KOTRA 베이징무역관, 웹세미나 통해 우리나라 기업의 대응방안 제시
[보안뉴스 엄호식 기자] 중국 입법기관인 전인대 상무위가 지난 8월 20일 ‘개인정보보호법’을 통과시키고 11월 1일부터 본격적인 시행에 들어갔다. ‘개인정보보호법’은 중국 헌법에 의거해 제정한 개인정보 수집과 저장, 사용, 가공, 전송, 제공, 공개, 삭제 및 보호 전반에 대해 포괄적으로 규정한 개인정보 보호제도의 기본법이다. 올해 1월 1일부터 시행한 ‘민법전’에서 규정한 프라이버시와 개인정보를 민법적으로 보호한다는 점에서 큰 의미가 있다.
[이미지=utoimage]
이에 KOTRA 베이징무역관은 ‘중국 개인정보보호법에 대한 우리 기업의 대응방안‘이라는 주제로 웹 세미나를 개최했다. 이 세미나에서 중국 정보통신기술 관련법 전문가인 전지홍 중룬 법률사무소 파트너 변호사가 법 내용을 설명하고, 우리 기업의 대응방안을 제시했다.
중국의 ‘개인정보보호법’은 2017년 6월 1일부로 시행해 온 ‘사이버보안법’과 2021년 6월 10일 통과되고 9월 1일부터 시행한 ‘데이터안전법’과 함께 중국 사이버 관리 및 데이터 보호의 트로이카 시대를 열었다. 이 3개 법안을 통해 중국 데이터 정보보호 법률의 뼈대가 완성된 것이다.
개인정보보호법은 개인정보를 보호함에 있어 ‘식별’을 강조한다. 법 제4조는 ‘이미 식별됐거나 식별이 가능한 자연인과 관련된 각종 정보’를 보호한다고 명시했다. 또, ‘전자 또는 기타 방식’ 등 기록 방식에 구애받지 않지만 익명 처리된 정보는 제외한다고 규정했다.
또한, 개인정보 분류에 대한 시대적 요구를 반영해 생체인식정보 등 ‘민감한 개인정보’를 중국 입법에 처음으로 등장시켰다. 민감한 개인정보는 유출되거나 불법 사용될 경우 자연인의 인격적 존엄성이 침해되거나 신체적이나 금전적 안전에 위해를 받을 수 있는 개인정보로 생체인식정보, 종교적 신념, 특정 신분, 의료건강정보, 금융계좌, 행적 등을 비롯해 만 14세 미만 미성년자의 개인정보를 포함해 정보 취급자들이 각별히 유의해야 한다.
개인정보 취급자는 개인정보 취급활동에서 취급목적, 취급방식 등 개인정보의 취급사항을 자율적으로 결정하는 조직 또는 개인이라고 규정했다. 중국 개인정보보호법에서 말하는 개인정보 취급자는 EU의 GDPR상의 제어자(Controller)나 취급자(Provessor)와 조금씩 다르지만 제어자에 조금 더 가깝다고 할 수 있다.
여기에서 ‘제어자’는 단독 결정이든 공동 결정이든 개인정보 처리 목적과 방식을 결정하는 자연인이나 법인, 공공기관 또는 기타 실체를 뜻하며, ‘공급자’는 정보 제어자를 위해 개인정보를 취급하는 자연인이나 법인, 공공기관 또는 기타 실체를 뜻한다.
중국 개인정보보호법, 역외 적용 원칙 도입
중국은 해외 입법 경험을 살려 해외에서 중국 내 수집한 개인정보를 취급할 경우에도 동법의 적용을 받도록 ‘역외 적용 원칙’을 도입했다.
중국 내에서 자연인 정보에 대한 취급활동에 적용하는 ‘속지주의 원칙’에 ‘유한한 역외효력’을 더한 것이 특징이다. 즉, △중국 내 자연인들에게 상품·서비스 제공 △중국 내 자연인의 행동 분석 및 평가 △기타 법률 법규가 규정한 상황에서 개인정보 역외 취급자는 중국 내 전문기관 또는 대표를 지정하고 관련 정보 및 취급상황을 관리감독기관에 보고하도록 했다.
[이미지=utoimage]
단독 동의와 동의 철회 규정
법안은 개인정보 취급 동의 절차와 다중화로 개인정보 처리의 합법적 기반을 마련했다. 제13조에 ‘본법 기타 관련 규정에 따르면, 개인정보의 처리는 반드시 개인의 동의를 얻어야 하지만, 전항 제2항에서 제7항 사이의 규정이 있는 경우에는 개인의 동의를 얻을 필요가 없다’고 규정했다. 또, ‘계약 체결과 이행, 법에 따라 제정된 노동규약과 단체 계약의 실시에 따른 인력자원관리가 필요하다’고 명시함으로써 인사관리에 필요한 개인정보 취급을 규범화했다.
