• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    태평양

    중국 개인정보보호법의 주요 내용 및 시사점

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [2021.10.29.]



    2021년 8월 20일, 중국 <개인정보보호법>(이하 “개인정보보호법”)이 중국 제13기 전국인민대표대회 상무위원회 제30차 회의에서 통과되었으며, 2021년 11월 1일부터 정식으로 시행될 예정입니다.


    2020년 10월 21일 개인정보보호법 초안이 발표된 이후 중국 정부는 각계의 의견수렴을 거쳐 2021년 4월 16일과 2021년 8월 19일 초안에 대한 수정을 하였습니다[1].


    [각주1] 개인정보보호법(초안) 및 초안 2차 수정안의 내용에 대해서는 본 법무법인의 2021. 1. 20.자 및 2021. 5. 31.자 뉴스레터를 참고하시기 바랍니다.


    개인정보보호법은 유럽 연합(EU)의 General Data Protection Regulation (이하 “GDPR”)의 규정을 주로 참고하여 제정된 것으로서 중국에서 최초로 개인정보보호를 규율하는 종합적 기본 법률로 평가받고 있으나, 개인정보 해외이전, 안전평가 등 방면에서 중국 특색의 보호주의 경향도 나타내고 있습니다.


    개인정보보호법은 빅데이터 시대를 맞이하여 플랫폼을 활용하는 온라인 기업, 전자상거래 기업, 은행 등 금융기관, 게임회사, 메타버스(Metaverse) 관련기업, 소비자를 대상으로 휴대폰 App을 활용하는 기업, 인공지능을 활용하는 자율주행 자동차 등 제조 및 소프트웨어 기업, 빅데이터 및 클라우드 컴퓨팅 기업, B2C기업 뿐 아니라 B2B기업에 이르기까지 전반적인 산업계에 큰 영향을 미칠 것으로 예상됩니다.


    이하에서는 개인정보보호법의 주요 내용과 그 시사점에 대하여 살펴보도록 하겠습니다.



    1. 개인정보보호법상 개인정보의 정의 및 기본원칙

    (1) 개인정보보호법의 적용 범위

    개인정보보호법은 GDPR의 속지주의와 보호주의 원칙을 도입하여 최초로 중국 역내에서 개인정보를 처리하는 활동이 개인정보보호법의 적용을 받는다고 명확히 규정함과 동시에, 중국 역외에서 중국 역내 자연인(개인)의 개인정보를 처리하는 행위에 대해서도 규율할 수 있도록 하는 역외 적용 조항을 두고 있습니다(제3조).

     

    TPY_1.jpg


    (2) 개인정보의 정의 등

    “개인정보”는 전자 또는 기타 방식으로 기록되어 식별되었거나 식별이 가능한 자연인과 관련된 각종 정보를 의미하며, 익명화 처리된 후의 정보는 제외됩니다(제4조).


    “민감개인정보”는 일단 유출되거나 불법으로 사용될 경우 자연인의 인격의 존엄성이 쉽게 침해될 수 있거나 신체 또는 재산의 안전에 위험을 쉽게 초래할 수 있는 개인정보로서 생물 식별, 종교신앙, 특정 신분, 의료건강, 금융계좌, 위치 행방 등 정보 및 만 14세 미만 미성년자의 개인정보를 포함합니다(제28조). 기존의 정의 조항 대비 민감개인정보에 만 14세 미만 미성년자의 개인정보가 추가되었음을 유의할 필요가 있습니다. 민감개인정보를 취급하는 자는 일반 정보를 취급하는 자에 비하여 강화된 주의의무를 부담합니다.


    그 밖에, 개인정보의 “처리”란 개인정보의 수집, 저장, 사용, 가공, 전송, 제공, 공개, 삭제 등 개인정보의 전체 라이프사이클에 관한 처리 방식을 가리킵니다(제4조 제2항).


