주경희 변호사 대성법률사무소

오늘날 중국의 데이터 안전에 대한 관심은 전례없이 높아지고 있다. 2021년 7월 20일, 중국 최고인민법원은 "안면인식기술을 사용한 개인정보처리 관련 민사사건 심리에 있어 법률적용의 문제에 관한 몇 가지 규정"을 발표했는데 안면인식응용 규범화의 내용을 담은 이 사법해석에서는 불필요한 개인정보를 강제적으로 요구하지 못하도록 규정하였다. 그리고 기 시행 중인 네트워크 안전법과  9월 1일부터 시행된 데이터 안전법, 오는 11월 1일 시행될 개인정보보호법은 중국 인터넷 보안 및 데이터 보호의 '삼두마차'를 구성하였는데 이들은 각기 다른 내용이 서로 교차되어 있어 현재 중국에서 정보 및 데이터 보안 분야의 법적인 틀을 본격적으로 구축하고 있는 중이라고 볼 수 있다. 방대한 정보배경과 복잡한 사회환경 하에서 처해있는 중국 진출기업들의 경우 데이터 보안관리를 위해 아래의 몇 가지 사항을 참고할 필요가 있다.

첫째, 데이터안전법과 기업 준법

데이터안전법의 실시 대상은 어느 한 종류의 특정 기업을 대상으로 하는 것이 아니라 국가 정무, 기관 단위, 에너지, 전력 등 국가 경제와 민생에 관계되는 기업을 포괄하며, 다국적 경영의 정보화 기업도 중점 대상이다.
데이터안전법은 상기 기업에 해당하는 기업의 데이터처리활동에 대하여 주요하게는 아래의 몇 가지 감독관리 사항을 요구하였다. 진출기업이 이에 해당할 경우 기업 운영이 하기 내용에 부합되는지 자체적으로 점검해 볼 필요가 있다.

  1) 기업은 데이터안전관리제도를 수립하고 이에 상응하는 기초조치와 관리조치가 있어야 한다.
  2) 데이터 분류와 등급별 보호를 위해 기업은 등급보호평가를, 데이터는 등급별 분류를 해야 하며 기업은 분류결과에 따라 상응한 관리조치를 취해야 한다.
  3) 핵심데이터를 식별하고 데이터의 국제 유동에 따른 처리 방법과 감독관리(정기검사, 연도 감사 등)를 해야 한다.
  4) 데이터 거래 중개를 관리해야 한다. 중개는 쌍방의 신분, 프로세스, 거래 기록을 확인하고 심사 목록 등을 작성해야 한다.

데이터안전법의 처벌 방식에는 시정 요구, 벌금, 영업허가 취소 등이 있다. 규정에 따르면 국가핵심데이터 관리제도를 위반하여 국가 주권과 안전, 발전이익을 침해할 경우 최고 1,000만 위안의 벌금이 부과 될 수 있다. 데이터안전법에 해당하는 기업은 적극적으로 데이터안전법에 따라 준법 체계를 구축하여 데이터의 수집, 전송, 저장 등 전면적인 안전시스템을 확보해야 한다.

둘째, 개인정보보호법과 기업 준법

개인정보보호 분야의 경우 이미 많은 법률과 법규들이 존재한다. 예를 들면 형법 내 "공민 개인정보 침해죄"로, 관련 사법해석 역시 존재한다. 인터넷 상의 개인정보보호에 대해서는 인터넷안전법이 있으며 공업정보화부, 인터넷 정보 사무실 등에서 제정한 일련의 규정이 있다. 소비자의 권리를 보호하는 소비자 권익 보호법은 소비자가 개인정보에 대해 관련 권리를 갖고 있다고 규정한 바 있으며 올해 1월 1일부터 시행된 민법전은 전문적으로 개인정보를 공민의 기본권리의 하나로 삼았다. 인터넷 분야를 제외한 기타 업종에도 일부 주관부서가 제정한 규정이 존재한다.

하지만 개인정보보호법이 제정되기 전까지 각 분야에 적용되는 개인정보 수집 처리 규칙에 관한 규정은 존재하지 않았다. 이런 관점에서 볼 때 개인정보보호법은 개인정보보호의 기본법이라 볼 수 있으며, 그 적용 범위가 인터넷 분야에만 국한되는 것이 아니라 모든 분야에서 개인정보처리에 있어서 반드시 지켜져야 할 사항인 것이다.

개인정보처리규칙은 일반 규칙과 민감 개인정보처리규칙으로 나뉜다. 일반 규칙에는 '자동화된 의사결정을 통해 개인에게 정보를 전달하거나 상업적으로 마케팅을 진행할 경우 그 개인의 특징에 맞지 않는 옵션을 제공하거나 개인에게 편리한 거절방식을 제공해야 한다'고 명시하고 있다. 공공장소에서의 영상수집, 개인신원확인 설비를 설치하는 경우 반드시 공공안전을 수호하는데 필요한 사항일 경우에만 허용되며, 국가의 관련 규정을 준수하고 뚜렷한 표지판을 설치하여야 한다. 수집된 개인영상, 개인신원확인 정보는 공공안전을 수호하기 위한 목적에만 사용하여야 하며 다른 목적에 사용하여서는 안된다.

