Ⅰ. 서론
중국은 경제 규모, 인터넷 이용률 등에 비해 개인정보보호 법제는 상대적으로 미비한 것으로 여겨졌다. 단일화된 개인정보보호법이 부재하여 네트워크 안전법(网 络安全法), 형법 등 다양한 법률에 관계조항을 제정하여 개인정보보호정책을 수립하고 제도를 운영하고 있다[1]. 중국의 개인정보를 담당하는 부처는 국가인터넷정보판공실(国家互联网信息办公室, Cyberspace Administration of China)로 인터넷사용실명제, 인터넷 콘텐츠 검열제도 등을 담당하고 있어, 독립성이 강조되는 일반적인 개인 정보감독기구와는 성격이 다르다. 또한 중국은 개인정보 감독기구의 국제 협의체인 GPA(Global Privacy Assembly), APPA(Asia Pacific Privacy Authorities)의 회원이 아니고, 옵서버로 참석 하지도 않는다[2].
중국은 스마트폰의 보급, ICT 기술의 발전으로 인하여 인터넷 이용자 9억 명, 인터넷 웹사이트400만개, 앱300만개 등 상당한 발전을 이루었으나, 역기능에 해당하는 보이스피싱 등 개인정보 관련사고도 급증 하고있다. 2016년에 발생한 쉬위위(徐玉玉) 사건등을 통하여 중국내에서도 개인정보보호의 중요성을 인지 하고 관련법제강화에 대한 요구가 커지게 되었다[3]. 이에2017년 네트워크 안전법을 제정하여 시행하기에 이르렀다[4]. 그러나 네트워크안전법은 네트워크의 안전에 관한 내용이 대부분으로 개인정보보호관련조항은 일부 존재하나 충분하지 않은 것으로 판단되며, 전체적인 구조는 한국의 정보통신망법(정보통신망 이용촉진및정보보호등에관한법률) 과 비슷하다[5]. 그러던 중2020년 10월 제13기 전국인민대표대회상무위원회 22차 회의에서 개인정보보호법(个人信息保护法) 초안을 공개하고 의견을 수렴하였다[6].
한편 세계의 주요국가․ 지역은 개인정보의 중요성을 인지하고 앞다투어 관련법률을 제정하여 시행하 고 있다. EU는 2018년 GDPR(General Data Protection Regulation)을 시행하였으며, 러시아, 베트남 등도 관련 법률을 제정하여 데이터 국지화(data localization) 를 포함하여 개인정보보호관련규제를 강화하고 있다 [7]. 이러한 추세를 반영하여 중국도 개인정보 보호법제를 정비하여 자국민의 개인정보를 보호하고, 개인정보의 국외이전을 제한하려는 것으로 판단된다.
본고에서는 2020년 10월 전국인민대표대회에서 공개한 개인정보보호법초안을 기반으로 한국법률과의 차이점을 비교하고, 법률의 주요 내용을 소개하고, 한국기업에 미치는 영향에 대해서 분석하였다. 마지막으로 향후 개인정보보호법 제정 과정을 모니터링할 때 주의해야 할 시사점을 도출하였다. 본고의 내용은 한국인터넷진흥원이 번역한 개인정보보호법 한국어자료를 기반으로 작성하였으며, 해당자료는 개인정보보호국제협력센터(www.privacy.go.kr/pic) 자료실에서 다운로드 가능하다.
Ⅱ. 법률 구성 및 한국 법률과 비교
개인정보 보호법은 전체 8장 70개 조항으로 구성되어 있다. 법률은 총칙, 개인정보 처리, 개인정보 국외이전, 개인의권리, 개인정보 처리자의 의무, 담당부처, 법률책임, 부칙 등으로 구성되어 법시행에 필요한 조항을 모두 포함하고 있다. [표1] 은 법률의 구성과 조항의 주요내용이고, [표2]는 중국개인정보보호법과 한국개인정보보호법을 비교하여 차이점을 보여준다. 한국법률과 달리 조항별 제목은 포함하고 있지않아, 해당 제목은 저자가 임의로 작성한 것임을 밝혀둔다.
