중국의 개인정보보호법제

중국은 최근 개인정보 유출 사건이 빈번히 발생하고 있으며 점점 더 심각해지는 추세를 보이고 있다. 2011년 말 중국의 인터넷 사상 최대 규모의 정보 유출 사고가 발생했고, 많은 대형 사이트들의 회원 정보가 유출됐으며, 그 수는 무려 수천만 명에 달해 그로 인한 사회질서 혼란과 대중의 이익이 크게 위협을 받았다. 중국은 관련 정책이 있긴 하지만 아직 큰 효과를 보지 못하고 있어 반드시 개인정보 보호 업무를 실천하고 추진해야 한다.

한편으로 2005년 개인정보보호법 입법초안의 제출에도 불구하고 중국에서 아직도 개인정보보호에 관한 전문 법규가 형성되지 않았고 개인정보보호는 개인은사(個人隱私)에 부속되었을 뿐이다.1) 또 다른 한편으로 중국에서의 입법 중에서는 개인정보, 개인자료 또는 개인데이터라는 용어를 많이 사용하지 않고 개인은사라는 용어를 항상 사용하고 있다.

I. 중국의 개인정보보호에 관한 규범의 현황

역사적으로 살펴보면 중국 개인정보보호는 세 가지의 변천이 있다. 첫째, 음사(陰私)로부터 은사(隱私)라는 용어에로의 변천이다. 1949년에 중화인민공화국이 성립된 후에 중국의 법적 문서 중에 최초로 “陰私(음사)”라는 용어를 사용하여 사법판결에서 공개되지 않는 개인사항을 표현하였다. 1996년에 채택된 “중국인민대표대회의 중화인민공화국형사소송법의 개정에 관한 결정”에 따라 구 형사소송법 제117조 등의 “陰私(음사)”가 “隱私(은사)”로 바뀌었는데 이는 “陰私”라는 용어가 정식적으로 사용하지 않게 된 것을 의미한다.2) 2005년에 전국인민대표회의는 중국개인정보보호법의 입법문제를 제출하고 학계에 위탁하여 법의 초안을 제정하였다. 이를 기점으로 개인정보라는 용어의 정식적이고 통일적인 사용이 시작되었다.

둘째, 개인정보의 공개에 관한 면제로부터 적극적 보호에로의 변천이다. 1980년 이전에 중국의 법적 규범은 개인은사 또는 개인정보에 대한 보호에 관하여 기본적으로 사법판결 절차에 관계되는 개인정보에만 국한하여 보호하고 있었던 것이다.3) 그 보호하는 기본방식은 이러한 개인정보를 재판공개의 예외로 취급하여 공개를 면제하였던 것이다.4) 이는 소극적이고 수동적인 보호방식인 것으로 제공되는 보호는 그저 초급적인 보호인 것이다. 1980년대에 전국인대에 의하여 채택된 “중화인민공화국 변호사 잠정조례” 그리고 사법부, 최고법원, 최고 檢察院, 공안부가 연합하여 발표한 “변호사가 소송에 참여함에 있어서 몇 가지 구체적 규정에 관한 연합 통지”는 “변호사가 사건서류를 열람하면서 접촉한 국가기밀과 개인 음사에 대하여 엄격히 비밀을 보수하여야 한다”고 규정하고 있다. 이것은 당시의 개인정보의 보호에 대하여 어느 정도 강화하기 시작하였다는 것을 반영한다. 개인정보보호의 단계가 소송기간으로부터 소송기간 외로 넓혀졌다. 그리고 개인정보보호의 책임자가 법원내부 인원으로부터 변호사에로 확대 되었다. 동시에 개인정보보호의 방식이 소극적인 공개의 면제로부터 책임자에게 요구하여 적극적으로 비밀을 보수하는 것으로 바뀌었다는 것이다.5)

