(사례) 2018년 Alibaba가 운영하는 Alipay가 불필요한 개인정보 수집 및 최소한의 필요원칙을 위반하였다는 사유로 약 18만 위안(약 3000만 원)의 행정처벌 조치를 받았다. 단, 개인정보 보호법이 공식적으로 공포되지 않아 <비금융기구지급서비스 관리방법>, <소비자권익보호법>등 위반으로 처벌되었다.

유형

입법 주체

예 시

헌법

전국인민대표대회

헌법

법률

전국인민대표대회

기본법률(민법통칙, 형법)

전국인민대표대회 상무위원회

기본법률 이외(상표법)

행정법규

국무원

인터넷 정보 서비스 관리 방법

지방성 법규

지방 인민대표대회 및 상무위원회

상하이시 조례

자치조례, 단행조례, 부문규장

민족자치구역 자치기관

자치주 자치 조례

국무원 산하 부처

인터넷 뉴스 정보 서비스 관리 규정

분 류

내 용

개인정보의 의미

- '개인정보'란 전자 또는 기타 방식으로 기록돼 식별되었거나 식별이 가능한 자연인과 관련된 각종 정보를 의미

- 익명화 처리된 후의 정보는 제외

- “익명화 처리”는 개인정보처리를 통하여 특정 자연인을 식별하는 것이 불가능하고 또한 기존 정보로 복원할 수 없는 과정을 의미

- 민감한 개인정보(법 제29조): 유출되거나 불법 사용될 경우 개인이 차별을 받을 수 있거나 인신, 재산 안전에 엄중한 위험을 초래 할 수 있는 개인정보

(예: 종족, 민족, 종교신앙, 개인의 생물적 특징, 의료건강 정보, 금융계좌 정보, 개인의 행적 등)

적용범위-역외적용 가능

- 중국 국외에서 중국 경내의 자연인 개인정보를 처리하는 활동에 대해 다음 사항 중 하나에 해당하는 경우 개인정보 보호법이 적용

   (1) 중국 내 자연인에게 제품 또는 서비스를 제공하는 것을 목적으로 하는 경우

   (2) 중국 내 자연인의 행위를 분석하고 평가하기 위한 경우

   (3) 법률, 행정법규에 규정된 기타 상황

- GDPR 제3조(Territorial Scope) 제2항을 참고

개인정보 주체의

권리

- 개인정보 처리에 대한 알 권리 및 결정권, 제한/거부권 (제44조)
자신의 개인정보 처리에 대해 알권리와 결정권을 가지며, 타인에 의한 자신의 개인정보 처리를 제한하거나 거절할 권리를 가짐

- 열람/복제권(제45조)
개인정보처리자에게 자신의 개인정보 열람, 복제를 요구할 권리

- 정정권(제46조)
자신의 개인정보가 부정확하거나 불 완전하다는 사실을 발견한 경우, 개인정보처리자에 게 정정, 보완을 요구할 권리

- 삭제청구권 (제47조)

   (1) 약정한 보관 기간이 이미 만료되었거나 처리 목적이 실현된 경우

   (2) 개인정보처리자가 상품 또는 서비스 제공을 중지한 경우 

   (3) 개인이 동의를 철회한 경우에 개인정보처리자가 법률, 행정법규를 위반하거나 약정을 위반해 개인정보를 처리한 경우

   (4) 법률, 행정법규에서 규정된 기타 사항

- 해석/설명 요구권(제48조)
개인정보처리자에게 개인정보 처리 규칙에 대한 해석, 설명을 요구

- 자동화 결정 관련 권리 (제25조)

   (1) 개인정보를 이용하여 자동 의사 결정을 하는 경우 의사 결정의 투명성과 처리 결과의 공정성, 합리성을 보장해야 하고 개인이 자동 의사결정이 자신의 권익에 중대한 영향을 미친다고 판단하는 경우 개인정보처리자에게 설명을 요구할 권리를 가짐.