[표1]중국 개인정보보호법 조항 및 주요내용
[표2]중국 개인정보보호법과 한국 개인정보보호법 비교
중국은 2008년 개인정보보호법초안을 공개하였으나 법으로 제정되지 않았다. 2017년 시행한 네트워크안전법은 일부개인정보보호조항을 포함하고 있으나, 네트워크 안전, 핵심정보인프라 시설 보호, 개인정보보호, 불법정보단속으로 구성되어 있어, 개인정보 보호법으로서 완성도가 떨어졌다. 개인정보보호 관련 조항은 이용자 비밀유지(제40조), 개인정보 수집 및 사용(제41조), 개인정보유출, 변조, 훼손 금지(제42조), 개인정보 삭제 및 정정 요구 권리(제43조), 개인정보 매매 등 금지(제44조), 개인정보 비밀유지(제45조)가 있으며, 위반 시 불법 소득의 1배 이상 10배 이하의 벌금부과, 불법 소득이 없을 경우 500, 000 위안이 하의 벌금을 부과한다. 그렇지만 메신저 서비스 등의 이용자실명제(제24조), 불법 사이트, 통신그룹개설금지(제 46조), 네트워크사업자의 불법정보차단 및 보고(제 47조) 등의 조항도 있어, 같은 법안에 개인정보보호와 콘텐츠 검열이 동시에 존재하는 점이 특징이다. 네트워크안전법은 전체적으로 한국의 정보통신망법과 유사한 구조다. 한국은 2020년 2월 개인정보 보호법을 개정하면서, 정보통신망법의 개인정보보호 관련 유사․ 중복조항을 모두 정리하였다. 중국의 경우에도 개인정보 보호법이 제정되면, 네트워크 안전법을 비슷한 방식으로 개정할 것으로 추정된다.
Ⅲ. 주요 내용
3.1. 법의 적용 대상
• 법의 적용대상을 중국 내에서 개인정보를 처리하는 경우뿐만 아니라, 중국 외에서 중국인의 개인정보를 처리하고 특정기준에 해당하는 경우에도 적용이 가능(제3조)
- ①국내 자연인에게 상품 또는 서비스를 제공하는 목적 ②국내자연인의 행위를분석, 평가 ③법률 및 행정 법규상 규정된 기타사항
- 국외에 위치한 기업에 대한 역외 적용은 EU 일반개인정보보호법(GDPR)과 유사
3.2. 개인정보 처리 원칙
• 개인정보처리 시합법적이고 정당한 방식, 명확하고 합리적인 목적, 처리 목적과 부합하는 처리, 공개적이고 투명한 원칙준수, 개인정보처리규칙 명시 등이 필요하다고 규정(제5조~제7조)
• 개인정보처리는 개인 동의뿐만 아니라, 계약 체결․이행, 법적 의무이행, 위급상황, 공공의 이익, 타법률 규정등에 해당되는 경우 가능(제13조)
• 개인정보처리 전 개인정보 처리자의 연락처, 개인정보처리목적․방식․유형, 보관기간, 개인 권리행사방식․절차, 기타사항등을 개인에게 고지(제18 조)
• 복수의 개인정보처리자가 개인정보처리목적․방식을 결정시, 각자 권리와 의무를 정하며, 개인 권익 침해 시연대 책임(제21조)
- GDPR 제26조(Joint Controllers) 참조[8]
• 개인정보처리자의 수탁자 감독, 합병․분할로 인한 개인정보 이전, 개인정보 제3자 제공(제22조~제24 조)
- 한국 개인정보 보호법 제17조(개인정보의 제공), 제26조(업무위탁에 따른 개인정보의 처리 제한), 제27조(영업양도 등에 따른 개인정보의 이전 제한) 참조
• 개인정보를 이용한 자동 의사 결정 시 개인의 설명 요구 및 거절 권리 보장(제25조)
- GDPR 제22조(Automated individual decision-making, including profiling) 참조
• 공공장소에서 이미지수집, 개인정보 식별 설비설치시 공공안전보호를 위한 목적으로만 가능(제27조) -한국개인정보보호법 제25조(영상정보처리기기의 설치․운영제한) 참조
