[보안뉴스 윤서정 기자] 사이버 공격이 고도화되면서 각국의 개인정보보호법이 강화되고 있다. 중국 정부 역시 자국민의 개인정보 및 데이터 역외이전 규제를 강화하기 위해 ‘데이터 역외이전 안전평가 방법(2022년 9월 1일 시행)’을 발표했다. 이 법에서는 개인정보 및 데이터 역외이전 시 처리 규모, 중요도 등에 따라 역외이전 규제방법 및 절차를 각각 다르게 규정하고 있어 중국 내 외국 기업들의 경영활동에 많은 어려움이 예상된다. 이와 함께 홍콩에서 취득한 개인정보의 역외 이전 문제 역시 관심의 대상이 되고 있다.
[이미지=Utoimage]
홍콩의 개인정보 관련 기본법은?
홍콩의 개인정보 관련 기본법 ‘개인정보(프라이버시)법령’(PDPO 법령 : Personal Data (Privacy) Ordinance)은 중국의 법령에 비해 비교적 단순하다. 1996년 12월 발효돼 2022년까지 총 2차례의 개정을 거쳤다, 개인정보 수집 최소화, 정보 수집과 처리 방식의 투명성, 공정성 및 안정성 준수를 목표로 제정돼 개인과 직·간접적으로 관련된 정보를 수집·보유·처리·사용하는 모든 민간과 공공 부문에 적용된다, 부칙으로 △개인정보의 수집 목적 및 방식 △정보의 정확성 및 보유 기간 △정보의 사용 △정보보호를 위한 보안 조치 △정보 사용·처리의 투명성 △정보 접속 및 수정의 6대 원칙을 규정하고 있다.
▲홍콩 개인정보보호법(PDPO 법령)의 6대 정보보호 원칙[자료=홍콩 개인정보 감독기구]
홍콩의 개인정보법령에서는 살아있는 개인과 연관돼 개인을 식별할 수 있는 정보로, 접속·처리가 가능한 형태로 존재하는 정보를 ‘개인정보’라고 정의한다. ‘정보 사용자(Data User)’란 개인정보에 대한 수집·보유·처리·사용을 결정하는 개인 또는 조직을, ‘정보 처리자(Data Processor)’란 제3자(정보 사용자)를 위해 정보를 취급·처리하는 개인 또는 조직을 의미한다.
▲홍콩 개인정보법 관련 용어 정의[자료=홍콩 개인정보 감독기구]
홍콩 내 개인정보 취급 시 준수해야 할 4가지 사항
홍콩 내 개인정보보호 추진을 위해 설립된 개인정보 감독기구(PCPD : Office of the Privacy Commissioner for Personal Data)는 홍콩 내의 모든 개인정보 취급과 관련해 다음 4가지 사항의 준수 여부를 중점적으로 감시한다.
① 정보 수집·처리에 대한 합법적인 목적과 방법 명시 : 홍콩 개인정보법령은 정보 사용자의 직업 및 활동과 필수적으로 연관된 개인정보만을 취급할 수 있다고 규정했다. 정보주체(개인)로부터 정보를 직접 수집하는 경우 수집 목적, 제공 필수 여부, 정보 수정의 권리와 방법을 정보주체에게 명확하게 고지해야 한다. 따라서 사업자는 기업 홈페이지, SNS, 라이브 채팅 등 서비스를 제공하는 모든 곳에 기업의 개인정보보호 규칙과 정보 수집의 목적을 업로드 해 대외 공개할 의무가 있다.
② 정보주체 동의 필수 : 홍콩 개인정보보호 정책의 또 하나의 원칙은 정보주체의 동의에 기초해 개인정보를 수집·이용·제공해야 한다는 것이다. 정보 사용자 또는 처리자는 개인의 동의를 취득하기 위해 정보 처리 목적, 방법 등을 사전에 충실히 알려야 하며, 그 동의를 철회할 권리가 있음을 명시해야 한다. 정보주체의 자발적 동의 없이 수집된 개인정보를 새로운 목적으로 사용할 수 없다.
2013년 신설된 다이렉트 마케팅(Direct Marketing : 상품 또는 서비스를 홍보하기 위해 잠재고객에게 직접 광고하는 것) 관련 조항에 따르면 상품 및 서비스의 종류, 광고에 이용되는 개인정보의 범위 등을 고객에게 고지해야 한다. 개인정보를 외부의 제3자에게 제공하는 경우 상기 사항과 함께 제3자가 수행하는 업무 종류까지 알려야 하며, 개인정보 제공을 거부하는 옵션도 부여해야 한다. 따라서 홍콩에서는 정보 이용약관이나 개인정보 마케팅 활용 동의서에 갖가지 개인정보 이용 내역을 열거해 소비자들로부터 동의를 받는 것이 일반적이다. 동의서 작성 시 ‘옵트인(Opt-in)’ 방식을 채택해 정보 이용에 대한 개별적 동의를 받거나 반대로 ‘옵트아웃(Opt-out)’ 방식으로 정보주체가 정보 이용에 대한 거부 의사를 명시적으로 밝히지 않는 이상 정보 이용에 동의한 것으로 간주하고 마케팅을 진행할 수 있다.