민감한 개인 정보의 처리규칙에서 말하는 “민감한 개인정보”는 이를테면 자연인의 인격존엄을 침해하거나 신체/재산 안전을 위협하는 개인정보, 생물 식별, 종교신앙, 특정 신분, 의료, 건강, 금융 계좌 등의 정보 및 14세 미만 미성년자의 개인 정보 등이 포함된다. 민감한 개인 정보의 처리는 개인의 단독 동의를 얻어야 한다.

개인정보보호법은 정도가 심각한 경우에 대해 처벌 기준이 신설되었다. 벌금 최고액수는 CNY 5,000만 이하 혹은 전년도 매출액의 5%이다. 새 법안은 고액의 벌금 부과 등 강력한 사후처벌 장치를 통해 기업이 개인정보를 철저히 보호하도록 요구하고 있다. 기업의 준법경영을 위한 참고 가이드라인은 아래와 같다.

1) 내부 관리 제도와 규정을 제정
기업은 개인정보보호준법체계, 개인정보안전보호제도, 개인정보보호책임자제도, 개인정보허가철회처리제도 등 일련의 준법제도를 구축하여야 한다. 규정된 준법제도는 개인정보의 수집, 전송, 저장, 공유, 국외유동 등 모든 단계를 포괄해야 한다.

2) 개인 정보를 등급별로 분류하여 관리
"개인정보보호법"은 기업이 개인정보에 대해 분류관리를 실행할 것을 요구하고 데이터안전법은 데이터에 대해 등급별 보호를 진행할 것을 명확히 요구하고 있다. 따라서 기업이 사용자 개인 정보를 처리하는 과정에서 사용자 개인 정보에 대해 분류 관리를 실행해야 하며, 서로 다른 등급의 개인 정보에 대해 상응하는 보호 조치를 취하여 더 편리한 사후관리가 가능하도록 해야 한다.

3) 안전 기술 조치
기업들은 개인 정보를 등급 분류한 결과에 따라 서로 다른 보안 기술 조치를 취할 필요가 있다. 민감한 개인 정보를 예로 들면, 사용자의 알 권리, 결정권 등의 권리를 충분히 보장하는 한편 민감한 개인 정보의 처리 과정에서 더욱 강도 높은 암호화 조치를 사용하여 관련 데이터의 기밀성과 완전성을 보장할 필요가 있다. 민감한 개인정보에 대해서는 엄격한 접근통제조치를 취하고 내부 데이터 심사 비준절차를 설정하며 민감한 개인정보의 사용에 대해 실시간 모니터링과 경보를 실시한다.

4) 개인 정보 활동에 대한 정기적 감사 실시
감사의 경우, 아래와 같은 사항들이 포함되어야 한다.
  ① 개인 정보 보호 정책, 관련 규정 및 보안 조치의 유효성에 대한 감사를 진행한다.
  ② 회계자동화감사시스템을 구축하여 개인정보처리활동을 감시, 기록해야 한다.
  ③ 감사과정에 형성된 기록은 안전사건의 처리, 응급대응과 사후조사에 대한 근거로 제공할 수 있어야 한다.
  ④ 비허가된 접근, 감사 기록의 변조 또는 삭제를 방지해야 한다.
  ⑤ 회계감사과정에서 발견한 개인정보 규정 위반 사용, 남용 등 상황을 적시에 처리해야 한다.
  ⑥ 회계감사기록과 보존시간은 법률, 법규의 요구에 부합되어야 한다.

5) 개인정보에 대한 영향평가 실시 기록 보존
기업은 개인정보보호영향평가를 제품 및 서비스 설계과정에 포함시켜야 하며, 정보수집 전 관련 정보수집의 필요성, 개인권익에 미치는 영향 및 보안위험, 보안조치의 합법성 및 효과성에 대한 평가를 진행해야 한다. 또한 평가보고와 처리상황기록은 최소 3년간 보존하여야 한다. 사전에 평가하여야 할 개인정보처리활동은 다음과 같다.
  ① 민감한 개인정보를 취급하는 경우
  ② 개인정보를 이용하여 자동화된 결정을 진행하는 경우
  ③ 개인정보 위탁처리, 제 3자에게 개인정보를 제공, 개인 정보를 공개하는 경우
  ④ 해외에 개인정보를 제공하는 경우
  ⑤ 그 외 개인권익에 중대한 영향을 미치는 있는 기타 개인정보처리활동

네트워크안전법과 데이터안전법, 그리고 곧 시행될 개인정보보호법은 현재 중국의 데이터안전을 위한 법률시스템으로써 해당 기업들은 위 법률규정에 의거한 준법경영준비를 해야 함과 동시에 곧이어 나올 시행 세칙들을 예상하여 면밀한 검토를 통한 대응책을 마련할 필요가 있을 것으로 보인다.

※ 이 원고는 외부 전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려드립니다.