중국은 작년 8월 20일 제13차 전국인민대표대회 상무위원회 제30차 회의에서 <중화인민공화국개인정보보호법>(이하 ‘개인정보보호법’)을 통과시켰고 같은 해 11월 1일부터 발효해 시행 중이다. 이 법은 중국판 GDPR(General Data Protection Regulation, EU에서 시행 중인 개인정보보호법)로 이해할 수 있으나 민감개인정보에 대한 규정이나 제재 부분에서 GDPR보다 엄격해 우리 기업들의 관심과 대응이 중요하다.

 

개인정보보호법은 중국의 정보화(Digitization)와 경제/사회 간의 융합이 심화됨에 따라 민감개인정보를 포함한 수많은 개인정보가 인터넷상에 유출되는 것과 이를 통한 범죄 악용과 피해 사례를 막기 위해 중국 정부가 제정한 법률이다. 2020년 12월 기준 중국의 인터넷 사용자는 9억8900만 명에 달하며 인터넷 웹사이트 수는 443만 개, 응용프로그램도 345만 개를 초과했다. 과거에도 이러한 문제를 방지하고자 한 움직임이 있었으나 법률을 제정한 것은 이 법이 처음이다.

 

법률 도입 배경과 목차

 

중국 정부는 개인정보보호법의 제정 배경과 목적을 다음과 같이 밝혔다.

 

기업의 디지털 기술 응용이 더욱 전문적이고 숙련되면서 소비자들은 상대적으로 취약하게 되었고 개인의 프라이버시는 이미 기업의 수중에서 이익을 위한 수단으로 전락하였다. 이에 개인정보보호에 대한 법적 보장을 더욱 강화하고 사이버공간의 양호한 생태를 유지하며 디지털 경제의 건전한 발전을 촉진하기 위해 이 법을 제정한다.

 

개인정보보호법은 아래와 같은 목차로 이루어져 있다.

 

 

주요 내용

 

(1) 적용 대상 및 개인정보 처리자

 

개인정보보호법의 적용대상은 ‘경내에서의 자연인의 개인정보처리활동’이며 역외에서 중국 경내의 자연인의 개인정보를 처리하는 활동도 다음과 같은 상황에 해당할 경우 적용된다.

 ① 중국 경내의 자연인에게 제품 또는 서비스를 제공하는 것을 목적으로 하는 경우

 ② 중국 내 자연인의 행위를 분석하고 평가하는 경우

 ③ 법률 및 행정법규가 정하는 기타 상황

 

법이 규정하는 개인정보처리자는 ‘개인정보처리활동 중 자체적으로 처리목적과 처리방식을 결정하는 조직 또는 개인’을 뜻한다. 따라서 중국 개인정보보호법에 따르면 중국 내에서 개인정보를 취급하는 개인이나 기업은 모두 해당 법률에 적용되며 원칙적으로는 중국 역외에서도 중국인을 대상으로 판매, 데이터를 분석하는 경우에 개인정보보호법의 적용 대상이 된다.

 

(2) 개인정보의 수집

 

법률 제13조, 17조는 ‘개인정보의 수집’에 관한 내용을 다루고 있다. 우선 제13조는 개인정보처리 조건을 다음과 같이 밝히고 있다.

 ① 개인의 동의를 받은 경우

 ② 계약의 체결 또는 이행에 필요한 경우

 ③ 법적 직무 또는 법적 의무의 이행을 위해 필요한 경우

 ④ 공공보건사고에 대응하거나 응급한 상황에서 자연인의 생명 건강 및 자산 안전보호를 위해 필요한 경우

 ⑤ 합리적인 범위 내에서 이미 공개된 개인정보를 처리하는 경우

 ⑥ 공공의 이익을 위한 신문 보도, 여론 모니터링 등 합리적인 범위 내에서 개인정보를 처리하는 경우

 ⑦ 법률, 행정법규에서 규정하는 기타 사항(이 경우에는 동의 불요)

 

또한 17조에 의하면 개인정보처리자는 개인정보를 처리하기 전에 반드시 명확하고 이해하기 쉬운 언어로 다음 각 호의 사항을 진실하고 정확하고 완전하게 알려주어야 한다.

