중국 <데이터안전법>[1]이 2021. 9. 1. 부터, <개인정보보호법>[2]이 2021. 11. 1.부터, 각 시행된 이래 개인정보보호 및 데이터 보호 관련 각종 세부규정들이 속속 제정되어 공포됨에 따라, 개인정보와 데이터 관련 컴플라이언스에 대한 실무적 요구사항들이 구체화 되고 있습니다. 중국 정부 주관부서도 시장질서유지, 소비자보호 및 국가안보의 차원에서 데이터 3법[3] 집행을 강화하는 추세를 보이고 있습니다.
특히, 최근 중국정부는 데이터 3법 위반을 이유로 ‘중국판 우버’인 공유 차량 호출 플랫폼 '디디추싱'[4]에 약 1.6조원에 달하는 과징금을 부과하여 큰 화제가 되고 있습니다. 이하에서는 최근 중국 데이터 3법 집행 실무 동향에 대해 간략히 살펴보겠습니다.
I. 중국 정부, 공유 차량 호출 플랫폼 업체 ‘디디추싱’에 약 1.6조원 과징금 부과
지난 7. 21. 중국 국가인터넷정보사무실[5]은 네트워크 안전심사 결과에 따라 ‘디디추싱’에 80.26억 위안(약 1.6조원)의 과징금을 부과하고, ‘디디추싱’의 이사장 겸 CEO 청웨이와 총재 류칭에게도 각각 100만 위안(약 2억원)의 과징금을 부과(이하 “본건 처벌결정”)하였습니다.
1. 국가인터넷정보사무실은 ‘디디추싱’의 법규정 위반행위가 다양하고 심각하다고 인정하면서, 아래와 같이 8가지로 그 위법행위를 정리하였습니다.
-
1) APP을 통해 이용자 휴대폰 갤러리 내 캡쳐화면을 1,196.39만 개 위법으로 수집함.
-
2) 이용자의 클립보드 정보, APP 정보 등을 과도하게 수집함: 83.23억 개에 달함.
-
3) 승객의 개인정보를 과도하게 수집함: 안면 정보 1.07억 개, 나이 정보 5,350.92만 개, 직업 정보 1,633.56만 개, 친인척 관계 정보 138.29만 개, ‘집’과 ‘회사’ 위치 정보 1.53억 개.
-
4) 승객의 APP 대리운전 서비스를 평가할 때, APP 프로그램을 백그라운드에서 실행할 때, 휴대폰을 주행기록기에 연결할 때 정확한 위치(경/위도) 정보 1.67억 개를 과도하게 수집함.
-
5) 택시기사 학력 정보 과도 수집: 14.29만 개. 택시기사 신분 정보 5,780.26만 개를 명시적으로 저장함.
-
6) 승객에게 명확하게 고지하지 않은 채 승객의 외출 의도 정보 539.76억 개, 상주 도시 정보 15.38억 개, 타지역 비즈니스/여행 정보 3.04억 개에 대해 분석함.
-
7) 승객이 카풀 서비스 사용 시 서비스와 무관한 ‘통화 권한’을 빈번하게 요구함.
-
8) 이용자의 설비 정보 등 19항목의 개인정보의 처리목적에 대해 정확하고 명확하게 설명하지 아니함.
2. 국가인터넷정보사무실 관련 책임자의 설명에 의하면, ‘디디추싱’은 국가안전에 심각한 영향이 미칠 수 있는 데이터 처리 활동도 진행하였고, 감독관리부서가 명확히 시정명령을 내렸음에도 그 이행을 거부하였으며, 심지어 악의적으로 감독관리를 회피하기도 하였는바, 이러한 사항은 법에서 정한 기타 ‘엄중한’ 경우로써, 가중 처벌 사유에 해당한다고 판단되었습니다.
3. ‘디디추싱’의 위와 같은 위법행위는 2015.6.부터 시작되어 현재까지 7년이란 장기간 동안 지속되었으며, 2017.6.1부터 시행된 「네트워크안전법」, 2021.9.1부터 시행된 「데이터안전법」 및 2021. 11.1부터 시행된 「개인정보보호법」을 모두 위반한 것으로 드러났습니다.
