法律热线:
중국 <개인정보보호법>의
주요 규정 및 그 유의사항
2021년 11월 1일, 중국에서 <개인정보보호법(个人信息保护法)>이 시행되었다. 이 법에는 개인정보의 과도한 수집, 안면인식 정보 남용, “빅데이터 바가지 씌우기(大数据杀熟:최신 인터넷 용어의 해석으로는, 평소 인터넷 사이트에서 구매하는 단골고객에게 제시된 물품(또는 서비스)의 가격이 새로운 이용자 또는 현장 방문 고객에게 제시된 가격보다 비싼 상황을 일컫는 말)”, 개인 민감정보(敏感个人信息) 등이 포함된다. 현재 시행되는 법률로 이러한 문제들을 명문화하여 개인정보를 보호하고자 하였다.
우선, 한국 기업들은 <개인정보보호법>의 적용 범위에 주목할 필요가 있다. <개인정보보호법> 제3조에 따르면 중국 내 개인의 개인정보 처리는 물론, 해외에서 중국 내 개인의 개인정보를 처리할 때에 (1) 중국 내 개인에게 제품 또는 서비스를 제공할 것을 목적으로 하거나; (2) 중국 내 개인의 행위를 분석, 평가하거나; (3) 법률, 행정법규에서 규정한 기타 정황에 해당될 때에 본 법이 적용된다. 이 경우 중국에 별도의 기구를 설치하거나 대표를 선임하여 중국 내 개인의 개인정보를 처리하도록 하여야 하며, 이는 중국에 사업장을 두고 있는 것과 무관하게 이행되어야 할 해외 기업의 책무이다.
그렇다면 그 반대의 방향, 즉 중국에서 수집한 개인정보의 해외 이전의 경우는 어떠할까? 개인정보처리자는 기본적으로 (1) 내부 관리 제도 제정; (2) 개인정보에 대한 분류 관리; (3) 암호화 등 안전기술조치 시행; (4) 개인정보 처리 권한 부여 및 그 종사 인원에 대한 정기적 안전교육 실시; (5) 개인정보 안전사고 관련 응급대책 마련의 의무를 지녀야 한다(제51조). 그러나 개인정보처리자가 위 전제 조건에서 처리한 중국 내 개인정보를 업무상 필요로 인하여 한국으로 이전하여야 한다면 먼저 안전평가나 개인정보보호 인증 등을 마쳐야 한다(제38조). 그 후에도 한국 개인정보 수령자의 이름, 연락처, 처리 방식, 처리 목적 등 사항을 고지해야 하며 개인으로부터 단독 동의도 받아야 한다(제39조). 위처럼 복잡하고 까다로운 절차는 <개인정보보호법>이 그만큼 개인정보의 사용, 처리 및 이전에 대해 보다 엄격한 관리를 시행할 것이라는 점을 내포하고 있다.
그러나 <개인정보보호법>은 무엇보다도 개인정보 처리 행위에 있어 “과유불급”의 정신을 담고 있다. 최근 소프트웨어의 고객 권익 침해에 대하여, 중국 공신부(工信部)에서는 3차례에 걸쳐 소프트웨어의 고객 개인정보 과도 수집에 대해 검사를 진행하였고, 11월 첫 주에 텅쉰신문(腾讯新闻), QQ뮤직(QQ音乐), 샤오홍슈(小红书) 등 38개의 소프트웨어에서 문제를 발견하여 시정하도록 하였다. 중국 사회과학원 법학연구소 부원장 저우한화(周汉华)에 따르면, “<개인정보보호법>에는 명확하게 하나의 원칙이 나왔다, 바로 ‘최소 필요의 원칙(最小必要原则)’이다. 앱이나 웹사이트에서는 고객에게 서비스를 제공하기 위해 필수적인 정보만 수집하여야 하며, 관련 없는 정보는 수집하여서는 아니된다”고 하였다. <개인정보보호법> 제5조에서 제9조까지 개인정보 처리의 기본 원칙으로 (1) 합법, 정당, 필요 및 신의성실의 원칙; (2) 목적의 명확성 및 최소 필요의 원칙; (3) 공개 및 투명의 원칙; (4) 정확성 및 완전성의 원칙; (5) 안전 보장의 원칙을 명시하였는데, 최소 필요의 원칙은 곧 불필요한 개인정보를 수집하지 않는 것을 의미한다.
이 밖에도 <개인정보보호법>은 “고지-인지-동의”로 이어지는 개인정보 처리의 체계를 확립하고 있다. “고지 및 동의”는 <네트워크 안전법(网络安全法)>, <소비자 권익 보호법(消费者权益保护法)>, <민법전(民法典)>에도 규정되어 있는 개인정보 처리의 기초 원칙인데, <개인정보보호법>은 “동의에 대한 개인의 충분한 사실 인지(知情)”를 강조하고 있다. 즉, 충분한 사실 인지가 결여되면 이는 개인이 동의했다고 간주할 수 없는 것이다.
현행 <개인정보보호법> 중, 프라이버시, 개인 비밀정보 등의 개념은 없다. 개인이기만 한다면 모두 보호 대상의 범위에 속한다. <개인정보보호법>은 상당히 체계적이라고 할 수 있으며, 현대 디지털 시대의 개인정보 필요 요구를 충족시키는데 적절한 법이라고 평가할 수 있을 것이다. 한편, <개인정보보호법>은 개인정보를 극단적으로 침해하는 기업, 플랫폼 등 주체에 대해 <반독점법(反垄断法)> 이후 중국에서 두 번째로 영업액의 일정 비율로 과태료를 산정하는 방식으로 행정처벌을 부과하는 법률로, 더욱 완전해지고 더욱 엄격해진 법률이라고 할 수 있다. 이 때문에 향후 개인정보 처리가 요구되는 기업은 개인정보 처리에 있어 인력과 비용을 보다 확실하게 들임으로써, 진행하고자 하는 사업에 차질 또는 제재가 생기지 않도록 각별히 유의할 필요가 있다.