   (2) 개인정보처리자가 자동 의사 결정 방식만을 통해 의사를 결정하는 것을 거절할 권리

개인정보 처리자의 의무

- 개인정보 보호조치(제50조)

  (1) 내부 관리 제도 및 운영 규정을 마련

  (2) 개인정보를 등급별로 구분 관리

  (3) 암호화, 비식별화 등 상응하는 보안 기술 조치

  (4) 개인정보 처리 운영 권한을 합리적으로 확정, 종사자에 대한 보안 교육 및 훈련을 정기적으로 실시

  (5) 개인정보 안전 사고 응급방안을 수립

  (6) 법률, 행정법규에서 규정한 기타 조치

- 개인정보 보호책임자 지정 (제52조)
국외 개인정보처리자는 중국 국내에 전문 기관을 설립하거나 대표자를 지정하여 개인정보 보호 관련 사무를 책임지도록 해야 함.

- 정기 점검(제53조)

- 사전위험평가(제54조)

- 개인정보 유출 시 구제조치 및 통지(제55조)

- 편리한 동의철회 방식 제공(제16조)

- 초대형 인터넷 플랫폼 개인정보 처리자(제57조)
기초적인 인터넷 플랫폼 서비스제공, 사용자 수량이 엄청 많고 업무 유형이 복잡한 개인정보처리자는 응당 이하의 의무를 이행

   (1) 외부인원으로 구성된 독립기구를 설치하여 개인정보처리활동을 감독

   (2) 법률, 행정법규를 중대하게 위반하여 개인정보를 처리하는 플랫폼 내 제품 혹은 서비스 제공자에 대해 서비스 제공 중지

   (3) 정기적으로 개인정보 보호 사회책임보고 발표, 사회의 감독을 받도록 함.

개인정보의 해외전송

(제38조, 제39조)

이하 조건 중 최소 한 개 구비:

   (1) 국가 네트워크 정보 판공실의 안전평가 통과

   (2) 국가 네트워크 정보 판공실이 규정한 전문기구에서 개인정보 보호 인증

   (3) 국가 네트워크 정보 판공실이 제정한 표준계약서에 따라 해외의 정보 처리 측 과 계약 체결 및 개인정보 처리 감득

   (4) 기타 법률 및 행정법규, 국가 네트워크 판공실이 제정한 조건

- 해외에 개인정보를 이전하는 경우, 개인정보처리자는 개인에게 해외에서 정보를 이전받는 자의 신분, 연락처, 처리 목적, 처리방식, 개인정보 유형, 정보를 이전받는 해외 주체에 게 본 법률에 규정된 권리를 행사하는 방법 등 사항을 고지하고 별도 동의를 받아야 함.

핵심정보 인프라시설

(제40조)

   (1) 핵심정보 인프라 시설 운영자와 개인정보처리 규모가 국가 네트워크 정보 부처에서 규정한 기준에 해당하는 개인정보처리자는 중국 국 내에서 수집하고 생성된 개인정보를 국내에 보관해야 함.

   (2) 이를 해외로 제공해야 하는 경우, 국가 네트워크 정보 부처 기관의 안전성 평가를 통과해야 함.

주 제

내 용

개인정보 과도한 처리 엄격 제한

① 개인정보보호법(초안)(제2심 초안) 제1조는 개인정보의 권리와 이익을 보호하고 개인정보 처리활동을 규제하며, 개인정보의 합리적 이용을 촉진한다는 전제 하에 제1차 초안의 '법률적이고 자유로운 개인정보의 이동 보장' 내용이 삭제됨.

② 2차 초안 제6조에서는 1차 초안에 더하여 '개인권익에 미치는 영향이 가장 적은 방식을 채택한다'라는 내용을 추가. 즉 '개인정보의 처리는 분명하고 합리적인 목적을 가져야 하며, 처리목적의 실현에 필요한 최소한의 범위에 한정되어야 한다'고 밝힘.

