중국인민대표대회는 2020년 10월 21일 <중화인민공화국 개인정보보호법(초안)>(中华人民共和国个人信息保护法(草案))(이하 “개인정보보호법(초안)”)[1] 에 대한 검토를 마친 후 2021년 4월 29일 <중화인민공화국 개인정보보호법(초안 2차 심의안)>(《中华人民共和国个人信息保护法(草案二次审议稿)》)(이하 “개인정보보호법 2차 심의안”)을 공포한 후 2021년 5월 28일까지 의견을 수렴하고 있습니다.
또한, 개인정보보호법 2차 심의안의 공포일과 같은 날인 2021년 4월 29일, 중국인민대표대회는 2020년 7월 3일에 공포한 <중화인민공화국 데이터안전법(초안)>(《中华人民共和国数据安全法(草案)》)(이하 “데이터안전법(초안)”)에 대한 추가 검토 및 보완을 마친 <중화인민공화국 데이터안전법(초안 2차 심의안)>(《中华人民共和国数据安全法(草案二次审议稿)》)(이하 “데이터안전법 2차 심의안”)을 공포하고 역시 2021년 5월 28일까지 의견을 수렴하고 있습니다. 개인정보보호법 2차 심의안과 데이터안전법 2차 심의안이 확정되어 공포될 경우 중국네트워크안전법(网络安全法)과 함께 개인정보와 데이터에 관한 주요 3대법이 될 것으로 예상됩니다.
1. 개인정보보호법 2차 심의안
가. 주요 내용
개인정보보호법 2차 심의안을 개인정보보호법(초안)의 내용과 비교해보면 그 체계와 내용에 큰 변화는 없지만, 3개 조항이 추가되었고, 사망자의 개인정보 보호, 대형인터넷 플랫폼의 개인정보 보호의무 등에 관한 사항을 신설하였습니다.
(1) 개인정보처리자가 개인정보 주체의 동의를 받아야 하는 경우에 대한 예외 조항 추가
개인정보보호법의 규정에 따라 합리적인 범위에서 이미 공개된 개인정보를 처리하는 경우에는 개인의 동의를 받을 필요가 없다는 조항을 추가하였습니다(개인정보보호법 2차 심의안 제13조 제5항).
(2) 개인정보 동의에 대한 편리한 철회방식 제공 조항 추가
개인의 동의에 기초하여 개인정보를 처리하는 활동에 대해 개인은 그 동의를 철회할 수 있는 권리를 보유하는데, 개인정보처리자는 이에 대해 편리한 동의철회 방식을 제공해야 합니다. 즉, 개인이 복잡한 과정을 통해서 개인정보제공 동의를 철회할 수 있다면 사실상 동의 철회권을 유명무실하게 할 수 있다는 배경에서 이와 같은 조항이 추가된 것으로 이해됩니다. 또한 개인의 동의 철회는 철회 전에 개인의 동의에 따라 이미 진행된 개인정보처리활동의 효력에는 영향을 미치지 않는다는 조항을 추가하였습니다(개인정보보호법 2차 심의안 제16조). 이는 중국 국가표준인 개인정보안전규범[2] 제8.4조의 내용과 같은 맥락의 내용입니다.
(3) 개인정보의 해외 제공에 대한 조항 수정
개인정보처리자가 중국 경외로 개인정보를 제공할 경우 다음 중 최소 하나의 조건을 충족하여야 합니다(개인정보보호법 2차 심의안 제38조).
(가) 국가 네트워크 정보 판공실의 안전평가 통과
(나) 국가 네트워크 정보 판공실이 규정한 전문기구에서 개인정보 보호 인증
(다) 국가 네트워크 정보 판공실이 제정한 표준계약서에 따라 해외의 정보수령자와 계약을 체결하여 정보제공자와 해외의 정보수령자간의 권리의무를 약정하고, 개인정보처리활동이 개인정보보호법에 규정된 개인정보보호 표준을 충족하는지 관리감독
(라) 기타 법률 및 행정법규, 국가 네트워크 판공실이 제정한 조건
개인정보보호법(초안)에서는 위 (3)항 밑줄 부분이 “해외의 정보수령자와 계약을 체결하여”라고만 규정되어 있었기 때문에, 중국의 정보제공자와 해외의 정보수령자간에 체결되는 계약의 형식과 내용이 개인정보보호에 충분하지 못할 경우 문제가 발생할 수 있다는 우려가 제기되었고, 이에 따라 개인정보보호법 2차심의안에서는 중국 국가 네트워크 정보 판공실이 제정하는 표준계약서에 따르도록 하였습니다. 그러나 표준계약서의 내용이 아직 발표되지 아니하였으므로, 향후 발표되는 표준계약서의 내용에 유의하고 그에 따른 계약을 체결할 필요가 있을 것입니다.
