중국은 개인정보보호법 초안이 2020년 10월 발표되고 2021년 11월 1일부로 전격 시행되었다. 개인정보의 정의는 “전자 또는 기타방식으로 기록되어 식별되었거나 식별이 가능한 자연인과 관련된 각종정보”를 의미하며 익명 처리된 개인정보는 포함되지 않는다.
법인 정보는 해석의 여지는 있으나 일반적으로 공개된 정보라 개인정보라 취급되지 않으며 아주 특수한 경우 말고는 개인정보보호법에 해당하지 않는다.
적용대상은 기관이나 개인이 중국에서 개인정보를 처리하는 모든 경우이며 국외(중국 경외)에서는 중국인 개인정보를 처리할 경우 상품 또는 서비스를 제공하는 목적으로 제한한다.
개인정보의 처리 프로세스는 수집 → 보관 → 이용 → 이전/전송 → 공개 → 삭제 순이다.
•수집: 필수/선택 개인정보 항목을 구분하여 동의를 받아야 하고 개인정보 수집을 동의하지 않아도 기본 기능 서비스를 거부해서는 안된다. 제3자에게 개인정보를 제공할 경우 제3자의 신분, 연락처, 처리 목적, 처리 방식 및 개인정보 유형을 고지해야 한다. 만14세 미만의 미성년자의 개인정보를 처리시 부모 또는 기타 보호자에게 동의를 받아야 한다.
•보관: 보관기간을 설정하고 보관 기간에 대한 안정성을 확보해야 하며 보관은 국내(중국 경내)에 하고 국외(중국 경외)에 반출될 경우 안전평가를 받아야 한다.
•이용: 이용 규칙을 공개하고 목적, 방식, 범위를 명시한다. 위탁이나 제3자 제공 시 위탁 회사나 제3자 회사의 홍보, 판매, 서비스 등의 항목에 대해 명시하며 수탁자는 개인정보 처리 행위에 대해 감독을 실시한다.
•이전/전송: 개인 동의 후 별도로 고지하며 민감 정보에 대해서는 암호화 처리하여 이전/전송하고 해외 전송일 경우 영향평가를 받아야 하고 국가간 표준 계약을 체결을 통해 가능하다.
•공개: 공개는 원칙적으로 불가능하며 합법적 범위 내에서 개인의 동의 취득 후 가능하다.
•삭제: 사용목적이 완료되었거나, 개인의 요청 시, 제품 혹은 서비스가 종료 시, 불법 행위일 경우 즉시 삭제한다.
개인정보 법적 책임은 행정, 민사, 형사적 책임을 통해 다른 IT법에 비해 엄격하다.
재중한국기업의 개인정보 보호법을 합리적 대응을 위해서는 8가지를 집중 관리/점검해야 한다.
•정책/지침 운영: 개인정보 내부 관리제도 및 운영 규정 수립 후 개인정보 법규 지침 개정 후 배포
•책임자 지정: 개인정보보호책임자 지정 및 공개(성명/연락처), 담당 부처에 신고 공지
•개인정보 등급 관리: 개인정보를 등급별로 구분하여 관리, 등급 산정기준 수립 및 적용
•보안 교육: 보안교육 및 훈련을 정기적으로 실시, 교육 영상 및 자료 배포
•Risk 평가: 시스템별 네트워크 보안등급 취득 확인, 네트워크안전법 보안등급제도
•개인정보 이용: 개인정보 처리 현황 웹사이트에 공개 표시
•국외 이전: 개인정보 국외 이 전시 동의 및 계약
중국에서는 지속적인 IT관련 법률 및 제도를 발표하고 규제를 강화하고 있다. 중국 내수시장의 사업 확대에 따라 중국 개인정보 처리는 증가할 것으로 예상된다. 우리 재중한국기업은 법규를 명확히 이해하고 영향력 검토를 통해 합리적 대응이 필요해 보인다.
신판수(상해화동한국IT기업협의회 부회장)
abc@zioyou.cn, 위챗ID : spansoo
IT법안 이슈
① 중국 개인정보보호 주요내용_ 신판수
② 중국 개인정보보호 시사점_ 신판수
③ 중국네트워크안전법 최신 동향 및 개정된 업무_ 신동욱
ⓒ 상하이방(http://www.shanghaibang.com), 무단전재 및 재배포 금지