③ '개인정보 권익' 이라는 개념 정립. '권익'은 '권리'와 '이익'을 모두 포함하며, 최근 발달한 인터넷 시대 하에서 데이터와 정보는 소셜 네트워크, 전자상거래, 모바일 스마트 단말 등의 인터넷 플랫폼에 집합하는 형태로 존재하며, 특히 대형 플랫폼은 이미 개인정보에 대한 실질적인 통제와 독점을 형성하고 있는 현실로, 개인은 콘텐츠의 주체이나 자신의 개인정보를 통제·보호할 수 없으며 자신의 개인정보가 언제, 어디서 누가 어떤 방식으로 불법 수집·이용·가공·전송되는지 알 수 없는 위치에 처해있음을 지적함. 이에 어떠한 조직이나 개인이 타인의 개인정보를 취득할 경우에는 법에 따라 정보를 취득, 확보해야 하며 타인의 개인정보를 불법적으로 수집, 이용, 가공, 전송하거나 불법적으로 거래, 제공, 공개해서는 안된다는 내용을 강조함.

④ 2차 초안에서는 '개인정보처리 최소화' 원칙을 강조하여, EU GDPR('범용데이터보호조례)는 개인 데이터 처리 수량에 대한 제한을 규정하고 있으며, 반드시 해당 업무의 필요를 충족하는 최소 수량을 한도로 하여 불필요한 개인 데이터를 수집할 수 없도록 하고 있는 점을 포함

개인정보 처리의 기본 규칙 완비

2차 초안 제7조는 민법전 제 1035조와 사이버안전법 제41조를 참조하여, '개인정보처리 규칙의 명시'에서 '공개'로 변경하고 처분의 목적과 방식, 범위를 명시적으로 추가함. 법에서 명시란 명확한 의사표시를 의미하며 공개는 대중과 사회를 상대하는 것으로, 개인정보 취급자의 '개인정보 취급규칙'은 '명시'가 아니라 사회 일반에 공개돼야 한다는 기본 개념을 완비한 것

미성년자 개인정보 보호 강화

2021년 6월 1일부터 개정 시행 중인 중화인민공화국 <미성년자보호법> 제72조에는 '정보처리자가 인터넷을 통해 미성년자의 개인정보를 처리하는 것은 합법적이고 정당하며 필요한 원칙에 따라야 하며, 만 14세 미만의 미성년자 개인정보를 취급할 때에는 미성년자의 부모를 구하거나 다른 보호자는 동의하지만 법률·행정법규에 따로 규정된 것은 제외된다'고 규정되어 있다.2차 초안 또한 미성년자 보호법과 일치하여 강화. 따라서 2차 초안에서는 만 14세 미만 미성년자의 개인정보일 경우 미성년자의 부모나 기타 보호자의 동의를 얻어야 함.

개인 동의 없이 개인 정보 공개 불가

개인정보 취급 기간 중 개인정보 취급자의 '과잉처리' 행위가 발견되어 그 이전의 동의를 철회하고 싶은 경우, 인터넷 플랫폼 환경에서 개인의 동의철회 행위는 개인정보 취급자의 협조를 얻어야하며 그렇지 않으면 개인은 동의철회를 할 수 없게 되어있음. 하지만 2차 초안에서는 개인의 개별 동의없이 개인정보를 공개할 수 없도록 하고 '개인정보처리자는 편리하게 동의를 철회하는 방식을 제공해야 한다'는 개인정보취급규칙을 확립함.

개인정보취급자의 삭제 의무 강화

2차 초안 제47조에 규정된 경우로, 개인정보처리자는 개인정보를 자진 삭제해야 하며 개인정보처리자가 삭제하지 않은 경우 개인은 삭제 청구할 권리를 보장함. 법률·행정법규에 의한 보존기간 미만이거나 개인정보를 삭제하는 것이 기술적으로 어려운 경우, 개인정보 취급자는 저장 및 필요한 보안조치를 제외한 정보 처리를 중단해야 함.

개인정보처리를 위한 적정한 감사제도

개인정보보호법(초안) 1차 원고 제53조는 개인정보취급자의 개인정보취급활동, 보호조치 등 법률 행정법규에 부합하는지 주기적으로 심사해야 한다고 규정하고 있고 2차 초안 제53, 54조는 개인정보취급자는 정기적으로 개인정보취급활동에 대한 법률 행정법규를 준수하는 경우에 대해 적법한 감사를 실시해야 한다고 내용을 단순화함.