(4) 해외 정부기관에 대한 개인정보제공 관련 조항 수정
중국 경외(해외)의 사법기관 또는 법집행기관이 중국 경내에 저장된 개인정보의 제공을 요구하는 경우, 중국주관부서의 허가 없이 이를 제공할 수 없다는 조항을 두었습니다. 개인정보보호법(초안)에서 규정하고 있던 허가조항을 더 강화하여 금지된다는 문구를 추가하였습니다(개인정보보호법 2차 심의안 제41조).
(5) 사망한 자의 개인정보 관련 조항 추가
자연인이 사망한 경우, 사망한 개인의 개인정보처리활동에 대한 권리는 그 친족이 행사한다는 조항을 추가하였습니다(개인정보보호법 2차 심의안 제49조).
(6) 대형 인터넷플랫폼의 개인정보보호 의무 조항 추가
기초적인 인터넷 플랫폼 서비스를 제공하며 이용자 수가 많고 업무 유형이 복잡한 개인정보처리자는 다음 의무를 이행하여야 한다는 조항을 신설하였습니다: (1) 외부 구성원으로 구성된 독립적인 기구를 설립하여 개인정보 처리 활동을 감독하여야 하고, (2) 법률·행정법규를 중대하게 위반하여 개인정보를 처리하는 플랫폼 내의 제품 또는 서비스 제공자에 대하여는 서비스 제공을 정지할 수 있도록 하였으며, (3) 개인정보보호에 관한 사회적 책임보고서를 정기적으로 배포하고 사회의 감시를 받도록 하였습니다(개인정보보호법 2차 심의안 제57조).
(7) 개인정보의 위탁처리 관련 조항 수정
개인정보보호법(초안) 제22조 제2항에 따르면 개인정보위탁처리계약의 효력이 없거나, 무효가 되거나, 취소 또는 종료되는 경우, 수탁자는 개인정보를 개인정보처리자에게 반환하거나 삭제하여야 하는데, 개인정보보호법 2차 심의안은 여기에 보류(보관)할 수 없다는 내용을 추가하였습니다(개인정보보호법 2차 심의안 제22조 제2항).
(8) 개인정보처리자의 과실추정 규정 보완
개인정보보호법(초안)은 개인정보권리가 개인정보처리활동으로 인하여 침해된 경우 개인정보처리자가 자신의 과실이 없음을 증명하여 책임을 감경 또는 면제받을 수 있다고 규정하였으나, 개인정보보호법 2차 심의안은 이 경우 개인정보처리자가 자신의 과실이 없음을 증명하지 못하면 손해배상 등 불법행위책임을 부담하여야 한다고 규정하여 개인정보처리자의 과실추정 규정을 보다 명확히 수정하였습니다. 이러한 과실추정 조항은 실무상 소송의 승패를 좌우할 수 있기 때문에 중국과 관련된 개인정보를 처리하는 한국기업들이 특히 유의할 필요가 있습니다(개인정보보호법 2차 심의안 제68조).
나. 시사점
개인정보보호법은 개인정보보호와 관련된 중국의 첫 기본 법률로서 각계의 관심이 집중되고 있으며, 개인정보보호법(초안)의 내용을 보완한 개인정보보호법 2차 심의안이 조만간 공포될 것으로 예상됩니다. 이는 중국에 자회사를 두고 있는 한국기업뿐만 아니라 한국에서 중국을 상대로 비즈니스를 하는 기업들에 상당한 영향을 미칠 것으로 예상되는바, 그 내용을 미리 숙지하고 내부 audit, compliance checklist 작성, risk 분석 등을 개시할 필요가 있겠습니다.
