[ 2019.11.01. ]
Ⅰ. 서론
중국 국가 인터넷정보사무처는 2019년 8월 23일 “아동개인정보 네트워크 보호 규정”(이하 “규정”이라고 약칭합니다)을 반포하였으며, 규정은 2019년 10월 1일부터 시행에 들어 갑니다. 2018년 중국의 미성년자 인터넷 사용현황 연구보고에 의하면, 2018년 7월 31일 현재 중국의 미성년 네티즌(6세 이하와 비학생 제외)은 1.69억 명, 미성년자들에 대한 인터넷 보급율은 93.7%에 이른다고 합니다. 그 중에서도 초등학생, 중학생들의 인터넷 사용비율이 각 89.5%, 99.4%에 달하는데, 이러한 수치는 전국 인구의 인터넷 보급율(57.7%)을 훨씬 상회하는 수치입니다1). 이런 상황에서 미성년자2)들 중에서도 특히 아동들의 인터넷 접속에 있어서의 개인정보를 보호하기 위하여 본 규정이 제정된 것입니다. 본 뉴스레터에서는 규정의 내용과 시사점에 대해 말씀드리고자 합니다.
[각주1] 공청단 중앙 청소년 권익보호부와 중국 인터넷 플랫폼 정보 센터(CNNIC)의 공동조사 결과인 2018년 전국 미성년자 인터넷 사용상황 연구 보고 참조.
[각주2] 중국의 미성년자보호법은 미성년자를 만18세 미만의 공민이라고 규정하고 있습니다(법 제2조).
Ⅱ. 규정의 내용
1. 규정의 적용범위
본 규정은 아동의 개인정보 안전을 보호하고, 아동의 건강한 성장을 촉진하기 위하여 중화인민공화국 네트워크안전법, 중화인민공화국 미성년자보호법 등의 법률법규에 근거하여 제정된 것으로(제1조), 본 규정에서 말하는 “아동”이란 만 14세 미만의 미성년자입니다(제2조). 중국 경내에서 네트워크를 통해 아동개인정보를 수집, 보존, 사용, 이전, 공시하는 등의 활동에 종사하는 경우에 본 규정이 적용됩니다(제3조).
2. 아동의 개인정보와 관련된 의무
가. 일반적인 의무
어떤 조직과 개인도 아동의 개인정보안전을 해치는 정보를 제작, 반포, 전파해서는 안됩니다(제4조). 아동의 감호인3)은 후견의 책임을 명확하게 이행하고, 아동이 개인정보 보호의식과 능력을 강화할 수 있게 유도, 교육해야 하며 아동의 개인정보안전을 보호해야 하고(제5조), 네트워크 관련 산업조직은 네트워크 운영자가 아동개인정보 보호와 관련된 업종별 규범, 행위준칙 등을 제정하는 것을 장려하고, 산업의 자율적 규제를 강화하고, 사회적 책임을 이행해야 합니다(제6조).
[각주3] 미성년자의 법정대리인을 중국법상으로는 감호인이라고 하는데, 미성년자의 감호인이 되는 사람은 부모(우리의 친권자에 해당)와 그 외 사람이나 기관(우리의 후견인에 해당)입니다. 중국 민법통칙 제16조 제1항은 미성년자의 부모를 1순위 감호인으로 규정하고 있습니다. 미성년자의 부모가 사망 또는 감호능력이 없는 때에는, 조부모, 외조부모, 형제, 관계가 밀접한 기타 친척, 친구가 감호책임을 부담하기 희망하는 경우에는 미성년자의 부, 모의 소재단위 또는 미성년자 주소지의 주민위원회 또는 마을위원회의 동의를 받아 감호인이 될 수 있습니다. 그리고 위와 같은 감호인이 없는 경우에는, 미성년자의 부, 모의 소재단위 또는 미성년자의 주소지의 주민위원회, 마을위원회 또는 민정부문이 감호인이 됩니다.
