일본과 중국의 2019년 개인정보보호 관련 법규 제정 및 정책 추진현황
2020 개인정보보호 연차보고서에서는 아시아의 개인정보보호 동향도 소개하고 있다. 아시아 중 △일본 △중국의 개인정보보호 동향을 살펴본다.
[이미지=utoimage]
일본
1. 개인정보보호법 개정안
일본은 2015년 개인정보보호법 개정 시 개인정보보호에 관한 국제적 동향, 정보통신기술의 발전, 이에 따른 개인정보를 활용한 새로운 산업의 창출 및 발전 상황 등을 고려해 개인정보보호법을 3년마다 재검토한다는 내용을 부칙(제12조 제3항)으로 규정한 바 있다. 2019년 6월 세계 최첨단 디지털 국가 창조 선언에도 국내 사업자와 해외 사업자의 대등한 조건을 확보하기 위한 역외 적용이나 페널티의 기본 방향, 국외이전에 따른 위험에 대한 대응을 포함한 개인정보보호법의 운용과 제도에 대한 검토를 실시해 2020년 조기 법안 제출을 목표로 한다는 의지를 밝힌 바 있다.
이에 따라 일본 개인정보보호위원회는 2020년 개인정보보호법 개정을 목표로 2019년 12월 13일 개인정보보호법 개정안을 발표했다. 이 개정안에는 이용 정지 및 삭제 권리 도입, 공시의 디지털화, 옵트아웃(Opt-out) 규제 강화, 정보 유출 보고 의무화, 가명화 정보 허용을 통한 데이터 활용 향상, 개인 데이터 제공처 기준 명확화, 법률의 역외 적용 등에 대한 기본 방향을 제시했다.
2. 정보신탁기능의 인정에 관한 지침 개정
일본은 신뢰성 향상을 위한 데이터 유통 규칙 정비를 위해 PDS(Personal Data Store)·정보은행 등을 추진하고 있다. PDS·정보은행은 일본형 개인 데이터 활용 구조로서 관광이나 금융(핀테크), 의료·간호·헬스케어, 인재 등 다양한 분야에서 개인 데이터를 본인이 자신의 의사에 근거해 활용하는 것을 지원하고 그 편익을 본인에게 환원하고 있다. 개인정보를 포함한 데이터의 원활한 유통을 위해서는 이용자와 사회의 신뢰를 얻고 개인정보 자기결정권 확보가 필요하기에 총무성과 경제산업성은 ‘정보신탁기능 인정 체계의 추진 방향에 관한 검토회(이하 검토회)’를 구성했고, 정보신탁기능과 데이터를 수집·활용할 수 있는 기술적·제도적 사항을 논의했다. 검토회에서 논의된 사항을 정리해 2018년 6월 26일 ‘정보신탁기능의 인정에 관한 지침 ver 1.0’을 발표했다.
해당 지침을 토대로 개인정보 자기결정권 확보 및 신뢰를 확보하기 위해 ‘정보은행 인정제도’를 추진했고, 정보은행 인정 및 활성화는 IT 단체연맹에서 추진하고 있다. 최근 의료데이터와 금융데이터의 유통·활용에 대한 논의가 지속되면서 2019년 10월 8일 ‘정보신탁기능의 인정에 관한 지침 ver 2.0’을 발표했다. 변경된 사항 중에는 인정 대상에 여러 법인이나 사업자가 공동으로 정보은행을 운영하는 것도 고려해 포함했고, 개인정보를 제공받는 제3자가 프라이버시 마크(P 마크)나 ISMS 인증이 없어도 정보보안과 프라이버시에 관한 구체적 기준을 준수한다면 인정 기준에 준하는 것으로 인정하기로 했다. 또한 정보은행의 정의를 검토해 개인정보를 안전하게 이용 및 활용한다는 목적을 기반으로 재정의했다.
