【레벨 0】ByteDance 「豆包/Cici/Dola」 이용약관의 이중 구조: 1차 자료로 풀어내는 『모순 없는 공백』이라는 구조적 기만

ByteDance는 중국 국내용 AI 챗봇 「豆包(Doubao)」와 그 해외판 「Cici」(2025년 12월에 「Dola」로 리브랜딩)를 운영하고 있다. 양자는 UI도 거의 동일한 사실상 동일 서비스이지만, 이용약관 및 개인정보 처리방침(Privacy Policy)은 법적으로 완전히 다른 문서로서 설계되어 있다. 본고는 양측의 약관을 1차 자료로 대조하여, 「중국법 준거 운용을 부정하지 않으면서, 모순되지 않도록 작성된」 해외용 약관의 구조적 기만을 실증한다.

• 대상 AI 서비스: 豆包(Doubao) / Cici / Dola
• 공식 URL: www.doubao.com / www.dola.com
• 안전성 레벨: 0(사용 불가)
• 후흑학(厚黑学) 레벨: 해당 14/21 항목(검증 가능 범위)
• 지배국 명목국: 중국(해외판은 싱가포르 경유)

ByteDance의 AI 챗봇은 시장마다 브랜드명·운영 주체·준거법·데이터 보관 장소를 완전히 분리한 이중 구조로 제공된다. 중국 국내용 「豆包」는 중화인민공화국 법률을 준거로 하며 北京春田知韵科技有限公司이 운영하고, 데이터는 중국 국내에 보관된다. 해외용 「Cici/Dola」는 싱가포르 법을 준거로 하며 SPRING (SG) PTE. LTD.가 운영하고, 데이터는 인도네시아·말레이시아·싱가포르·미국에 보관된다.

본고의 가장 중요한 발견은, 해외용 약관이 중국판의 운용을 부정하는 문서가 아니라, 모순되지 않도록 작성된 문서라는 점이다. 해외용 약관에는 중국 국가정보법 등에 대한 불적용을 나타내는 부인 조항이 일절 존재하지 않으며, 오히려 「Corporate Group 공유」 조항을 통해 중국 본토 관련 회사로의 경로를 보존하고 있다. 이는 허위 기술이 아니라, 선택적 공개와 선택적 침묵의 조합에 의한 구조적 기만이다.

법무 판정: 도입 불가 -
기술 판정: 위험 -
주요 리스크:

• 중화인민공화국 국가정보법 제7조의 간접 적용 (해외용 사용자 데이터가 Corporate Group을 경유하여 중국 본토에서 액세스 가능)
• 데이터 국외 이전 규제를 학습 완료된 모델 공유를 통해 우회하는 설계
• 고지된 동의(Informed Consent)의 실질적 불성립 (중국 법 관할로의 경로를 평균적인 사용자가 추론 불가능)
• 「Made in Singapore」를 가장하는 origin laundering (법적 관할의 출처 세탁)
• 미국 시장의 의도적 배제를 통한 TikTok 규제 리스크의 선제적 회피

본고의 모든 주장은 이하의 1차 자료에 기초한다.

• 豆包 用户协議 (2026년 2월 17일 발효)
• 豆包 隐私政策 (2026년 3월 26일 발효)
• Dola Privacy Policy (2025년 12월 17일 Effective)
• Dola Terms of Service (2025년 12월 17일 Effective)

취득일: 2026년 5월 16일. 모두 공식 도메인에서 web_fetch로 직접 취득한 1차 자료이다.

양 서비스는 UI가 동일하지만, 내부의 LLM 백엔드는 다르다.

豆包(중국 국내용)는 ByteDance 자사의 Volcano Engine 기반 위에서 동작하며, 자사 개발 Doubao 대형 모델(Seed 계열)을 사용한다.

Cici/Dola(해외용)는 OpenAI GPT(Microsoft Azure 경유 라이선스) 및 Google Gemini를 주력 LLM으로 사용한다. 이는 Cici의 Privacy Policy 「How We Share Your Information - Standard Chatbots」 섹션에서 다음과 같이 명시되어 있다.

"When you interact with our chatbots, certain User Content and Automatically Collected Information may be shared with the third-party developers of integrated AI tools, including LLMs such as Gemini, to generate, optimise, and personalise output."