 ① 개인정보처리자의 명칭 또는 성명과 연락방식

 ② 개인정보처리목적, 처리방식, 개인정보처리 종류, 보존기한

 ③ 개인이 본 법이 정한 권리를 행사하는 방식과 절차

 ④ 법률 및 행정법규가 고지하여야 한다고 규정한 기타 사항

    · 전항의 규정 사항에 변경이 생겼을 경우 그 변경 부분을 개인에게 고지해야 한다.

 

(3) 개인정보의 이용

 

제21조부터 23조까지는 개인정보의 이용(위탁, 제3자 제공)에 대해 다루고 있다.

 

제21조(위탁) 개인정보처리자가 개인정보를 위탁 처리하는 경우 수탁자와 위탁처리의 목적, 기간, 처리방식, 개인정보의 종류, 보호조치 및 쌍방의 권리와 의무 등을 약정하여야 하며 수탁자의 개인정보처리활동에 대하여 감독을 실시하여야 한다. 수탁자는 약정에 따라 개인정보를 처리하여야 하며 약정한 처리목적, 처리방식 등을 초과해 개인정보를 처리하여서는 안된다. 위탁 계약이 발효, 무효, 취소 또는 종료된 경우에 수탁자는 개인정보를 개인정보처리자에게 반환하거나 삭제하여야 하며 보류하여서는 안된다. 수탁자는 개인정보처리자의 동의없이 개인정보를 타인에게 재위탁하여 처리해서는 안된다. ※ 개인정보처리업무위탁: 개인정보의 수집, 관리업무 그 자체를 위탁 ※ 개인정보취급업무위탁: 마케팅 위탁(홍보, 판매권유), 계약이행업무(상품배달, A/S등), 클라우드 서비스

 

제22조(제3자 제공) 개인정보처리자(법인)가 합병, 분리, 해산, 파산선고 등의 원인으로 개인정보를 이전할 필요가 있는 경우 개인에게 접수자의 명칭이나 성명, 연락방법을 알려주어야 한다. 수신자는 개인정보처리자의 의무를 계속 이행해야 한다. 접수자가 원래의 처리 목적과 방식을 변경할 경우 본 법 규정에 따라 개인의 동의를 다시 얻어야 한다.

 

제23조(제3자 제공) 개인정보처리자가 자기가 처리한 개인정보를 다른 개인정보처리자에게 제공하는 경우에는 수신자의 명칭이나 성명, 연락처, 처리목적, 처리방식 및 개인정보종류를 개인에게 고지하고 개인의 동의를 별도로 얻어야 한다. 수신자는 상기 처리 목적과 처리 방식, 개인정보의 종류 등의 범위 내에서 개인정보를 처리해야 한다. 접수인이 원래의 처리 목적과 방식을 변경할 경우 본 법의 규정에 따라 개인의 동의를 다시 얻어야 한다.

 

(4) 개인정보의 역외(해외) 제공

 

중국 개인정보보호법 중 눈여겨봐야 할 부분이 제38조, 39조의 ‘개인정보 해외제공’ 부분이다. 개인정보의 해외제공이란 중국에서 수집, 처리한 개인정보를 중국 외로 반출하는 것을 의미한다. 법률 제38조와 39조는 다음과 같이 개인정보 해외제공에 관한 조건을 명시하고 있다.