    (3) 개인정보 처리의 기본원칙

    개인정보 처리 시 (i) 적법, 정당, 필요 원칙, (ii) 합리적 목적 원칙, (iii) 최소 범위 원칙, (iv) 공개 투명 원칙 등 4개 기본원칙을 준수해야 한다고 규정하였습니다(제5조~제8조).



    2. 개인정보 처리규칙

    (1) 고지-동의 원칙

    개인정보처리자는 개인에게 (i) 개인정보처리자의 명칭 또는 성명과 연락처, (ii) 개인정보의 처리목적, 처리방식, 개인정보의 유형, 보관기한, (iii) 개인이 본 법에 규정된 권리를 행사하는 방식과 절차, (iv) 법률, 행정법규에 따라 고지해야 하는 기타 사항(이하 총칭하여 “기본 고지사항”)을 개인에게 명백하고 알기 쉬운 언어로 진실하고, 정확하며, 완전하게 고지하여야 하고, 개인의 동의를 취득하여야 개인정보를 처리할 수 있습니다(제13조 제2항, 제17조).


    동시에 개인정보보호법은 개인의 동의를 취득하지 않고 개인정보를 처리할 수 있는 예외조항을 규정하였습니다(제13조 제1항 (2)호~(7)호).

      

    TPY_2.jpg

     

    [각주2] 실제 법규정에서 사용하고 있는 용어도 여론 대응이 아니라 여론 감독입니다.



    또한, 개인정보의 처리목적, 처리방식, 개인정보의 유형이 변경되는 경우 개인의 동의를 다시 취득하여야 합니다(제14조 제2항).


    (2) 별도 동의

    개인정보보호법은 개인정보 처리 시 개인의 명시적 수권 동의를 받아야 한다는 일반 원칙에 추가하여, 아래 사항에 해당하는 경우는 “별도”의 동의를 받아야 한다고 규정하였습니다.


    ① 민감개인정보를 처리하는 경우

    개인정보처리자는 개인에게 기본 고지사항 이외 추가로 민감개인정보 처리 필요성 및 개인에게 미치는 영향을 고지해야 함(제29조, 제30조)

    ② 개인정보처리자가 다른 개인정보처리자에게 그가 처리하는 개인정보를 제공하는 경우

    개인에게 수령자의 명칭 또는 성명, 연락처, 처리목적, 처리방식, 개인정보의 유형을 고지해야 함(제23조).

    ③ 개인정보처리자가 중국 역외로 개인정보를 제공하는 경우

    개인에게 역외 수령자의 명칭 또는 성명, 연락처, 처리목적, 처리방식, 개인정보의 유형 및 개인이 당해 역외 수령자에 대해 본 법에서 규정한 권리를 행사하는 방식과 절차 등 사항을 고지해야 함(제23조).

    ④ 개인정보처리자가 그가 처리하는 개인정보를 공개하고자 할 경우(제25조).

    ⑤ 공공장소에 화면채집, 개인신분식별 설비를 설치하여 수집한 개인화면, 신분식별정보는 공공안전을 보호하기 위한 목적으로만 사용되어야 하며, 다른 목적으로 사용하고자 하는 경우(제26조).


    참고로, 아직 법규상 “별도 동의”를 취득하는 방식에 대한 명확한 기준이 있는 것은 아니나, 일반적으로 “별도 동의”란 처리하는 개인정보를 개인에게 고지하여 포괄적인 동의를 한번에 받는 방식이 아니라, 위에서 열거된 별도 동의 사항에 대해서는 일반적인 개인정보 수집에 대한 동의와는 구분하여 다시 동의를 구하는 화면(팝업창과 추가적인 체크박스 등) 또는 항목을 통해 동의를 취득하는 것으로 해석되고 있습니다.


