중국 개인정보보호법의 시사점
1. 들어가며
2021년 11월 1일, 중국 초대(初代) 「개인정보보호법(个人信息保护法)」이 시행됐다. 2012년 전국인민대표대회(이하 ‘전인대’) 상무위원회가 「인터넷 정보보호 강화에 관한 결정(全国人民代表大会常务委员会关于加强网络信息保护的决定)」을 채택한 후 9년 만이다. 총 8장·74개 조항으로 구성된 「개인정보보호법」은 2020년 10월 21일 초안이 공개된 이후 10개월 동안 3차례의 심의를 거쳐 2021년 8월 20일 정식으로 제정됐다. 유럽과 미국은 1970년대부터 개인정보보호의 법제화를 본격적으로 추진하기 시작했으며1 , 우리나라도 2004년 입법 논의를 시작해 2011년 「개인정보 보호법」을 제정·시행한 것에 비하면, 중국의 제정 역사는 그리 길지 않다.
그러나 중국은 2017년 「네트워크안전법(网路安全法)」, 2021년 ‘프라이버시와 개인정보의 보호’를 별도로 규정2 하는 ‘장(章)3 ’을 신설한 「민법전(民法典)」 그리고 올해 9월부터 「데이터안전법(数据安全法)」을 시행하는 등, 신속하게 과거 개인정보 보호와 관련된 법률규정이 여러 법률에 분산돼 있었던 모습에서 벗어나, 「개인정보보호법」을 개인정보에 대한 일반적인 기본법으로서 체계적인 개인정보보호 및 데이터 보안에 관한 법체계를 구축하고 있음을 알 수 있다.
세계 주요국은 개인정보보호와 이용의 조화로운 균형점4 을 찾아 4차 산업혁명 시대의 데이터 경제를 활성화해야 한다는 공통된 시대적 과제를 안고 있다. 우리나라가 2020년 개정을 통해 EU의 「일반개인정보보호규칙」(이하 ‘GDPR’)과의 정합성을 제고한 바와 같이, 중국 「개인정보보호법」도 GDPR의 주요 내용이 다수 반영돼 있다. 특히, 역외적용5 과 개인정보 이동권(可携带权)6 등 우리나라 「개인정보 보호법」에는 도입되지 않았거나, 현재 개정안에서 논의되고 있는 규정도 포함하고 있는데 아래에서는 먼저 중국 「개인정보보호법」의 주요 내용을 살펴보겠다.
2. 중국 개인정보보호법의 주요 내용
가. 입법목적과 적용 범위
「개인정보보호법」 제1조는 “개인정보의 권익을 보호하고, 개인정보처리7 활동을 규범화하며, 개인정보의 합리적인 이용을 촉진하기 위하여 헌법에 의거하여 이 법을 제정한다”고 입법목적을 밝히고 있다. 이 법에서의 ‘개인정보’란 전자 또는 기타방식으로 기록된 기(旣)식별되었거나 식별 가능한 자연인과 관련된 각종 정보를 뜻하고, 익명 처리된 정보는 이에 포함되지 않는다(제4조제1항). 익명 처리를 위한 구체적인 방법에 관해 기술적·관리적 가이드라인을 제공하고 있지 않기 때문에 익명 처리 여부 판단은 해당 개인정보가 최종적으로 규정된 익명화 정의에 부합된 상태인지로 판단한다8 .
우리나라 「개인정보 보호법」이 그 적용 범위를 구체적으로 명시하지 않은 것과는 달리, 중국은 중국 경내에서 중국 경내 자연인의 개인정보를 처리하는 행위는 물론 ① 중국 경내 자연인에게 상품 또는 서비스를 제공하는 것을 목적으로 하는 경우 ② 중국 경내 자연인의 행위를 분석·평가하는 경우 ③ 법률·행정 법규에서 규정한 기타 경우에 해당하는 경우는 국외에서 중국 경내 자연인의 개인정보를 처리하는 행위도 이 법의 적용을 받을 수 있다고 규정한바(제3조), GDPR 제3조의 영토적 범위 규정과 같이 역외 적용을 명시했다.
