본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

중국의 개인정보 보호법 제도 동향 및 대응방향

2016.06.21

국내에서는 2001년에 제정된 ‘정보통신망 이용 촉진 및 정보 보호 등에 관한 법률’과 그로부터 10년 뒤인 2011년에 제정된 ‘개인정보 보호법’을 통해 개인정보를 보호하기 위한 법 제도를 만들어 시행하고 있습니다.

시행 초기에 기업들은 데이터베이스 내에 있는 정보를 암호화하기 위해 많은 투자를 해야 했으며, 주민등록번호의 수집을 금지하도록 법률이 개정이 되었을 때는 기존의 업무 절차를 대대적으로 변경해야만 했습니다.

이와 같이 개인정보 보호와 관련된 기업의 활동은 법 제도에 많은 영향을 받을 수밖에 없고, 관련된 법 제도를 준수하기 위해 추가적인 투자나 기존의 업무 절차를 변경해야만 하는 일이 생길 수 있습니다.

중국 개인정보 보호법 제도 동향 파악의 필요성

값싼 인건비를 무기로 세계의 공장이라고 불리기 시작한 90년대부터, 15억 인구의 거대한 내수시장을 무기로 세계의 시장이라고 불리는 현재에 이르기까지 수많은 글로벌 기업들이 중국 시장에 진출했으며, 우리 기업 또한 그 행렬에 동참해왔습니다.

하지만, 최근 중국은 자국의 국민, 기업, 산업을 보호하기 위한 각종 법률과 규제를 내놓기 시작했고, 이러한 움직임 안에는 개인정보 보호와 관련된 움직임도 포함이 되어 있습니다.

중국에서는 한 사람의 여러 개의 신분증을 가지고 있거나, 주민등록카드의 인터넷 매매와 같은 남용 및 도용 같은 문제뿐 아니라 작년에는 전국 30개 이상의 성(省)과 시(市)의 사회보험 시스템에서 5천만 건 이상의 민감한 개인 정보가 노출되는 등 개인 정보와 관련된 사고가 끊임없이 발생하고 있습니다.

이러한 사고에 대응하기 위해 중국 당국은 개인정보 보호를 위한 각종 법 제도를 만들어 시행하고 있습니다. 중국 시장에 진출하여 사업 활동을 하는 국내 기업들도 당연히 이러한 법 제도의 준수 범위에 포함되고, 만약 준수하지 못하는 상황이 발생한다면 사업의 지속에 타격을 받을 수 있습니다. 때문에 개인정보 보호와 관련된 중국 내 법 제도를 살펴보고 그 대응 방향을 찾아야 할 필요가 있습니다.

중국 개인정보 보호법 제도 동향

중국에서는 2005년에 개인정보 보호법 입법 초안이 제출되었으나, 아직 한국의 ‘개인정보 보호법’과 같이 개인정보 보호를 위한 통일적이고 전문적인 법령이 존재하지는 않습니다. 현재는 분야별로 연관된 법령이 산재되어 있는 실정입니다. 이러한 상태에서 우선 개인정보 보호 관련 법 제도의 기본이라고 할 수 있는 개인정보의 정의도 명확하게 이루어지지 않고 있습니다.

개인정보의 정의는 중국의 대표적인 개인정보 보호 관련 법 제도라고 할 수 있는 ‘인터넷 정보보호 결정’, ‘통신 및 인터넷 이용자의 개인정보 보호에 관한 규칙’, ‘건강정보의 행정조치’에서 각각 아래와 같이 정의하고 있습니다.

l 중국 법 제도 상의 개인정보 정의

중국의 개인정보 보호 관련 법 제도는 크게 일반법과 부분법으로 구분할 수 있습니다. 일반법은 헌법, 인터넷 정보 보호 결정을 포함하고, 부분법은 소비자보호법, 통신 및 인터넷 이용자의 개인정보 보호에 관한 규칙, 온라인 거래의 행정조치, 우편 및 운송 서비스의 개인정보 보호 조치, 의료기관의 의료 기록 행정조치, 건강정보의 행정조치를 포함합니다. 이들 법 제도의 제정 목적은 아래와 같습니다.

l 중국 주요 개인정보 보호 법제도

기업의 입장에서는 이렇게 분산된 중국의 법 제도 환경에 대비하여 대응방향을 결정하는데 어려움을 느낄 수 있습니다. 다음 장에서는 이러한 여러 법 제도 중 대표적인 개인정보 보호 관련 법 제도라고 할 수 있는 ‘인터넷 정보보호 결정’을 중심으로 주요 내용과 기업의 대응방향에 대해 살펴보겠습니다.

