2020년 10월 21일, 중국의 상설입법기구인 전국인민대표대회 상무위원회는 <개인정보보호법(个人信息法)> 초안(이하 ‘법’이라 함)을 공개하고, 11월 19일까지 의견을 접수하고 있습니다. 총 70개 조항으로 구성되었는데, 중국에서의 개인정보보호에 대한 전반적인 규율 내용을 담은 최초의 일반법입니다. 2017년 6월 1일부터 시행하고 있는 <인터넷안전법>, 지난 7월 3일에 초안을 발표한 <데이터안전법>과 함께 이 법의 내용이 공개됨에 따라, 중국은 자국 내 정보(信息) 및 데이터(数据)에 관련한 법체계를 어느 정도 완비한 것으로 평가할 수 있습니다. 법의 주요 내용은 아래와 같습니다. 1. 주요 개념 및 적용범위 1) 주요 개념의 정의 (1) 개인정보 개인정보란 전자 또는 기타 방식으로 기록한 이미 식별되었거나 식별될 수 있는 개인과 관련된 각 유형의 정보들을 말합니다(제4조 1항). 일정한 정보처리를 통하여 더 이상 특정된 개인을 식별할 수 없고 기존정보로 복원할 수도 없는 익명화 정보(제69조 4항), 개인이 개인적 사유 또는 가사해결을 위해 처리되는 정보(제68조 1항)는 제외됩니다. (2) 개인정보처리와 개인정보처리자 개인정보처리란 개인정보에 대한 수집, 저장, 사용, 가공, 전달, 제공, 공개 등의 행위를 말하며(제4조 2항), 개인정보처리의 목적, 행사방식 등을 자체적으로 결정하고 행하는 개인 또는 단체를 개인정보처리자라고 정의합니다(제69조 1항). (3) 민감개인정보(敏感个人信息) ‘민감개인정보’란 누설 또는 적법하게 사용하지 않으면 특정된 개인이 차별을 당하거나 신체 또는 재산의 침해를 초래할 수 있는 리스크를 갖고 있는 개인정보들을 말하여, 인종, 민족, 종교신앙, 개인생체특징, 의료건강, 금융계좌, 개인행적 등 정보유형들을 포함합니다. 2) 법의 적용 범위 : 역외 적용 가능 법은 중국 경내에서 발생한 모든 유형의 개인정보처리에 적용할 수 있고, 역외 적용도 가능합니다. 중국 경내에 있는 개인을 대상으로, i) 재화나 서비스를 제공할 경우 ii) 개인의 행태를 분석, 평가하는 경우, ii) 기타 법률이나 법규에서 정하는 경우 본 법을 적용한다고 규정하여 역외 적용의 기준을 명확히 제시하였습니다(제3조 2항). 개인정보처리자가 중국 역외의 개인 또는 조직인 경우에는 중국 내에 개인정보보호 관련 업무를 전담하는 전문기구 또는 대표를 설정해야 하며, 그러한 기구 또는 대표의 명칭, 연락처 등을 개인정보보호 전담 당국에 신고해야 합니다(제52조). 2. 개인정보처리 1) 기본원칙 개인정보처리의 기본원칙은 다음과 같습니다. (1) 적법ㆍ정당성 원칙 : 적법하고 정당한 방식으로 신의칙의 원칙에 의해 기만과 오인 없이 처리할 것(제5조) (2) 최소사용의 원칙 : 명확하고 합리적인 목표 실현을 전제로 가능한 최소한의 빈도와 범위 내에 처리할 것(제6조) (3) 공개ㆍ투명의 원칙 : 공개적이고 투명하게 개인정보를 처리하고 해당 처리규칙을 명확하게 제시할 것(제7조) (4) 정확성의 원칙 : 적시에 정보를 업데이트하여 정확한 정보에 대한 처리를 보장할 것(제8조) (5) 안전성 보장의 원칙 : 개인정보처리자는 정보처리 행위에 대한 책임을 부담하고 정보처리의 안정성을 보장할 것(제9조) 2) 