- 중국 개인정보보호법(초안) 발표 후 공개의견수렴 거치는 등 입법을 향한 잰걸음 -
중국은 그동안 개인정보의 수집 및 이용량은 많았으나 이와 관련된 전문법은 부재했다. 상업 이익을 위한 개인정보 불법 취득, 매매 및 유출사건이 빈번해지면서 개인 생활의 안전과 재산 피해가 심각하다는 여론 속에서 법제화 필요성에 대한 인식이 생겨났다.
2018년 3월 이후 총 39건의 개인정보보호 관련 제안 및 건의가 있었으며 13기 전국인민대표대회 상무위원회 22차 회의(2020.10.13.)에서 개인정보보호법 초안이 상정된 후 10월 21일 공개되었고 11월 19일까지 공개의견 수렴을 거쳤다. 법안 통과 및 실제 집행 시점은 아직 정해지지 않았으나 전문가들은 빠른 시일 내에 입법될 것으로 전망하고 있다.
추진 배경
개인정보의 수집 및 이용량이 증가하면서 관련 사고도 빈번해져 이에 대한 전문 법령이 필요하다는 보편적 인식이 생겼다. 실제로 중국은 비대면 디지털 시대로 빠르게 진입함에 따라 네트워크 보안 관련 법제화가 지속적으로 추진되고 있다.
중국 개인정보보호 관련 법률
| 법률(정책) 명칭 | 시행일 |
| 형법 | 2017.11.4.(수정) |
| 네트워크 안전법 | 2017.6.1. |
| 전자상거래법 | 2019.1.1. |
| 암호법 | 2020.1.1. |
| 민법전* | 2021.1.1. |
| 데이터보안법(초안) | 2020.7.3.(초안) |
| 개인정보보호법(초안) | 2020.10.13.(초안) |
디지털 경제의 핵심 요소인 ‘데이터’의 소유권 확립과 보호체계 구축을 위한 정책방향과 보조를 맞춘 것이라는 해석도 있다. 2020년 4월 당 중앙위와 국무원은 <요소시장화 체제구축 및 완비 관련 의견>에서 데이터 보호체계 구축 등을 강조한 바 있다. 이와 관련해 중국은 데이터의 공유∙거래∙개방∙보안 관련 시스템을 구축∙정비하고 있다.
일각에서는 2020년 9월 발표한 ‘글로벌 데이터 안보 이니셔티브’의 후속조치 차원이라고도 분석한다. '글로벌 데이터 안보 이니셔티브'는 중국 IT 기업을 배제한 미국의 ‘5G 클린패스’ 정책에 대응해 중국이 자체적으로 추진하는 국제기준이다. 개인정보 침해 방지 조치 및 불법적으로 다른 나라 국민 신상정보 불법 수집을 금지하자는 차원이다.
주요 내용
개인정보보호법 초안은 총 8장 70조항으로 구성되어있으며 개인정보 처리, 해외제공 규칙, 개인정보 처리 시 개인의 권리 및 처리자 의무, 개인정보 보호 수행부처 및 법적 책임 등을 명시하고 있다. 우선 초안에서는 개인정보, 개인정보처리 및 개인정보 처리자, 민간개임정보 등 주요 개념을 명확히 정의하고 있다.
* 개인정보: 전자 혹은 기타 방식으로 기록된 이미 식별되었거나 식별 가능한 자연인의 각종 관련 정보(제4조 1항 등)
* 개인정보처리: 개인정보에 대한 수집, 저장, 사용, 가공, 전달, 제공, 공개 등의 행위(제4조 2항)
* 개인정보처리자: 개인정보처리의 목적, 행사방식 등을 자체적으로 결정하고 행하는 개인 또는 단체(제69조 1항)
* 민감 개인정보: 유출 혹은 불법 사용될 시 개인이 차별대우를 받을 수 있거나 신변, 재산 안전에 엄중한 피해가 발생할 수 있는 개인정보. 민족, 종교, 종족, 개인의 생물학 특징, 의료건강, 금융계정, 개인 행적 등을 포함
법 적용이 역외까지도 미칠 수 있다. 즉 중국 경내에 있는 개인을 대상으로 재화나 서비스를 제공할 경우 중국 경내 및 중국 밖에서도 본 법이 적용될 수 있다.(제3조 2항)
개인정보처리자가 중국 외부의 개인이나 조직일 경우 중국 내에서 개인정보보호 업무를 담당하는 전문 기관 또는 대표를 설정해야 하며 이들의 명칭 및 연락처 등을 당국에 신고해야 한다.(제52조)
이밖에 개인정보 처리의 기본원칙 및 규칙(사전고지 및 동의 필요), 예외규칙, 개인정보 역외 전송, 정보 주체의 권리 보장, 개인정보처리자 의무, 특정정보처리 시 리스크 평가 진행 의무, 개인정보 누설 시 구제 및 통지 의무, 위반시 제재 등에 대해서도 명시하고 있다.