‘인터넷 정보보호 결정’ 주요 내용 및 기업의 대응방향

‘인터넷 정보보호 결정’은 2012.12.28에 전국인민대표대회 상무위원회에서 공포된 내용으로 정식 명칭은 ‘인터넷 정보보호의 강화에 관한 결정’으로써 총 20개의 조항으로 구성되어 있습니다. 명칭에서 알 수 있는 것과 같이 국내의 ‘정보통신망법’과 같이 인터넷상의 개인정보에 한정된 법 제도로서, 오프라인에서 수집되고 처리되는 개인정보까지 대상으로 하고 있지는 않습니다.

‘인터넷 정보보호 결정’에서의 개인정보는 아래와 같습니다.

① 개인을 식별할 수 있는 정보

이름, 성별, 연령, 주소, 전화번호와 같이 개인의 신분에 관련된 정보를 의미합니다.

② 프라이버시 관련 정보

개인적인 활동과 개인적인 공간 등과 같이 개인 사생활에 관련된 정보를 의미합니다.

또한, 공민의 개인 전자정보를 침해할 수 있는 불법행위의 주체를 ‘인터넷 서비스 제공자’, ‘기타 기업 또는 사업단체’, ‘국가기관 및 직원’, ‘임의 조직 또는 개인’이라고 정의했는데, 이 중 기업과 관련된 정의는 아래와 같습니다.

① 인터넷 서비스 제공자

해당 주체에 대한 정의는 불법 행위 책임법 제36조를 인용하고 있는데, 인터넷 기술의 서비스 제공자와 인터넷 내용의 서비스 제공자가 포함됩니다. 즉, 국내 ‘정보통신망법’에서 규정하고 있는 ‘정보통신서비스 제공자’의 의미와 유사합니다.

② 기타 기업 또는 사업 단체

합법적이거나 불법적으로 개인의 전자정보를 취득하는 기타 기업 또는 사업 단체로 정의됩니다. 이는 ‘① 인터넷 서비스 제공자’를 제외하고 인터넷상에서 개인정보를 수집하거나 처리하는 모든 기업이 포함될 수 있습니다.

위에서 살펴 본 것처럼, 사실상 인터넷상에서 개인에 관련된 정보를 수집하거나 처리하는 거의 모든 기업은 해당 결정의 적용 대상이 될 수 있으며, 이는 중국에 진출해 있는 국내 기업도 예외가 될 수 없습니다.

그러면, 국내 기업이 개인정보 보호와 관련된 법 제도를 위반하였을 경우 받게 되는 처벌은 어떻게 될까요? 국내와 마찬가지로 중국도 형법에서 ‘죄형 법정주의 원칙’을 규정하고 있습니다. 즉, 법률에 명문화된 규정이 없을 경우 범죄가 아니며, 법률의 유추적용도 금지하고 있습니다.

중국의 형법에서는 개인정보의 불법 취득에 의한 처벌은 규정되어 있지만, 기타 상황에 대해서는 명문화되어 있지 않습니다. 그러나, 민법(불법행위 책임법)은 조금 다릅니다. 특별한 경우를 제외하고는 불법행위의 구성요건만 규정함으로써, 불법행위의 성립 여부를 판단하게 됩니다.

불법행위 책임법 제36조에서 인터넷 불법행위 책임을 일반 불법행위로서 규정하고 있고 ‘인터넷 정보보호 결정’에서 구체적인 불법행위의 요건을 열거하고 있습니다. 따라서, 불법행위의 요건을 위반한 국내 기업은 민사상의 불법행위에 대한 책임을 지게 됩니다. ‘인터넷 정보보호 결정’에서는 규정하고 있는 개인 전자정보를 침해하는 불법 행위는 아래의 10가지로 요약될 수 있습니다.

① 불법적인 개인 전자정보의 취득

법률상의 규정 없이 개인의 전자정보를 취득하는 경우를 의미하며, 합법성•정당성•필요성의 원칙을 반드시 준수하고 정보 수집 및 사용의 목적, 방식, 범위를 명시해야 합니다. 또한 정보제공자의 동의를 받아야 하고, 개인 전자정보를 수집하거나 사용하려면 그에 관한 규칙을 미리 공개해야만 개인 전자정보를 취득할 수 있습니다.