나. 개인정보보호 원칙 및 개인정보의 수집·이용을 위한 법적 근거
개인정보처리자란 “개인정보처리 활동 중에 스스로 처리목적・처리방법을 결정하는 조직・개인”을 말하며(제73조제1호), 개인정보처리자는 ① 합법·정당·필요 및 신의성실의 원칙(제5조) ② 목적 명확화 및 최소 사용의 원칙(제6조) ③ 공개·투명성 원칙(제7조) ④ 정확·완전성 원칙(제8조) ⑤ 안전성 확보의 원칙(제9조)에 따라 개인정보를 처리해야 한다9 . 다섯 가지 개인정보보호 원칙은 우리나라 「개인정보 보호법」 제3조의 8개 조항에 규정된 개인정보보호 원칙과 유사하다10 .
또한, 개인정보의 수집·이용을 위해서 법적 근거가 요구되는데, 가장 중요한 법적 근거는 ① 개인의 동의 획득(제13조제1호)이며, 그 외 ② 개인과의 계약체결·이행 또는 근로규칙·단체협약에 따른 인력자원관리 실시(제13조제2호) ③ 개인정보처리자의 법적 의무 준수(제13조제3호) ④ 공중보건 위기대응 또는 급박한 생명 등 이익 보호(제13조제4호) ⑤ 공익을 위한 뉴스 보도(제13조제5호) ⑥ 자발적·합법적으로 공개된 개인정보를 처리(제13조제6호) ⑦ 법률·행정법규에서 규정한 기타 경우에 해당하는 경우(제13조제7호)가 법적 근거를 제공한다. 제13조의 법적 근거는 큰 틀에서 우리나라 「개인정보 보호법」 제15조제1항, GDPR 제6조제1항의 규정과 유사하며, 개인정보의 이용과 개인의 보호 사이에서 합리적 균형을 이루려는 법적 노력을 했음을 알 수 있다. 특히 제13조 제2호 후단의 “근로규칙·단체협약에 따른 인력자원관리 실시의 경우”는 제2차 심의과정에서 추가됐는데, 이와 같이 해당 심의과정에서 중국 「개인정보보호법」의 특징을 잘 보여주는 조항이 다수 신설됐다. 아래에서 이를 중심으로 살피도록 하겠다.
다. 중국 개인정보보호법의 특징적인 조항
1) 자동화 의사결정에 의한 차별금지
자동화 의사결정이란, “개인의 행위습관, 취미 또는 경제, 건강, 신용 상황 등을 컴퓨터 프로그램을 통해 자동으로 분석·평가하고 의사결정을 진행하는 활동”을 말하며(제73조제2항), 중국 「개인정보보호법」 제24조는 자동화 의사결정을 통해 각 유형의 소비자에게 차별적인 가격을 제시하는 것을 명확히 금지했다. 중국의 일부 플랫폼 기업이 회원의 개인정보를 이용해 고객 유치를 위해 신규 고객만을 우대하는 가격정책 시행했는데, 그 결과 기존 고객은 차별대우를 받게 됐고, 이러한 현상은 2018년 사회생활분야 10대 유행어에 선정11 될 만큼 이슈가 됐다. 이에 중국 「개인정보보호법」은 ‘빅데이터 분석에 의한 차별대우(大数据杀熟)12 ’를 금지하는 조항(제24조)을 신설했다13 .
2) 미성년자의 개인정보를 민감 개인정보에 추가 등
민감정보를 직접적으로 정의하지 않은 우리나라 「개인정보 보호법」과는 달리14 , 중국 「개인정보보호법」 제28조제1항은 민감 개인정보를 “유출 또는 불법적으로 사용될 시 개인의 인격존엄이 침해당하거나 신변·재산 안전에 위험이 발생할 수 있는 개인정보”로 정의한다. 구체적인 예로서 “생체정보, 종교신앙, 특정신분, 의료건강, 금융계좌, 이동경로 등의 정보”와 함께 만 14세 미만 미성년자의 개인정보를 민감 개인정보로 추가해 미성년자의 보호를 강화했다. 또한, “특정한 목적 및 충분한 필요성이 있고 엄격한 보호조치를 취한 경우”에만 민감 개인정보를 처리할 수 있다는 전제조건을 신설한바, 정보주체인 개인의 보호에 있어서 긍정적인 효과를 얻을 수 있을 것이다.
