권종군 변호사, 잉커(톈진) 법률사무소

중국에서 개인정보에 대한 보호가 강화됨에 따라 2021년 11월 1일부터 시행하는 <개인정보보호법>은 중국시장을 상대하는 기업에 주는 시사점이 많다. 

1. 기업은 개인정보 권익에 관심을 기울여야 하며, 해외에서의 중국 자연인 개인정보 처리에도 주의해야 한다.

기업은 실제 경영 중 특히 데이터 수집, 사용 및 전송 과정에서 반드시 개인 정보의 권익에 관심을 기울여야 하고 개인정보 누설, 개인 정보 과다 수집 등 권익을 침해하는 행위의 발생을 방지해야 한다. 그렇지 않으면 민사, 행정, 심지어 형사의 관련 책임을 져야 한다. 또한 기업은 <개인정보보호법>이 중국 경내에서 자연인의 개인정보를 처리하는 활동뿐만 아니라 해외에서 중국 국내 자연인의 개인정보를 처리하는 활동에도 적용된다는 점에 주의해야 한다. 이것은 글로벌 사업을 하는 기업들에 더 높은 규정 준수 요건을 제시하며 주목할 필요가 있다.

2. 기업의 개인정보를 처리 시 기본적인 요구

“고지-동의”를 기본원칙으로 개인정보 처리 시 개인에게 개인정보처리의 목적, 방법 등에 대해 충분히 고지를 하고 동의를 받아야 할 뿐만 아니라 민감한 개인정보에 대해 포괄동의가 아닌 개별동의를 받아야 한다. 기업에서는 개인정보보호법에 따라 타인의 개인정보를 불법으로 수집, 사용, 가공, 전송하거나 타인의 개인정보를 불법으로 매매, 제공 또는 공개해서도 안된다. 국가안전, 공공이익에 위해를 가하는 개인정보처리활동에 종사하는 것도 위법에 해당하며 이는 기업이 데이터 수집과 처리활동 과정에서 제기하는 기본적인 합법성에 대한 요구이기도 하다.

3. 기업이 개인정보를 공동 처리하는 경우

둘 이상의 개인정보처리자가 공동으로 개인정보의 처리 목적과 처리방식을 결정하는 경우에는 각자의 권리와 의무를 약정해야 한다. 개인은 공동으로 처리하는 임의의 일방에 대해 권리를 행사할 권리가 있으며, 계약은 합작기업 내부에서만 효력을 발생시킬 수 있다. 일단 개인정보권익을 침해하여 손해를 초래한 경우 기업은 모두 법에 따라 연대책임을 져야 한다.

4. 기업은 빅데이터관리를 규범화해야 한다.

개인정보보호법에서 이를 명확히 규제하고 있는데, 즉 개인정보 처리자가 개인정보를 이용하여 자동화된 의사결정을 하는 경우 의사결정의 투명성과 결과의 공평, 공정성을 보장해야 하며 개인에게 거래가격 등 거래조건에서 불합리한 차별대우를 해서는 안 된다. 그중 자동화 의사결정이란 컴퓨터 프로그램을 통해 개인의 행동 습관, 취미 또는 경제, 건강, 신용상태 등을 자동으로 분석, 평가해 의사결정을 하는 활동을 말한다. 또한 기업의 경우 자동화된 의사결정 방식을 통해 개인의 권익에 중대한 영향을 미치는 결정을 내리는 것에 주의해야 하며, 개인은 개인정보 처리자에게 설명을 요구할 권리가 있고 개인정보 처리자가 자동화된 의사결정 방식을 통해서만 결정을 내리는 것을 거부할 권리가 있다. 그러므로 기업은 중대한 영향을 미치는 결정 상황을 구분하고 사용자에게 거부할 수 있는 권리를 주어야 한다.

5. 기업은 민감한 개인정보(미성년자 정보 포함)의 처리를 엄격히 제한해야 한다.

개인정보보호법에서 민감한 개인정보에 대한 내용을 다루고 있으므로 기업은 민감한 개인정보를 더욱 조심스럽게 처리해야 한다. 민감한 개인정보가 유출되거나 불법적으로 사용되면 자연인의 인격적 존엄성이 침해되거나 인신, 재산의 안전을 해치기 쉽기 때문이다. 예를 들면, 생체인식, 종교신앙, 특정신분, 의료건강, 금융계좌, 행적 추적 등 정보 및 만 14세 미만의 미성년자의 개인정보 등이 있다. 따라서 현재 개인정보 처리자는 특정한 목적과 충분한 필요성이 있고 엄격한 보호조치를 취한 경우에만 민감한 개인정보를 처리할 수 있다. 또한 민감한 개인정보는 개인의 개별적인 동의를 얻어야 한다.

6. 기업이 해외로 개인정보를 처리하는 규칙

일반적으로 개인정보처리자가 업무상 필요한 경우 해외에 개인정보를 제공할 때에는 다음 각 호의 어느 하나에 해당하는 요건을 갖추어야 한다.

(1) 법에 따라 국가 인터넷 정보부문이 조직한 안전평가를 통과해야 한다.

(2) 국가 인터넷 정보부서의 규정에 따라 전문기관의 개인정보보호 인증을 받아야 한다.

(3) 국가 인터넷 정보부문이 제정한 표준계약서에 따라 경외 접수 측과 계약을 체결하고 쌍방의 권리와 의무를 약정해야 한다.

(4) 법률, 행정법규 또는 국가 인터넷 정보부서가 규정한 기타 조건

7. 위반 시 벌칙이 과중함으로 반드시 주의해야 한다.

(1) 위반하는 경우 시정 명령, 경고, 불법소득 몰수, 불법으로 개인정보를 처리하는 프로그램에 대한 서비스 일시 정지 또는 종료 명령을 내린다; 시정을 거부하는 경우, 100만 위안 이하의 벌금을 부과한다; 직접 책임을 지는 주관인원과 기타 직접 책임자에 대해서는 1만 위안 이상 10만 위안 이하의 벌금를 부과한다
(2) 사안이 심각한 경우 시정을 명령하고 위법소득을 몰수하며, 5000만 위안 이하 또는 전년도 영업액의 5% 이하의 벌금을 부과하고 관련 업무의 일시 정지 또는 영업정지를 명령할 수 있으며, 관련 주관부서에 통보해 관련 업무허가 취소 또는 사업자등록증 말소를 할수 있다; 직접 책임을 지는 임원과 그 밖의 직접 책임자에 대해서는 10만 위안 이상 100만 위안 이하의 벌금을 부과하고 일정 기간 해당 기업의 동사, 감사, 고급 임원 및 개인정보보호 책임자의 임직을 금지하는 결정을 내릴 수 있다.

(3) 개인정보처리자가 이 법의 규정을 위반하여 개인정보를 처리하는 경우, 수많은 개인의 권익을 침해하는 경우에 인민검찰원, 법률이 규정한 소비자조직과 국가인터넷정보부서가 확정한 조직은 법에 따라 인민법원에 소송을 제기할 수 있다.

결론적으로, <개인정보보호법>은 개인정보의 보호와 관련하여 더 많고 까다로운 요구 사항을 제기하고 있다. 따라서 중국 시장에 진출하려는 기업은 이 법의 규정에 대해 더욱 주목할 필요가 있다.

※ 해당 원고는 외부 전문가가 작성한 정보로 KOTRA 공식의견이 아님을 알려드립니다.