• Legalinsight
  • Legaledu
  • 법률신문 오피니언

    해외법조

    중국 개인정보보호법 출범, 유럽보다는 유연하게 미국보다는 엄격하게

    장지화 중국변호사 (법무법인 지평) 입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • 172318.jpg

    2021년 8월 20일 중국 상설입법기관인 전국인민대표대회(全國人民代表大會, 이하 '전인대')는 중화인민공화국 개인정보보호법(中華人民共和國 個人信息保護法, 이하 '개인정보법')을 통과하여 2021년 11월 1일부터 시행한다. '개인정보법'은 앞서 2020년 10월 21일에 1차 초안을, 2021년 4월 29일에 2차 초안을 제정하고 현장조사, 외국입법례와 실무분석, 국내외 각 분야 전문가, 기업인들의 의견 수렴 등 과정을 거쳐 드디어 입법 되었다. '개인정보법'은 2017년 6월 1일부터 시행되고 있는 '네트워크안전법(網絡安全法)'과 2021년 6월 10일에 통과하여 오는 9월 1일부터 시행하는 '데이터안전법(數據安全法)'과 함께 정보 보호 관련 법체계의 기본법률로 자리를 잡았다. 개인정보보호법제도에서의 난점은 정보보호와 정보활용 간의 밸런스를 찾는 것이다. 대체적으로 유럽은 정보보호에, 미국은 정보활용에 기울이고 있는데, 중국은 국가특성상 정보보호 강화를 통한 통제가능성을 유지해아 하는 반면 4차산업 혁신 과정에서의 선도적 지위 확보를 위해 정보활용을 포기할 수 없는 상황이다. 따라서 실제 제정된 '개인정보법'은 1차와 2차 초안 대비 시, 사전 고지·동의 예외규칙 확대, 개인정보 휴대권 신설, 개인정보처리자가 데이터의 자동화 처리로 인한 거래조건상 차별대우 금지제도 신설, 아동 개인정보를 민감정보로 규제 등으로 정보보호와 활용 간의 밸런스 달성에 보다 많은 심혈을 기울였다.


    1. 사전 고지와 동의취득 예외규칙에 인력자원관리상 필요상황 추가

    개인정보 사용 시 사전고지와 동의취득은 당연한 원칙이지만 정보활용으로 인한 사회효율 향상을 위해 어느 정도의 예외규칙을 두는 것이 적절하다. 중국의 '개인정보법'은 주로 제13조로 사전고지와 동의취득 원칙과 예외규칙을 설정하였다. 제1차와 2차 초안에서는 ⅰ)계약의 이행·체결에 필요한 경우, ⅱ)법적 직책·의무 수행에 필요한 경우, ⅲ)전염병 등 돌발적인 공적위생 사건 대응 또는 이와 유사한 긴급상황에서의 개인 생명건강과 재산안전 보호에 필요한 경우, ⅳ)공익을 위한 여론감독 등 목적으로 합리적인 범위 내의 개인정보 처리가 필요한 경우, ⅴ)법적으로 고지의무를 면제하는 경우 등의 예외규칙을 설정하였는데, 정식 제정된 법은 ⅵ)'적법적으로 제정된 근로규장제도와 체결된 집단계약에서 인력자원관리를 위해 필요하도고 규정한 경우'도 사건 고지·동의의 예외적용 범위에 포함하였다. 다만 인력자원관리상 필요상황에 대해 다소 확대해석할 여지가 있어서 향후의 분쟁다발성이 있는 반면, '노동규장제도'와 '집단계약'이라는 전제 조건이 설정되었기에 주로 직원들의 보수지급을 위한 은행계과정보 수집 등의 경우에 적용될 것이라 예상된다.

