세계적으로 개인정보 보호 중요성이 커짐에 따라 해외 진출 시 현지 개인정보 보호 법규가 주요 유의 사항으로 자리잡았다. 미국은 연방 차원에서 포괄적인 개인정보 보호법을 도입하려는 움직임에 주목해야 하며, 중국은 개인정보 침해 소송 증가세에 주의할 필요가 있다.
한국인터넷진흥원(KISA)이 최근 국가별 개인정보보호 법·행정 체계 현황과 주요 위반 사항을 안내는 보고서를 발표했다. 보고서엔 미국과 중국, 대만, 싱가포르, 베트남, 멕시코, 튀르키예 등 15개국의 개인정보 보호 동향을 담았다.
먼저 미국의 법률체계를 살펴보면, 유럽연합(EU) 일반개인정보보호법(GDPR)과 같은 개인정보 보호에 관한 일반법을 갖고 있지 않다. 연방법 법률체계에선 개인정보 보호를 포괄 규율하는 일반법이 존재하지 않는 것이다. 미국은 개별법주의의 법률체계를 취하고 있어 일반법보단 영역별로 개인정보 보호의 요구가 있을 때 별도의 법률을 제정하는 방식을 택하고 있다.
주(州) 법률체계에서도 연방법과 마찬가지로 영역별로 개별 개인정보 보호 법률을 둬왔다. 그러다가 2018년 캘리포니아주의 포괄적인 개인정보보호법 제정을 시작으로 버지니아주, 콜로라도주, 코네티컷주 등 총 14개주가 일반법을 제정하는 등 점차 확대하는 흐름을 보인다.
캘리포니아 개인정보 보호 법규의 경우 명문 규정보다 적용 범위가 넓은 게 특징이다. 캘리포니아 지역 내 사업자로 적용 대상을 규정하고 있으나, 명시적으로 규정하지 않더라도 캘리포니아 이외의 지역의 사업자가 캘리포니아 소비자의 개인정보를 수집·판매하는 경우에는 법의 적용을 받을 수 있다.
보고서는 “현지 진출 기업에 엄격한 개인정보 보호 규제 준수 압력으로 작용할 여지가 크다”면서 “개인정보 범위, 의무주체 등 우리 법제나 법상식과 차이가 있는 부분에 대해서 면밀한 선행학습이 필요하다”고 밝혔다.
중국은 다양한 법률을 통해 개인정보보호를 이행해왔으며, 2021년 11월 개인정보보호법을 시행으로 개인정보 보호를 위한 법적 체계를 갖췄다. 개인정보보호법과 함께 포괄적인 데이터 보안 의무를 다룬 데이터안전법과 네트워크안전법 등 정보보안과 관련된 법적 프레임워크를 완비했다는 점이 눈에 띈다.
특히 개인정보보호법 제정 이후 다수 권익을 침해한 개인정보처리자에 대한 공익소송이 증가하는 추세다.
개인정보처리자가 다수의 개인 권익을 침해할 경우, 최고인민검찰원 등이 소송을 제기할 수 있다. 최고인민검찰원에 따르면, 2021년 개인정보보호 분야에서 2000여건을 처리한 데 이어 2022년엔 6000건 이상을 처리했다.
보고서는 향후 개인정보 침해 시 처벌 수준이 강화되고 국외이전 관리도 보다 체계적일 것으로 내다봤다.
중국 개인정보보호법을 보면, 심각한 개인정보 침해 행위에 대해 최대 5000만위안(약 96억원) 또는 매출 5%에 상당하는 과징금을 부과할 수 있다. 얼마든지 과징금 제재 수위가 높아질 가능성이 높다는 의미다. 또 지난해 개인정보 국외이전 방식을 모두 확정했다.
조재학 기자 2jh@etnews.com