2. 데이터안전법 2차 심의안
가. 주요 내용
데이터안전법 2차 심의안을 데이터안전법(초안)의 내용과 비교해보면 그 체계와 내용에 역시 큰 변화는 없으나, 온라인 데이터 처리서비스 관련 규정이 삭제되고 데이터 해외 이전에 대한 안전관리, 업계규범제정 등 내용이 추가되었으며 데이터 분류 등급 보호제도의 구축 등 내용이 보완되었습니다.
(1) 데이터 분류 등급 보호제도
데이터안전법(초안)은 국가(정부)는 데이터를 분류하고 등급을 구분하여 보호해야 한다고 규정하였으나, 데이터안전법 2차 심의안은 이를 더욱 명확히 하여 국가(정부)가 데이터 분류 등급 보호제도를 수립한다고 규정하였습니다. 또한 각 지역, 각 부서에서는 데이터 분류 등급 보호제도에 따라 해당 지역, 해당 부서 및 관련 업계, 영역에서 구체적인 중요 데이터 리스트를 작성하고 리스트상 데이터에 대해 중점적으로 보호해야 한다고 규정하였습니다(데이터안전법 2차 심의안 제20조).
(2) 중요 데이터 해외 이전 규칙 추가
핵심정보인프라시설운영자(CIIO)가 중국 경내의 운영과정에서 수집하고 생성한 중요 데이터의 해외 이전에 대한 안전관리에는 <네트워크안전법 > 규정이 적용되고, 기타 데이터 처리자가 중국 경내의 운영과정에서 수집하고 생성한 중요 데이터의 해외 이전에 적용하는 안전관리방법은 국가네트워크정보부서가 국무원 유관부서와 함께 제정한다는 조항을 추가 하였습니다(데이터안전법 2차 심의안 제30조).
(3) 해외(중국 경외) 법집행기관에 대한 무단 데이터 제공 관련 처벌 강화
데이터안전법(초안)은 중국 경외 사법기관 또는 법집행기관이 중국 경내에 저장된 데이터 제출을 요구하는 경우 관련 조직, 개인은 유관주관부서에 보고하여 승인을 받은 후 제공할 수 있다고 규정하였을 뿐 이를 위반한 경우의 직접적인 처벌 규정은 두고 있지 않았으나 , 데이터안전법 2차 심의안은 이를 위반하는 경우 유관주관부서는 시정을 명하고 경고(警告)하며, 인민폐 10만 위안 이상 100만 위안 이하의 과징금을 병과할 수 있고, 해당 업무를 직접 책임지는 담당자와 기타 직접적 책임자에 대해 인민폐 2만 위안 이상 20만 위안 이하의 과징금을 부과할 수 있다는 구체적인 법률책임조항을 추가하였습니다(데이터안전법 2차 심의안 제46조).
(4) 업계 규범 제정 및 업계 자율 제안
데이터안전법(초안)은 업계의 자율적 데이터 보호 관련 내용을 언급하지 않았으나, 각 산업별 중요 데이터의 범위 및 그에 따른 보호조치나 보호 정도가 다르므로 관련 업계조직이 자율적으로 데이터 보호를 강화하고 그 소속 기업에 실무상 지침을 제공하도록 할 필요가 있으므로, 데이터안전법 2차 심의안은 “관련 업계조직은 정관에 따라 데이터 행위규범을 작성해야 한다”는 조항을 추가하였습니다 (데이터안전법 2차 심의안 제10조).
(5) 위법행위에 대한 처벌 조치 가중
데이터 처리활동의 위법행위에 대해, 데이터안전법(초안)은 위반 행위의 유형에 따라 유관주관부서가 (i) 시정명령, (ii) 경고, (iii) 과징금 부과, (iv) 불법소득 몰수, (v) 데이터 거래 중개업체의 라이선스 또는 허가 취소 등의 조치를 취할 수 있다고 규정하였습니다. 데이터안전법 2차 심의안은 이에 추가하여 유관주관부서가 (vi) 데이터 거래 중개업체에 업무중단, 사업정지정리를 명할 수 있고, (vii) 관련 조직, 개인에 대해서도 업무중단, 사업정지정리를 명하고 라이선스 또는 허가 취소 등의 조치도 취할 수 있다고 규정하였습니다(데이터안전법 2차 심의안 제45조, 제46조).