    (3) 개인정보의 자동화 의사결정(알고리즘의 차별 선택)

    개인정보처리자가 개인정보를 이용하여 자동화 의사결정을 하는 경우, 자동화 처리의 투명성과 결과의 공평, 공정성을 보증해야 하며, 거래가격 등 거래조건에 있어서 개인에 대해 불합리한 차별 대우를 하여서는 아니됩니다(제24조 제1항).

     

    또한 자동화 의사결정 방식으로 개인에게 정보 푸시 알림, 상업 마케팅을 진행하는 경우, 개인의 특징과 연계되지 아니할 수 있는 옵션을 동시에 제공해야 하며, 개인에게 편리한 거절방식을 제공해야 합니다(제24조 제2항).


    (4) 개인정보의 해외이전

    개인정보처리자가 업무상 필요로 인해 중국 역외에 개인정보를 제공해야 하는 경우 다음 조건 중 하나를 충족해야 합니다(제38조 제1항).

    ① 국가네트워크정보부처가 진행한 안전평가에 통과

    ② 국가네트워크정보부처의 규정에 따라 전문기관을 통해 개인정보보호인증 진행

    ③ 국가네트워크정보부처가 제정한 표준계약[3]에 따라 중국 역외 수령자와 계약을 체결하고 양자 간의 권리와 의무를 약정

    ④ 법률, 행정법규 혹은 국가네트워크정보부처가 규정한 기타 조건


    [각주3] 아직 이러한 표준계약은 공표되지 아니하였습니다.


    (5) 만 14세 미만 미성년자 개인정보의 처리

    개인정보처리자가 만 14세 미만 미성년자의 개인정보를 처리하는 경우, 미성년자의 부모 또는 기타 후견인의 동의를 취득하여야 하고, 전문 개인정보처리규칙을 제정하여야 합니다(제31조).

    다만, 아직까지 미성년자의 부모 또는 후견인의 동의를 받는 구체적인 방식에 대해서는 명확한 세부규정을 두고 있지는 않고 있으며, 실무상 이와 같은 부모 또는 후견인 동의 취득 의무가 개인정보처리자에 의해 제대로 이행되지 않고 있는 경우도 존재합니다. 이와 관련하여서는 추후 세부 규정의 제정에 대해 모니터링할 필요가 있습니다.



    3. 개인정보주체(개인)의 권리

    개인은 그의 개인정보 처리에 대한 알 권리, 결정 권리를 보유하고, 개인정보처리자에게 열람, 복제, 보충, 삭제할 것을 요구할 권리도 갖고 있습니다(제44조~제47조).


    특히 개인정보주체의 삭제 요구 권리와 관련하여, 아래 각 호의 사유가 발생하는 경우 개인정보처리자는 개인정보를 삭제하여야 하며, 개인정보처리자가 삭제하지 않는 경우 개인은 삭제를 청구할 수 있습니다(제47조).


    ① 처리 목적을 이미 실현하였거나, 실현할 수 없게 되거나, 처리 목적을 실현하기 위해 더 이상 필요하지 않게 된 경우

    ② 개인정보처리자가 제품/서비스 제공을 종료하거나, 저장기한이 만료된 경우

    ③ 개인이 동의를 철회하는 경우

    ④ 개인정보처리자가 법률, 행정법규 또는 약정을 위반하여 개인정보를 처리하는 경우

    ⑤ 법률, 행정법규에서 규정한 기타 경우



    4. 개인정보처리자의 의무

    (1) 개인정보처리자의 일상 관리 의무

    개인정보처리자는 (i) 내부관리제도와 업무매뉴얼을 제정하여야 하고, (ii) 개인정보에 대해 분류하여 관리를 시행하여야 하며, (iii) 상응한 암호화, 비식별화 등 안전기술조치를 취하여야 하며, (iv) 개인정보 처리 권한을 합리적으로 확정하고 직원에 대한 안전교육을 정기적으로 진행해야 하며, (v) 개인정보 안전사건 응급대처방안을 제정, 조직 및 실시하여야 합니다(제51조).


