검색
율촌

중국 개인정보보호법에 대한 우리나라 기업의 대응방향

[2021.09.09.]



2021년 8월 20일 중국 개인정보보호법(이하 “본법”)이 전국인민대표대회 상무위원회 회의에서 통과되어 정식으로 공포되었고 2021년 11월 1일부터 시행됩니다. 2018년 9월 7일 개인정보보호법이 전국인민대표대회 상무위원회의 입법 계획에 처음으로 편입된 후 법안은 2차례 의견수렴을 거쳐 3년 만에 최종안이 확정된 것인 만큼 중국의 실정과 해외 입법 등을 면밀히 고려하며 <민법전>, <네트워크안전법> 등 법령에 산재되어 있는 개인정보보호 관련 규정을 통합하여 체계적으로 제정된 것으로 보입니다. 본 Legal Update에서는 주로 우리나라 기업의 입장에 입각하여 중국 관련 사업을 할 때 유의해야 하는 사항에 대해 살펴보았습니다.



1. 중요한 정의

“개인정보”란 전자 또는 기타 방식으로 기록된 식별되었거나 식별 가능한 자연인과 관련된 각종 정보를 의미하는데, 익명화 처리된 후의 정보는 제외됩니다. “개인정보의 처리”는 개인정보의 수집, 저장, 사용, 가공, 전송, 제공, 공개, 삭제 등을 말합니다(본법 제4조). “개인정보처리자”는 거래정보처리활동에서 처리목적, 처리방식을 자율적으로 결정하는 조직 또는 개인을 말합니다(본법 제73조 제1항).


이 부분은 대체적으로 우리나라 개인정보보호법과 유사하다고 할 수 있습니다.



2. 적용범위

본법 제3조에 의하면, 개인정보처리자와 개인정보주체의 국적과 상관없이 중국 내에서 개인정보처리 시 모두 본법을 적용해야 합니다. 또한, 중국 외에서도 (i)중국 내 자연인에게 제품 또는 서비스의 제공을 목적으로 하는 경우 또는 (ii)중국 내 자연인의 행위를 분석, 평가하는 경우에 해당하면 본법을 준수할 의무가 있습니다. 예를 들어, 해외 사업자가 운영하는 해외 사이트가 사이트의 중국어 버전 또는 위안화 결제방식 등을 마련함으로써 중국 내 자연인을 상대로 제품 또는 서비스를 제공하려는 경우에 해당 해외 사업자가 중국 외에 있더라도 본법의 적용을 받을 수 있습니다. 한편, 이러한 경우 중국 외의 개인정보처리자는 중국 내에 특별기구를 설치하거나 대표를 지정하여 개인정보보호 관련 사무의 취급을 담당하게 하고, 관련 기구의 명칭 또는 대표의 성명, 연락처 등을 중국의 개인정보보호 직무 수행부서에 보고하여야 합니다(본법 제53조).


이와 같은 본법 소정의 역외적용 문제 및 국내대리인 지정 조항도 우리나라 개인정보보호법의 입장과 대체적으로 일맥상통한다고 할 수 있습니다. 결국 우리나라 기업입장에서는 해외 시장을 대상으로 영업을 함에 있어서는, 우리나라법 및 관련 국가의 개인정보보호 관련 규정을 종합적으로 검토할 필요성이 커졌다고 할 것입니다.



3. 개인정보처리 원칙의 준수

본법은 개인정보처리시 (i)적법성·정당성·필요성·신의칙 원칙을 준수하고, (ii)처리 목적과 직접적인 관련성이 있어야 하며, (iii)개인정보처리방침을 공개하고 처리 목적, 방식 및 범위를 명시하고, (iv)개인정보의 정확성을 보장하고, (v)그 처리활동을 책임지며, (vi)데이터 안전을 보장하도록 요구하고 있습니다(본법 제5조~제9조). 이에 따라 실무상 기업은 아래와 같은 사항을 준수할 필요가 있겠습니다.

 

- 사기, 협박 또는 오해할 수 있는 방식으로 개인정보를 처리하지 않을 것

- 불법적인 방식으로 개인정보를 취득하지 않을 것

- App의 경우, 각 기능을 작동하기 위하여 명확한 목적과 직접적인 관련이 있는 경우에 한하여 개인정보를 수집하거나 사용할 것

- 개인정보처리방침을 제정하여 홈페이지 등에 게재하고 개인정보주체에 고지할 것

- 개인정보보호 관련 내부 제도를 수립할 것


이 부분도 우리나라 개인정보보호법과 유사한 입장이라고 할 수 있습니다.