② 불법적인 개인 전자정보의 판매

개인의 전자정보를 불법적으로 판매하는 경우를 의미하며, 단체나 개인이 판매에 따른 사적인 이익을 취한 경우에 해당합니다. 2011년 국내에서 발생했던 대형할인점에서 경품행사 등으로 수집한 개인 정보를 보험사에 불법 판매한 경우와 유사하다고 볼 수 있습니다.

③ 불법적인 개인 전자정보의 타인 제공

‘② 불법적인 개인 전자정보의 판매’ 이외에도 이익을 취하지는 않았지만, 타인에게 불법적으로 개인 전자정보를 제공하는 경우를 의미합니다. 2008년 국내 통신사가 수집한 고객 정보를 자회사인 텔레마케팅 회사에 불법 제공한 사건과 비슷한 경우입니다.

④ 불법적인 개인 전자정보의 유출

개인 전자정보에 대한 비밀유지 의무를 위반하여, 고의 및 과실과 상관없이 개인의 전자정보를 유출하게 된 경우에도 불법행위 책임을 부담할 수 있습니다.

⑤ 불법적인 개인 전자정보의 변조

기업이 보유하고 있는 개인의 전자정보를 불법적으로 변조하는 경우를 말하는데, 특히 이 경우 고의에 의한 행위가 주로 대상이 되지만, 실수로 인한 경우에도 심각한 결과를 초래한 경우에는 불법행위로서의 책임을 져야 합니다.

⑥ 불법적인 개인 전자정보의 파기

기업이 주의의무를 이행하지 못하여 고의나 과실로 개인의 전자정보를 파기하는 경우를 말합니다. 국내법이 수집, 보관, 이용 등에 주로 초점을 맞추고 있기 때문에, 파기 관련된 결정의 내용은 국내 기업으로써는 특히 주의가 필요한 부분이라고 할 수 있습니다.

⑦ 개인 전자정보의 분실

기업은 합법적으로 취득한 개인 전자정보에 대해서 적절하게 보관해야 할 의무를 가지는데, 이 의무를 소홀히 하여 과실로써 개인 전자정보를 유실한 경우에도 불법행위가 성립이 됩니다.

⑧ 불법적인 개인 전자정보의 발송에 의한 사생활 침해

기업이 전자 정보를 발송하려면 반드시 수신자의 동의를 받아야 합니다. 수신자의 동의를 받지 않거나 수신자가 거절의 의사표시를 한 경우에 전화, 휴대폰, 메일에 상업적인 전자 정보를 발송하게 되면, 불법행위책임을 가지게 됩니다. 이는 국내법에서의 광고성 정보에 대한 발송 제한 규정과 유사하다고 볼 수 있습니다.

⑨ 개인 전자정보의 유출 또는 침해 시 즉각적인 구제 조치 미시행

유출 사고가 발생했거나 침해를 받았을 경우, 정보의 주체는 기업에게 관련된 정보를 삭제를 요구하거나 기타 필요한 조치를 취해 이를 저지할 권리를 인정하고 있습니다. 기업은 이러한 정보주체에게 이러한 요구를 받았을 때 즉시 필요한 구제행위를 취할 의무를 가지게 되고 이를 수행하지 않았을 때는 불법행위 책임이 있습니다.

국내법에서는 사고의 유무를 가리지 않고 정보주체에게 개인 정보의 처리정지 및 정정, 삭제권을 부여하고 있는데, 이보다는 보다 완화된 규정이라고도 볼 수 있습니다.

⑩ 기타 불법행위

위에 열거한 경우에 해당하지는 않지만, ‘개인 신분을 식별할 수 있는 전자정보 또는 개인 프라이버시와 관련되는 전자정보를 보호한다.’는 결정의 제1조 1항의 범위 내의 침해행위로써, 불법행위의 성립 여부를 판단하여 불법행위의 책임이 인정될 수 있습니다.

이상 중국의 ‘인터넷 정보보호 결정’에서 규정하고 있는 10가지 불법행위에 대하여 살펴보았습니다. 대부분의 내용은 국내의 ‘정보통신망법’이나 ‘개인정보 보호법’의 내용과 유사하다고 볼 수 있습니다.

다만, 국내법은 하부 시행령, 시행규칙, 각종 고시를 통해 기업이 준수해야 할 관리적•기술적 책임과 의무를 자세히 명시한 데 비해, 중국의 ‘인터넷 정보보호 결정’은 선언적이고 개념적인 성격이 강하다고 볼 수 있습니다.