기본규칙 : 사전 고지와 동의 (1) 개인정보처리를 위해서는 사전에 현저한 방식을 통하여 알기 쉽고 명확한 언어로 아래 사항을 알려주어야 합니다(제13조 1항, 제18조 제1항). ① 개인정보처리자의 신분과 연락방식 ② 개인정보처리의 목적, 처리방식, 처리할 정보유형, 보존기간 ③ 정보주체가 자신의 권리를 실행하고 구제할 수 있는 경로와 방식 ④ 법률과 법규에서 사전통지를 요구하는 기타 사항 (2) 정보주체가 개인정보처리에 관하여 충분히 알고 있는 상황에서 자발적으로 정보처리에 대한 동의를 밝혀야 개인정보를 처리할 수 있습니다(제13조 1항, 제14조 1항). (3) 개인정보처리의 목적, 처리방식과 처리하는 정보유형에 변경이 있는 경우 이에 대한 동의를 다시 받아야 합니다(제14조 2항, 제18조 2항). (4) 정보처리대상이 14세미만 미성년자임을 알고 있거나 알아야 하는 경우 보호자의 동의를 받아야 합니다(제15조). (5) 개인은 자신의 동의 의사를 철회할 수 있습니다(제16조). (6) 개인정보처리에 대한 동의가 관련 제품 또는 서비스 제공에 꼭 필요한 경우를 제외하고 개인정보처리에 대한 동의를 하지 않았다는 이유로 제품 또는 서비스 제공을 거절하여서는 안됩니다(제17조). 3) 동의 외 다양한 적법처리근거를 제시한 예외규칙 사회경제활동의 특성과 사회의 전반적 안전을 요하는 상황발생을 대비하여 아래의 경우에는 사전고지 또는 동의없이 개인정보를 처리할 수 있습니다. (1) 개인정보주체가 계약의 당사자로써 계약을 체결 또는 수행에 필요한 경우(제13조 2항) (2) 법이 규정한 직책 또는 의무 수행에 개인정보처리를 요하는 경우(제13조 3항) (3) 돌발적인 공중위생 사건을 대응해야 하는 등 긴급한 비상상태에서 개인의 생명건강과 재산안전을 보호하는데 필요한 경우(제13조 4항). 다만 비상상태 해제 후 정보처리 사실을 그 대상자에게 알려주어야 함(제19조 2항) (4) 공익을 위한 뉴스보도, 여론감독 등을 목적으로 합리적인 범위 내에서 개인정보를 처리하는 경우(제13조 5항) (5) 법률, 법규로 개인정보처리자에게 개인정보처리 사실에 대한 비밀유지의무를 설정하는 등 고지 의무를 면제한 경우(제19조 1항) 3. 개인정보 역외 전송 (1) <인터넷안전법>에서 규정한 핵심정보기반시설(Critical Information Infrastructure,CII) 운영자와 개인정보처리 수량이 국가인터넷정보 주관부서가 규정한 기준에 달한 개인정보처리자는 정보데이터를 중국 내에 보존해야 하고, 역외 전송을 요하는 경우 국가인터넷정보 당국으로부터 안전성 평가를 받아야 합니다(제38조 1항, 제40조). (2) 국가인터넷정보 당국의 안정성 평가를 요하지 않는 개인정보처리자는 아래 경우에 한하여 개인정보를 역외로 전송할 수 있습니다(제38조 2항부터 3항). ① 국가인터넷정보 당국의 규정에 따라 전문기구로부터 개인정보보호 공식인증을 받은 경우 ② 역외의 개인정보수취인과 개인정보처리에 관하여 계약서를 작성하여 해당 수취인에게 본 법에서 규정한 개인정보보호기준에 달하는 의무를 부과한 경우 ③ 법률, 법규에서 역외 전송을 허용한 경우 (3) 개인정보 역외 전송 시, 역외의 개인정보수취인의 신분, 연락처, 정보처리 목적, 처리방식, 처리하는 정보유형, 정보주체가 자신의 권리를 실행하고 구제할 수 있는 경로와 방식을 해당 개인에게 알려주어야 하고 사전 동의를 받아야 합니다(제39조). 