 

제38조 개인정보처리자가 업무 등의 수요로 확실히 중화인민공화국 역외에 개인정보를 제공할 필요가 있는 경우 다음 각 호의 어느 하나에 해당하는 조건을 구비하여야 한다. (1) 본 법 제40조의 규정에 따라 국가인터넷정보부문이 조직한 안전평가를 통과해야 한다. (2) 국가 인터넷정보부문의 규정에 따라 전문기구를 통해 개인정보보호인증을 받는다. (3) 국가 인터넷정보부문이 제정한 표준계약에 따라 역외 접수자와 계약을 체결하고 쌍방의 권리와 의무를 약정한다. (4) 법률, 행정법규 또는 국가인터넷정보부문에서 규정한 기타 조건에 부합해야 한다. 제39조 개인정보처리자가 중화인민공화국 역외에 개인정보를 제공할 경우 개인에게 역외 접수자의 명칭, 성명, 연락처, 목적, 처리 방식, 개인정보의 종류 및 개인이 역외 접수자에게 본법이 정한 권리를 행사하는 방식과 절차 등 사항을 고지해야 하는 동시에 개인이 별도 동의를 거쳐야 한다.

 

(5) 민감개인정보

 

본 법에서 정의하는 민감 개인정보란 ‘일단 유출을 하거나 불법적으로 사용 시 쉽게 자연인의 인격존엄이 침해받거나 인신, 재산 안전이 위협을 받게 되는 개인정보’를 말한다. 통상적으로 생물식별 정보(음성, 지문, 안면 등), 종교신앙, 특정신분, 의료정보, 건강정보, 금융계좌, 행방궤적 정보 및 14세 미만 미성년자의 개인정보가 민감 개인정보에 포함된다.

 

<민감 개인정보 예시>

구분	예시
자산 정보	OTP, 예금정보, 부동산 정보, 대출기록, 신용정보 등
건강/보건 정보	개인의 질병치료 등으로 인해 발생한 관련 기록
생체인식 정보	유전자 정보, 지문, 음성, 정맥, 귀모양, 홍채, 안면 특징 등
신원정보	신분증, 군관증, 여권, 운전면허증, 사원증, 사회보험카드, 거주증 등
온라인 신분 식별 정보	시스템 계정, 메일주소 및 이와 관련된 비밀번호 등
기타 정보	개인전화번호, 성 취향, 결혼이력, 종교신앙, 미공개위법범죄 기록, 통신기록 및 내용, 행적 정보, 사이트 열람 기록, 숙박정보, 정확한 위치정보 등

[자료: 상하이단앤단법률사무소]

 

(6) 법률 책임

 

제66조는 본 법의 규정을 위반했을 시의 책임에 대해 다루고 있다. 처벌의 종류로는 위법소득 몰수, 벌금, 업무 중지, 영업허가증 취소 등이 있다.

 

제66조 본 법의 규정을 위반하고 개인정보를 처리하였거나 개인정보를 처리하면서 본 법이 정한 개인정보보호의무를 이행하지 않은 경우 개인정보보호직책 이행부서가 시정을 명하고 경고를 하며 위법소득을 몰수한다. 시정을 거부할 경우에는 100만 위안 이하의 벌금을 부과하며 직접 책임자와 기타 책임자에게는 1만 위안 이상 10만 위안 이하의 벌금을 부과한다.   전항에 규정한 위법행위가 있고 그 정도가 심각한 경우 성급(省級) 이상의 개인정보보호 직책을 이행하는 부문이 그 시정을 명하고 위법소득을 몰수하며 5,000만 위안 이하의 벌금을 부과 또는 전년도 매출액의 5% 이하의 벌금을 부과하며 관련 업무를 일시 중지하도록 명하거나 조업중지, 자격증 취소 또는 영업허가증을 취소한다. 직접 책임을 진 담당자와 기타 책임자에게는 10만 위안 이상 100만 위안 이하의 벌금을 부과하고 일정기간 관련 기업의 이사, 감사, 고위관리자와 개인정보보호책임자의 재직금지 등을 결정할 수 있다.

 

중국 진출 기업 유의사항

 

중국에서 사업을 영위하는 진출기업의 경우 경영활동 중 자연스럽게 개인정보를 처리하게 된다. 구체적으로 직원채용, 인사관리, 마케팅 활동 중 개인정보를 수집, 저장, 분석하게 되고 이를 본사에 보고하는 경우에는 개인정보의 역외전송까지 하게 된다. 이때 개인정보 유출, 남용 등의 문제를 예방하기 위해서는 구체적으로 다음과 같은 열 가지 사항을 지켜야 한다.

