[개인정보] 글로벌 서비스로 진출할 때 어떤 걸 고려하지?

당연한 이야기지만, 국내 서비스가 해외로 진출할 때에는 각국의 법규와 규제를 고려해야 한다.
각 나라마다 법적 요구사항과 문화도 다르기 때문에 서비스로 직접 진출을 할 거라면 정확히 파악하고 준비해야 한다.
글로벌 서비스를 확장하기 위해 리서치해 본 김에 정리해 보는 개인정보.
개인정보보호만 정리하는것 같네.
개인정보보호법 관련하여 리서치하다보니 데이터 현지화 규정이 있었다.

데이터 현지화?

개인 정보의 국외 이전에 대한 엄격한 규제 중 하나로, 기업이 해당 국가 내에서 수집한 개인정보는 반드시 해당 국가 내의 서버에 저장해야 함을 의미한다. 이를 통해 정부가 데이터 접근성과 통제를 강화하는 것이라고 한다.
데이터 현지화는 중국, 러시아, 베트남에서 법적으로 강력히 요구되고 있으며 인도, 브라질, 터키, 사우디아라비아에서는 일부 데이터의 현지화가 요구되고 있다고 한다. 민감한 개인정보에 대해서는 현지 처리 및 보관이 필요하다고 한다.
 
국내 서비스가 해외로 진출할 때는 각국의 법규를 철저히 준수해야 하며, 특히 아동 개인정보 보호와 관련된 법규를 반드시 고려해야 한다. 아동의 개인정보를 처리할 때는 부모의 동의 절차, 데이터 보안 및 최소화 원칙을 철저히 따르고, 각국의 법적 요구사항을 반영하여 서비스를 운영해야 한다. 이를 통해 법적 리스크를 최소화하고, 해외 시장에서 신뢰를 얻을 수 있다.

---

국내 서비스가 해외로 진출할 때 고려해야 할 법규

1. 개인정보 보호법

중요하지 않은 법은 없겠지만, 해외 진출 시 개인정보 보호법은 가장 중요한 법규 중 하나로 아동을 포함한 사용자의 개인정보를 수집하고 처리하는 방법에 대해서는 각 나라마다 약간의 차이를 보일 수 있다.

• EU(GDPR): EU 내에서 개인정보를 처리하는 모든 기업은 GDPR을 준수해야 하며, 개인정보 보호가 매우 중요하다.
• - 아동의 개인정보는 부모의 명시적 동의를 받아야 하고, 사용자 권리(예: 데이터 접근, 삭제, 수정 등)를 보장해야 한다.
• - 데이터 현지화: EU 내 데이터를 유럽 밖으로 전송하려면 특별한 규제가 있다.
• - 위반 시, 최대 4%의 연간 글로벌 매출까지 벌금이 부과된다.
• 미국(COPPA, CCPA): COPPA는 13세 미만 아동의 개인정보 보호를 다루며, CCPA는 캘리포니아주에서 시행되는 소비자 개인정보 보호법이다. CCPA는 사용자가 자신의 개인정보를 어떻게 처리할 것인지 선택할 수 있는 권리를 보장한다.
• - 13세 미만 아동의 개인정보를 수집하려면 부모의 동의가 필수적이다.
• - 데이터 현지화: CCPA는 데이터 현지화에 대한 구체적인 요구사항이나 명시적인 규정은 없다.
• - 위반 시, 최대 1만 달러 이상의 벌금과 손해배상, 제재등을 받을 수 있다.
• 중국(PIPL): 14세 미만 아동의 개인정보 보호를 강화하고, 중국 내 데이터 현지화가 의무화된다.
  - 아동의 개인 정보를 수집할 때는 부모의 동의가 필요하다.
  - 데이터 현지화: PIPL은 중국 내에 데이터를 저장할 의무가 있다.
  - 위반 시, 최대 1백만 위안(약 1억 7천만원) 벌금이 부과된다. 기업 중지 명령, 개인 책임자 처벌, 소비자 손해배상 등의 처벌을 받을 수 있다.
  
  
• 베트남( Decree 13/2023/ND-CP ): 16세 미만 아동의 개인정보 수집에는 부모 동의가 필요하고, 데이터 보호 규제를 준수해야 한다. 개인정보의 보안과 처리 제한을 강조한다.
  - 데이터 현지화: 베트남 내에 데이터를 저장하고, 국외로 전송하려면 특별한 절차를 따라야 할 수 있다.
  - 위반 시, 벌금 최대 1억동(약 5,000달러), 영업 정지 및 중지 명령, 행정 처벌, 손해 배상 및 형사처벌 등을 받을 수 있다.
  
  

2. 소비자 보호법

해외 진출 시, 각국의 소비자 보호법도 중요하다. 서비스 제공 시 환불 정책, 계약 조건, 불만 처리 등 소비자의 권리를 보호하는 법규를 준수해야 한다.

• EU: 14일 이내 환불을 보장해야 하며, 불공정 거래에 대한 규제를 준수해야 한다.
• 미국: 환불 정책과 불공정 광고에 대한 규제를 따르며, FTS 규정을 준수해야 한다. 각 주마다 서로 다른 법규를 적용할 수 있다.
• 중국: 중국에서도 소비자 보호법을 준수해야 하며, 특히 전자상거래법과 관련된 규제를 철저히 따라야 한다.
• 베트남: 베트남 전자상거래법에 따라 환불과 반품 규정을 명확히 해야 하며, 소비자 정보 보호에 대한 규제를 준수해야 한다.

