중국인민대표대회는 2020년 10월 21일 <중화인민공화국 개인정보보호법(초안>(中华人民共和国个人信息保护法(草案))(이하 “개인정보보호법(초안)”)을 공개하고 2020년 11월 19일까지 각계의 의견을 수렴하였으며, 현재 최종 심의 단계에 있습니다. 개인정보보호법(초안)은 조만간 확정되어 제정 및 공포될 것으로 예상됩니다. 개인정보보호법(초안)은 유럽의 GDPR[1]등을 벤치마킹하여 작성된 것으로 빅데이터를 중심으로 하는 4차산업혁명시대의 중요한 법률로 자리잡을 것으로 예상됩니다.
개인정보보호법(초안)은 역외적용에 관한 조항도 두고 있는데 클라우드 컴퓨팅과 인공지능이 급속도로 발달하고, 인터넷을 통한 국가간 데이터의 이동이 보편화되어 정보 주권의 중요성이 강조됨에 따라 한국 기업들도 중국 개인정보보호법(초안)과 데이터 관련 법제의 동향을 숙지할 필요가 있게 되었습니다.
1. 개인정보와 데이터 관련 법제의 기본 체계
개인정보에 관해서는 기존에도 여러 개별법규에 일부 조항들이 있었으나[2] 2017년 6월 1일부터 시행된 중국 네트워크안전법(网络安全法)에서 개인정보의 정의[3], 정보주체의 동의에 관한 조항[4] 등을 신설하면서 중국 내 개인정보 보호에 관한 논의가 활발하게 되었고, 핵심정보 인프라시설 및 네트워크 운영자의 의무에 관한 조항들을 두어서 데이터의 중국 내 저장, 역외전송, 안전조치 등에 관한 사항을 보다 체계적으로 다루게 되었습니다. 또한 2021년 1월 1일부터 시행된 민법전 제4편 제6장에서는 “프라이버시와 개인정보”를 보호하는 조항들을 규정하여 민사관계[5]에 있어 개인정보를 규율하는 기본틀을 마련하였습니다.
개인정보와 데이터에 관한 중국법 민사법의 체계는 다음과 같으며[6] 초안상태인 개인정보보호법과 데이터안전법이 확정될 경우 시행 중인 네트워크안전법과 더불어 3대 핵심 법률이 될 것으로 예상됩니다.
2. 개인정보보호법(초안)의 주요 내용
가. 개인정보의 정의
개인정보보호법(초안)상 “개인정보”는 전자 또는 기타 방식으로 기록되어 식별되었거나 식별이 가능한 자연인과 관련된 각종 정보를 의미하며, 익명화 처리된 후의 정보는 제외됩니다. 이는 기존의 네트워크안전법이나 올해부터 시행된 민법전상의 개인정보 정의와 유사한 내용을 담고 있습니다.
“익명화 처리”는 개인정보 처리를 통하여 특정 자연인을 식별하는 것이 불가능하고 또한 기존 정보로 복원할 수 없는 과정을 의미합니다.
나. 민감개인정보
개인정보보호법(초안)은 “민감개인정보는, 일단 유출되거나 불법으로 사용될 경우 개인이 차별을 받거나 신체 또는 재산의 안전에 중대한 위험을 초래할 수 있는 개인정보로서 종족, 민족, 종교신앙, 개인의 생물학적 특징, 의료건강, 금융정보, 개인의 위치 행방 정보를 포함한다”라고 정의하고 있습니다. 이러한 민감개인정보는 특정한 목적이 있고 충분한 필요가 있는 경우에 한하여 제한적으로 처리할 수 있으며 개인의 개별적 동의를 받도록 하고 있습니다.
다. 역외적용
중국 국외에서 중국 내 자연인의 개인정보를 처리하는 활동이 다음 사항 중 하나에 해당하는 경우 개인정보보호법이 적용된다:
- 중국 내 자연인에게 제품 또는 서비스를 제공하는 것을 목적으로 하는 경우
- 중국 내 자연인의 행위를 분석하고 평가하기 위한 경우
- 법률, 행정법규에 규정된 기타 상황
|
개인정보보호법(초안) 제3조는 다음과 같이 중국 역외에서의 행위에 대해서도 적용을 할 수 있도록 역외적용 조항을 두고 있습니다.
위 조항은 GDPR 제3조(Territorial Scope) 제2항[7]을 참고한 것으로 이해되는데, 중국 역외에서 중국 내에 소재한 중국인뿐 아니라 외국인의 개인정보를 처리하는 경우에도 개인정보보호법이 적용되도록 하고 있습니다. 따라서, 한국에서 중국 내 중국인 소비자뿐 아니라 중국 내에 소재하는 외국인(한국인 포함)에게 제품 또는 서비스를 제공하거나, 데이터를 분석하는 경우에도 개인정보보호법이 적용될 수 있기 때문에 한국 기업의 각별한 주의가 요구됩니다.
라. 개인정보주체의 권리
개인정보보호법(초안)은 개인정보주체가 알권리, 결정할 권리, 타인에게 그 개인정보를 처리하는 것을 제한하거나 거절할 권리, 열람할 권리, 복사할 권리, 정정 또는 보충을 요구할 권리, 삭제를 요구할 권리, 개인정보 처리자에게 설명을 요구할 권리 등을 갖는다고 규정하고 있습니다.
