• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    태평양

    중국 <개인정보안전규범> 시행

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [ 2018.05.04 ]


    올해 초 Facebook의 개인정보 유출사건이 있은 후 주가폭락으로 약 60조원의 시가총액이 사라졌다는 뉴스가 있었고 유럽의 개인정보에 관한 규정인 General Data Protection Regulation(GDPR)이 2018년 5월 25일부터 시행될 예정으로 전세계적으로 개인정보에 관한 관심이 급증하고 있습니다. 중국에서도 중국 전국정보안전표준화기술위원회는 <정보안전기술 개인정보안전규범> (이하 “개인정보안전규범”)을 제정하여 2017년 12월 29일에 정식 발표하였고, 개인정보 안전규범은 5월 1일자로 시행되었습니다. 중국 정부는 개인정보안전규범을 기준으로 개인정보 처리 활동의 감독·관리·평가 등을 진행할 것으로 예상되며, 한국기업에도 큰 영향을 미칠 것으로 보입니다. 중국에서는 2017년 <네트워크안전법>, <민법총칙>, <공민개인정보침해 형사안전 적용에 관한 약간의 문제에 대한 해석>이 공표 및 실시되면서 개인정보보호에 대한 사회적 관심이 크게 증가하였습니다. 또한 2017년 말부터 인터넷정보판공처, 공안국 등 중국정부 관련부서는 전국 각지에서 인터넷 기업 등 영리조직뿐만 아니라 교육기관 등 비영리조직에 대해서도 개인정보 점검을 실시하고 권리침해 등 행위를 적발하기 시작하였습니다.


    이러한 배경 하에 지난달에는 알리바바(Alibaba)의 mobile payment 부문인 Alipay가 개인정보를 수집할 때에는 최소한의 정보를 필요한 만큼 수집해야 한다는 원칙을 위반하고, 개인의 금융정보를 부당하게 사용하였다는 이유 등으로 중국정부로부터 벌금을 부과받아 큰 주목을 받았습니다.1)


    [각주1] https://jingtravel.com/alipay-gets-slap-on-the-wrist-for-multiple-breaches/


    이하에서는 개인정보안전규범의 주요 내용 및 시사점에 대해 살펴보도록 하겠습니다.



    1. 개인정보안전규범의 적용 범위

    - 모든 기관의 개인정보 처리 활동 규율에 적용

    - 감독기관 및 제3의 평가기관 등 조직의 개인정보 처리 활동에 대한 감독, 관리, 평가에 적용



    2. 개인정보안전규범의 구성

    태평양_2018.05.04_1.JPG



    3. 개인정보안전규범의 주요 내용

    (1) 개인정보 수집 시 권한 부여 동의 취득

    개인정보 수집 시 : 사전에 정보주체에게 수집 가능한 개인정보 유형과 수집 빈도, 저장 지역 및 기한, 데이터 안전 능력, 외부 공유 등 개인정보의 수집 및 사용 규칙 등을 정확히 고지하고 동의를 취득해야 함.


    개인정보 간접 처리 시 : 개인정보 제공자의 개인정보 처리 권한 부여 범위를 파악해야 하고 권한 범위를 초과한 경우, 정보주체의 명시적 동의를 취득해야 함.


    예외 상황 : (i) 국가 안전, 공공 안전 등과 직접 관련이 있거나 개인의 생명, 재산 등 중대한 합법적 권익 보호가 필요한 상황에서 본인의 동의를 받기 어려운 경우, (ii) 정보주체의 요구에 따른 계약 체결 및 이행에 필요한 경우, (iii) 제품 고장이나 서비스 장애의 인지, 조치 등 제품이나 서비스의 안전하고 안정적인 사용 지원을 위해 필요한 경우 등


    (2) 개인 민감정보 수집 시 명시적 동의 취득

    개인 민감정보 수집 시, 정보주체의 명시적 동의를 받아야 하며, 명시적 동의는 정보주체가 관련 사항을 완전히 이해한 상황에서 자주적으로 제공한, 구체적이고 명확한 의사표시를 가리킴.