그러나 ‘돌발적인 공공위생사태 발생 긴급 상황 시 생명건강 재산의 보호 수요에 따라 진행’하도록 예외 조항도 뒀다. 법 제41조에 따라 인터넷 사업자는 개인정보 수집 시 반드시 적법하고 정당한 원칙에 따라 수집·이용규칙을 공개해야 하고 정보의 수집·이용 목적과 방식, 범위를 명시하며 제공자의 동의를 받아야 한다.
법안은 제공자의 동의철회권도 보장했다. 제15조에 의거, 개인은 개인정보 수집·이용을 철회할 수 있으며 개인정보 취급자가 동의철회 방식을 제공하는 의무를 진다. 단, 개인의 동의철회는 철회 전 개인의 동의에 기초한 개인정보 처리 활동의 효력에 영향을 미치지 않는다.
여기에서 각별히 유의해야할 것이 ‘단독 동의’다. 이는 개인정보 취급자가 개인정보를 타인에게 제공할 경우에 적용되는데 단독 동의는 △전문적인 조항, 예컨대 수집과 처리방식, 개인에 대한 영향 등을 명시해 알권리를 충분히 보장해야 하며 △동의 여부를 개인이 결정할 수 있도록 해야 한다. 예를 들어 공공장소에 CCTV를 설치해 취득한 개인정보는 공공안전보호 목적으로 공공기관에 제공될 경우 ‘단독 동의’를 취득할 필요가 없지만, 다른 용도로 쓰인다면 반드시 제공자로부터 단독 동의를 받아야 한다.
개인정보 연대 책임지는 ‘공동 취급자’, 위탁자와 수탁자 보안의무도 강화
법안은 개인정보 공동 취급자라는 개념을 도입해 이들이 연대 책임을 지도록 했다. 예를 들면, 소비자가 온라인 쇼핑몰에서 상품을 구매했을 경우 플랫폼에 입주한 기업과 플랫폼이 ‘공동 취급자’가 된다. 이들은 개인정보 취급행위에 대한 연대 책임을 져야 한다는 것이다. 특히, 플랫폼은 정기적으로 개인정보 보호상황을 상시 점검하고 관련 부처에 보고하도록 보호 의무를 강화했다.
법안은 개인정보 위탁자와 수탁자의 정보보안 의무도 강조했다. 게임사가 클라우드에 사용자들의 개인정보를 저장했을 경우라면 게임사가 위탁자, 클라우드 업체가 수탁자가 된다. 수탁자는 위탁 취급의 목적과 기간, 처리방식, 개인정보의 종류, 보호조치, 쌍방의 권리와 의무를 약정하고 약정에 따라 취급해야 하며 약정의 취급목적과 방식 등을 벗어나서는 안 된다. 또, 위탁계약이 미발효, 무효화, 중단, 종료된 경우 수탁자는 개인정보를 남겨둘 수 없으며 반드시 반환하거나 삭제해야 한다.
신기술 응용 및 해외 제공 조항도 추가
개인정보를 인공지능 시스템과 알고리즘 등 기술적 수단으로 취급할 경우 개인에게 불이익을 안길 수 있다. 최근 일부 기업이 개인정보 분석 및 빅데이터를 통해 소비자에게 차별적 가격을 제시하는 등의 사건이 발생했다. ‘개인정보보호법’은 이를 막기 위해 △기술적 수단을 활용한 의사결정의 투명성 보장 △빅데이터를 활용한 차별 대우 금지 등의 조항을 추가했다.
제24조에 ‘자동화된 의사결정방식에 의거해 정보 전송과 상업마케팅을 진행할 경우 그 개인을 특정하지 않을 수 있는 옵션이나 거절할 수 있는 방식을 동시에 제공해야 한다’라고 명시했다.
외자기업의 경우 가장 관심을 보인 부분이 ‘중국 내에서 취득한 개인정보의 해외 제공’ 문제다. 이에 ‘개인정보보호법’은 중국판 개인정보 해외 제공 규칙도 만들었다. 이에 따르면 중국 내에서 취득한 개인정보를 해외로 제공할 수 있지만 ①‘해외’의 개인정보보호 수준이 중국보다 낮아서는 안 된다 ②반드시 개인의 단독 동의를 받아야 한다 ③사전에 개인정보 보호 영향 평가를 실시해야 한다는 3가지 요건을 만족시켜야 한다.