셋째, 공법보호로부터 사법보호에로의 변천이다.6) 1988년 민법통칙을 집행하는 것에 관하여 약간의 의견은 “타인의 은사를 공개하거나 사실을 날조하여 타인의 인격을 추화시키며 또 모욕, 비방 등의 방식으로 타인의 명예를 손상시키는 경우에 공민명예권의 침해행위로 인정하여야 한다”고 규정하고 있고 2010년에 채택된 侵權責任法에서 은사원은 공민의 명예권으로부터 구분되고 독립적으로 규정된다.7) 이러한 규정은 개인정보보호에 관한 새로운 추세를 반영한다. 우선, 개인정보보호의 범위가 1980년대의 사법절차에서 개인정보보호로부터 사법절차 외의 개인정보까지 확대되어 명확한 보호를 하고 있다는 것이다.8) 다음으로, 은사권에 대한 존중의무가 이전의 직무상 의무로부터 비 직무상 의무에로 확대되었다는 것이다.9) 마지막으로, 침권행위에 대하여 법적 책임이 피해자가 간접적으로 수익하는 공법책임 – 행정 또는 형사 책임을 포함하여 피해자가 직접 수익하는 민사책임에로 확대되었다는 것이다.10)

II. 중앙정부 차원의 규범11)

중국은 아직 개인정보보호에 관한 전문 법령이 마련되지 않았는데, 헌법에서 공민의 기본권리 부분에 공민의 개인정보에 대한 조항이 있고 侵權責任法 제2조에서 프라이버시는 구체적인 인격권으로 명확하게 규정되고 있다.

헌법 제38조에서 “공민의 인격존엄은 피해를 받지 아니하며 어떠한 방법으로도 공민에 대해 모욕·비방 ·무고·모함하는 것을 금지한다.”고 규정하고 있다. 헌법 제39조에서 “중화인민공화국 공민의 주택은 침해받아서는 아니 된다. 공민의 주택에 대한 불법 수색 또는 불법 침입을 금지한다.”고 규정하고 있다. 헌법 제40조에서 “공민의 통신 자유와 통신 비밀은 법의 보호를 받는다. 국가의 안전이나 형사범죄 수사의 필요로 공안기관이나 검찰기관이 법률이 정하는 절차에 의하여 통신 감찰을 하는 경우 이외에는, 어떤 조직이나 개인도 어떠한 이유로든지 공민의 통신 자유와 통신 비밀을 침해하여서는 아니 된다.”고 규정하고 있다. 이러한 기본적인 조항들은 개인정보보호에 관한 다른 법률과 규범에 헌법적 기초 또는 근원의 역할을 한다.

민법통칙 제101조에서 “공민과 법인은 명예권을 가진다. 공민인격의 존엄성은 법률로 보호되며 모욕이나 비방 등의 방식으로 공민이나 법인의 인격이 손해돼서는 안 된다.”고만 규정하고 있다. 상기 조항에서는 인격존엄에 대하여 세부적인 정의를 내리지 않았으며, 프라이버시도 언급되지 않았다.

최고법원은 “민법통칙시행에 관한 약간의 의견” 제140조에서 “서면 · 구두 등 방식으로 타인의 사생활을 선전하거나 혹은 사실을 날조하여 타인의 인격을 비하 및 모욕, 비방 등 형식으로 타인명예를 훼손, 추락시켜 일정한 영향을 미친 경우 공민의 명예권을 침해한 것으로 간주한다.”고 규정하고, 1993년에 공포된 “명예권 사건의 심사관련 약간문제에 관한 해답” 제7조 3항에서 “타인의 동의 없이 타인의 사생활을 공개하여 그의 명예훼손을 초래한 경우 명예권을 침해한 것으로 간주한다.”고 해석하였다. 따라서 현행법상으로는 프라이버시권과 명예권이 동일한 범주로 혼용되고 있다고 할 것이다.