    제공하는 제품이나 서비스의 핵심 업무 기능, 필수적으로 수집해야 하는 개인 민감정보, 제공 거절이나 동의 거부로 인한 영향을 사전에 고지해야 하며, 정보 제공 및 자동수집 동의 여부에 대한 선택권을 부여해야 함.


    기타 부가 기능을 제공하면서 개인 민감정보를 수집하는 경우 해당 민감정보가 어떤 부가 기능을 완성하기 위해 필수적인 내용인지 설명해야 하며 정보주체가 항목별로 제공 여부 및 자동수집 동의 여부에 대한 선택권을 허용해야 함. 단, 정보주체가 정보 제공에 동의하지 않더라도 핵심 업무 기능은 계속하여 제공해야 함.


    만 14세 미만 미성년자의 개인정보 수집 시 그 보호자의 명시적 동의를 받아야 함.


    (3) 개인정보 보호정책(Privacy Policy) 고지

    개인정보 보호정책은 공개적으로 발표하고 용이하게 조회할 수 있도록 해야 하며 진실성·정확성·완전성을 갖추어야 함.


    개인정보 보호정책에 포함되어야 하는 주요 항목


    a) 개인정보 처리자의 기본 정보 및 개인정보 수집·사용의 목적

    b) 수집 방식, 빈도, 저장 지역 등 개인정보 처리 규칙 및 수집하는 개인정보의 범위

    c) 개인정보 공유, 양도, 공개의 목적 및 해당 개인정보 유형, 제3의 정보 수령자 유형, 관련 법적 책임

    d) 조회, 정정, 삭제, 계정말소 방법 등 정보주체의 권리 및 보장체제

    e) 개인정보를 제공하는 경우 잠재 보안 리스크, 개인정보를 제공하지 않는 경우 그 영향


    (4) 개인정보 저장 관련 준수 사항

    목적 달성에 필요한 최소한의 기간 동안 저장하고, 저장기간 만료 후 삭제 또는 익명화 처리를 해야 함.


    수집 후 즉시 비식별화 처리를 하고 이를 복원 가능한 개인정보와 분리하여 저장해야 함.


    개인 민감정보 전송 및 저장 시 암호화 등 안전조치를 해야 하고, 개인 생체특징 정보는 일정한 기술적 조치를 취한 후 저장해야 함.


    (5) 개인정보 사용 관련 준수 사항

    내부 데이터 취급자에게 필요 최소한의 범위 내에서 권한을 부여해야 하고 중요 작업을 진행하는 경우 내부 결재 프로세스를 수립해야 하며, 개인 민감정보의 조회·정정은 필요한 경우에만 업무 프로세스에 따라 권한을 부여함.


    수집 시 고지한 범위 내에서 개인정보를 사용해야 하며, 업무상 필요에 의해 해당 범위를 초과하여 사용해야 하는 경우 다시 정보주체의 동의를 받아야 함.


    정보주체에게 자신의 정보에 대해 조회하거나 수집 및 사용 동의를 철회할 수 있는 방법을 알려주어야 하고 정보주체의 요청에 따라 해당 정보를 정정 또는 삭제해야 함.


    정보주체가 요청하는 경우 개인 기본 자료, 신분 정보, 건강·근무·교육 관련 정보의 사본을 제공해야 하며, 기술적으로 가능한 경우 제3자에게 전달해야 함.


    개인정보 처리자는 정보주체의 요청을 30일 내에 처리해야 함.


    (6) 개인정보의 위탁, 공유, 양도, 공개 관련 준수 사항

    개인정보 처리 위탁 시 정보주체가 동의한 범위 내에서 위탁해야 하고, 위탁 행위가 개인정보 안전에 미칠 영향을 평가해야 하며 수탁자가 충분한 개인정보 보안 능력을 갖추도록 해야 함.