3. 디지털 플랫폼 사업자의 우월적 지위 남용에 대한 대응 방침
일본 공정거래위원회는 2019년 12월 17일 디지털 플랫폼 사업자와 개인정보를 제공하는 소비자의 거래 시 우월적 지위 남용과 관련된 ‘독점금지법’ 적용을 위한 규제 대상과 행위 등을 규정한 대응 방침을 발표했다. 디지털 플랫폼 사업자의 우월적 지위란 소비자가 디지털 플랫폼 사업자로부터 부당한 취급을 받아도 소비자가 해당 디지털 플랫폼 사업자가 제공하는 서비스를 이용하기 위해서는 이를 받아들이지 않을 수 없는 경우에 발생하는 경쟁 지위를 말한다.
이러한 경쟁 지위와 관련해 디지털 플랫폼 사업자의 다음과 같은 행위는 우월적 지위 남용에 해당한다. △이용 목적을 소비자에게 알리지 않고 개인정보를 취득하는 것 △이용 목적 달성에 필요한 범위를 넘어 소비자의 뜻에 반해 개인정보를 취득하는 것 △개인정보의 안전 관리를 위해 필요하고 적절한 조치를 강구하지 않고 개인정보를 취득하는 것 △자기가 제공하는 서비스를 계속해서 이용하는 소비자에 대해 소비자가 서비스를 이용하기 위한 대가와 제공 중인 개인정보 등과 별도로 개인정보 등 기타 경제상의 이익을 제공하게 하는 것 △이용 목적 달성에 필요한 범위를 넘어 소비자의 뜻에 반해 개인정보를 이용하는 것 △개인정보의 안전 관리를 위해 필요하고 적절한 조치를 강구하지 않고 개인정보를 이용하는 것이다.
4. 오사카 트랙(Osaka Track)
일본이 발표한 세계 최첨단 디지털 국가 창조 선언·관민 데이터 활용 추진 기본계획에는 프라이버시나 보안, 지적재산권에 관한 신뢰를 확보하면서 국제적으로 자유로운 데이터 유통을 촉진하는 것을 목표로 하는 ‘신뢰 기반 데이터 자유 이동(Data Free Flow With Trust, 이하 DFFT)’ 콘셉트의 실현을 도모하기 위해 일본이 의장국을 맡은 G20 등을 활용해 각국의 공통 인식을 양성하는 것을 포함하고 있다.
또한, EU-일본 간의 적정성 평가 결정(Adequacy Decisions)에 따른 상호 개인정보 이전 및 APEC의 국경 간 프라이버시 규칙(CBPR, Cross Border Privacy Rules) 추진과 같이 국가 간 협정 등을 통해 개인정보보호 규칙의 상호운용을 실현하기 위한 각국 개인정보보호 당국 간의 대화를 추진하는 것을 목표로 하고 있다. 이러한 국제적인 데이터 유통 시스템 구축을 위해 2019년 6월 28일 오사카에서 열린 G20정상회담에서 일본은 DFFT의 개념을 전하며, ‘데이터가 프라이버시를 침해하지 않는 형태로 국가 간 자유롭게 유통된다면 세계 성장으로도 이어질 것이다’라는 취지로 데이터 유통과 전자상거래에 관한 규칙 제정을 위한 ‘오사카 트랙(Osaka Track)’을 제안했다. 선진국과 개발도상국의 데이터 양극화 문제·자국 데이터 보호 문제 등을 우려한 인도·인도네시아·남아프리카 등은 오사카 트랙의 내용을 재확인하는 성명서에 동의하지 않았지만, 우리나라를 포함한 미국·중국 등 24개국은 공식 서명했다. 이에 따라 국가 간 데이터 이동 등과 관련한 국제표준 도입 등에 대한 논의가 활발해질 것으로 전망하고 있다.
[이미지=utoimage]
중국
1. 개인정보 규제 전략
중국은 기본적으로 통합된 개인정보보호법 제정을 유보하면서 데이터 기반 산업 활성화를 도모하고 있는 듯하다. 그러나 해외 기업의 경우 엄격한 안전평가 등을 통해 데이터를 최대한 중국 내에 저장하도록 해 데이터의 국외 반출을 철저히 제한하겠다는 강경한 태도를 보이고 있다. 또한, 최근 자국 내에서의 인터넷 통제 및 개인정보 유출 및 침해에 대한 보호를 강화하려는 움직임을 보이고 있다. 이는 EU 등의 글로벌 스탠더드에 발맞춰 개인정보보호 및 사이버보안에 관한 구체적인 법률을 제정하고, 그 집행력 또한 강화하고 있는 전략으로 보인다.