• 민감 개인정보 처리 시, 개인으로부터 별도동의를 받아야 하며, 처리 필요성, 개인에게 미치는 영향을 고지(제29조~제32조)
- 제29조 민감 개인정보란 일단 유출되거나 불법적으로 사용되면 개인이 차별대우를 받거나 인신, 재산 안전상 심각한 피해를 입을 수 있는 정보. 종족, 민족, 종교신앙, 개인 생물학적 특징, 의료건강, 금융계좌, 개인행적등
- 한국 개인정보 보호법 제23조(민감정보의처리제한) 참조
• 국가기관의 법적 직무이행을 위한 개인정보처리 시 법률에 규정된 권한 ․ 절차 준수, 개인에게 고지․동의, 중국 내 보관(제33조~제37조)
3.3. 개인정보 국외 이전
• 개인정보국외 이전 시 조건 충족, 개인에게 관련 정보고지 및 별도동의(제38조~제39조)
- 제38조(1) 본 법률 제40조 규정에 근거하여 국가네트워크정보부처기관의 안전평가(安全评估) 통과, (2) 국가 네트워크 정보 부처 규정에 근거하여 전문기관의 개인정보보호인증진행, (3) 국외에서 개인정보를 이전받는 자와계약을 체결하여 양측의 권리와 의무를 약정하고 개인정보처리행위가 본법률에서 규정하는 개인정보보호표준에 부합하는지를 감독, (4) 법률, 행정 법규 또는 국가네 트워크 정보부처에서 규정한 기타조건
- 제39조 해외에서 정보를 이전받는 자의 신분, 연락처, 처리 목적, 처리 방식, 개인정보 유형, 정보를 이전받는 해외주체에게 본법률에 규정된 권리를 행사하는 방법 등
- 한국 개인정보 보호법 제39조의 12(국외 이전 개인 정보의 보호) 참조
• 핵심 정보 인프라운영자와 개인정보처리규모가 특정기준에 해당하는 개인정보처리자의 개인정보 중국 내 보관, 국외 이전시 안전성 평가통과(제40 조)
- 네트워크 안전법 제31조 핵심 정보인프라는 공공통신, 정보서비스, 에너지, 교통, 수리, 금융, 공공서비스, 전자정무등 중요산업과 영역에서 파괴, 기능상실, 데이터 유출이 발생하면 국가안전, 국가 경제, 국민 생활 공공이익에 중대한 손실을 줄 수 있는시설[9]
• 국제사법공조 또는 행정상협조를 위하여 개인정보 국외 이전시 주관부처의승인(批准)(제41조) .국외기관․개인이 중국국민의 개인정보 권익침해, 중국의 국가안보, 공공이익 위협 시, 개인정보 제공 제한․금지 목록에 포함하고 개인정보 제공 제한․금지조치(제42조)
- 일종의 블랙리스트(blacklist)로 중국 정부에서 해외 서비스를 차단하는 근거조항으로 활용가능
. 임의 국가․지역이 중국에 차별적 금지, 제한 시해 당 국가․지역에 상응하는 조치가능(제43조)
- 한국 개인정보보호법 제39조의 13(상호주의) 참조
3.4. 개인의 권리
• 개인의 개인정보 처리 관련 알 권리, 개인정보처리 결정․제한․거절 권리, 개인정보 열람․복제․정정․보완․파기․해석․설명요구권리(제44조~제 48조)
- 한국 개인정보보호법 제35조(개인정보의 열람), 제36조(개인정보의 정정․삭제), 제37조(개인정보의 처리정지 등) 참조
3.5. 개인정보처리자의 의무
• 개인정보처리자의 개인정보보호 조치 수행, 개인정보보호 책임자지정, 정기적 심사, 사전 위험평가, 개인정보유출시 구제조치 및 통지(제50조~제51 조, 제53조~제55조)
- 한국 개인정보보호법 제29조(안전조치 의무), 제30 조(개인정보처리방침의 수립 및 공개), 제31조(개인정보보호 책임자의 지정), 제33조(개인정보 영향평가), 제34조(개인정보 유출 통지 등) 참조
