고객 파일에 접근합니까?
• 개인 문서에 대한 법원 명령에는 어떤 법이 적용됩니까?
• 벤더가 암호화 키를 보유합니까, 아니면 귀하가 보유합니까?
• 로컬 처리 옵션이 있습니까?

이 질문들에 대한 답 — DPA 서명만이 아니라 — 이 실제 주권 정렬을 결정합니다. anonym.legal이 이 모든 것에 어떻게 답하도록 구축되었는지는 창업자 성명을 참조하세요. SCC, BCR, 충분성 결정의 빠른 정의는 주요 용어 용어집을 참조하세요.

포스트-TikTok 환경은 명확합니다. 규제 당국이 국경 간 이전을 면밀히 감시합니다. 과징금이 큽니다. 증가하고 있습니다. 벤더 선택은 이제 규제적 결정입니다. 단순한 기술적 결정이 아닙니다.

anonym.legal은 제로 지식 설계와 함께 EU 기반 Hetzner 데이터 센터를 사용합니다. 서버는 귀하의 평문 콘텐츠를 볼 수 없습니다. 전체 서버 침해는 AES-256-GCM 암호문만 노출됩니다. 로컬 전용 처리가 필요하십니까? 데스크톱 앱은 외부 연결 없이 완전히 귀하의 기기에서 실행됩니다.

출처

• 아일랜드 DPC: TikTok 5억 3천만 유로 과징금 결정
• Wire: 디지털 주권 2025
• GDPR.eu 집행 추적기