나. 네트워크 운영자4)의 의무
(1) 아동개인정보의 수집 등에 있어서의 의무
네트워크 운영자가 아동의 개인정보를 수집, 보존, 사용, 이전, 공시하는 경우에는, 정당한 필요, 알 권리에 기초한 동의[지정동의], 명확한 목적, 안전보장, 법에 근거한 이용의 원칙을 준수해야 합니다(제7조). 또한 아동개인정보 보호를 위한 특별한 보호규칙과 이용자와의 합의를 만들고, 전문인력으로 하여금 아동개인정보 보호를 담당하게 해야 합니다(제8조). 네트워크 운영자는 그가 제공하는 서비스와 무관한 아동개인정보를 수집해서는 안 되고, 법률, 행정법규의 규정, 쌍방의 약정에 위반하여 아동의 개인정보를 수집해서는 안 되며(제11조), 아동개인정보를 보존하는 경우에는 그 수집, 사용 목적 실현에 필요한 기한을 초과해서는 안되며(제12조), 비밀번호 등의 조치를 취해 아동개인정보를 보존하고 정보안전을 확보해야 합니다(제13조). 네트워크 운영자는 법률, 행정법규 규정 또는 아동의 감호인과의 약정에 따라 공시할 수 있는 경우 외에는 아동개인정보를 누설해서는 안 됩니다(제18조).
[각주4] 중국의 네트워크안전법과 본 규정에서 말하는 네트워크 운영자는 상당히 포괄적인 개념입니다. 원래적 의미에서 네트워크 운영자란 인터넷 접속서비스 제공자(ISP)와 인터넷 컨텐츠 제공자( ICP) 두 부류를 포함하는 개념이었는데, 네트워크안전법 등에서 보호대상인 네트워크는 컴퓨터 또는 기타 정보 단말기와 관련 설비로 구성되어 일정한 규칙과 프로세스에 따라 정보를 수집, 보존, 전송, 교환, 처리하는 시스템을 말하며, 구체적으로는 인터넷뿐만이 아니라 LAN(구역망, Local Area Networks), 산업통제시스템을 포함하는 것으로, 그러한 시스템(서버)의 소유자, 관리자가 법의 적용 대상이 됩니다. 그렇기 때문에 예를 들어 만약 어떤 기업이 오프라인에서 아동개인정보를 수집한 후에 그 수집한 정보를 회사의 전산 시스템에 입력하여 보존하거나 필요한 처리를 거치는 경우에도 네트워크를 통해 아동개인정보를 처리한다고 할 수 있고, 그렇다면 본 규정의 적용대상이 됩니다.
(2) 동의의 취득
아동개인정보를 수집, 사용, 이전, 공시하는 경우에는 눈에 띄는 분명한 방식으로 아동의 감호인에게 고지하고, 동의를 얻어야 하며(제9조). 동의를 얻을 때에는 동시에 거절도 할 수 있는 선택항목으로 제공하고, ① 아동개인정보의 수집, 보존, 이전, 공시의 목적과 방식 및 범위, ② 아동개인정보의 보존 위치, 기한과 기한 만료 후의 처리방식, ③ 아동개인정보의 안전보장 조치, ④ 거절로 인해 발생할 수 있는 결과, ⑤ 신고, 고발 등의 채널과 방법, ⑥ 아동개인정보를 수정, 삭제할 수 있는 경로와 방법, ⑦ 기타 마땅히 고지해야 할 사항 등을 명확히 고지해야 합니다.
그리고 이러한 고지사항에 실질적인 변화가 있는 경우에는 아동의 감호인으로부터 다시 동의를 얻어야 합니다(제10조). 네트워크 운영자가 아동개인정보를 사용하는 경우에는, 법률, 행정법규의 규정과 쌍방의 약정한 목적, 범위를 위반해서는 안 되고, 업무상 필요에 의하여 약정한 목적, 범위에 위반하여 사용할 필요가 명확히 존재하는 경우에는, 다시 한번 아동 감호인의 동의를 얻어야 합니다(제14조).
(3) 최소위임의 원칙과 제3자에 대한 위임 제한
네트워크 운영자는 그 직원들에 대해 최소한 위임의 원칙하에 정보접근 권한을 엄격하게 제한하고 아동개인정보를 지득할 수 있는 범위를 통제해야 합니다. 직원이 아동개인정보에 접근하는 경우에는, 아동개인정보 보호 책임자 또는 그 위임을 받은 관리자의 승인(비준)을 받아야 하고 접근 상황을 기록해야 하며, 기술적인 조치를 취해서 위법한 복제나 아동개인정보의 다운로드를 방지해야 합니다(제15조).