4. 한편, ‘디디추싱’은 내부적으로 정보와 데이터 안전위원회 및 그 산하의 개인정보보호위원회를 통해 차량 예약 업무에 대한 의사결정을 하였는바, 각 업무 과정에서 발생하는 위법행위는 회사의 일괄 결정에 따라 진행되는 것으로, 국가인터넷정보사무실은 위와 같은 위법행위의 책임주체는 회사라고 판단함과 동시에, ‘디디추싱’의 이사장 겸 CEO 청웨이, 총재 류칭은 회사의 위법행위에 대해 책임자로서의 책임을 부담해야 한다고 결정하였습니다.
[시사점]
이번 국가인터넷정보사무실의 ‘디디추싱’에 대한 네트워크 안전심사는 지난 2021. 6. 30. ‘디디추싱’이 미국 상장을 신청하면서부터 촉발되었고, 중국정부의 본건 처벌결정은 미중 양국 갈등의 배경 하에 유래된 일종의 ‘보여주기’식 처벌이라는 평가도 존재합니다. 그러나, 본건 처벌결정은 중국정부가 네트워크 안전심사를 통해 실제 거액의 행정처벌을 한 첫 대표적 사례라는 점에서, 개인정보의 수집, 해외(한국)이전 등 업무를 통해 데이터 3법을 적용 받는 우리 기업들로서는 유의할 필요가 있는 사례입니다. 중국정부의 본건 처벌결정의 경위와 처벌내용을 살펴보면, 우리 기업들은 아래 사항들을 유의하고 준수할 필요가 있습니다.
-
네트워크 안전, 데이터 안전, 개인정보보호 의무는 각각 별개의 법정의무이고 각 법에서 정한 조치를 취할 것
-
업무에 필요한 범위 내에서만 개인정보를 수집하고, 불필요한 정보의 과도한 수집을 하지 않을 것
-
개인정보(특히 민감개인정보) 수집 시, 개인정보의 처리목적에 대해 알기 쉽게 정확하고 명확하게 고지할 것
-
업무과정에 개인정보 이외에 중국 국가안전에 중대한 영향이 미칠 수 있는 데이터를 처리하는 경우 특별히 관련 조치를 취할 것
-
개인정보를 수집, 이용하기 위한 처리방침을 제정하고 실제 개인정보 처리의 흐름 및 법률에 부합하는지 점검할 것
-
개인정보보호 책임자를 지정할 것
-
회사 내부적으로 위법 사항을 인지하거나 발견하였을 경우, 즉시 시정조치를 취하고 이러한 위법행위를 방치함으로 인해 위법 상태의 지속 기간이 길어지는 것을 조기에 방지할 것
-
관련 정부부서의 네트워크 안전심사를 받는 과정에 적극 협조하고, 관련 정부부서의 시정명령이 있을 경우 엄격히 이를 이행할 것.
중국 정부는 개인정보와 데이터의 역외제공과 관련하여 지난 2022. 6. 30.에 「개인정보출경(出境: 역외제공) 표준계약 규정(의견수렴안)」[6]을, 2022. 7. 7.에는 「데이터 역외 이전 안전평가방법」[7]을 공표하였으므로, 우리 기업으로서는 이들 새로운 규정들을 숙지하고 실무 동향을 모니터링하여 개인정보 뿐만 아니라 데이터 보호 관련 컴플라이언스를 강화할 필요가 있습니다.
II. 네트워크안전 및 정보화 사무실, 미성년자 프라이버시 침해 이슈를 엄격히 통제할 것
2022. 7. 18. 중공(중국공산당)중앙 네트워크안전 및 정보화 사무실, 국무원 미성년자보호 사무실, 교육부, 공청단중앙, 전국 부녀연합회는 「맑고 명랑한(清朗) 2022년 하기 미성년자 네트워크 환경 정비」 ‘특별행동’ 가동식(启动仪式)을 개최하였습니다. 이번 ‘특별행동’ 대상은 주로 미성년자가 자주 사용하는 쇼트 동영상, 라이브 방송, SNS, 학습 앱(App), 온라인게임, 전자상거래, 아동용 스마트 설비 등 플랫폼이며, 집중적으로 미성년자 관련 문제를 해결하기 위한 것이라고 밝혔습니다.
이번 특별행동은 2개월 정도 진행될 예정인 것으로 알려졌으며, 주로 아래 10가지 방면을 정비하게 됩니다.
-
1) 미성년자의 개인 프라이버시를 침해하는 문제를 엄격히 통제하고, 미성년자에 대한 인신공격, 욕설 등 인터넷 괴롭힘 행위를 조사하여 처리하며 미성년자를 불량한 방향으로 인도하는 저속한 콘텐츠를 정돈할 것.
