중국의 경우 그동안 개인정보에 대해서는 지난 2017년 6월 시행된 네트워크안전법 제40조 내지 제45조 등에서 부분적으로 규율하고 있었지만 최근 전면적인 입법 개정을 통해 체계적인 개인정보 보호가 시작됐다.
2020년 5월에 개정돼 2021년 1월 1일 시행된 개정 민법 제6장은 프라이버시와 개인정보 관련 조항을 신설해 민사법적으로 개인정보를 규율하는 기본 틀을 마련했고, 2020년 10월 초안이 공개된 개인정보보호법(PIPL)은 마침내 2021년 8월 21일 제정돼 오는 11월 1일 시행될 예정이다.
중국 PIPL을 간략하게 표현하면 유럽연합(EU) 개인정보보호규정(GDPR)과 한국 개인정보보호법에서 강한 규제만을 골라 잘 섞어 놓은 느낌이다. 한국 개인정보보호법에 비춰 주의할 점 등을 정리하면서 이를 기준으로 시사점을 도출해 보고자 한다.
첫째 한국 개인정보보호법이나 EU GDPR는 공공기관에 대한 규제를 민간기업과 거의 동등하게 하거나 오히려 공공기관을 더 엄격하게 규율, 정보 주체의 개인정보가 민간 권력뿐만 아니라 공공 권력에 의해 남용되지 않도록 하고 있다. 이에 비해 중국 PIPL은 글로벌 인터넷기업 등 민간기업에 대한 통제를 주된 목적으로 하고 있어 공공기관으로부터 정보 주체에 대한 보호 취지는 약하다. EU에서 시작된 개인정보 보호라는 개념이 원래 국가권력으로부터 보호라는 관점에서 출발했다는 점을 고려하면 중국 PIPL은 사상적 기반이 다른 법체계로 평가할 수 있다.
둘째 GDPR 영향을 받은 중국 PIPL에는 역외 적용 규정이 존재한다. 예컨대 역외기업이 개인에 대한 상품 또는 서비스 제공을 목적으로 하거나 개인의 행위를 분석해서 평가하기 위한 목적이라면 그 기업에도 중국 PIPL이 적용된다. 법 위반 시 부과될 강력한 벌금을 고려하면 가볍게 볼 내용은 아니다. 이와 함께 역외기업에는 국내 대리인과 유사한 전문기구를 설치할 의무가 있다는 점도 유념해야 한다.
셋째 중국 PIPL은 옵트인 체제를 하고 있다. 옵트인은 정보 주체의 동의를 전제로 개인정보 처리가 가능한 형태이다. 옵트아웃은 일단 처리는 가능하지만 정보 주체의 의사에 따라 처리가 제한되는 형태이다. 한국 개인정보보호법이나 EU GDPR가 옵트인 체제이기 때문에 이를 참조한 중국 PIPL에 따르면 이는 당연한 결론이라고도 할 수 있지만 옵트인 체제는 중국의 강력한 PIPL을 이해하는 가장 중요한 키워드의 하나라 할 수 있다.
넷째 한국 개인정보보호법이나 EU GDPR와 비교해서 중국 PIPL의 특징으로 꼽히는 것은 바로 국가안보 또는 데이터 주권의 강조 조문이다. 핵심 정보에 대한 인프라 시설 운영자 또는 일정 수량 이상의 개인정보를 처리하는 자는 중국 역내에서 수집하거나 발생한 개인정보를 중국 역내에 보존해야 하고(데이터 현지화), 만일 역외로 제공할 필요가 있는 경우에는 정부 당국의 안전평가를 통과해야만 한다. 나아가 정보 주체 권리 또는 국가안보·공공이익을 침해하는 기업을 블랙리스트로 관리할 수 있고, 중국 기업에 대해 차별적 조치를 취하는 국가에 대해서는 상응 조치를 할 수 있도록 했다. 이는 중국의 해외 기업을 보호하는 동시에 글로벌 인터넷 기업이나 미국 정부를 겨냥한 것으로 보이는 등 프라이버시 전쟁을 위한 총알 역할을 할 것으로 보인다.
다섯째 개인정보의 국외 이전에 대한 엄격한 제한 규정이 있기 때문에 안전성 평가를 통과한 경우, 전문기관의 개인정보보호 인증을 받은 경우, 당국이 마련한 표준에 부합하는 계약을 체결한 경우, 기타 법령이 정한 조건에 부합한 경우에만 국외 이전이 가능하다. 추측건대 당국이 마련한 표준에 부합하는 계약이 가장 많이 사용될 것으로 보이는 등 당국이 마련한 표준 수준에 따라서 강력한 장벽이 생길 수도 있어 보인다.
여섯째 중국 PIPL을 위반한 경우 최대 5000만위안(약 90억원) 또는 전년도 매출액의 5% 이하 벌금이 부과될 수 있다. 중대한 GDPR 위반 시 과징금이 전 세계 매출액의 4% 또는 2000만유로(약 250억원) 가운데 높은 금액이기 때문에 단순 비교를 하더라도 결코 가벼운 수치는 아닌 것으로 평가된다.
각국의 기존 법령과 비교할 때 중국 PIPL의 가장 큰 특징은 공공기관 의무를 약하게 하고 정부 통제 권한을 강화했다는 점에 있는 것으로 보인다. 개인정보보호법이 규제 내용에 따라 단순히 정보 주체 보호만에 국한되지 않고 한 국가의 정치 상황, 국가안보, 경제정책이나 정보기술(IT) 산업 정책에서 중요한 부분을 차지할 수 있다는 점을 보여 준 것으로 평가된다.
김경환 법무법인 민후 대표변호사 oalmephaga@minwho.kr
-
김현민 기자기사 더보기