전문가오피니언
Home 전문가오피니언
주요 이슈에 대한 국내외 전문가들의 견해 및 제언이 담긴 칼럼을 제공합니다.
중국 개인정보보호법의 시행과 시사점
김준영 소속/직책 : 한국외국어대학교 연구교수 2021-10-29
2021년 8월 20일 중국 개인정보보호법(个人信息保护法, 이하 ‘본법’, 또는 ‘법’)이 전인대 상무위원회에서 통과되어 정식으로 공포되었고 2021년 11월 1일부터 시행된다. 2018년 9월 7일 전인대 상무위원회의 입법계획(立法规划)에 처음으로 편입된 후 2차례 의견수렴 등을 거쳐 입법되었다. 개인정보보호에 대한 전반적인 규율 내용을 담고 있는 법률로 인공지능(AI)·빅데이터 기반의 4차 산업혁명 시대에서 개인정보보호와 데이터 경제의 건강한 발전을 추구하고 있다. 중국의 실정과 해외 입법 등을 고려하고 <민법전>1), <네트워크안전법> 등에 산재되어 있는 개인정보보호 관련 규정을 통합하여 체계적으로 정비하였다.2) 본법의 시행으로 중국에서 개인정보보호의 중요성과 개인정보 처리와 관련한 기업의 책임도 강화될 것으로 예상된다.
<표1> 중국 개인정보 관련 주요 법제의 현황3)
1. 개인정보의 정의
본법 제4조는 개인정보를 “전자 또는 기타 방식으로 기록한 이미 식별되었거나 식별 가능한(已识别或者可识别) 개인과 관련된 각 유형의 정보들”로 정의하는데, <네트워크안전법>과 <민법전>의 “식별할 수 있는”을 “이미 식별되었거나 식별될 수 있는”으로 변경하였기 때문에 기존보다 개인정보의 범위가 넓게 해석될 수 있다. 단 익명화(匿名化, anonymization) 처리된 후의 정보는 제외된다.4)
2. 역외적용
본법 제3조에 의하면, 개인정보처리자와 개인정보 주체의 국적과 상관없이 중국 내에서 개인정보처리 시 모두 본법을 적용해야 한다. 특히 중국 외에서도 (i)중국 내 자연인에게 제품 또는 서비스의 제공을 목적으로 하는 경우 (ii)중국 내 자연인의 행위를 분석, 평가하는 경우 등에는 본법을 준수할 의무가 있다. 예를 들어, 해외 사업자가 운영하는 해외 사이트가 사이트의 중국어 버전 또는 위안화 결제방식 등을 마련함으로써 중국 내 자연인을 상대로 제품 또는 서비스를 제공하려는 경우 해당 해외 사업자가 중국 외에 있더라도 본법의 적용을 받을 수 있다.5) 한편, 이러한 경우 중국 외의 개인정보처리자는 중국 내에 특별기구를 설치하거나 대표를 지정하여 개인정보보호 관련 사무의 취급을 담당하게 하고, 관련 기구의 명칭 또는 대표의 성명, 연락처 등을 중국의 개인정보보호 직무 수행부서에 보고하여야 한다(법 제53조).
3. 개인정보처리 원칙의 준수
개인정보처리 시 (i)적법성·정당성·필요성·신의칙 원칙을 준수하고, (ii)처리 목적과 직접적인 관련성이 있어야 하며, (iii)개인정보처리방침을 공개하고 처리 목적, 방식 및 범위를 명시하고, (iv)개인정보의 정확성을 보장하고, (v)그 처리활동을 책임지며, (vi)데이터 안전을 보장하도록 요구하고 있다. 이에 따라 실무상 기업은 아래와 같은 사항을 준수할 필요가 있다(법 제5조~제9조).
• 사기, 협박 또는 오해할 수 있는 방식으로 개인정보를 처리하지 않을 것
• 불법적인 방식으로 개인정보를 취득하지 않을 것
• App의 경우, 각 기능을 작동하기 위하여 명확한 목적과 직접적인 관련이 있는 경우에 한하여 개인정보를 수집하거나 사용할 것
• 개인정보처리방침을 제정하여 홈페이지 등에 게재하고 개인정보주체에 고지할 것
• 개인정보보호 관련 내부 제도를 수립할 것
4. 민감개인정보보호 규정의 신설
본법 제2절 제28조에서 “누설 또는 적법하게 사용하지 않으면 특정된 개인이 차별을 당하거나 신체 또는 재산의 침해를 초래할 수 있는 위험을 가진 민감개인정보들, 개인의 생물학적 특징, 종교신앙, 특정의 신분, 의료건강, 금융계좌, 개인행적 등과 관련된 정보”에 대해서는 특별한 목적과 충분한 필요성이 있는 경우에만 해당 민감개인정보를 처리할 수 있음을 규정하였다. 특히 EU의 <GDPR> 제9조 제1항과 한국 <개인정보보호법> 제23조와는 달리 ‘금융계좌 정보’를 민감정보로 명시하였다.
