다롄무역관 한상은
중국은 작년 8월 20일 제13차 전국인민대표대회 상무위원회 제30차 회의에서 <중화인민공화국개인정보보호법>(이하 ‘개인정보보호법’)을 통과시켰고 같은 해 11월 1일부터 발효해 시행 중이다. 이 법은 중국판 GDPR(General Data Protection Regulation, EU에서 시행 중인 개인정보보호법)로 이해할 수 있으나 민감개인정보에 대한 규정이나 제재 부분에서 GDPR보다 엄격해 우리 기업들의 관심과 대응이 중요하다.
개인정보보호법은 중국의 정보화(Digitization)와 경제/사회 간의 융합이 심화됨에 따라 민감개인정보를 포함한 수많은 개인정보가 인터넷상에 유출되는 것과 이를 통한 범죄 악용과 피해 사례를 막기 위해 중국 정부가 제정한 법률이다. 2020년 12월 기준 중국의 인터넷 사용자는 9억8900만 명에 달하며 인터넷 웹사이트 수는 443만 개, 응용프로그램도 345만 개를 초과했다. 과거에도 이러한 문제를 방지하고자 한 움직임이 있었으나 법률을 제정한 것은 이 법이 처음이다.
법률 도입 배경과 목차
중국 정부는 개인정보보호법의 제정 배경과 목적을 다음과 같이 밝혔다.
개인정보보호법은 아래와 같은 목차로 이루어져 있다.
주요 내용
(1) 적용 대상 및 개인정보 처리자
개인정보보호법의 적용대상은 ‘경내에서의 자연인의 개인정보처리활동’이며 역외에서 중국 경내의 자연인의 개인정보를 처리하는 활동도 다음과 같은 상황에 해당할 경우 적용된다. ① 중국 경내의 자연인에게 제품 또는 서비스를 제공하는 것을 목적으로 하는 경우 ② 중국 내 자연인의 행위를 분석하고 평가하는 경우 ③ 법률 및 행정법규가 정하는 기타 상황
법이 규정하는 개인정보처리자는 ‘개인정보처리활동 중 자체적으로 처리목적과 처리방식을 결정하는 조직 또는 개인’을 뜻한다. 따라서 중국 개인정보보호법에 따르면 중국 내에서 개인정보를 취급하는 개인이나 기업은 모두 해당 법률에 적용되며 원칙적으로는 중국 역외에서도 중국인을 대상으로 판매, 데이터를 분석하는 경우에 개인정보보호법의 적용 대상이 된다.
(2) 개인정보의 수집
법률 제13조, 17조는 ‘개인정보의 수집’에 관한 내용을 다루고 있다. 우선 제13조는 개인정보처리 조건을 다음과 같이 밝히고 있다. ① 개인의 동의를 받은 경우 ② 계약의 체결 또는 이행에 필요한 경우 ③ 법적 직무 또는 법적 의무의 이행을 위해 필요한 경우 ④ 공공보건사고에 대응하거나 응급한 상황에서 자연인의 생명 건강 및 자산 안전보호를 위해 필요한 경우 ⑤ 합리적인 범위 내에서 이미 공개된 개인정보를 처리하는 경우 ⑥ 공공의 이익을 위한 신문 보도, 여론 모니터링 등 합리적인 범위 내에서 개인정보를 처리하는 경우 ⑦ 법률, 행정법규에서 규정하는 기타 사항(이 경우에는 동의 불요)
또한 17조에 의하면 개인정보처리자는 개인정보를 처리하기 전에 반드시 명확하고 이해하기 쉬운 언어로 다음 각 호의 사항을 진실하고 정확하고 완전하게 알려주어야 한다. ① 개인정보처리자의 명칭 또는 성명과 연락방식 ② 개인정보처리목적, 처리방식, 개인정보처리 종류, 보존기한 ③ 개인이 본 법이 정한 권리를 행사하는 방식과 절차 ④ 법률 및 행정법규가 고지하여야 한다고 규정한 기타 사항 · 전항의 규정 사항에 변경이 생겼을 경우 그 변경 부분을 개인에게 고지해야 한다.
(3) 개인정보의 이용
제21조부터 23조까지는 개인정보의 이용(위탁, 제3자 제공)에 대해 다루고 있다.