4. 동의 없는 개인정보처리에 관한 법적 근거 제공

기존의 <민법전>, <네트워크안전법>에 따르면 기본적으로 동의를 취득한 후에야 개인정보를 처리할 수 있었는데, 본법 시행 후 다음과 같은 경우에는 동의를 취득하지 않아도 개인정보를 처리할 수 있게 되었습니다(본법 제13조). 특히, 인사관리에 필수적인 경우에 개인으로부터 동의를 취득하지 않아도 개인정보를 처리할 수 있다는 예외 규정은 기업이 개인정보를 수집, 처리하는데 편의성을 가져다 줄 뿐만 아니라 명시적인 법적 근거도 마련해주었습니다.


- 일방 당사자로서의 개인이 계약을 체결, 이행하거나 또는 노동관련 규정 또는 단체협약에 따라 인사 관리에 필수적인 경우

- 법정 직책 또는 법정 의무 이행에 필수적인 경우

- 돌발적인 공공위생사건 또는 긴급상황 하에서 자연인의 생명건강과 재산 안전의 보호를 위해 필요한 경우


- 공공이익을 위하여 뉴스보도 또는 여론 감독 시 합리적인 범위 내에서 개인정보를 처리하는 경우

- 본법에 따라 합리적인 범위 내에서 개인이 스스로 공개하였거나 기타 적법하게 공개된 개인정보를 처리하는 경우

- 기타 법률, 행정 법규에 규정된 경우


이 부분에 있어서는 우리나라 개인정보보호법과 유사한 부분은 있으나 완전히 동일하지는 않으므로 그 운용에 있어서 유의할 필요가 있습니다.



5. 개인정보의 공동처리와 위탁처리

본법에 의하면 개인정보를 공동으로 처리하는 경우, 2명 이상의 개인정보처리자는 처리목적과 처리방식을 공동으로 결정해야 할 뿐만 아니라 각자의 권리와 의무도 약정해야 하며, 개인정보처리로 인하여 발생한 손해에 대해서는 연대 책임을 부담합니다(본법 제20조). 개인정보처리자가 개인정보를 제3자에게 위탁하여 처리하는 경우 수탁자와 개인정보의 처리 목적, 기간, 방식 및 각자의 권리와 의무를 약정하고, 수탁자의 개인정보처리활동을 감독하며, 본법 제55조에 따라 사전에 개인정보보호 영향평가를 해야 합니다. 수탁자로서는 개인정보처리자와의 약정에 따라 개인정보를 처리하고 약정한 처리목적, 방식 등을 벗어나서는 안 됩니다(본법 제21조).


이 부분은 우리나라 개인정보보호법과 차이가 있습니다. 우리 법에는 공동처리 및 위탁 시 영향평가를 하여야 한다는 조항은 없습니다만, 수탁사 선정 시 정보보호 역량을 종합적으로 검토하도록 ‘개인정보처리 위수탁 안내서’에서 설명하고 있습니다.



6. 빅데이터를 이용한 차별대우 금지

중국 플랫폼이 동일한 제품이나 서비스에 대해 단골손님에게 신규 고객보다 더 높은 가격을 제시하는 소비자별 차별대우 행위를 규제하기 위하여 2019년 1월 1일부터 시행한 <전자상거래법> 제18조는 소비자의 취미, 소비 습관 등 특징에 따라 제품 또는 서비스에 관한 검색결과를 제공할 때 그 소비자에게 특화(맞춤형)되지 않은 옵션을 제공해야 한다고 규정하고 있습니다. 본법은 이러한 규정의 입법취지를 반영하여, 개인정보처리자가 개인정보를 이용하여 자동화 의사결정(자동화 의사결정이란 컴퓨터 프로그램을 통해 개인의 행동 습관, 흥미와 취미 또는 경제, 건강, 신용 상황 등을 자동으로 분석하고 평가하여 결정을 하는 행위를 의미합니다.)을 할 경우 거래가격 등 거래조건에 대해 불합리한 차별대우를 하면 안되고, 자동화 의사결정 방식으로 개인에게 정보 푸시, 마케팅을 할 때 그 개인에 특화(맞춤형)되지 않은 옵션을 제공해야 하거나 간편한 수신 거부 방식을 제공해야 함을 명시하였습니다(본법 제24조). 이에 따라 기업이 개인정보를 광고성 정보 푸시 등 자동화 의사결정에 이용하려는 경우 위 규정을 준수해야 할 뿐만 아니라 본법 제55조에 따라 사전에 개인정보보호 영향평가도 이행해야 함을 유의하셔야 합니다.


