[단독]'제2의 로보락' TCL‥"귀하의 데이터, 전세계로 공유합니다"[中가전 보안경고음]①

中 전자기기 업체 개인정보 지침 비교
TCL, 필요시 개인정보 계열사에 전송 가능
CCTV업체 다후아도 타 국가로 전송 여지
업체 5곳서 정보 제공업체 안 밝혀

TCL의 TV 제품, 사진 TCL 제공

스마트TV와 냉장고를 만들어 국내에 판매하는 중국 TCL이 고객 동의 없이 개인정보를 전 세계 어느 국가로든 전송할 수 있다고 개인정보처리방침에 명시한 것으로 확인됐다. 앞서 중국 로봇청소기업체 로보락이 고객 동의 없이도 개인정보를 수집하고 사용할 수 있다고 밝혀 논란이 됐는데, TCL은 한술 더 떠 전 세계 어디든 보내고 역외 법 적용을 받을 수 있다고 한 것이다. 특히 국내에는 TCL 조직 구성을 알기 어려워 개인정보 문제가 불거질 경우 대응에도 한계가 있을 것이라는 지적이 나온다.

7일 아시아경제가 TCL을 비롯해 하이센스, 샤오미, 하이크비전, 다후아, 유니뷰, 로보락, 에코벡스, 드리미 등 한국 시장에 진출한 중국 가전, 전자기기 업체 9곳의 개인정보 처리방침을 전수조사한 결과 로보락 외에 TCL과 다후아에서도 고객 동의 없이 계열사 및 타사에 개인 정보를 제공할 가능성이 있는 것으로 파악됐다.

TCL은 개인정보처리방침에서 ▲자사 자료를 제공하는 데 도움을 주거나 ▲자사 제품 및 서비스를 판매하는 경우 ▲법령 준수나 ▲개인 정보 보호 지침에 따라 개인 정보를 처리하는 목적 등 특정 조건에 대해 별도의 동의 없이도 개인 정보를 계열사 및 자회사, 제삼자에 공개할 수 있도록 하고 있다.

특히 문제의 소지가 있는 조항은 '개인 정보의 해외 전송' 부분이다. TCL은 개인정보 관리를 위해 정보를 다른 나라에 위치한 업체에 전송할 수 있다고도 밝히고 있다. 이 과정에서 "귀하의 국가에서 시행되는 법률 이외의 법률(타 국가) 적용을 받을 수도 있다"고 명시했다.

앞서 중국 로보락은 해당 국가의 데이터 보호법이 허용하는 범위 내에서 고객 동의 없이도 개인정보를 수집하고 사용할 수 있다고 명시하고 있어 논란이 됐다. 이후 로보락은 입장문을 통해 "한국의 법률 및 규정을 철저히 준수한다"고 해명한 후 홈페이지상 지침을 수정했다.

TCL은 로보락보다 한발 더 나아가 개인정보의 해외 전송 가능성과 다른 국가의 법률 적용 가능성까지 열어둔 셈이다. 이에 대해 본지는 TCL코리아 측의 입장을 듣기 위해 여러 차례 연락했으나 연결되지 않았다.

개인정보보호위원회 관계자는 "처음에 서비스에 가입할 때 고객 동의를 받았을 가능성이 크고, 동의받지 않았더라도 법적 의무를 준수하기 위해 필요한 경우는 정보를 수집할 근거가 된다"며 "업체는 서비스를 구현하기 위해 어쩔 수 없이 정보 활용을 해야 하는 경우도 생긴다"고 설명했다.

하지만 전문가들은 정보 유출 위험이 존재한다고 진단했다. 박춘식 서울여대 정보보호학과 교수는 "딥시크를 비롯해 다른 중국 업체 제품들도 개인정보 보호 방침상 정보 유출 가능성이 있는 상태"라며 "해외 업체의 경우 나라마다 법이 다르기 때문에 국내법을 고려하지 않을 가능성도 있다고 봐야 한다"고 말했다. 그러면서 해외 전송 지침에 대해서도 "글로벌 업체의 경우 자기 본사로 정보를 보낼 수 있도록 하기 때문에 보다 면밀히 검토해야 한다"고 밝혔다.

TCL은 세계 TV 시장에서 하이센스, 샤오미 등과 함께 점유율을 빠르게 늘리고 있다. 시장조사업체 옴디아에 따르면 지난해 출하량 기준 초대형 TV에서 중국 업체 3곳(TCL·하이센스·샤오미)의 점유율은 31.3%로, 삼성전자와 LG전자의 합산 점유율(28.4%)을 처음으로 추월했다. 중국 기업들이 한국 기업과의 기술 격차와 점유율을 좁혀가고 있어 그만큼 보안의 중요성도 더욱 강조되고 있다.

TCL 글로벌 홈페이지에 게재된 '개인정보 처리방침' 캡처, TCL 글로벌 홈페이지 캡처

개인정보 처리 방침상 개인정보 공유 가능성이 있는 업체의 제품군은 스마트TV 외에도 사물인터넷(IoT) 기능이 포함된 냉장고, 로봇청소기와 CCTV 등으로 확장된다.

중국의 CCTV 업체 다후아 역시 다른 국가에 위치한 당사 서버에 고객의 개인 정보를 전송, 저장할 수 있도록 규정했다. 이를 위해 다른 국가로 정보가 전송될 수 있으며 국가에 따라 적용되는 법률 및 보호 수준이 달라질 수 있다고 명시했다.

다후아는 고객의 명시적인 동의가 있을 경우 개인 정보를 제3자와 공유할 수 있도록 했다. 하지만 '신뢰할 수 있는 특정 제3자(자회사 및 계열사)'의 경우에는 고객 동의 없이도 정보를 공유할 수 있도록 했다.

조사 업체 9곳 중 3곳(샤오미·다후아·에코벡스)을 제외한 5곳의 업체에서 고객 정보가 이전하는 제3자 서비스 제공업체에 대해 명확하게 적시하지 않았다. 로보락은 최근 방침 업데이트 이후 홈페이지에 제공업체 세부 명단을 추가했다.

업체들은 대부분 개인정보를 저장, 관리할 수 있는 서버를 별도로 마련해두고 있었다. 특히 전 세계로 시장을 확장하는 글로벌 IoT 기업과 스타트업의 경우 다른 업체의 클라우드 서버를 활용해 개인정보를 국가별로 저장하는 경우가 많다.

샤오미도 한국 이용자의 경우 싱가포르에 위치한 데이터센터에 개인정보를 저장한다. 다후아도 중국, 미국, 독일, 싱가포르 등에 위치한 서버에 저장한다고 규정하고 있다.

문제는 이 과정에서 중국 업체가 고객의 개인정보를 중국의 본사나 제3의 업체로 전송할 우려가 있다는 것이다. 일부 기업은 우려를 불식시키기 위해 서버를 중국이 아닌 해외로 이동하는 경우가 있지만, 여전히 본사 및 계열사에 정보 전송이 가능해 중국 본사로 개인정보를 이전할 가능성은 남아 있다.

염흥열 순천향대 정보보호학과 명예교수는 "국내법상 개인정보 처리자라면 계열사도 본사와 다른 법인에 해당한다"며 "회사가 다를 경우 개인정보 처리방침을 명백하게 밝혀야 한다"고 설명했다. 정보의 해외 전송 규정과 관련해서도 "한국 고객의 개인 정보를 통해 서비스를 제공하고 있다면 당연히 한국 법을 준수해야 한다"고 강조했다.

박준이 기자 giver@asiae.co.kr