(4) 개인정보의 역외(해외) 제공
중국 개인정보보호법 중 눈여겨봐야 할 부분이 제38조, 39조의 ‘개인정보 해외제공’ 부분이다. 개인정보의 해외제공이란 중국에서 수집, 처리한 개인정보를 중국 외로 반출하는 것을 의미한다. 법률 제38조와 39조는 다음과 같이 개인정보 해외제공에 관한 조건을 명시하고 있다.
(5) 민감개인정보
본 법에서 정의하는 민감 개인정보란 ‘일단 유출을 하거나 불법적으로 사용 시 쉽게 자연인의 인격존엄이 침해받거나 인신, 재산 안전이 위협을 받게 되는 개인정보’를 말한다. 통상적으로 생물식별 정보(음성, 지문, 안면 등), 종교신앙, 특정신분, 의료정보, 건강정보, 금융계좌, 행방궤적 정보 및 14세 미만 미성년자의 개인정보가 민감 개인정보에 포함된다.
<민감 개인정보 예시>
[자료: 상하이단앤단법률사무소]
(6) 법률 책임
제66조는 본 법의 규정을 위반했을 시의 책임에 대해 다루고 있다. 처벌의 종류로는 위법소득 몰수, 벌금, 업무 중지, 영업허가증 취소 등이 있다.
중국 진출 기업 유의사항
중국에서 사업을 영위하는 진출기업의 경우 경영활동 중 자연스럽게 개인정보를 처리하게 된다. 구체적으로 직원채용, 인사관리, 마케팅 활동 중 개인정보를 수집, 저장, 분석하게 되고 이를 본사에 보고하는 경우에는 개인정보의 역외전송까지 하게 된다. 이때 개인정보 유출, 남용 등의 문제를 예방하기 위해서는 구체적으로 다음과 같은 열 가지 사항을 지켜야 한다. ① 개인정보보호 책임자/담당자 지정 및 교육 실시 ② 개인정보 관리대장 작성 ③ 최소한의 개인정보 수집 ④ 개인정보 PC 보관 시 암호화 ⑤ 개인정보 외부 유출 금지 ⑥ Wechat 등 채팅방에서 개인정보 공유 금지 ⑦ 외부 메일 발송 시 파일 및 메일 암호화 ⑧ 단체 메일 발송 최소화(개별 발송) ⑨ 컴퓨터 바이러스 백신 주기적 업데이트, 외부 메일 수신 주의 ⑩ 문제 발생 시 개인정보보호 책임자에게 즉시 연락, 조치
특히 인사관리와 데이터 해외전송에 관해서는 구체적으로 아래와 같은 사항에 유의해야 한다. 직원 채용을 예로 들면 근로계약의 협상체결부터 실제 이행에 이르기까지 전과정에서 불가피하게 직원의 개인정보를 수집하고 사용해야 한다.
(1) 인사관리 주의사항
우선 직원채용 시 고용업체에서는 채용공고 내용에 다음과 같은 사항을 기재하여 문제를 예방할 수 있다.
“应聘者同意由用人单位获得简历中包含的个人信息” (지원자는 고용업체가 이력서 중에 포함되어 있는 개인정보를 획득하는 것에 대해 동의합니다.)
또한 입사지원서에는 구직자의 개인정보 범위와 신체검사의 범위를 최소로 설정하는 것이 좋다. 입사지원서 필수(최소) 항목인 이름, 생일, 성별, 민족, 주소, 교육, 근무경력만 적게하고 신체검사 또한 기본적인 신체검사로 한정하고 회사업무와 관련 없는 신체검사는 요구하지 않는 것이 좋다. 최종적으로 탈락했거나 입사하지 않은 지원자들의 이력서는 모두 삭제하거나 익명처리하는 것이 좋다.
직원의 근태관리와 관련해서 안면인식 또는 지문을 통한 출퇴근관리, 직원 컴퓨터 및 메일에 대한 감시/통제, CCTV 설치 또한 개인정보를 수집하고 처리하는 것에 해당된다. 따라서 사측에서는 직원에게 이를 고지하고 동의를 받아야 한다. 예를 들어 지문, 안면은 민감 개인정보로 분류돼 이를 통한 출퇴근 관리, CCTV 운영 시 직원에게 개인정보처리동의서를 징구해야 한다. 만약 직원이 이러한 출퇴근관리 제도에 동의하지 않을 경우 회사는 기타 대체 가능한 출근기록방식을 제공하거나 식별방식의 대체불가능성을 설명해야 한다. CCTV의 경우에도 공공사무구역에 설치할 수 있으며 직원에게 통보하고 동의를 받아야 한다.