1997년에 공포된 「컴퓨터정보네트워크 국제인터넷 안전관리방법」 제7조와 실시방법 제18조에서도 “사용자의 통신자유와 통신 비밀은 법률로 보호되며, 인터넷으로 악의정보를 살포하거나 타인의 명예를 도용하여 정보를 퍼뜨리거나 타인의 사생활을 침범해서는 안 된다.”고 규정하고 있으나 역시 사생활에 대한 명확한 정의가 없다.

2000년에 제정된 「인터넷전자서비스관리규정」 제12조에서 “전자게시서비스 제공자는 인터넷 가입자 개인정보의 비밀을 지켜야하며, 인터넷가입자의 동의 없이 타인에게 누설하지 못한다.”고 규정하고 있다. 스팸메일에 대해서는 「인터넷 이메일서비스관리방법」을 통하여 규율하고 있다. 동 조치는 컴퓨터바이러스 등 악성 프로그램 유포, 음란물 등 불법정보 및 기타 피싱(Pishing)과 같이 사기의 수단으로 이메일을 이용하는 것으로 포괄적으로 규제하고 있다. 또한 이메일서비스를 제공하기 위해서는 허락 또는 등록을 요구하고, ISP 등 통신서비스 제공자는 허락을 얻지 않거나 등록을 하지 않은 자에게 인터넷 접속서비스를 제공하지 못하도록 하는 등 이메일 송수신을 매개하는 이메일 서비스제공자 및 인터넷접속서비스제공자를 직접적인 규율 대상으로 하고 있다.

그 후 2009년 2월 11기 전국인대 제7차 상무위원회에서 「형법수정안(7)」이 통과되면서 개인정보 불법이용에 대한 처벌조항이 신설되었다. 즉 동 법 제253조에서 “국가기관 혹은 금융, 통신, 교통, 교육, 의료 등 기관의 종사자들이 국가규정을 위반하여 직무이행 혹은 서비스 제공과정에서 취득한 주민의 개인정보를 타인에게 판매 혹은 불법 제공하는 경우, 상황이 심각하면 3년 이하의 징역 혹은 구속 또는 벌금에 처한다.” 라고 규정하고 있다. 바꾸어 말하면 개인정보를 판매 또는 불법제공하는 행위를 범죄행위로 규정하고 있다.

2010년에 들어 국가공업정보화부(工業和信息化部)에서 ‘정보안전조례(信息安全條例)’를 마련하고 국무원에 보고한 것으로 알려지고 있으나 주요 내용은 누출되지 않고 있다. 언론에서는 개인정보 보호를 포함한 제반 안전사항을 다루고 있다고 보도하고 있다. 그리고 2011년 2월에 국가공업정보화부는 「정보안전기술 및 개인 정보보호 지침(초안)」을 마련했다. 이 초안은 이제 중국 개인정보 보호체계에게 큰 영향을 미치는 지침으로서 총 다섯 개 부분으로 구성되었으며, 주요 내용은 개인정보 보호 원칙, 개인정보주체의 권리, 개인정보 보호의 요구 등이다.

2012년 3월에 중국공업정보화부 관련 부처 책임자에 따르면 중국 최초의 ‘개인정보 보호’ 국가표준인 ‘정보안전기술 공급 상용 서비스 정보시스템 개인정보 보호 가이드’가 제정되어 현재 절차에 따라 승인을 기다리고 있다. 표준은 개인정보 보호의 관련 개념들을 정의하고 개인정보 처리의 수집, 가공, 이동, 삭제 4개 절차에 있어서 정보의 주체, 관리자, 획득자, 독립평가기구의 역할과 직책을 명확히 하여 업계가 개인정보 보호 업무를 발전시키는 데 필요한 행동 준칙을 제공하고 있다.

