KOTRA는 우리 기업에 중국 ‘개인정보보호법’의 핵심 내용을 신속하게 전달하기 위해 8월 31일 ‘중국 개인정보보호법에 대한 우리 기업의 대응방안’이란 주제로 웹 세미나를 개최했다.

이번 세미나에서 중국 정보통신기술 관련법 전문가인 전지홍(陳際紅) 중룬(中倫) 법률사무소 파트너 변호사가 법 내용을 설명하고, 우리 기업에 대응 방안을 제시했다.

발표 내용

중국 입법기관인 전인대 상무위가 지난 8월 20일 ‘개인정보보호법’을 통과시키고 오는 11월 1일부 본격 시행하기로 했다. ‘개인정보보호법’은 중국 헌법에 의거해 제정한 개인정보 수집, 저장, 사용, 가공, 전송, 제공, 공개, 삭제 및 보호 전반에 대해 포괄적으로 규정한 개인정보 보호제도의 기본법이다. 올 1월 1일부 시행한 ‘민법전’에서 규정한 프라이버시와 개인정보를 민법적으로 보호한다는 점에서 큰 의미가 있다.

‘개인정보보호법’은 2017년 6월 1일부 시행해온 ‘사이버보안법(網絡安全法)’, 2021년 6월 10일 통과되고 9월 1일부 시행하는 ‘데이터안전법(數据安全法)’과 함께 중국 사이버 관리·데이터 보호의 트로이카 시대를 열었다. 이들 3개 법안으로 중국 데이터 정보보호 법률 윤곽이 형성된 것이다.

1) 법적 개념

개인정보보호법은 개인정보를 정의함에 있어 '식별'을 강조한다. 법 제4조는 "이미 식별됐거나 식별이 가능한 자연인과 관련된 각종 정보"를 보호한다고 명시했다. "전자 또는 기타 방식"등 기록 방식에 구애받지 않는다. 단, 익명 처리된 정보는 제외한다고 규정했다.

개인정보 분류에 대한 시대적 요구를 반영해 생체인식정보 등 '민감한 개인정보'를 중국 입법에 처음으로 등장시켰다. 민감한 개인정보는 유출되거나 불법사용될 경우 자연인의 인격적 존엄성이 침해되거나 신체적·금전적 안전에 위해를 받을 수 있는 개인정보로 생체인식정보, 종교적 신념, 특정신분, 의료건강정보, 금융계좌, 행적 등을 비롯해 만 14세 미만 미성년자의 개인정보를 포함하는데 정보 취급자들이 각별히 유의해야 한다.

개인정보 취급자(个人信息处理者)는 개인정보 취급활동에서 취급목적, 취급방식 등 개인정보의 취급사항을 자율적으로 결정하는 조직 또는 개인이라고 규정했다. 중국 개인정보호보법에서 말하는 개인정보 취급자는 EU의 GDPR상의 제어자(controller), 취급자(processor)와 조금씩 다르지만 제어자(controller)에 좀 더 가깝다고 할 수 있다.

주: 제어자(controller)란 (단독 결정이든 공동 결정이든) 개인정보 처리 목적과 방식을 결정하는 자연인, 법인, 공공기관 또는 기타 실체, 취급자(processor)란 정보 제어자를 위해 개인정보를 취급하는 자연인, 법인, 공공기관 또는 기타 실체

2) 역외 적용

중국은 해외 입법 경험을 살려 해외에서 중국 내 수집한 개인정보를 취급할 경우에도 동법의 적용을 받도록 ‘역외 적용 원칙’을 도입했다.

중국 내에서 자연인 정보에 대한 취급활동에 적용하는 ‘속지주의 원칙’에 ‘유한한 역외효력’을 더한 것이 특징이다. 즉 △ 중국 내 자연인들에게 상품·서비스를 제공 △ 중국 내 자연인의 행동을 분석 및 평가 △ 기타 법률 법규가 규정한 상황에서 개인정보 역외 취급자는 중국내 전문기관 또는 대표를 지정하고 관련 정보 및 취급상황을 관리감독기관에 보고하도록 했다.

3) 단독 동의와 동의 철회

법안은 개인정보 취급 동의 절차와 다중화로 개인정보 처리의 합법적 기반을 마련했다. 제13조에 “본법 기타 관련 규정에 따르면, 개인정보의 처리는 반드시 개인의 동의를 얻어야 하지만, 전항 제2항에서 제7항 사이의 규정이 있는 경우에는 개인의 동의를 얻을 필요가 없다”고 규정했다. 또 “계약 체결과 이행, 법에 따라 제정된 노동규약과 단체 계약의 실시에 따른 인력자원관리가 필요하다”고 명시함으로써 인사관리의 필요한 개인정보 취급을 규범화했다.