이 부분은 우리나라 개인정보보호법보다 좀더 구체적으로 규정하고 있으므로, 그 운용에 있어서 특히 유의할 필요가 있습니다. 우리나라에서 현재 논의되고 있는 개인정보보호법 개정안에는 자동화된 의사결정 관련 조항이 있습니다.



7. 미성년자에 대한 보호 강화

10대 청소년을 겨냥한 게임, 숏폼 콘텐츠 등 플랫폼이 많아짐에 따라 중국은 아동 · 청소년들의 개인정보보호에 대한 요구를 강화하고 있습니다. 2019년부터 시행한 <아동개인정보네트워크보호규정>과 <미성년자보호법>(2020년 개정)은 이러한 요구를 반영하여 14세 미만 미성년자의 개인정보처리시 부모 또는 후견인의 동의를 취득해야 함을 규정하였습니다. 본법은 이와 같은 요구뿐만 아니라 14세 미만 미성년자의 개인정보를 민감한 개인정보로 취급하여 개인정보처리자는 특정한 목적과 충분한 필요성이 있으면서 엄격한 보호조치를 취한 경우에만 14세 미만 미성년자의 개인정보를 처리할 수 있다고 명시하였습니다. 그 외 14세 미만 미성년자를 위한 개인정보처리방침을 별도로 제정하고, 14세 미만 미성년자의 개인정보는 민감한 개인정보이므로 본법 제55조에 따라 사전에 개인정보보호 영향평가도 이행해야 합니다(본법 제28~제31조). 이에 따라 서비스 대상 중 14세 미만의 미성년자를 포함한 게임, 숏폼 콘텐츠 등 기업은 위 규정을 특별히 유의할 필요가 있겠습니다.


이 부분도 우리나라 개인정보보호법보다 좀더 구체적으로 규정하고 있으므로, 그 운용에 있어서 특히 유의할 필요가 있습니다.



8. 개인정보의 해외 이전

기존의 <네트워크안전법>은 주로 핵심정보기초시설운영자(CIIO)의 개인정보의 해외 이전에 관하여 제한을 두었지만, 본법은 핵심정보기초시설운영자와 개인정보처리 수량이 국가 인터넷정보부서에서 규정한 수량에 달하는 개인정보처리자(“개인정보처리 수량이 국가 인터넷정보부서에서 규정한 수량에 달하는 개인정보처리자”의 정의에 관해서는 아직 명시된 규정이 없습니다.) 뿐만 아니라 그 밖의 일반 개인정보처리자가 개인정보를 해외 이전함에 있어 준수해야 하는 사항도 명시하였습니다. 즉, 일반 개인정보처리자가 해외에 개인정보를 이전하려는 경우, (i)해외 수령 측이 본법에서 정한 개인정보보호기준에 부합되도록 필요한 조치를 취하고, (ii)개인에게 개인정보 해외 이전에 관한 내용(수령 측의 명칭, 연락처, 처리 목적, 처리 방식 등)을 고지하고 별도의 동의를 취득하며, (iii)사전에 개인정보보호 영향평가를 하고, (iv)개인정보보호 인증을 받거나 또는 해외 수령 측과 계약을 체결하여 각자의 권리와 의무를 명시할 필요가 있습니다(본법 제38조~제39조, 제55조). 한편, 자동차 업종을 비롯한 특수 업종의 경우, 위 규정 이외에 2021년 10월 1일에 시행되는 <자동차데이터안전관리에 관한 약간 규정> 등 특별 규정도 준수해야 함을 유의하시기 바랍니다.


이 부분이 우리나라에 본사를 둔 우리나라 기업입장에서는 가장 유의하여야 하는 부분입니다. 개인정보의 해외 이전은 중국 외에도 각국에서 가장 규제가 많은 부분이므로 각별한 주의가 요구됩니다.