III. 지방정부 차원의 개인정보보호 전문적인 규범12)

(a) 대련시 소프트웨어산업협회 「소프트웨어 및 정보서비스 개인정보보호규범」13)

대련시는 기타 도시와 비교 개인정보 보호분야에서 앞장서고 있으며, 소프트웨어산업협회 하에 개인정보보호 전문위원회를 두고 있다. 소프트웨어산업협회는 2005년 「소프트웨어 및 정보서비스개인정보보호규범」을 제정하여 1년간 시험시행을 거쳐 개정 및 보완한 후 대련 시정부의 인정받고 해정규범이 되었다. 2007년 2월 공식 발효되면서 비교적 완벽한 개인정보보호인증시스템을 구축하였다. 이 시스템은 평가방식, 인력관리와 사고신고 그리고 처리방식에 대한 평가 등을 포함하고 있다.

(b) 요녕성 「소프트웨어 및 정보서비스 개인정보보호규범」14)

요녕성 정부는 2007년부터 소프트웨어와 정보서비스분야의 개인정보 보호규정을 마련하고 2008년 6월부터 적용범위를 타 업종으로 확대하면서 개인정보 보호인증시스템을 구축하였다. 요녕성의 개인정보보호규범은 대련시 규범을 바탕으로 수정 및 보완을 거쳐 보다 더 구체적이고 체계적이라는 평가를 받고 있다.

(c) 상해시 「개인정보관리방법」15)

2004년 상해시 정부는 공포된 “개인정보관리방법”은 기존의 내용에 개인정보 주체의 권리와 개인정보관리자의 의무 등 추가내용을 포함하고 있다. 개인정보주체의 경우 지배권, 문의와 철회권을 보유하고 개인정보 관리자는 고지, 비밀유지 및 정확성 확보의 의무가 있다. 또한 기존의 다른 규범보다 개인정보데이터의 관리를 더욱 중시한다. 개인정보의 안전성을 확보하기 위해 리스트관리, 물적 환경관리, 작업환경관리, 정보안전관리 등내용을 포함하여 총 22개 조항으로 구성되었다. 상해시의 개인정보관리방법은 향후 기타 지역이나 기관의 개인정보보호규범 제정에 있어 모델로 활용이 가능할 것으로 예상된다.

(d) 섬서성 「소프트웨어 및 정보서비스 개인정보보호규범」16)

섬서성 「소프트웨어 및 정보서비스개인정보 보호규범」은 2009년 9월 섬서성 소프트웨어산업 협회에서 마련했다. 보호원칙은 요녕성의 보호원칙과 달리 수집 및 사용 원칙, 안전보장원칙, 정보주체 권리원칙, 내용에 대한 지속 갱신원칙에 따라 기업이나 사회단체가 관련 조치를 취하도록 규정하고 있다. 또한 개인정보 주체의 권리와 관리자의 의무에 대해 별로로 규정하지 않고 정보 주체의 권리보장 부분에 같이 규정하고 있다.

(e) 청두시 「소프트웨어 및 정보서비스 개인정보 보호 관리 방법」17)

청두시의 관리방법은 OECD 지침의 목적과 원칙에 따라 개인정보에 대한 수집, 가공, 보관, 전송, 검색 등을 통해 업무를 취급하는 기업, 사회단체 등 독립적인 법인을 대상으로 하며, 이들이 개인정보보호관련 제도를 마련하고 기업내부에서 개인정보를 보호할 것을 요하고 있다. 이 방법은 개인정보 보호에 대한 심사를 통해 합격기업에게 “개인정보보호합격증”과 CDPIPA(Chengdu Privacy Information Protection Assessment)마크를 부여하고 있다. 이 관리 방법은 신청조건, 신청, 심사 및 접수, 자격관리, 인증 및 마크, 그리고 부칙으로 구성되어 있다.

(f) 선전시 「개인정보보호조례」18)

2010년 5월 선전시 5기 인대(人大) 제2차 회의에서 ‘개인정보 보호조례’ 입법제안이 채택되면서 현재 선전시 변법제위원회는 관련 초안을 작성하고 있다. 또한 선전시 인대는 상기 조례의 입법을 예비입법리스트에 포함시켜 향후 입법 작업이 보다 빠르게 진전될 것으로 예상된다. 이 조례는 지방정부에서 추진하는 최초의 지방법규로서 전술한 지방규범보다 더 높은 효력을 갖고 있고 빠르게 통과될 경우, 향후 중국의 개인정보 보호입법에 있어 커다란 영향을 미칠 것으로 예상된다.