과징금 금액과 관련하여, 데이터안전법(초안)은 데이터 처리활동의 주체인 조직, 개인의 경우 최저 인민폐 1만 위안, 최고 인민폐 100만 위안을, 해당 업무를 직접 책임지는 담당자와 직접적 책임자의 경우 최저 인민폐 5,000 위안, 최고 인민폐 10만 위안을 부과할 수 있다고 규정하였으나, 데이터안전법 2차 심의안은 데이터 처리활동의 주체인 조직, 개인의 경우 최저 인민폐 5만 위안, 최고 인민폐 500만 위안을, 해당 업무를 직접 책임지는 담당자와 직접적 책임자의 경우 최저 인민폐 1만 위안, 최고 인민폐 50만 위안을 부과할 수 있는 것으로 상향되었습니다(데이터안전법 2차 심의안 제45조, 제46조).
(6) 기타
(가) 데이터 및 데이터 개발 이용 기술 등에 대한 투자, 무역 등과 관련하여, 데이터안전법(초안)은 해외에서 중국에 대해 차별적 금지, 제한 또는 기타 유사한 조치를 취하는 경우, 중국은 실제 상황에 따라 해당 국가에 대해 “상응한” 조치를 취할 수 있다고 규정하였으나, 데이터안전법 2차 수정안은 중국은 실제 상황에 따라 해당 국가에 대해 “대등한” 조치를 취할 수 있다고 수정하였습니다(데이터안전법 2차 심의안 제25조).
(나) 데이터 처리행위에 대해 기타 관련 법규정에 의해 처벌할 수 있는 경우와 관련하여, 데이터안전법(초안)에서는 그 행위가 국가안전, 공공이익 또는 국민, 조직의 적법한 이익에 위험을 초래하는 경우라고 규정하였으나, 데이터안전법 2차 수정안은 “경쟁을 배제, 제한하는 경우”를 추가하였습니다(데이터안전법 2차 심의안 제49조).
나. 시사점
중국정부는 데이터를 개혁 방향과 관련한 제도적 메커니즘의 다섯 가지 생산 요소 중 하나로 지정하였으며, 인구가 많은 제조 강국인 중국에서 생성되는 데이터가 엄청난 가치를 보유하고 있다고 보고 있습니다. 이에 데이터 안전보호의 기본 구조를 구축하고 국가 주권, 안전 및 개발 이익을 보호하기 위해 데이터안전법의 입법 통과를 추진하고 있습니다.
이번 데이터안전법 2차 심의안은 데이터의 관리, 해외이전, 대외 제공 등 제반 사항에 대해 보다 세분화하여 규정하고 처벌을 강화하였는바, 개인정보보호법과 마찬가지로 중국에 자회사를 두고 있는 한국기업뿐만 아니라 한국에서 중국을 상대로 비즈니스를 하는 기업들에 상당한 영향을 미칠 것으로 예상되는바, 그 내용을 미리 숙지하고 내부 audit, compliance checklist 작성, risk 분석 등을 개시할 필요가 있겠습니다.
1 개인정보보호법(초안)의 내용에 대해서는 본 법무법인의 2021년 1월 20일자 뉴스레터를 참고하시기 바랍니다.
2 다만 개인정보안전규범 (《信息安全技术 个人信息安全规范》) 제8.4조에는 편리한 동의철회 방식의 제공에 관한 내용이 규정되어 있지 않은바, 개인정보보호법 2차 심의안이 확정 및 공포되면 개인정보안전규범에도 이러한 내용이 반영될 가능성이 있습니다.
3 《网络安全法》
4 데이터안전법(초안) 제47, 제48조에 따라, 이러한 무단 제공 행위가 타 법령에 위반되는 경우 그에 따라 처벌을 받거나, 타인에 손해를 입힌 경우 민사책임을 부담하게 됩니다