(2) 개인정보 역외(해외)전송
개인정보의 역외전송 부분은 전체 법률 중에 가장 까다로운 부분 중 하나이다. 개인정보를 역외로 전송하기 위해서는 계약 체결과 안전평가 등이 필요하기 때문이다. 우선 중국 개인정보보호법에서는 기본적으로 개인정보의 저장은 역내에 해야 함을 밝히고 있다.
다만, 제38조에서는 개인정보처리자가 업무 등의 필요로 인해 개인정보를 역외에 제공해야 할 확실한 필요가 있는 경우 동 조항이 제시하는 조건에 따라야 한다고 밝히고 있다. 다만 이 경우에도 다음과 같은 규정을 준수해야 한다. ① 개인정보 수신자 명칭 등 중국 개인정보보호법 제39조에 규정된 사항 고지 ② 개인의 별도 동의 ③ 안전평가 또는 개인정보보호 인증 또는 개인정보 역외 접수자와의 계약 ④ 개인정보보호 영향평가 및 처리 상황 기록 ⑤ 개인정보 수신자의 개인정보 보호 수준이 중국 개인정보보호법 규정 표준에 부합하도록 보장
개인정보를 중국 역외로 반출할 때 중요한 것은 사전에 개인정보를 접수 받는 주체(한국 본사 등)와 계약을 체결해야 하고 개인정보 전송에 대해 영향평가를 실시해야 한다는 것이다.
<개인정보 역외전송 사전 절차>
[자료: KOTRA]
이외에도 개인정보 역외전송 시에는 개인정보처리활동 기록 지침에 따라 경외 제공 사항을 기록해야 하고 이를 최소 3년 동안 보존해야 한다. 또한 개인정보를 역외전송 함에 있어 다음과 같은 사항에 해당되는 경우 안전평가 신고의무를 이행해야 한다. ① 핵심 정보 인프라의 운영자가 수집하고 생성하는 개인정보 및 중요 데이터 ② 역외 이전 데이터에 중요한 데이터가 포함되어 있는 경우 ③ 개인정보를 처리하는데 100만 명에 달하는 개인정보가 역외로 제공되는 경우 ④ 누계 10만 명 이상의 개인정보 또는 1만 명 이상의 민감개인정보를 역외로 제공하는 경우 ⑤ 국가인터넷정보부서 규정상 해외 안전평가를 신고해야 하는 경우
시사점
중국의 개인정보보호법은 작년 11월 1일부로 시행됐으나 진출기업뿐만 아니라 중국의 현지기업들도 본 법에 대한 인지와 이해가 부족한 경우가 있다. 그러나 해당 법을 위반하여 처벌을 받는 경우 작게는 100만 위안 이하의 벌금(책임자의 경우 1만~10만 위안)이 부과되며 크게는 영업허가증이 취소까지 될 수 있다. 기업 입장에서는 경영상의 리스크 요인이 추가된 상황이다. 따라서 우리 기업들의 관심과 조치가 필요하다.
중국의 개인정보보호법을 100% 원칙대로 준수하려면 다소 번거로운 것이 사실이다. 기업은 책임자 지정부터 개인정보대장 관리, 파일 암호화 및 유출 방지, 영향평가, 계약체결, 파일에 대한 주기적 관리에 이르기까지 전주기적 관리가 필요하다. 향후 시행령과 규칙과 같은 보다 구체적인 지침이 나오게 되면 실무적인 관리와 운용에 있어 보다 수월할 것으로 예상된다. 만약 소규모 진출기업이 내부적으로 본 법률에 대한 이해와 조치가 어렵다면 해당 지역 KOTRA 무역관 한국투자기업지원센터 자문변호사 혹은 현지 법률사무소를 통해 실무적인 도움을 받는 것도 고려해볼 수 있다.
자료: 중국 국무원, 상하이단앤단법률사무소, KISA 및 KOTRA 다롄 무역관 자료 종합 <저작권자 : ⓒ KOTRA & KOTRA 해외시장뉴스> <저작권자 ⓒ 디에이징뉴스 무단전재 및 재배포 금지>
|