 ① 개인정보보호 책임자/담당자 지정 및 교육 실시

 ② 개인정보 관리대장 작성

 ③ 최소한의 개인정보 수집

 ④ 개인정보 PC 보관 시 암호화

 ⑤ 개인정보 외부 유출 금지

 ⑥ Wechat 등 채팅방에서 개인정보 공유 금지

 ⑦ 외부 메일 발송 시 파일 및 메일 암호화

 ⑧ 단체 메일 발송 최소화(개별 발송)

 ⑨ 컴퓨터 바이러스 백신 주기적 업데이트, 외부 메일 수신 주의

 ⑩ 문제 발생 시 개인정보보호 책임자에게 즉시 연락, 조치

 

특히 인사관리와 데이터 해외전송에 관해서는 구체적으로 아래와 같은 사항에 유의해야 한다. 직원 채용을 예로 들면 근로계약의 협상체결부터 실제 이행에 이르기까지 전과정에서 불가피하게 직원의 개인정보를 수집하고 사용해야 한다.

 

(1) 인사관리 주의사항

 

우선 직원채용 시 고용업체에서는 채용공고 내용에 다음과 같은 사항을 기재하여 문제를 예방할 수 있다.

 

“应聘者同意由用人单位获得简历中包含的个人信息”

(지원자는 고용업체가 이력서 중에 포함되어 있는 개인정보를 획득하는 것에 대해 동의합니다.)

 

또한 입사지원서에는 구직자의 개인정보 범위와 신체검사의 범위를 최소로 설정하는 것이 좋다. 입사지원서 필수(최소) 항목인 이름, 생일, 성별, 민족, 주소, 교육, 근무경력만 적게하고 신체검사 또한 기본적인 신체검사로 한정하고 회사업무와 관련 없는 신체검사는 요구하지 않는 것이 좋다. 최종적으로 탈락했거나 입사하지 않은 지원자들의 이력서는 모두 삭제하거나 익명처리하는 것이 좋다.

 

직원의 근태관리와 관련해서 안면인식 또는 지문을 통한 출퇴근관리, 직원 컴퓨터 및 메일에 대한 감시/통제, CCTV 설치 또한 개인정보를 수집하고 처리하는 것에 해당된다. 따라서 사측에서는 직원에게 이를 고지하고 동의를 받아야 한다. 예를 들어 지문, 안면은 민감 개인정보로 분류돼 이를 통한 출퇴근 관리, CCTV 운영 시 직원에게 개인정보처리동의서를 징구해야 한다. 만약 직원이 이러한 출퇴근관리 제도에 동의하지 않을 경우 회사는 기타 대체 가능한 출근기록방식을 제공하거나 식별방식의 대체불가능성을 설명해야 한다. CCTV의 경우에도 공공사무구역에 설치할 수 있으며 직원에게 통보하고 동의를 받아야 한다.

 

(2) 개인정보 역외(해외)전송

 

개인정보의 역외전송 부분은 전체 법률 중에 가장 까다로운 부분 중 하나이다. 개인정보를 역외로 전송하기 위해서는 계약 체결과 안전평가 등이 필요하기 때문이다. 우선 중국 개인정보보호법에서는 기본적으로 개인정보의 저장은 역내에 해야 함을 밝히고 있다.

 

제36조 국가기관이 처리한 개인정보는 중화인민공화국 역내에 보관해야 한다. 역외에 제공해야 할 확실한 필요가 있는 경우 안전평가를 실시해야 한다. 안전평가는 유관 부처에 지원과 협조를 요청할 수 있다.

 

다만, 제38조에서는 개인정보처리자가 업무 등의 필요로 인해 개인정보를 역외에 제공해야 할 확실한 필요가 있는 경우 동 조항이 제시하는 조건에 따라야 한다고 밝히고 있다. 다만 이 경우에도 다음과 같은 규정을 준수해야 한다.