3) 개인정보의 국외이전
지난 10월 5일 진행된 국정감사에서 쿠팡이 중국 자회사 통해 회원 개인정보를 처리하고 있기 때문에, 중국 당국에 의한 개인정보 유출이 가능하다는 지적이 있었다15 . 이와 같이 개인정보의 국외이전에 대해서는 유출 등의 우려가 제기되나, 업무상의 필요로 인해 중국 경내에서 수집한 개인정보를 국외로 이전해야 하는 경우가 있을 것이다. 제38조제1항은 각호에서 규정된 조건 중 하나를 충족한 경우에 한해 국외이전을 허가하고 있으며, 제2차 심의과정을 통해 중국이 체결 또는 가입한 국제조약·협정에 관련 규정이 있는 경우 국외이전 할 수 있다는 조건을 추가했다. 이와 함께 개인정보처리자는 반드시 국외 수취인의 개인정보처리 활동이 이 법에 규정된 개인정보보호 표준에 적합하도록 조치를 취해야 한다는 의무를 부가했다.
4) 개인정보 전송 요구권(이동권, 个人信息可携带权)16
우리나라는 ‘개인정보 전송요구권’ 등을 포함한 ‘개인정보 보호법 일부개정법률안’이 올해 9월 국무회의를 통과했다17 . 이와 같이 우리나라 「개인정보 보호법」 제4조에 규정된 정보주체의 권리에는 아직 ‘개인정보 전송요구권’이 도입되지 않았지만, 중국 「개인정보보호법」은 제45조에 개인정보 전송 요구권을 규정해 개인의 의사에 따라 개인정보가 서로 다른 플랫폼 사이에서 이전할 수 있도록 하는 근거를 마련했다. 이를 통해 개인에게는 자신과 관련한 개인정보에 대해 더 많은 통제력을 부여하고, 개인정보의 자유로운 흐름을 지원하며, 개인정보처리자 간의 건강한 경쟁을 촉진할 수 있는 환경을 구축할 수 있는 기반을 마련했다.
5) 사자(死者)의 개인정보 보호
중국 「민법전」 제994조는 개인정보에게 일정한 인격권이 있다고 보아 근친속(近亲属)18 에게 사자의 성명·초상·명예 등을 침해받을 시 이에 대한 손해배상청구권을 부여했다. 「개인정보보호법」 제49조는 이와 같은 입법취지를 반영해19 , 자연인이 사망한 경우 근친속이 법정 조건에 따라 사자의 개인정보에 대한 열람·복제·정정·삭제 등의 권리를 행사할 수 있다고 규정했다. 다만, 사자(死者)의 의사에 반하여 개인정보가 사용되는 것을 방지하기 위해, ① 합법적이고 정당한 이익을 얻기 위한 목적이어야 하며, ② 사자(死者)가 생전에 달리 정한 경우에는 근친속의 권리를 제한하는 규정을 뒀다.
6) 빅테크 기업에 대한 규제
알리바바, 텐센트로 대표되는 중국 빅테크 기업이 플랫폼 산업에서의 지배력이 높아짐에 따라 데이터(개인정보) 독점 등의 이슈가 발생하고 있다20 . 이에 제1차 심의과정을 통해 온라인 플랫폼 서비스 사업자에 대한 엄격한 개인정보보호 의무 규정이 신설됐으며21 , 제2차 심의과정에서 이를 ‘중요 온라인 플랫폼 서비스 사업자(重要互联网平台服务)’라고 정의한 후 개인정보보호 컴플라이언스 구축 의무를 부가하는 등(제58조제1호) 해당 개인정보처리자에 대한 개인정보보호 의무를 강화했다. 또한, 스마트폰 APP를 통한 플랫폼 서비스 이용이 빈번하다는 점을 고려해, APP에 대한 개인정보보호 관련 규제를 강화했다.(제61조·제66조)
3. 우리나라에서의 시사점
중국 「개인정보보호법」을 위반하는 개인정보처리 행위가 있고, 그 정황이 엄중한 경우 5천만 위안(약 93억 원) 이하 또는 전년도 매출액의 5% 이하의 과징금이 부과되며(제66조), 개인정보 침해가 범죄를 구성하는 경우에는 형사책임(제71조)까지 부담하도록 규정하고 있는바, 개인정보처리자의 주의가 요구된다. 특히 중국 「개인정보보호법」의 역외적용 규정은 중국 경내에 사업장이 없는 우리나라 기업에도 적용될 수 있는 있기 때문에, 관련 기업은 시행에 대비해 개인정보보호 프로세스를 점검하고 보안이 취약한 부분은 이 법의 규정에 근거하여 개선·보완해야 할 것이다.