    개인정보 처리자는 계약 체결, 감사 등의 방식을 통해 개인정보 처리 수탁자에 대한 관리감독을 진행해야 함.


    개인정보 공유·양도·공개 시 정보주체의 사전 동의를 받아야 하며, 정보 안전에 대한 사전 영향평가를 진행하고 평가 결과에 따라 보호 조치를 실행해야 함.


    개인정보 공유·양도·공개로 인해 정보 주체의 합법적인 권익에 손해가 발생하는 경우 개인정보 처리자가 법적 책임을 부담함.


    개인정보 공유·양도·공개 상황에 대해 일시, 규모, 목적, 범위, 정보 수령자 등을 정확하게 기록하고 보존해야 함.


    (7) 개인정보 보안 사고 대응

    개인정보 보안 사고 응급 대응 방안을 수립하고 정기적으로 내부 교육 및 훈련을 실시해야 함.


    개인정보 보안 사고 발생 시, 그 내용을 기록하고 영향 평가 및 필수 조치를 실시하며 정보주체에게 고지해야 함.


    (8) 조직의 관리에 대한 요구사항

    법정대표 또는 주요 책임자는 개인정보 보안에 대해 포괄적인 관리 책임을 부담함.


    개인정보 보호 책임자 및 담당조직을 지정해야 하며, (i) 주요 업무가 개인정보 처리와 관련 있으면서 직원수가 200명 이상인 경우, (ii) 50만명 이상의 개인정보를 처리하거나 12개월 내에 50만 이상의 개인정보를 처리할 것으로 예상되는 경우 전담 인력 및 조직을 두어야 함.


    개인정보 안전영향 평가 제도를 수립하고 정기적으로 안전영향 평가를 진행해야 함.


    개인정보 처리 업무를 담당하는 직원과 비밀유지계약서를 체결하고 개인 민감정보를 다루는 관리자에 대해 신원 배경조사를 진행해야 함. 



    4. 시사점

    중국은 개인정보보호와 관련하여 통합된 법이 존재하지 않고 산업별 또는 영역별로 개별 법률, 규정, 가이드를 통해 규율하여 왔는데, 개인정보안전규범은 개인정보 보호에 대한 전반적인 내용을 규율하였다는 점에서 의의를 가지며 개인정보 보호 영역에 큰 영향을 미칠 것으로 예상됩니다.


    개인정보안전규범 상 개인정보에 대한 정의는 국내법과 유사하나 민감정보에 메일주소, 전화번호 등이 포함되어 그 범위가 더 넓다는 점에 유의할 필요가 있습니다.


    개인정보 비식별화 처리를 하고 이를 복원 가능한 개인정보와 분리 저장해야 한다는 내용, 개인 민감정보를 다루는 관리자에 대해 신원 배경조사를 진행해야 한다는 내용 등 국내법에 없거나 더 상세한 내용들이 포함되어 있어 면밀한 검토 및 적용이 필요합니다.


    개인정보안전규범의 실질적인 법적 효력이 어느 정도일지, 적용 대상 범위는 어떠할지, 미준수 시 불이익은 어떠할지 등에 대해서는 시행 후 실무 동향을 주시하고 그에 따라 적절한 조치를 취해야 할 것입니다.


    유럽 GDPR 등 개인정보 보호에 관한 국제적 흐름 속에 중국내 다국적 기업들은 compliance의 관점에서 개인정보안전규범에 관한 대응방안을 마련 중에 있습니다.


    중국에서 B2C 사업을 영위하는 기업, 개인정보를 수집해야 하는 기업은 개인정보안전규범의 내용을 숙지하고 제시된 표준 양식에 따라 개인정보 관련 정책 및 절차를 제정 또는 개편할 필요가 있습니다.



    김성욱 변호사 (sungwook.kim@bkl.co.kr)

    양민석 변호사 (minseok.yang@bkl.co.kr)

    김희진 변호사 (heejin.kim@bkl.co.kr)