국내 소셜미디어(SNS) 시장에서 가파른 이용자 증가세를 보이는 중국 틱톡과 틱톡라이트가 개인정보보호법 등 법을 위반하고 있다는 의혹이 전문가들 사이에서 제기되고 있다.

1000만명에 육박하는 두 앱 이용자의 개인정보 유출을 방지하기 위한 대책 마련이 필요하다는 목소리가 나온다.

23일 ICT업계에 따르면 숏폼(짧은 영상) 등록이 가능한 틱톡과 숏폼 시청 후 포인트를 받을 수 있는 틱톡라이트에 가입하려면 '서비스 약관'과 '개인정보 처리방침에 따른 데이터 사용 및 수집' 항목에 모두 동의해야 한다. 하지만 정작 서비스 약관과 개인정보 처리방침의 세부 내용을 볼 수 있는 방법은 공개돼 있지 않다.

틱톡 측은 가입 동의를 위한 팝업 창의 '서비스 약관'과 '개인정보 처리방침' 글자를 클릭하면 각각 약관과 개인정보 처리방침 안내 페이지로 연결된다고 설명한다. 하지만 이를 설명하는 문구가 없고 해당 글자들에 별도 표시도 돼 있지 않아 이용자들이 인지할 가능성은 거의 없다. 이를 두고 틱톡이 개인정보 수집 동의를 받는 방법과 관련된 개인정보보호법 제22조 1항을 위반한 것이라는 지적이 나오고 있다.

개인정보 처리방침 중 마케팅 활용과 개인정보 국외 이전 등의 항목도 위법 소지가 있다는 지적이 나온다.

틱톡은 수집한 개인정보 활용 목적에 광고성 활용을 의미하는 '인스턴트 메시지 또는 이메일을 포함한 수단으로 홍보 자료 발송'이라는 문구를 포함하고 있다.

이는 마케팅·광고 수신 동의에 해당하는 부분으로, 개인정보 처리방침 동의 항목에 묶인 '필수 동의'가 아닌 '선택 동의' 영역으로 구분해야 한다는 지적이 나온다.

'정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제50조는 '누구든지 전자적 전송매체를 이용해 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다'고 규정하고 있다.

틱톡은 앱 설정 및 개인정보의 광고 항목에서 광고 선택 동의가 가능하다고 설명한다. 하지만 틱톡이나 틱톡라이트 모두 가입 즉시 강제로 광고 동의가 이뤄지고 있다.

틱톡이 개인정보 국외 이전에 대한 별도 동의를 받지 않고 있는 점은 개인정보의 해외 유출 우려를 낳을 수 있는 대목이다.

EU 집행위원회는 지난 4월 틱톡이 보상 프로그램의 중독성 위험 등에 대한 사전 위험평가를 하지 않은 것은 디지털서비스법(DSA) 위반이라면서 조사에 착수했다. 이에 바이트댄스는 지난달 틱톡라이트의 보상 프로그램 시행을 영구적으로 중단하기로 했다.