I. 서론

현재 중국은 O2O산업의 발달, “인터넷+”정책의 실행, 빅데이터, 사물인터넷 관련산업의 급속한 발달로 인해 개인정보의 보호 필요성이 날로 높아져 가고 있고 이러한 추세에 따라 개인정보의 불법적인 유통과 관련된 형사사건의 발생도 늘어가고 있습니다. 이와 관련하여 최근 중국은 최고인민법원과 최고인민검찰원이 반포한 공민개인정보침범 형사사건에서 법률 적용의 약간의 문제에 관한 해석(最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释) (이하 “해석”이라고 약칭합니다)을 통해 개인정보 범위 내에 위치경로（行踪轨迹）정보와 건강생리정보（健康生理信息）를 보호대상인 개인정보의 범위에 포함시킨 것을 비롯하여 형법 제253조의 1이 규정한 공민개인정보침범죄의 구성요건을 구체적으로 규정하였습니다.

본 뉴스레터에서는 최근에 중국에서 발생한 의미 있는 개인정보관련 형사사건 사례 및 그와 관련된 법률법규의 중요한 내용을 소개해 드리고 이에 대한 우리나라 기업에 대한 시사점에 대해 말씀 드리고자 합니다.

Ⅱ. 최근 중국에서 개인정보의 유출과 관련된 주요 형사사건

1. 외국 컨설팅 회사 사건

2014년 8월 8일 중국 상해에서는 영국국적의 외국인의 공민 개인정보침범죄에 관한 1심 판결이 내려져 남자 피고인에 대해서는 징역 2년 6개월과 벌금 20만 위안 및 해외추방, 그의 부인(미국국적)에게는 징역 2년과 벌금 15만 위안이 선고되었습니다. 이 사건은 중국에 거주하는 외국인이 개인정보의 불법취급과 관련된 범죄로 처벌된 최초의 사건으로 기록되었습니다. 피고인들은 상해에 컨설팅 회사를 설립하여 각 총경리와 법정대표를 역임하면서 2009년 4월부터 2013년 7월까지 중국 국내외 고객들의 위임을 받아 중국의 회사 또는 개인들에 대한 뒷조사(背景调查)를 하였습니다. 이들은 이러한 뒷조사를 위해서 중국인들의 호적정보, 출입국기록, 이동전화기록 등의 정보를 매 건당 800위안에서 2,000위안에 다른 사람으로부터 매입하고 이를 이용하여 이른바 “조사보고서”를 작성하여 이를 수 만 위안에서 수십 만 위안을 받고 판매하였습니다. 위 두 피고인에 대해서는 중국 형법 제253조의 1 제2항 규정에 의한 개인정보의 불법취득죄가 성립되어 유죄판결을 받게 된 것입니다.

2. 외국 분유회사 사건

2017년 중국의 란조우 중급법원은 중국 내 외국 유명 분유회사의 전(前) 직원과 병원 직원들에 대한 공민개인정보침범죄에 대해 피고인들의 항소를 모두 기각하고 원심대로 유죄판결을 내렸습니다. 2011년부터 2013년 9월까지 분유회사의 중국 서북지구 영아영양부의 마케팅 업무 매니저를 맡고 있던 직원들은 분유의 판촉을 통해 시장점유율을 높이기 위해서 란조우 지점의 동료 직원들을 통해 란조우 대학 제1부속병원, 란조우 군구 총의원 등의 병원 직원들에게 커미션을 지급하고 개인 정보를 취득한 혐의가 인정되었습니다.

한편 위 사건에 대해 외국 유명 분유회사는 중국 법원의 판결을 존중함과 동시에 회사의 규정상 직원이 0-12개월의 건강한 영아들이 사용하는 영아 분유의 판촉을 위한 목적으로 직간접적으로 임산부, 수유기의 여성 또는 일반 대중과 접촉하는 것을 금지하고 있다고 밝히면서 직원이 회사의 정당한 절차와 허가 없이는 주도적으로 고객의 개인 정보를 수집하는 것은 허용되지 않는다는 입장을 발표하였습니다.