• 국외 개인정보처리자의 경우 중국 내 전문 기관설립 혹은 대표자지정, 개인정보보호 직무담당부처에 보고(제52조)
- 한국 개인정보보호법 제39조의11(국내 대리 인의지정) 참조
- GDPR 제27조(Representatives of controllers or processors not established in the Union) 참조
3.6. 개인정보보호담당 부처 및 권한
• 개인정보보호직무담당 부처는 국가네트워크정보부처 및 국무원유관부처이며 개인정보보호교육, 민원처리, 조사, 평가․인증지원 등의 업무수행(제56조~제58조)
- 국가인터넷 정보판공실, 공업정보화부(工业和信 息化部)로추정
3.7. 위반 시 처벌
• 법률의 심각한 위반 시 최대 5, 000만위안(85억원) 이하 또는 전년도 매출액의5% 이하의 벌금형, 소득몰수, 업무정지, 영업중단, 영업허가 취소 등 처벌 가능(제62조)
- 제62조(1) 법률위반으로 담당부처의 시정명령을 받았으나미시정시, 100만 위안 이하 벌금부과. 직접적인 책임을 지는 주요관리자와 담당자는 1만위안 이상 최대10만위안 이하의 벌금부과. (2) 심각한 위반인 경우, 시정명령, 위법하게 발생한 소득몰수, 5, 000만 위안 이하 또는 전년도 매출액의 5% 이하 벌금 부과. 추가 적으로 관련업 무정지, 영업중단, 영업허가 취소명령 가능. 직접적인 책임을 지는 주요 관리자와 담당자는 10만위안 이상 최대100만위안 이하의 벌금부과.
- 한국개인정보보호법 제39조의 15(과징금의부과 등에 대한 특례), 제70조(벌칙), 제71조(벌칙), 제72 조(벌칙), 제73조(벌칙) 참조
• 국가기관의 개인정보보호 의 무미이행시, 시정명령 및 책임자처분(제64조)
• 개인정보 권익 침해시, 개인의 손실 혹은 개인정보처리자의 수익에 근거하여 배상(제65조)
• 다수의 권익 침해시, 담당 기관이 인민법원에 소송제기(제66조)
• 보안관리 위배시 처벌, 범죄해당시 형사적 책임 (제67조)
3.8.용어 정의
• 개인정보처리자, 자동의사결정, 비식별화, 익명화 용어 정의(제69조)
- 제69조(1) 개인정보처리자란 자체적으로 처리목적, 처리방식 등 개인정보처리사항을 결정하는 기관, 개인(2) 자동 의사 결정이란 개인정보를 이용하여 개인의행위습관, 관심사 또는 경제, 건강, 신용정보 등을 컴퓨터 프로그램으로 자동분석, 평가하고 의사를 결정하는 행위(3) 비식별화란 개인정보를 처리하여 추가정보의 도움 없이는 특정자연인을 식별하지 못하도록 만드는 과정(4) 익명화란개인정보를 처리하여 특정자연인을 식별하지 못하게 하며 다시 복원하지 못하도록 만드는 과정
Ⅳ. 고찰
중국에는 많은 한국기업들이 진출하여 영업을 하고있으며, 인터넷을 통하여 상품과 서비스를 제공하는 기업도 많다. 여기서는 개인정보보호법이 제정되어 시행되는 경우 우리기업들에 미칠 영향을 중심으로 주요 사항들을 검토하고자 한다.
4.1. 향후 입법 동향
2016년 네트워크 안전법 제정시, 주요 글로벌ICT 기업들이 매우 강하게 반대한 사례가 있다[10]. 본법은 개인정보보호를 위하여 국외이전 제한, 블랙리스트 제도도입, 대리인지정 등을 규정하고 있어 기업에 상당한 부담으로 작용할 것으로 추정된다. 따라서 중국에 진출하여 영업 중인 많은 기업들이 자국을 통하여 강력한 항의 의견을 표명할 것으로 추정된다. 이러한 경우, 일부 조항은 수정되거나 유예기간이 주어질 것으로 예상된다.