 

3. 세금 규제

디지털 제품이나 서비스를 해외에서 제공할 때 세금 규제를 준수해야 한다. 부가가치세(VAT)나 판매세 등의 세금 법규를 확인하고 이를 정확히 납부해야 한다.

• EU: 디지털 서비스에 VAT를 부과해야 하며, 각 국가의 세율에 맞게 세금 징수를 해야 한다.
• 미국: 일부 주에서는 디지털 제품에 대해 판매세가 부과된다. 이 경우, 주별로 규제가 다를 수 있어 주의가 필요하다.
• 중국: 부가세가 부과되며, 디지털 제품이나 서비스의 세금 규제를 따르고 이를 중국 세무 당국에 납부해야 한다.
• 베트남: 베트남은 전자상거래 법에 따라 디지털 서비스에도 부가세를 부과하며, 이를 세무 당국에 납부해야 한다.

 

4. 지식재산권 보호

해외에서 디지털 콘텐츠나 기술을 제공할 경우, 저작권, 상표권, 특허권을 보호해야 한다. 각국에서 제공하는 디지털 콘텐츠에 대해 저작권 보호와 상표 등록을 반드시 고려해야 한다.

• EU: 저작권과 상표권에 대한 규제가 강력하며, 디지털 콘텐츠의 무단 복제를 금지한다.
• 미국: 저작권 및 특허 등록을 통해 기술을 보호해야 하며, 상표와 특허에 대한 보호가 필요하다.
• 중국: 상표와 특허 보호가 필수적이며, 위조 상품에 대한 규제가 엄격하다.
• 베트남: 베트남에서도 저작권과 상표 보호가 중요하며, 특히 디지털 콘텐츠의 무단 사용을 막는 규제가 있다.
• (그치만 베트남에서 우리 서비스 털렸...)

 

5. 기타 법규

• 전자상거래법: 온라인 서비스 제공 시 전자상거래법에 따라 계약 조건과 서비스 이용 규약을 명확히 해야 한다.
• 반독점법: 독점적인 서비스를 제공하는 경우, 반독점법에 위반되지 않도록 해야 한다.

---

아동 개인정보 보호법규 정리

아동의 개인정보 보호법규는 아동을 대상으로 하는 서비스에서 특히 중요하다. 아동의 개인정보는 성인에 비해 더 높은 보호가 필요하므로, 각국은 아동 개인정보 보호에 대한 법적 요구사항을 엄격하게 규정하고 있다. 

1. 유럽연합(GDPR)

• 14세 미만 아동의 개인정보를 수집하려면 부모의 동의가 필요하다.
• 부모는 명확하고 간단한 언어로 아동의 개인정보 처리 방침을 이해하고 동의해야 한다.
• 아동의 개인정보 처리에 대해 투명성을 유지하고, 필요한 정보만 최소화하여 수집해야 한다.

2. 미국(COPPA)

• 13세 미만 아동의 개인정보 수집에는 부모의 동의가 필수적이다.
• 부모는 온라인에서 동의 절차를 통해 아동의 개인정보 수집에 동의할 수 있다.
• 아동의 개인정보가 목적 외로 사용되지 않도록 해야 하며, 안전하게 보관해야 한다.

3. 중국(PIPL)

• 14세 미만 아동의 개인정보를 수집할 때는 반드시 부모의 동의를 받아야 한다.
• 아동 개인정보의 처리 목적과 기간을 명확히 하고, 아동의 권리를 보호하는 방법을 안내해야 한다.
• 데이터 현지화 규제가 있으며, 중국 내에서 데이터를 저장하고 처리해야 할 수 있다.

4. 베트남 개인정보 보호법

• 16세 미만 아동의 개인정보 수집 시 부모의 동의가 필수적이다.
• 아동의 개인정보 수집 시 간단하고 이해하기 쉬운 방식으로 정보를 제공하고, 부모에게 명확한 동의 절차를 제공해야 한다.
• 아동의 개인정보가 목적 외로 사용되지 않도록 제한해야 하며, 보안과 처리 기간을 철저히 관리해야 한다.

 

---

아동이 개인 정보 보호 법규 중에 개인화된 맞춤형 서비스나 추천 서비스가 금지 또는 제한되는 경우가 있었다. 
그래서 추가로 정리해 두는 내용!
 

• EU (GDPR): 아동에 대한 맞춤형 서비스나 추천은 부모의 동의를 받아야 하며, 동의 없이 제공하는 것은 금지된다.
• 미국 (COPPA): 아동의 개인정보를 기반으로 한 맞춤형 서비스나 추천은 부모의 동의 없이 제공할 수 없다.
• 중국 (PIPL): 아동 개인정보 보호에 대한 규제가 엄격하여, 아동을 대상으로 한 맞춤형 추천 서비스는 부모의 동의 없이 제공할 수 없다.
• 베트남 (Decree 13/2023/ND-CP): 아동의 개인정보를 기반으로 한 맞춤형 서비스나 추천은 부모의 동의 없이 제공할 수 없다.
• 한국 (아동 개인정보 보호법): 아동을 대상으로 한 맞춤형 추천 서비스는 부모의 동의가 있어야 제공 가능하다.

 
어쨌든, 부모의 동의가 있어야 제공할 수 있다는 이야기. 주로 여기서 제한되는 맞춤형 추천 서비스는 광고에 관한 것인데 광고가 아니더라도 동의를 받아야 한다는 사실.
우리나라도 추천 서비스에 제한이 있는 줄은 몰랐다.

글로벌 서비스도 간단하게 가는건 쉽지 않겠다.