네트워크 운영자가 아동개인정보의 처리를 제3자에게 위임하는 경우에는, 수임자와 처리를 위임하는 행위 등에 대해 안전평가를 진행하고 위임계약에 쌍방의 책임, 처리사항, 처리기한, 처리성질과 목적 등을 명확해 해야 하며, 위임하여 처리하는 행위가 위임의 범위를 초과해서는 안 되며, 수임자는 ① 법률, 행정법규의 규정과 네트워크 운영자의 요구에 따른 아동개인정보의 처리, ② 네트워크 운영자의 아동의 감호인이 제출한 신청에 대한 응답에의 협조, ③ 정보안전보장 조치, 아동개인정보 누설 안전사건의 발생시에 즉시 네트워크 운영자에게 보고, ④ 위임관계의 해제 시에 아동개인정보의 즉시 삭제, ⑤ 재위임 금지, ⑥ 기타 법에 따라 이행하여야 하는 아동개인정보 보호 의무를 이행해야 합니다(제16조). 그리고 네트워크 운영자가 제3자에게 아동개인정보를 이전하는 경우에는 자체적으로 또는 독립된 기구에 위임하여 안전평가를 진행해야 합니다(제17조).
(4) 오류 정보의 수정 내지 삭제의무
아동 또는 그 감호인이 네트워크 운영자가 수집, 보존, 사용, 공시하는 아동개인정보에 잘못이 있는 것을 발견한 경우에는, 네트워크 운영자에게 수정을 요구할 권리가 있습니다. 이러한 수정 요구에 대해 네트워크 운영자는 즉시 조치를 취해 수정하여야 하고(제19조), 아동 또는 그 감호인이 ① 네트워크 운영자가 법률, 행정법규의 규정 또는 쌍방의 약정에 위반하여 아동개인정보를 수집, 보존, 사용, 이전, 공시한 경우, ② 목적 범위를 초월하거나 또는 필요한 기한을 초과하여 아동개인정보를 수집, 보존, 사용, 이전 공시하는 경우, ③ 아동 감호인이 동의를 철회한 경우, ④ 아동 또는 그 감호인이 해당 제품 또는 서비스 사용을 중단한 경우 등의 사유로 네트워크 운영자에게 그 수집, 보존, 사용, 공시한 아동개인정보의 삭제를 요구하는 경우에는, 네트워크 운영자는 즉시 조치를 취해 삭제하여야 합니다(제20조).
(5) 응급조치의무
네트워크 운영자가 아동개인정보에 누설, 훼손, 분실이 발생하거나 그럴 가능성을 발견한 경우에는, 즉시 응급 예비방안을 가동하고 구제 조치를 실시해야 합니다. 심각한 결과가 발생 또는 발생할 가능성이 있는 경우에는, 즉시 관련 주관부문(당국)에 보고하고 사건관련 상황을 이메일, 서신, 전화, 통지의 발송 등의 방식으로 영향을 받을 수 있는 아동과 그 감호인에게 고지하여야 합니다. 개별고지가 힘든 경우에는 합리적이고 효과적인 방법으로 관련 정보를 배포해야 합니다(제21조). 네트워크 운영자가 제품 또는 서비스 운영을 중단하는 경우에는, 즉시 아동개인정보의 수집 활동을 중단해야 하고 보유하고 있는 아동개인정보를 삭제해야 하며, 운영 중단을 아동의 감호인에게 고지하여야 합니다(제23조).
(6) 법률책임
네트워크 운영자는 인터넷 정보부문과 기타 관련 부문이 법에 따라 진행하는 감독검사에 협조해야 하며(제22조), 어떠한 조직과 개인도 본 규정에 위반한 행위를 발견한 경우에는 인터넷 정보 통신부문과 기타 관련 부문에 고발을 할 수 있으며, 인터넷 정보부문과 기타 관련 부문이 관련 고발을 접수한 경우에는 권한에 따라 적시 처리를 해야 합니다(제24조).
