IT/지식재산기업법무해외법무

DATA+LAWㅣ틱톡이 유럽에서 위기에 빠진 이유 - DSA와 GDPR, 두 법의 충돌

틱톡이 유럽에서 최대 6% 과징금 위기에 놓였습니다. '데이터를 공개하라'는 DSA와 '개인정보를 보호하라'는 GDPR, 두 법의 충돌 속에서 기업이 준비해야 할 것들을 쉽게 정리합니다.
법무법인 슈가스퀘어's avatar
법무법인 슈가스퀘어
Dec 14, 2025
DATA+LAWㅣ틱톡이 유럽에서 위기에 빠진 이유 - DSA와 GDPR, 두 법의 충돌
Contents
1. 틱톡이 유럽에서 위기에 빠진 이유: 두 법의 모순된 요구2. 틱톡에게 무슨 일이? 최대 6% 과징금 위기3. 점검하세요! 기업의 데이터 거버넌스 체크리스트4. 규제 리스크를 성장 기회로 바꾸는 법률 설계, 슈가스퀘어에서!

유럽 데이터 규제의 딜레마: '공개하라' vs '보호하라'

유럽연합(EU)이 플랫폼을 규제하는 방식이 바뀌고 있습니다. 과거에는 개인정보 보호(GDPR)만 신경 쓰면 됐지만, 이제는 플랫폼의 투명성까지 통제하는 디지털 서비스법(DSA)이 추가됐습니다. 문제는 이 두 법이 서로 정반대를 요구한다는 것입니다.

DSA는 "데이터를 투명하게 공개하라"고 하고, GDPR은 "개인정보를 함부로 쓰지 말라"고 합니다. 월간 활성 사용자 4,500만 명 이상의 거대 플랫폼인 틱톡(TikTok)은 바로 이 딜레마 속에서 위반 혐의를 받고 있습니다.

이 글은 유럽연합 집행위원회의 최신 예비 위반 결론(Preliminary Findings)을 기반으로, DSA가 요구하는 '데이터 투명성'과 GDPR의 '개인정보 보호'가 어떻게 상충하는지 살펴봅니다. 글로벌 서비스를 운영하는 기업이 반드시 이해하고 준비해야 할 선제적 데이터 거버넌스 전략까지 확인하세요. 

1. 틱톡이 유럽에서 위기에 빠진 이유: 두 법의 모순된 요구

유럽연합은 2022년 제정한 디지털서비스법(DSA)을 통해 플랫폼의 광고, 알고리즘 운영, 데이터 활용 방식까지 규제하기 시작했습니다. 특히 월간 활성 사용자(MAU)가 4,500만 명 이상인 VLOP(Very Large Online Platform)은 투명성, 책임성, 위험 평가라는 강력한 의무를 집니다. 

문제는 여기서 시작됩니다. DSA는 "연구자와 규제기관에게 데이터를 투명하게 공개하라"고 요구하는데, GDPR은 "개인정보를 함부로 쓰지 말라"고 합니다. 틱톡 같은 플랫폼은 DSA를 지키려 할수록 GDPR 위반 위험에 노출되는 '진퇴양난'에 빠진 것입니다.

GDPR: 개인정보의 수집과 활용, 저장, 이전 등을 통제하는 규칙으로, 개인의 사생활과 데이터 주권 보호를 핵심으로 삼고 있습니다.
👉GDPR이 뭔데? 한국 기업이 꼭 알아야 할 해외 주요 개인정보보호 규제 알아보기

2. 틱톡에게 무슨 일이? 최대 6% 과징금 위기

유럽연합 집행위원회(EC)는 2025년 10월 24일, 틱톡(TikTok)과 메타(Meta)에 대해 DSA 규정 위반에 대한 예비 위반 결론(Preliminary Findings)을 공식 발표했습니다. 구체적인 위반 혐의는 DSA가 VLOP에 부과하는 핵심 투명성 의무에 관한 것입니다.

  • 연구자 데이터 접근 방해:

    • DSA는 시스템적 위험 연구를 위해 검증된 외부 연구자에게 데이터 접근 권한을 주도록 의무화합니다 (DSA 제40조). 그런데 EC는 틱톡과 메타가 접근 절차를 과도하게 복잡하게 만들거나, 불완전한 데이터만 제공해 연구를 방해했다고 지적했습니다.

  • 광고 투명성 미흡:

    • 광고 데이터베이스가 불투명해서 누가 어떤 광고를 집행했는지, 타겟 대상이 누구였는지 외부에서 확인하기 어렵다는 점도 문제로 지적됐습니다.