그러나 “돌발적인 공공위생사태 발생, 긴급 상황 시 생명건강 재산의 보호 수요에 따라 진행”토록 예외 조항도 뒀다. 법 제41조에 따라 인터넷 사업자는 개인정보 수집 시 반드시 적법하고 정당한 원칙에 따라 수집·이용규칙을 공개해야 하고 정보의 수집·이용 목적과 방식, 범위를 명시하며 제공자의 동의를 받아야 한다.

법안은 제공자의 동의철회권도 보장했다. 제15조에 의거 개인은 개인정보 수집·이용을 철회할 수 있으며 개인정보 취급자가 동의철회 방식을 제공하는 의무를 진다. 단, 개인의 동의철회는 철회 전 개인의 동의에 기초한 개인정보 처리활동의 효력에 영향을 미치지 않는다.

이 가운데 ‘단독 동의’에 각별히 유의해야 한다. 개인정보 취급자가 개인정보를 타인에게 제공할 경우에 적용되는데 단독 동의는 △ 전문적인 조항, 예컨대 수집, 처리방식, 개인에 대한 영향 등을 명시해 알권리를 충분히 보장해야 하며 △ 동의 여부를 개인이 결정할 수 있도록 해야 한다. 예컨대 공공장소에 CCTV 설치해 취득한 개인정보는 공공안전보호 목적으로 공공기관에 제공될 경우엔 ‘단독 동의’를 취득할 필요가 없다. 그러나 타 용도로 쓰인다면 반드시 제공자로부터 단독 동의를 받아야 한다.

4) 공동 취급자와 위탁·수탁

법안은 개인정보 공동 취급자라는 개념을 도입해 이들이 연대 책임을 지도록 했다. 예를 들면, 소비자가 온라인 쇼핑몰에서 상품을 구매했을 경우 플랫폼에 입주한 기업과 플랫폼이 ‘공동 취급자’가 된다. 이들은 개인정보 취급행위에 대한 연대 책임을 져야 한다는 것이다. 특히 플랫폼은 정기적으로 개인정보 보호상황을 상시 점검하고 관련 부처에 보고하도록 보호 의무를 강화했다.

법안은 개인정보 위탁자와 수탁자의 정보보안 의무도 강조했다. 게임사가 클라우드에 사용자들의 개인정보를 저장했을 경우를 예로 들면, 게임사가 위탁자, 클라우드 업체는 수탁자가 된다. 수탁자는 위탁 취급의 목적, 기간, 처리방식, 개인정보의 종류, 보호조치, 쌍방의 권리 및 의무를 약정하고 약정에 따라 취급해야 하며 약정의 취급목적, 방식 등을 벗어나서는 안 된다. 또 위탁계약이 미발효, 무효화, 중단, 종료된 경우 수탁자는 반드시 개인정보를 반환하거나 삭제해야 하며 남겨둘 수 없다.

5) 신기술 응용

인공지능 시스템, 알고리즘 등 새로운 기술적 수단으로 개인정보를 취급할 경우 개인에게 불이익을 안길 수 있다. 최근 일부 기업이 개인정보 분석·빅데이터를 통해 소비자에게 차별적 가격을 제시하는 등 사건이 발생했다. 이를 막기 위해 ‘개인정보보호법’은 △ 기술적 수단을 활용한 의사결정의 투명성 보장 △ 빅데이터를 활용한 차별 대우 금지 등 조항을 추가했다. 제24조에 “자동화된 의사결정방식에 의거해 정보 전송과 상업마케팅을 진행할 경우 그 개인을 특정하지 않을 수 있는 옵션이나 거절할 수 있는 방식을 동시에 제공해야 한다”고 명시했다.

7) 해외 제공

외자기업들이 가장 관심을 보이는 부분이 ‘중국 내 취득한 개인정보의 해외 제공’ 문제이다. ‘개인정보보호법’은 중국판 개인정보 해외 제공 규칙을 만들었다.

중국 내 취득한 개인정보는 해외로 제공할 수 있다. 그러나 아래 3가지 요건을 만족시켜야 한다. 첫 번째는 ‘해외’의 개인정보보호 수준이 중국보다 낮아서는 안 된다. 두 번째는 반드시 개인의 단독 동의를 받아야 한다. 마지막으로 사전에 개인정보 보호 영향 평가를 실시해야 한다.