9. 개인정보주체의 권리에 대한 대응

본법은 제4장에서 개인이 개인정보처리활동에서 갖고 있는 권리를 명시하였습니다. 즉, 개인은 (i)개인정보처리에 대해 알 권리, 결정권, 제한권, 거부권, (ii)자신의 개인정보에 대한 조회권, 복사권, 이동권(Right to data portability), 정정권, 삭제권 및 (iii)자동화결정에 관한 권리를 보유하고 있습니다. 그 중 이동권(Right to data portability)은 유럽 개인정보보호법(GDPR)과 미국 캘리포니아주 소비자프라이버시법(CCPA)상의 이동권을 도입한 것이며, 향후 플랫폼 간 개인정보의 자유로운 이동이 가능해지고 이로 인하여 플랫폼 간의 경쟁도 더욱 치열해질 것으로 예상됩니다. 기업의 입장에서 볼 때 개인정보주체의 위 권리에 의한 요구를 대응하기 위하여 기술적 조치 등을 취하여 개인정보를 조회, 수정, 삭제, 이동할 수 있게 하는 대책이나 통로를 사전에 마련할 필요가 있겠습니다.


이 부분도 우리나라법보다도 더 나아가 규정된 부분이 있습니다. 우리나라 개인정보보호법 개정안에는 개인정보이동권이 규정되어 있습니다.



10. 위반시 법률책임 및 공익소송

본법은 개인정보처리자에게 유럽 개인정보보호법(GDPR)보다 더 엄격한 법률책임을 부과한 것으로 보입니다. 구체적으로는 본법을 위반하여 개인정보를 처리하거나 개인정보보호의무를 이행하지 않은 경우 관련부서로부터 시정명령, 경고를 받거나 위법소득이 몰수되고, App의 경우 서비스가 중단 또는 종료되며, 시정을 하지 않은 경우 법인에 대해서는 100만위안 이하의 과징금, 직접 책임이 있는 자에게는 1만위안 이상 10만위안 이하의 과징금에 처합니다. 심각한 경우에는 법인에 대해서는 5,000만위안 이하 또는 전년도 매출액 5%이하의 과징금을 부과하고 사업허가를 취소할 수 있으며, 직접 책임이 있는 자에게는 10만위안 이상 100만위안 이하의 과징금을 부과하고 일정한 기간 동안 회사의 임원이 되지 못하도록 명령할 수 있습니다(본법 제66조)


그 밖에, 개인정보처리자가 본법을 위반하여 개인정보를 처리하여 많은 개인의 권익을 침해하는 경우에는 검찰, 소비자조직과 국가인터넷정보당국에 의해 소송(공익소송)을 당할 수 있습니다(본법 제70조).


본법은 유럽 개인정보보호법(GDPR)과 유사한 점도 있지만, 중국 실정에 따라 특별히 규정한 부분도 많아서 이미 GDPR에 따라 개인정보보호체제를 구축한 기업 또는 개인보호보호제도를 전혀 수립하지 않은 기업은 본법 시행 전 2개월 동안 본법에 따라 기존의 체제를 검토하여 본법의 요구에 맞게 재정비하거나 개인정보보호제도를 신규 수립할 필요가 있습니다. 아울러 이러한 과정에서 본법은 물론 기존에 발효하여 시행하고 있는 네트워크안전법과 데이터안전법 중 개인정보 관련 규정에도 부합하도록 할 필요가 있습니다.



11. 결론

앞서 본 바와 같이 중국 개인정보보호법은 우리나라 개인정보보호법에 비하여 영역에 따라서는 더욱 구체적인 규제를 하고 있습니다. 따라서 중국에서 영업을 하는 기업 입장에서는 우리나라 개인정보보호법과 중국 개인정보보호법을 함께 준수가 가능한 통일적인 컴플라이언스 체제를 구축하는 것이 필요할 것입니다.



강희철 변호사 (hckang@yulchon.com)

변웅재 변호사 (ujbyun@yulchon.com)

손도일 변호사 (dison@yulchon.com)

김선희 변호사 (kimsh@yulchon.com)

주영애 외국변호사 (yazhu@yulchon.com)

백혜 외국변호사 (hbai@yulchon.com)

배상호 전문위원 (shbae@yulchon.com)

관련 법조인

미국변호사