2. 인터넷 개인정보 안전보호 지침 발표
2019년 4월 중국 공안부는 사이버 보안 및 개인의 정당한 이익을 보호하고 개인정보와 관련된 사이버 범죄를 효과적으로 방지하기 위해 ‘인터넷 개인정보보호 가이드라인’ 최종안을 발표했다. 법적 구속력이 있는 행정 지침은 아니며, 참고자료로 활용할 수 있도록 모범 사례를 제시한 것이다.
3. 데이터 안전 관리방법 발표
2019년 5월 28일 중국 국가인터넷정보판공실(CAC, Cyberspace Administration of China)은 “국가안보와 사회 공공이익을 수호하고 사이버공간에서 공민·법인과 기타 조직의 합법권익을 보호하며 개인정보와 중요 데이터의 보안을 보장하기 위해 네트워크 안전법 등에 근거해 ‘데이터 안전관리 방법’을 제정했다”고 밝히며 초안을 발표했다. 이는 인터넷을 통해 서비스를 제공하는 기업에 적용되며, 주요 내용으로 네트워크 운영자의 데이터 수집(12개 조항), 데이터 처리 및 이용 시 준수사항(14개 조항)과 데이터 안전 감독 관리 사항(5개 조항)을 명시하고 있다.
4. 개인정보 국외이전 안전성 평가 방법 발표
2017년 6월 1일 시행된 네트워크 안전법에는 개인정보와 중요 데이터 국외 반출에 관한 규정이 있었으나 세계 각국 상공단체의 시행 연기 청원으로 시행이 유예됐다가 2019년 1월 1일부터 본격 시행됐다. 2019년 6월 13일 중국 국가인터넷정보판공실은 네트워크 안전법의 하위 규정인 ‘개인정보 및 중요 데이터 국외이전 안전평가방법(2017.4.11.)’의 국외이전 내용을 보강해 ‘개인정보 국외이전 안전성 평가 방법’을 발표하고 한 달 동안 의견 수렴을 진행했다. 네트워크 운영자가 개인정보 국외이전 시 취해야 하는 보안조치 사항을 명시하고 있으며, 중국 본토 외의 홍콩·마카오·대만도 국외에 해당한다. 국외이전을 위한 안전성 평가제도 도입, 정기 보고, 위반 시 국외이전 중단 등 전반적으로 규제가 대폭 강화된 것에 반해 정보주체의 사전 동의 의무는 통지를 받는 것으로 완화됐다.
5. 아동 개인정보의 사이버 보호에 관한 규정 신설
2019년 8월 22일 중국 국가인터넷정보판공실은 아동과 관련한 데이터 보호 규정인 ‘아동 개인정보의 사이버 보호에 관한 규정(Provisions on Cyber Protection of Personal Information of Children, 이하 PCPPIC)’을 신설하고 10월 1일부터 시행했다. PCPPIC는 중국 네트워크 안전법, 미성년자보호법 등의 법률에 근거하고 있다. PCPPIC의 명시적 목적은 아동의 개인정보를 보호하고 건전한 성장을 촉진하는 것으로, 중국 역내의 14세 미만 아동에게 적용된다. 아동의 개인정보 수집, 저장, 활용, 전송, 공개에 대한 매우 높은 수준의 요건과 네트워크 운영자 책임에 대한 요건을 규정하고 있다. PCPPIC는 네트워크 안전법보다 강력하게 아동 개인정보보호를 요구하고 있다. 해당 규정은 네트워크 안전법 상의 개인정보의 수집·사용에 관한 일반적 원칙(합법, 정당, 필요성 원칙)에 비해 아동 개인정보보호에 대해서는 정당한 필요, 지정동의, 명확한 목적, 안전의 보장, 법에 근거한 이용의 5대 원칙을 규정해 아동 개인정보보호에 있어서 한층 더 높은 수준의 기본원칙을 제시했다는 평가를 받고 있다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
2020 개인정보보호 연차보고서에서는 아시아의 개인정보보호 동향도 소개하고 있다. 아시아 중 △일본 △중국의 개인정보보호 동향을 살펴본다.
