빅데이터 시대를 맞이하여 중국의 인터넷 인구가 9억명을 넘어서면서 인터넷을 통한 무분별한 개인정보의 수집과 이용, 공유, 위탁처리, 그리고 불법적인 사용 등 불법행위가 사회적으로 이슈화 되고 있습니다. 이에, 중국에서도 개인정보 및 데이터와 관련한 여러 법규와 판례들이 쏟아져 나오고 있습니다. 본 뉴스레터에서는 2021년 4월 26일 발표되어 의견 수렴 중인 <모바일 인터넷 앱(App) 개인정보보호관리 잠정규정(의견수렴안)>(《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》, 이하 “App 개인정보보호관리규정(안)”)의 내용을 간단히 살펴보고 이어서 안면인식에 관한 중국 최초의 법원 판례를 소개하고자 합니다.
1. App 개인정보보호관리규정(안) 주요 내용
App 개인정보보호관리규정(안)은 중국 공업 및 정보화부와 공안부, 시장감독관리총국에 의해 공동으로 작성된 것으로서, 최근 관련 사례 중 드러난 이슈들을 참고로 최근 2년간 각 정부부처에서 공표한 App 이용자권리 보호와 관련한 규정들을 통합하고 정비한 규범성 문건(행정부령)입니다.
(1) 적용범위
중국 내에서 영위하는 App 개인정보 처리활동은 App 개인정보보호관리규정(안)의 적용을 받게되며, “App 개인정보 처리활동”이라 함은 모바일 스마트단말기에서 구동되는 App에서 개인정보가 수집, 저장, 이용, 가공, 전송되는 활동을 가리킵니다. 위 “App”에는 휴대폰에 탑재되어 판매되는 App, 이용자가 App Store를 통해 다운받아 사용하는 App 및 온라인으로 사용되는 Mini App이 모두 포함되는 것으로 해석됩니다.
(2) 기본 원칙
“사전 고지 및 동의 취득”과 “최소 필요” 원칙은 중국 개인정보보호 법률체계에서 수립된 두 가지 기본원칙이며, App 개인정보보호관리규정(안)에서 아래와 같이 구체적으로 규정하고 있습니다.
- App의 개인정보처리활동에 종사하는 자는, 명확하고 이해하기 쉬운 언어를 사용하여 정보주체(이용자)에게 개인정보처리규칙을 고지해야 하며, 이용자가 충분히 인지하였음을 전제로 자발적으로 명확한 의사를 표시하도록 해야 한다.
① App 로그인 웹페이지 및 App의 첫 실행 시 팝업 창, 텍스트 링크 및 첨부 파일 등을 통해 간결하고 선명하고 쉽게 접속할 수 있는 방식으로 개인정보처리주체, 처리목적, 처리방법, 처리유형, 보관기간 등을 포함하는 개인정보처리규칙을 고지해야 함.
② 체크박스에 선택이 미리 표시되지 아니한 방식으로 이용자의 동의를 취득해야 함.
③ 이용자의 선택권을 존중해야 하며, 이용자의 동의를 얻기 전 또는 이용자가 명시적으로 거부한 경우 해당 이용자의 개인정보를 처리할 수 없으며, 개인정보처리규칙이 변경되는 경우 이에 대해 이용자의 동의를 다시 취득하여야 함.
④ 관련 업무기능을 개통할 때 App 구동에 필요한 권한을 요청해야 하며, 이용자에게 여러 시스템 권한에 대한 포괄적 동의를 강요해서는 아니 되고 이용자의 동의 없이 이용자가 설정한 권한 상태를 변경할 수 없음.
⑤ 해당 App 이외의 제3자에게 개인정보를 제공하는 경우, 이용자에게 제3자의 신원정보, 연락처, 처리목적, 처리방법 및 개인정보의 종류 등 사항을 고지하여 이용자의 동의를 취득해야 함.
⑥ 인종, 민족, 종교신앙, 개인생태특징, 의료건강, 금융계좌 및 개인행방 등 개인민감정보를 처리하는 경우, 이용자에게 별도로 고지하여 동의를 취득해야 함.
- App의 개인정보처리활동에 종사하는 자는, 명확하고 합리적인 목적을 가지고 최소 필요 원칙을 준수해야 하며, 이용자가 동의한 범위를 초과하거나 서비스 와 무관한 개인정보처리활동에 종사해서는 아니한다.
① 처리하는 개인정보의 수량, 빈도, 정확도 등은 서비스에 필요한 경우에 해당해야 하며, 범위를 초과하여 처리해서는 아니 됨.
② 이용자 기기에서의 개인정보 읽기, 쓰기, 삭제, 수정 등은 서비스에 필요한 경우에 해당해야 하며, 이용자가 동의한 범위를 초과해서는 아니 됨.
③ 이용자가 관련 수권 요청을 거부한 경우 이용자의 App등록을 종료하거나 App 서비스를 중단할 수 없으며, 업무기능 또는 서비스 외 권한을 초과하여 사전 동의 요청을 하거나, 반복적으로 팝업 창을 이용하여 현재 서비스와 무관한 권한을 요청해서는 아니 됨.