4. 정보주체의 권리 보장 법은 정보주체에게 아래의 권리를 보장합니다. (1) 정보처리에 대한 알 권리, 개인정보에 대한 자기결정권, 타인의 개인정보 사용을 제한 또는 거부하는 권리(제44조) (2) 개인정보처리자로부터 자신의 개인정보를 조회, 열람할 수 있는 권리(제45조) (3) 자신의 개인정보의 오기 또는 미완비에 대해 수정 또는 보완을 요구하는 권리(제46조) (4) 자신의 개인정보의 삭제를 요구하는 권리(제47조) (5) 자신의 개인정보처리에 대해 설명과 해석을 요구하는 권리(제48조) 5. 개인정보처리자의 의무 1) 보호조치 채택 의무 개인정보처리자는 처리목적, 방식, 정보의 유형, 초래할 수 있는 결과, 발생가능한 리스크의 정도 등을 종합적으로 고려하여 개인정보가 무단으로 열람, 노출, 절취, 변경, 삭제 등의 안전문제가 발생하지 않도록 아래의 보호조치들을 취해야 합니다. ① 내부관리제도를 구축하고 관련 절차를 제정(제50조 1항) ② 개인정보에 대한 유형별 정리(제50조 2항) ③ 개인정보에 암호를 설정하거나 기타 정보와의 결합 없이 특정 개인을 식별할 수 없도록 하는 등의 정보보안조치 채택(제50조 3항, 제69조 3항) ④ 개인정보처리 권한에 대한 합리적인 설정과 관련 임직원에 대한 정기적인 교육 실행(제50조 4항) ⑤ 개인정보안전사고 등 비상상태 대응책 마련(제50조 5항) ⑥ 개인정보처리 수량이 국가인터넷정보 주관부서가 규정한 기준에 달한 개인정보처리자는 별도로 개인정보보호책임자를 지정하고 개인정보처리 행위를 감독해야 하고, 해당 책임자의 이름, 연락처 등을 공개하고 이를 개인정보보호 전담 당국에 신고해야 함(제51조) 2) 특정정보 처리 시 리스크평가 진행 의무 (1) 개인정보처리자가 아래의 특정정보를 처리하는 경우 사전에 리스크평가를 진행해야 합니다(제54조 1항). ① 민감개인정보를 처리하는 경우 ② 컴퓨터 프로그램으로 개인정보를 처리하여 개인의 습성, 취미 또는 그의 경제, 건강, 신용 상태를 분석하는 경우 ③ 수탁에 의한 개인정보처리, 제3자에게 개인정보를 제공하거나 개인정보를 공개하는 경우 ④ 역외에 개인정보를 제공하는 경우 ⑤ 중대한 영향을 초래할 수 있는 기타 경우 (2) 리크스평가에는 아래의 내용이 포함 되어야 합니다(제54조 2항). ① 개인정보처리의 목적, 처리방식 등 처리의 정당성과 필요성 ② 개인에 대한 영향과 관련 리스크 발생 가능성 ③ 채택한 보호조치의 적법성, 유효여부 등 (3) 리스크 평가보고서와 처리 상황에 관한 기록은 최소 3년 동안 보관해야 합니다(제54조 3항). 3) 개인정보누설 시의 구제와 통지 의무 (1) 개인정보처리자가 처리, 보관하는 개인정보가 누설한 사실을 알게 된 후 바로 구제조치를 취해야 하고 이를 개인정보보호 전담 당국과 해당 개인에게 아래 사항들을 통지해야 합니다(제55조 1항). ① 개인정보가 누설한 원인 ② 누설한 개인정보의 유형 및 야기할 수 있는 침해 ③ 이미 채택한 구제조치 ④ 개인 스스로 침해감소를 위해 채택할 수 있는 구제조치 ⑤ 개인정보처리자의 연락처 (2) 개인정보처리자가 구제조치를 채택을 통하여 개인에게 침해를 초래하지 않는다고 판단한 경우, 해당 사안을 개인한테 통지하지 않아도 되지만, 개인정보보호 전담 당국은 직권에 의해 해당 통지를 명할 수 있습니다(제55조 2항). 