IV. 중국의 개인정보보호 법제에서 나타난 주요한 문제점

중국의 개인정보 보호입법은 아직 시작단계라 할 수 있다. 현재 중국의 개인정보보호는 전문 법령이 아닌 많은 관련법령에 산재되어 있으며, 일부 도시 혹은 지역의 경우에는 규범형태로 마련되어 있다.

(a) 개인정보보호에 대한 법체계 미비

중국은 아직 현실적으로 개인정보보호를 위한 법체계가 미비한 실정이다. 우선 개인정보보호를 위한 통일적이고 전문적인 법령이 없다. 둘째, 분야별 입법 즉 분야별 연관법령에 산재되어 있다. 예컨대 사법, 인권, 통신, 금융 등 각 분야별 법령에 개인정보 보호에 관한 규정을 두고 있다. 따라서 입법 상황의 혼란은 물론 효율적인 법집행이 어려운 실정이다. 셋째, 지역의 경우 민간단체에서 제정한 규범이 대부분이다. 또한 이들 민간단체는 정부의 위임으로 개인정보 보호평가의 감독책임도 담당하고 있다.19) 그리고 지역규범의 가장 큰 문제는 적용 범위의 지역적 한계와 구속력이 떨어지는 점이다.

(b) 개인정보 보호를 위한 독립적인 기관 미비

개인정보보호 입법체계는 단지 개인정보보호법의 제정하는 것이 아니라 법규의 실시과정에 관련 대상자의 의무이행과 의무위반, 그리고 권리보호를 제도로 확보할 수 있도록 개인정보보호에 관한 평가, 감독, 고충처리, 추진 등의 부분체계도 동시에 구축해야 한다.20) 중국의 개인정보 보호규정은 분야별로 여러 법률에 산재되어 있어 포괄적인 관할 대상과 강력한 권한과 권위를 가진 개인정보 보호기관이 더욱 절실함에도 불구하고 독립적인 기구가 없다. 이와 같이 산재해 있는 법률과 비체계적인 입법의 문제로 법적용의 사각지대가 나타나고 실효성 있는 개인정보보호를 위한 감독기관의 부재 등으로 다양한 법적 환경의 변화에 능동적으로 대응하지 못하는 문제점이 나타나고 있다.21)

(c) 지역규범의 불확실성

실제적으로 대부분 지역규범의 경우 제정목적은 소프트웨어 외주산업이 치열한 국제경쟁에서 경쟁력을 강화하기 위해 추진된 것이다. 예컨대 대련시는 소프트웨어 외주산업의 수출대상국의 개인정보 보호요구에 대응하기 위해 소프트웨어 외주기업을 대상으로 개인정보 보호제도를 도입한 것이다. 섬서성의 경우에도 제정목적이 소프트웨어 및 정보서비스 외주기업을 주요 대상으로 외주산업의 활성화와 국제적 제휴를 추진하기 위한 것이라고 명시하고 있다.

이와 달리 주요 국제기구와 선진국들은 개인정보 침해문제로 인해 입법 필요성을 강조하고 개인정보 보호입법을 제정하는 것이 일반적이다. 예컨대 “EU 개인정보보호지침”은 개인정보에 관한 개인의 기본적인권리와 자유와 개인정보의 처리에서 프라이버시에 관한 개인의 권리를 보호하고 회원국 간에 개인정보의 자유로운 이동을 보장하기 위한 것을 그 목적으로 하고 있다.

중국 개혁개방 후에 공민은 개인정보에 대한 관심을 기울이게 되었고 개인정보에 관한 목소리도 점차 높아졌다. 이러한 개인정보에 대한 민간의 요구는 중국에서의 입법으로 하여금 개인정보에 대하여갈수록 많은 긍정과 보호를 하게 하더라도 현제의 상황을 보면, 중국에서의 개인정보보호에 관한 법률제도는 초기 단계에 놓여 있다고 할 것이다.