개인정보를 해외로 제공함에 있어 취급자에 따라 규제 강도가 다르다. 중요 정보 인프라 운영자(CIIO)일 경우엔 중국 사이버당국의 심사를 받아야 한다. 또 개인정보 취급 수량이 많을 경우에도 당국의 규제 대상이 될 수 있다. 이 수량에 대해 아직 구체적 규정이 확정된 바 없지만 10만~100만 명으로 전망한다.

중국 내에서 취득한 개인정보도 주체의 성격, 그리고 취급 수량에 따라 중국내 저장 여부가 결정된다. CIIO거나 수량이 당국의 수량 규제를 벗어났을 경우엔 반드시 중국 내 저장해야 하지만 그렇지 않을 경우 중국 내 저장해야 한다는 규정을 적용받지 않는다.

8) 유의사항

중국의 ‘개인정보보호법’은 제재 수위가 GDPR보다 높다고 할 수 있다. 사안이 심각한 경우 GDPR과 중국의 ‘개인정보보호법’은 ‘최대 기업 매출의 4~5%’ 벌금을 매길 수 있다. 고액의 벌금을 안기는 면에서 비슷하지만 중국에서는 ‘영업·경영 허가증 취소’도 가능하도록 규정했기 때문이다.

개인정보보호법은 중국 공공이익을 해쳤을 경우 해당 기업을 ‘블랙리스트’에 올리거나 맞대응 조치가 가능하도록 했다. CIIO, 개인정보 해외 제공량이 많은 기업은 각별히 유의해야 한다.

기업의 보안성 강화를 위해서는 숙달된 보안 전문가가 육성이 반드시 필요한데 사이버보안 책임자는 외국인이 적합하지 않다고 본다. 특히 중요 정보 인프라시설 운영의 경우 해외 제공 등 업무를 처리함에 있어 외국인보다 중국인이 더 적합하다는 생각이다.

Q&A 현장

Q: 한국의 개인정보보호법, EU의 GDPR과 다른 점은? 이미 EU의 GDPR 적용해 개인정보보호체계 구축한 기업은 중국의 개인정보보호법을 어떻게 대응해야 하는가?

A: 개인정보 보호 수준은 비슷하지만 중국은 정부의 규제가 보다 엄격하다. 사이버 당국의 사전 심의가 이뤄져야 해외 전송 가능하는 등 규제를 예로 들 수 있다. 다른 점은 중국은 인력자원관리의 수요 등 예외 조항을 뒀지만 GDPR엔 없으며 중국은 개인정보 등급을 분류해 관리하지 않지만 GDPR엔 있는 등이 있다.

Q: 9월 1일부 시행하는 ‘데이터안전법’과 다른 점은?

A: 관리감독 중점 대상이 다르다. 개인정보보호법은 개인정보에 초점을 맞췄다. 개인정보도 데이터이기 때문에 ‘개인정보보호법’을 ‘데이터안전법’의 하위 개념으로 볼 수 있다. ‘데이터안전법’은 모든 데이터, 특히 중요한 데이터, 국가안보, 공공이익과 밀접하게 관련된 중요한 데이터 안보·보호를 강조한다. 특히 해외 전송할 경우 심사 규정 등 내용이 포함돼 있다.

Q: 민감정보를 처리함에 있어 사전 평가가 필요한 데 기업의 대응전략은?

A: 개인정보 수집, 처리 절차, 개인 권리에 대한 침해 가능성, 유출 시의 파급력 등 평가가 선행돼야 한다. 침해가 작고 유출 가능성이 작다면 괜찮지만 침해 및 유출 가능성이 ‘중간’ 및 이상으로 나오면 정부의 심사를 통과할 수 없다. 범위, 유형 등이 같을 때 평가는 한차례만 진행하면 되지만 세부 사항에 변화가 있을 경우 재평가가 필요하므로 유의해야 한다.

Q: 바이어 명함도 개인정보인가? 전시회에서 명함 받을 때도 일일이 사전동의를 받아야 하는가?

A: 명함을 줄 때 어느 정도 비즈니스에 활용될 것으로 예상하기 때문에 전화, 문자 연락을 하거나 관련 자료를 이메일로 보내는 상업행위는 개인정보보호법을 저촉했다고 할 수 없다. 전시회에서 명함을 줬는데 그 명함상 이메일로 상품소개 등을 받았을 경우도 합리적으로 사용됐다고 볼 수 있다. 하지만 명함은 공개정보가 아니다. 제3자에 공유하거나 인터넷 등에 공개할 경우에는 사전동의를 반드시 받아야 한다.

Q: 향후 세부적 가이드라인, 관련 규정 지속 발표 가능성은?