[이미지=utoimage]
일본
1. 개인정보보호법 개정안
일본은 2015년 개인정보보호법 개정 시 개인정보보호에 관한 국제적 동향, 정보통신기술의 발전, 이에 따른 개인정보를 활용한 새로운 산업의 창출 및 발전 상황 등을 고려해 개인정보보호법을 3년마다 재검토한다는 내용을 부칙(제12조 제3항)으로 규정한 바 있다. 2019년 6월 세계 최첨단 디지털 국가 창조 선언에도 국내 사업자와 해외 사업자의 대등한 조건을 확보하기 위한 역외 적용이나 페널티의 기본 방향, 국외이전에 따른 위험에 대한 대응을 포함한 개인정보보호법의 운용과 제도에 대한 검토를 실시해 2020년 조기 법안 제출을 목표로 한다는 의지를 밝힌 바 있다.
이에 따라 일본 개인정보보호위원회는 2020년 개인정보보호법 개정을 목표로 2019년 12월 13일 개인정보보호법 개정안을 발표했다. 이 개정안에는 이용 정지 및 삭제 권리 도입, 공시의 디지털화, 옵트아웃(Opt-out) 규제 강화, 정보 유출 보고 의무화, 가명화 정보 허용을 통한 데이터 활용 향상, 개인 데이터 제공처 기준 명확화, 법률의 역외 적용 등에 대한 기본 방향을 제시했다.
2. 정보신탁기능의 인정에 관한 지침 개정
일본은 신뢰성 향상을 위한 데이터 유통 규칙 정비를 위해 PDS(Personal Data Store)·정보은행 등을 추진하고 있다. PDS·정보은행은 일본형 개인 데이터 활용 구조로서 관광이나 금융(핀테크), 의료·간호·헬스케어, 인재 등 다양한 분야에서 개인 데이터를 본인이 자신의 의사에 근거해 활용하는 것을 지원하고 그 편익을 본인에게 환원하고 있다. 개인정보를 포함한 데이터의 원활한 유통을 위해서는 이용자와 사회의 신뢰를 얻고 개인정보 자기결정권 확보가 필요하기에 총무성과 경제산업성은 ‘정보신탁기능 인정 체계의 추진 방향에 관한 검토회(이하 검토회)’를 구성했고, 정보신탁기능과 데이터를 수집·활용할 수 있는 기술적·제도적 사항을 논의했다. 검토회에서 논의된 사항을 정리해 2018년 6월 26일 ‘정보신탁기능의 인정에 관한 지침 ver 1.0’을 발표했다.
해당 지침을 토대로 개인정보 자기결정권 확보 및 신뢰를 확보하기 위해 ‘정보은행 인정제도’를 추진했고, 정보은행 인정 및 활성화는 IT 단체연맹에서 추진하고 있다. 최근 의료데이터와 금융데이터의 유통·활용에 대한 논의가 지속되면서 2019년 10월 8일 ‘정보신탁기능의 인정에 관한 지침 ver 2.0’을 발표했다. 변경된 사항 중에는 인정 대상에 여러 법인이나 사업자가 공동으로 정보은행을 운영하는 것도 고려해 포함했고, 개인정보를 제공받는 제3자가 프라이버시 마크(P 마크)나 ISMS 인증이 없어도 정보보안과 프라이버시에 관한 구체적 기준을 준수한다면 인정 기준에 준하는 것으로 인정하기로 했다. 또한 정보은행의 정의를 검토해 개인정보를 안전하게 이용 및 활용한다는 목적을 기반으로 재정의했다.