 ① 개인정보 수신자 명칭 등 중국 개인정보보호법 제39조에 규정된 사항 고지

 ② 개인의 별도 동의

 ③ 안전평가 또는 개인정보보호 인증 또는 개인정보 역외 접수자와의 계약

 ④ 개인정보보호 영향평가 및 처리 상황 기록

 ⑤ 개인정보 수신자의 개인정보 보호 수준이 중국 개인정보보호법 규정 표준에 부합하도록 보장

 

개인정보를 중국 역외로 반출할 때 중요한 것은 사전에 개인정보를 접수 받는 주체(한국 본사 등)와 계약을 체결해야 하고 개인정보 전송에 대해 영향평가를 실시해야 한다는 것이다.

 

<개인정보 역외전송 사전 절차>

① 역외 제공의 접수자가 국가 인터넷 정보 부처에서 작성한 개인정보 제공 제한 또는 금지 리스트에 포함돼 있는지 확인 ② 안전평가 또는 인증 또는 접수자와의 계약 중 하나의 조건을 갖춤.  - 국가 인터넷 정보부서의 안전평가  - 국가 인터넷 정보부서 규정에 따라 전문 기관의 개인정보보호 인증  - 국가 인터넷 정보부문이 제정한 표준계약서로 경외 접수자와 계약을 체결하고 쌍방의 권리와 의무를 정함. ③ 개인정보보호 영향 평가 수행  - 개인정보보호 영향평가 지침에 따라 영향평가 실시

[자료: KOTRA]

 

이외에도 개인정보 역외전송 시에는 개인정보처리활동 기록 지침에 따라 경외 제공 사항을 기록해야 하고 이를 최소 3년 동안 보존해야 한다. 또한 개인정보를 역외전송 함에 있어 다음과 같은 사항에 해당되는 경우 안전평가 신고의무를 이행해야 한다.

  ① 핵심 정보 인프라의 운영자가 수집하고 생성하는 개인정보 및 중요 데이터

  ② 역외 이전 데이터에 중요한 데이터가 포함되어 있는 경우

  ③ 개인정보를 처리하는데 100만 명에 달하는 개인정보가 역외로 제공되는 경우

  ④ 누계 10만 명 이상의 개인정보 또는 1만 명 이상의 민감개인정보를 역외로 제공하는 경우

  ⑤ 국가인터넷정보부서 규정상 해외 안전평가를 신고해야 하는 경우

 

시사점

 

중국의 개인정보보호법은 작년 11월 1일부로 시행됐으나 진출기업뿐만 아니라 중국의 현지기업들도 본 법에 대한 인지와 이해가 부족한 경우가 있다. 그러나 해당 법을 위반하여 처벌을 받는 경우 작게는 100만 위안 이하의 벌금(책임자의 경우 1만~10만 위안)이 부과되며 크게는 영업허가증이 취소까지 될 수 있다. 기업 입장에서는 경영상의 리스크 요인이 추가된 상황이다. 따라서 우리 기업들의 관심과 조치가 필요하다.

 

중국의 개인정보보호법을 100% 원칙대로 준수하려면 다소 번거로운 것이 사실이다. 기업은 책임자 지정부터 개인정보대장 관리, 파일 암호화 및 유출 방지, 영향평가, 계약체결, 파일에 대한 주기적 관리에 이르기까지 전주기적 관리가 필요하다. 향후 시행령과 규칙과 같은 보다 구체적인 지침이 나오게 되면 실무적인 관리와 운용에 있어 보다 수월할 것으로 예상된다. 만약 소규모 진출기업이 내부적으로 본 법률에 대한 이해와 조치가 어렵다면 해당 지역 KOTRA 무역관 한국투자기업지원센터 자문변호사 혹은 현지 법률사무소를 통해 실무적인 도움을 받는 것도 고려해볼 수 있다.

 

자료: 중국 국무원, 상하이단앤단법률사무소, KISA 및 KOTRA 다롄 무역관 자료 종합