3. 휴대전화기 사건

2017년 6월 중국 절강성 창남현에서는 중국 광주 지역의 유명 휴대전화기의 외주업체에서 일하던 16명의 현직 또는 전직 직원들이 불법적으로 휴대전화기 사용자들의 정보를 취득하거나 판매한 혐의로 구속되었습니다. 검찰에 따르면 피의자들은 주로 휴대전화기 사용자들에 대한 A/S업무에 종사하여 왔는데 2013년 8월까지 이들은 회사 내부 시스템을 통해 휴대전화기 사용자의 개인정보를 불법적으로 검색하고 변경하였으며 다른 사람으로부터 전달받은 휴대전화기의 국제 모바일 기기 식별코드[IMEI, International Mobile Station Equipment Identity]등을 이용하여 휴대전화기 사용자의 성명, 휴대전화기 번호, 등록한 이메일, 주소 등의 개인정보를 알아낸 후 이러한 정보들을 판매하였습니다.

4. 개인의 건강생리정보 유출 사건

2017년 7월 중국 강소성 쿤산시 검찰원은 국민들의 개인 건강 정보를 침해한 5명의 피의자들을 공민개인정보침범죄로 구속하였습니다. 본 사건은 2017년 6월 1일부터 시행된 해석에서 “건강생리정보(健康生理信息)를 공민의 개인정보 범위에 포함시킨 이후에 그것이 적용된 최초의 사건으로 평가됩니다.

2015년부터 최근까지 피의자들은 다수의 병원의 사이트에 위법하게 접근하여 해당 병원들의 계정과 비밀번호를 알아내어 이를 다른 사람들에게 알려주고 다른 피의자들은 이렇게 알게 된 정보로 해당 병원 사이트에 접속하여 주로 비뇨기과, 부인과, 성형외과의 환자 정보 3만 여건을 불법적으로 취득하여 이런 개인정보들을 주로 미용, 의료관련 회사에 되팔아 리베이트를 챙겼다고 합니다.

Ⅲ. 개인정보보호와 관련된 주요 형사 법규

1. 중국 형법 제253조의 1 공민개인정보침범죄

중국 형법 제253조의 1(공민개인정보침범죄)는 국가의 관련 규정에 위반하여 다른 사람에게 공민의 개인정보를 판매 또는 제공하는 경우에 상황이 엄중한 경우에는 3년 이하의 유기징역에 처하고 벌금을 병과하거나 벌금만 부과할 수 있도록 하고 있고 상황이 특별히 엄중한 경우에는 3년 이상 7년 이하의 유기징역과 벌금을 병과하도록 규정하고 있습니다(제1항). 또한 국가의 관련 규정을 위반하여 직무를 이행하거나 서비스 제공 과정에서 알게 된 공민의 개인 정보를 판매 또는 다른 사람에게 제공한 경우에는 전 항의 규정에 정한 법정형 범위 내에서 더 중하게 처벌하도록 하였습니다(제2항). 절도 또는 다른 방법으로 위법하게 공민개인의 정보를 취득한 경우에도 제1항의 규정에 따라 처벌합니다(제3항).

조직（单位）이 전 3항의 범죄를 범한 경우에는 조직에 대해서는 벌금형에 처하고 직접 책임이 있는 책임자（主管人员）와 기타 직접적인 책임이 있는 인원은 위 각 해당조항에 따라 처벌합니다.

2. 공민개인정보침범 형사사건에서 법률 적용의 약간의 문제에 관한 해석

(1) 개념의 정의

1) 개인정보의 의미

형법 제253조의 1에서 규정한 “공민개인정보”라 함은 전자 또는 기타 방식으로 기록된 단독으로 또는 다른 정보와 결합하여 특정한 자연인의 신분을 식별할 수 있거나 또는 특정한 자연인의 활동 상황을 나타내는 성명, 신분증 번호, 연락방법, 주소, 계좌비밀번호, 재산상황, 위치정보 등을 포함한 각종의 정보를 의미합니다(해석 제1조). 나아가 해석 제5조는 불법하게 취득, 판매 또는 제공한 거주정보, 통신기록, 건강생리정보, 거래정보 등 기타 신체나 재산의 안전에 영향을 끼칠 수 있는 공민의 개인정보가 500개 이상인 경우를 상황이 엄중한 경우에 해당된다고 규정하고 있어 건강생리정보도 보호대상이 되는 개인정보에 포함된다고 할 수 있습니다.