개인정보를 해외로 제공함에 있어 취급자에 따른 규제 강도도 다르다. 중요 정보 인프라 운영자(CIIO)일 경우엔 중국 사이버당국의 심사를 받아야 한다. 또, 개인정보 취급 수량이 많을 경우에도 당국의 규제 대상이 될 수 있다. 이 수량에 대해 아직 구체적인 규정이 확정되진 않았지만 대략 10만명에서 100만명이 될 것으로 전망된다.
또한, 중국 내에서 취득한 개인정보도 주체의 성격과 취급 수량에 따라 중국내 저장 여부가 결정된다. CIIO거나 수량이 당국의 수량 규제를 벗어났을 경우 반드시 중국 내에 저장을 해야 하지만 그렇지 않을 경우에는 중국 내에 저장해야 한다는 규정을 적용받지 않는다.
기업의 보안성 강화 위해 숙달된 현지 전문가 필요
KOTRA 베이징무역관 측은 중국의 ‘개인정보보호법’ 시행에 따라 우리 기업이 각별하게 주의해야 한다고 조언했다. 그 이유는 중국의 ‘개인정보보호법’은 EU의 GDPR보다 제재 수위가 높다고 할 수 있기 때문이다. 사안이 심각한 경우, 중국의 ‘개인정보보호법’은 GDPR과 마찬가지로 기업 최대 매출 4~5%의 벌금을 매길 수 있지만 여기에 더해 ‘영업·경영 허가증 취소’도 가능하도록 규정했기 때문이다.
또, 중국 공공이익을 해쳤을 경우 해당 기업을 ‘블랙리스트’에 올리거나 맞대응 조치가 가능하도록 했기 때문에 CIIO나 개인정보의 해외 제공량이 많은 기업은 각별히 유의해야 한다고 설명했다. 마지막으로 기업의 보안성 강화를 위해서는 반드시 숙달된 보안전문가 육성이 필요한데, 사이버보안 책임자 중에서도 특히, 중요 정보 인프라 시설을 운영하는 경우에는 해외 제공 등의 업무를 처리함에 있어서 외국인보다 중국인이 더 적합하다고 조언했다.
[엄호식 기자(eomhs@boannews.com)]
[보안뉴스 엄호식 기자] 중국 입법기관인 전인대 상무위가 지난 8월 20일 ‘개인정보보호법’을 통과시키고 11월 1일부터 본격적인 시행에 들어갔다. ‘개인정보보호법’은 중국 헌법에 의거해 제정한 개인정보 수집과 저장, 사용, 가공, 전송, 제공, 공개, 삭제 및 보호 전반에 대해 포괄적으로 규정한 개인정보 보호제도의 기본법이다. 올해 1월 1일부터 시행한 ‘민법전’에서 규정한 프라이버시와 개인정보를 민법적으로 보호한다는 점에서 큰 의미가 있다.
[이미지=utoimage]
이에 KOTRA 베이징무역관은 ‘중국 개인정보보호법에 대한 우리 기업의 대응방안‘이라는 주제로 웹 세미나를 개최했다. 이 세미나에서 중국 정보통신기술 관련법 전문가인 전지홍 중룬 법률사무소 파트너 변호사가 법 내용을 설명하고, 우리 기업의 대응방안을 제시했다.
중국의 ‘개인정보보호법’은 2017년 6월 1일부로 시행해 온 ‘사이버보안법’과 2021년 6월 10일 통과되고 9월 1일부터 시행한 ‘데이터안전법’과 함께 중국 사이버 관리 및 데이터 보호의 트로이카 시대를 열었다. 이 3개 법안을 통해 중국 데이터 정보보호 법률의 뼈대가 완성된 것이다.
개인정보보호법은 개인정보를 보호함에 있어 ‘식별’을 강조한다. 법 제4조는 ‘이미 식별됐거나 식별이 가능한 자연인과 관련된 각종 정보’를 보호한다고 명시했다. 또, ‘전자 또는 기타 방식’ 등 기록 방식에 구애받지 않지만 익명 처리된 정보는 제외한다고 규정했다.
또한, 개인정보 분류에 대한 시대적 요구를 반영해 생체인식정보 등 ‘민감한 개인정보’를 중국 입법에 처음으로 등장시켰다. 민감한 개인정보는 유출되거나 불법 사용될 경우 자연인의 인격적 존엄성이 침해되거나 신체적이나 금전적 안전에 위해를 받을 수 있는 개인정보로 생체인식정보, 종교적 신념, 특정 신분, 의료건강정보, 금융계좌, 행적 등을 비롯해 만 14세 미만 미성년자의 개인정보를 포함해 정보 취급자들이 각별히 유의해야 한다.