이는 중국제 LLM을 해외에서 사용하는 것에 대한 정치적 리스크(미중 대립, 수출 규제)를 회피하기 위한 설계이다. Wikipedia의 ByteDance 기사 및 여러 독립적인 보도를 통해 확인되었으며, ByteDance는 OpenAI API 이용과 관련하여 2024년 초에 한 차례 계정 정지를 받은 경위가 있다.

豆包 (Doubao) 개인정보 처리방침(Privacy Policy) 제4.1조 「저장 위치」는 다음과 같이 중국 국내 보관을 명시한다.

우리는 법률 및 규정의 규정에 따라, 경내 운영 과정에서 수집 및 생성된 귀하의 개인정보를 중화인민공화국 경내에 저장할 것입니다. 현재, 우리는 상기 정보를 국외로 전송하지 않습니다.

이는 중화인민공화국 사이버 보안법(Cybersecurity Law) 제37조(중요 정보 인프라 운영자의 국내 보관 요건)에 대한 직접적인 대응이다.

Dola 개인정보 처리방침(Privacy Policy) 「추가 정보 - 브라질 - 데이터의 국제 전송(Supplemental Information - Brazil - International Transfers of Data)」은 다음과 같이 해외 여러 거점을 명시한다.

우리는 귀하의 개인 데이터를 인도네시아, 말레이시아, 싱가포르 및 미국에 위치한 보안 서버에 저장할 수 있습니다.

데이터의 물리적 소재지는 완전히 분리되어 있다. 그러나 논리적 접근은 「Corporate Group」 공유 설계에 의해 분리되어 있지 않다(후술).

豆包 (Doubao) 이용약관(User Agreement) 제13.1조/제13.2조는 다음과 같이 중국법 준거 및 베이징시 하이뎬구(海淀区) 법원 관할을 명시한다.

13.1 본 협정의 성립, 효력 발생, 이행, 해석 및 분쟁 해결은 모두 중화인민공화국 법률을 적용한다.

13.2 본 협정의 체결지는 중화인민공화국 베이징시 하이뎬구이다. 귀하와 회사 사이에 어떠한 분쟁이 발생하더라도 양측은 최대한 우호적으로 협의하여 해결해야 하며, 협의가 이루어지지 않을 경우 귀하는 분쟁을 본 협정 체결지의 인민법원에 제출하여 소송으로 해결하는 것에 동의한다.

Dola 서비스 이용약관(Terms of Service) 제16조(a) 「준거법 및 관할(Applicable Law and Jurisdiction)」은 다음과 같이 싱가포르법 준거 및 SIAC 중재를 명시한다.

"추가 약관 – 관할 구역 특정(Supplemental Terms – Jurisdiction Specific)"에 따라, 본 약관과 그 주제 및 형성 과정은 싱가포르 법률의 적용을 받습니다. 본 약관과 관련하여 발생하는 모든 분쟁은... 싱가포르 국제중재센터(SIAC)가 관리하는 중재를 통해 회부되어 최종적으로 해결됩니다...

동일한 ByteDance 그룹이 운영하는 동일한 기능의 서비스에 완전히 다른 법 체계가 적용되는 설계이다.

豆包 (Doubao) 개인정보 처리방침(Privacy Policy) 제1.12조(동의 획득이 불필요한 예외)는 다음과 같이 국가 기관에 대한 협력을 명시한다.

a. 우리에게 법률 및 규정에 규정된 의무를 이행하는 것과 관련된 경우;

b. 국가 안전, 국방 안전과 직접적으로 관련된 경우;

c. 공공 안전, 공공 보건, 중대한 공공 이익과 직접적으로 관련된 경우;

d. 형사 수사, 기소, 심판 및 판결 집행 등과 직접적으로 관련된 경우;

제3.4조(동의 없는 제3자 제공의 예외) 또한 마찬가지로 「국가 안전, 국방 안전」 「형사 수사, 기소, 심판 및 판결 집행」을 이유로 한 제공을 명시한다. 이는 중화인민공화국 국가정보법(National Intelligence Law) 제7조/제14조, 사이버 보안법(Cybersecurity Law) 제28조의 운용 조항 그 자체이다.

Dola 개인정보 처리방침(Privacy Policy) 「법적 의무 및 권리(Legal Obligations and Rights)」는 대응 조항을 다음과 같이 모호하게 표현한다.