    2. 개인정보 데이터 분석에 의한 차별대우 금지

    중국의 온라인 플랫폼들이 자사 서비스만 사용하는 소비자한테 더 높은 판매가격을 보여주는 사건이 알려지면서 빅데이터로 친한 사람(숙,熟)을 등쳐먹어 죽인다는(살, 殺) 뜻을 칭하는 '빅데이터 살숙(大數據殺熟)'이 유행어가 되었다. 이에 2021년 2월에 중국의 시장감독관리국은 '플랫폼 경제영역 독점규제 지침(平台經濟領域反壟斷指南)'을 발표하여 이는 중국의 독점규제법인 '반독점법(反壟斷法)' 제17조에서 규정한 시장지배지위 남용이라고 명시하였다. 다만 상기 지침은 행정부서의 가이드라인에 불과하여 법지위가 낮은 반면 플랫폼 경제 시대 다수의 '빅데이터 살숙'은 개인정보에 대한 차별처리에 근거한 현실을 고려하여, '개인정보법' 2차 초안에서 이를 규제하는 내용을 추가하였다. 정식 제정된 법은 2차 초안을 내용을 조금 더 다듬어 "개인정보처리자가 자동화 의사결정 방식으로 개인정보를 이용할 시, 해당 결정의 투명과 결과의 공평·공정을 보장하여, 거래가격 등 거래조건에서 개인에게 비합리적인 차별대우를 하여서는 아니 된다"고 규정하였다(제24조).

    3. 개인정보주체의 권리보장 확대로 정부주체의 개인정보휴대권 신설

    '개인정보법' 1차와 2차 초안은 주로 제44조 내지 48조로 정보주체가 자신의 개인정보에 대한 ⅰ)알권리, 자기결정권, 타인사용의 제한·금지권, ⅱ)조회와 열람권, ⅲ)정보 수정·보완 요구권, ⅳ)삭제요구권, ⅴ)개인정보처리에 대한 설명·해석 요구권 등을 설정하였다. 정식 제정된 법은 제45조에 "개인이 자신의 정보를 그가 지정한 개인정보처리자에게 이전할 것을 요구한 경우, 국가 인터넷과 정보 주관부서의 규정과 조건에 부합된다면 개인정보처리자는 해당 개인에게 정보 이전의 경로를 마련해 주어야 한다"는 내용을 제3항으로 신설하여, 개인이 자유롭게 각 온라인 플랫폼에서 자신의 개인정보를 이전하거나 공유할 수 있는 근거를 마련해 주었고 중국 법조계에서는 이를 '개인정보 휴대권'이라고 지칭하고 있다.

    4. 아동의 개인정보를 민감정보로 규정하고 후견인 동의취득 등 요건 강화

    '개인정보법' 1차와 2차 초안은 '민감개인정보'란 누설 또는 적법하게 사용하지 않으면 특정된 개인이 차별을 당하거나 신체 또는 재산의 침해를 초래할 수 있는 리스크를 갖고 있는 개인정보들을 지칭하여, 인종, 민족, 종교·신앙, 개인생체특징, 의료·건강, 금융계좌, 개인행적 등 정보유형들을 포함하고, 충분한 필요성이 있는 경우에 한하여 엄격한 보호조치를 취하는 전제하에서의 사용을 허용하고 있다. 이에 비해 제정된 법은 제31조로 만14세 미만 미성년자의 정보는 민감정보로 규정하고 해당 정보 처리 시 반드시 해당 미성년자의 부모 또는 기타 후견인의 동의를 취득해야 한다. 또 해당 개인정보처리자는 반드시 만14세 미만 미성년자의 개인정보 처리에 대한 전문규칙을 제정하여야 한다.