③ 처리 목적 달성 후 즉시 정보 삭제 : 개인정보의 보유 기한과 관련해 개인정보법령 제26조는 개인정보의 보존 기한을 처리 목적 달성에 필요한 최단 시간으로 규정하고 있으므로, 개인정보 사용자는 수집 목적을 달성한 즉시 개인정보를 삭제해야 한다.
④ 정보보호 위해 최대한의 노력 필요 : 정보 사용자는 개인정보 침해·유출·불법 열람 및 사용 등이 발생하지 않도록 최대한의 노력과 조치를 취해야 하며, 도급업체(정보 처리자) 측의 개인정보 유출이나 오용도 정보 사용자가 책임을 질 수 있음에 유의해야 한다. 홍콩 개인정보 감독기구는 모든 기업과 기관에 자체 개인정보 보호관리 프로그램(Privacy Management Programme)의 도입 및 데이터 암호화, 직원 훈련 등 사전 보안 조치를 권장하고 있다.
개인정보 감독기구, 재택근무 및 타인 정보공개 관련 가이드라인 발간
홍콩 개인정보 감독기구는 코로나19 장기화로 재택근무를 시행하는 기업이 증가함에 따라 개인정보보호 관련 가이드라인을 발간했다. 기업은 가이드라인을 통해 △재택근무자 대상으로 기본적인 IT 기기 및 보안 네트워크(VPN 등) 제공 △다중 인증(Multi-Factor Authentication) 채택 △재택근무에 대한 보안 및 업무 지침 마련 등의 내용을 참고할 수 있다.
특히, 코로나19 사태로 화상회의 수요가 증가하면서 화상회의 참여자들의 개인정보 침해 위험을 최소화하기 위해 △업무용 계정 제공 △강력한 암호 정책 채택 △가상 대기실 활용 등 권고하고 있다.
2021년에 수립한 가이드라인에서는 타인의 개인정보를 인터넷 포럼, SNS 등에 공개하는 신상털기 행위 금지를 규정하고 있다. 개인정보법령 제64조에 따르면, 정보주체의 동의 없이 정보주체 또는 그 가족에게 피해를 입히고자 하는 목적으로 타인의 개인정보가 포함된 콘텐츠를 배포하는 경우, 감독기구가 관련 콘텐츠 삭제 요청 및 수사·기소 진행 권한을 가진다.
2020년 홍콩 당국에서 발표한 민원 통계 자료에 따르면 2020년 접수된 개인정보 침해 관련 민원의 약 25%가 신상털기와 관련된 민원인 만큼, 온라인 서비스 제공자(현지·해외 SNS 플랫폼 등)들은 신상털기 사태의 심각성을 인식해 타인의 개인정보 공개에 유의해야 한다.
▲홍콩 개인정보보호 감독기구가 발간한 재택근무 시 개인정보보호 가이드라인[자료=홍콩 개인정보 감독기구]
개인정보 해외 이전에 대한 규정은 아직 시행 전
개인정보법령 제33조에 따르면 홍콩에서 수집된 개인정보는 요건을 충족한 경우에만 해외로 제공할 수 있다. 다만, 이 법령은 아직 정식으로 시행되고 있지는 않다.
▲홍콩 내 취득한 개인정보를 해외로 제공 시 요건[자료=홍콩 개인정보 감독기구]
홍콩 개인정보 감독기구에서는 향후 기업들이 관련 규정 도입에 대비할 수 있도록 지침을 발간했다. 이에 따르면, 정보 사용자는 수집 목적 외에는 개인정보를 해외로 제공해서는 안되며, 해외 파트너사에 제공하는 경우에도 고객의 개인정보 손실이 발생하지 않도록 조치를 취함은 물론 법적 책임도 져야 한다.
KOTRA 홍콩무역관은 “개인정보보호에 투자할 인적 역량과 경제적 역량이 부족한 기업이라 하더라도 홍콩은 개인정보보호 규정이 비교적 단순하며 개인정보 감독기구에서 개인정보보호법 관련 규칙과 이를 이행하기 위한 단계별 조치 체크리스트를 제공하고 있다”고 전했다. 이어 “홍콩에서 시행되는 개인정보보호법은 해외 사업자에 적용되는 경우도 있으므로 이 점을 고려해 관련 정책을 숙지할 필요가 있다”라고 조언했다.
[윤서정 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>