아직 '예비 위반' 단계라 처벌이 확정된 것은 아닙니다. 하지만 최종 확정되면 전 세계 연간 매출액의 최대 6%에 달하는 과징금이 부과될 수 있습니다. 글로벌 기업에게는 치명적인 재무 리스크입니다.

3. 점검하세요! 기업의 데이터 거버넌스 체크리스트

DSA와 GDPR의 충돌은 '공개 데이터'의 법적 성격을 근본적으로 바꾸고 있습니다. 과거에는 공개된 데이터(댓글, 좋아요, 프로필 정보 등)는 플랫폼이 자유롭게 활용 가능한 자산으로 간주했지만, 이제는 DSA가 요구하는 '연구자/규제기관의 데이터 접근 권리'가 강화되면서, 플랫폼은 이 데이터를 투명하게 관리해야 하는 책임을 갖게 됩니다.

동시에, 이 데이터에 포함된 아주 작은 개인 식별 정보라도 GDPR의 보호 의무를 적용받게 됩니다. 데이터를 재활용·분석·판매하는 기업은 DSA의 투명성을 유지하면서도 GDPR의 보호 원칙을 동시에 충족해야 하는 고도의 법률 설계를 해야합니다.

영역

점검 항목 (DSA & GDPR 통합 관점)

데이터 접근 및 투명성

알고리즘 동작 로그, 광고 타겟팅 정보 등 투명성 의무 대상 데이터에 대한 접근 절차 및 감사 시스템 구축

개인정보 처리

사용자 동의, 가명처리, 최소 수집 원칙을 포함한 GDPR 보호 체계 정비 (DSA 투명성 요구에 대응 가능한 방식으로)

위험 평가 및 대응

시스템적 위험(예: 유해 콘텐츠 노출)에 대한 정기적인 위험 평가 수행 및 개선 조치 이행

법률 구조 설계

AI 분석, 사용자 추천, 타겟 마케팅 등 데이터 활용 계획을 DSA와 GDPR 규제를 모두 만족시키도록 법률적 관점에서 재설계

4. 규제 리스크를 성장 기회로 바꾸는 법률 설계, 슈가스퀘어에서!

DSA와 GDPR이 플랫폼에게 근본적으로 상반되는 요구를 하는 딜레마 속에서, 글로벌 서비스를 운영하거나 유럽 시장 진출을 준비하는 기업은 법을 지키는 수준을 넘어 데이터 전략을 대대적으로 재설계해야 합니다. 충돌의 핵심인 ‘어디까지가 시스템적 위험을 연구하기 위한 공익적 정보이며, 어디부터가 보호되어야 할 개인의 사생활 정보인가?’에 대한 기준을 설계하고, 새로운 시대의 새로운 디지털 거버넌스 속에서 ‘책임 있는 기술’을 만들어갈 수 있어야 합니다.

데이터 거버넌스에 대한 투자는 필수입니다. 법무법인 슈가스퀘어는 플랫폼과 데이터 기반 비즈니스가 직면한 DSA와 GDPR의 복잡한 교차점을 파악하고 리스크를 선제적으로 관리할 수 있는 방안을 제시합니다.

  • 글로벌 컴플라이언스 통합 설계: DSA와 GDPR의 충돌 지점을 분석하여, 광고·콘텐츠 투명성과 개인정보 보호를 아우르는 통합적인 데이터 거버넌스 시스템 구축을 지원합니다.

  • AI/마케팅 활용 리스크 예측: AI 학습 및 타겟 마케팅 등 첨단 데이터 활용 계획에 대한 법적 리스크를 예측하고, 최적의 법률 구조를 설계합니다.

  • 규제 위기 대응: 규제 당국의 조사 대응, 시정 조치 계획 수립, 유럽 위원회 협의 등 위기 상황에서 필요한 모든 법적 대응 역량을 제공합니다.

초기 전략부터 슈가스퀘어와 함께하세요. 데이터 규제가 글로벌 시장 진입의 허들이 되지 않도록, 기초부터 탄탄하게 설계해드리겠습니다.

👉해외 규제가 어렵다면? 한국 개인정보보호법부터 점검하세요.
👉데이터가 국경을 넘는 시대, 해외 진출 기업이라면 이렇게 준비하세요

[상담문의]

Share article

법무법인 슈가스퀘어 공식 블로그

RSS·Powered by Inblog