3. 디지털 플랫폼 사업자의 우월적 지위 남용에 대한 대응 방침
일본 공정거래위원회는 2019년 12월 17일 디지털 플랫폼 사업자와 개인정보를 제공하는 소비자의 거래 시 우월적 지위 남용과 관련된 ‘독점금지법’ 적용을 위한 규제 대상과 행위 등을 규정한 대응 방침을 발표했다. 디지털 플랫폼 사업자의 우월적 지위란 소비자가 디지털 플랫폼 사업자로부터 부당한 취급을 받아도 소비자가 해당 디지털 플랫폼 사업자가 제공하는 서비스를 이용하기 위해서는 이를 받아들이지 않을 수 없는 경우에 발생하는 경쟁 지위를 말한다.
이러한 경쟁 지위와 관련해 디지털 플랫폼 사업자의 다음과 같은 행위는 우월적 지위 남용에 해당한다. △이용 목적을 소비자에게 알리지 않고 개인정보를 취득하는 것 △이용 목적 달성에 필요한 범위를 넘어 소비자의 뜻에 반해 개인정보를 취득하는 것 △개인정보의 안전 관리를 위해 필요하고 적절한 조치를 강구하지 않고 개인정보를 취득하는 것 △자기가 제공하는 서비스를 계속해서 이용하는 소비자에 대해 소비자가 서비스를 이용하기 위한 대가와 제공 중인 개인정보 등과 별도로 개인정보 등 기타 경제상의 이익을 제공하게 하는 것 △이용 목적 달성에 필요한 범위를 넘어 소비자의 뜻에 반해 개인정보를 이용하는 것 △개인정보의 안전 관리를 위해 필요하고 적절한 조치를 강구하지 않고 개인정보를 이용하는 것이다.
4. 오사카 트랙(Osaka Track)
일본이 발표한 세계 최첨단 디지털 국가 창조 선언·관민 데이터 활용 추진 기본계획에는 프라이버시나 보안, 지적재산권에 관한 신뢰를 확보하면서 국제적으로 자유로운 데이터 유통을 촉진하는 것을 목표로 하는 ‘신뢰 기반 데이터 자유 이동(Data Free Flow With Trust, 이하 DFFT)’ 콘셉트의 실현을 도모하기 위해 일본이 의장국을 맡은 G20 등을 활용해 각국의 공통 인식을 양성하는 것을 포함하고 있다.
또한, EU-일본 간의 적정성 평가 결정(Adequacy Decisions)에 따른 상호 개인정보 이전 및 APEC의 국경 간 프라이버시 규칙(CBPR, Cross Border Privacy Rules) 추진과 같이 국가 간 협정 등을 통해 개인정보보호 규칙의 상호운용을 실현하기 위한 각국 개인정보보호 당국 간의 대화를 추진하는 것을 목표로 하고 있다. 이러한 국제적인 데이터 유통 시스템 구축을 위해 2019년 6월 28일 오사카에서 열린 G20정상회담에서 일본은 DFFT의 개념을 전하며, ‘데이터가 프라이버시를 침해하지 않는 형태로 국가 간 자유롭게 유통된다면 세계 성장으로도 이어질 것이다’라는 취지로 데이터 유통과 전자상거래에 관한 규칙 제정을 위한 ‘오사카 트랙(Osaka Track)’을 제안했다. 선진국과 개발도상국의 데이터 양극화 문제·자국 데이터 보호 문제 등을 우려한 인도·인도네시아·남아프리카 등은 오사카 트랙의 내용을 재확인하는 성명서에 동의하지 않았지만, 우리나라를 포함한 미국·중국 등 24개국은 공식 서명했다. 이에 따라 국가 간 데이터 이동 등과 관련한 국제표준 도입 등에 대한 논의가 활발해질 것으로 전망하고 있다.
[이미지=utoimage]
중국
1. 개인정보 규제 전략
중국은 기본적으로 통합된 개인정보보호법 제정을 유보하면서 데이터 기반 산업 활성화를 도모하고 있는 듯하다. 그러나 해외 기업의 경우 엄격한 안전평가 등을 통해 데이터를 최대한 중국 내에 저장하도록 해 데이터의 국외 반출을 철저히 제한하겠다는 강경한 태도를 보이고 있다. 또한, 최근 자국 내에서의 인터넷 통제 및 개인정보 유출 및 침해에 대한 보호를 강화하려는 움직임을 보이고 있다. 이는 EU 등의 글로벌 스탠더드에 발맞춰 개인정보보호 및 사이버보안에 관한 구체적인 법률을 제정하고, 그 집행력 또한 강화하고 있는 전략으로 보인다.