5. 동의 없는 개인정보처리에 관한 법적 근거
기존의 <민법전>, <네트워크안전법>에 따르면 기본적으로 동의를 취득한 후에야 개인정보를 처리할 수 있었는데, 본법에 따라 다음과 같은 경우에는 동의를 얻지 않아도 개인정보를 처리할 수 있다(법 제13조) (ⅰ)일방 당사자로서의 개인이 계약을 체결, 이행하거나 또는 노동관련 규정 또는 단체협약에 따라 인사관리에 필수적인 경우 (ⅱ)법정 직책 또는 법정 의무 이행에 필수적인 경우 (ⅲ)돌발적인 공공위생사건 또는 긴급상황 하에서 자연인의 생명건강과 재산 안전의 보호를 위해 필요한 경우 (ⅳ)공공이익을 위하여 뉴스 보도 또는 여론 감독 시 합리적인 범위 내에서 개인정보를 처리하는 경우 (ⅴ)본법에 따라 합리적인 범위 내에서 개인이 스스로 공개하였거나 기타 적법하게 공개된 개인정보를 처리하는 경우 (ⅵ)기타 법률, 행정법규에 규정된 경우이다. 즉 본 규정은 동의 외에도 다양한 적법 처리 근거를 제공함에 따라 긴급 방역 조치 등이 필요한 상황에서도 개인정보 침해 이슈를 피하고 적법성을 확보할 수 있게 되었고, 특히, 인사관리에 필수적인 경우에 개인으로부터 동의를 취득하지 않아도 개인정보를 처리할 수 있다는 예외 규정은 기업이 개인정보를 수집, 처리하는데 편의성과 명시적 법적 근거를 제공하고 있다.
6. 개인정보의 공동처리와 위탁처리
개인정보를 공동으로 처리하는 경우, 2명 이상의 개인정보처리자는 처리목적과 처리방식을 공동으로 결정해야 할 뿐만 아니라 각자의 권리와 의무도 약정해야 하며, 개인정보처리로 인하여 발생한 손해에 대해서는 연대책임(连带责任)을 부담한다(법 제20조). 그리고 개인정보처리자가 개인정보를 제3자에 위탁하여 처리하는 경우 수탁자와 개인정보의 처리 목적, 기간, 방식 및 각자의 권리와 의무를 약정하고, 수탁자의 개인정보처리활동을 감독하며, 제55조에 따라 사전에 개인정보보호 영향평가를 해야 한다. 수탁자로서는 개인정보처리자와의 약정에 따라 개인정보를 처리하고 약정한 처리 목적, 방식 등을 벗어날 수 없다(법 제21조)
7. Big Data(大数据)를 이용한 차별대우 금지
중국의 플랫폼이 동일한 제품이나 서비스에 대해 단골손님에게 신규 고객보다 더 높은 가격을 제시하는 ‘소비자별 차별대우 행위(大数据杀熟)’를 규제하기 위하여 2019년부터 시행하고 있는 <전자상거래법(电子商务法)> 제18조는 “소비자의 취미, 소비 습관 등 특징에 따라 제품 또는 서비스에 관한 검색결과를 제공할 때 그 소비자에게 특화되지 않은 옵션을 제공하여 소비자의 합법적 권익을 존중하고 평등하게 보호하여야 한다”고 규정하고 있다. 본법도 이러한 입법 취지를 반영하여, 개인정보처리자가 개인정보를 이용하여 자동화 의사결정6)을 할 경우 거래가격 등 거래조건에 있어 불합리한 차별대우를 해서는 안되고, 자동화 의사결정 방식으로 개인에게 정보 push(信息推送), 마케팅을 할 때 그 개인에 특화되지 않은 옵션을 제공해야 하거나 간편한 수신 거부 방식을 제공해야 함을 명시하였다(법 제24조). 그러므로 기업이 개인정보를 광고성 정보 push 등 자동화 의사결정에 이용하려는 경우 위 규정을 준수해야 하고, 법 제55조에 따라 사전에 개인정보보호 영향평가도 이행해야 한다.