④ 서비스에 필요하지 않거나 합리적인 사용환경이 아닌 경우 다른 App을 자체적으로 작동 또는 연계하여 작동하도록 해서는 아니 됨.
⑤ 이용자가 이러한 서비스에 필요하지 않은 개인정보의 제공을 거부하는 경우, 이용자의 해당 서비스 이용에 영향을 미쳐서는 아니 됨.
⑥ 서비스 품질 개선, 이용체험 향상, 신제품 개발, 특정인에 대한 푸시 정보, 위험관리 등을 이유로 이용자에게 동의한 범위를 초과하여 또는 서비스와 무관한 개인정보처리행위에 동의하도록 강요해서는 아니 됨.
(3) App 업무 관련 각 사업자 의무와 책임에 대해 세분화
App 개인정보보호관리규정(안)에서는 App 사업 관련 주요 사업자, 즉 (i) App 개발운영자, (ii) App 배급플랫폼, (iii) App을 위한 제3의 서비스 제공자, (iv) 모바일 스마트단말기 생산기업, (v) 네트워크 접속 서비스 제공자에 대한 정의를 명확히 하고, 사업자별로 각자의 개인정보보호 의무에 대해 세부적으로 규정하였습니다. 그 중, App 개발운영자의 경우, 제3자 서비스를 사용할 때 해당 제3자와 개인정보처리계약 체결하고, 제3자의 개인정보처리활동 및 정보안전위험에 대한 감독 및 관리 의무를 부담해야 하며 App 개발운영자가 그 감독관리 의무를 이행하지 아니한 경우 제3의 서비스 제공자와 연대하여 책임을 부담하도록 규정하였습니다.
주요 사업자들이 공동으로 부담하는 의무에는 (i) 관련 인력에 대한 교육 및 훈련 강화, 개인정보보호를 위한 내부관리제도 수립, 네트워크안전등급보호 및 비상대응방안 작성 등의 제도적 요건을 이행하고, (ii) 암호화, 비식별화 등 보안기술조치를 취하여 무단 접속 및 개인정보유출 또는 절취, 변조, 삭제 등의 위험을 방지해야 하며, (iii) 이용자 본인인증을 위해 국가 통합 신분증 인증 인프라시설 에서 제공하는 온라인 시민권 인증 서비스를 통해 진행해야 한다는 내용을 포함하고 있습니다.
(4) 감독기관 명시 및 처분조치 세분화
App 개인정보보호관리규정(안)에 의하면, 국가인터넷정보사무실이 App 개인정보보호업무와 관련 감독관리업무를 총괄 및 조율하고, 공업과 정보화부, 공안부, 시장감독총국과 연합업무체제를 구성하여 구체적 업무를 추진하도록 하고 있습니다.
한편, App 개인정보보호관리규정(안)을 위반하는 자에 대해, 감독관리부서는 아래와 같은 조치를 취할 수 있습니다.
① 시정 명령 및 사회 공고. 검사를 통해 문제가 존재하는 App의 개발 운영자, App 배급플랫폼, 제3의 서비스 제공자 및 관련 주체(사업자)에게 5 영업일 내 시정하여 적시에 위험을 해소할 것을 명하고, 이에 따르지 아니한 경우 이를 사회에 공고함.
② 퇴출(Take-down) 처리. 사회 공고 후 5 영업일 내 시정을 거부하거나 시정 이후 여전히 문제가 존재하는 경우, App 관련 주체에 해당 App을 퇴출 하도록 요구할 수 있음. 반복적으로 해당 문제가 발생하고, 기술적 조치를 취하여 대응하는 등 위반행위가 심각한 경우 직접 해당 App를 퇴출하는 조치를 취할 수 있음. 퇴출된 App의 경우 40 영업일 내 기타 여하 루트를 통해 재등록 불가.
③ 접속차단. 퇴출 조치를 받은 후 여전히 시정되지 아니한 경우, 해당 App 접속을 차단하는 등 필요조치.
④ 재등록. 퇴출 조치를 받고 App 문제점을 시정한 사업자는 관련 감독관리부서에 자율 확약서를 제출하여 재등록 해줄 것을 신청할 수 있음.
⑤ 접속복원. 네트워크 접속차단 조치를 받고 App 문제점을 시정한 사업자는 관련 감독관리부서에 접속을 복원해줄 것을 신청할 수 있음.
⑥ 신용 관리. 규정을 위반한 자를 신용관리 대상에 포함하여 연합징계조치를 받도록 할 수 있음.
(5) 시사점
App 개인정보보호관리규정(안)은 중국 내 App 관련 개인정보 업무 과정에 실무적으로 반드시 준수해야 할 가장 전면적이고 기초적인 규정인 것으로 평가되고 있습니다. 따라서, App 업무 관계자, 특히 이미 중국에서 사업을 영위하고 있는 (i) 모바일 스마트단말을 생산하는 한국기업, (ii) App을 개발하여 운영하는 한국기업들은 지속적으로 App 개인정보보호관리규정(안)의 입법 현황을 모니터링하고 자가점검 등을 통해 App을 통한 개인정보처리업무 실태를 파악해볼 필요가 있겠습니다.