긍정적으로 볼 수 있는 점은 2018년 GDPR 시행 후 개인정보보호에 대한 인식 제고와 함께 관련 경험이 축적되고 있으며, 이에 기반한 컴플라이언스 시스템이 운영되고 있다는 점이다. 이를 고려하면, GDPR이 규정하는 국제기준의 선진 개인정보보호 조치와의 정합성 유지를 위해 제정된 중국 「개인정보보호법」에 대비해 기존 시스템 위에 상기 중국만의 특징적인 규정을 반영하는 접근이 유효하다. 다만, 법을 적용함에 있어서 중국 당국의 재량권이 개입될 여지가 있기 때문에 관련 사안을 지속적으로 모니터링하고 시스템에 반영하는 노력도 기울일 필요가 있다.
중국의 국가 데이터 거버넌스22 의 관점에서 보면, 「개인정보보호법」과 함께 9월부터 시행 중인 「데이터안전법」에 대한 이해와 대비가 동시에 이뤄져야 한다(위의 그림). 개인정보가 데이터화돼 관리되고 있다는 현실을 고려한다면, 「데이터안전법」에서 보호하고자 하는 데이터에 해당할 것이며, 데이터 및 그 처리 관한 정의(「데이터안전법」 제2조)에 있어서, 「개인정보보호법」과 중첩되는 영역이 존재한다.23
또한 「개인정보보호법」의 역외적용은 법 이론적인 문제 외에도 국력이나 상대국이 자국에 부여하는 시장가치에 따라 좌우되는 사실상 힘의 문제로 볼 수 있다. 이 밖에도 「개인정보보호법」 제43조가 타국이 개인정보보호와 관련해 중국에 대한 편견으로 금지·제한하는 경우 해당 국가에 대해 대등한 조치를 취할 수 있도록 규정했고, 「데이터안전법」 제26조도 타국이 데이터 등과 관련해 중국에 대해 차별적 조치를 취할 경우 해당 국가에 대해 대등한 조치를 취할 수 있도록 규정하는바24 , 중국 「개인정보보호법」 시행이 기존의 개인정보보호에 관한 이슈를 넘어서 정치·국토·군사 등 전통적인 국가 간 긴장 관계 영역에서 개인정보·데이터에 관한 국제 분쟁이라는 새로운 국면으로의 전환에 시발점이 될 수 있다.
UN 무역개발회의(UNCTAD)에 따르면, 현재 데이터 거버넌스 구조는 EU·미국·중국으로 나뉘어 있는 양상이고, EU는 정보 주체의 권리를 중시하는 반면, 미국은 민간부문에서 중국은 공공부문의 데이터 활용에 비교적 관대한 편으로 평가된다25 . 중국 당국이 빅테크 기업에 대한 규제의 방편으로 개인정보보호 의무를 강화한다면 소기의 성과를 달성할 수 있겠지만, 장기적으로 본다면 이 과정에서 형성되는 개인의 개인정보에 대한 의식과 사회 분위기가 종국에는 정부가 주도하는 공공부문의 개인정보 이용에 있어서 장애요인으로 작용할 수 있다. 향후 공공부문에서의 개인정보 이용 기반 조성을 위해서는 개인정보보호와 이용의 조화로운 균형점을 찾는 과정이 「개인정보보호법」의 입법과정과 같이 빠르고 신중하게 진행될 것으로 전망된다.
우리나라도 4차 산업혁명 시대를 선도하기 위해서는 기존의 패스트 팔로어(fast follower) 전략에서 벗어나, 퍼스트 무버(fast mover)로의 패러다임 전환이 필요한 상황이다. 이를 위해서는 이 시대의 원유(原油)와 같은 ‘데이터’와 원유를 정제(精製)한 ‘개인정보’의 보호와 이용을 위한 법 제도가 뒷받침돼야 한다. 빅테크 기업의 사회적 영향력이 크다는 점에 있어서 우리나라와 중국은 유사한 부분이 있다. 개인정보처리자인 기업의 입장에서 중국 「개인정보보호법」에 대응하기 위한 시스템이 마련돼야 함도 중요하지만, 입법적인 관점에서도 시사점이 적지 않을 것인바, 중국의 관련 동향을 주의 깊게 살펴서 K-데이터 거버넌스 구축의 단초로 활용해야 할 것이다.