8. 미성년자의 개인정보보호 강화
청소년이 주요 고객인 게임, short-form contents 등 플랫폼이 많아짐에 따라 중국은 미성년인 아동 · 청소년의 개인정보보호를 특히 강화하고 있다. 2019년의 <아동개인정보네트워크보호규정>과 2020년 개정의 <미성년자보호법>은 이를 반영하여 14세 미만 아동 · 청소년의 개인정보처리 시 부모 또는 후견인의 동의를 얻어야 함을 규정하고 있다. 본법에서는 더 나아가 14세 미만 아동 · 청소년의 개인정보를 민감한 개인정보로 취급하여 개인정보처리자는 특정한 목적과 충분한 필요성이 있으면서 엄격한 보호조치를 취한 경우에만 14세 미만 아동 · 청소년의 개인정보를 처리할 수 있다고 규정하였다. 그 외 14세 미만 미성년자를 위한 개인정보처리방침을 별도로 제정하고, 14세 미만 미성년자의 개인정보는 민감한 개인정보이므로 본법 제55조에 따라 사전에 개인정보보호 영향평가를 하도록 규정하고 있다(법 제28~제31조).
9. 개인정보의 역외 이전
기존 중국 <네트워크안전법>은 주로 핵심정보기초시설운영자(CIIO)의 개인정보의 해외 이전에 관한 제한을 두었지만7), 본법은 핵심정보기초시설운영자와 개인정보처리 수량이 국가 인터넷정보부서에서 규정한 수량에 달하는 개인정보처리자 뿐만 아니라 그 밖의 일반 개인정보처리자가 개인정보를 해외 이전함에 있어 준수해야 하는 사항도 명시하였다. 즉, 일반 개인정보처리자가 해외에 개인정보를 이전하려는 경우, (i)해외 수령 측이 본법에서 정한 개인정보보호기준에 부합되도록 필요한 조치를 취하고, (ii)개인에게 개인정보 해외 이전에 관한 내용(수령 측의 명칭, 연락처, 처리 목적, 처리 방식 등)을 고지하고 별도의 동의를 취득하며, (iii)사전에 개인정보보호 영향평가를 하고, (iv)개인정보보호 인증을 받거나 또는 해외 수령 측과 계약을 체결하여 각자의 권리와 의무를 명시할 필요가 있다(법 제38조~제39조, 제55조). 한편, 자동차 업종을 비롯한 특수 업종의 경우는 위 규정 이외에 2021년 10월 1일부터 시행되고 있는 <자동차데이터안전관리에 관한 약간 규정> 등 특별 규정도 준수해야 한다.
10. 개인정보주체의 권리에 대한 대응
본법은 제4장에서 개인이 개인정보처리활동에서 갖는 권리를 명시하였다. 즉, 개인은 (i)개인정보처리에 대해 알 권리, 결정권, 제한권, 거부권, (ii)자신의 개인정보에 대한 조회권, 복사권, 이동권, 정정권, 삭제권 및 (iii)자동화결정에 관한 권리를 보유한다. 특히 이동권(Right to data portability)은 EU의 <GDPR>과 미국 캘리포니아주 소비자프라이버시법(CCPA)상의 이동권을 도입한 것으로, 향후 플랫폼 간 개인정보의 자유로운 이동이 가능해지고 이로 인하여 플랫폼 간의 경쟁도 더욱 치열해질 것으로 예상된다. 그러므로 기업은 개인정보주체의 권리에 의한 요구에 대응하기 위하여 기술적 조치 등으로 개인정보를 조회, 수정, 삭제, 이동할 수 있는 대책이나 통로를 미리 준비할 필요가 있다.
11. 법률책임과 공익소송
본법을 위반하여 개인정보를 처리하거나 개인정보보호의무를 이행하지 않은 경우 관련기관으로부터 시정명령, 경고를 받거나 위법소득이 몰수되고, App의 경우 서비스가 중단 또는 종료되며, 시정하지 않는 경우 법인에 대해서는 100만위안 이하의 과징금(罚款), 직접 책임이 있는 자에게는 1만위안 이상 10만위안 이하의 과징금을 부과한다. 심각한 경우에는 법인에 대해서는 5,000만위안 이하 또는 전년도 매출액 5% 이하의 과징금을 부과하고 사업허가를 취소할 수 있으며, 직접 책임이 있는 자에게는 10만위안 이상 100만위안 이하의 과징금을 부과하고 일정한 기간 동안 회사의 임원이 되지 못하도록 명령할 수 있다(법 제66조). 그 밖에, 개인정보처리자가 본법을 위반하여 개인정보를 처리하여 많은 개인의 권익을 침해하는 경우에는 검찰, 소비자단체와 국가인터넷정보당국에 의해 공익소송을 당할 수 있다(법 제70조). 본법은 개인정보처리자에게 EU의 <GDPR>보다 더 엄격한 법률책임을 부과하고 있다.
