저는 5년간 다국적 SaaS 플랫폼의 데이터 컴플라이언스 아키텍트를 맡아 온 시니어 엔지니어입니다. 독일 베를린에 본사를 둔 저희 회사가 2024년 상반기에 상하이 사무소를 확장하면서, 단 하루 만에 두 가지 큰 문제에 부딪혔습니다. 첫째, EU 거주 고객의 데이터를 미국 서버로 보내면 안 된다는 GDPR 제44조의 제약, 둘째, 중국 수집 데이터를 본사로 반출하려면 안전 평가를 거쳐야 한다는 PIPL(중국 개인정보보호법) 제38조의 제약이었습니다. 이 글에서는 그 경험을 바탕으로 AI API 호출 단에서 두 규정을 동시에 만족하는 구체적인 아키텍처를 단계별로 공유합니다.

왜 EU와 중국 동시 컴플라이언스가 필요한가

글로벌 서비스를 운영하는 회사라면 AI API 호출 한 번이 곧 데이터 이동입니다. 다음 두 상황을 떠올려 보세요.

두 규정은 '데이터를 어디에 보관할 것인가'보다 '어디에서 처리할 것인가'에 초점을 맞춥니다. AI API는 본질적으로 데이터를 외부로 전송하는 행위이므로, 아키텍처 설계 시점에 미리 대응하지 않으면 사후에 수천만 유로의 과징금이 발생할 수 있습니다. EU GDPR의 최대 과징금은 전년도 전세계 매출의 4%이며, 중국 PIPL의 최대 과징금은 5,000만 위안 또는 전년도 매출의 5%입니다.

EU GDPR 핵심 요약 (개발자 관점)

GDPR은 7대 처리 원칙을 제시합니다. 처음 듣는 분들을 위해 한 줄씩 정리했습니다.

특히 제44조에서 '제3국으로의 전송'을 별도로 규정하기 때문에, 미국·중국·인도를 포함한 모든 비EU 지역으로의 데이터 전송은 적절한 보호조치(적합성 결정, 표준계약조항, binding corporate rules 등)가 있어야 합법입니다. 데이터 처리자가 추가적으로 준수해야 하는 제30조는 '처리 활동 기록 의무'를 부과하며, 이것이 바로 본문 후반의 감사 로그 설계와 직결됩니다.

중국 PIPL 데이터 국외 반출 요약

2021년 11월 시행된 중국 개인정보보호법(PIPL)은 데이터 국외 반출을 위해 다음 세 가지 경로 중 하나를 반드시 거쳐야 한다고 규정합니다.

  1. 국가인터넷정보판공실이 주관하는 안전 평가 통과
  2. 표준 계약 체결(SCC)
  3. 개인정보보호 인증 획득

또한 제40조는 중요 정보 인프라 운영자에게 '국내 저장 및 국내 처리'를 원칙적으로 의무