2. 인터넷 개인정보 안전보호 지침 발표
2019년 4월 중국 공안부는 사이버 보안 및 개인의 정당한 이익을 보호하고 개인정보와 관련된 사이버 범죄를 효과적으로 방지하기 위해 ‘인터넷 개인정보보호 가이드라인’ 최종안을 발표했다. 법적 구속력이 있는 행정 지침은 아니며, 참고자료로 활용할 수 있도록 모범 사례를 제시한 것이다.
3. 데이터 안전 관리방법 발표
2019년 5월 28일 중국 국가인터넷정보판공실(CAC, Cyberspace Administration of China)은 “국가안보와 사회 공공이익을 수호하고 사이버공간에서 공민·법인과 기타 조직의 합법권익을 보호하며 개인정보와 중요 데이터의 보안을 보장하기 위해 네트워크 안전법 등에 근거해 ‘데이터 안전관리 방법’을 제정했다”고 밝히며 초안을 발표했다. 이는 인터넷을 통해 서비스를 제공하는 기업에 적용되며, 주요 내용으로 네트워크 운영자의 데이터 수집(12개 조항), 데이터 처리 및 이용 시 준수사항(14개 조항)과 데이터 안전 감독 관리 사항(5개 조항)을 명시하고 있다.
4. 개인정보 국외이전 안전성 평가 방법 발표
2017년 6월 1일 시행된 네트워크 안전법에는 개인정보와 중요 데이터 국외 반출에 관한 규정이 있었으나 세계 각국 상공단체의 시행 연기 청원으로 시행이 유예됐다가 2019년 1월 1일부터 본격 시행됐다. 2019년 6월 13일 중국 국가인터넷정보판공실은 네트워크 안전법의 하위 규정인 ‘개인정보 및 중요 데이터 국외이전 안전평가방법(2017.4.11.)’의 국외이전 내용을 보강해 ‘개인정보 국외이전 안전성 평가 방법’을 발표하고 한 달 동안 의견 수렴을 진행했다. 네트워크 운영자가 개인정보 국외이전 시 취해야 하는 보안조치 사항을 명시하고 있으며, 중국 본토 외의 홍콩·마카오·대만도 국외에 해당한다. 국외이전을 위한 안전성 평가제도 도입, 정기 보고, 위반 시 국외이전 중단 등 전반적으로 규제가 대폭 강화된 것에 반해 정보주체의 사전 동의 의무는 통지를 받는 것으로 완화됐다.
5. 아동 개인정보의 사이버 보호에 관한 규정 신설
2019년 8월 22일 중국 국가인터넷정보판공실은 아동과 관련한 데이터 보호 규정인 ‘아동 개인정보의 사이버 보호에 관한 규정(Provisions on Cyber Protection of Personal Information of Children, 이하 PCPPIC)’을 신설하고 10월 1일부터 시행했다. PCPPIC는 중국 네트워크 안전법, 미성년자보호법 등의 법률에 근거하고 있다. PCPPIC의 명시적 목적은 아동의 개인정보를 보호하고 건전한 성장을 촉진하는 것으로, 중국 역내의 14세 미만 아동에게 적용된다. 아동의 개인정보 수집, 저장, 활용, 전송, 공개에 대한 매우 높은 수준의 요건과 네트워크 운영자 책임에 대한 요건을 규정하고 있다. PCPPIC는 네트워크 안전법보다 강력하게 아동 개인정보보호를 요구하고 있다. 해당 규정은 네트워크 안전법 상의 개인정보의 수집·사용에 관한 일반적 원칙(합법, 정당, 필요성 원칙)에 비해 아동 개인정보보호에 대해서는 정당한 필요, 지정동의, 명확한 목적, 안전의 보장, 법에 근거한 이용의 5대 원칙을 규정해 아동 개인정보보호에 있어서 한층 더 높은 수준의 기본원칙을 제시했다는 평가를 받고 있다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