우리는 다음 사항이 필요하다고 선의로 믿는 경우, "우리가 수집하는 정보"에 기술된 정보를 특정 권한 있는 법 집행 기관, 규제 또는 정부 기관, 법원 또는 기타 제3자와 공유할 수 있습니다:

● 법적 의무를 준수하기 위해;

● 서비스, 당사의 사용자, 저작권 소유자 및 기타의 권리, 재산, 안전 및 보안을 적법하게 보호하고 방어하기 위해;

● 당사의 서비스 이용약관 및 기타 정책의 잠재적 위반을 조사하고 집행하기 위해; 또는

● 사기, 기술적 문제, 저작권 침해, 또는 기타 오해를 불러일으키거나 불법적인 활동을 탐지(Detect), 조사(investigate) 및 방지(prevent)하기 위해.

「competent(권한 있는)」「government agencies(정부 기관)」「good faith belief(선의의 믿음)」로 일반화되어 있으며, 어느 나라의 정부 기관을 상정하는지는 명시되지 않는다.

豆包(Doubao) 사용자 협의 제5.2.2조는 중화인민공화국의 생성형 AI 규제 패키지에 대한 완전한 준수를 다음과 같이 명시한다(발췌).

你输入、输出/生成、制作、评论、上传、发布、传播的信息应自觉遵守...遵守公共秩序,尊重社会公德和伦理道德、社会主义核心价值观、国家利益...等"七条底线"要求。
(귀하가 입력, 출력/생성, 제작, 비평, 업로드, 게시, 전파하는 정보는 스스로 준수해야 하며... 공공질서를 준수하고, 사회적 도덕과 윤리 도덕, 사회주의 핵심 가치관, 국가 이익... 등의 "7가지 저지선" 요구사항을 준수해야 한다.)

(1) 反对宪法确定的基本原则的; (헌법이 확정한 기본 원칙에 반하는 것;)

(2) 危害国家安全和利益,泄露国家秘密的; (국가 안전과 이익을 해치거나 국가 비밀을 누설하는 것;)

(3) 颠覆国家政权,推翻社会主义制度、损害国家形象、煽动分裂国家、破坏国家统一和社会稳定的; (국가 권력을 전복하고, 사회주의 제도를 타도하며, 국가 이미지를 훼손하고, 국가 분열을 선동하며, 국가 통일과 사회 안정을 파괴하는 것;)

(4) 损害国家荣誉和利益的; (국가의 명예와 이익을 해치는 것;)

이는 중화인민공화국 「생성식 인공지능 서비스 관리 잠행 방법(生成式人工智能服务管理暂行办法)」(2023년 8월 15일 시행) 제4조 및 「인터넷 정보 서비스 심도 합성 관리 규정(互联网信息服务深度合成管理规定)」(2023년 1월 10일 시행)의 금지 조항 그 자체이다. 동 조 제6.4조에서는 생성형 AI 콘텐츠에 대한 AI 표식(AI labeling) 의무도 명시되어 있다.

Dola 서비스 약관(Terms of Service) 제5조는 대응 조항을 다음과 같이 서구권 규제 패키지에 맞춰 구성한다(발췌).

• 군사 및 전쟁, 무기·폭발물 또는 위험 물질의 개발... 등 귀하가 기반을 둔 지역의 법률이나 EU AI Act와 같이 귀하가 서비스를 이용하는 지역의 법률에 따라 불법인 목적을 위해 서비스를 사용하는 행위;
• 정치적 목적으로 서비스를 사용하는 행위 (예: 정치 캠페인, 옹호 또는 로비 목적으로 대화형 또는 상호작용형 봇을 구축하는 행위);

EU AI Act 준수가 명시되어 있으며, 호주(Australia)를 대상으로는 Online Safety Act 2021 대응, EU를 대상으로는 Digital Services Act 대응을 위한 추가 약관(Supplemental Terms)이 마련되어 있다. 중국의 생성형 AI 관리 변법 및 심도 합성 관리 규정에 대한 언급은 일절 없다.

ByteDance의 지배 구조는 다음과 같다.

• ByteDance Ltd.(케이맨 제도 본사, VIE(Variable Interest Entity) 구조)
• 北京字节跳动科技有限公司(ByteDance 중국 본토 모회사)
• 北京春田知韵科技有限公司(豆包의 운영 주체, 중국 본토 법인, ByteDance 자회사)
• SPRING (SG) PTE. LTD.(Cici/Dola의 운영 주체, 싱가포르 법인, ByteDance 자회사)

豆包 사용자 협의 제1조는 운영 주체를 명시한다.