네트워크 안전법은 2015년 6월 초안이 공개되며 심의가 시작하여 2016년 11월 최종통과되어, 1년 6개월 정도가 소요되었다. 따라서 본법도 유사한 시간이 소요될 것으로 예상된다.
4.2. 담당 부처의 신설
본법에서는 담당 부처를 명시하고 있지 않으나, 국가네트워크정보판 공실과 공업정보화 부가담당부처가 될 것으로 예상된다. 그러나 국가네트워크정보판공실은 인터넷콘텐츠에 대한 검열을 전담하는 부처로 개인정보보호를 담당하기에는 이해상충이 너무 크다. 따라서 중국에서 개인정보보호 제도를 운영하려는 의지가 확고하다면, 독립된 위원회조직을 신설할 가능성이 높다. 한국도 개인정보보호 업무를 전담하는 개인정보보호위원회를 설립․운영하고 있으며, 영국등 많은 국가들이 위원회를 설립하여 독립적인 개인정보보호활동을 보장하고 있다.
4.3. 역외 적용
본 법은 GDPR과 유사하게 중국외 개인정보처리자에게도 법을 적용하겠다는 역외적용을 규정하고 있다. 자국에서 영업을 하는 기업뿐만 아니라 해외에서 영업을 하는 기업에도 적용하고, 위반시 개인정보제공을 금지하거나 처벌을 한다는 점에서 많은 반발이 예상된다. 그렇지만 GDPR 이역 외 적용을 먼저 채택하였기 때문에 논란은 비교적적을 것으로 생각된다. 향후에는 많은국가들이 이러한 선례를 근거로 역외적용을 자국법에 반영할 것으로 예상된다.
4.4. 데이터 국지화
핵심 정보 인프라 운영자, 개인정보처리규모가 특정기준에 해당하는 개인정보처리자는 개인정보를 중 국내에 의무적으로 보관하고, 안전평가를 통과하여야 국외이전이 가능하다. 두대상 모두 중국정부에서 기준을 정할 수 있기 때문에 중국에 진출한 기업의 상당 수가 대상이 될 가능성이 있다. 이는 중국이 개인정보를 중요한 자원으로 인식하고 자국내에 보관하도록 강제하여, 관련산업을 보호하고 중국에 진출한 글로벌 기업들이 수집한 개인정보를 자국으로 이전하는 것을 규제하기 위한 것으로 추정된다. 러시아, 베트남도 데이터 국지화를 법에 규정하여 의무화 하고있다.
4.5. 개인정보 제공 제한.금지 목록
담당 부처는 국외 기관, 개인이 중국국민의 개인정보 권익을 침해하거나 국가안보, 공공이익을 위협한다고 판단하면, 개인정보 제공 제한․금지목록에 포함시키고 개인정보제공을 제한하거나 금지할 수 있다. 중국은 네트워크안전법 제47조에서 네트워크사업자에게 불법정보 차단 및 보고를 의무화하고, 제68조에서 위반 시 500, 000위안 이하의 벌금, 업무 중단, 영업 중단, 웹사이트 폐쇄, 인허가취소 등을 규정하고 있다. 따라서 중국진출기업들은 정부가 해당조항에 근거하여 콘텐츠차단 등의 요구시이를 수용할 가능성이 높을 것으로 예상된다.
4.6. 대리인
중국외에 위치한 개인정보처리자는 중국내 전문기관을 설립하거나 대표를 지정하여 개인정보보호업 무를 책임져야 하고, 해당 기관의 명칭, 대표자성명, 연락처등을 담당부처에 보고하여야 한다. 대리인제도는GDPR, 한국 개인정보 보호법에서 모두 채택하고 있다. 한국은 이용자 수, 매출액 등으로 기준에 해당하는 기업만 해당되지만, 중국은 그러한 기준이 존재하지 않고 모든기업이 해당내용을 보고하도록 하는 점이 다르다.