- 박노형(2020), 『개인정보보호법』, 서울: 박영사, 6. [본문으로]
- 申卫星(2021), 论个人信息权的构建及其体系化, 『比较法研究』, 2021年第5期, 2. [본문으로]
- 중국 「민법전」, 제4편 제6장. [본문으로]
- 申卫星(2021), 论个人信息保护与利用的平衡, 『中国法律评论』, 2021年第5期(总第41期), 29. [본문으로]
- 중국 「개인정보보호법」, 제3조. [본문으로]
- 중국 「개인정보보호법」, 제45조. [본문으로]
- ‘개인정보처리’는 개인정보의 수집·저장·사용·가공·전송·제공·공개·삭제 등을 포함한다. 중국 「개인정보보호법」, 제4조 제2항. [본문으로]
- 이상우(2021), 중국 개인정보 보호체계에 관한 연구 –신(新)개인정보보호법의 주요내용-, 『중국법연구』, 제45집, 342. [본문으로]
- 张新宝, 个人信息处理的基本原则, 『中国法律评论』, 2021年第5期(总第41期), 18~27. [본문으로]
- 이상우(2021), 중국 개인정보 보호체계에 관한 연구 –신(新)개인정보보호법의 주요내용-, 『중국법연구』, 제45집, 344~345. [본문으로]
- Baidu(2021), 大数据杀熟, Available: https://baike.baidu.com/item/大数据杀熟/22456755?fr=aladdin. [본문으로]
- ‘따슈쥐(大数据)’는 빅데이터를 뜻하며, ‘슈(熟)’는 익숙한 사람(기존고객) ‘샤(杀)’는 죽인다는 것을 의미하는바, ‘빅데이터 분석을 통해 기존고객을 죽이는 행위‘로 해석된다. [본문으로]
- 杨婕(2021), 《个人信息保护法》正式出台 –走中国特色的立法之路, 『中电信业务』, 50. [본문으로]
- 민감 정보의 처리를 제한하는 규정에서 ‘정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보’라고 이해할 수 있다. 우리나라 「개인정보 보호법」, 제23조 제1항 참조, 박노형, 앞의 책, 294. [본문으로]
- 미디어이슈(2021.10.21.), 양정숙 의원, ‘쿠팡’ 중국 개인정보 처리 타국 이전 약속, Available: http://www.mediaissue.net/1599868. [본문으로]
- 직역하면 개인정보 휴대권 정도로 해석될 수 있으나, 독자의 이해를 돕기 위해 우리나라에서 사용되는 가장 비슷한 개념의 용어인 ‘개인정보 전송요구권(이동권)’으로 번역했다. [본문으로]
- Newsis(2021.9.28.), 개인정보보호법 개정안 국회 제출…전송요구권 도입, Available: https://www.newsis.com/view/?id=NISX20210927_0001594874. [본문으로]
- 근친속이란 배우자, 부모, 자녀, 형제자매, 조부모, 외조부모, 손자녀, 외손자녀가 해당된다. 중국 「민법전」, 제1045조 제2항. [본문으로]
- 程啸(2021), 论死者个人信息的保护, 『法学评论』, 2021年第5期(总第229期), 13. [본문으로]
- 이상우(2021), 중국의 빅테크 반독점 규제에 관한 연구 –알리바바 사안에서의 행정처벌결정서 해설을 중심으로-, 『법학연구』, 제24집 제2호, 4. [본문으로]
- 중국 「개인정보보호법(제2차 심의안)」(제1차 심의결과가 반영된 안), 제57조. [본문으로]
- 데이터 거버넌스는 데이터 경제의 활성화와 함께 개별 경제주체의 권리보호 및 경쟁을 통한 혁신 보장이라는 역할을 담당하고 이를 위한 규제체계를 마련 및 집행하는 역할을 하며, 이러한 데이터 거버넌스는 국가 전체의 데이터 관리체계와 정부 내에서의 데이터 관리·활용 체계로 구분할 수 있을 것이다. [본문으로]
- 이상우(2021), 중국 데이터 보안체계 구축에 관한 연구 –데이터안전법 심의과정에서의 쟁점사항을 중심으로-, 『중국과 중국학』, 제44호, 85~87. [본문으로]
- 张凌寒(2021), 个人信息跨境流动制度的三重维度, 『中国法律评论』, 2021年第5期(总第41期), 46. [본문으로]
- UNCTAD(2021.9.30.), 『International: UNCTAD promotes cross-border data flows in Digital Economy Report 2021』. [본문으로]