인터넷 플랫폼의 보호 의무 강화

2차 초안은, 기초적인 인터넷 플랫폼의 개인정보보호 의무에 대한 내용을 추가했으며, 또 제57조에서 '기본적인 인터넷 플랫폼 서비스를 제공하며 이용자 수가 매우 많고 업무 유형이 복잡한 개인정보 처리자는 외부 구성원으로부터 독립된 기구를 설립하여 개인정보 처리 활동을 감독하고 법률·행정법규를 심각하게 위반하는 것에 대해 의무를 이행해야 한다'고 규정함. 개인정보의 플랫폼 내 제품이나 서비스 제공자는 서비스 제공을 중지하고 개인정보 보호에 관한 사회적 책임보고서를 정기적으로 배포하여 사회적 관리감독을 받게됨.

정보처리자 권리침해 행위에 대한 책임, 배상

인터넷 시대에 대형 네트워크 사업자는 이미 개인 데이터와 정보에 대한 실질적인 통제와 독점을  구도를 형성하고 있으며, 개인은 데이터 콘텐츠의 주체이나 반면 자신의 개인 데이터와 정보를 전혀 통제할 수 없어 자신의 정보와 데이터가 언제, 어디서 누가 어떤 방식으로 불법적으로 수집, 사용, 가공, 전송되고 있는지 알기 어렵다. 이에 2차 초안은 1차 초안에서 '개인정보처리자가 잘못이 없음을 증명할 수 있다면 책임을 경감하거나 면제한다'는 기존 내용이 '개인정보처리자가 잘못이 없음을 증명할 수 없으면 손해배상 등 권리침해 책임을 져야 한다'고 조정됨.

제 13조 개인정보 처리 조건

(2-7항 동의 불요)

네크워크 안전법 (제41조)

(제17조), 모바일 앱 규정 (제3조, 4조)

(1) 개인의 동의를 받은 경우
(2) 계약의 수립 또는 이행에 필요한 경우
(3) 법적 직무 또는 법적 의무의 이행을 위해 필요한 경우
(4) 공공보건사고에 대응하거나 응급한 상황에서 자연인의 생명 건강 및 자산 안전보호를 위해 필요한 경우
(5) 합리적인 범위 내에서 이미 공개된 개인정보를 처리하는 경우
(6) 공공의 이익을 위한 신문 보도, 여론 모니터링 등 합리적인 범위 내에서 개인정보를 처리하는 경우
(7) 법률, 행정법규에서 규정하는 기타 상황

네트워크운영자는 그가 제공하는 서비스와 무관한 개인정보를 수집해서는 안되며 법률, 행정법규의 규정과 쌍방의 약정을 어기면서 개인정보를 수집 및 사용해서는 안됨.

필수/선택 개인정보로 구분하여 동의를 받고 선택 개인정보의 경우 동의를 하지 않는다고 기본 기능 서비스를 거부해서는 안 됨.

순서

이슈

확인

1

개인정보 단계별 문제

개인정보의 수집, 보관, 처리, 위탁, 공유, (해외) 전송, 폐기 등 전 과정 점검

2

개인정보 내용별 문제

고객정보, 직원정보, 민감정보, 아동정보

3

인력

개인정보 보호책임자, CIO 지정

4

핵심정보 인프라시설

해당여부 점검

5

Privacy Policy, Cookie Policy 등

정책 마련

6

웹사이트 점검

웹사이트상 문제 없는지 확인

7

장비/설비

인증받은 장비를 구매하는지, 기술적 조치를 취하였는지

8

교육

전 직원을 대상으로 적절한 교육을 하였는지

9

GDPR 및 한국법과 조화

중국 및 국내외 각 계열사들과 함께 점검

10

Emergency Plan

긴급 대책 마련

진단 및 개선방안 제시