    5. 고인의 개인정보 사용권 관련 규정 보완

    고인의 개인정보 사용에 관하여 주로 ⅰ)부정설, ⅱ)기한부여 보호설, ⅲ)친족 사용허용설로 구분된다. 부정설이란 개인정보 관련 법은 고인에게 적용하지 않음을 의미하는데 유럽의 GDPR가 가장 전형적이다. 기한부여보호란 특정 기간 내에 살아 있을 시 보호방식을 그대로 적용하는 것이고 현재 이탈리아, 캐나다 등 국가에서 동 방법을 채택하고 있다. 친족 사용허용설은 고인의 친족들에게 고인 개인정보에 대한 열람권, 삭제권, 수정권 등을 부여하는 방식이다. 중국의 '민법전'은 개인정보에게 일정한 인격권이 있다고 보아 유족들에게 고인의 이름, 초상, 명예 등이 침해를 받을 시 이에 대한 손해배상청구권을 부여하였다. 이러한 취지를 이어 받아 '개인정보법' 2차 초안은 고인의 개인정보 관련 권리는 법에서 규정한 근친족들이 행사한다고 규정하였다. 다만 이때 법조계에서는 이러한 규정이 근칙족들에게 고인의 의사를 반하는 방식으로 정보를 사용하는 권한을 주었다는 비판도 있었다. 이를 고려하여 정식 제정된 법은 제49조를 통하여 근칙족들의 고인 개인정보 행사권에 대해 3개의 제한을 설정하였다, 즉 ⅰ)사용목적의 제한, 즉 반드시 적법하고 정당한 이익 취득을 위한 목적이여야 한다, ⅱ)행사권 유형의 제한, 즉 근친족들이 행사할 수 있는 권리는 열람·복제·수정·삭제 관련 권리에만 한한다, ⅲ)고인의 의사가 가장 우선적으로 반영되어야 한다.

    6. 중국판 게이트키퍼 규제 도입

    2020년 12월 12일 유럽은 디지털 플랫폼 서비스 제공 사업자를 규제하는 디지털 시장법(Digital Markets Act, 이하 'DMA') 초안을 발표하여 디지털 시장에서 상당한 영향력을 지닌 '핵심 플랫폼 서비스(core platform services)' 제공자, 소위 '게이트키퍼(gatekeeper)' 사업자들이 경쟁을 해치지 않도록 규율하였다. '개인정보법' 2차 초안은 중국판 디지털 게이트키퍼 조항을 설정하여, 인프라형 온라인 플랫폼 서비스를 제공하고 거대한 유저를 보유하며 여러 유형의 서비스를 제공하는 개인정보처리자에게 독립적인 외부감독기구 설립, 개인정보보호 사회책임보고서 정기 발간 등 일반 개인정보처리자보다 엄격한 보호의무를 규정하였다. 정식 제정된 법은 2차 초안의 내용을 수정·보완하여, ⅰ)게이트키퍼란 중요 인터넷 플랫폼 서비스 제공자라고 하여 적용 대상을 확대하였고, ⅱ)게이트키퍼의 의무에 개인정보 컴플라이언스 시스템 구축의무, 투명·공평·공정의 원칙에 의한 플랫폼 규칙 제정 의무을 추가하였다(제58조).

    7. 시사점

    중국은 '개인정보법'은 개인정보보호에 대해서는 대체적으로 유럽보다는 유연하지만 미국보다는 엄격하게 규정하여 자신만의 정보보호와 정보활용에서의 밸런스를 찾고자 노력한 흔적이 곳곳에서 보여진다. '개인정보법'의 제정으로 중국은 디지털 시대 네트워크와 데이터 관련 기본법률들을 제정완료 하여 법제도의 차원에서의 디지털 시대 진입을 완성하였다고 평가할 수 있다. 다만 6월에 제정된 '데이터안전법'과 '개인정보법' 모두 '외국인투자법'에서 규정한 안전심사제도, '수출통제법'에서 규정한 수출통제제도, '외국제재반격법'으로 입법화한 외국제재에 대한 반격제도 등을 모두 반영하고 있고, 개인정보의 외국 이전을 강화하고 위반 시 엄한 처벌을 부과할 수 있다는 점에서 외국계 기업들이 각별히 유의할 필요가 있다.


    장지화 중국변호사 (법무법인 지평)

    마세라티

    최근 많이 본 기사