北京春田知韵科技有限公司及/或关联方(以下简称"公司"或"我们")... (베이징 춘톈즈윈 테크놀로지 컴퍼니 및/또는 관계사(이하 "회사" 또는 "당사")...)

Dola 서비스 약관 제1조는 운영 주체를 다음과 같이 명시한다.

Dola is provided by SPRING (SG) PTE. LTD., with its address at 77 ROBINSON ROAD #06-03, ROBINSON 77, SINGAPORE (068896)...

Dola의 약관 본문 중에는 「ByteDance」, 「字节跳动」, 「北京」, 「中華人民共和国」이라는 글자가 전혀 등장하지 않는다. 예외는 개인정보 처리방침(Privacy Policy) 「Brazil」 추가 약관의 DPO 연락처뿐이며, 거기에서는 다음과 같이 ByteDance 도메인을 사용하고 있다.

DPO. You may contact the Data Protection Officer by emailing: dpobrasil@bytedance.com.

LGPD(ブラジル一般データ保護法)의 DPO(Data Protection Officer) 공개 의무에 의해, ByteDance와의 관련성이 사실상 공개되는 구조로 되어 있다. 이는 약관 설계의 의도치 않은 노출이다.

ByteDance 그룹은 중국 본토 모회사를 정점으로 하는 기업 집단이다. 중화인민공화국 국가정보법 제7조는 "어떠한 조직 및 시민도 법에 따라 국가 정보 활동 업무를 지지·원조·협력해야 하며, 알게 된 국가 정보 활동에 관한 비밀을 유지해야 한다"라고 규정한다. 동법 제14조는 "국가 정보 기관은 정보 활동 수행을 위해 관계 기관·조직 및 시민에게 필요한 지지·원조·협력을 요구할 수 있다"라고 규정한다.

이러한 조항들은 중국 법인인 北京字节跳动科技有限公司(Beijing ByteDance Technology Co., Ltd.) 및 北京春田知韵科技有限公司(Beijing Chuntian Zhiyun Technology Co., Ltd.)에 직접 적용된다. 싱가포르 법인인 SPRING (SG) PTE. LTD.에 직접 적용되지는 않으나, SPRING (SG) PTE. LTD.의 데이터가 「Corporate Group」 공유 설계에 의해 중국 본토 관련 회사로부터 액세스 가능한 한, 액세스한 시점에서 중국법의 관할권 아래로 들어간다.

Dola Privacy Policy(개인정보 처리방침)의 「Our Corporate Group」 섹션은 다음과 같이 Corporate Group 내 공유를 명시하고 있다.

We share the information described in "What Information We Collect" with members of our Corporate Group. Our Corporate Group may use your information in a manner consistent with this Privacy Policy, including for functions like: storage, content delivery, security, research, analytics, customer and technical support, product and technology improvement and development, including AI model training, and content moderation. Subject to applicable laws, AI models improved using personal information may be utilised by entities within our Corporate Group.

「Corporate Group」의 구성원은 명시되어 있지 않으며, 北京字节跳动科技有限公司를 포함한 중국 본토 관련 회사가 포함되는지 여부를 약관으로부터 추론할 수는 없다.

Dola는 미국·캐나다·중국·호주에서 이용할 수 없다(복수의 독립된 보도를 통해 확인). 이는 TikTok 규제 리스크를 선제적으로 회피하기 위한 전략이다.

Dola Terms of Service(서비스 이용약관) 제16조(j) 「Trade Controls(무역 통제)」에서는, 미국에 LLM(대규모 언어 모델) 호스팅 인프라의 일부가 존재함이 간접적으로 공개되어 있다.

You understand that your use of Services, providing Input to and obtaining Output via Services, might be subject to the laws and regulations of export controls and sanctions laws (collectively "Trade Control Laws") where the generative AI models are hosted (including, without limitation, the United States)...

즉, 미국 사용자에게는 서비스를 제공하지 않지만, 미국 인프라는 사용한다는 구조이다.

NK001 v2.0의 21개 항목 체크리스트에 비추어 검증한 결과, 검증 가능한 범위 내에서 14개 항목이 해당되었다.

