개인정보 권익을 보호하고 개인정보 처리 활동을 규범화하며 개인정보에 대한 합리적 이용을 촉진하기 위해 중국 최초의 <개인정보 보호법>이 2021년 11월 1일자로 시행되었다. <개인정보 보호법>의 주요 내용을 소개해 본다.

개인정보 및 개인정보 처리에 대한 정의

개인정보라 함은 디지털 방식 혹은 기타 방식으로 기록한, 이미 식별되거나 혹은 식별 가능한 자연인 관련 각종 정보를 의미한다. 익명화 처리된 정보는 포함되지 않는다.

본 법령하에서의 ‘익명화’라 함은 개인정보에 대한 처리 진행 후 특정 자연인의 개인정보라고 식별할 수 없으며 또한 원상복귀가 불가능한 과정을 가르킨다. 즉 다시 말하여 ‘익명화’는 식별 불가 및 원상복귀 불가 이 두 가지를 강조하는 바 특정된 기술조치로 개인정보와 해당 개인 사이 연관성을 끊어버려 그 개인정보가 어느 개인의 정보인지 식별할 수 없게 되고, 또한 이런 불가식별적인 상태가 지속적으로 유지되고 원상복귀 할 수 없는 정보는 개인정보에 포함되지 않는다.

개인정보 처리에는 개인정보 수집, 저장, 사용, 가공, 전송, 제공, 공개, 삭제 등의 행위가 포함된다. 주의를 기울어야 할 부분은 개인정보 처리 행위에는 사람들이 상식적으로 생각하고 있는 개인정보 수집 및 사용 행위뿐만 아니라 개인정보에 대한 부당 삭제, 소극적인 삭제 대응, 무효 삭제 등 개인정보 권익을 침범하는 행위도 <개인정보 보호법>의 적용범위에 포함된다는 것이다.

법령의 적용범위

본 법령은 주요하게 중국 내에서 진행되는 개인정보 처리활동에 적용되나 특정된 상황하에서는 해외에서 중국 경내 자연인의 개인정보를 처리하는 활동에도 적용된다고 규정하였다. 이는 중국 내의 개인정보 처리활동에만 적용되는 것이 아니라 해외에서 중국 내 개인정보에 대한 처리활동을 진행할 경우에도 본 법령이 적용될 수 있다는 것을 의미한다. 위에서 말한 특정상황에는 중국 경내 자연인을 향한 제품 혹은 서비스 제공을 목적으로 경내 자연인의 개인정보를 처리하는 경우, 경내 자연인의 행위를 분석 및 평가 할 경우, 법률∙행정법규가 규정한 기타 상황 등 세 가지 경우가 포함된다.

개인정보 처리 기본원칙 및 핵심원칙 

<개인정보 보호법>에서는 개인정보를 처리함에 있어서 명확하고 합리적인 목적성이 있어야 하고, 개인정보 처리활동은 처리목적과 직접적으로 관련되어야 하며, 개인 권익에 대한 영향을 최소화할 수 있는 방식을 취해야 한다고 규정했다. 또한 개인정보를 수집함에 있어서 처리목적을 실현하기 위한 최소 범위내에서만 수집가능하며 개인정보를 과도하게 수집해서는 안된다고 규정했다.

개인정보 처리의 핵심원칙은 사전에 충분히 고지한 기초 위에 개인의 동의를 취득해야 하고, 개인이 이에 동의하지 않는다 하여 제품 제공 혹은 서비스 제공을 거부해서는 안되며,  정보처리자는 편리한 ‘동의 철회’ 방식을 제공한다는 것이다.

단 개인이 계약 당사자 한측으로서 계약 체결 및 이행에 필요하거나 혹은 합법적으로 제정한 노동규정제도 및 법적으로 체결한 집체 노동계약에 근거하여 인력자원 관리를 실행함에 있어서 필요한 경우, 법정 직책 혹은 법정 의무를 이행하기 위해 필요한 경우, 돌발적인 공공위생사건을 대응하기 위해 혹은 긴급상황에서 자연인의 생명건강과 재산안전을 보호하기 위해 필요한 경우, 공공이익을 위해 신문기사, 언론감독 등 행위를 실시하면서 합리적인 범위 내에서 개인정보를 처리할 경우, 법률∙행정법규상 규정한 기타 상황 등과 같은 경우는 개인의 동의를 취득하지 않고 개인정보 처리가 가능하다.