중국 개인정보보호법(초안) 주요 내용
| 구분 | 주요 내용 |
| (제1장) 총칙 | 제정 목적, 적용 범위, 개인정보 정의 |
| (제2장) 개인정보 처리 규칙 | 일반규칙, 민감 개인정보 처리규칙, 국가기관이 개인정보 처리 시 특별 규정 |
| (제3장) 개인정보 해외 제공 규칙 | 개인정보 해외 제공 요건, 해외제공 불가 사항 등 |
| (제4장) 개인정보처리 활동 중의 개인의 권리 | 개인정보 처리에 대한 거절∙삭제 및 보완 요청, 사용원칙 설명 요구 등 |
| (제5장) 개인정보 처리자 의무 | 정보보호, 관리, 정부 정기감사, 리스크 점검, 기록보관, 누설 후 조치 등 |
| (제6장) 개인정보 보호 직책 수행 부서 | 국무원 관련 부처, 인터넷 안전과 정보화 부처 |
| (제7장) 법적 책임 | 위법시 처벌 및 배상 규정 |
| (제8장) 부칙 | 용어 정의, 본 법이 적용되지 않는 경우 명기 |
초안의 전반적인 구성 및 내용은 EU에서 이미 시행하고 있는 일반 개인정보보호규정(GDPR)과 유사하지만 일부 조항의 경우는 GDPR보다도 엄격하게 규정하고 있다. 공안부 관계자에 따르면 현재 구체화하지 못한 세부사항에 대해서 보완작업 중이며 향후 1~2년 내 최종 법안으로 확정될 것으로 전망하고 있다.
中 개인정보보호법 초안과 EU 일반개인정보보호규정(GDPR) 비교
| 구분 | 中 개인정보보호법 초안 | EU 일반개인정보보호규정(GDPR) | |
| 법 적용범위 | 역외 적용 가능 | ||
| 적법처리 근거 | 개인정보처리에 대한 사전고지 및 동의 필수 동의 획득 방식 및 미성년자의 경우 보호자의 동의가 필요한 점도 동일함 | ||
| 미성년자 연령 14세로 규정 | 16세로 규정 | ||
| 민감 개인정보 범위 | 민감 개인정보에 대해 명확히 정의 내리고 있음. (유출되거나 불법사용될시 개인의 명예, 신체, 재산 안전에 막대한 손해를 끼치게 되는 정보로 인종, 민족, 종교, 생물학적 특징 등 포함) | ||
| GDPR보다 더 광범위함. 금융장부, 개인행적 등 포함 | 초안대비 범위 좁음. | ||
| 정보 보존 기한 | 개인정보취급자의 정보 처리상황에 대한 기록 및 위험평가보고서 작성 의무화 | ||
| 기록의 보존 연한 3년 | 보존 연한에 대한 규정 없음. | ||
| 공공안전에 관한 조항 | 공공위생사건 돌발 시 사전 고지 없이 개인정보 처리 가능(13조 4항) | 관련내용 없음. | |
| 위반시 제재 | 벌금 5000만 위안 이하 또는 전년도 매출액의 5% 이하 | 최대 2000만 유로 혹은 전년도 매출액의 최대 4%로 규정 | |
우리 기업에 미칠 영향
중국의 개인정보보호법이 시행될 경우 다양한 업종에서 광범위하게 영향을 받을 수 있다. 특히, 금융, 전자상거래, IT 서비스, 교통운수 등 B2C위주 업종에 미치는 영향이 비교적 클 것으로 예상된다. 금융계좌, 개인행적, 의료건강 관련 정보는 ‘민감정보’로 분류되고 있어 중국에서 개인금융 업무를 하는 금융기관이나 항공사 및 여행사, 의료기관 등의 경우 더 높은 수준의 대응이 필요하다.
소재지역과 무관하게 중국내 자연인 개인정보를 다루는 기업에게 모두 적용될 수 있다. 중국내 자연인의 개인정보처리가 중국 밖에서 진행되더라도 제품 및 서비스 제공이 목적인 경우 동 법에 적용될 수 있다. 개인정보의 역외 취급시 중국내 전문기관 및 대표 지정을 의무화하고 있어 기업의 관련 비용 산정 등 대비가 필요하다.
위반사항 발생 시 비교적 엄격하게 제재 받을 수 있어 기업들의 주의가 필요하다. 심각한 사안의 경우 5천만 위안 이하 또는 전년도 매출액의 5% 이하 벌금이 부과되며 심할 경우 영업 정지 및 영업 허가 취소까지도 가능하다. 유럽에서 GDPR 시행시 ‘전년도 매출액의 4% 까지 벌금 부과할 수 있다’는 조항으로 반향이 컸으나 중국의 개인정보보호법은 초안이긴 하지만 더 엄격한 수준으로 제재할 가능성이 있다.
시사점
글로벌 안보 이니셔티브를 제창한 중국은 개인정보보호법 관련 법률을 매우 속도감 있게 제정·추진하고 있으며 네트워크 안전법, 데이터보안법 등 관련 법규의 제정으로 그 힘을 더욱더 실어줄 것으로 전망된다. 개인정보 보호에 대한 규범화 및 법제화는 중국만의 규제로 보긴 어려우며 세계적인 추세이므로 우리 기업은 해외진출 전 반드시 진출국의 관련 법에 대한 충분한 이해와 사전 준비가 필요하다.
중국 개인정보보호법은 EU의 GDPR과 그 구성과 내용이 매우 유사해 GDPR 대응 경험이 있는 다국적 기업은 비교적 수월하게 대응 가능할 것으로 전망되며, 그간의 사례들을 벤치마킹하는 등 효율적 대응방안을 모색할 필요가 있다.
![[부동산PF 위기 심화] 금융당국, 저축은행 10곳에 증자 요구](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=80&h=60&m=1&simg=2024040819202509905e30fcb1ba81121872409.jpg)