2. 안면인식에 관한 중국 최초의 판례
(1) 사실관계
2019년 4월 곽병(郭兵. 이하 “원고”)은 항저우 야생동물원(피고)에 지문인식을 통하여 입장하는 2인 연간입장권을 1,360위안(원화 약20만원)을 지급하고 구매하면서 원고와 그 부인은 이름, 신분증번호, 전화번호 등을 기재하고 지문을 입력하고 사진(안면정보)을 찍었습니다. 이후 야생동물원은 일방적으로 연간입장권 고객의 입장 방식을 지문인식에서 안면인식으로 바꾸고 연간입장권 고객에게 단체문자를 발송하여 안면인식 시스템을 활성화하지 않으면 정상 입장이 불가능하다고 고지하였습니다.
이후 원고는 야생동물원에 안면식별정보 등록(인증)을 진행함에 대해 동의하지 아니한다고 밝히면서 연간입장권 환불을 요구하였으나, 협상이 결렬되었습니다. 이에 원고는 2019년 10월 28일 야생동물원을 상대로 소송을 제기하여 관련 입장 현관 고시, 문자메시지 안내서 내용 무효 확인, 사기행위 등을 이유로 연간입장권 구매비용 환불, 교통비 보상, 개인정보 삭제 등을 요구하였습니다.
(2) 법원의 판단
- 1심 법원
1심 법원은 야생동물원이 일방적으로 고객 입장방식을 변경한 것은 계약위반에 해당하지만, 원고에게 입장방식 변경사항을 고지하였으므로 사기행위에는 해당하지 않는다고 판단하였습니다. 원고의 안면정보와 관련하여, 1심 법원은 원고가 구매한 연간입장권은 지문형 입장방식을 채택한 것이며 야생동물원이 추가로 원고의 사진(즉 안면정보)을 수집하는 것은 “필요원칙”의 요구범위를 초과하였다고 인정하였습니다.
이에 1심 법원은 2020년 11월 20일 아래와 같이 판결을 내렸습니다. 즉, (i) 야생동물원이 원고에게 계약이익손실 및 교통비 합계 1,038위안을 배상하고 (ii) 원고가 연간입장권 구매 시 제출한 사진 등 안면 특정 정보를 삭제할 것을 명하고 (iii) 입장 현관 고시, 문자메시지 안내서 내용의 무효 확인을 구하는 등 청구는 각하함.
- 2심 법원(확정 판결)
2심 법원은 생태식별정보는 민감한 개인정보로서 개인의 생리적 및 행위상 특징을 드러내고 있어 강한 인격권 속성을 내포하고 있으므로 생태식별정보가 공개되거나 불법적으로 이용되는 경우 그 정보주체는 차별을 받거나 신체, 재산안전상 예측할 수 없는 위험을 받게 될 수 있기 때문에 생태식별정보는 더욱 신중하게 처리되고 엄격히 보호되어야 한다고 판단하였습니다.
2심 법원은 안면인식 관련 입장 현관 고지내용은 원고가 최초 연간입장권 구매 시 형성된 야생동물원과의 계약내용(당시 지문입장 관련 내용만 고지함)에 포함되는 것이 아니므로, 원고에게 효력을 미치지 아니한다고 판단하였습니다. 다만, 원고가 연간입장권 구매 시 그 선택권(결정권)이 제한 또는 침해를 받은 것이 아니므로, 야생동물원의 입장 시스템 변경행위는 사기행위에 해당하지 않고 계약위반행위에 해당한다고 판단하였습니다.
이에 2021년 4월 9일 2심 법원은 1심 판결 내용을 인용하면서 야생동물원의 지문형 입장방식이 중지되어 고객들이 더 이상 기존 입장방식을 이용할 수 없으므로, 추가로 야생동물원이 원고가 연간입장권 구매 시 등록한 지문식별정보도 함께 삭제하도록 명하였습니다.
(3) 시사점
본건은 중국 법원이 안면인식정보, 즉 “생태식별정보” 이슈와 관련하여 판시하고 확정판결을 내린 첫 사례입니다. 중국의 안면인식 기술은 세계 최고 수준인 것으로 알려져 있으며 안면인식 정보, 목소리 정보, 기타 수많은 개인정보들이 다양한 사업에 활용되고 있습니다. 빅데이터 디지털 경제시대에서 개인정보처리자인 우리 기업으로서는 중국관련 개인정보의 수집과 이용 과정에서 관련 법규정을 엄수해야 할 것이며, 특히 개인민감정보 수집 및 이용 시에는 제반 사항에 대해 전반적으로 살펴보고 compliance 차원에서 사전에 대응 방안을 마련해둘 필요가 있습니다.