1998년 8월 27일은 인터넷 산업에서 기념비적인 날이다. 당시 빌 게이츠 마이크로소프트 회장이 미국 연방 검사들에게 조사를 받았고, 이를 계기로 MS가 PC운영체제(OS) 시장의 독점권을 남용해 인터넷 시장까지 장악하려는 전략이 무력화됐다. 미국 정부와 사법부의 적극적인 시장 개입이 없었다면 아마도 구글과 페이스북 같은 인터넷 시대의 새로운 혁신 기업들은 등장하지 못했을 지도 모른다.
중국에서 개인정보 보호법이 전격 시행된 것은 앞으로 IT대국에서 강국으로 가기 위해 개인정보에 대한 법제를 완성하므로 대형 플랫폼 회사들의 지배적 지위를 이용해서 데이터 수집을 부당하게 활용하는 것을 막겠다는 것이 핵심이다.
데이터의 소유에서 기업의 부가 창출되고 데이터 격차는 바로 기업의 격차로 직결된다. 중국에서는 바이두와 알리바바, 텐센트 같은 기업들이 데이터를 독점을 꾀하고 있다. 이러한 기업들은 자신의 보유한 플랫폼의 위상을 통해 데이터를 무섭게 쓸어 모으고 있다.
이런 상황에서 중국은 IT관련 지속적으로 법률 및 제도를 발표하고 규제를 강화하고 있다.
중국 내수시장 사업 확대에 따라 중국 개인정보 처리가 증가하므로 법규•지침을 분석하고 기업은 관련 서비스 현황을 파악해 사업 영양성 검토를 하고 개선 방안을 수립해야 한다. 법규를 상세하게 분석하면 크게 2가지 구분해 상시 적용 관리해야 한다.
①개인정보 관리체계(총14개 항목): 정책운영, 책임자지정, 보안교육, 등급관리, 유출통지, 국외이전 계약, 신고처리, 권리보장, 현황공개, 수집동의, 제공•위탁, 수탁사관리, 시스템별 보안등급 취득, 개인정보 Risk평가
②시스템 보호조치: 데이터현지화, 개인정보파기, 침해사고대응, 암호화/접근통제, 취약점조치, 이력관리/모니터링
중점적으로 시스템별 보안등급을 취득해야 하며 개인정보 처리 위탁 및 국외 이전 시 Risk를 평가해야 한다. 그리고 개인정보는 반드시 경내(중국)에 저장해야 한다.
중국 개인정보보호법 시행은 세계적인 추세이며 EU의 GDPR이나 한국의 개인정보보호법과 매우 흡사하다. EU의 경우 중대한 위반 시 전년도 매출액의 최대 4% 벌금이지만 중국은 최대 5%로 규정하고 있다. 그리고 법 33조부터 36조는 국가기관도 엄격히 준수해야 하며 본법 규정에 적용된다. 이런 여러 가지 내용을 본다면 중국 정부가 개인정보보호법에 대한 좀 더 강력한 의지가 알 수 있다. 기업은 앞으로 개인정보를 다룰 때 합리적인 목적으로 수집, 처리, 이용해 피해가 없도록 준비해야 할 것이다.
신판수(상해화동한국IT기업협의회 부회장)
abc@zioyou.cn, 위챗ID : spansoo
IT법안 이슈
① 중국 개인정보보호 주요내용_ 신판수
② 중국 개인정보보호 시사점_ 신판수
③ 중국네트워크안전법 최신 동향 및 개정된 업무_ 신동욱
ⓒ 상하이방(http://www.shanghaibang.com), 무단전재 및 재배포 금지