평가와 과제
본법은 우리의 <개인정보보호법>에 비하여 영역에 따라서는 더 구체적인 규제를 하고 있고, 2018년 EU의 <GDPR>과 유사한 점도 있지만, 중국 실정에 따른 특별 규정도 적지 않다. 개인정보보호체제를 이미 구축한 기업이나 아직 수립하지 않은 기업은 기존 체제의 검토와 본법에 따른 통일적 컴플라이언스(compliance) 체제 구축이 필요하다. 한·중 모두 국제적 수준의 선진화된 개인정보보호법을 도입하였고, 데이터 경제의 활성화를 기대하고 있는 만큼 개인정보보호와 관련하여 발생하는 많은 과제를 함께 고민하고 해결해 나가야 한다. 특히 인공지능, 머신러닝(ML) 등 융·복합 기술이 실생활에 널리 사용됨에 따라 예상하지 못한 개인정보 침해 발생 가능성이 커지고 있어 이를 해결하기 위한 공동의 노력이 필요하다.
-----
1) 2021년 1월 1일부터 시행되고 있는 중국 <민법전(民法典)>은 전통적 인격권인 ‘생명권·성명권·초상권’과 함께 ‘프라이버시와 개인정보의 보호’를 제4편 제6장’에 신설하였다.
2) 중국에서 개인정보에 관한 내용이 포함된 개별 법률은 <헌법>, <형법(刑法)>, <민법통칙(民法通则)> 등 총 41개에 이르고, ‘행정법규’ 및 ‘부문규장’ 등도 약 200여 개에 달하는 등 관련 규정이 산재하여 있다. 정원준, “중국의 개인정보 법제 현황 및 동향”, 『ICT신기술』, 정보통신기획평가원, 2020년, 15면.
3) 이상우, “중국 개인정보 보호체계에 관한 연구”, 『중국법연구』 제45집, 한중법학회, 2021년, 340면 참고.
4) ‘익명화 정보’를 개인정보의 범위에서 제외하여 해당 정보에 대해서는 개인정보처리자의 개인정보보호 의무를 면제하여 해당 데이터의 활용을 촉진하여 데이터 경제 활성화에 이바지하기 위한 토대를 마련하는 것으로 해석된다.
5) 즉 중국 내 사업장이 없는 한국 기업도 역외적용 규정에 따라 중국 <개인정보보호법>이 적용될 수 있다. 2018년 5월 25일부터 시행 중인 EU의 일반개인정보보호규정(General Data Protection Regulation) (이하 GDPR)에서도 역외적용 규정을 두고 있다.
6) ‘자동화 의사결정’이란 컴퓨터 프로그램을 통해 개인의 행동 습관, 흥미와 취미 또는 경제, 건강, 신용 상황 등을 자동으로 분석하고 평가하여 결정을 하는 행위를 의미한다.
7) 2017년 6월 1일부터 시행 중인 중국 <네트워크안전법> 제37조는 “핵심 정보인프라 운영자는 중국 경내에서 운영 중 수집하고 생성된 개인정보와 주요 데이터를 반드시 중국 경내에 저장하여야 한다”고 규정하고, 업무상 필요 때문에 반드시 역외에 저장해야 하거나, 역외 기관 또는 개인에게 제공해야 하는 경우, 국가인터넷정보부문과 국무원의 유관부서가 제정한 방법에 따라 안전평가를 진행한다.
<참고문헌>
김명아, “중국 개인정보보호법 초안의 주요내용 및 입법 전망”, 대외경제정책연구원, 전문가 오피니언, 2021년 3월 31일.
선종수, “중국 개인정보보호 체계와 현황 그리고 시사점”, 대외경제정책연구원, 전문가 오피니언, 2021년 5월 25일.
오일환, “중국 개인정보보호법의 주요 내용과 시사점”, 한국인터넷진흥원(KISA), 2021년 9월.
이상우, “중국 개인정보보호 체계에 관한 연구”, 중국법연구 제45집, 한중법학회, 2021년.
정원준, “중국의 개인정보 법제 현황 및 동향”, ICT신기술, 정보통신기획평가원, 2020년.
《个人信息保护法》, 中国人大网, http://www.npc.gov.cn/npc/grxxbhfca/grxxbhfca.shtml
《中华人民共和国个人信息保护法》11月1日起施行, 海外网, https://baijiahao.baidu.com/s?id=1709864145006752596&wfr=spider&for=pc
| 이전글 | 두만강 유역 초국경 협력을 위한 사회연대경제 네트워크 | 2021-10-29 |
|---|---|---|
| 다음글 | 중국 14・5순항, 전기에너지 확보 안정성이 관건 | 2021-10-29 |
