오스트리아의 한 단체인 노이브(noyb)는 중국 IT 대기업 알리익스프레스, 틱톡, 위챗을 상대로 데이터 프라이버시 침해 소송을 제기했습니다

오스트리아 개인정보보호단체인 노이브(Noyb, '당신이 상관할 바 아니다')는 중국 IT 기업 3곳이 EU 개인정보보호법, 특히 GDPR 제15조를 준수하지 않았다는 이유로 개인정보보호 관련 문제를 제기하며 강력히 비판한 것으로 알려졌다. 

노이브는 애플, 알파벳, 메타와 같은 미국 기업들을 상대로 소송을 제기하여 여러 건의 조사와 수십억 달러의 벌금 부과를 이끌어내며 명성을 쌓았습니다.

노이브가 규제 당국에 제시한 주장

해당 시민단체는 벨기에, 그리스, 네덜란드의 데이터 보호 당국에 진정을 제기했습니다. 이들의 주된 쟁점은 EU 법률에서 요구하는 바와 같이 기업들이 사용자에게 개인 데이터에 대한 완전한 접근 권한을 부여하지 않았다는 주장입니다.

noyb에 따르면, 이러한 거부는 고집에서 비롯된 것으로, 이로 인해 일반 유럽 사용자들은 자신의 데이터가 어떻게 처리되는지, GDPR 특히 중국으로의 데이터 전송과 관련하여

대부분의 IT 기업들은 사용자 정보 다운로드 요청을 처리할 수 있는 도구를 보유하고 있습니다. 그러나 일부 중국 기업들은 정보 접근을 거의 불가능하게 만들었다고 노이브(noyb)는 전했습니다.

만약 이 중국 기업들이 "정보 다운로드" 도구처럼 GDPR에 따른 정보 접근 요청을 대량으로 처리할 수 있는 자동화 도구를 도입했다면, 이론적으로 EU 법률을 준수하는 것이 매우 쉬워졌을 것입니다.

하지만 노이브(noyb)의 데이터 보호 변호사인 클레안티 사르델리에 따르면, 틱톡, 알리익스프레스, 위챗은 모두 사용자에 대한 데이터를 최대한 많이 수집하면서도 그 사용 목적에 대해서는 사용자에게 알리지 enj.

노이브는 틱톡과 알리익스프레스 모두 GDPR 제15조에 따라 정보 주체에게 모든 데이터에 대한 접근 권한을 제공하기를 거부했으며, 틱톡은 신고자의 데이터 중 일부만 이해하기 어려운 비정형 형태로 제공했다고 주장했습니다.

알리익스프레스는 한 번만 열 수 있는 손상된 파일을 제공했고, 위챗은 항의자의 요청을 완전히 무시했습니다.

틱톡과 알리익스프레스의 조치로 사용자들은 일련의 추가 질문을 보내게 되었고, 답변할 두 번째 기회를 얻게 되었습니다.

그러나 두 회사 모두 누락된 데이터를 제공하는 대신 개인 정보를 일절 포함하지 않고 개인정보 처리방침의 내용을 반복해서 제시하여, 신고자들이 자신들의 데이터가 GDPR을 준수하여 처리되었는지 여부를 확인할 수 없게 만들었습니다.

이번 새로운 소송은 앞서 다른 회사들을 상대로 제기된 소송에 이은 것입니다

노이브는 올해 매우 바쁜 한 해를 보내고 있습니다. 이 시민단체는 소송을 제기했으며 , 위반 기업의 전 세계 매출의 최대 4%에 달하는 벌금 부과를 촉구한 것으로 알려졌습니다.

EU 법에 따르면 EU 외부로의 데이터 전송은 목적지 국가가 데이터 보호를 저해하지 않는 경우에만 허용됩니다. 중국 법률은 당국의 개인 데이터 접근을 제한하지 않기 때문에 기업들은 EU 사용자 데이터를 정부의 접근으로부터 보호할 수 없습니다.

SHEIN, Temu, Xiaomi는 소송 절차 중에 고소인들에게 추가 정보를 제공한 것으로 알려졌지만, TikTok, AliExpress, WeChat은 계속해서 GDPR을 위반했습니다.

노이브(noyb)의 데이터 보호 변호사인 클레안티 사르델리는 "GDPR은 기업이 사용자로부터 처리하는 데이터에 대한 구체적인 정보를 제공해야 한다는 점을 명확히 하고 있습니다. 요청이 많다고 해서 정보를 제공하지 않을 수 있는 것은 아닙니다."라고 말했습니다

벨기에, 그리스, 네덜란드의 데이터 보호 당국(DPA)에 새로 제기된 noyb의 진정은 각 DPA가 틱톡, 알리익스프레스, 위챗이 GDPR 제12조 및 제15조를 위반했다는 결정을 내려줄 것을 요청하고 있습니다.

또한, 해당 단체는 기업들이 고소인들의 정보 접근 요청을 이행하도록 명령하고, 향후 유사한 위반 행위를 방지하기 위해 데이터 보호 당국이 행정 벌금을 부과하도록 권고해 줄 것을 요청했습니다.