4.7. 개인정보 유출 통지
개인정보처리자가 개인정보 유출정황을 발견하면, 즉시 구제조치를 취하고 담당부처 및 개인에게 통지 하여야한다. 이제도는 GDPR, 한국 개인정보 보호법에서도 동일하게 존재한다. 한국은 1천 명 이상의 개인정보유출시 통지하여야 하고, GDPR은 개인정보유출이 개인의 권리와 자유에 위험을 초래할경우에 통지하여야 한다. 중국은 이러한 예외사항을 규정하지 않고 있어서, 유출 사고 발생 시담 당 부처통지는 필수이다. 다만 개인정보처리자가 취한 조치를 통하여 개인정보유출피해를 효과적으로 피할 수 있을 경우, 개인에게 통지 하지 않을 수 있다.
4.8. 위반 시 처벌
법률적 책임은 네트워크 안전법에 비해서 상당히 강화되었다. 법위반시 담당 부처가 시정을 명하고, 이 시정을 따르지 않을 경우 벌금이 부과된다. 벌금은 심각한 위반 시 최대 5, 000만 위안 또는 전년도 매출액의 5%이다. 또한 벌금뿐만 아니라 업무정지, 영업 중단, 영업허가 취소까지 가능하여 전반적인 처벌 수준은 상당히 강력한 편이다. 참고로 GDPR의 최대과징금은 전 세계매출액의 4% 또는 2, 000만유로(250억원)이고, 한국은 관련 매출액의 3% 이하 또는 1억 원 이하의 벌금을 부과할 수 있다.
4.9. 배상 및 소송
개인정보처리행위로 개인정보 권익이 침해된 경우, 개인의 손실 또는 개인정보처리자가 얻은 수익에근거하여 배상책임을 져야한다. 그러나 상세한 절차나 최대배상액에 대해서는 규정하고 있지않다. 한국도 손해배상책임을 규정하고 있어 정보 주체가 손해배상을 청구할 수 있다.
개인정보 처리자가 법을 위반하여 개인정보를 처리함으로써 다수의 권익이 침해된 경우, 검찰, 담 당 부처에서 법원에 소송을 제기할 수 있다. 한국은 집단 분쟁 조정이 거부될 경우, 소비자단체 등이 단체소송을 제기할 수 있다.
Ⅴ. 결론
본고에서 살펴본 것과 같이 중국은 개인정보보호법을 신설하여 개인정보를 중요자산으로 간주하고, 국민의 개인정보보호 및 자국산업육성을 위한 기반을 마련하려는 것으로 판단된다. 또한 개인정보보호를 중시하는 세계적인 추세를 따르기 때문에 역외적용이나 기업에 대한 규제 도입으로 일부 반발이 예상되지만, 입법은 순조로울 것으로 예상된다. 중국과 교역이 많은 한국으로서는 이러한 법률제정동향을 예의주시하고, 기업활동에 어려움이 없도록 적극적인 규제준수노력을 기울여야 할 것이다.
참고문헌
- 한국인터넷진흥원, 재중국 한국인 개인정보보호 안내서 개발 보고서, pp. 1-2, 2017
- 개인정보보호 국제협력센터(www.privacy.go.kr/pic)
- 정태인, "중국 개인정보보호 동향", 2019 KISA REPORT, 한국인터넷진흥원, vol6, pp. 41-46, 2019
- 네트워크 안전법(www.cac.gov.cn/2016-11/07/c_1119867116.htm)
- 정태인, 김주영, 김원, "중국 네트워크 안전법 동향", 정보보호학회지, 27(3), 2017
- 개인정보보호법 초안 공개(www.npc.gov.cn/npc/c30834/202010/569490b5b76a49c292e64c416da8c994.shtml)
- 박훤일, 개인정보의 로컬라이제이션에 관한 연구, 2017 Naver Privacy White Paper, 네이버, pp. 16-32, 2017
- GDPR대응지원센터(gdpr.kisa.or.kr)
- 정태인, 김주영, 김원, "중국 핵심 정보 인프라 시설보호 동향", 정보보호학회지, 27(5), 2017
- 중국 '네트워크 안전법'이 뭐길래, 세계 46개 상공단체, 중국 리커창 총리에 서한(www.hankyung.com/international/article/2016081543611)