개인정보 취급자는 개인정보 취급활동에서 취급목적, 취급방식 등 개인정보의 취급사항을 자율적으로 결정하는 조직 또는 개인이라고 규정했다. 중국 개인정보보호법에서 말하는 개인정보 취급자는 EU의 GDPR상의 제어자(Controller)나 취급자(Provessor)와 조금씩 다르지만 제어자에 조금 더 가깝다고 할 수 있다.
여기에서 ‘제어자’는 단독 결정이든 공동 결정이든 개인정보 처리 목적과 방식을 결정하는 자연인이나 법인, 공공기관 또는 기타 실체를 뜻하며, ‘공급자’는 정보 제어자를 위해 개인정보를 취급하는 자연인이나 법인, 공공기관 또는 기타 실체를 뜻한다.
중국 개인정보보호법, 역외 적용 원칙 도입
중국은 해외 입법 경험을 살려 해외에서 중국 내 수집한 개인정보를 취급할 경우에도 동법의 적용을 받도록 ‘역외 적용 원칙’을 도입했다.
중국 내에서 자연인 정보에 대한 취급활동에 적용하는 ‘속지주의 원칙’에 ‘유한한 역외효력’을 더한 것이 특징이다. 즉, △중국 내 자연인들에게 상품·서비스 제공 △중국 내 자연인의 행동 분석 및 평가 △기타 법률 법규가 규정한 상황에서 개인정보 역외 취급자는 중국 내 전문기관 또는 대표를 지정하고 관련 정보 및 취급상황을 관리감독기관에 보고하도록 했다.
[이미지=utoimage]
단독 동의와 동의 철회 규정
법안은 개인정보 취급 동의 절차와 다중화로 개인정보 처리의 합법적 기반을 마련했다. 제13조에 ‘본법 기타 관련 규정에 따르면, 개인정보의 처리는 반드시 개인의 동의를 얻어야 하지만, 전항 제2항에서 제7항 사이의 규정이 있는 경우에는 개인의 동의를 얻을 필요가 없다’고 규정했다. 또, ‘계약 체결과 이행, 법에 따라 제정된 노동규약과 단체 계약의 실시에 따른 인력자원관리가 필요하다’고 명시함으로써 인사관리에 필요한 개인정보 취급을 규범화했다.
그러나 ‘돌발적인 공공위생사태 발생 긴급 상황 시 생명건강 재산의 보호 수요에 따라 진행’하도록 예외 조항도 뒀다. 법 제41조에 따라 인터넷 사업자는 개인정보 수집 시 반드시 적법하고 정당한 원칙에 따라 수집·이용규칙을 공개해야 하고 정보의 수집·이용 목적과 방식, 범위를 명시하며 제공자의 동의를 받아야 한다.
법안은 제공자의 동의철회권도 보장했다. 제15조에 의거, 개인은 개인정보 수집·이용을 철회할 수 있으며 개인정보 취급자가 동의철회 방식을 제공하는 의무를 진다. 단, 개인의 동의철회는 철회 전 개인의 동의에 기초한 개인정보 처리 활동의 효력에 영향을 미치지 않는다.
여기에서 각별히 유의해야할 것이 ‘단독 동의’다. 이는 개인정보 취급자가 개인정보를 타인에게 제공할 경우에 적용되는데 단독 동의는 △전문적인 조항, 예컨대 수집과 처리방식, 개인에 대한 영향 등을 명시해 알권리를 충분히 보장해야 하며 △동의 여부를 개인이 결정할 수 있도록 해야 한다. 예를 들어 공공장소에 CCTV를 설치해 취득한 개인정보는 공공안전보호 목적으로 공공기관에 제공될 경우 ‘단독 동의’를 취득할 필요가 없지만, 다른 용도로 쓰인다면 반드시 제공자로부터 단독 동의를 받아야 한다.
개인정보 연대 책임지는 ‘공동 취급자’, 위탁자와 수탁자 보안의무도 강화
법안은 개인정보 공동 취급자라는 개념을 도입해 이들이 연대 책임을 지도록 했다. 예를 들면, 소비자가 온라인 쇼핑몰에서 상품을 구매했을 경우 플랫폼에 입주한 기업과 플랫폼이 ‘공동 취급자’가 된다. 이들은 개인정보 취급행위에 대한 연대 책임을 져야 한다는 것이다. 특히, 플랫폼은 정기적으로 개인정보 보호상황을 상시 점검하고 관련 부처에 보고하도록 보호 의무를 강화했다.