2) 정보 제공행위의 의미

특정인에게 공민의 개인정보를 제공하는 행위와 정보통신망 또는 다른 방법을 통해 공민의 개인 정보를 유포하는 행위가 형법 제253조의 1에서 규정한 “공민개인정보의 제공” 행위에 해당됩니다(해석 제3조 제1항). 설사 적법하게 수집된 개인정보라도 이를 정보주체의 동의를 구하지 않고 다른 사람에게 제공하는 것도 “공민개인정보의 제공”에 해당됩니다. 다만 일정한 조치를 통해 특정개인을 식별할 수 없게 하고 복원이 불가능하게 처리한 경우에는 예외로 합니다(해석 제3조 제2항).

3) 기타 방법에 의한 공민개인정보의 취득

국가의 관련 규정을 위반하여 매입, 수령, 교환 등의 방식으로, 또는 직무 수행 과정이나 서비스 제공과정 중에 취득한 공민의 개인정보를 수집하는 경우에는 형법 제253조의1 제3항에에서 규정한 “기타 방법으로 공민의 개인정보를 불법 취득한 경우”에 해당합니다(해석 제4조).

(2) 형법에 규정된 “상황이 엄중한 경우”와 “상황이 특별히 엄중한 경우”의 구별

개인정보를 위법하게 취득, 판매, 제공한 것이 아래의 상황 중에 하나에 해당하는 경우에는 형법 제253조의 1에서 규정한 “상황이 엄중한 경우”로 인정됩니다(해석 제5조);

① 판매 또는 제공한 위치정보가 다른 사람에 의해 범죄에 이용된 경우, ② 다른 사람이 공민의 개인 정보를 이용하여 범죄를 저지를 것을 알았거나 알 수 있었음에도 불구하고 그것을 판매하거나 제공한 경우, ③ 불법하게 취득, 판매 또는 제공한 위치정보, 통신내용, 신용정보, 재산정보 등이 50개 이상인 경우, ④ 불법하게 취득, 판매 또는 제공한 거주정보, 통신기록, 건강생리정보, 거래정보 등 기타 신체 내지 재산의 안전에 영향을 끼칠 수 있는 공민개인정보가 500개 이상인 경우, ⑤ 불법하게 취득, 판매 또는 제공한 위 제3호, 제4호에서 규정한 이외의 공민의 개인정보가 5,000개 이상인 경우, ⑥ 수량이 제3호 내지 제5호에서 규정한 기준에는 미치지 못하였지만 별도의 규정에 의하여 일정한 비율에 따라 합계한 수량이 관련 기준에 부합되는 경우, ⑦ 위법한 소득이 5천 위안 이상인 경우, ⑧ 직무 수행과정이나 서비스 제공과정에서 취득한 개인정보를 다른 사람에게 판매 또는 제공하여, 그 수량이나 금액이 제3호 내지 제7호에서 규정한 기준의 절반 이상인 경우, ⑨ 과거에 공민개인정보침범죄로 형사처벌 또는 2년 내에 행정처벌을 받은 바가 있음에도 불구하고 또다시 불법으로 개인정보를 획득, 판매 또는 제공한 경우, ⑩ 기타 상황이 엄중한 경우

아래의 경우에 해당하는 경우에는 “상황이 특별히 엄중한 경우”에 해당됩니다;

① 피해자에 대해 사망, 중상, 정신상실 또는 납치 등의 중대한 결과가 발생한 경우, ② 중대한 경제적 손해 또는 나쁜 사회적 영향이 발생한 경우, ③ 수량이나 금액이 전항 제3호 내지 제8호에서 규정한 것의 10배 이상인 경우, ④ 기타 상황이 특별히 엄중한 경우

(3) 조직（单位）의 범죄에 대한 책임

조직이 형법 제253조의 1에 규정한 범죄를 저지른 경우에는 본 해석에서 규정한 자연인에 대한 범죄의 확정과 양형 기준에 따라 직접 책임이 있는 책임자（主管人员）와 기타 직접적인 책임이 있는 인원을 처벌하고 조직은 벌금형에 처합니다(해석 제7조).