-
2) ‘왕홍(网红: 인터넷 인플루언서) 아동’을 이용하여 사리를 도모하는 등 행위, 미성년자로 하여금 저속한 자세, 성적 암시의 행위를 하도록 하는 등을 통해 방문량을 증가시키는 행위를 엄격히 단속하고, 미성년자를 유인하여 위험한 동작을 하도록 하는 행위 등을 정돈할 것.
-
3) 사이트/플랫폼 등에서 만 16세 미만의 미성년자 대상으로 라이브 방송 서비스를 제공하지 못하도록 감독하고, 미성년자를 유인하여 온라인 생방송 팁 지불(다샹/打赏)에 참여하도록 하는 행위를 엄격히 조사하여 처리할 것.
-
4) 미성년자 이미지를 이용하여 창작한 에로 소설/만화 등을 집중적으로 정돈하고, 미성년자를 유인하여 불량한 친구관계 맺기, 부정적 정서를 선동하는 등 문제를 조사하여 처리할 것.
-
5) SNS, 단톡방 등을 이용하여 미성년자 상대로 선정성 유인을 하는 행위, 신체노출 동영상/사진 촬영, 온라인 성추행 행위 등에 대해 엄격히 조사하여 처리할 것.
-
6) 허위 정보를 배포하고 괴이한 이야기, 저속한 시나리오를 허구적으로 창조하는 등 악의적 마케팅 행위 등을 집중적으로 조사하여 처리할 것.
-
7) 미성년자 상대로 온라인게임 계정 임대 서비스를 제공하는 정보, 게임 중독 방지(防沉迷) 시스템을 우회하는 등의 정보를 제공하는 행위 등을 지속적으로 조사하여 처리할 것.
-
8) 학습 앱(App)에 대해 밀접히 유의할 것.
-
9) 전자상거래 플랫폼 상품정보, 댓글, 질의답변 등 기능을 통한 인터액티브 부분에 대해 철저하게 조사하고, 미성년자 관련 저속하거나 피흘림 등 콘텐츠의 게시를 엄격히 방지할 것.
-
10) 미성년자 전용 스마트워치, 스마트스피커, 패드 등 스마트 설비 관련 콘텐츠 관리를 강화할 것.
[시사점]
미성년자를 상대로 하는 온라인 서비스가 다양화 되면서, 개인정보 이슈를 포함하여 미성년자의 프라이버시가 침해되는 사례가 많이 발생됨에 따라, 중국정부는 미성년자 관련 온라인 서비스를 제공하는 사업자들을 상대로 엄격히 조사하고 행정처벌을 하고 있습니다. 이번 ‘특별행동’은 2개월간 짧게 진행될 예정이지만, 중공(중국공산당)중앙 네트워크안전 및 정보화 사무실, 국무원 미성년자보호 사무실, 교육부, 공청단중앙, 전국 부녀연합회가 연합하여 진행하게 되므로 단속 강도가 높을 것으로 예상되며, 중국 내에서 미성년자 대상으로 온라인 서비스를 제공하는 우리 기업으로서는 특별히 유의할 필요가 있습니다.
* * *
법무법인(유한) 태평양은 중국 개인정보보호 및 데이터안전 분야와 관련한 다양한 업무 경험과 노하우를 축적하였으며, Compliance 시스템 구축 내지 사고대응 등과 관련하여 탁월한 전문성과 풍부한 실무경험을 가지고 있습니다. 법무법인(유한) 태평양은 중국 데이터 3법 시행과 더불어 관련 세부규정을 지속적으로 모니터링 및 분석하고 우리기업에 미치는 영향, Compliance 시스템 구축 점검 및 향후 대응 방안 등에 대하여 자문을 제공하고 있으므로, 이와 관련한 문의사항이 있으시면 언제든지 연락 주시기 바랍니다.
- 数据安全法
- 个人信息保护法
- 「네트워크안전법(网络安全法)」, 「데이터안전법(数据安全法)」 및 「개인정보보호법(个人信息保护法)」
- 滴滴出行
- 国家互联网信息办公室
- 구체적인 내용은 본 법무법인의 2022. 7. 4.자 뉴스레터를 참고하시기 바랍니다.
- 구체적인 내용은 본 법무법인의 2022. 7. 13.자 뉴스레터를 참고하시기 바랍니다.