앱(APP)을 통한 개인정보 과도 수집 금지

인터넷 플랫폼 서비스 제공 및 사용자 수가 많고 업무 유형이 다양한 개인정보 처리자에 대하여 개인정보 보호 관련 규제조치를 실시하고, 개인의 행위 습관, 취미 애호 혹은 경제, 건강 및 신용 상황 등 개인정보를 이용하여 개인의 거래가격 등 거래조건에 대해 불합리적인 차별대우를 실시해서는 안된다고 규정했다.

또한 규모가 있는 인터넷 플랫폼 운영자는 개인정보 보호제도를 수립하고 외부 인원으로 구성된 독립기구를 설립하여 개인정보 보호상황에 대한 감독을 실시해야 한다고 규정하였다.

민감한 개인정보에 대한 처리원칙

민감한 개인정보라 함은 자연인의 인격 존엄을 침해하거나 인신 및 재산에 위험을 줄 수 있는 개인정보를 말한다. 지문 등 생물학적 식별정보, 종교신앙, 특정신분, 의료건강, 금융계좌, 행적궤적 등 정보 및 14세 미만 미성년자의 개인정보가 포함된다.

민감한 개인정보에 대해서는 특정된 목적 및 충분한 필요성이 있는 경우에 한하여 엄격한 보호조치를 취한 상황에서만 처리가 가능하다. 또한 해당 개인에게 민감정보 사용에 대한 필요성과 개인권익에 대해 일어날 수 있는 영향에 대해 충분히 설명해야 하며, 민감정보 처리에 관한 개인의 특별 동의를 취득해야 한다. 또한 미성년자 개인정보를 처리하고자 할 경우 보호자의 동의를 취득해야 한다.

개인정보 해외 제공 규칙

관건적 정보 기초시설 운영자 및 개인정보 처리 수량이 국가 인터넷 정보 부문에서 규정한 수량에 도달한 개인정보 처리자가 중국 국내에서 수집 및 산생한 개인정보에 대하여 중국 국내에 저장하는 것을 원칙으로 한다.

단 개인정보 처리자가 업무 등 수요로 인해 개인정보에 대한 해외 제공이 필요할 경우, 아래 조건 중 임의의 하나를 만족시켜야 한다. 국가 인터넷정보 부문의 안전평가 통과, 국가 인터넷정보 부문의 규정에 따라 전문기관의 개인정보 보호 인증을 경과, 국가 인터넷정보 부문에서 제공한 표준계약서를 사용하여 개인정보 해외 접수자와 계약을 체결하고 쌍방의 권리와 의무를 약정, 법률∙행정법규 혹은 국가 인터넷정보 부문이 규정한 기타 조건이다.

본 조항에서의 개인정보 해외 접수자는 외국 사법기관 혹은 집법기관을 포함하지 않는다. 본 법령에서는 중국 주관부문의 승인을 취득하지 않은 이상 개인정보 처리자는 외국사법기관 혹은 집법기관에 중국 내에 저장한 개인정보를 제공하지 못한다고 명확히 규정하였다.

법률책임 대폭 강화

개인정보 불법처리 혹은 개인정보 처리시 개인정보 보호 의무를 이행하지 않았을 시,  경고 및 위법소득을 몰수한다. 개인정보 불법처리 APP에 대해서는 서비스 중단 혹은 종지 명령을 내리거나 100만 위안(약 1억8565만원) 이하 벌금을 부과하며 주요 책임자에 대해서는 1만 위안 이상, 10만 위안 이하 벌금을 부과한다.

위법상황이 엄중할 경우, 5000만 위안 이하 혹은 연간 매출액의 5% 이하 벌금을 부과하고 영업을 정지하거나 영업허가증을 취소한다. 주요책임자에게는 10만 위안 이상, 100만 위안 이하 벌금이 부과됨과 아울러 일정한 기간내 관련 기업의 이사, 감사, 고급관리자 및 개인정보 보호 책임자로 임직을 불가한다. 

(지린(吉林)대학교 법학원을 졸업한 김수복 변호사는 상하이 성한법률사무소의 파트너 변호사이다. 김 변호사는 외국인의 재중투자, 노동 및 인사, 특허경영, 국제무역분쟁 등 면에서 풍부한 경험이 있다. 김 변호사는 대한민국 주 상하이영사관, 한국상회 및 중국의 여러 협회에서 법률강의를 한 바가 있으며 부산에서 개최된 ‘제35회 프랜차이즈 창업박람회’의 요청으로 중국 법률 관련 자문을 제공한 적이 있다.)