(4) 기타 형법상의 책임

1) 정보통신망 불법이용죄(非法利用信息网络罪)

불법적으로 개인정보를 취득, 판매 또는 제공하는 등의 위법한 범죄 활동에 이용되는 사이트, 통신그룹에 대해서는 그 상황이 엄중한 경우에는 형법 제287조의 1에서 규정한 정보통신망 불법이용죄로 처벌하고 동시에 공민개인정보침범죄를 구성하는 경우에는 공민개인정보침범죄로 처벌합니다(해석 제8조).

2) 정보통신망 보안관리의무 불이행죄(拒不履行信息网络安全管理义务罪)

인터넷 서비스 제공자가 법률, 행정법규가 규정한 정보통신망 보안관리의무 이행을 거절하거나 감독 관리 부서의 개정 명령에 불응하여 사용자의 개인정보가 누설되어 중대한 부정적인 결과가 발생한 경우에는 형법 제286조의 1의 규정에 따라 정보통신망 보안관리의무 불이행죄(拒不履行信息网络安全管理义务罪)로 처벌합니다(해석 제9조).

(5) 정보의 수량과 벌금액의 산정

1) 개인정보 수량의 산정방법

불법적으로 취득한 공민의 개인정보를 취득하여 이를 다시 판매 또는 제공한 경우에는 해당 개인정보의 수량은 중복해서 계산하지 않고, 각각 다른 조직이나 개인에게 동일한 개인의 정보를 판매 또는 제공한 경우에는 해당 개인정보는 누적해서 계산합니다. 그리고 공민의 개인정보의 수량은 원칙적으로 조사된 수량에 따라 바로 그 수를 인정하나 별도의 증거에 의해 정보가 사실이 아니거나 중복된 경우에는 이러한 정보는 범죄 인정 시 산정하는 개인정보 수량에서 제외합니다(해석 제11조).

2) 벌금 금액의 산정

공민개인정보침범죄에 대해서는 범죄의 위험 정도, 범죄로 인해 취득한 위법한 소득금액과 피고인의 전과 상황, 죄를 인정하고 반성하는 태도 등에 따라 법에 정한 벌금에 처하는데 벌금의 금액은 일반적으로 위법한 소득의 1배 이상 5배 이하로 합니다(해석 제12조).

Ⅳ. 우리나라 기업에 대한 시사점

1. 기업들은 개인정보 유출에 대비해서 노동계약, 취업규칙, 비밀유지약정, 회사의 규정 제도, 특별히 마케팅 담당자들에 대한 별도의 서약서 징구 등의 방법을 통해 회사와 직원들이 관련 법규들에 의해 보호가 요구되는 개인정보를 잘 관리하고 있다는 사실을 증빙으로 남겨놓을 필요가 있습니다.

2. 그리고 회사에서 취득 내지 보관하는 고객 정보를 최소화하고 회사 내 시스템 상의 고객정보에 대한 접근 권한을 세분화하여 직원이 임의로 고객 정보 데이터 베이스에 접근하는 것을 제한하는 시스템을 만들 필요가 있습니다. 특히 외국 분유회사 사건에서 보듯이 제약회사, 분유회사와 같이 자체 산업 분야에서 마케팅에 관한 엄격한 업계의 관행이나 자정 조항이 존재하는 경우에는 더욱더 준법의무에 주의를 기울일 필요가 있습니다.

3. 개인정보는 누출뿐만이 아니라 이를 불법적으로 취득한 경우에도 처벌이 되는바 특히 B2C영역의 사업에 종사중인 우리나라 기업들은 직원들이 취득하는 고객 정보가 합법적인 통로를 통해 취득되고 있는 것인지를 항상 모니터링 할 필요가 있습니다. 그리고 가칭 “개인정보보호 점검의 날”같은 행사를 기획하여 대내적, 대외적으로 개인정보 보호에 대한 노력을 보이는 것도 CSR측면에서 검토해 볼 만 합니다.