중국에서 생활해 보신 분들은 모두 잘 아시는 중국 차량호출 업체 디디추싱(滴滴出行)이 최근 과도한 데이터 수집과 보안 조치 미흡으로 1조6천억원 가량의 벌금 폭탄을 맞았습니다. 사우스차이나모닝포스트 등 외신들은 지난 7월 21일 중국인터넷정보판공실(CAC)이 디디추싱에 대해 80억2,600만 위안(약 1조5,500억 원)의 벌금을 부과하고, 지난 1년 간의 조사를 종료했다고 보도했습니다.
규제 당국은 디디추싱 최고경영자(CEO)인 청웨이(程维)와 총재인 류칭(柳青)에게도 각각 100만 위안(1억9천만 원)의 벌금을 부과했습니다. 구체적으로 어떤 이슈로 인해 이렇게 많은 벌금 폭탄을 맞게 된 걸까요? 그 배경에는 2021년 11월 1일부터 시행된 중국의 개인정보보호법(中华人民共和国个人信息保护法, Personal Information Protection Law)이 있습니다.
중국 개인정보보호법의 의의
1. 개인정보보호법은 개인정보를 법으로 보호하고자 하는 객관적 요구를 한층 강화하는 것
중국은 <네트워크 정보보호 강화에 관한 결정>, <네트워크안전법>, <전자상거래법>, <소비자권익보호법 개정> 등을 통해 개인정보보호의 주요 원칙을 세웠으며, <형법>을 개정하여 개인정보 침해 범죄에 대한 법률 제도를 개선하였고, <민법전> 개정을 통해 개인정보가 법률적 보호를 받는 중요한 민사적 권리임을 규정했습니다.
그럼에도 정보화사회의 발전에 따라 개인정보 보호를 위한 전문법률의 필요와 개인정보 보호의 시스템화 등의 필요성에 의거 개인정보 보호의 제도화를 추진한 것입니다.
2. 개인정보보호법 제정을 통해 사이버 공간에서의 양호한 생태계를 보호 육성하고자 하는 현실적 수요를 수용
사이버 공간에서의 위법적인 개인정보의 수집과 사용 등 불법행위는 시민의 중대한 이익을 해치는 것이며, 상거래의 안전을 위협하고 시장경쟁을 방해하는 것으로 사이버 공간의 질서를 파괴하는 것입니다.
따라서 전문법 체계를 구축함으로서 엄밀한 제도, 엄격한 표준, 무거운 책임으로 개인정보 처리 활동을 규범하여, 기업과 기관 등 개인정보처리자의 법률적 의무와 책임을 내실화하고 사이버 공간의 양호한 생태계를 유지 보호하여야 한다는 골자입니다.
3. 개인정보보호법의 제정은 디지털경제의 건강한 발전을 촉진하는 중요한 조치
최근 데이터는 새로운 생산 요소의 하나로서 디지털경제 발전을 촉진하며, 데이터 경쟁은 이미 국제적 경쟁의 중요 부분으로 개인정보는 빅데이터의 핵심적인 기초입니다.
중국이 당면한 사이버 강국, 디지털 중국, 스마트 사회를 향한 요구는 개인정보 보호와 이용을 전제로 하고 있어 입법을 통한 권한과 책임, 보호의 효율성, 이용 규범의 제도화가 필요합니다.
따라서 개인정보 권익을 보장하는 기초 위에 개인정보의 합법적이고 유효한 이용을 촉진하는 것이 디지털경제의 지속적이며 건강한 발전을 보장하는 것이라고 합니다.
중국 개인정보보호법의 특징
- 적용 대상으로는 국내에서 자연인을 대상으로 개인정보를 처리하거나, 국외의 기업이나 조직이 국내의 자연인의 개인정보를 처리하는 경우를 모두 포함합니다
- 사전 고지와 동의 취득의 예외는 ①계약의 이행/체결에 필요한 경우, ②법적 직책/의무 수행에 필요한 경우, ③돌발적인 공공위생 사건 대응 또는 이와 유사한 긴급상황에서 개인의 생명과 재산 안전 보호에 필요한 경우, ④공공의 이익을 위해 합법적인 범위 내에서 신문 보도나 여론의 감독에 필요한 경우, ⑤적법하게 제정된 근로 제도와 체결된 집단계약에서 인력자원 관리상 필요한 경우 등으로 규정하고 있습니다.
- 개인정보 분석에 있어 자동화된 의사결정 방식을 사용할 경우, 결과의 투명성과 공정/공평성을 보장하며, 거래 조건에 있어 차별 대우를 하여서는 안 된다고 규정하고 있습니다.
- 만 14세 미만 아동의 개인정보를 민감정보로 규정하고 후견인의 동의 취득을 필요로 합니다.
- 온라인 플랫폼 서비스를 제공하고 일정 규모 이상의 대규모 이용자를 보유하고, 여러 유형의 서비스를 제공하는 플랫폼 기업은 개인정보처리에 있어 독립적인 외부 감독 기구의 설립, 개인정보보호 사회책임보고서의 정기 발간 등 보다 엄격한 보호 의무를 규정하고 있습니다.
- 개인이 자신의 개인정보를 본인이 지정한 개인정보처리자에게 이전 요청할 수 있도록 규정함으로써 개인정보 이동권을 도입하고 있습니다.
- 개인정보의 국외 이전에 관해 엄격한 제한을 두어, 담당 기관이나 인증기관의 안전성 평가(보안 평가)를 확보해야 이전이 가능하도록 하고 있습니다.
최근 들어 많은 고객사께서 중국의 개인정보보호법 관련 주요 내용에 대해 여쭤보고 계신데요. 위 내용이 도움 되었으면 합니다.
참고자료) https://zdnet.co.kr/view/?no=20220722102834
https://blog.naver.com/PostView.naver?blogId=pipcpr&logNo=222679548042