중국에 진출한 기업에서는 국내에서처럼 구체적인 기준에 따른 보호조치를 구현하기가 힘들 수 있습니다. 국내에서는 유출 사고가 발생한 경우에도, 기업이 법률에서 규정한 각종 보호조치를 준수하고 있는 것을 입증하면 ‘성실한 관리자의 의무’를 수행한 것으로 법원에게 인정받아 판결에 유리한 영향을 받게 되는 경우도 존재합니다.

하지만, 앞서 살펴본 것처럼 ‘인터넷 정보보호 결정’의 내용은 포괄적으로 규정되어 있기 때문에 오히려 유출 사고 등이 발생할 경우, 국내에서와 같은 ‘성실한 관리자의 의무’를 인정받기가 더 어려울 수도 있습니다. 실제 중국 당국은 위반 행위에 대해 민사상의 책임은 물론 경고, 벌금 부과, 위법소득 몰수, 허가증 회수, 등록 취소, 웹사이트 폐쇄 등의 처벌을 하기로 했습니다.

이에 따라, 중국에 진출하였거나 진출 계획이 있는 기업은 이러한 중국 법 제도 환경을 이해하고 기업 내 법무조직 및 외부 법무 회사 등과의 면밀한 법제 검토를 통해 위법 소지를 제거할 필요가 있겠습니다.

향후 전망

개인정보 보호 입법과 관련하여 중국 당국은 개인정보 보호 입법과 법 집행 부족, 현재 제안된 법률 수준의 미흡, 거주민 신분증 남용 및 부당한 요구와 같은 3가지 문제가 있다고 스스로 밝히고 있습니다.

그러나, 2012년에 ‘인터넷 정보보호 결정’이 시행된 이후에도 2013년 주민번호 수집 및 이용 규제의 시행 등 중국은 계속해서 개인정보 보호와 관련된 입법을 추진하고 있으며, 개인정보를 위해 향후 10년간 관련 제도의 전면 개혁 및 개인정보 보호 법제 수준을 향상할 계획이라고 중국 당국은 말하고 있습니다.

따라서 중국의 개인정보 보호 관련된 법 제도는 새로운 법률이나 규제가 계속해서 추가될 가능성이 높다고 볼 수 있습니다. 이에 대비하기 위하여 기업은 법 제도의 변화를 주시하여야 하며 중국 법 제도에 대한 이해도가 높은 법률 조직과의 긴밀한 연계를 구축하는 것도 검토할 필요가 있습니다.

글 | LG CNS 보안컨설팅팀

[‘보안, 이렇게 하면 된다’ 연재 현황]

  • [1편] ISMS 의무인증 대상 확대! 어떻게 대응해야 할까?
  • [2편] ISMS 인증을 위한 보안솔루션 구성 방안
  • [3편] ISMS 인증 주요 결함사항 및 대응방안
  • [4편] 정보보호 관련 인증 및 평가 제도
  • [5편] 스마트폰의 보안 위협과 대응 방안
  • [6편] IoT 보안 취약점 사례 소재 및 취약점 진단
  • [7편] 스마트폰 앱 서비스 보안의 현재와 미래
  • [8편] 중국 개인정보 보호법 제도 동향 및 대응방향
  • [9편] 출입 보안을 위한 보안 설계
  • [10편] 소프트웨어 개발 보안 – 시큐어 코딩
  • [11편] 당신의 출입카드는 안녕하십니까?
  • [12편] 통합 보안 관리 동향 및 활용 방안
  • [13편] 비대면 실명인증이란 무엇인가?
  • [14편] 프로젝트에서 소스 코드 보안 점검하기
  • [15편] 차세대 행위 기반 위협 탐지 방식에 관하여
  • [16편] 핀테크 보안 위협과 대응 방안
  • [17편] 인공지능과 보안
  • [18편] ‘보안은 제품이 아니라 절차다!’라는 말의 의미
  • [19-1편] 인증의 완성판 생체인증에서 다중 생체인증까지 ①
  • [19-2편] 인증의 완성판 생체인증에서 다중 생체인증까지 ②
  • [20-1편] 중국 네트워크 안전법 분석 및 대응 방안 ①
  • [20-2편] 중국 네트워크 안전법 분석 및 대응 방안 ②
  • [21편] 유전자 정보 보안 안전한가?

챗봇과 대화를 할 수 있어요