- 1~2년 내 입법 완료 예정 -
- 전반적인 구성 및 내용이 EU의 GDPR과 유사한 부분 많아 -
- 제재 수위는 GDPR보다 높기 때문에 우리 기업의 철저한 대비 필요 -
KOTRA 베이징 IT지원센터는 지난 12월 17일 새로운 중국 법제도에 맞춘 우리 기업 운영 지원을 위해 KISA 한중인터넷협력센터와 공동으로 재중 한국기업 대상 현안 세미나를 개최했다. 주제는 최근 핫이슈인 중국 <개인정보보호법> 초안의 주요 내용과 우리 기업의 대응방안이다. 39개 재중 한국 기업·기관의 45명 관계자가 참가한 가운데 전문가들은 중국 <개인정보보호법> 초안의 주요 내용, 사이버보안 강화 현황을 설명하고 우리 기업의 대응방안을 제시했다.
| 주제 | 중국 개인정보보호·사이버보안 강화 현황 및 우리 기업의 대응방안 |
| 일시 | ’20년 12월 17일(목) 09:30~13:00 |
| 장소 | 북경 Crowne Plaza* 2층 쿤밍C룸 |
| 주최 | KOTRA 베이징IT지원센터, KISA 한중인터넷협력센터 |
| 연사 | 중국정법대학 오일환 교수 KISA 한중인터넷협력센터 윤석웅 센터장 중국 공안부 제1연구소 딩양(丁楊) 연구원 현대오토에버 송용석 차장 |
□ 발표 내용
지난 10월 21일, 중국 정부는 <개인정보보호법> 초안을 발표하고 한 달간 의견 수렴하는 등 입법 절차에 들어갔다. 초안은 개인정보 수집·이용 규범화, 불법유통 및 침해에 대한 보호 등 내용을 담고 있으며 다양한 업종에 광범위한 영향을 미칠 것으로 전망되는 바 우리 기업의 대응이 필요하다고 전문가들은 입을 모았다.
1) 민법전과 개인정보 보호
중국정법대학의 오일환 교수는 내년 1월 1일 시행 예정인 중국 <민법전(民法典)>에도 ‘개인정보는 마땅히 보호받아야 한다’고 규정했다고 전했다. 단, <민법전>은 중국 사회생활의 백과사전과도 같은, 민사관계와 민사활동을 규율하는 기본법률인 만큼 구체적으로 명시하지 않았다고 덧붙였다.
<민법전> 제4편 제6장에서 프라이버시권을 인격권으로 인정하며 마땅히 보호해야 한다고 규정했다. 그러나 법규에 명시한 개인정보는 ‘극히 개인적인 정보(私密性的个人信息)’를 의미한다. 실제로 프라이버시를 어디까지 인정할 것인가에 대해서도 명확치 않으므로 법원의 판단에 맡겨야 한다고 오교수는 지적했다. 또 ‘극히 개인적인 정보’ 이외의 개인정보는 <개인정보보호법> 등 관련 법규를 통해 보장할 것으로 예상했다.
2) 중국 <개인정보보호법> 중 우리기업의 유의사항 및 개인정보 유출 사례
KISA 한중인터넷협력센터 윤석웅 센터장은 중국 <개인정보보호법> 초안에서 4개 문제를 눈여겨봐야 한다고 지적했다. 첫 번째는 적용범위이다. 즉 기업의 소재지역과 무관하게 중국내 자연인 개인정보를 다루는 기업에 모두 적용된다는 점이다.
두 번째는 저장방식과 무관하게 모든 개인정보를 보호한다는 것이다. 전자파일로 직원의 컴퓨터에 저장된 고객정보, 심지어 명함에 적혀있는 고객의 개인정보도 유출될 경우 관련 법적 책임을 질 수 있다고 경고했다.
그 다음은 '14세 미만 미성년자의 개인정보는 수집 시 부모의 동의를 받아야 한다'는 조항이다. 동의 획득 방식 등은 EU 일반개인정보보호규정(GDPR)과 동일하다.
마지막으로는 국내대리인 지정 문제이다. 초안에서는 ‘중국 내에서 생성된 개인정보는 중국 내 보관해야 한다’고 명시하면서 ‘해외 제공시 국가 사이버보안 관련 부처·기관에서 안전성 평가를 받아야 한다’고 규정했다. 회사 규모에 대한 요구는 법규에 명시하지 않았지만 중국내 법인·자회사를 설립하지 않은 우리기 업이 유의해야 하는 부분이라고 강조했다.