<각주>

1) 張新宝: <隱私權的法律保護>, 群衆出版社, 2006年版, 第16-17面. [본문으로]

2) 劉太剛: <中國個人情報保護硏究>, 中國人民大學學報, 2007年, 7月號. [본문으로]

3) 전게서 [본문으로]

4) <司法部关于律师参加诉讼的几项具体规定的联合通知>, http://www.people.com.cn/item/flfgk/gwyfg/1981/113901198101.html 2012년 4월 10일 검색. [본문으로]

5) 齐爱民. < 华人民共和国个人信息保护法示范法草案学者建议稿>.河北法学, 2005, (6) [본문으로]

6) 이에 대하여, 일반적으로 헌법에 규정된 보호는 공법적인 보호의 범위에 속하는데, 한편으로, 중국에서 헌법은 직접적으로 사법이행에 도입되지 않다. 공민이 헌법의 조항에 의거하여 직접적으로 개인은사에 대하여 소송을 제기할 수 없다. 다른 한편으로, 중국 헌법에서 隱私權은 명확히 규정되지 않고 개인은사에 관한 조항은 헌법에서 공민 기본 권리 부분의 제38조, 제39조, 제40조이다. 제8쪽 참조. [본문으로]

7) <中华人民共和國侵权责任法>, http://www.law-lib.com/law/law_view.asp?id=305260. 2012년 4월 10일 검색. [본문으로]

8) 王利明:<人格權法新論>, 吉林人民出版社,2005年版, 第345面. [본문으로]

9) 전게서. [본문으로]

10) 전게서. [본문으로]

11) 효력적인 차원으로부터 보면 중국에서 개인정보보호에 관한 규범을 아래와 같이 분류할 수 있다.
a. 법률. 제정권이 전국인민대표대회 및 그 상무위원회에 속한다.
b. 사법해석. 제정권이 최고인민법원과 최고인민검찰원에 속한다.
c. 행정법규. 제정권이 국무원에 속한다.
d. 국무원의 부령. 제정권이 국무원의 각 부, 위원회 및 국무원의 직속기관에 속한다.
e. 지방적인 법규. 제정권이 省級 인민대표대회 및 그 상무위원회, 비교적 큰 도시의 인민대표대회 및그 상무위원회에 속한다.
f. 지방정부에 의하여 설립된 규범. 제정권이 省級 인민정부 및 비 교적 큰 도시의 인민정부에 속한다. [본문으로]

12) http://www.pipa.gov.cn/NewsDetail.asp?ID=759  2012년 4월 10일 검색. [본문으로]

13) http://www.pipa.gov.cn/NewsDetail.asp?Id=851.2012년 4월 10일 검색. [본문으로]

14) http://wenku.baidu.com/view/31062efe04a1b0717fd5ddee.html. 2012년 4월 10일 검색. [본문으로]

15) http://www.chinaacc.com/new/63/74/117/2006/7/wa0001610101217600269280.htm.2012년 4월 10일 검색. [본문으로]

16) http://www.sxsa.org/down/html/?42.html.2012년 4월 10일 검색. [본문으로]

17) http://www.cdsia.org.cn/view.php?tid=57&cid=18.2012년 4월 10일 검색. [본문으로]

18) http://wb.sznews.com/html/2012-01/09/content_1895992.htm.2012년 4월 10일 검색. [본문으로]

19) 洪海林,个人信息的民法保护研究”, 박사논문, 西南政法大學,2007年. [본문으로]

20)周汉华, 《中华人民共和國个人信息保护法(专家建议稿)及立法研究报告》,法律出版社,2006年第1版,第37면. [본문으로]

21) 전게서. [본문으로]

저자 : 정탁

연세대학교 대학원 법학과 박사과정