• 5. 스텔스 마케팅 (Cici/Dola의 ByteDance 관련성을 2024년 Forbes 폭로 전까지 약관에 미기재)
• 8. ToS (Terms of Service, 서비스 이용약관) 심층 조항 (사용자 협의 제13.1/13.2조의 중국법 준거 규정은 문미에 배치)
• 9. 옵트아웃 (Opt-out) 선택지 결여 (학습 데이터 이용에 대한 옵트아웃 UI의 실효성이 불투명)
• 10. 포괄적 동의 강제 ("사용 즉시 동의" 설계)
• 11. 서브 프로세서 (Sub-processor, 하위 처리자) 불투명 (해외용 약관에서 "Corporate Group" 구성원을 명시하지 않음)
• 12. 일방적 책임 전가 (양측 약관 모두 극단적인 면책 조항)
• 13. 보안 감사 정보의 비공개 (SOC2 / ISO27001 등의 인증 정보가 약관에 기재되지 않음)
• 14. 기업 비밀에 의한 기술 상세 정보 공개 거부
• 15. AI 윤리 심사 체계의 부재 (모델 운용 거버넌스 (Governance) 프레임워크 미공개)
• 16. 통합 시스템 연계의 비공개 (ByteDance 내 크로스 서비스 (Cross-service) 연계의 구체적 구성을 비공개)
• 17. "단일 서비스" 위장 (Cici/Dola를 독립된 싱가포르 법인 서비스인 것처럼 인상을 심어줌)
• 19. 데이터 국외 이전 및 저장 장소 미명시 (해외용 약관에서 "outside of the country where you live"라고 모호하게 표현)
• 20. 삭제권의 사실상 기능 불능 (학습 완료된 모델로부터의 삭제 불가능을 명시하지 않음)
• 21. 경영자·투자자·최종 수익자의 은폐 (해외용 약관에서의 ByteDance 관련성의 구조적 은폐)

NK008 v2.1 판정 기준에 따르면 "9개 항목 이상 = 후흑학적 (厚黑學的) 리스크 높음, 안전성 레벨 2 이하가 타당". 본 건은 14개 항목에 해당할 뿐만 아니라, NK008 제2-2항(중화계 자동 판정) 발동에 따라 안전성 레벨 0이 확정된다.

ByteDance 그룹은 다음과 같은 주요 서비스를 횡단적으로 운영한다.

• Douyin (중국 국내용 TikTok, 월간 활성 사용자 수억 명)
• TikTok (해외용, 글로벌)
• 豆包 (중국 국내용 AI 챗봇)
• Cici/Dola (해외용 AI 챗봇)
• Toutiao (중국 국내용 뉴스 앱)
• CapCut (동영상 편집 앱, 글로벌)
• Lemon8 (SNS, 글로벌)

豆包 (Doubao) 개인정보 처리방침(Privacy Policy) 제1.1조 d는 抖音 (Douyin) 계정과의 직접적인 바인딩 (Binding)을 다음과 같이 명시한다.

你可以使用抖音账号登录并绑定豆包账号...绑定状态下,你可以通过该抖音账号在豆包内直接使用抖音及抖音关联版本产品...的服务。
(당신은 Douyin 계정을 사용하여 로그인하고 Doubao 계정을 연동할 수 있습니다... 연동 상태에서는 해당 Douyin 계정을 통해 Doubao 내에서 Douyin 및 Douyin 관련 버전 제품의 서비스를 직접 사용할 수 있습니다...)

이는 중국 국내용 크로스 서비스 (Cross-service) 명의 통합 설계에 대한 자기 공개이다. 해외용 Dola Privacy Policy에서는 "Corporate Group" 내 공유로 추상화되어 있으며, TikTok과의 구체적인 연계 여부는 명시되지 않았다.

GDAS (Global Digital Dang'an System, 통합 감시 시스템)로의 편입에 대해서는 DK006을 참조한 상세 평가가 필요하며, 이는 본고의 범위를 벗어난다. 본고는 약관 1차 자료의 대비에 한정한다.

지금까지 서술한 구조를 더욱 정밀하게 재정식화한다. 본 절은 본고의 가장 중요한 논점이다.

해외용 약관의 문제는 무엇이 적혀 있는가가 아니라 무엇이 적혀 있지 않은가에 있다. 구체적으로, 해외용 약관에는 다음과 같은 적극적인 부인 조항이 일절 존재하지 않는다.