    (2) 개인정보보호 영향평가

    다음 각 호의 경우, 개인정보처리자는 사전에 개인정보보호 영향평가를 진행해야 하며 처리상황을 기록하여야 합니다(제55조).


    ① 민감개인정보를 처리하는 경우

    ② 개인정보를 이용하여 자동화 처리를 하는 경우

    ③ 개인정보를 위탁처리하거나, 제3자 개인정보처리자에게 개인정보를 제공하거나, 개인정보를 공개하는 경우

    ④ 중국 역외에 개인정보를 제공하는 경우

    ⑤ 개인의 권익에 기타 중대한 영향을 미치는 개인정보 처리활동

    위 개인정보보호 영향평가는 다음 각 호의 내용을 포함하여야 합니다(제56조).

    ① 개인정보의 처리목적, 처리방법 등이 적법하고 정당하고 필요한지 여부

    ② 개인의 권익에 대한 영향 및 안전 리스크

    ③ 취한 보호조치가 적법하고 유효하며 리스크 정도에 부합하는지 여부


    또한, 개인정보보호 영향평가보고 및 처리상황에 대한 기록은 적어도 3년 이상 보관해야 합니다.



    5. 시사점

    기존 중국 <민법전>, <네트워크안전법>에는 개인정보보호의 원칙적 조항만 규정되어 있었기 때문에 개인정보보호 관련 법제가 미비하였고 특히 플랫폼 기업들을 비롯한 중국의 인터넷 관련 산업이 신속히 발전함에 따라 개인정보 침해 사례들도 속출하기 시작했습니다. 또한, 개인정보 보호 규정들이 각 부문 규장(행정부 부령), 국가표준 등에 산재되어 있어 기업들로서도 개인정보보호를 위한 내부 가이드라인을 제정하기가 어려운 실정이었습니다.


    이러한 배경하에서 개인정보에 관한 기본법인 개인정보보호법이 통과되었는데, 이미 시행 중인 네트워크안전법, 데이터안전법과 더불어 개인정보와 데이터 영역에서의 3대 핵심 법률이 마련되었으며 업계에서는 중국의 “개인정보보호 2.0” 시대가 열렸다고 평가하고 있습니다.


    2021. 11. 1.자로 개인정보보호법이 정식 시행되고, 그 하위 규정들도 잇달아 제정 및 공포될 것으로 예상되며, 데이터 및 개인정보에 관한 법집행이 더욱 활발해질 것으로 보입니다. 이에, 각 기업들은 보다 체계적인 컴플라이언스 시스템을 구축하여야 합니다. 우선, 중국 소비자를 대상으로 하는 이용약관, 개인정보보호 처리방침(privacy policy), 개인정보 수집 문구, 웹사이트의 고지사항 등을 면밀히 점검하고, 제3의 서비스 업체에 개인정보 처리를 위탁하거나 제공하는 경우 적절하게 개인정보가 보호되는지를 반드시 확인하여야 하며, 중국 자회사 직원들의 개인정보를 HR관리 목적상 수집할 때에도 그 방식이 개인정보보호법 및 관련 법령상 위법 소지가 없는지를 점검할 필요가 있게 되었습니다.


    특히 이번 개인정보보호법에 역외 적용 조항도 명확히 포함됨에 따라, 한국에서 중국 내 중국인 소비자뿐 아니라 중국 내에 소재하는 외국인(한국인 포함)에게 제품 또는 서비스를 제공하거나, 데이터를 분석하는 경우에도 개인정보보호법이 적용될 수 있기 때문에 한국 기업의 각별한 주의가 요구된다고 할 수 있습니다.



    김성욱 변호사 (sungwook.kim@bkl.co.kr)

    김응걸 외국변호사 (yingjie.jin@bkl.co.kr)

    이금도 외국변호사 (jindu.li@bkl.co.kr)