윤센터장은 국내기업들의 개인정보 유출은 사내인터넷보안에 대해 중시하지 않거나 업무상 과실이 주요 원인이라며 인터넷보안역량 강화 및 서류관리의 중요성을 강조했다. 특히 메일 오발송, 외부 메일 발송시 다수의 고객에게 ‘참조’하는 과정에서 개인정보가 유출되는 사례가 많기 때문에 기업들의 각별한 유의가 필요하다고 지적했다.
3) 개인정보 해외 제공 시의 안전평가방법
중국공안부 제1연구소 딩양(丁楊) 연구원은 중국 정부가 최근 사이버보안 및 개인정보 강화에 주력하고 있다며 2021년 말까지 <개인정보보호법> 및 데이터 해외 이전 관련 법규가 전인대 상무위(=중국의 입법기관)에서 통과될 것으로 내다봤다.
자료: 연사 발표자료
또 초안에 명시한 ‘개인정보 해외 제공에 관한 규칙’에 따라 당국의 안전 평가 통과를 전제로 한다고 설명했다.
자료: 연사 발표자료
많은 한국 기업들은 서버를 한국에 두고 있어 데이터가 한국으로 전송되므로 입법 완료 전 법규를 면밀히 분석하고 모니터링이 필요하다고 조언했다.
전망 및 시사점
개인정보보호에 대한 규범화·법제화는 세계적인 추세이므로 우리 기업의 해외진출 전에 반드시 철저한 사전준비가 필요하다. 현재 초안에서 구체화하지 못한 세부사항에 대한 보완작업 중이며 1~2년 내 최종 법안으로 확정될 것으로 전망된다. 정식 입법되기 전까진 더 높은 수준의 법에 맞춰 대응 방안을 수립해야 한다.
<개인정보보호법> 초안의 전반적인 구성 및 내용이 EU의 GDPR과 유사한 부분이 많다. EU의 GDPR 대응 경험을 살리거나 참조할 필요가 있다.
中 개인정보보호법 초안과 EU 일반개인정보보호규정(GDPR) 비교
| 구분 | 中 개인정보보호법 초안 | EU 일반개인정보보호규정(GDPR) | |
| 법 적용범위 | 역외 적용 가능 | ||
| 적법처리 근거 | 개인정보처리에 대한 사전고지 및 동의 필수 동의 획득 방식 및 미성년자의 경우 보호자의 동의가 필요한 점도 동일함 | ||
| 미성년자 연령 14세로 규정 | 16세로 규정 | ||
| 민감 개인정보 범위 | 민감 개인정보에 대해 명확히 정의내리고 있음.(유출되거나 불법사용될시 개인의 명예, 신체, 재산 안즌에 막대한 손해를 끼치게되는 정보로 인종, 민족, 종교, 생물학적 특징 등 포함) | ||
| GDPR보다 더 광범위함. 특히, 금융장부 및 개인 행적 등 포함 | 초안대비 범위 좁음. | ||
| 정보 보존 기한 | 개인정보취급자의 정보 처리상황에 대한 기록 및 위험평가보고서 작성 의무화 | ||
| 기록의 보존 연한 3년 | 보존 연한에 대한 규정 없음. | ||
| 공공안전에 관한 조항 | 공공위생사건 돌발 시 사전 고지없이 개인정보 처리 가능(13조 4항) | 관련내용 없음. | |
| 위반시 제재 | 벌금 5000만 위안 이하 또는 전년도 영업액의 5% 이하 | 최대 2000만 유로 혹은 전년도 매출액의 최대 4%로 규정 | |
중국의 <개인정보보호법>은 제재 수위가 GDPR보다 높은 점을 유의해야 한다. 사안이 심각한 경우, GDPR은 '최대 기업 매출의 4%' 벌금을 부과하지만 중국의 <개인정보보호법> 초안에서는 5%로 규정했다. 기업의 보안성 강화를 위해서는 숙달된 보안 전문가가 육성이 반드시 필요하며, 전문가 없는 단순 솔루션 도입은 다른 장애를 야기할 수 있다고 전문가들은 조언했다.
자료: 연사 발표자료
자료: 연사 발표 자료, KOTRA 베이징 무역관 자료 종합
![[단독] 머스크, ‘표현의 자유 수호’ 전국 서명운동 추진 선언](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=80&h=60&m=1&simg=20240419091640080289a1f3094311109215171.jpg)