• "우리는 중국 정부 기관에 정보를 제공하지 않는다"
• "우리는 중국 국가정보법에 기반한 협력 요청을 받지 않으며, 받더라도 응하지 않는다"
• "우리의 데이터는 중국 본토의 관련 회사로부터 액세스되지 않는다"
• "우리는 중국의 형사 수사 및 국가 안전 수사에 협력하지 않는다"
• "우리의 서비스는 중화인민공화국의 법적 관할권 아래에 있지 않다"

이러한 부인 조항이 단 하나라도 적혀 있다면, 해외판은 "중국판과 법적으로 다른 서비스"임을 적극적으로 표명한 것이 된다. 하지만 적혀 있지 않다. 적혀 있지 않기 때문에, 중국 국내용 약관에 적힌 운용 방식은 해외에서도 법적으로 배제되지 않는다.

즉, 해외용 약관은 중국판의 운용을 부정하는 문서가 아니다. 동일한 운용이 적용될 여지를 남겨둔 채, 표면상으로는 서구권 규제 준수를 표명하는 문서이다.

결정적인 것은, 해외용 약관에 적극적으로 적혀 있는 몇 안 되는 조항이 상기 "모순 없는 공백"을 메우는 방향으로 기능하고 있다는 점이다. Dola Privacy Policy의 "Our Corporate Group" 섹션은 앞서 언급한 바와 같이 다음과 같이 명시한다.

"개인정보를 사용하여 개선된 AI 모델은 당사 Corporate Group 내의 엔티티(entities)에 의해 활용될 수 있습니다."

「Corporate Group」의 구성원은 명시되어 있지 않다. 하지만 ByteDance 그룹에는 베이징의 관련 회사가 포함되어 있으며, 이들은 중화인민공화국 국가정보법 제7조/제14조의 관할 하에 있다.

따라서 해외용 약관은 구조적으로 다음을 의미한다.

• 중국판에 기재된 운영으로의 유도를 부정하지 않음 (부작위에 의한 허용)
• 동시에, 그 유도를 구현하기 위한 조항을 적극적으로 제공함 (작위에 의한 준비)

이 이중 구조야말로 본고의 가장 중요한 발견이다.

통상적인 사기는 "허위 사실을 진술하는 것"으로 성립한다. 하지만 본 건의 수법은 허위를 일절 말하지 않는다. 해외용 약관의 모든 기술은 기술적으로 진실이다.

• SPRING (SG) PTE. LTD.는 확실히 싱가포르 법인이다 (진실)
• 싱가포르 법이 준거법이다 (진실)
• 데이터는 Indonesia, Malaysia, Singapore, USA에 보관된다 (진실)
• GDPR/DSA/EU AI Act/LGPD 등에 대한 준수를 표명하고 있다 (진실)

하지만, "이것들이 진실이다"라는 것과 "중국법의 관할이 미치지 않는다"는 것은 논리적으로 등가(equivalent)가 아니다. 그럼에도 불구하고 평균적인 사용자는 전자를 읽고 후자를 추론해 버린다.

이는 법적인 의미에서의 사기가 아니라, 인지적 사기 (cognitive fraud), 더 정확하게는 **구조적 기만 (structural deception)**이다. 사실관계의 조작이 아니라, 선택적 공개와 선택적 침묵의 조합을 통해 사용자에게 잘못된 추론을 하게 만드는 수법이다.

GDPR 제6조/제7조, PIPL 제14조, LGPD 제8조를 포함한 현대의 개인정보 보호법은 데이터 처리의 법적 근거로서 informed consent (정보를 제공받은 상태에서의 동의)를 요구한다. 그러나 본 건은 다음과 같다.

• 사용자는 "싱가포르 법인 운영·싱가포르 법 준수"를 읽고 동의했다
• 하지만 실태는 "ByteDance 그룹 전체에 대한 액세스 허가" (간접적으로 중국 본토 포함)였다
• 후자를 알았더라면 동의하지 않았을 사용자가 존재할 수 있다

이 경우, 애초에 informed consent가 성립되었는가라는 논점이 발생한다. 법적 판단은 관할에 따라 다르지만, 윤리적으로는 명확히 성립되지 않았다. 사용자는 "정보를 제공받은 상태에서" 동의한 것이 아니라, "선택적으로 숨겨진 정보 때문에 잘못된 추론을 한 상태에서" 동의했기 때문이다.

해외용 약관은 중국판의 운영을 부정하는 문서가 아니라, 중국판의 운영과 모순되지 않도록 작성된 문서이다.