법안은 개인정보 위탁자와 수탁자의 정보보안 의무도 강조했다. 게임사가 클라우드에 사용자들의 개인정보를 저장했을 경우라면 게임사가 위탁자, 클라우드 업체가 수탁자가 된다. 수탁자는 위탁 취급의 목적과 기간, 처리방식, 개인정보의 종류, 보호조치, 쌍방의 권리와 의무를 약정하고 약정에 따라 취급해야 하며 약정의 취급목적과 방식 등을 벗어나서는 안 된다. 또, 위탁계약이 미발효, 무효화, 중단, 종료된 경우 수탁자는 개인정보를 남겨둘 수 없으며 반드시 반환하거나 삭제해야 한다.
신기술 응용 및 해외 제공 조항도 추가
개인정보를 인공지능 시스템과 알고리즘 등 기술적 수단으로 취급할 경우 개인에게 불이익을 안길 수 있다. 최근 일부 기업이 개인정보 분석 및 빅데이터를 통해 소비자에게 차별적 가격을 제시하는 등의 사건이 발생했다. ‘개인정보보호법’은 이를 막기 위해 △기술적 수단을 활용한 의사결정의 투명성 보장 △빅데이터를 활용한 차별 대우 금지 등의 조항을 추가했다.
제24조에 ‘자동화된 의사결정방식에 의거해 정보 전송과 상업마케팅을 진행할 경우 그 개인을 특정하지 않을 수 있는 옵션이나 거절할 수 있는 방식을 동시에 제공해야 한다’라고 명시했다.
외자기업의 경우 가장 관심을 보인 부분이 ‘중국 내에서 취득한 개인정보의 해외 제공’ 문제다. 이에 ‘개인정보보호법’은 중국판 개인정보 해외 제공 규칙도 만들었다. 이에 따르면 중국 내에서 취득한 개인정보를 해외로 제공할 수 있지만 ①‘해외’의 개인정보보호 수준이 중국보다 낮아서는 안 된다 ②반드시 개인의 단독 동의를 받아야 한다 ③사전에 개인정보 보호 영향 평가를 실시해야 한다는 3가지 요건을 만족시켜야 한다.
개인정보를 해외로 제공함에 있어 취급자에 따른 규제 강도도 다르다. 중요 정보 인프라 운영자(CIIO)일 경우엔 중국 사이버당국의 심사를 받아야 한다. 또, 개인정보 취급 수량이 많을 경우에도 당국의 규제 대상이 될 수 있다. 이 수량에 대해 아직 구체적인 규정이 확정되진 않았지만 대략 10만명에서 100만명이 될 것으로 전망된다.
또한, 중국 내에서 취득한 개인정보도 주체의 성격과 취급 수량에 따라 중국내 저장 여부가 결정된다. CIIO거나 수량이 당국의 수량 규제를 벗어났을 경우 반드시 중국 내에 저장을 해야 하지만 그렇지 않을 경우에는 중국 내에 저장해야 한다는 규정을 적용받지 않는다.
기업의 보안성 강화 위해 숙달된 현지 전문가 필요
KOTRA 베이징무역관 측은 중국의 ‘개인정보보호법’ 시행에 따라 우리 기업이 각별하게 주의해야 한다고 조언했다. 그 이유는 중국의 ‘개인정보보호법’은 EU의 GDPR보다 제재 수위가 높다고 할 수 있기 때문이다. 사안이 심각한 경우, 중국의 ‘개인정보보호법’은 GDPR과 마찬가지로 기업 최대 매출 4~5%의 벌금을 매길 수 있지만 여기에 더해 ‘영업·경영 허가증 취소’도 가능하도록 규정했기 때문이다.
또, 중국 공공이익을 해쳤을 경우 해당 기업을 ‘블랙리스트’에 올리거나 맞대응 조치가 가능하도록 했기 때문에 CIIO나 개인정보의 해외 제공량이 많은 기업은 각별히 유의해야 한다고 설명했다. 마지막으로 기업의 보안성 강화를 위해서는 반드시 숙달된 보안전문가 육성이 필요한데, 사이버보안 책임자 중에서도 특히, 중요 정보 인프라 시설을 운영하는 경우에는 해외 제공 등의 업무를 처리함에 있어서 외국인보다 중국인이 더 적합하다고 조언했다.
[엄호식 기자(eomhs@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