6. 위반 시 제재 (1) 법의 규정에 따라 개인정보를 처리하지 않았거나 필요한 안전조치, 보호조치, 구제조치를 취하지 않은 경우, 정도에 따라 아래의 책임을 부담할 수 있습니다(제62조). ① 시정명령 또는 경고 ② 위법소득의 몰수 ③ 법인에 대해 100만 위안(약 1.7억 원) 이하의 과태료, 또는 사안이 엄중한 경우 5,000만 위안(약 84.5억 원)이상 전년도 매출액 5% 이하의 과태료 ④ 직접책임이 있는 개인에 대해 1만 위안 이상 10만 위안 이하의 과태료(약 170만 원 내지 1,700만 원). 사안이 엄중한 경우 10만 위안 이상 100만 위안 이하의 과태료(약 1,700만 원 내지 1.7억 원 이하) ⑤ 지정기간 휴업 또는 사업자등록증 말소 (2) 이외에도, 위반사항이 해당 법인 또는 개인의 신용기록에 기재되고(제63조), 개인정보처리 과정에서 정보주체의 권리를 침해한 경우, 실제 손해 또는 침해로 인하여 취득한 이익 상당의 배상책임을 부담할 수 있으며, 실제 손해액 또는 이익액을 산정하기 어려운 경우 법원이 직권으로 배상액을 정할 수 있습니다(제65조). 다수 정보주체의 권익을 침해한 경우 검찰, 개인정보보호 전담 당국, 국가인터넷정보 전담 당국은 공익소송 관련 절차에 의해 공익소송을 제기할 수 있습니다(제66조). ■ 시사점 이 법은 역외 적용의 기준과 사유를 명확히 하였고, 금융정보를 민감정보로 분리하는 등 국내법관행과 차별화된 부분이 적지 않으며, 개인정보 국외전송을 비교적 엄격히 제한한 것이 특징입니다. 이미 2019년 10월에 이 법의 모태가 된 전문가 의견수렴안이 발표되었고, 올해 6월 1일 전국인민위원회 상무위원회가 발표한 2020년 입법계획에 이 법이 포함되었습니다. 특별한 상황 변경이 없다면, 올해 안에 위 초안 내용에 큰 변동 없이 입법화될 가능성이 높으므로, 중국 내에서 또는 중국인을 대상으로 B2C 사업을 영위하거나 고려하는 기업, 중국인의 개인정보를 수집해야 하는 기업은 GDPR에 준해 개인정보 정책 및 절차를 제정하거나 보완할 필요가 있습니다. 지평은 디지털경제그룹 개인정보ㆍ데이터팀과 중국 사무소가 긴밀히 협업하여 중국 개인정보ㆍ데이터법제의 동향을 지속적으로 모니터링하고, 국내 기업에 유효적절한 자문을 제공할 예정입니다.
본 웹사이트의 모든 내용은 오로지 법무법인(유) 지평의 소개를 목적으로 제공된 것이며, 법률적 자문이나 해석을 위하여 제공되는 것이 아닙니다. 본 웹사이트의 내용에 근거하여 어떠한 조치를 함에 있어서 반드시 법률자문을 구하셔야 합니다.
법무법인(유한) 지평은 변호사법에 따라 설립된 법무법인(유한)으로서, 담당변호사가 수임사건에 관하여 고의나 과실로 위임인에게 손해를 발생시키는 경우에는, 변호사법에 따라 그 담당변호사와 법무법인(유한) 지평이 연대하여 손해를 배상할 책임을 집니다. 담당변호사를 지휘· 감독한 구성원변호사도 지휘· 감독을 함에 있어서 주의를 게을리 하지 않은 경우를 제외하고 손해를 배상할 책임을 집니다.