이 한 문장이 본 분석 전체의 가장 정밀한 요약이다.

---

Doubao (豆包): 업무 이용 및 개인 이용 모두 금지. 이미 이용 중인 경우 즉시 계정 삭제, 입력 이력 삭제 요구, 관련 디바이스에서 앱 삭제.
Cici/Dola: 위와 동일. 싱가포르 법인 운영이라 하더라도 Corporate Group 공유 설계로 인해 실질적 리스크는 Doubao와 동일.
TikTok / Douyin / CapCut / Lemon8: 본고의 분석 범위 외이지만, 동일한 ByteDance 그룹 운영인 이상 동일한 구조적 리스크를 내포하고 있을 가능성이 높음. 조직 차원에서 횡단적으로 이용 방침을 재검토할 것을 권장.

업무용 AI 챗봇으로서 다음을 검토해야 한다 (각사의 이용 약관·데이터 보관 장소·준거법을 독립적으로 평가한 후 선택).

• OpenAI ChatGPT (미국 OpenAI 운영, 미국법 준거)

• Anthropic Claude (미국 Anthropic 운영, 미국법 준거)

• Google Gemini (미국 Google 운영, 미국법 준거)

• Microsoft Copilot (미국 Microsoft 운영, 미국법 준거, 엔터프라이즈용 데이터 보호 커밋먼트 있음)

• 일본 국내 사업자의 Sovereign AI 계열 서비스 (법무 평가를 수행한 후)

• ByteDance 그룹의 조직 개편 (특히 Cici/Dola의 운영 주체가 다른 쉘 컴퍼니(Shell Company)로 이전된 경우)

• 豆包(Doubao)・Cici/Dola의 약관 개정 (부인 조항(Disclaimer)이 신규 추가된 경우 재평가 필요)

• 중국 CAC(국가인터넷정보판공실)에 의한 豆包의 등록·처분 정보

• 미국·EU·각국 당국에 의한 ByteDance 관련 규제 동향

본고는 핵심 대비에 집중하였으므로, 다음 사항은 별도의 글에서 다룬다.

• 중국 국내용 豆包의 부차적 약관(커뮤니티 규약, 계정 서비스 유의사항, AI 클라우드 디스크 사용 유의사항, AI 아바타 사용 유의사항, 알고리즘 추천 설명)의 정밀 조사
• TikTok과 Douyin의 약관 이중 구조 대비 (본고 방법론의 제2사례화)
• 동일 방법론의 타 중화계 기업으로의 수평 전개: Alibaba(通義千問/Qwen), Tencent(混元/WeChat International), Baidu(文心一言), DeepSeek 등
• 豆包와 Cici/Dola의 모델 백엔드(Model Backend) 분리에 대한 기술적 실증 (API 응답 핑거프린트 등)
• ByteDance 그룹의 완전한 지배 구조도 작성 (VIE 구조 포함)
• NK001 v2.0에 신규 항목 「필요한 부인 조항의 선택적 결락」 추가의 공식화

ByteDance의 豆包와 Cici/Dola는 시장마다 별도의 브랜드·별 운영 주체·별 준거법·별 데이터 보관 장소를 구축한 전형적인 이중 약관 구조로 운영되고 있다. 중국 국내용 약관은 중화인민공화국 법률 준거를 명시하며, 국가 기관에 대한 동의 없는 제공, 데이터의 중국 국내 보관, 생성형 AI 관리 변법(Generative AI Management Measures)에 대한 완전한 준수를 포함한다. 해외용 약관은 싱가포르 법 준거를 명시하며, GDPR·DSA·EU AI Act·LGPD 등에 대한 준수를 표명하고, 중국법에 대한 언급을 일절 배제하고 있다.

하지만 해외용 약관은 중국판의 운용을 부정하는 문서가 아니다. 중국 국가정보법의 불적용을 나타내는 부인 조항이 전혀 없으며, 오히려 「Corporate Group 공유」 설계를 통해 중국 본토 관련 회사로의 연결 경로를 보존하고 있다. 이는 허위 기재에 의한 사기가 아니라, 선택적 공개와 선택적 침묵의 조합에 의한 구조적 기만이다. 평균적인 사용자는 해외용 약관을 읽고 「중국법의 관할이 미치지 않는 안전한 서비스」라고 추론해 버리지만, 그 추론을 뒷받침하는 법적 근거는 약관 어디에도 존재하지 않는다.