A: 아직은 제도적으로 미비하다. 사법해석, 관련 규정, 가이드라인 등 세부규정이 발표될 것으로 보인다. 개인정보보호법을 먼저 제정, 시행한 후 법집행 과정에서 발생하는 구체적 사안에 따라 관련 제도와 정책을 끊임없이 보완할 것으로 보인다. 일부 내용은 구체화되지 않았지만 법적 리스크는 분명 존재한다. 사전 대응이 필수이다.

Q: 중국 현지 직원의 정보를 한국 본사로 전송할 때 유의점은? 노사분쟁의 경우 제3자에게 당사자의 개인정보를 공유할 수밖에 없는데 그 대응법은?

A: 법은 인력자원관리 수요에 의한 예외 조항을 뒀다. 일반적인 인사관리수요에 의해 전송할 경우 1) 직원의 동의, 2) 사전 리스크 평가, 3) 해외전송의 관련 규정 준수 등이 필요하다. 노사분쟁 발생 시 제3의 기관에 개인정보 제공할 경우 본인에게 동의를 구해도 동의하지 않을 가능성이 크다. 이는 ‘부득이하게 공유하는 경우’이기 때문에 본인의 별도 동의는 필요하지 않는다고 생각한다.

Q: 쿠키정보도 개인정보인가?

A: 개인정보로 볼 가능성이 크다. 쿠키를 통해 개인을 특정할 수 있기 때문이다. 쿠키정보를 수집하기 위해 홈페이지에 관련 내용을 공시하고 사용자 동의를 거쳐 수집해야 한다.

Q: 업종별로 적용 기준이 다른가?

A: 일반법이기 때문에 적용 기준은 같다. 단, 일부 업종에 구체적인 관련 규정이 있으면 해당 법규에 따라 보다 엄격하게 관리 규제할 수는 있다. ‘자동차데이터관리규정’를 예로 들면, 자동차를 통해 수집한 개인정보가 포함되는데 규정은 일반법보다 우선 적용된다.

Q: 플랫폼에 입점한 해외기업도 중국의 개인정보는 수집하는 데 법 적용대상인가? 입점 기업이 개인정보를 배송사에 전달했을 경우는?

A: 티몰 등 플랫폼은 중국 소비자 대상, 사이트는 중국어로 운영되고 있으므로 해외기업은 역외 취급자로 법의 적용을 받는다. 기업은 플랫폼을 통해 구매한 상품을 소비자에게 배송할 필요가 있다. ‘필요 원칙에 따라 제3자가 물류배송을 하므로 개인정보를 배송사에게 공유하겠다‘고 명시, 소비자에게 고지해야 한다. 한편, 배송사는 배송 완료 후 개인정보를 폐기해야 한다.

Q: 개인정보 취급 수량에 대한 규정은?

A: 기업이 CIIO일 경우, 수량이 당국의 상한선을 초과할 경우 중국내 데이터를 보존해야 한다. 취급 수량은 10만~100만 명으로 보고 있으며 아직 구체적 규정은 발표된 바 없다. ‘자동차데이터관리규정’에서 미뤄보면 정보 건수가 아닌 인원수로 집계할 가능성이 크다.

Q: ‘개인정보안전규범’ 등 규정과의 관계는?

A: 법안과 적용 대상은 다르지만 상호보완 관계로 봐야 한다. 규범은 일반법의 하위 규정이므로 법안과 충돌하는 부분이 있으면 법안을 기준으로 한다.

Q: 게임사가 알리바바와 같은 클라우드 플랫폼에 개인정보 저장할 경우 클라우드 플랫폼이 개인정보 제공자의 ‘단독 동의’를 거쳐야 하는가?

A: 위탁이기 때문에 단독 동의 별도를 받을 필요 없다. 수탁자와 정확히 약정하는 계약서를 체결할 필요가 있다.

Q: 한국 본사의 시스템을 사용하는 중국법인의 데이터 베이스는 중국에 둬야 하는가?

A: 우선 정보 유형을 분석해야 한다. 국가안보, 공공이익과 관련된 데이터일 경우는 중국에 둬야 한다. 취급량이 사이버 당국의 수량을 초과했을 경우만 중국 내 보존해야 한다. 기타 상황은 해외에 둬도 무방하다. 단, 중국 내 수집한 개인정보를 해외로 전송 시 관련 규정에 따라야 한다.

자료: 연사 발표 의거 KOTRA 베이징 무역관 종합

< 저작권자 ⓒ KOTRA ＆ KOTRA 해외시장뉴스 >