네트워크 운영자가 아동개인정보 안전관리책임을 제대로 이행하지 못하여 상대적으로 심각한 안전 리스크 또는 안전 사건이 발생한 경우에는, 인터넷 정보부문이 면담을 실시하며, 네트워크 운영자는 적시에 조치를 취하여 시정하고, 잠재적인 리스크를 제거해야 합니다(제25조). 본 규정에 위반하여 인터넷 정보부문과 기타 관련 부문의 권한에 따라 중국 네트워크안전법과 인터넷정보서비스 관리방법 등의 관련 법률법규에 따라 처리하는 경우에 범죄를 구성하면 법에 따라 형사책임을 추궁하며(제26조), 본 규정에 위반하여 법률책임을 추궁하는 경우에는 관련 법률, 행정법규에 따라 신용기록에 기입하고 이를 공시합니다(제27조). 한편, 컴퓨터 정보 시스템을 통해 자동 처리된 정보를 보존하고 나아가 식별이 불가능하게 보존 처리된 정보가 아동개인정보에 속할 경우에는, 다른 관련 규정에 의하여 집행합니다(제28조).
Ⅲ. 시사점
1. 규정은 네트워크안전법상의 개인정보의 수집, 사용에 관한 일반적 원칙(합법, 정당, 필요성 원칙)에 비해, 아동개인정보 보호에 대해서는 정당한 필요, 지정동의, 명확한 목적, 안전의 보장, 법에 근거한 이용의 5대 원칙을 규정하여, 아동개인정보 보호에 있어서 한층 더 높은 수준의 기본원칙을 제시하였습니다.
2. 또한 네트워크안전법은 네트워크 운영자가 법률, 행정법규의 규정 또는 쌍방의 약정에 위반하여 개인정보를 수집, 사용하는 경우에는, 정보주체가 네트워크 운영자에게 그 개인정보의 삭제를 요구할 수 있게 규정하고 있는데 반해서, 본 규정은 아동의 감호인은 제한없이 아동개인정보의 수집 등에 관한 동의를 철회할 수 있기 때문에, 기업의 입장에서는 아동개인정보의 처리에 신속성을 확보해야 할 필요가 있습니다.
3. 본 규정이 시행되면, 아동에 대해 서비스를 제공하며 아동개인정보를 취급하게 되는 유아원, 키즈 카페, 장난감 판매 및 대여산업, 애니메이션 기업들은 아동개인정보를 특별 관리하는 별도의 부서를 만들고, 책임자를 지정하고 별도의 아동정보보호에 대한 일반적인 처리 매뉴얼 및 아동개인정보의 분실, 도난 등의 사고에 대비한 응급대응 매뉴얼을 작성, 비치하는 것이 필요해 보입니다.
4. 내부 직원들이 아동개인정보에 접근할 때에는 최소한의 위임 원칙을 적용하도록 규정하고 있는바, 일반개인정보와 아동개인정보를 구별하여 보관하고, 이에 따라 직원들의 정보에의 접근권한도 명확하게 구별하여 관리하며, 특히, 아동개인정보에 접근이 가능한 직원들의 입사시에 비밀보장각서, 노동계약 등에 아동개인정보에의 접근과 보호의무에 관한 특별한 규정을 추가하는 것이 필요해 보입니다.
5. 중국에서 현재 개인정보에 대한 국가표준인 “개인정보기술 개인정보안전규범”에 따르면, 14세 이하의 아동에 대한 개인정보는 민감정보로 분류되어 이를 수집하기 위해서는 개인정보주체의 “명시적 동의”를 얻도록 하고 있으나, 본 규정은 14세 미만의 아동에 대한 정보의 수집 등에 대해 “동의” 만을 얻으면 되도록 규정하고 있는바, 실무적으로 어떤 것이 명시적 동의이고, 일반적 동의에 해당하는지 그 기준이 명확하지 않은 문제점이 있습니다. 향후 아동개인정보 관련 부문이 반포하는 추가적인 관련 법규들이나 실무 동향을 지속적인 관심을 가지고 확인할 필요가 있습니다.
강희철 변호사 (hckang@yulchon.com)
허욱 변호사 (whuh@yulchon.com)
변웅재 변호사 (ujbyun@yulchon.com)
김중부 중국 변호사 (zfjin@yulchon.com)
원활한 서비스 이용을 위해
간편결제 신용카드를 등록해주시기 바랍니다.