마. 개인정보의 역외 전송
개인정보 처리자는 업무 등의 필요에 의하여 중국 역외로 개인정보를 제공해야만 하는 경우에는 최소한 다음 사항 중 하나의 조건을 충족하여야 한다.
-
본법 제40조의 규정에 의하여 국가 인터넷 통신부서에서 조직하는 안전평가에 통과할 것
-
국가 인터넷 통신부서의 규정에 따라 전문 기관을 통하여 실시하는 개인정보보호 인증을 받을 것
-
역외에서 개인정보를 전송받는 자와 계약을 체결하고, 쌍방의 권리의무를 약정하고, 그 개인정보 처리 활동이 본 법에서 규정한 개인정보 보호표준에 도달하도록 감독할 것
-
법률, 행정법규 또는 국가 인터넷 통신부서에서 규정하는 기타 조건.
|
개인정보보호법(초안) 제38조는 개인정보를 해외에 전송하고자 하는 경우 다음과 같이 일정한 조건을 준수하도록 하고 있습니다.
바. 개인정보 처리자의 리스크 평가
개인정보보호법(초안) 제54조에 따르면 개인정보처리자는 다음과 같은 활동을 실시할 때 사전에 리스크 평가를 하고 개인정보 처리 상황을 기록해야 합니다. 리스크 평가 보고서와 처리 상황 기록은 최소 3년간 보관해야 합니다.
(1) 민감한 개인정보 취급
(2) 개인정보를 이용한 자동화 의사결정
(3) 개인정보취급 위탁, 제3자에게 개인정보 제공 또는 공개
(4) 개인정보의 국외 제공
(5) 기타 개인에게 중대한 영향을 미치는 개인정보취급활동.
사. 법률 책임
개인정보보호법(초안) 제62조는 동법의 규정을 위반하여 개인정보를 처리하거나 혹은 규정에 따라 필요한 안전보호 조치를 취하지 아니하고 개인정보를 처리하는 경우, 시정명령, 위법소득의 몰수, 경고 처분을 할 수 있으며, 시정하지 아니하는 경우 직전 연도 매출액의 5% 또는 5천만 위안 이하의 벌금을 부과할 수 있도록 하고 있습니다. 이는 직전 연도 매출액의 4% 또는 2천만 유로 중 높은 금액에 따른 벌금을 부과할 수 있다는 GDPR 제83조 제6항[8] 보다 더 높은 처벌을 규정하고 있음을 유의할 필요가 있습니다.
3. 시사점
GDPR 시행 후 많은 한국기업들이 GDPR에 따른 compliance 점검을 하고 있습니다. 중국 개인정보보호법(초안)도 올해 안에 확정될 경우 한국기업에 상당한 영향이 예상되는바, 그 내용을 미리 숙지하고 내부 audit, compliance checklist 작성, risk 분석 등을 개시할 필요가 있겠습니다.
[1] General Data Protection Regulation
[2] 2013년 기준으로 중국에서 개인정보보호와 관련된 개별 법률은 약 41개, 행정법규는 30여 개 존재하였습니다.
[3] 전자 방식 또는 기타 방식으로 기록한, 단독으로 또는 다른 정보와 결합하여 자연인 개인의 신분을 식별하는 각종 정보를 의미합니다.
[4] 개인정보 수집 및 사용의 목적과 방식, 범위를 명시하고 정보주체의 동의를 받아야 합니다.
[5] 공법(公法)분야에 있어서는 중국 헌법이 인격권에 관한 조항을 두고 있으며(제38조), 형법은 개인정보를 불법으로 판매하거나 제공하는 것을 처벌하는 경우 벌금과 징역을 병과할 수 있도록 규정하고 있습니다(제253조의 1).
[6] 2021년 6월 1일부터 시행하게 될 <개인정보 안전영향평가지침>에서는 개인정보 안전영향평가 관련 용어 정의, 평가의 기본원리, 평가방법과 절차, 구체적 평가방법에 대해서 규정하고 있습니다. <개인정보 안전영향평가지침>은 관련 주관부서, 제3자 평가기관 등의 개인정보안전 관련 감독관리, 검사, 평가 등 업무를 위한 가이드라인을 제공하고 있으며, <개인정보보호법(초안)>과 <개인정보안전규범>의 시행에 필요한 실무상 세부적 근거를 보완하였습니다.
한편 중국 최고인민법원은 개인정보 보호 관련 조항을 두고 있는 민법전 등 신규 법률의 제정 및 소비자보호법 등 기존 법규정의 개정에 따라 2020년 12월 29일 <민사사건사유규정> 개정안을 공표하였는바, 개인정보보호와 직접적 관련이 있는 사유를 “인격권 분쟁” 산하에 “프라아버시권 분쟁”, “명예권 분쟁”과 “일반 인력권 분쟁”으로 세분화하여 수정하였으며 이에 따라 개인정보주체의 민사소송상 구제권 보호가 보다 강화되었습니다.
[7] 2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
a. the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
b. the monitoring of their behaviour as far as their behaviour takes place within the Union.
[8] “…..be subject to administrative fines up to 20,000,000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher.”